CN114116118A - 容器应用程序安全监测方法、装置、电子设备及介质 - Google Patents
容器应用程序安全监测方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN114116118A CN114116118A CN202111204063.5A CN202111204063A CN114116118A CN 114116118 A CN114116118 A CN 114116118A CN 202111204063 A CN202111204063 A CN 202111204063A CN 114116118 A CN114116118 A CN 114116118A
- Authority
- CN
- China
- Prior art keywords
- container application
- security
- application program
- feature data
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本公开实施例公开了一种容器应用程序安全监测方法、装置、电子设备及介质,所述容器应用程序安全监测方法包括:获取容器应用程序的安全特征数据,所述安全特征数据包括所述容器应用程序在安全运行时的安全行为数据和/或安全配置信息;基于所述容器应用程序的安全特征数据,生成所述容器应用程序的安全监测策略;获取所述容器应用程序在生产环境中运行时的特征数据,所述特征数据包括行为数据和/或配置信息;基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略。
Description
技术领域
本公开涉及云计算技术领域,具体涉及一种容器应用程序安全监测方法、装置、电子设备及介质。
背景技术
在云原生日趋火热的大背景下,越来越多的用户选择将自己的生产环境进行容器化改造。在这个进程中,安全问题一直是用户关注的核心问题。为了保证用户生产应用的安全稳定运行,云服务商和容器安全厂商会面向用户安全管理运维人员提供应用运行时刻的防护手段,比如基于云原生领域知识的策略治理,或是由专业安全团队提供运行时刻监测告警能力。然而,这通常需要用户安全管理运维人员不仅具备一定的安全攻防理论基础知识,同时要熟练掌握云原生技术的相关技能。但是,同时满足这两项条件的用户安全管理运维人员十分稀缺,一般的用户安全运维人员在大量的策略定制和安全告警面前束手无策,很多时候通过工单等形式解决了一个安全问题或是加固需求,遇到另一个安全挑战的时候仍旧不明所以,难以满足用户对容器应用安全运行的需求。
发明内容
为了解决相关技术中的问题,本公开实施例提供一种容器应用程序安全监测方法、装置、电子设备及介质。
第一方面,本公开实施例中提供了一种容器应用程序安全监测方法,包括:
获取容器应用程序的安全特征数据,所述安全特征数据包括所述容器应用程序在安全运行时的安全行为数据和/或安全配置信息;
基于所述容器应用程序的安全特征数据,生成所述容器应用程序的安全监测策略;
获取所述容器应用程序在生产环境中运行时的特征数据,所述特征数据包括行为数据和/或配置信息;
基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略。
结合第一方面,本公开在第一方面的第一种实现方式中,所述获取容器应用程序的安全特征数据,包括:获取所述容器应用程序在安全环境中运行时的特征数据,作为所述安全特征数据。
结合第一方面,本公开在第一方面的第二种实现方式中,所述容器应用程序在生产环境中运行时的特征数据,还包括:所述容器应用程序在生产环境中运行时的安全告警事件。
结合第一方面,本公开在第一方面的第三种实现方式中,所述基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略,包括:
根据当前安全监测策略,在所述容器应用程序在生产环境中运行时的特征数据中确定不符合安全规则的特征数据;
获取对所述不符合安全规则的特征数据是否与所述容器应用程序的不安全运行相关联的判断结果;
根据所述判断结果,适应性地调整所述容器应用程序的安全监测策略。
结合第一方面的第三种实现方式,本公开在第一方面的第四种实现方式中,所述根据所述判断结果,适应性地调整所述容器应用程序的安全监测策略,包括:
如果所述判断结果表明所述不符合安全规则的特征数据与所述容器应用程序的不安全运行不相关,则调整所述容器应用程序的安全监测策略,使得以后不将所述不符合安全规则的特征数据认定为不符合安全规则;和/或
如果所述判断结果表明所述不符合安全规则的特征数据与所述容器应用程序的不安全运行相关联,则调整所述容器应用程序的安全监测策略,使得以后根据所述容器应用程序的安全监测策略将所述不符合安全规则的特征数据直接认定为与所述容器应用程序的不安全运行相关联。
结合第一方面的第三种实现方式,本公开在第一方面的第五种实现方式中,所述方法还包括:
根据所述判断结果,针对与所述容器应用程序的不安全运行相关联的特征数据,启动相应的处理流程。
结合第一方面的第五种实现方式,本公开在第一方面的第六种实现方式中,所述处理流程包括以下任意一项或多项:根据所述与所述容器应用程序的不安全运行相关联的特征数据自动执行漏洞修复;拦截与所述容器应用程序的不安全运行相关联的特征数据所对应的系统调用;标记所述容器应用程序使用的云资源;禁止所述容器应用程序的运行;触发所述容器应用程序使用的云资源的云安全中心的规则配置。
第二方面,本公开实施例中提供了一种容器应用程序安全监测装置,包括:
第一获取模块,被配置为获取容器应用程序的安全特征数据,所述安全特征数据包括所述容器应用程序在安全运行时的安全行为数据和/或安全配置信息;
生成模块,被配置为基于所述容器应用程序的安全特征数据,生成所述容器应用程序的安全监测策略;
第二获取模块,被配置为获取所述容器应用程序在生产环境中运行时的特征数据,所述特征数据包括行为数据和/或配置信息;
调整模块,被配置为基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略。
结合第二方面,本公开在第二方面的第一种实现方式中,所述获取容器应用程序的安全特征数据,包括:获取所述容器应用程序在安全环境中运行时的特征数据,作为所述安全特征数据。
结合第二方面,本公开在第二方面的第二种实现方式中,所述容器应用程序在生产环境中运行时的特征数据,还包括:所述容器应用程序在生产环境中运行时的安全告警事件。
结合第二方面,本公开在第二方面的第三种实现方式中,所述基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略,包括:
根据当前安全监测策略,在所述容器应用程序在生产环境中运行时的特征数据中确定不符合安全规则的特征数据;
获取对所述不符合安全规则的特征数据是否与所述容器应用程序的不安全运行相关联的判断结果;
根据所述判断结果,适应性地调整所述容器应用程序的安全监测策略。
结合第二方面的第三种实现方式,本公开在第二方面的第四种实现方式中,所述根据所述判断结果,适应性地调整所述容器应用程序的安全监测策略,包括:
如果所述判断结果表明所述不符合安全规则的特征数据与所述容器应用程序的不安全运行不相关,则调整所述容器应用程序的安全监测策略,使得以后不将所述不符合安全规则的特征数据认定为不符合安全规则;和/或
如果所述判断结果表明所述不符合安全规则的特征数据与所述容器应用程序的不安全运行相关联,则调整所述容器应用程序的安全监测策略,使得以后根据所述容器应用程序的安全监测策略将所述不符合安全规则的特征数据直接认定为与所述容器应用程序的不安全运行相关联。
结合第二方面的第三种实现方式,本公开在第二方面的第五种实现方式中,所述装置还包括:
启动模块,被配置为根据所述判断结果,针对与所述容器应用程序的不安全运行相关联的特征数据,启动相应的处理流程。
结合第二方面的第五种实现方式,本公开在第二方面的第六种实现方式中,所述处理流程包括以下任意一项或多项:根据所述与所述容器应用程序的不安全运行相关联的特征数据自动执行漏洞修复;拦截与所述容器应用程序的不安全运行相关联的特征数据所对应的系统调用;标记所述容器应用程序使用的云资源;禁止所述容器应用程序的运行;触发所述容器应用程序使用的云资源的云安全中心的规则配置。
第三方面,本公开实施例提供了一种电子设备,包括存储器和处理器,其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现如第一方面至第一方面第六种实现方式中任一项所述的方法。
第四方面,本公开实施例中提供了一种计算机可读存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现如第一方面至第一方面第六种实现方式中所述的方法。
第五方面,本公开实施例中提供了一种计算机程序产品,包括计算机指令,该计算机指令被处理器执行时实现如第一方面至第一方面第六种实现方式中所述的方法步骤。
根据本公开实施例提供的技术方案,提供了一种容器应用程序安全监测方法,包括:获取容器应用程序的安全特征数据,所述安全特征数据包括所述容器应用程序在安全运行时的安全行为数据和/或安全配置信息;基于所述容器应用程序的安全特征数据,生成所述容器应用程序的安全监测策略;获取所述容器应用程序在生产环境中运行时的特征数据,所述特征数据包括行为数据和/或配置信息;基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略。
根据本公开的实施例,能够主动、动态、自动化地帮助用户设置和调整容器应用程序的安全监测策略,降低对用户安全运维人员专业技能的要求,有效提升用户的容器应用程序在生产环境中运行时的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
结合附图,通过以下非限制性实施方式的详细描述,本公开的其它特征、目的和优点将变得更加明显。在附图中:
图1示出根据本公开的实施例的容器应用程序安全监测方法的流程图。
图2示出了根据本公开实施例的容器应用程序安全监测方法的示例性工作流程。
图3示出根据本公开的实施例的容器应用程序安全监测装置的结构框图。
图4示出根据本公开的实施例的电子设备的结构框图。
图5示出适于用来实现根据本公开实施例的方法的计算机系统的结构示意图。
具体实施方式
下文中,将参考附图详细描述本公开的示例性实施例,以使本领域技术人员可容易地实现它们。此外,为了清楚起见,在附图中省略了与描述示例性实施例无关的部分。
在本公开中,应理解,诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在,并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
另外还需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
在本公开中,对用户信息或用户数据的获取均为经用户授权、确认,或由用户主动选择的操作。
如上所述,在云原生日趋火热的大背景下,越来越多的用户选择将自己的生产环境进行容器化改造。在这个进程中,安全问题一直是用户关注的核心问题。为了保证用户生产应用的安全稳定运行,云服务商和容器安全厂商会面向用户安全管理运维人员提供应用运行时刻的防护手段,比如基于云原生领域知识的策略治理,或是由专业安全团队提供运行时刻监测告警能力。然而,这通常需要用户安全管理运维人员不仅具备一定的安全攻防理论基础知识,同时要熟练掌握云原生技术的相关技能。但是,同时满足这两项条件的用户安全管理运维人员十分稀缺,一般的用户安全运维人员在大量的策略定制和安全告警面前束手无策,很多时候通过工单等形式解决了一个安全问题或是加固需求,遇到另一个安全挑战的时候仍旧不明所以,难以满足用户对容器应用安全运行的需求。
本公开实施例提供了一种容器应用程序安全监测方法,包括:获取容器应用程序的安全特征数据,所述安全特征数据包括所述容器应用程序在安全运行时的安全行为数据和/或安全配置信息;基于所述容器应用程序的安全特征数据,生成所述容器应用程序的安全监测策略;获取所述容器应用程序在生产环境中运行时的特征数据,所述特征数据包括行为数据和/或配置信息;基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略。
根据本公开的实施例,能够主动、动态、自动化地帮助用户设置和调整容器应用程序的安全监测策略,降低对用户安全运维人员专业技能的要求,有效提升用户的容器应用程序在生产环境中运行时的安全性。
图1示出根据本公开的实施例的容器应用程序安全监测方法的流程图。如图1所示,所述容器应用程序安全监测方法包括以下步骤S101-S104:
在步骤S101中,获取容器应用程序的安全特征数据,所述安全特征数据包括所述容器应用程序在安全运行时的安全行为数据和/或安全配置信息;
在步骤S102中,基于所述容器应用程序的安全特征数据,生成所述容器应用程序的安全监测策略;
在步骤S103中,获取所述容器应用程序在生产环境中运行时的特征数据,所述特征数据包括行为数据和/或配置信息;
在步骤S104中,基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略。
根据本公开的实施例,能够主动、动态、自动化地帮助用户设置和调整容器应用程序的安全监测策略,降低对用户安全运维人员专业技能的要求,有效提升用户的容器应用程序在生产环境中运行时的安全性。
根据本公开的实施例,容器应用程序可以运行在使用云资源实现的容器中。
根据本公开的实施例,所述获取容器应用程序的安全特征数据,包括:获取所述容器应用程序在安全环境中运行时的特征数据,作为所述安全特征数据。
例如,容器应用程序可以在沙箱环境中运行,沙箱是一种安全机制,为运行中的程序提供隔离的安全环境。当容器应用程序在安全环境中运行时,认为容器应用程序的运行是安全的,此时采集到的容器应用程序的特征数据是安全特征数据。
根据本公开的实施例,特征数据可以包括容器应用程序的行为数据和/或配置信息。容器应用程序的行为数据是用于描述容器应用程序的行为的数据,例如可以包括以下任意一种或多种:容器应用程序对网络端口的调用记录、数据读写、系统负载、进程运行情况,等等。容器应用程序的配置信息可以包括容器应用程序使用的网络端口号、容器应用程序挂载的主机的目录、容器应用程序的用户权限设置,等等。
当容器应用程序的特征数据与安全特征数据一致时,认为容器应用程序的运行是安全的,反之,当容器应用程序的特征数据与安全特征数据不一致时,认为容器应用程序的运行是不安全的。
根据本公开的实施例,基于所述容器应用程序的安全特征数据,生成所述容器应用程序的安全监测策略。例如,安全监测策略可以是当容器应用程序的特征数据与安全特征数据不一致时,启动相应的处理流程,例如告警和/或修复程序。或者,安全监测策略可以是当容器应用程序的特征数据与安全特征数据不一致时,根据预设的专家知识库,根据容器应用程序的特征数据判断容器应用程序是否处于不安全运行状态,如果是,则启动相应的处理流程。
根据本公开的实施例,获取所述容器应用程序在生产环境中运行时的特征数据,可以是例如通过系统行为监测程序(例如Sysdig Falco)实时获取容器应用程序的行为数据。Sysdig Falco是一种旨在检测异常活动的开源系统行为监测程序,具有强大的底层安全事件监测采集能力,并且支持容器上下文。
根据本公开的实施例,获取所述容器应用程序在生产环境中运行时的特征数据,还可以是通过渗透攻击巡检程序获取容器应用程序的配置信息。
根据本公开的实施例,获取所述容器应用程序在生产环境中运行时的特征数据,还可以是通过部署在运行容器的服务器节点上的云安全代理(agent)程序,针对容器内部入侵、容器逃逸、病毒和恶意程序、异常网络连接等常见的运行时刻攻击行为生成的安全告警事件。
根据本公开的实施例,所述基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略,包括:
根据当前安全监测策略,在所述容器应用程序在生产环境中运行时的特征数据中确定不符合安全规则的特征数据;
获取对所述不符合安全规则的特征数据是否与所述容器应用程序的不安全运行相关联的判断结果;
根据所述判断结果,适应性地调整所述容器应用程序的安全监测策略。
根据本公开的实施例,安全监测策略可以将与安全特征数据不一致的特征数据和与安全告警事件相关联的特征数据均视为不符合安全规则的特征数据。例如,假设实时获取的容器应用程序的行为数据与安全行为数据不一致,则认为实时获取的容器应用程序的行为数据是不符合安全规则的行为数据。或者,假设实时获取的容器应用程序的配置信息与安全配置信息不一致,则认为实时获取的容器应用程序的配置信息是不符合安全规则的配置信息。或者,假设安全告警事件与某些行为数据和/或配置信息相关联,则认为这些行为数据和/或配置信息是不符合安全规则的行为数据和/或配置信息。
然后,获取对所述不符合安全规则的特征数据是否与所述容器应用程序的不安全运行相关联的判断结果。
例如,可以根据预设的专家知识库,判断不符合安全规则的特征数据是否与所述容器应用程序的不安全运行相关联。具体地,不符合安全规则的特征数据可能与容器应用程序的不安全运行相关联,例如,病毒、恶意程序、或容器应用程序的异常故障都可能导致出现不符合安全规则的特征数据,但是,用户对容器应用程序的合法升级、修改,或启用新的功能、增加新的用户等,也可能导致出现不符合安全规则的特征数据。根据预设的专家知识库,判断不符合安全规则的特征数据是否与所述容器应用程序的不安全运行相关联,可以有效减少误报事件。
根据本公开的实施例,专家知识库可以由为容器应用程序提供云资源的云服务提供商创建和维护,云服务提供商的安全专家根据经验设置规则,用于判断不符合安全规则的特征数据是否与容器应用程序的不安全运行相关联。或者,云服务提供商的安全系统自动收集和学习云计算节点上报的安全相关事件,并生成相应的用于判断不符合安全规则的特征数据是否与容器应用程序的不安全运行相关联的规则。
根据本公开的实施例,也可以针对不符合安全规则的特征数据生成提示信息,根据容器应用程序的用户对提示信息的反馈确定不符合安全规则的特征数据是否与所述容器应用程序的不安全运行相关联。
在获得对所述不符合安全规则的特征数据是否与所述容器应用程序的不安全运行相关联的判断结果之后,根据所述判断结果,适应性地调整所述容器应用程序的安全监测策略。
例如,假设判断结果表明所述不符合安全规则的特征数据与所述容器应用程序的不安全运行不相关,则调整容器应用程序的安全监测策略,使得以后不将这样的特征数据认定为不符合安全规则。假设判断结果表明所述不符合安全规则的特征数据与所述容器应用程序的不安全运行相关联,则调整容器应用程序的安全监测策略,使得以后将这样的特征数据直接认定为与所述容器应用程序的不安全运行相关联,而无需根据专家知识库或用户反馈进行进一步判断,以减少判断时间,提高监测效率。
根据本公开的实施例,通过根据对所述不符合安全规则的特征数据是否与所述容器应用程序的不安全运行相关联的判断结果,适应性地调整所述容器应用程序的安全监测策略,相比于已有技术中依赖基于领域知识的预置规则库来设置安全监测策略,根据能够实现针对容器应用程序的个性化、细粒度、实时自动更新的安全监测策略部署,改进监测性能,减少误报率,提高监测效率。
根据本公开的实施例,所述容器应用程序安全监测方法还包括:根据所述判断结果,针对与所述容器应用程序的不安全运行相关联的特征数据,启动相应的处理流程,其中,所述处理流程包括以下任意一项或多项:根据所述与所述容器应用程序的不安全运行相关联的特征数据自动执行漏洞修复;拦截与所述容器应用程序的不安全运行相关联的特征数据所对应的系统调用;标记所述容器应用程序使用的云资源;禁止所述容器应用程序的运行;触发所述容器应用程序使用的云资源的云安全中心的规则配置。
根据本公开的实施例,在确定特征数据与容器应用程序的不安全运行相关联之后,可以自动启动相应的处理流程,例如根据与所述容器应用程序的不安全运行相关联的特征数据自动下载对应的漏洞修复程序,从而对导致容器应用程序的不安全运行的系统漏洞进行修复。或者,可以根据与所述容器应用程序的不安全运行相关联的特征数据确定对应的不安全系统调用并加以拦截。或者,可以标记该容器应用程序使用的云资源并进行进一步的监测分析。或者,可以禁止容器应用程序的运行。或者,可以触发所述容器应用程序使用的云资源的云安全中心的规则配置,例如在云安全中心针对该容器应用程序配置相应的安全规则,限制其对其他容器应用程序、数据或资源的访问,等等。
根据本公开的实施例,所述处理流程还可以包括以即时消息、邮件等方式通知相应的运维人员并建立维修工单,以便运维人员及时定位异常并进行对应处理。
图2示出了根据本公开实施例的容器应用程序安全监测方法的示例性工作流程。
如图2所示,获取Sysdig Falco采集的安全事件,和/或渗透攻击巡检程序获取的容器应用程序配置信息,和/或云安全代理生成的安全告警事件,从获取的安全事件和/或配置信息和/或安全告警事件中,以规定的格式提取出特征数据,以供后续处理。然后,根据当前安全监测规则,从获取的特征中确定不符合安全规则的特征数据,根据不符合安全规则的特征数据是否与容器应用程序的不安全运行相关联的判断结果,调整安全监测规则。自动部署调整后的安全监测规则,并针对与所述容器应用程序的不安全运行相关联的特征数据,启动相应的处理流程,例如通知运维人员、告警、自动漏洞修复、触发云安全中心的规则配置,等等。
根据本公开的实施例,能够基于系统行为监测程序、渗透攻击巡检程序、云安全代理程序等多种来源获取容器应用程序的特征数据,更全面地监测容器应用程序的安全运行状态。
与已有技术中依赖初始化预置的安全监测策略不同,根据本公开的实施例,可以实时动态更新安全监测策略,实现安全监测策略的主动学习,有效减少误报率,减轻安全管理运维人员的负担。
此外,根据获取的容器应用程序的特征数据,可以实现有针对性的细粒度安全策略部署,进一步改进监测性能,提高监测效率。
图3示出根据本公开的实施例的容器应用程序安全监测装置的结构框图。其中,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。
如图3所示,所述容器应用程序安全监测装置300包括第一获取模块310、生成模块320、第二获取模块330、调整模块340。
第一获取模块,被配置为获取容器应用程序的安全特征数据,所述安全特征数据包括所述容器应用程序在安全运行时的安全行为数据和/或安全配置信息;
生成模块,被配置为基于所述容器应用程序的安全特征数据,生成所述容器应用程序的安全监测策略;
第二获取模块,被配置为获取所述容器应用程序在生产环境中运行时的特征数据,所述特征数据包括行为数据和/或配置信息;
调整模块,被配置为基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略。
根据本公开的实施例,所述获取容器应用程序的安全特征数据,包括:获取所述容器应用程序在安全环境中运行时的特征数据,作为所述安全特征数据。
根据本公开的实施例,所述容器应用程序在生产环境中运行时的特征数据,还包括:所述容器应用程序在生产环境中运行时的安全告警事件。
根据本公开的实施例,所述基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略,包括:
根据当前安全监测策略,在所述容器应用程序在生产环境中运行时的特征数据中确定不符合安全规则的特征数据;
获取对所述不符合安全规则的特征数据是否与所述容器应用程序的不安全运行相关联的判断结果;
根据所述判断结果,适应性地调整所述容器应用程序的安全监测策略。
根据本公开的实施例,所述装置300还包括:
启动模块350,被配置为根据所述判断结果,针对与所述容器应用程序的不安全运行相关联的特征数据,启动相应的处理流程。
本公开还公开了一种电子设备,图4示出根据本公开的实施例的电子设备的结构框图。
如图4所示,所述电子设备400包括存储器401和处理器402,其中,存储器401用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器402执行以实现根据本公开的实施例的方法。
本公开实施例提供了一种容器应用程序安全监测方法,包括:
获取容器应用程序的安全特征数据,所述安全特征数据包括所述容器应用程序在安全运行时的安全行为数据和/或安全配置信息;
基于所述容器应用程序的安全特征数据,生成所述容器应用程序的安全监测策略;
获取所述容器应用程序在生产环境中运行时的特征数据,所述特征数据包括行为数据和/或配置信息;
基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略。
根据本公开的实施例,所述获取容器应用程序的安全特征数据,包括:获取所述容器应用程序在安全环境中运行时的特征数据,作为所述安全特征数据。
根据本公开的实施例,所述容器应用程序在生产环境中运行时的特征数据,还包括:所述容器应用程序在生产环境中运行时的安全告警事件。
根据本公开的实施例,所述基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略,包括:
根据当前安全监测策略,在所述容器应用程序在生产环境中运行时的特征数据中确定不符合安全规则的特征数据;
获取对所述不符合安全规则的特征数据是否与所述容器应用程序的不安全运行相关联的判断结果;
根据所述判断结果,适应性地调整所述容器应用程序的安全监测策略。
根据本公开的实施例,所述方法还包括:
根据所述判断结果,针对与所述容器应用程序的不安全运行相关联的特征数据,启动相应的处理流程。
根据本公开的实施例,所述处理流程包括以下任意一项或多项:根据所述与所述容器应用程序的不安全运行相关联的特征数据自动执行漏洞修复;拦截与所述容器应用程序的不安全运行相关联的特征数据所对应的系统调用;标记所述容器应用程序使用的云资源;禁止所述容器应用程序的运行;触发所述容器应用程序使用的云资源的云安全中心的规则配置。
图5示出适于用来实现根据本公开实施例的方法的计算机系统的结构示意图。
如图5所示,计算机系统500包括处理单元501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行上述实施例中的各种处理。在RAM 503中,还存储有系统500操作所需的各种程序和数据。处理单元501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。其中,所述处理单元501可实现为CPU、GPU、TPU、FPGA、NPU等处理单元。
特别地,根据本公开的实施例,上文描述的方法可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括计算机指令,该计算机指令被处理器执行时实现上文所述的方法步骤。在这样的实施例中,该计算机程序产品可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、装置和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元或模块可以通过软件的方式实现,也可以通过可编程硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
作为另一方面,本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中电子设备或计算机系统中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (14)
1.一种容器应用程序安全监测方法,包括:
获取容器应用程序的安全特征数据,所述安全特征数据包括所述容器应用程序在安全运行时的安全行为数据和/或安全配置信息;
基于所述容器应用程序的安全特征数据,生成所述容器应用程序的安全监测策略;
获取所述容器应用程序在生产环境中运行时的特征数据,所述特征数据包括行为数据和/或配置信息;
基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略。
2.根据权利要求1所述的方法,其中,所述获取容器应用程序的安全特征数据,包括:获取所述容器应用程序在安全环境中运行时的特征数据,作为所述安全特征数据。
3.根据权利要求1所述的方法,其中,所述容器应用程序在生产环境中运行时的特征数据,还包括:所述容器应用程序在生产环境中运行时的安全告警事件。
4.根据权利要求1所述的方法,其中,所述基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略,包括:
根据当前安全监测策略,在所述容器应用程序在生产环境中运行时的特征数据中确定不符合安全规则的特征数据;
获取对所述不符合安全规则的特征数据是否与所述容器应用程序的不安全运行相关联的判断结果;
根据所述判断结果,适应性地调整所述容器应用程序的安全监测策略。
5.根据权利要求4所述的方法,其中,所述根据所述判断结果,适应性地调整所述容器应用程序的安全监测策略,包括:
如果所述判断结果表明所述不符合安全规则的特征数据与所述容器应用程序的不安全运行不相关,则调整所述容器应用程序的安全监测策略,使得以后不将所述不符合安全规则的特征数据认定为不符合安全规则;和/或
如果所述判断结果表明所述不符合安全规则的特征数据与所述容器应用程序的不安全运行相关联,则调整所述容器应用程序的安全监测策略,使得以后根据所述容器应用程序的安全监测策略将所述不符合安全规则的特征数据直接认定为与所述容器应用程序的不安全运行相关联。
6.根据权利要求4所述的方法,还包括:
根据所述判断结果,针对与所述容器应用程序的不安全运行相关联的特征数据,启动相应的处理流程。
7.根据权利要求6所述的方法,其中,所述处理流程包括以下任意一项或多项:根据所述与所述容器应用程序的不安全运行相关联的特征数据自动执行漏洞修复;拦截与所述容器应用程序的不安全运行相关联的特征数据所对应的系统调用;标记所述容器应用程序使用的云资源;禁止所述容器应用程序的运行;触发所述容器应用程序使用的云资源的云安全中心的规则配置。
8.一种容器应用程序安全监测装置,包括:
第一获取模块,被配置为获取容器应用程序的安全特征数据,所述安全特征数据包括所述容器应用程序在安全运行时的安全行为数据和/或安全配置信息;
生成模块,被配置为基于所述容器应用程序的安全特征数据,生成所述容器应用程序的安全监测策略;
第二获取模块,被配置为获取所述容器应用程序在生产环境中运行时的特征数据,所述特征数据包括行为数据和/或配置信息;
调整模块,被配置为基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略。
9.根据权利要求8所述的装置,其中,所述获取容器应用程序的安全特征数据,包括:获取所述容器应用程序在安全环境中运行时的特征数据,作为所述安全特征数据。
10.根据权利要求8所述的装置,其中,所述容器应用程序在生产环境中运行时的特征数据,还包括:所述容器应用程序在生产环境中运行时的安全告警事件。
11.根据权利要求8所述的装置,其中,所述基于所述容器应用程序在生产环境中运行时的特征数据,调整所述容器应用程序的安全监测策略,包括:
根据当前安全监测策略,在所述容器应用程序在生产环境中运行时的特征数据中确定不符合安全规则的特征数据;
获取对所述不符合安全规则的特征数据是否与所述容器应用程序的不安全运行相关联的判断结果;
根据所述判断结果,适应性地调整所述容器应用程序的安全监测策略。
12.根据权利要求11所述的装置,还包括:
启动模块,被配置为根据所述判断结果,针对与所述容器应用程序的不安全运行相关联的特征数据,启动相应的处理流程。
13.一种电子设备,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现权利要求1-7中任一项所述的方法步骤。
14.一种可读存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现权利要求1-7中任一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111204063.5A CN114116118A (zh) | 2021-10-15 | 2021-10-15 | 容器应用程序安全监测方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111204063.5A CN114116118A (zh) | 2021-10-15 | 2021-10-15 | 容器应用程序安全监测方法、装置、电子设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114116118A true CN114116118A (zh) | 2022-03-01 |
Family
ID=80375735
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111204063.5A Pending CN114116118A (zh) | 2021-10-15 | 2021-10-15 | 容器应用程序安全监测方法、装置、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114116118A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115603999A (zh) * | 2022-10-12 | 2023-01-13 | 中国电信股份有限公司(Cn) | 容器安全防护方法、装置、设备及存储介质 |
| CN115994353A (zh) * | 2023-03-22 | 2023-04-21 | 北京升鑫网络科技有限公司 | 基于容器部署的主机入侵检测系统、方法及电子设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101194264A (zh) * | 2005-06-09 | 2008-06-04 | 格拉斯沃(Ip)有限公司 | 抵制有害代码和数据的扩散 |
| CN103198259A (zh) * | 2012-01-09 | 2013-07-10 | 国际商业机器公司 | 用于安全策略管理的方法和装置 |
| US20170300697A1 (en) * | 2016-04-13 | 2017-10-19 | International Business Machines Corporation | Enforcing security policies for software containers |
| CN107636672A (zh) * | 2015-06-02 | 2018-01-26 | 华为技术有限公司 | 电子设备及电子设备中的方法 |
| US20180260574A1 (en) * | 2015-10-01 | 2018-09-13 | Twistlock, Ltd. | Runtime detection and mitigation of vulnerabilities in application software containers |
| CN109800568A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 文档文件的安全防护方法、客户端、系统及存储介质 |
| US20200218798A1 (en) * | 2019-01-03 | 2020-07-09 | NeuVector, Inc. | Automatic deployment of application security policy using application manifest and dynamic process analysis in a containerization environment |
| US20210173935A1 (en) * | 2019-12-09 | 2021-06-10 | Accenture Global Solutions Limited | Method and system for automatically identifying and correcting security vulnerabilities in containers |
-
2021
- 2021-10-15 CN CN202111204063.5A patent/CN114116118A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101194264A (zh) * | 2005-06-09 | 2008-06-04 | 格拉斯沃(Ip)有限公司 | 抵制有害代码和数据的扩散 |
| CN103198259A (zh) * | 2012-01-09 | 2013-07-10 | 国际商业机器公司 | 用于安全策略管理的方法和装置 |
| CN107636672A (zh) * | 2015-06-02 | 2018-01-26 | 华为技术有限公司 | 电子设备及电子设备中的方法 |
| US20180260574A1 (en) * | 2015-10-01 | 2018-09-13 | Twistlock, Ltd. | Runtime detection and mitigation of vulnerabilities in application software containers |
| US20170300697A1 (en) * | 2016-04-13 | 2017-10-19 | International Business Machines Corporation | Enforcing security policies for software containers |
| CN109800568A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 文档文件的安全防护方法、客户端、系统及存储介质 |
| US20200218798A1 (en) * | 2019-01-03 | 2020-07-09 | NeuVector, Inc. | Automatic deployment of application security policy using application manifest and dynamic process analysis in a containerization environment |
| US20210173935A1 (en) * | 2019-12-09 | 2021-06-10 | Accenture Global Solutions Limited | Method and system for automatically identifying and correcting security vulnerabilities in containers |
Non-Patent Citations (2)
| Title |
|---|
| MARIUS SCHLEGEL: "Trusted Enforcement of Application-specific Security Policies", 《ARXIV:2105.01970V1 [CS.CR]》, 5 May 2021 (2021-05-05), pages 1 - 11 * |
| 李佳曦: "基于容器技术的云化平台安全风险与应对分析", 《信息通信技术》, vol. 14, no. 06, 13 January 2021 (2021-01-13), pages 26 - 31 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115603999A (zh) * | 2022-10-12 | 2023-01-13 | 中国电信股份有限公司(Cn) | 容器安全防护方法、装置、设备及存储介质 |
| CN115994353A (zh) * | 2023-03-22 | 2023-04-21 | 北京升鑫网络科技有限公司 | 基于容器部署的主机入侵检测系统、方法及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7752669B2 (en) | Method and computer program product for identifying or managing vulnerabilities within a data processing network | |
| EP2774072B1 (en) | System and method for transitioning to a whitelist mode during a malware attack in a network environment | |
| RU2487405C1 (ru) | Система и способ для исправления антивирусных записей | |
| CN109241745B (zh) | 一种计算平台的可信启动方法及装置 | |
| CN109918285B (zh) | 一种开源软件的安全识别方法及装置 | |
| JP2010515177A (ja) | 自動的脆弱性検出および応答 | |
| US10862915B2 (en) | Exception remediation logic routing and suppression platform | |
| EP3042331B1 (en) | Software revocation infrastructure | |
| CN112995236B (zh) | 一种物联网设备安全管控方法、装置和系统 | |
| JP4856970B2 (ja) | 識別された脆弱性を遮蔽するためのシステムおよび方法 | |
| US8234711B2 (en) | Apparatus and method for checking PC security | |
| CN114116118A (zh) | 容器应用程序安全监测方法、装置、电子设备及介质 | |
| CN113157543A (zh) | 一种可信度量方法及装置、服务器、计算机可读存储介质 | |
| JP2015082191A (ja) | 情報処理装置、情報処理方法 | |
| JP2019525314A (ja) | グラフィカルユーザインターフェース要素に関連した悪意のある行為の軽減 | |
| JP2006018766A (ja) | ネットワーク接続管理システム | |
| US12095807B1 (en) | System and method for generating cybersecurity remediation in computing environments | |
| US12381905B2 (en) | Remediation responsive to a pattern of alerts | |
| CN106856477B (zh) | 一种基于局域网的威胁处理方法和装置 | |
| CN110119616B (zh) | Web应用安全防护系统 | |
| CN114070648A (zh) | 配置网络安全策略的评估方法、装置、设备及存储介质 | |
| US20250036747A1 (en) | Method and apparatus to deter device attacks | |
| CN114722397B (zh) | 进程行为识别方法、装置、电子设备、存储介质及程序 | |
| EP4475020A1 (en) | Remediation for an entity outside a scope of an alert | |
| US11405212B2 (en) | Monitoring and preventing use of weak cryptographic logic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |