容器安全的处理方法及装置、存储介质和处理器与流程

1.本技术涉及信息处理技术领域，具体而言，涉及一种容器安全的处理方法及装置、存储介质和处理器。


背景技术：

2.容器提供了将应用程序的代码、配置、依赖项打包到单个对象的标准方法。容器主要建立在linux命名空间(linux namespace)和linux控制机制(linux cgroups)两项关键技术之上。另外，容器和虚拟机(vm)不同之处在于，虚拟机(vm)模拟硬件系统，每个虚拟机(vm)都在独立环境中运行操作系统(os)。而容器共享操作系统内核，若容器被攻击将可能造成容器逃逸或资源隔离失效，影响某个或多个容器的安全。
3.另外，典型的容器部署中，容器一般运行一个较小的单一服务，其中可执行的进程，网络监听的端口，网络外发连接，文件读取/写入等，以上这些会包含在一个较小且明确的集合中。而容器被攻击过程中一些常用手段如webshell、反弹shell等，其行为往往超出已知的容器行为集合。把已知的容器行为集合作为白名单，对容器的行为进行限制，是一种广泛使用且比较普遍的容器安全防御手段。
4.相关技术一，应用程序访问控制系统(apparmor或application armor)是一个linux内核的安全模块，允许系统管理员通过每个程序的配置文件限制程序的功能。通过配置文件可以指定程序进行读、写或者运行哪些文件，是否可以打开网络端口等。而且，apparmor是一个对内核的增强工具，将程序限制在一个有限的资源集合中。apparmor的安全模型将对访问属性的控制绑定到程序而非用户。另外，使用apparmor控制容器行为的步骤如下：创建apparmor配置文件；使用apparmor_parser将配置文件加载到内核(即apparmor内核模块)中；启动容器时指定该apparmor配置文件；若修改配置：首先修改配置文件并加载到内核；然后重新启动容器实例。但是，使用相关技术一的方案时，配置文件的加载只在启动时加载一次，修改访问控制规则后，需重启容器才能生效，无法实时生效，而且配置文件的访问控制难以配置使用，使用难度大。
5.相关技术二为一种在宿主机上监控容器进程的方法，通过获得容器的进程相关信息，以此为基础做安全分析检测。但是，相关技术二只提出了对运行时容器进行进程信息监控并据此做安全分析检测的技术，并没有对容器的行为进行管理和控制，所以使用该技术方案不能够对进程进行拦截、阻断控制，也不能够对运行容器的目录进行写权限的拦截、阻断。
6.相关技术三，该方案通过容器运行时，用户态内核拦截容器应用程序的系统调用，处理后将结果返回给容器的应用程序，使容器的应用程序不能直接完成宿主机的系统调用，所有容器系统调用都经过此用户态内核。但是，此方案中的用户态内核不是原生存在的，部署时对环境改动大；而且容器运行在此用户态内核之上，相比容器直接调用宿主机系统调用，利用此方案将额外增加开销；并且此方案会过滤或处理所有的系统调用，影响性能。
7.针对相关技术中在容器运行时，难以保护容器安全的问题，目前尚未提出有效的解决方案。


技术实现要素：

8.本技术的主要目的在于提供一种容器安全的处理方法及装置、存储介质和处理器，以解决相关技术中在容器运行时，难以保护容器安全的问题。
9.为了实现上述目的，根据本技术的一个方面，提供了一种容器安全的处理方法。该方法包括：在目标容器的应用程序执行目标程序时，触发处理流程请求；通过内核将所述处理流程请求传递到用户态中的安全服务容器；响应所述处理流程请求，所述安全服务容器从操作系统内核读取执行所述目标程序时的目标信息；将所述目标信息发送至所述目标容器，根据所述目标信息对所述目标程序进行处理。
10.进一步地，根据所述目标信息对所述目标程序进行处理包括：根据所述目标信息，在所述目标容器中确定对所述目标程序的处理决策；将所述处理决策发送至所述内核，以通过所述内核对所述目标程序执行目标操作。
11.进一步地，所述目标操作为：允许执行所述目标程序或者阻止执行所述目标程序。
12.进一步地，所述目标程序为：可执行文件的控制和文件目录的写入控制。
13.进一步地，若所述目标程序为可执行文件的控制，在所述目标容器中确定对所述目标程序的处理决策之前，所述方法还包括：配置所述目标容器中的进程的黑白名单和所述黑白名单对应的操作。
14.进一步地，根据所述目标信息，在所述目标容器中确定对所述目标程序的处理决策包括：根据所述目标信息与所述黑白名单进行匹配；若所述目标信息落入所述黑白名单中的黑名单，则将禁止所述目标程序运行作为所述处理决策；若所述目标信息落入所述黑白名单中的白名单，则将允许所述目标程序运行作为所述处理决策。
15.进一步地，根据所述目标信息与所述黑白名单进行匹配包括：若所述目标信息中包括可执行文件名称，则采用所述可执行文件名称与所述黑白名单进行匹配；若所述目标信息中包括md5值，则采用所述md5值与所述黑白名单进行匹配。
16.进一步地，若所述目标程序为文件目录的写入控制，在所述目标容器中确定对所述目标程序的处理决策之前，所述方法还包括：配置所述目标容器中允许写入的文件路径黑白名单和所述文件路径黑白名单对应的操作，其中，所述文件路径黑白名单的内容为文件目录。
17.进一步地，根据所述目标信息，在所述目标容器中确定对所述目标程序的处理决策包括：根据所述目标信息与所述文件路径黑白名单进行匹配；若所述目标信息落入所述文件路径黑白名单中的黑名单，则将禁止所述目标程序写入作为所述处理决策；若所述目标信息落入所述文件路径黑白名单中的白名单，则将允许所述目标程序写入作为所述处理决策。
18.为了实现上述目的，根据本技术的另一方面，提供了一种容器安全的处理装置。该装置包括：第一触发单元，用于在目标容器的应用程序执行目标程序时，触发处理流程请求；第一传递元，用于通过内核将所述处理流程请求传递到用户态中的安全服务容器；第一处理单元，用于响应所述处理流程请求，所述安全服务容器从操作系统内核读取执行所述
目标程序时的目标信息；第二处理单元，用于将所述目标信息发送至所述目标容器，根据所述目标信息对所述目标程序进行处理。
19.进一步地，所述第二处理单元包括：第一处理子单元，用于根据所述目标信息，在所述目标容器中确定对所述目标程序的处理决策；第一发送子单元，用于将所述处理决策发送至所述内核，以通过所述内核对所述目标程序执行目标操作。
20.进一步地，所述目标操作为：允许执行所述目标程序或者阻止执行所述目标程序。
21.进一步地，所述目标程序为：可执行文件的控制和文件目录的写入控制。
22.进一步地，所述装置还包括：第一配置单元，用于若所述目标程序为可执行文件的控制，在所述目标容器中确定对所述目标程序的处理决策之前，配置所述目标容器中的进程的黑白名单和所述黑白名单对应的操作。
23.进一步地，所述第一处理子单元包括：第一匹配模块，用于根据所述目标信息与所述黑白名单进行匹配；第一禁止模块，用于若所述目标信息落入所述黑白名单中的黑名单，则将禁止所述目标程序运行作为所述处理决策；第一允许模块，用于若所述目标信息落入所述黑白名单中的白名单，则将允许所述目标程序运行作为所述处理决策。
24.进一步地，所述第一匹配模块包括：第一采用子模块，用于若所述目标信息中包括可执行文件名称，则采用所述可执行文件名称与所述黑白名单进行匹配；第二采用子模块，用于若所述目标信息中包括md5值，则采用所述md5值与所述黑白名单进行匹配。
25.进一步地，所述装置还包括：第二配置单元，用于若所述目标程序为文件目录的写入控制，在所述目标容器中确定对所述目标程序的处理决策之前，配置所述目标容器中允许写入的文件路径黑白名单和所述文件路径黑白名单对应的操作，其中，所述文件路径黑白名单的内容为文件目录。
26.进一步地，所述第一处理子单元包括：：第二匹配模块，用于根据所述目标信息与所述文件路径黑白名单进行匹配；第二禁止模块，用于若所述目标信息落入所述文件路径黑白名单中的黑名单，则将禁止所述目标程序写入作为所述处理决策；第二允许模块，用于若所述目标信息落入所述文件路径黑白名单中的白名单，则将允许所述目标程序写入作为所述处理决策。
27.为了实现上述目的，根据本技术的另一方面，提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行上述的任意一项所述的容器安全的处理方法。
28.为了实现上述目的，根据本技术的另一方面，提供了一种存储介质，所述存储介质包括存储的程序，其中，所述程序执行上述的任意一项所述的容器安全的处理方法。
29.通过本技术，采用以下步骤：在目标容器的应用程序执行目标程序时，触发处理流程请求；通过内核将处理流程请求传递到用户态中的安全服务容器；响应处理流程请求，安全服务容器从操作系统内核读取执行目标程序时的目标信息；将目标信息发送至目标容器，根据目标信息对目标程序进行处理，解决了相关技术中在容器运行时，难以保护容器安全的问题。通过响应处理流程请求和根据从操作系统内核读取执行目标程序时的目标信息，对目标容器中的目标程序进行处理，从而使容器在运行时，保护容器免受威胁的攻击，进而达到了保护容器安全的效果。
附图说明
30.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
31.图1是根据本技术实施例提供的容器安全的处理方法的流程图；
32.图2是根据本技术实施例提供的可选的容器安全的处理方法的框架流程图；
33.图3是根据本技术实施例提供的容器安全的处理装置的示意图。
具体实施方式
34.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
35.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
36.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
37.根据本技术的实施例，提供了一种容器安全的处理方法。
38.图1是根据本技术实施例提供的容器安全的处理方法的流程图，如图1所示，该方法包括如下步骤：
39.步骤s101，在目标容器的应用程序执行目标程序时，触发处理流程请求。
40.当目标容器中的应用程序执行目标程序时，首先会触发处理流程请求。
41.步骤s102，通过内核将处理流程请求传递到用户态中的安全服务容器。
42.当目标容器中的应用程序执行目标程序时，内核将处理流程请求传递到用户态中的安全服务容器。
43.步骤s103，响应处理流程请求，安全服务容器从操作系统内核读取执行目标程序时的目标信息。
44.用户态可以从操作系统(kernel)中读取到可执行文件名称，进程pid信息、cgroup信息、可执行文件的内容、写入的文件名称，写入的文件目录名称等信息，以上读取到的这些信息即为上述的目标信息。
45.步骤s104，将目标信息发送至目标容器，根据目标信息对目标程序进行处理。
46.用户态将上述的目标信息映射到目标容器的id或应用程序中，并对目标程序进行处理。
47.上述的步骤s101至s104，通过响应处理流程请求和根据从操作系统内核读取执行目标程序时的目标信息，对目标容器中的目标程序进行处理，从而使容器在运行时，保护容
器免受威胁的攻击，进而达到了保护容器安全的效果。
48.可选地，在本技术实施例提供的容器安全的处理方法中，根据目标信息对目标程序进行处理包括：根据目标信息，在目标容器中确定对目标程序的处理决策；将处理决策发送至内核，以通过内核对目标程序执行目标操作。
49.如图2所示，此图为根据本技术实施例提供的可选的容器安全的处理方法的框架流程图。根据图2所示，首先将被保护容器的进程启动或文件写入请求从内核拦截到用户态决策，决策成功后内核继续后续操作。即在容器应用程序执行程序时内核将处理流程传递到用户态处理，处理结束后根据返回的结果内核继续执行容器启动的应用程序或返回容器执行失败(返回错误为没有权限)；在容器应用程序写文件时，内核将处理流程传递到用户态处理，处理结束后根据返回的结果内核继续写入文件或返回容器写失败(失败时返回错误没有权限)。另外，在目标容器中确定对目标程序的处理决策之前，可以根据k8s云环境的命名空间(namespace)、系统的应用(application)和使用的镜像确定匹配的策略的目标容器，故在此策略内可以配置进程、文件的具体行为。
50.通过上述的方案，采用内核与用户态相配合的方法，将策略执行放在用户态进行，用户态决策后，返回给内核允许或阻止的决策结果。操作系统(kernel)接收到用户态程序的决策结果后，若运行则继续后续加载流程或者进行继续创建、写入相关操作；若禁止则终止加载流程或者终止相关写入操作。故通过内核与用户态相配合，可以更有效的保证容器的运行安全。而且，利用系统本身已经存在的操作系统(kernel)模块，对用户生产环境冲击小，不需要加载操作系统(kernel)模块，对不同的操作系统(kernel)兼容性好，易于部署。另外，管理容器行为不需要在启动容器前配置，可以在任意时间配置策略，配置后立即生效，无须重启容器；且策略在攻击发生期间生效，可以阻断正在发生的攻击行为；且此策略配置基于k8s的命名空间(namespace)、系统的应用(application)、镜像等容器云资产对象，配置简单，易于管理。
51.可选地，在本技术实施例提供的容器安全的处理方法中，目标操作为：允许执行目标程序或者阻止执行目标程序。
52.在容器运行时会包含多种操作。所以明确指出了上述的目标操作为允许执行目标程序或者阻止执行目标程序
53.可选地，在本技术实施例提供的容器安全的处理方法中，目标程序为：可执行文件的控制和文件目录的写入控制。
54.在容器运行时，包含很多种类的应用程序。例如，可执行的进程，网络监听的端口，网络外发连接，文件读取/写入等以上这些都属于在容器运行时的应用程序。所以明确指出了上述的目标程序为可执行文件的控制和文件目录的写入控制。
55.可选地，在本技术实施例提供的容器安全的处理方法中，若目标程序为可执行文件的控制，在目标容器中确定对目标程序的处理决策之前，该方法还包括：配置目标容器中的进程的黑白名单和黑白名单对应的操作。
56.例如，配置目标容器中的进程的黑白名单和黑白名单对应的操作具体分为以下几点：进程的受控名单及相对应的动作；进程的白名单；进程的其他名单及动作，既不在受控名单也不在白名单的进程，用来管理未知进程的行为；管理进程的动作有：阻断，即阻止进程执行；告警，进程执行时触发告警；终止，进程执行时关闭进程所在容器；忽略。另外，在配
置目标容器中的进程的黑白名单和黑白名单对应的操作之前，可以根据目标程序的文件的id，过滤出目标容器中的目标程序，对目标外的容器中的程序不做拦截。
57.通过上述的方案，利用预先配置好的进程的黑白名单和黑白名单对应的操作，可以通过内核对可执行文件的控制程序执行准确的操作。
58.可选地，在本技术实施例提供的容器安全的处理方法中，根据目标信息，在目标容器中确定对目标程序的处理决策包括：根据目标信息与黑白名单进行匹配；若目标信息落入黑白名单中的黑名单，则将禁止目标程序运行作为处理决策；若目标信息落入黑白名单中的白名单，则将允许目标程序运行作为处理决策。
59.用户态程序可以根据执行文件名称或者md5值进行黑白名单决策。若匹配黑名单，用户态程序则禁止程序执行；若匹配白名单则放行。另外，未配置黑白名单的容器，用户态不会收到内核的事件通知。例如，攻击者可以利用容器的漏洞开启后台shell。容器应用允许执行的程序是相对固定的，可以通过黑白名单的方式禁止shell的执行(比如把/bin/bash加入黑名单)，同时将正常应用比如nginx加入白名单，可以保证正常业务的执行，同时对潜在shell命令等的执行，可以阻断攻击路径。
60.通过上述的方案，可以快速准确的对可执行文件的控制程序作出决策，从而保证了容器的运行安全，以免容器在运行时受到攻击。
61.可选地，在本技术实施例提供的容器安全的处理方法中，根据目标信息与黑白名单进行匹配包括：若目标信息中包括可执行文件名称，则采用可执行文件名称与黑白名单进行匹配；若目标信息中包括md5值，则采用md5值与黑白名单进行匹配。
62.例如，若目标信息中包括可执行文件名称，用户态程序则根据可执行文件名称进行黑白名单决策；若目标信息中包括md5值，用户态程序则根据md5值进行黑白名单决策。
63.通过上述的方案，根据执行文件名称或者md5值可以准确的进行黑白名单决策。
64.可选地，在本技术实施例提供的容器安全的处理方法中，若目标程序为文件目录的写入控制，在目标容器中确定对目标程序的处理决策之前，该方法还包括：配置目标容器中允许写入的文件路径黑白名单和文件路径黑白名单对应的操作，其中，文件路径黑白名单的内容为文件目录。
65.例如，配置目标容器中允许写入的文件路径黑白名单和文件路径黑白名单对应的操作具体分为以下几点：文件受控名单及动作；文件白名单；进程其他名单及动作；管理文件行为的动作有：阻断、告警、终止及忽略。另外，在配置目标容器中允许写入的文件路径黑白名单和文件路径黑白名单对应的操作之前，可以根据目标程序的文件的id，过滤出目标容器中的目标程序，对目标外的容器中的程序不做拦截。
66.通过上述的方案，利用预先配置好的允许写入的文件路径黑白名单和文件路径黑白名单对应的操作，可以通过内核对文件目录的写入控制程序执行准确的操作。
67.可选地，在本技术实施例提供的容器安全的处理方法中，根据目标信息，在目标容器中确定对目标程序的处理决策包括：根据目标信息与文件路径黑白名单进行匹配；若目标信息落入文件路径黑白名单中的黑名单，则将禁止目标程序写入作为处理决策；若目标信息落入文件路径黑白名单中的白名单，则将允许目标程序写入作为处理决策。
68.用户态可以根据文件名称进行黑白名单决策，若匹配黑名单，用户态程序禁止文件创建；若匹配白名单则放行。另外，未配置黑白名单的容器，用户态不会收到内核的事件
通知。例如，攻击者可以利用容器应用的漏洞将恶意文件(比如木马)上传到容器，并执行进行进一步攻击。由于容器的行为是相对固化的，可以通过配置文件目录的黑白名单阻止非法文件的写入，可以通过可执行文件的黑白名单阻止未知文件的执行，从而阻断了攻击链，可以有效防御定向威胁攻击(apt攻击)及0
‑
day等恶意攻击。
69.通过上述的方案，可以快速准确的对文件目录的写入控制程序作出决策，从而保证了容器的运行安全，以免容器在运行时受到攻击。
70.综上所述，本技术实施例提供的容器安全的处理方法，通过在目标容器的应用程序执行目标程序时，触发处理流程请求；通过内核将处理流程请求传递到用户态中的安全服务容器；响应处理流程请求，安全服务容器从操作系统内核读取执行目标程序时的目标信息；将目标信息发送至目标容器，根据目标信息对目标程序进行处理，解决了相关技术中在容器运行时，难以保护容器安全的问题。通过响应处理流程请求和根据从操作系统内核读取执行目标程序时的目标信息，对目标容器中的目标程序进行处理，从而使容器在运行时，保护容器免受威胁的攻击，进而达到了保护容器安全的效果。
71.需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
72.本技术实施例还提供了一种容器安全的处理装置，需要说明的是，本技术实施例的z装置可以用于执行本技术实施例所提供的用于容器安全的处理方法。以下对本技术实施例提供的容器安全的处理装置进行介绍。
73.图3是根据本技术实施例的容器安全的处理装置的示意图。如图3所示，该装置包括：第一触发单元301、第一传递元302、第一处理单元303、第二处理单元304。
74.具体地，第一触发单元301，用于在目标容器的应用程序执行目标程序时，触发处理流程请求；
75.第一传递元302，用于通过内核将处理流程请求传递到用户态中的安全服务容器；
76.第一处理单元303，用于响应处理流程请求，安全服务容器从操作系统内核读取执行目标程序时的目标信息；
77.第二处理单元304，用于将目标信息发送至目标容器，根据目标信息对目标程序进行处理。
78.综上，本技术实施例提供的容器安全的处理装置，通过第一触发单元301在目标容器的应用程序执行目标程序时，触发处理流程请求；第一传递元302通过内核将处理流程请求传递到用户态中的安全服务容器；第一处理单元303响应处理流程请求，安全服务容器从操作系统内核读取执行目标程序时的目标信息；第二处理单元304将目标信息发送至目标容器，根据目标信息对目标程序进行处理，解决了相关技术中在容器运行时，难以保护容器安全的问题。通过响应处理流程请求和根据从操作系统内核读取执行目标程序时的目标信息，对目标容器中的目标程序进行处理，从而使容器在运行时，保护容器免受威胁的攻击，进而达到了保护容器安全的效果。
79.可选地，在本技术实施例提供的容器安全的处理装置中，第二处理单元包括：第一处理子单元，用于根据目标信息，在目标容器中确定对目标程序的处理决策；第一发送子单元，用于将处理决策发送至内核，以通过内核对目标程序执行目标操作。
80.可选地，在本技术实施例提供的容器安全的处理装置中，目标操作为：允许执行目标程序或者阻止执行目标程序。
81.可选地，在本技术实施例提供的容器安全的处理装置中，目标程序为：可执行文件的控制和文件目录的写入控制。
82.可选地，在本技术实施例提供的容器安全的处理装置中，该装置还包括：第一配置单元，用于若目标程序为可执行文件的控制，在目标容器中确定对目标程序的处理决策之前，配置目标容器中的进程的黑白名单和黑白名单对应的操作。
83.可选地，在本技术实施例提供的容器安全的处理装置中，第一处理子单元包括：第一匹配模块，用于根据目标信息与黑白名单进行匹配；第一禁止模块，用于若目标信息落入黑白名单中的黑名单，则将禁止目标程序运行作为处理决策；第一允许模块，用于若目标信息落入黑白名单中的白名单，则将允许目标程序运行作为处理决策。
84.可选地，在本技术实施例提供的容器安全的处理装置中，第一匹配模块包括：第一采用子模块，用于若目标信息中包括可执行文件名称，则采用可执行文件名称与黑白名单进行匹配；第二采用子模块，用于若目标信息中包括md5值，则采用md5值与黑白名单进行匹配。
85.可选地，在本技术实施例提供的容器安全的处理装置中，该装置还包括：第二配置单元，用于若目标程序为文件目录的写入控制，在目标容器中确定对目标程序的处理决策之前，配置目标容器中允许写入的文件路径黑白名单和文件路径黑白名单对应的操作，其中，文件路径黑白名单的内容为文件目录。
86.可选地，在本技术实施例提供的容器安全的处理装置中，第一处理子单元包括：：第二匹配模块，用于根据目标信息与文件路径黑白名单进行匹配；第二禁止模块，用于若目标信息落入文件路径黑白名单中的黑名单，则将禁止目标程序写入作为处理决策；第二允许模块，用于若目标信息落入文件路径黑白名单中的白名单，则将允许目标程序写入作为处理决策。
87.所述容器安全的处理装置包括处理器和存储器，上述第一触发单元301、第一传递元302、第一处理单元303、第二处理单元304等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
88.处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来保护容器的安全。
89.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
90.本发明实施例提供了一种存储介质，其上存储有程序，该程序被处理器执行时实现所述容器安全的处理方法。
91.本发明实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行所述容器安全的处理方法。
92.本发明实施例提供了一种设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：在目标容器的应用程序执行目标程序时，触发处理流程请求；通过内核将所述处理流程请求传递到用户态中的安全服务
容器；响应所述处理流程请求，所述安全服务容器从操作系统内核读取执行所述目标程序时的目标信息；将所述目标信息发送至所述目标容器，根据所述目标信息对所述目标程序进行处理。
93.处理器执行程序时还实现以下步骤：根据所述目标信息对所述目标程序进行处理包括：根据所述目标信息，在所述目标容器中确定对所述目标程序的处理决策；将所述处理决策发送至所述内核，以通过所述内核对所述目标程序执行目标操作。
94.处理器执行程序时还实现以下步骤：所述目标操作为：允许执行所述目标程序或者阻止执行所述目标程序。
95.处理器执行程序时还实现以下步骤：所述目标程序为：可执行文件的控制和文件目录的写入控制。
96.处理器执行程序时还实现以下步骤：若所述目标程序为可执行文件的控制，在所述目标容器中确定对所述目标程序的处理决策之前，所述方法还包括：配置所述目标容器中的进程的黑白名单和所述黑白名单对应的操作。
97.处理器执行程序时还实现以下步骤：根据所述目标信息，在所述目标容器中确定对所述目标程序的处理决策包括：根据所述目标信息与所述黑白名单进行匹配；若所述目标信息落入所述黑白名单中的黑名单，则将禁止所述目标程序运行作为所述处理决策；若所述目标信息落入所述黑白名单中的白名单，则将允许所述目标程序运行作为所述处理决策。
98.处理器执行程序时还实现以下步骤：根据所述目标信息与所述黑白名单进行匹配包括：若所述目标信息中包括可执行文件名称，则采用所述可执行文件名称与所述黑白名单进行匹配；若所述目标信息中包括md5值，则采用所述md5值与所述黑白名单进行匹配。
99.处理器执行程序时还实现以下步骤：若所述目标程序为文件目录的写入控制，在所述目标容器中确定对所述目标程序的处理决策之前，所述方法还包括：配置所述目标容器中允许写入的文件路径黑白名单和所述文件路径黑白名单对应的操作，其中，所述文件路径黑白名单的内容为文件目录。
100.处理器执行程序时还实现以下步骤：根据所述目标信息，在所述目标容器中确定对所述目标程序的处理决策包括：根据所述目标信息与所述文件路径黑白名单进行匹配；若所述目标信息落入所述文件路径黑白名单中的黑名单，则将禁止所述目标程序写入作为所述处理决策；若所述目标信息落入所述文件路径黑白名单中的白名单，则将允许所述目标程序写入作为所述处理决策。
101.本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：在目标容器的应用程序执行目标程序时，触发处理流程请求；通过内核将所述处理流程请求传递到用户态中的安全服务容器；响应所述处理流程请求，所述安全服务容器从操作系统内核读取执行所述目标程序时的目标信息；将所述目标信息发送至所述目标容器，根据所述目标信息对所述目标程序进行处理。
102.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：根据所述目标信息对所述目标程序进行处理包括：根据所述目标信息，在所述目标容器中确定对所述目标程序的处理决策；将所述处理决策发送至所述内核，以通过所述内核对所述目标程序执行目标操作。
103.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：所述目标操作为：允许执行所述目标程序或者阻止执行所述目标程序。
104.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：所述目标程序为：可执行文件的控制和文件目录的写入控制。
105.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：若所述目标程序为可执行文件的控制，在所述目标容器中确定对所述目标程序的处理决策之前，所述方法还包括：配置所述目标容器中的进程的黑白名单和所述黑白名单对应的操作。
106.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：根据所述目标信息，在所述目标容器中确定对所述目标程序的处理决策包括：根据所述目标信息与所述黑白名单进行匹配；若所述目标信息落入所述黑白名单中的黑名单，则将禁止所述目标程序运行作为所述处理决策；若所述目标信息落入所述黑白名单中的白名单，则将允许所述目标程序运行作为所述处理决策。
107.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：根据所述目标信息与所述黑白名单进行匹配包括：若所述目标信息中包括可执行文件名称，则采用所述可执行文件名称与所述黑白名单进行匹配；若所述目标信息中包括md5值，则采用所述md5值与所述黑白名单进行匹配。
108.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：若所述目标程序为文件目录的写入控制，在所述目标容器中确定对所述目标程序的处理决策之前，所述方法还包括：配置所述目标容器中允许写入的文件路径黑白名单和所述文件路径黑白名单对应的操作，其中，所述文件路径黑白名单的内容为文件目录。
109.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：根据所述目标信息，在所述目标容器中确定对所述目标程序的处理决策包括：根据所述目标信息与所述文件路径黑白名单进行匹配；若所述目标信息落入所述文件路径黑白名单中的黑名单，则将禁止所述目标程序写入作为所述处理决策；若所述目标信息落入所述文件路径黑白名单中的白名单，则将允许所述目标程序写入作为所述处理决策。
110.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
111.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
112.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或
多个方框中指定的功能。
113.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
114.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
115.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
116.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd
‑
rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
117.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
118.本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
119.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。