【技术实现步骤摘要】
本申请涉及计算机,具体而言,涉及一种容器逃逸检测方法及装置。
技术介绍
1、虚拟化技术使得信息技术行业能够更好地管理计算资源,利用该技术可以将一台物理计算机虚拟为多个逻辑计算机。虚拟化技术中,最主要的就是虚拟机技术和容器技术,相比于需要占用大量系统资源的虚拟机,容器技术最大的优点就是交付部署便捷、轻量化高性能等,启动一个容器只需要在几秒内就能完成。虽然容器技术具有较高的效率,但由于容器的特性,其面临的安全问题也更严峻,其中,“逃逸问题”最为严重,它直接影响到了承载容器的底层基础设施的机密性、完整性和可用性。现有的容器逃逸检测方法,通过分析容器进程系统调用集合与逃逸行为系统调用集合提取白名单与灰名单,将白名单和灰名单系统调用转化为系统调用过滤规则,基于预处理后的系统调用过滤规则,对系统调用事件进行过滤,根据系统调用类型和参数以及触发进程的信息进行规则匹配,对危险系统调用触发告警;对所有采集到的系统调用信息进行处理,输入至机器学习模型进行逃逸行为检测,以此达到容器逃逸检测的目的。然而,在实践中发现,现有方法无法及时对逃逸行为进行阻断,且仅基于系统调用白名单做行为阻断,误报率高。
技术实现思路
1、本申请实施例的目的在于提供一种容器逃逸检测方法及装置,能够对容器逃逸行为进行准确高效、多维度的检测,并做到实时性阻断,以保护容器运行时的安全性与可靠性。
2、本申请第一方面提供了一种容器逃逸检测方法,包括:
3、根据预设观测点在待检测的内核空间中预先配置用于检测容器逃逸
4、通过所述ebpf程序在所述预设观测点处进行信息采集,得到关键信息;
5、根据所述关键信息和预设的异常检测规则进行容器逃逸检测,得到检测结果;
6、根据所述检测结果判断是否存在容器逃逸行为;
7、如果是,根据所述检测结果执行异常进程中断操作,并将所述进程信息传递给用户空间程序,以使所述用户空间程序将所述进程信息写入日志。
8、在上述实现过程中,该方法根据预设观测点在待检测的内核空间中预先配置用于检测容器逃逸的ebpf程序;可见,该方法可以基于预设的观测点来获取指定的信息,从而避免对冗余信息进行收集,进而避免收集冗余信息所造成的资源浪费问题出现;同时,通过该预设的观测点来获取信息还能够避免有效信息收集不足所造成的检测准确性低的问题,从而便于更准确的对容器逃逸进行检测分析。然后,该方法可以通过ebpf程序在预设观测点处进行信息采集,得到包括进程信息、系统调用信息、文件打开和目录挂载信息等关键信息,从而通过该些关键信息更好的辅助后续步骤对容器逃逸行为进行准确的检测。再后,该方法根据关键信息和预设的异常检测规则进行容器逃逸检测,得到检测结果;并根据检测结果判断是否存在容器逃逸行为;再在存在容器逃逸行为时,根据检测结果执行异常进程中断操作,并将进程信息传递给用户空间程序,以使用户空间程序将进程信息写入日志。可见,该方法能够在检测容器逃逸行为的同时确定此时正在发生的具体情况,从而使得该方法能够在确定容器逃逸行为存在时,立刻针对该具体情况对进程进行实时阻断,进而实现准确识别和实时阻断的效果;另外,该方法还能够实时记录并告知用户此次阻断结果,从而使得用户或系统可以对其进行进一步识别与处理,进而保障系统应用的安全性。
9、进一步地,所述根据预设观测点在待检测的内核空间中预先配置用于检测容器逃逸的ebpf程序,包括:
10、获取用于检测容器逃逸的ebpf程序;
11、调用所述ebpf程序,并将所述ebpf程序加载至内核空间的预设观测点处;其中,所述内核观测点至少包括sched_process_exec、sys_enter以及file_open。
12、在上述实现过程中,该方法可以通过该些内核观测点的设置实现对容器关键行为的全方面监控。
13、进一步地,所述关键信息至少包括进程信息、系统调用信息、文件打开及目录挂载信息。
14、在上述实现过程中,该方法可以更有针对性的获取系统中当前运行进程及其父进程的指定信息,从而避免冗余信息的获取,提高信息获取的精确度。
15、进一步地,所述根据所述关键信息和预设的异常检测规则进行容器逃逸检测,得到检测结果,包括:
16、根据所述关键信息获取系统中的当前运行进程以及所述当前运行进程对应父进程的指定信息;
17、根据所述父进程的指定信息判断所述当前运行进程是否为容器内进程;
18、如果是,则根据预设的异常检测规则对所述进程信息进行检测,得到检测结果。
19、在上述实现过程中,该方法可以响应于当前进程为容器内进程,并使用预置的异常检测规则对进程信息进行检测,从而以此来准确确认进程是否发生了逃逸。
20、进一步地,所述方法还包括:
21、根据预先配置的镜像检测扫描工具进行扫描处理,得到扫描结果;
22、根据所述扫描结果执行容器防护操作;其中,所述容器防护操作至少包括限制特定文件的访问操作以及限制特定目录的挂载操作。
23、在上述实现过程中,该方法可以根据trivy等镜像检测扫描工具的运行结果,从而对容器可能面临的风险进行特殊化防护,进而实现更好的系统保护效果。
24、本申请第二方面提供了一种容器逃逸检测装置,所述容器逃逸检测装置包括:
25、配置单元,用于根据预设观测点在待检测的内核空间中预先配置用于检测容器逃逸的ebpf程序;
26、采集单元,用于通过所述ebpf程序在所述预设观测点处进行信息采集,得到关键信息;
27、检测单元,用于根据所述关键信息和预设的异常检测规则进行容器逃逸检测,得到检测结果;
28、判断单元,用于根据所述检测结果判断是否存在容器逃逸行为;
29、执行单元,用于当判断出存在容器逃逸行为时,根据所述检测结果执行异常进程中断操作,并将所述进程信息传递给用户空间程序,以使所述用户空间程序将所述进程信息写入日志。
30、进一步地,所述配置单元包括:
31、获取子单元,用于获取用于检测容器逃逸的ebpf程序;
32、调用子单元,用于调用所述ebpf程序,并将所述ebpf程序加载至内核空间的预设观测点处;其中,所述内核观测点至少包括sched_process_exec、sys_enter以及file_open。
33、进一步地,所述关键信息至少包括进程信息、系统调用信息、文件打开及目录挂载信息。
34、进一步地,所述检测单元包括:
35、获取子单元,用于根据所述关键信息获取系统中的当前运行进程以及所述当前运行进程对应父进程的指定信息;
36、判断子单元,用于根据所述父进程的指定信息判断所述当前运行进程是否为容器内进程;
37、检测子单元,用于当判断出所述当前运行进程为容器内进程时,则根据预设本文档来自技高网...
【技术保护点】
1.一种容器逃逸检测方法,其特征在于,包括:
2.根据权利要求1所述的容器逃逸检测方法,其特征在于,所述根据预设观测点在待检测的内核空间中预先配置用于检测容器逃逸的eBPF程序,包括:
3.根据权利要求1所述的容器逃逸检测方法,其特征在于,所述关键信息至少包括进程信息、系统调用信息、文件打开及目录挂载信息。
4.根据权利要求1所述的容器逃逸检测方法,其特征在于,所述根据所述关键信息和预设的异常检测规则进行容器逃逸检测,得到检测结果,包括:
5.根据权利要求1所述的容器逃逸检测方法,其特征在于,所述方法还包括:
6.一种容器逃逸检测装置,其特征在于,所述容器逃逸检测装置包括:
7.根据权利要求6所述的容器逃逸检测装置,其特征在于,所述配置单元包括:
8.根据权利要求6所述的容器逃逸检测装置,其特征在于,所述检测单元包括:
9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至5中任一项所述
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至5任一项所述的容器逃逸检测方法。
...【技术特征摘要】
1.一种容器逃逸检测方法,其特征在于,包括:
2.根据权利要求1所述的容器逃逸检测方法,其特征在于,所述根据预设观测点在待检测的内核空间中预先配置用于检测容器逃逸的ebpf程序,包括:
3.根据权利要求1所述的容器逃逸检测方法,其特征在于,所述关键信息至少包括进程信息、系统调用信息、文件打开及目录挂载信息。
4.根据权利要求1所述的容器逃逸检测方法,其特征在于,所述根据所述关键信息和预设的异常检测规则进行容器逃逸检测,得到检测结果,包括:
5.根据权利要求1所述的容器逃逸检测方法,其特征在于,所述方法还包括:
6.一种容器逃逸检测装...
【专利技术属性】
技术研发人员:袁子昕,李硕,严飞,李玮,
申请(专利权)人:北京天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。