[发明专利]一种针对内核数据的容器安全加固系统及方法

摘要

本发明公开了一种针对内核数据的容器安全加固系统及方法。本方法为：1)根据容器采用的内核安全机制，确定出关键内核数据并将其存储至安全区；其中所述安全区为系统内存中划分出的一块内存区域，该块内存区域设置为普通执行环境只读不可写、可信执行环境可读可写；2)当内核在普通执行环境更新该安全区的数据时，因其不具有写权限而产生页表异常，异常处理函数中解析产生异常的指令，得到该内核更新操作所更新的数据地址以及需写入的数据内容并传入可信执行环境；3)在可信执行环境内的数据更新模块基于设定的安全策略和传入的数据，允许或拒绝对安全区数据的更新操作。本发明能够抵御因内核漏洞造成的提权及逃逸攻击。