[发明专利]一种容器内进程、文件和网络访问控制方法

权利要求书

1.一种容器内进程、文件和网络访问控制方法，其特征在于，包括以下步骤：

S1：在宿主机上创建动态共享库程序；

S2：在所述宿主机上安装探针容器，并通过所述探针容器将所述动态共享库程序放入所述宿主机上需要监控的业务容器中；

S3：部署安全运营平台，并使所述安全运营平台与所述探针容器保持通信，安全运营人员通过所述安全运营平台动态配置安全策略，将需要阻断的进程名、文件访问、网络连接下发到所述探针容器；

S4：所述探针容器根据所述安全运营平台下发的安全策略，进行配置动态共享库文件、安全规则文件并监控回执管道文件；

S5：所述宿主机上需要监控的业务容器内的行为触发所述安全策略后，把事件记录写入管道，所述探针容器监听到事件发生，向所述安全运营平台上报容器安全事件，所述安全运营平台显示告警。

2.根据权利要求1所述的容器内进程、文件和网络访问控制方法，其特征在于，在步骤S1中，所述动态共享库程序为通过C语言编写的一个动态库文件，该动态库文件记为lib.so，该动态库文件HOOK了libc库的函数。

3.根据权利要求2所述的容器内进程、文件和网络访问控制方法，其特征在于，在步骤S1中，所述宿主机的数量可以为多台，在每台所述宿主机上均创建所述动态共享库程序。

4.根据权利要求3所述的容器内进程、文件和网络访问控制方法，其特征在于，在步骤S2中，在每台所述宿主机上均安装所述探针容器，且每台所述宿主机上创建的所述动态共享库程序和安装的所述探针容器同时发布。

5.根据权利要求4所述的容器内进程、文件和网络访问控制方法，其特征在于，在步骤S3中，所述安全运营平台为所述探针容器的管理系统，安全运营人员可以通过浏览器访问所述安全运营平台，然后通过与所述浏览器交互的方式配置所述安全策略。

6.根据权利要求5所述的容器内进程、文件和网络访问控制方法，其特征在于，在步骤S3中，所述安全运营平台可以以部署在容器的方式部署在集群内，也可以直接部署在物理服务器上。