技术特征:
1.一种容器安全的处理方法,其特征在于,包括:在目标容器的应用程序执行目标程序时,触发处理流程请求;通过内核将所述处理流程请求传递到用户态中的安全服务容器;响应所述处理流程请求,所述安全服务容器从操作系统内核读取执行所述目标程序时的目标信息;将所述目标信息发送至所述目标容器,根据所述目标信息对所述目标程序进行处理。2.根据权利要求1所述的方法,其特征在于,根据所述目标信息对所述目标程序进行处理包括:根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策;将所述处理决策发送至所述内核,以通过所述内核对所述目标程序执行目标操作。3.根据权利要求2所述的方法,其特征在于,所述目标操作为:允许执行所述目标程序或者阻止执行所述目标程序。4.根据权利要求2所述的方法,其特征在于,所述目标程序为:可执行文件的控制和文件目录的写入控制。5.根据权利要求4所述的方法,其特征在于,若所述目标程序为可执行文件的控制,在所述目标容器中确定对所述目标程序的处理决策之前,所述方法还包括:配置所述目标容器中的进程的黑白名单和所述黑白名单对应的操作。6.根据权利要求5所述的方法,其特征在于,根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策包括:根据所述目标信息与所述黑白名单进行匹配;若所述目标信息落入所述黑白名单中的黑名单,则将禁止所述目标程序运行作为所述处理决策;若所述目标信息落入所述黑白名单中的白名单,则将允许所述目标程序运行作为所述处理决策。7.根据权利要求6所述的方法,其特征在于,根据所述目标信息与所述黑白名单进行匹配包括:若所述目标信息中包括可执行文件名称,则采用所述可执行文件名称与所述黑白名单进行匹配;若所述目标信息中包括md5值,则采用所述md5值与所述黑白名单进行匹配。8.根据权利要求4所述的方法,其特征在于,若所述目标程序为文件目录的写入控制,在所述目标容器中确定对所述目标程序的处理决策之前,所述方法还包括:配置所述目标容器中允许写入的文件路径黑白名单和所述文件路径黑白名单对应的操作,其中,所述文件路径黑白名单的内容为文件目录。9.根据权利要求8所述的方法,其特征在于,根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策包括:根据所述目标信息与所述文件路径黑白名单进行匹配;若所述目标信息落入所述文件路径黑白名单中的黑名单,则将禁止所述目标程序写入作为所述处理决策;若所述目标信息落入所述文件路径黑白名单中的白名单,则将允许所述目标程序写入
作为所述处理决策。10.一种容器安全的处理装置,其特征在于,包括:第一触发单元,用于在目标容器的应用程序执行目标程序时,触发处理流程请求;第一传递元,用于通过内核将所述处理流程请求传递到用户态中的安全服务容器;第一处理单元,用于响应所述处理流程请求,所述安全服务容器从操作系统内核读取执行所述目标程序时的目标信息;第二处理单元,用于将所述目标信息发送至所述目标容器,根据所述目标信息对所述目标程序进行处理。11.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1至9中任意一项所述的容器安全的处理方法。12.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至9中任意一项所述的容器安全的处理方法。
技术总结
本申请公开了一种容器安全的处理方法及装置、存储介质和处理器。该方法包括:在目标容器的应用程序执行目标程序时,触发处理流程请求;通过内核将处理流程请求传递到用户态中的安全服务容器;响应处理流程请求,安全服务容器从操作系统内核读取执行目标程序时的目标信息;将目标信息发送至目标容器,根据目标信息对目标程序进行处理。通过本申请,解决了相关技术中在容器运行时,难以保护容器安全的问题。题。题。
技术研发人员:渠海峡 崔应杰 张烨
受保护的技术使用者:山石网科通信技术股份有限公司
技术研发日:2021.09.08
技术公布日:2021/12/13