【技术实现步骤摘要】
【国外来华专利技术】
本公开总体上涉及微服务计算环境中的入侵检测。
技术介绍
1、如今,应用开发者经常将大型分布式系统拆分成通信传送的“微服务”,这些微服务全部在例如容器编排引擎(coe)(诸如kubernetes、docker swarm或openshift)内并行运行。每个编排引擎提取包含应用、其依赖性以及分层文件系统中的小操作系统(os)分布的镜像,并且其在硬件节点上创建其自身的命名空间内的进程。
2、引用监视连续地检查程序的执行以检查偏离引用策略的任何行为。引用策略总结了运营商在正常执行时可预期观察到的程序的行为。如果对手以某种方式劫持程序,则任何恶意行为应该偏离引用策略,并且生成针对操作者的警报,或终止被危害的程序。存在用于在操作系统中的各进程上执行策略的许多引用监视器,但是最近对微服务的采用(其中开发者跨服务网格编写大型分布式应用)需要新颖的方法来引用超出在现有操作系统内核中找到的能力的监视,或基于编译器的方法。云操作者和个体安全供应商已经开始提供构建在细粒度容器遥测之上的异常检测服务,但是这些方法通常需要显著的人工专业知识来强制实施...
【技术保护点】
1.一种用于容器环境中的自动安全策略合成和使用的方法,包括:
2.根据权利要求1所述的方法,其中,通过分析在微执行所述程序期间发现的一个或多个系统调用及其参数来标识所述程序的所述预期交互。
3.根据权利要求2所述的方法,其中,所述安全策略嵌入至少一个系统调用参数。
4.根据权利要求1所述的方法,还包括对指定外部库函数的行为的应用二进制接口(ABI)建模,并且在所述程序的微执行期间,生成执行所述外部库函数的效果而无需其微执行。
5.根据权利要求1所述的方法,其中,当所述程序微执行时,访问所述容器镜像中标识的一个或多个资源。
6.根...
【技术特征摘要】
【国外来华专利技术】
1.一种用于容器环境中的自动安全策略合成和使用的方法,包括:
2.根据权利要求1所述的方法,其中,通过分析在微执行所述程序期间发现的一个或多个系统调用及其参数来标识所述程序的所述预期交互。
3.根据权利要求2所述的方法,其中,所述安全策略嵌入至少一个系统调用参数。
4.根据权利要求1所述的方法,还包括对指定外部库函数的行为的应用二进制接口(abi)建模,并且在所述程序的微执行期间,生成执行所述外部库函数的效果而无需其微执行。
5.根据权利要求1所述的方法,其中,当所述程序微执行时,访问所述容器镜像中标识的一个或多个资源。
6.根据权利要求1所述的方法,其中,在二进制分析之前,所述程序被提升为保留基础指令集架构(isa)的语义的中间表示。
7.根据权利要求6所述的方法,其中,微执行所述程序执行所述中间表示。
8.一种装置,包括:
9.根据权利要求8所述的装置,其中,所述程序的所述预期交互由程序代码标识,所述程序代码被配置为分析在微执行所述程序期间发现的一个或多个系统调用及其参数。
10.根据权利要求9所述的装置,其中,所述安全策略嵌入至少一个系统调用参数。
11.根据权利要求8所述的装置,还包括用于对应用二进制接口(abi)建模的程序代码,所述abi指定外部库函数的行为,并且其中,在所述程序的微执行期间,所述程序代码还被配置为生成执行所述外部库函数而不需要其微执行的效果。
12.根据权利要求8所述的装置,其中,当所述程序微执行时,...
【专利技术属性】
技术研发人员:F·阿劳约,W·布莱尔,T·P·泰勒,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。