一种智能物联终端容器安全管控方法技术

本发明专利技术公开了一种智能物联终端容器安全管控方法：包括对容器镜像进行管控和对运行容器进行管控；对容器镜像进行管控包括镜像漏洞扫描和镜像恶意代码扫描；对运行容器进行管控包括容器系统入侵检测与防护和容器网络入侵检测与防护。本发明专利技术智能物联终端容器安全管控方法，一方面是对容器镜像进行管控，主要管控点为镜像深度扫描和镜像运行控制，另一方面是对运行容器进行管控，主要管控点为容器系统入侵检测与防护和容器网络入侵检测与防护；通过对容器进行管控，在容器的镜像安全、运行安全和入侵检测等方面，能够及时发现容器存在的安全问题，以此来避免容器在迁移部署和运行过程中出现安全问题，保证容器安全稳定的运行。保证容器安全稳定的运行。保证容器安全稳定的运行。

【技术实现步骤摘要】
一种智能物联终端容器安全管控方法


[0001]本专利技术涉及一种智能物联终端容器安全管控方法，属于容器安全管控


技术介绍

[0002]随着计算机技术的高速发展，计算机应用程序的规模也越来越庞大，应用程序从开发到完成所需要的时间越来越长，同时，部署和运行应用程序也变得更加困难，而容器(Docker)的出现则很好的解决了应用程序部署和运行的问题。容器作为一种轻量级的虚拟化技术，不会占用太多的系统资源，能够更快速的进行部署，迁移和扩展也十分方便，开发者可以利用Docker容器技术将开发的应用和依赖包打包在一起，然后发布在装有容器引擎的服务器上，使应用程序可以在宿主机中独立运行，具有更高的运行效率和资源利用率。
[0003]容器是一个开源的应用程序引擎，不依赖任何的开发语言和操作系统，容器通过把应用和应用运行时的环境打包在一起，解决了部署环境依赖等问题。容器消除了编译、打包与部署、运维之间的鸿沟，有助于提高应用开发、运维效率，它已经成为云计算的主流。通过容器，开发者可以将应用及其依赖包打包成一个镜像，依靠其可移植性，发布到任意Linux或Windows操作系统的机器上，轻松交付多个应用程序，并让它们在所有环境中以相同的方式运行，包括设计、测试、登台和生产。容器之所以能够快速发展，正是因为其解决了开发人员与运维人员之间的协作关系，提高了应用交付速度。容器技术有效的将单个操作系统的资源划分到孤立的组中，以便更好地在孤立的组之间平衡有冲突的资源使用需求。
[0004]综上所述，随着计算机技术的不断发展，云技术的不断革新，原有的虚拟机技术在部署和运行规模越来越庞大的应用程序时已经十分吃力，而可以快速部署应用程序的容器技术的出现，渐渐成为当下主流方案，容器占用的资源很少，能够快速的部署应用程序，迁移和扩展应用也十分方便。但是，容器在使用过程中存在诸多安全问题，在使用容器的过程中要对容器进行管控。

技术实现思路

[0005]本专利技术提供了一种智能物联终端容器安全管控方法，在容器的镜像安全、运行安全和入侵检测等方面进行管控，分析容器面临的安全威胁，及时发现在容器生命周期中出现的安全问题，使容器可以正常稳定的运行，保障服务器安全稳定运行。
[0006]为解决上述技术问题，本专利技术所采用的技术方案如下：
[0007]一种智能物联终端容器安全管控方法，：包括对容器镜像进行管控和对运行容器进行管控；对容器镜像进行管控包括镜像漏洞扫描和镜像恶意代码扫描；对运行容器进行管控包括容器系统入侵检测与防护和容器网络入侵检测与防护。
[0008]镜像漏洞扫描
[0009]容器镜像本质上是一系列静态文件的集合，也是容器应用运行时可见的文件系统。镜像中的操作系统内核和应用程序可能包含漏洞，在使用镜像前需要对镜像进行漏洞扫描，有助于发现Docker镜像的安全性问题。镜像扫描就是遍历所有镜像中的文件系统，逐
个检查软件包是否包含安全漏洞。
[0010]Clair是一个容器漏洞分析服务，它提供一个能威胁容器漏洞的列表，并且在有新的容器漏洞发布出来后会发送通知给用户。Clair针对用户上传镜像的URL和客户端的Token等参数向仓库下载镜像层，检验每层的Parent Name，读取镜像层的文件内容，遍历文件目录，查找操作系统的文件路径，获取系统版本信息，提取镜像中已安装的软件包信息。Clair将得到的镜像层信息存入PostgreSQL数据库中，然后将当前镜像系统和软件包版本信息与保存有漏洞信息的CVE数据库进行对比，然后将镜像包含漏洞信息的结果输出。开源镜像仓库Harbor集成了Clair的扫描功能，可以从公开的CVE字典库中下载漏洞资料，使用Harbor进行镜像漏洞扫描，包括如下步骤：
[0011](1)参考Docker安装教程，安装并启动Docker；
[0012](2)下载Harbor指定版本的安装包；
[0013](3)安装docker
‑
compose，给docker
‑
compose执行权限，运行docker
‑
compose
‑
version，检查是否安装完成；
[0014](4)编译配置文件，修改完配置文件后，在当前目录执行./install.sh，Harbor服务根据当前目录下docker
‑
compose.yml下载依赖镜像，检测并按顺序启动各个服；
[0015](5)成功启动harbor仓库；
[0016](6)浏览器访问//harbor域名地址，本机上传镜像到Harbor仓库，进行镜像漏洞扫描。
[0017]镜像恶意代码扫描：
[0018]利用开源镜像仓库Harbor可以扫描容器镜像的漏洞，但是如果入侵者使用没有漏洞的官方镜像，而在镜像安装木马和后门，Harbor就不能检测到安全威胁。针对此情况，在镜像漏洞扫描的基础上，利用Grype再对镜像文件的扫描，对镜像存储目录下的所有文件进行搜索并扫描，检测每个镜像文件是否存在安全威胁；Grype可以很好的解决此问题，Grype不仅可以针对容器镜像漏洞进行扫描，还可以对文件系统进行扫描，扫描机器上的文件系统路径，查找嵌套在给定目录根下的兼容文件，每一个被找到的文件都将被索引并扫描，借此可以在运行镜像之前发现源代码存储库中的漏洞，检测是否被植入恶意代码。
[0019]Docker镜像是容器的模板，涉及的攻击面十分广泛，即便对容器镜像进行了漏洞扫描和恶意代码扫描，仍会有一些安全风险无法被发现，所以并不能认为镜像进行了扫描之后就一定安全，除了上述两种检测镜像安全的方法外，通过dockerinspect命令查看镜像的详细信息，通过dockerhistory命令查看镜像历史，借此对容器镜像进行分析。
[0020]容器系统入侵检测与防护
[0021]容器基于共享宿主机内核的特性，攻击者利用内核漏洞发起针对容器的攻击，会造成容器逃逸至宿主机，可能使宿主系统宕机，甚至获得宿主机root权限，影响其它容器和整个宿主机的可靠运行。容器系统入侵检测与防护，基于操作系统内核漏洞的容器逃逸检测方法，利用可信计算动态完整性度量模型对内核函数入口指针进行度量，检测容器逃逸行为，确保智能物联终端容器系统安全，具体步骤为：
[0022](1)扫描并收集进程相关的文件，用哈希函数计算度量值，存入完整性数据基库中，非首次运行的进程，对加载的进程相关文件计算度量值，判断与基库中的度量值是否相等，若相等，则允许所述docker进程继续执行，若不相等，则结束所述docker进程；
[0023](2)通过哈希函数计算进程代码段和直接函数调用的完整性度量值，存入完整性数据基库中，进程运行中，对进程所加载的代码段和直接函数调用计算度量值，判断与基库中的相应的度量值是否相等，若相等，则允许所述docker进程继续执行，若不相等，则结束所述docker进程；
[0024](3)遍历内核堆以得到内核函数指针，通过本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种智能物联终端容器安全管控方法，其特征在于：包括对容器镜像进行管控和对运行容器进行管控；对容器镜像进行管控包括镜像漏洞扫描和镜像恶意代码扫描；对运行容器进行管控包括容器系统入侵检测与防护和容器网络入侵检测与防护。2.如权利要求1所述的智能物联终端容器安全管控方法，其特征在于：使用Harbor进行镜像漏洞扫描，包括如下步骤：(1)参考Docker安装教程，安装并启动Docker；(2)下载Harbor指定版本的安装包；(3)安装docker
‑
compose，给docker
‑
compose执行权限，运行docker
‑
compose
‑
version，检查是否安装完成；(4)编译配置文件，修改完配置文件后，在当前目录执行./install.sh，Harbor服务根据当前目录下docker
‑
compose.yml下载依赖镜像，检测并按顺序启动各个服；(5)成功启动harbor仓库；(6)浏览器访问//harbor域名地址，本机上传镜像到Harbor仓库，进行镜像漏洞扫描。3.如权利要求1或2所述的智能物联终端容器安全管控方法，其特征在于：镜像恶意代码扫描为：在镜像漏洞扫描的基础上，利用Grype再对镜像文件的扫描，对镜像存储目录下的所有文件进行搜索并扫描，检测每个镜像文件是否存在安全威胁；Grype不仅可以针对容器镜像漏洞进行扫描，还可以对文件系统进行扫描，扫描机器上的文件系统路径，查找嵌套在给定目录根下的兼容文件，每一个被找到的文件都将被索引并扫描，借此可以在运行镜像之前发现源代码存储库中的漏洞，检测是否被植入恶意代码。4.如权利要求3所...

【专利技术属性】
技术研发人员：郭志民，吕卓，陈岑，李暖暖，杨文，张铮，狄立，蔡军飞，李鸣岩，常昊，吴克河，谷肖帆，高雪，杨楠，刘陆洋，张萍，袁泽坤，杨丹，李为，
申请(专利权)人：华北电力大学国网新疆电力有限公司乌鲁木齐供电公司国家电网有限公司，
类型：发明
国别省市：