[发明专利]一种容器安全检测方法及检测装置

说明书

本申请公开了一种容器安全检测方法及检测装置，涉及容器安全领域，包括以下步骤：获取容器进程执行系统预先挂钩的函数生成的目标信息并存表；获取对系统内的vDSO内容进行分析得到的反弹shell中的ip地址，并判断ip地址是否为容器地址；若是则判定ip地址对应的容器发生逃逸，若否则根据预设的查询条件查询表以确定发生逃逸的容器。本申请不依赖于内核版本，也不需要重新编译内核模块，对系统的兼容性比较广，同时能够识别出正在进行vDSO逃逸的容器，并对其进行关停处置，稳定高效，且提高了系统安全性。

技术领域

本申请涉及容器安全领域，尤其涉及一种容器安全检测方法及检测装置。

背景技术

在现代Linux架构中，每当内核加载一个ELF可执行程序时，内核都会在其进程地址空间中建立一个叫做vDSO mapping的内存区域，其中，vDSO是virtual dynamic sharedobject的缩写，表示这段mapping实际包含的是一个ELF共享目标文件，也就是俗称的.so。利用vDSO实行进程逃逸的行为称为vDSO逃逸，是近年来新提出的一种逃逸方式，对容器安全影响较大，且目前没有较好的检测方法。

发明内容

本申请提供的一种容器安全检测方法，旨在解决现有技术中不能稳定高效检测出vDSO逃逸，并阻断产生逃逸行为的容器的问题。

为实现上述目的，本申请采用以下技术方案：

本申请的一种容器安全检测方法，包括以下步骤：

获取容器进程执行系统预先挂钩的函数生成的目标信息并存表；

获取对系统内的vDSO内容进行分析得到的反弹shell中的ip地址，并判断所述ip地址是否为容器地址；

若是则判定所述ip地址对应的容器发生逃逸，若否则根据预设的查询条件查询所述表以确定发生逃逸的容器。

作为优选，所述系统预先挂钩的函数包括用于将进程转变成真正执行流程的二进制程序的execve函数和用于建议内核从内存指定的地址开始、长度等于字符串参数值的范围内其用户虚拟内存遵循的使用模式的madvise函数。

作为优选，所述获取容器进程执行系统预先挂钩的函数生成的目标信息并存表，包括：

获取容器进程调用execve函数或madvise函数生成的目标信息，并存入execve表或madvise表，其中，存入所述execve表的目标信息为调用所述execve函数的容器进程的进程标识符和其vDSO首地址，存入所述madvise表的目标信息为调用所述madvise函数的容器进程的进程标识符以及所述madvise函数建议的内存首地址、内存长度以及内存的使用模式。

作为优选，所述预设的查询条件包括：建议的内存的使用模式、建议的内存的长度值、建议的内存的首地址与调用execve函数的容器进程的vDSO首地址的关系以及调用execve函数的容器进程的进程标识符与调用madvise函数的容器进程的进程标识符的关系。作为优选，所述根据预设的查询条件查询所述表以确定发生逃逸的容器，包括：

根据预设的查询条件联合查询所述execve表和所述madvise表，若检出符合所述预设的查询条件的容器进程，则判定所述容器进程为发生逃逸的进程，并根据所述容器进程找到其所属的容器。

作为优选，所述根据预设的查询条件查询所述表以确定发生逃逸的容器，包括：

根据预设的查询条件联合查询所述execve表和所述madvise表，若检出符合所述预设的查询条件的容器进程，则判定所述容器进程为发生逃逸的进程，并根据所述容器进程找到其所属的容器。

作为优选，所述方法还包括：当发生逃逸的容器确定后，通过docker或者kubernetes对逃逸容器进行关停操作。