【技术实现步骤摘要】
本专利技术涉及信息安全、虚拟化,涉及针对微服务项目中的容器集群环境下的风险分析与漏洞评估方法及装置。
技术介绍
1、在虚拟化技术不断发展的今天,容器技术愈发成熟。容器具有启动快速、部署方便、资源占用少和运行效率高等优点,被开发人员和组织广泛使用。portworx在2019年的容器年度调查报告显示,超过87%的it专业人员在使用容器技术;在容器中运行的应用程序,近90%已经在生产环境中投入使用。与系统虚拟化类似,容器提供了一个隔离的运行时环境和简单的方法来打包和部署应用程序的许多实例。容器是一个标准的软件单元,它包装了支持目标应用程序所需的系统库、文件和代码,以便应用程序从一个计算环境快速可靠地运行到另一个计算环境,方便模块化以及产业化,便于开发、交付和部署。
2、容器环境改变了软件供应链的生态,加快了应用程序的开发流程。但由于第三方容器和开源代码的使用,大量漏洞被引入容器环境中。在采用docker技术时,容器镜像中的安全漏洞是关键考虑因素,因为漏洞的利用会对容器化软件的机密性、完整性和可用性产生负面影响。在redhat的报告中,开发人员将漏洞管理列为建立可靠容器环境的首要问题。容器化软件中的漏洞管理包括多个步骤,例如漏洞的检测、评估、优先级排序和修复。漏洞评估和优先级划分是漏洞管理的关键步骤之一,其中包括确定可利用性特征,例如攻击者的技能成熟度、攻击发起位置(例如,外部网络或本地网络)、攻击要求(例如,关于容器的权限要求或交互要求)等。
3、公开号为cn113111353a的专利文献提供了一种基于依赖关系
4、公开号cn114780965a的专利文献给出了一种漏洞修复优先级评估方法与系统,包括同时考虑待测漏洞的漏洞利用成熟度、漏洞影响范围和漏洞修复难易度,再结合通用漏洞评分系统重新评定风险值;依据重新评定的漏洞风险值、漏洞所在网络环境以及所在资产的重要性计算出最终的风险评分;按照最终的风险评分,结合待测漏洞在不同资产上的情况评估出待测漏洞的修复优先级。
5、虽然针对容器镜像的漏洞评估已经取得了一定的成果,但在集群环境下漏洞的评估检测仍然存在以下两点缺陷:
6、(1)在集群内,各容器之间存在功能依赖关系,部分容器需要基于父级容器才可以起作用,需加以考虑才能更好的评估容器的安全性以进行漏洞管理。
7、(2)目前对于漏洞的严重性评估,没有考虑集群下多容器间的同一漏洞的优先级评估结果,对于集群下的环境信息考虑的不全面。
技术实现思路
1、针对现在技术存在的不足之处,本申请实施例的目的是提供一种在容器集群环境下的风险分析及漏洞评估方法,以解决同一集群内部不同容器间的漏洞修复优先级难以评估的问题。
2、根据本申请实施例的第一方面,提供一种基于环境感知的容器集群风险分析与漏洞评估方法,包括:
3、收集容器集群开源项目,对所述容器集群开源项目进行分析,获取配置信息与漏洞脆弱性评估指标的关系并构建数据集,利用所述数据集训练卷积神经网络模型;
4、加载集群配置环境,并基于规则提取集群内元数据,提取集群内部容器之间的网络通讯关系和功能依赖关系保存为系统架构特征;
5、扫描集群内各容器镜像所包含的漏洞,并获取漏洞脆弱性特征,所述漏洞脆弱性特征包括通用脆弱性评估指标、漏洞利用性子评分、漏洞影响性子评分、漏洞利用成熟度、补丁发布情况;
6、利用训练好的神经网络模型对漏洞在容器集群环境下进行分析,结合系统架构特征与漏洞脆弱性特征评估在资源约束的情况下集群漏洞的修复优先级排名。
7、可选的,收集容器集群开源项目,对所述容器集群开源项目进行分析,获取配置信息与漏洞脆弱性评估指标的关系并构建数据集,利用所述数据集训练卷积神经网络模型,包括:
8、借助github公开数据平台,收集与docker compose有关的开源项目,以commits为标准过滤玩具项目,提高所收集项目的代表性;
9、分析集群项目中的配置文件,以通用漏洞脆弱性评估指标分别构建用于神经网络训练的数据集,其中包括攻击矢量、攻击复杂度、权限需求、用户交互;
10、构建卷积神经网络模型,利用所述数据集,针对通用脆弱性评估指标训练多组卷积神经网络模型。
11、可选的,加载集群配置环境,并基于规则提取集群内元数据,提取集群内部容器之间的网络通讯关系和功能依赖关系保存为系统架构特征,包括:
12、通过语法树解析与正则化提取集群中单个容器的配置信息,所述配置信息包括容器镜像源、网络模式、容器依赖;
13、通过递归查询容器依赖信息获得集群内部容器的功能依赖特征,基于网络模式提取集群的网络依赖特征,保存为系统架构特征。
14、可选的,扫描集群内各容器镜像所包含的漏洞,并获取漏洞脆弱性特征,包括:
15、通过容器镜像内部操作系统软件包的版本与公共漏洞数据源进行比较,获得镜像内部的cve漏洞清单;
16、调用美国国家通用漏洞数据库nvd和exploit-db公共漏洞数据库的api,查询所述漏洞清单的脆弱性相关特征。
17、可选的,利用训练好的神经网络模型对漏洞在容器集群环境下进行分析,结合系统架构特征与漏洞脆弱性特征评估在资源约束的情况下集群漏洞的修复优先级排名,包括:
18、利用训练好的神经网络模型,以容器集群环境为输入,映射通用脆弱性评估指标的阈值,获得集群环境下的通用脆弱性评估指标值,进而计算集群环境下漏洞利用性子评分,更新漏洞脆弱性特征;
19、以系统架构特征与漏洞脆弱性特征计算漏洞的修复成本和风险分数,以可利用的修复成本为约束条件,以集群系统风险分数为依据评估集群漏洞的修复优先级排名。
20、根据本申请实施例的第二方面,提供一种基于环境感知的容器集群风险分析与漏洞评估系统,包括:
21、数据收集和模型训练模块,用于收集容器集群开源项目,对所述容器集群开源项目进行分析,获取配置信息与漏洞脆弱性评估指标的关系并构建数据集,利用所述数据集训练卷积神经网络模型;
22、环境感知模块,用于加载集群配置环境,并基于规则提取集群内元数据,基于集群内部容器之间的网络通讯关系和功能依赖关系生成抽象模型保存为系统架构特征;
23、漏洞扫描模块,用于扫描集群内各容器镜像所包含的漏洞,并获取漏洞脆弱性特征,其中包括通用脆弱性评估指标、漏洞利用性子评分、漏洞影响性子评分、漏洞利用成熟度、补丁发布情况;
24、风险分析模块,用于利用训练好的神经网络模型对漏洞在容器集群环境下进行分析,结合系统架构特征与漏洞脆弱性特征评估在资源约束的情况下集群漏洞的修复优先级排名。
25、根据本申请实施例的第三方面,本文档来自技高网...
【技术保护点】
1.一种基于环境感知的容器集群风险分析与漏洞评估方法,其特征在于,包括;
2.根据权利要求1所述的方法,其特征在于,收集容器集群开源项目,对所述容器集群开源项目进行分析,获取配置信息与漏洞脆弱性评估指标的关系并构建数据集,利用所述数据集训练卷积神经网络模型,包括:
3.根据权利要求1所述的方法,其特征在于,加载集群配置环境,并基于规则提取集群内元数据,提取集群内部容器之间的网络通讯关系和功能依赖关系保存为系统架构特征,包括:
4.根据权利要求1所述的方法,其特征在于,扫描集群内各容器镜像所包含的漏洞,并获取漏洞脆弱性特征,包括:
5.根据权利要求1所述的方法,其特征在于,利用训练好的神经网络模型对漏洞在容器集群环境下进行分析,结合系统架构特征与漏洞脆弱性特征评估在资源约束的情况下集群漏洞的修复优先级排名,包括:
6.一种基于环境感知的容器集群风险分析与漏洞评估系统,其特征在于,包括:
7.一种电子设备,其特征在于,包括:
8.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器
...【技术特征摘要】
1.一种基于环境感知的容器集群风险分析与漏洞评估方法,其特征在于,包括;
2.根据权利要求1所述的方法,其特征在于,收集容器集群开源项目,对所述容器集群开源项目进行分析,获取配置信息与漏洞脆弱性评估指标的关系并构建数据集,利用所述数据集训练卷积神经网络模型,包括:
3.根据权利要求1所述的方法,其特征在于,加载集群配置环境,并基于规则提取集群内元数据,提取集群内部容器之间的网络通讯关系和功能依赖关系保存为系统架构特征,包括:
4.根据权利要求1所述的方法,其特征在于,扫描集群内各容...
【专利技术属性】
技术研发人员:王文海,张泽源,刘沛宇,叶童,付丽嫆,
申请(专利权)人:浙江大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。