本申请公开了一种容器间访问行为鉴别方法及装置,属于网络安全技术领域,用于鉴别容器间访问行为。所述方法包括:响应于第一容器对第二容器的访问行为,对第一容器的镜像文件进行解析,获取第一容器的访问权限信息;响应于访问权限信息指示第一容器对第二容器没有访问权限,鉴别访问行为存在安全风险;响应于访问权限信息指示第一容器对第二容器有访问权限,根据第一容器的访问行为特征,对第一容器的访问行为进行安全风险鉴别。本方法实现了基于对容器间首次访问行为的分析,结合访问权限和访问行为特征,来鉴别容器间访问行为的风险状况,为后续实施对容器东西向访问的安全监管提供依据和技术支撑。管提供依据和技术支撑。管提供依据和技术支撑。
【技术实现步骤摘要】
容器间访问行为鉴别方法、装置、电子设备、存储介质
[0001]本申请涉及网络安全
,特别是涉及容器间访问行为鉴别方法、装置、电子设备及计算机可读存储介质。
技术介绍
[0002]容器虚拟化技术已经成为一种被广泛认可的服务器资源共享方式,随着对“轻量”的容器虚拟化技术应用加深,大大提高了工作效率,提高了对系统资源的利用率。同时,该技术引入大量新的基础设施,安全防护对象发生了颠覆性的变化,也带来了安全的诸多挑战,基于业务的入侵手段在容器中依然有效,如:上传恶意脚本、获取容器控制权、获取宿主机操作权限、横向扩展攻击其他容器、镜像安全、K8S(kubernetes,用于管理云平台中多个主机上的容器化的应用)编排安全等等安全问题依然存在。现有技术中,对于提升容器内部安全能力提出了一些解决方案,但是,不能有效对容器间的访问行为进行安全监管。
[0003]可见,需要一种容器间访问行为鉴别方法,以对容器间的访问行为进行安全监管。
技术实现思路
[0004]本申请实施例提供一种容器间访问行为鉴别方法、装置、电子设备,可以对容器间的访问行为进行鉴别,以便对容器间访问行为实施安全监管。
[0005]第一方面,本申请实施例公开了一种容器间访问行为鉴别方法,包括:
[0006]响应于第一容器对第二容器的访问行为,对所述第一容器的镜像文件进行解析,获取所述第一容器的访问权限信息;
[0007]响应于所述访问权限信息指示所述第一容器对所述第二容器没有访问权限,鉴别所述访问行为存在安全风险;r/>[0008]响应于所述访问权限信息指示所述第一容器对所述第二容器有访问权限,根据所述第一容器的访问行为特征,对所述第一容器的所述访问行为进行安全风险鉴别。
[0009]第二方面,本申请实施例公开了一种容器间访问行为鉴别装置,包括:
[0010]访问权限信息获取模块,用于响应于第一容器对第二容器的访问行为,对所述第一容器的镜像文件进行解析,获取所述第一容器的访问权限信息;
[0011]第一访问行为鉴别模块,用于响应于所述访问权限信息指示所述第一容器对所述第二容器没有访问权限,鉴别所述访问行为存在安全风险;
[0012]第二访问行为鉴别模块,用于响应于所述访问权限信息指示所述第一容器对所述第二容器有访问权限,根据所述第一容器的访问行为特征,对所述第一容器的所述访问行为进行安全风险鉴别。
[0013]第三方面,本申请实施例还公开了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本申请实施例所述的容器间访问行为鉴别方法。
[0014]第四方面,本申请实施例公开了一种计算机可读存储介质,其上存储有计算机程
序,该程序被处理器执行时本申请实施例公开的容器间访问行为鉴别方法的步骤。
[0015]本申请实施例公开的容器间访问行为鉴别方法,通过响应于第一容器对第二容器的访问行为,对所述第一容器的镜像文件进行解析,获取所述第一容器的访问权限信息;响应于所述访问权限信息指示所述第一容器对所述第二容器没有访问权限,鉴别所述访问行为存在安全风险;响应于所述访问权限信息指示所述第一容器对所述第二容器有访问权限,根据所述第一容器的访问行为特征,对所述第一容器的所述访问行为进行安全风险鉴别,实现了基于对容器间首次访问行为的分析,结合访问权限和访问行为特征,来鉴别容器间访问行为的风险状况,为后续实施对容器东西向访问的安全监管提供依据和技术支撑。
[0016]上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
[0017]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0018]图1是本申请实施例公开的容器间访问行为鉴别方法的流程图;
[0019]图2是本申请实施例公开的基于访问行为特征进行访问行为鉴别的流程图之一;
[0020]图3是本申请实施例公开的基于访问行为特征进行访问行为鉴别的流程图之二;
[0021]图4是本申请实施例公开的访问行为向量生成方法示意图;
[0022]图5是本申请实施例公开的容器间访问行为鉴别装置结构示意图;
[0023]图6示意性地示出了用于执行根据本申请的方法的电子设备的框图;以及
[0024]图7示意性地示出了用于保持或者携带实现根据本申请的方法的程序代码的存储单元。
具体实施方式
[0025]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0026]东西向访问指同一宿主机上部署的容器与其他容器相互访问的机制。针对现有技术无法在容器东西向访问上进行细粒度管控的问题,本申请提出了一种容器间访问行为鉴别方法,以通过对容器间首次访问行为的分析,来鉴别容器间访问行为的风险状况,进而提高容器东西向访问的安全监管能力。
[0027]如图1所示,本申请实施例公开的容器间访问行为鉴别方法包括:步骤110至步骤130。
[0028]步骤110,响应于第一容器对第二容器的访问行为,对所述第一容器的镜像文件进行解析,获取所述第一容器的访问权限信息。
[0029]本申请实施例中所述的第一容器和第二容器指部署在同一宿主机上的不同容器。容器内部署应用程序,应用程序依赖于容器执行。其中,镜像是一种文件存储形式,容器是镜像文件的实例,镜像文件中携带容器的信息和容器中部署的应用的信息。其中,所述应用的信息包括但不限于:应用权限信息。其中,应用权限信息包括对应用自身和对其他应用的读写权限,例如增、删、改、查的权限。
[0030]如前所述,容器内部署应用程序,应用程序依赖于容器,因此,容器内部署的应员程序的访问权限信息,可以看作是部署该应用程序的容器的访问权限信息。
[0031]本申请的实施例中,在首次接收到第一容器的访问行为产生的访问请求时,首先获取第一容器的镜像文件,对该镜像文件进行解析,得到该镜像文件对应的容器内部署的应用的应用信息。接下来,从应用信息中获取应用权限信息,作为该第一容器的访问权限信息。
[0032]通常情况下,基于应用程序之间的访问权限,第一容器对其他容器(即第二容器)是有权访问的,对于这类应用的应用权限信息中,访问其他应用的权限被配置为指示对所述第二容器(即本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种容器间访问行为鉴别方法,其特征在于,所述方法包括:响应于第一容器对第二容器的访问行为,对所述第一容器的镜像文件进行解析,获取所述第一容器的访问权限信息;响应于所述访问权限信息指示所述第一容器对所述第二容器没有访问权限,鉴别所述访问行为存在安全风险;响应于所述访问权限信息指示所述第一容器对所述第二容器有访问权限,根据所述第一容器的访问行为特征,对所述第一容器的所述访问行为进行安全风险鉴别。2.根据权利要求1所述的方法,其特征在于,所述根据所述第一容器的访问行为特征,对所述第一容器的所述访问行为进行安全风险鉴别,包括:获取根据匹配安全访问行为的容器的访问行为向量构建的安全访问图谱;根据所述第一容器的访问行为的第一特征信息,获取待比对的访问行为向量;获取所述待比对的访问行为向量与所述安全访问图谱中的各访问行为向量的第一相似度;响应于至少一个所述第一相似度满足预设第一相似度条件,根据所述第一容器的访问行为的第二特征信息,对所述第一容器的所述访问行为进行安全风险鉴别;响应于所有所述第一相似度均不满足所述预设第一相似度条件,采用人工方式对所述第一容器的所述访问行为进行安全风险鉴别。3.根据权利要求2所述的方法,其特征在于,所述根据所述第一容器的访问行为的第二特征信息,对所述第一容器的所述访问行为进行安全风险鉴别,包括:根据所述第一容器的访问行为的一项或多项第二特征信息与相应信息阈值的比较结果,对所述第一容器的所述访问行为进行安全风险鉴别,其中,所述第二特征信息包括:访问频率、访问范围、访问行为类别。4.根据权利要求2所述的方法,其特征在于,所述根据所述第一容器的访问行为的第一特征信息,获取待比对的访问行为向量,包括:获取所述第一容器在指定长度时间段内对同一宿主机下其他容器执行的访问行为的行为指令;将行为指令按照相应访问行为的执行时间顺序排列,得到指令序列;对所述指令序列中的行为指令分别进行哈希运算,得到哈希值序列;将得到的哈希值序列,作为待比对的访问行为向量。5.根据权利要求2所述的方法,其特征在于,所述安全访问图谱通过以下方法建立:初始化安全访问图谱;针对匹配安全访问行为的每个容器,依次执行以下安全访问图谱写入操作:根据当前容器的历史访问行为的第一特征信息,获取所述当前容器的访问行为向量;获取所述当前容器的访问行为向量与所述安全访问图谱...
【专利技术属性】
技术研发人员:郭永林,袁奕,王刚,余勇志,刘祎,郑磊,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。