本申请公开了一种探针部署方法及装置,涉及网络安全技术领域,主要目的在于降低探针部署对容器镜像的侵入性;主要技术方案包括:响应于检测到容器镜像启动预设容器进程,拦截所述预设容器进程;在拦截的预设容器进程对应的进程参数中添加待部署探针的位置信息;释放拦截的预设容器进程,以使所述预设容器进程在启动过程中基于所述位置信息在所述容器镜像所属的容器内部署所述待部署探针。属的容器内部署所述待部署探针。属的容器内部署所述待部署探针。
【技术实现步骤摘要】
一种探针部署方法及装置
[0001]本申请涉及网络安全
,特别是涉及一种探针部署方法及装置。
技术介绍
[0002]目前,为了提高容器抵御外部攻击的能力,通常会在容器中部署诸如RASP(Runtime application self
‑
protection,运行时自我保护)等用于实现容器安全防护的探针。
[0003]现有的探针部署技术主要是将探针放置到容器所基于的容器镜像中,对容器镜像存在侵入性。因此,如何降低探针部署对容器镜像的侵入性成为目前亟需解决的问题。
技术实现思路
[0004]有鉴于此,本申请提出了一种探针部署方法及装置,主要目的在于降低探针部署对容器镜像的侵入性。
[0005]为了达到上述目的,本申请主要提供了如下技术方案:
[0006]第一方面,本申请提供了一种探针部署方法,该探针部署方法包括:
[0007]响应于检测到容器镜像启动预设容器进程,拦截所述预设容器进程;
[0008]在拦截的预设容器进程对应的进程参数中添加待部署探针的位置信息;
[0009]释放拦截的预设容器进程,以使所述预设容器进程在启动过程中基于所述位置信息在所述容器镜像所属的容器内部署所述待部署探针。
[0010]在本申请一些实施例中,在拦截的预设容器进程对应的进程参数中添加待部署探针的位置信息,包括:将所述待部署探针添加至所述容器镜像所属的容器对应的文件系统;确定所述待部署探针在所述文件系统中的位置对应的位置信息;将所述位置信息添加至所述进程参数。
[0011]在本申请一些实施例中,将所述待部署探针添加至所述容器镜像所属的容器对应的文件系统,包括:确定所述文件系统对应的文件系统目录;基于所述文件系统目录确定所述待部署探针在所述文件系统中的添加位置;基于所述添加位置对应的位置信息向所述文件系统添加所述待部署探针。
[0012]在本申请一些实施例中,确定所述文件系统对应的文件系统目录,包括:从用于部署容器的容器节点的内核中,获取所述预设容器进程对应的进程标识;通过容器运行时组件,基于所述进程标识,确定启动所述预设容器进程的容器镜像所属的容器;其中,所述容器运行时组件用于触发所述容器镜像启动所述预设容器进程,且在启动所述预设容器进程后维护所述预设容器进程、所述预设容器进程的进程标识以及所述容器镜像所属的容器之间的对应关系;确定所述容器的文件系统对应的文件系统目录。
[0013]在本申请一些实施例中,所述位置信息包括指向地址,将所述位置信息添加至所述进程参数,包括:在所述预设容器进程所属的容器所处的容器节点的内核中定位所述进程参数;在所述进程参数中的指定位置添加所述指向地址。
[0014]在本申请一些实施例中,在拦截所述预设容器进程之后,该探针部署方法还包括:判断所述容器镜像所属的容器是否需要部署所述待部署探针;若判定需要部署所述待部署探针,则转入执行在拦截的预设容器进程对应的进程参数中添加待部署探针的位置信息的步骤。
[0015]在本申请一些实施例中,判断所述容器镜像所属的容器是否需要部署所述待部署探针,包括:检测所述容器镜像对应的镜像标识是否存在于部署名单,或,非部署名单;若确定所述镜像标识存在于所述部署名单,或不存在于所述非部署名单,则判定需要部署所述待部署探针。
[0016]在本申请一些实施例中,判断所述容器镜像所属的容器是否需要部署所述待部署探针,包括:分析所述容器镜像的属性信息,确定所述容器镜像所属的容器的业务用途;若确定所述业务用途为指定用途,则判定需要部署所述待部署探针。
[0017]在本申请一些实施例中,该探针部署方法还包括:若判定不需要部署所述待部署探针,则释放拦截的所述预设容器进程,以使所述预设容器进程启动所述容器镜像所属的容器。
[0018]在本申请一些实施例中,该探针部署方法还包括:监控指定容器命名空间内的预设容器进程;其中,所述指定容器命名空间用于维护已创建容器所基于的容器镜像对应的预设容器进程;若监测到所述指定容器命名空间内中的预设容器进程被启动,则检测到所述容器镜像启动所述预设容器进程。
[0019]在本申请一些实施例中,拦截所述预设容器进程,包括:在所述指定容器命名空间对应的容器节点的内核中拦截所述预设容器进程。
[0020]在本申请一些实施例中,该探针部署方法还包括:确定所述待部署探针的运行参数;其中,所述运行参数用于指示所述待部署探针在所述容器镜像所属的容器中的运行动作;在拦截的预设容器进程对应的进程参数中添加所述运行参数,以使所述待部署探针在所述容器镜像所属的容器中部署后,在所述容器执行所述运行参数指示的运行动作。
[0021]在本申请一些实施例中,若所述待部署探针为用于实现容器安全防护的探针,则确定所述待部署探针的运行参数,包括:基于所述容器镜像所属的容器对应的安全防护要求,确定运行参数;其中,所述运行参数是用于指示所述待部署探针在对应的时间段执行对应的第一安全防护操作的安全防护参数,和/或,所述运行参数是用于指示所述待部署探针执行无时间限制的第二安全防护操作的安全防护参数。
[0022]第二方面,本申请提供了一种探针部署装置,该探针部署装置包括:
[0023]内核态模块,用于响应于检测到容器镜像启动预设容器进程,拦截所述预设容器进程;在拦截的预设容器进程对应的进程参数中添加待部署探针的位置信息;释放拦截的预设容器进程,以使所述预设容器进程在启动过程中基于所述位置信息在所述容器镜像所属的容器内部署所述待部署探针。
[0024]第三方面,本申请提供了一种计算机可读存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行第一方面的探针部署方法。
[0025]第四方面,本申请提供了一种电子设备,所述电子设备包括:存储器,用于存储程序;处理器,耦合至所述存储器,用于运行所述程序以执行第一方面的探针部署方法。
[0026]本申请提供的探针部署方法及装置,响应于检测到容器镜像启动预设容器进程,
拦截预设容器进程,并在拦截的预设容器进程对应的进程参数中添加待部署探针的位置信息。然后在添加位置信息之后,释放拦截的预设容器进程,以使预设容器进程在启动过程中基于位置信息在容器镜像所属的容器内部署待部署探针。这样,无需将探针放置到容器镜像中,通过在容器镜像启动的预设容器进程的进程参数中添加待部署探针的位置信息的方式,便可在预设容器进程启动过程中在容器内完成探针部署,因此能够降低探针部署对容器镜像的侵入性。
[0027]上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
[0028]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种探针部署方法,其特征在于,所述方法包括:响应于检测到容器镜像启动预设容器进程,拦截所述预设容器进程;在拦截的预设容器进程对应的进程参数中添加待部署探针的位置信息;释放拦截的预设容器进程,以使所述预设容器进程在启动过程中基于所述位置信息在所述容器镜像所属的容器内部署所述待部署探针。2.根据权利要求1所述的方法,其特征在于,在拦截的预设容器进程对应的进程参数中添加待部署探针的位置信息,包括:将所述待部署探针添加至所述容器镜像所属的容器对应的文件系统;确定所述待部署探针在所述文件系统中的位置对应的位置信息;将所述位置信息添加至所述进程参数。3.根据权利要求2所述的方法,其特征在于,将所述待部署探针添加至所述容器镜像所属的容器对应的文件系统,包括:确定所述文件系统对应的文件系统目录;基于所述文件系统目录确定所述待部署探针在所述文件系统中的添加位置;基于所述添加位置对应的位置信息向所述文件系统添加所述待部署探针。4.根据权利要求3所述的方法,其特征在于,确定所述文件系统对应的文件系统目录,包括:从用于部署容器的容器节点的内核中,获取所述预设容器进程对应的进程标识;通过容器运行时组件,基于所述进程标识,确定启动所述预设容器进程的容器镜像所属的容器;其中,所述容器运行时组件用于触发所述容器镜像启动所述预设容器进程,且在启动所述预设容器进程后维护所述预设容器进程、所述预设容器进程的进程标识以及所述容器镜像所属的容器之间的对应关系;确定所述容器的文件系统对应的文件系统目录。5.根据权利要求2所述的方法,其特征在于,所述位置信息包括指向地址,将所述位置信息添加至所述进程参数,包括:在所述预设容器进程所属的容器所处的容器节点的内核中定位所述进程参数;在所述进程参数中的指定位置添加所述指向地址。6.根据权利要求1
‑
5中任意一项所述的方法,其特征在于,在拦截所述预设容器进程之后,所述方法还包括:判断所述容器镜像所属的容器是否需要部署所述待部署探针;若判定需要部署所述待部署探针,则转入执行在拦截的预设容器进程对应的进程参数中添加待部署探针的位置信息的步骤。7.根据权利要求6所述的方法,其特征在于,判断所述容器镜像所属的容器是否需要部署所述待部署探针,包括:检测所述容器镜像对应的镜像标识是否存在于部署名单,或,非部署名单;若确定所述镜像标识存在于所述部署名单,或不存在于所述非部署名单,则判定需要部署所述待部署探针。8.根据权利要求6所述的方法,其特征在于,判断所述容器镜像所属的容器是否需要部署所述待部署探针,包括:
分析所述容器镜像的属性信息...
【专利技术属性】
技术研发人员:刘浩,冯顾,朱鹏飞,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。