【技术实现步骤摘要】
本专利技术属于信息安全,特别是一种基于linux系统调用的容器可信增强机制。
技术介绍
1、当前计算机领域中,容器技术如docker等已经广泛应用。容器是一种操作系统级的虚拟化技术,它将应用程序及其所有依赖项打包到一个独立、可移植的运行环境中,从而实现了跨平台和快速部署的优势。容器提供了隔离性,每个容器都运行在独立的虚拟环境中,使得不同容器之间的应用程序和资源相互隔离,确保了应用程序的安全性和稳定性。然而,容器技术也面临一些安全挑战和威胁。首先,容器的隔离性并不是绝对的,一些漏洞或配置错误可能导致容器之间的相互影响,进而造成安全漏洞。其次,容器技术的快速部署和启动特性也带来了一定的风险,如果容器中存在未修补的漏洞或恶意软件,它们可以在短时间内快速传播。此外,容器镜像的来源不可靠,可能包含恶意软件或被篡改,这也给容器的安全性带来了潜在威胁。最后,由于容器共享操作系统内核,攻击者可能利用容器逃逸漏洞获取操作系统级别的权限,对整个主机进行攻击。
技术实现思路
1、本专利技术的目的在于针对现如今的容器技术提出一种基于linux系统调用的可信增强机制,通过对linux系统调用编写回调函数的形式对容器的权限控制程序进行保护。利用linux中文件读写的系统调用来监听容器中的敏感操作并且针对敏感操作做出一系列的防御措施。该机制有利于更快以及定制化的实现对于容器运行时可信的验证以及保护工作。
2、实现本专利技术目的的技术解决方案为:一种基于linux系统调用的容器可信增强机制,该机制包括
3、所述内核态监听程序通过在linux系统调用中插入回调函数的方式对敏感操作进行监听,对于不可信的操作进行对应的阻止或写入日志的方式进行处理,从而保证了对于容器内部行为的监听以及保护,保护了容器隔离过程中容器与容器间的独立性;所述用户态激活程序,用于监听程序在用户态下的接口,实现激活启动或关闭所述内核态监听程序。
4、进一步地,所述敏感操作为容器内外恶意程序对敏感文件的操作,包括对敏感文件的修改、删除、复制、移动和重命名。
5、进一步地,所述敏感文件包括自定义设置的:容器中不希望访问到的文件,敏感的容器配置文件以及linux的敏感配置文件。
6、进一步地,所述敏感操作对应的linux系统调用包括:sys_open打开文件并返回一个文件描述符、sys_close关闭文件描述符、sys_read从已打开的文件中读取数据、sys_write向已打开的文件中写入数据、sys_lseek改变文件指针位置、sys_unlink删除指定的文件、sys_rename重命名文件或将文件移动到另一个目录、sys_chmod修改文件的权限、sys_chown修改文件的所有者、sys_stat获取文件的元数据信息、sys_mkdir创建一个新的目录、sys_rmdir删除一个空目录。
7、进一步地,所述在linux系统调用中插入回调函数的具体实现方式为:在系统调用函数的开头插入pre_handler()调用前回调函数,在系统调用的返回语句之前插入post_handler()调用后回调函数。
8、进一步地,所述内核态监听程序,在恶意程序发起系统调用时,通过插入的回调函数,获取所述系统调用过程以及所有涉及到的上下文信息,之后分析上下文信息中的文件信息,若识别到文件信息属于敏感文件,则拦截该次系统调用,返回调用失败信息。
9、进一步地,所述内核态监听程序监测到敏感操作时,将记录其获取到的上下文信息中的调用发起进程的进程控制号pid,并打印到内核日志作为告警信息,之后对于修改pid的行为将进行一系列的阻止。
10、进一步地,所述用户态激活程序采用特定的系统调用sys_bpf与内核态监听程序进行交互,运行之后可启动所述内核态监听程序,同时将用户态参数传递给内核态监听程序;所述用户态激活程序关闭时,会自动关闭所述内核态监听程序。
11、进一步地,所述linux系统调用安全由etcm在系统启动之初进行验证;
12、etcm在系统的启动之初,对系统中的核心配置文件进行验证,详细的验证步骤通过md5散列处理后,利用uart串口通信发送到fpga中,fpga通过对散列处理后的散列值进行sm4对称加密以及sm3散列处理后生成对应的pcr值,与pcr库中可信的pcr值进行比对,对于比对成功的系统进行启动,反之通过uart串口通信阻止其启动。
13、进一步地,linux系统中容器启动安全由vtcm在容器启动过程中进行保证;
14、在容器启动之初,对整个容器的配置文件进行初始化,生成对应的基本配置信息,同时在配置文件中保存在容器中可以信任的硬件信息;
15、在容器再次启动时,将对配置信息进行验证,配置信息通过sm4对称加密以及sm3散列处理后生成对应的pcr值,若配置信息生成的pcr值和pcr库中的pcr值匹配,则容器正常启动,反之容器启动失败。
16、本专利技术与现有技术相比,其显著优点为:与传统的容器监控方法相比,该专利技术提供了一种更加快速以及灵活的容器监听方式,通过插入回调函数的方式可以实现保护者在读取到系统调用后希望的操作。同时通过系统调用的监控,更加全面的获取到容器内部的各种行为,保证了对应的安全性。
17、下面结合附图对本专利技术作进一步详细描述。
本文档来自技高网...【技术保护点】
1.一种基于Linux系统调用的容器可信增强机制,其特征在于,该机制包括:内核态监听程序以及用户态激活程序;
2.根据权利要求1所述的基于Linux系统调用的容器可信增强机制,其特征在于,所述敏感操作为容器内外恶意程序对敏感文件的操作,包括对敏感文件的修改、删除、复制、移动和重命名。
3.根据权利要求2所述的基于Linux系统调用的容器可信增强机制,其特征在于,所述敏感文件包括自定义设置的:容器中不希望访问到的文件,敏感的容器配置文件以及Linux的敏感配置文件。
4.根据权利要求2所述的基于Linux系统调用的容器可信增强机制,其特征在于,所述敏感操作对应的Linux系统调用包括:SYS_open打开文件并返回一个文件描述符、SYS_close关闭文件描述符、SYS_read从已打开的文件中读取数据、SYS_write向已打开的文件中写入数据、SYS_lseek改变文件指针位置、SYS_unlink删除指定的文件、SYS_rename重命名文件或将文件移动到另一个目录、SYS_chmod修改文件的权限、SYS_chown修改文件的所有者、SY
5.根据权利要求1所述的基于Linux系统调用的容器可信增强机制,其特征在于,所述在Linux系统调用中插入回调函数的具体实现方式为:在系统调用函数的开头插入pre_handler()调用前回调函数,在系统调用的返回语句之前插入post_handler()调用后回调函数。
6.根据权利要求2所述的基于Linux系统调用的容器可信增强机制,其特征在于,所述内核态监听程序,在恶意程序发起系统调用时,通过插入的回调函数,获取所述系统调用过程以及所有涉及到的上下文信息,之后分析上下文信息中的文件信息,若识别到文件信息属于敏感文件,则拦截该次系统调用,返回调用失败信息。
7.根据权利要求6所述的基于Linux系统调用的容器可信增强机制,其特征在于,所述内核态监听程序监测到敏感操作时,将记录其获取到的上下文信息中的调用发起进程的进程控制号pid,并打印到内核日志作为告警信息,之后对于修改pid的行为将进行一系列的阻止。
8.根据权利要求1所述的基于Linux系统调用的容器可信增强机制,其特征在于,所述用户态激活程序采用特定的系统调用SYS_bpf与内核态监听程序进行交互,运行之后可启动所述内核态监听程序,同时将用户态参数传递给内核态监听程序;所述用户态激活程序关闭时,会自动关闭所述内核态监听程序。
9.根据权利要求1所述的基于Linux系统调用的容器可信增强机制,其特征在于,所述系统调用安全由eTCM在系统启动之初进行验证;
10.根据权利要求1所述的基于Linux系统调用的容器可信增强机制,其特征在于,Linux系统中容器启动安全由vTCM在容器启动过程中进行保证;
...【技术特征摘要】
1.一种基于linux系统调用的容器可信增强机制,其特征在于,该机制包括:内核态监听程序以及用户态激活程序;
2.根据权利要求1所述的基于linux系统调用的容器可信增强机制,其特征在于,所述敏感操作为容器内外恶意程序对敏感文件的操作,包括对敏感文件的修改、删除、复制、移动和重命名。
3.根据权利要求2所述的基于linux系统调用的容器可信增强机制,其特征在于,所述敏感文件包括自定义设置的:容器中不希望访问到的文件,敏感的容器配置文件以及linux的敏感配置文件。
4.根据权利要求2所述的基于linux系统调用的容器可信增强机制,其特征在于,所述敏感操作对应的linux系统调用包括:sys_open打开文件并返回一个文件描述符、sys_close关闭文件描述符、sys_read从已打开的文件中读取数据、sys_write向已打开的文件中写入数据、sys_lseek改变文件指针位置、sys_unlink删除指定的文件、sys_rename重命名文件或将文件移动到另一个目录、sys_chmod修改文件的权限、sys_chown修改文件的所有者、sys_stat获取文件的元数据信息、sys_mkdir创建一个新的目录、sys_rmdir删除一个空目录。
5.根据权利要求1所述的基于linux系统调用的容器可信增强机制,其特征在于,所述在linux系统调用中插入回调函数的具体实现方式为:在系统调用函数的开头插入pre...
【专利技术属性】
技术研发人员:张春昕,王尧勇,朱嘉励,张功萱,
申请(专利权)人:南京理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。