[发明专利]一种基于云边协同的容器安全管理方法和系统

说明书

本发明公开了一种基于云边协同的容器安全管理方法和系统，属于容器安全技术领域，根据容器类别筛选建模数据，基于规则的分类算法，构建特征规则库，边缘节点通过特征规则库对采用到的系统调用序列进行检测，以实时获得容器的安全状态；特征规则库包含了安全状态的规则，因此对于不符合安全状态规则的系统调用可以判定为异常，可以检测已知和未知的异常状态，提高泛化性；在云节点进行训练，边缘节点执行检测分析，解决边缘节点计算资源有限的问题，实现一次训练，同种容器处处可用的效果。

技术领域

本发明涉及容器安全技术领域，具体涉及一种基于云边协同的容器安全管理方法和系统。

背景技术

云边协同的计算场景中，边缘节点远离云中心的管理，被恶意入侵的可能性增加，而且边缘节点资源受限，更倾向于使用轻量级容器技术，容器共享底层操作系统，隔离性更差，安全威胁更加严重。一般来说，容器的攻击模型主要有三种：①远程攻击容器；②容器攻击主机；③容器攻击容器。也就是说，攻击可能发生在容器集群的外部或者内部。

在基于runC的容器模型下，以Docker容器为例，通过监控宿主机进程或资源的常规手段，难以确切知道运行于该宿主机上的各个容器内部运行了的应用，也难以知道是否有某个Docker容器是否已经被入侵，即其内部正在执行一些异常的操作，例如：SQL注入攻击、执行非法命令、下载和执行恶意代码、往外传输敏感数据等等。

在现有的容器安全管理中，不论是Docker还是Kubernetes默认是通过容器的以下几个主要特性来预防可能产生的容器安全问题：AppArmor/SELinux：其本质是阻止对容器内某些文件系统路径的访问；Seccomp：其本质是过滤了容器对某些系统调用指令的运行，例如，Docker内部默认禁用操作系统300多个系统调用指令中的44个。

但是这些文件系统的过滤和禁止系统调用的方法，存在一定的缺陷性：一方面对正常应用造成了干扰，另一方面入侵应用易绕开过滤或禁用。

发明内容

针对现有技术中存在的上述技术问题，本发明提供一种基于云边协同的容器安全管理方法和系统，通过构建系统调用规则库对容器的系统调用进行监控，以实时检测容器的安全性。

本发明公开了一种基于云边协同的容器安全管理方法，所述方法包括：获取容器的系统调用数据，所述系统调用数据包括系统调用序列；根据容器的类别，从所述系统调用数据中筛选出建模数据；根据所述容器的安全状态和建模数据构建训练集；根据基于规则的分类算法，云节点利用所述训练集进行训练，得到特征规则库；将所述特征规则库下发到边缘节点；边缘节点利用所述特征规则库对采集到的系统调用数据进行分析，获得容器的安全状态。

优选的，建立正常容器分类规则的方法包括：

从建模数据中筛选出正常容器的系统调用序列，并建立正常建模数据集；

基于所述分类算法，利用所述正常建模数据集训练，得到正常特征规则库；

边缘节点利用正常特征库对采集到的系统调用数据进行分析，获得容器的安全状态。

优选的，所述分类算法包括C4.5算法或RIPPER算法。

优选的，本发明的方法还包括根据域值判断容器安全状态的方法；

获取一定时间内系统调用数据的分析结果，安全状态为异常的占比超过域值时，判断容器的安全状态为异常。

优选的，本发明的方法还包括生成告警的方法：

判断边缘节点中的容器安全状态是否异常；

若是，生成告警信息，并将所述告警信息发送给云节点；

所述云节点根据告警信息，执行相应的安全措施。

优选的，建模数据处理的方法包括：