[发明专利]容器的入侵检测方法、装置、电子设备及存储介质

说明书

本申请公开一种容器的入侵检测方法、装置、电子设备及存储介质，该方法包括：获取宿主机上进程与各容器内进程的映射关系表征数据，根据映射关系表征数据，确定宿主机上与各容器内进程具有映射关系的进程，从宿主机上与各容器内进程具有映射关系的进程中，筛选与各容器内有对外开放监听端口的进程具有映射关系的进程，根据与各容器内有对外开放监听端口的进程具有映射关系的进程，确定审计进程，进而监测每个审计进程的行为数据，根据监测到的行为数据确定该审计进程是否入侵对应容器。这样，仅对确定的审计进程进行行为监测，监测数据和分析数据都大幅减少，因此，能够节省系统资源。另外，入侵检测的实时性和追溯性也都比较好。

技术领域

本申请涉及网络安全技术领域，尤其涉及容器的入侵检测方法、装置、电子设备及存储介质。

背景技术

容器技术可以把应用的运行环境和程序打包在一起，消除编译、打包与部署、运维之间的鸿沟，提高应用开发效率。然而，容器生命周期中存在诸多安全问题，因此，对容器进行入侵检测成为一种通用需求。

相关技术中，采用文件扫描、日志监控等技术对容器进行入侵检测，这些技术需要在已扫描大量文件和已产生大量日志的前提下，通过制定一系列过滤规则来发现进程对容器的入侵行为，实际上进行了很多冗余的扫描操作和日志捕获操作，比较浪费系统资源，并且，这种入侵检测方式属于事后检测，实时性比较低。

发明内容

本申请实施例提供容器的入侵检测方法、装置、电子设备及存储介质，用以解决现有技术中的容器检测技术存在的浪费系统资源、实时性比较低的问题。

第一方面，本申请实施例提供一种容器的入侵检测方法，包括：

获取宿主机上进程与各容器内进程的映射关系表征数据；

根据所述映射关系表征数据，确定所述宿主机上与各容器内进程具有映射关系的进程；

从所述宿主机上与各容器内进程具有映射关系的进程中，筛选与各容器内有对外开放监听端口的进程具有映射关系的进程；

根据与各容器内有对外开放监听端口的进程具有映射关系的进程，确定审计进程；

监测每个所述审计进程的行为数据，根据所述行为数据确定所述审计进程是否入侵对应容器。

在一种可能的实施方式中，从所述宿主机上与各容器内进程具有映射关系的进程中，筛选与各容器内有对外开放监听端口的进程具有映射关系的进程，包括：

对所述宿主机上与任一容器内进程具有映射关系的每个进程，获取所述进程当前打开的套接字文件描述符的文件标识，并从所述进程的网络连接文件中获取所述容器内目标端口的监听信息，所述目标端口是指所述容器内与所述宿主机上的监听端口具有映射关系的监听端口；

根据所述容器内目标端口的监听信息和所述进程当前打开的套接字文件描述符的文件标识，确定所述进程是否是与所述容器内有对外开放监听端口的进程具有映射关系的进程。

在一种可能的实施方式中，获取所述进程当前打开的套接字文件描述符的文件标识，包括：

从所述进程当前打开的所有文件描述符中筛选套接字文件描述符；

获取筛选出的套接字文件描述符的文件标识。

在一种可能的实施方式中，根据所述容器内目标端口的监听信息和所述进程当前打开的套接字文件描述符的文件标识，确定所述进程是否是与所述容器内有对外开放监听端口的进程具有映射关系的进程，包括：

若确定所述容器内任一目标端口的监听信息表示所述目标端口处于被监听状态，则获取所述目标端口对应的套接字文件描述符的文件标识；