计算资源漏洞的基于上下文的风险评估制造技术

一种计算机实现的方法可以包括：使用处理器查验分别与荚相关联的一组容器图像；使用处理器标识包含漏洞的荚的第一子集；使用处理器将荚的第一子集分类为初级感染荚；使用处理器生成其中初级感染荚部署在网络内的名称空间的第一列表；使用处理器检查与名称空间的第一列表相关的网络策略，以确定有能力与初级感染荚通信的次级可疑荚；使用处理器生成其中次级可疑荚部署在网络内的次级可疑名称空间的列表；使用处理器标识与一个或多个初级感染荚通信的一个或多个次级可疑荚；以及使用处理器生成次级感染荚的列表。成次级感染荚的列表。成次级感染荚的列表。

【技术实现步骤摘要】
【国外来华专利技术】计算资源漏洞的基于上下文的风险评估

技术介绍

[0001]本公开涉及计算机资源漏洞的风险评估，并且更具体地，涉及计算机资源漏洞的基于上下文的风险评估。
[0002]云计算应用(例如，云本地应用)可能在其源代码中(例如，通过它们包括的库)或在其环境中(例如，通过它们在同一虚拟机(VM)或应用容器中打包的其他软件)包括已知的漏洞。云原生应用通常打包在应用容器(也称为“容器”)中，并由诸如Kubernetes(K8s)等容器集群和编排中间件进行管理。易受攻击的容器的典型示例是安装了带有已知漏洞的安全外壳(SSH)版本的容器。
[0003]常见漏洞和暴露(CVE)是计算资源漏洞和其他与安全暴露相关的信息的标准化名称的字典类型列表。CVE旨在对所有众所周知的计算资源漏洞和安全暴露的名称进行标准化。CVE还根据每个漏洞的严重性以及攻击者实体在利用漏洞后可能造成的损害程度，为每个漏洞分配分数。
[0004]一些现有的安全技术使用CVE分数(例如，较低的CVE分数＝风险较低)和/或攻击图形来评估网络中检测到的计算资源漏洞的风险。然而，这种使用攻击图形来评估检测到的计算资源漏洞的风险的现有安全技术的问题在于，它们仅考虑能够缓解攻击(例如，网络攻击)的联网元件。这种现有安全技术的另一个问题是，当评估检测到的计算资源漏洞可能对一个或多个其他计算资源造成的风险和/或潜在损害时，它们没有考虑易受攻击的计算资源(例如，易受攻击的容器、VM和/或另一易受攻击的计算资源)的部署上下文。

技术实现思路

[0005]以下给出了
技术实现思路
，以提供对本专利技术的一个或多个实施例的基本理解。该
技术实现思路
不旨在标识关键或重要元素，或描绘特定实施例的任何范围或权利要求的任何范围。其唯一目的是以简化的形式呈现概念，作为稍后呈现的更详细描述的序言。在本文描述的一个或多个实施例中，描述了促进计算机资源漏洞的基于上下文的风险评估的系统、计算机实现的方法和/或计算机程序产品。
[0006]根据一个实施例，一种系统，可以包括处理器，其执行存储在非暂时性计算机可读介质中的下列计算机可执行组件：查验组件(inspection component)，其查验分别与荚相关联的一组容器图像，标识包含漏洞的荚的第一子集，并且将荚的第一子集分类为初级感染荚(primary
‑
infected pod)；名称空间(namespace)组件，其生成其中初级感染荚部署在网络内的名称空间的第一列表；以及网络组件，其检查(check)与名称空间的第一列表相关的网络策略，以确定有能力与初级感染荚进行通信的次级可疑荚(secondary
‑
suspect pod)，其中名称空间组件生成其中次级可疑荚部署在网络内的次级可疑名称空间的列表，网络组件标识与一个或多个初级感染荚进行通信的一个或多个次级可疑荚，并且其中查验组件生成次级感染荚的列表。这种系统的优点是它可以保护网络中的一个或多个计算资源。
[0007]在一些实施例中，计算机可执行组件还包括检查组件，其检查与初级感染荚和次
级感染荚相关联的规范和特权(privilege)，以生成可疑机器、初级感染机器和次级感染机器的列表。这种系统的优点是它可以保护网络中的一个或多个计算资源。
[0008]根据另一个实施例，一种计算机实现的方法，可以包括使用处理器查验分别与荚相关联的一组容器图像。该计算机实现的方法可以进一步包括使用处理器标识包含漏洞的荚的第一子集。该计算机实现的方法可以进一步包括使用处理器将第一子集的荚分类为初级感染荚。该计算机实现的方法还可以包括使用处理器生成其中初级感染荚部署在网络内的名称空间的第一列表。该计算机实现的方法还可以包括使用处理器检查与名称空间的第一列表相关的网络策略，以确定有能力与初级感染荚进行通信的次级可疑荚。该计算机实现的方法还可以包括使用处理器生成其中次级可疑荚部署在网络内的次级可疑名称空间的列表。该计算机实现的方法可以进一步包括使用处理器标识与一个或多个初级感染荚进行通信的一个或多个次级可疑荚。该计算机实现的方法还可以包括使用处理器生成次级感染荚的列表。这种计算机实现的方法的优点是它可以被实现来保护网络中的一个或多个计算资源。
[0009]在一些实施例中，上述计算机实现的方法还可以包括使用处理器检查与初级感染荚和次级感染荚相关联的规范和特权，以及使用处理器生成可疑机器、初级感染机器和次级感染机器的列表。这种计算机实现的方法的优点是它可以被实现来保护网络中的一个或多个计算资源。
[0010]根据另一个实施例，一种计算机程序产品，包括计算机可读存储介质，该计算机可读存储介质具有体现在其中的程序指令，该程序指令可由处理器执行以使处理器查验分别与荚相关联的一组容器图像。该程序指令还可由处理器执行，以使处理器标识包含漏洞的荚的第一子集。该程序指令还可由处理器执行，以使处理器将第一子集的荚分类为初级感染荚。该程序指令还可由该处理器执行，以使该处理器生成其中初级感染荚部署在网络内的名称空间的第一列表。该程序指令还可由处理器执行，以使处理器检查与名称空间的第一列表相关的网络策略，以确定有能力与初级感染荚进行通信的次级可疑荚。该程序指令还可由处理器执行，以使处理器生成其中次级可疑荚部署在网络内的次级可疑名称空间的列表。该程序指令还可由处理器执行，以使处理器标识与一个或多个初级感染荚通信的一个或多个次级可疑荚。该程序指令还可由处理器执行，以使处理器生成次级感染荚的列表。这种计算机程序产品的优点是它可以被实现来保护网络中的一个或多个计算资源。
[0011]在一些实施例中，程序指令还可由处理器执行，以使处理器检查与初级感染荚和次级感染荚相关联的规范和特权，并生成可疑机器、初级感染机器和次级感染机器的列表。这种计算机程序产品的优点是它可以被实现来保护网络中的一个或多个计算资源。
附图说明
[0012]图1、图2、图4、图5、图6、图8和图9示出了根据本文描述的一个或多个实施例的示例、非限制性系统的框图，该系统可以促进计算机资源漏洞的基于上下文的风险评估。
[0013]图3示出了根据本文描述的一个或多个实施例的现有技术系统的示例、非限制性图，该系统生成可用于促进计算机资源漏洞的基于上下文的风险评估的常见漏洞和暴露(CVE)分数。
[0014]图7、图10、图11和图12示出了根据本文描述的一个或多个实施例的示例、非限制
性的图，该图可以促进对计算机资源漏洞的基于上下文的风险评估。
[0015]图13和图14示出了根据本文描述的一个或多个实施例的示例、非限制性的计算机实现的方法的流程图，该方法可以促进计算机资源漏洞的基于上下文的风险评估。
[0016]图15示出了示例、非限制性操作环境的框图，在该操作环境中可以促进本文描述的一个或多个实施例。
[0017]图16示出了根据本主题公开的一个或多个实施例的示例、非限制性云计算环境的框图。
[0018]图17示出了根据本主题公开的一个或多个实施例的示例、非限制性抽象模型层的框图本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种系统，包括：处理器，其执行存储在非暂时性计算机可读介质中的以下计算机可执行组件：查验组件，其查验分别与荚相关联的一组容器图像，标识包含漏洞的荚的第一子集，并且将荚的第一子集分类为初级感染荚；名称空间组件，其生成其中初级感染荚部署在网络内的名称空间的第一列表；和网络组件，其检查与名称空间的第一列表相关的网络策略，以确定有能力与初级感染荚通信的次级可疑荚，其中所述名称空间组件生成其中次级可疑荚部署在所述网络内的次级可疑名称空间的列表，所述网络组件标识与一个或多个初级感染荚通信的一个或多个次级可疑荚，并且其中所述查验组件生成次级感染荚的列表。2.根据权利要求1所述的系统，还包括检查组件，其检查与初级感染荚和次级感染荚相关联的规范和特权，以生成可疑机器、初级感染机器和次级感染机器的列表，并确定初级感染荚和次级感染荚改变所述网络的配置的能力。3.根据权利要求1所述的系统，还包括资源组件，其确定与初级感染荚和次级感染荚相关联的相应感染容器有能力消耗的总资源容量，以生成总风险容量度量。4.根据权利要求3所述的系统，还包括许可组件，其确定与相应感染容器相关联的许可。5.根据权利要求1所述的系统，还包括风险组件，其生成与初级感染荚和次级感染荚相关联的上下文风险分数和绝对风险分数。6.根据权利要求3所述的系统，其中，所述资源组件评估处理器、存储器或磁盘中至少一个的有限容量。7.根据权利要求6所述的系统，还包括风险组件，其生成与初级感染荚和次级感染荚相关联的上下文风险分数和绝对风险分数，其中所述风险组件基于一个或多个改变动态地生成与初级感染荚和次级感染荚相关联的第二上下文风险分数和第二绝对风险分数。8.根据权利要求5所述的系统，其中，所述风险组件采用训练模型来动态地生成与初级感染荚和所述次级感染荚相关联的上下文风险分数和绝对风险分数。9.一种计算机实现的方法，包括：使用处理器查验分别与荚相关联的一组容器图像；使用所述处理器标识包含漏洞的荚的第一子集；使用所述处理器将荚的第一子集分类为初级感染荚；使用所述处理器生成其中初级感染荚部署在网络内的名称空间的第一列表；使用所述处理器检查与名称空间的第一列表相关的网络策略，以确定有能力与初级感染荚通信的次级可疑荚；使用所述处理器生成其中次级可疑荚部署在所述网络内的次级可疑名称空间的列表；使用所述处理器标识与一个或多个初级感染荚通信的一个或多个次级可疑荚；以及使用所述处理器生成次级感染荚的列表。10.根据权利要求9所述的方法，还包括：使用所述处理器检查与初级感染荚和次级感染荚相关联的规...

【专利技术属性】
技术研发人员：A，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：