技术特征:
1.一种文件处理方法,其特征在于,应用于目标容器;运行所述目标容器的宿主机上还运行除所述目标容器以外的至少一个容器;所述文件处理方法包括:接收文件处理指令;当所述文件处理指令表示处理所述至少一个容器的文件系统中的容器文件时,遍历第一容器监控列表中的所述至少一个容器的文件目录,从所述至少一个容器的文件系统中获取所述容器文件的文件描述符,并根据所述文件描述符对所述容器文件执行文件扫描处理;所述第一容器监控列表包括所述至少一个容器的文件系统的文件系统标识;当所述文件处理指令表示处理所述宿主机的文件系统中的宿主机文件时,遍历预先挂载的所述宿主机文件的根目录在所述目标容器中的挂载目录,对所述宿主机文件执行文件扫描处理。2.根据权利要求1所述的文件处理方法,其特征在于,还包括:获取第二容器监控列表;调用预先安装的目标程序获取目标进程的进程信息;所述目标程序用于获取不同文件系统内的进程的进程信息;所述文件系统为所述宿主机的文件系统或第一容器的文件系统;所述第一容器为所述至少一个容器中的任一容器;所述进程信息包括:用于表示运行所述目标进程的文件系统的文件系统标识;当所述文件系统标识用于表示运行所述目标进程的文件系统为所述第一容器的文件系统时,基于所述进程信息,更新所述第二容器监控列表,以得到所述第一容器监控列表。3.根据权利要求2所述的文件处理方法,其特征在于,所述进程信息还包括:进程事件类型和进程标识;当所述进程标识表示所述目标进程为初始进程时,所述进程信息还包括所述第一容器的文件目录;所述当所述文件系统标识用于表示运行所述目标进程的文件系统为所述第一容器的文件系统时,基于所述进程信息,更新所述第二容器监控列表,以得到所述第一容器监控列表,包括:当所述进程标识表示所述目标进程为初始进程、且所述进程事件类型为进程创建事件时,在所述第二容器监控列表中添加所述第一容器的文件系统的文件系统标识和所述第一容器的文件目录;当所述进程标识表示所述目标进程为初始进程、且所述进程事件类型为进程退出事件时,在所述第二容器监控列表中删除所述第一容器的文件系统的文件系统标识和所述第一容器的文件目录。4.根据权利要求1所述的文件处理方法,其特征在于,还包括:挂载所述宿主机的文件系统的根目录;当所述根目录中不包括所述目标程序的安装信息时,向所述宿主机发送用于指示所述宿主机安装所述目标程序的指示消息,以使得所述宿主机响应于所述指示消息安装所述目标程序,并更新所述根目录;当所述根目录中包括所述目标程序的安装信息时,加载所述目标程序。5.根据权利要求2或4所述的文件处理方法,其特征在于,所述目标程序为扩展的伯克利数据包过滤器ebpf程序。6.根据权利要求1所述的文件处理方法,其特征在于,所述当所述文件处理指令表示处
理所述至少一个容器的文件系统中的容器文件时,遍历预先存储的第一容器监控列表中的所述至少一个容器的文件目录,从所述至少一个容器的文件系统中获取所述容器文件的文件描述符,包括:根据所述文件系统标识更新预先创建的进程的进程参数,以得到更新后的进程;所述进程用于从与所述进程的进程参数对应的文件系统中获取文件的文件描述符;调用所述更新后的进程,并根据所述至少一个容器的文件目录获取所述容器文件的文件描述符。7.根据权利要求1所述的文件处理方法,其特征在于,所述当所述文件处理指令表示处理所述至少一个容器的文件系统中的容器文件时,遍历预先存储的第一容器监控列表中的所述至少一个容器的文件目录,从所述至少一个容器的文件系统中获取所述容器文件的文件描述符,并根据所述文件描述符对所述容器文件执行文件扫描处理之后,还包括:当所述容器文件中包括恶意文件时,执行预设处理策略;所述预设处理策略包括:重启所述恶意文件对应的容器、删除所述恶意文件或者隔离所述恶意文件中的至少一项。8.一种文件处理装置,其特征在于,包括:接收单元、第一处理单元和第二处理单元;所述接收单元,用于接收文件处理指令;所述第一处理单元,用于当所述接收单元接收的所述文件处理指令表示处理所述至少一个容器的文件系统中的容器文件时,遍历第一容器监控列表中的所述至少一个容器的文件目录,从所述至少一个容器的文件系统中获取所述容器文件的文件描述符,并根据所述文件描述符对所述容器文件执行文件扫描处理;所述第一容器监控列表包括所述至少一个容器的文件系统的文件系统标识;所述第二处理单元,用于当所述接收单元接收的所述文件处理指令表示处理所述宿主机的文件系统中的宿主机文件时,遍历预先挂载的所述宿主机文件的根目录在所述目标容器中的挂载目录,对所述宿主机文件执行文件扫描处理。9.根据权利要求8所述的文件处理装置,其特征在于,还包括:第三处理单元;所述第三处理单元,用于:获取第二容器监控列表;调用预先安装的目标程序获取目标进程的进程信息;所述目标程序用于获取不同文件系统内的进程的进程信息;所述文件系统为所述宿主机的文件系统或第一容器的文件系统;所述第一容器为所述至少一个容器中的任一容器;所述进程信息包括:用于表示运行所述目标进程的文件系统的文件系统标识;当所述文件系统标识用于表示运行所述目标进程的文件系统为所述第一容器的文件系统时,基于所述进程信息,更新所述第二容器监控列表,以得到所述第一容器监控列表。10.根据权利要求9所述的文件处理装置,其特征在于,所述进程信息还包括:进程事件类型和进程标识;当所述进程标识表示所述目标进程为初始进程时,所述进程信息还包括所述第一容器的文件目录;所述第三处理单元,具体用于:当所述进程标识表示所述目标进程为初始进程、且所述进程事件类型为进程创建事件时,在所述第二容器监控列表中添加所述第一容器的文件系统的文件系统标识和所述第一容器的文件目录;当所述进程标识表示所述目标进程为初始进程、且所述进程事件类型为进程退出事件
时,在所述第二容器监控列表中删除所述第一容器的文件系统的文件系统标识和所述第一容器的文件目录。11.根据权利要求8所述的文件处理装置,其特征在于,还包括:第四处理单元;所述第四处理单元,用于:挂载所述宿主机的文件系统的根目录;当所述根目录中不包括所述目标程序的安装信息时,向所述宿主机发送用于指示所述宿主机安装所述目标程序的指示消息,以使得所述宿主机响应于所述指示消息安装所述目标程序,并更新所述根目录;当所述根目录中包括所述目标程序的安装信息时,加载所述目标程序。12.根据权利要求9或10所述的文件处理装置,其特征在于,所述目标程序为扩展的伯克利数据包过滤器ebpf程序。13.根据权利要求8所述的文件处理装置,其特征在于,所述第一处理单元,具体用于:根据所述文件系统标识更新预先创建的进程的进程参数,以得到更新后的进程;所述进程用于从与所述进程的进程参数对应的文件系统中获取文件的文件描述符;调用所述更新后的进程,并根据所述至少一个容器的文件目录获取所述容器文件的文件描述符。14.根据权利要求8所述的文件处理装置,其特征在于,还包括:第五处理单元;所述第五处理单元,用于当所述容器文件中包括恶意文件时,执行预设处理策略;所述预设处理策略包括:重启所述恶意文件对应的容器、删除所述恶意文件或者隔离所述恶意文件中的至少一项。15.一种文件处理装置,其特征在于,包括存储器和处理器;所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过总线连接;当所述文件处理装置运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述文件处理装置执行如权利要求1-7任一项所述的文件处理方法。16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括计算机执行指令,当所述计算机执行指令在计算机上运行时,使得所述计算机执行如权利要求1-7任一项所述的文件处理方法。
技术总结
本申请提供一种文件处理方法、装置及存储介质,涉及信息安全领域,用于解决无法处理宿主机和所有容器中的文件的问题。该方法包括:通过调用预先安装的目标程序获取目标文件的文件信息。然后,当目标文件的文件系统为第一容器的文件系统时,基于文件信息,从第一容器的文件系统中获取目标文件的文件描述符,并根据文件描述符对所述目标文件执行文件扫描处理。当目标文件的文件系统为宿主机的文件系统时,获取文件存储路径在目标容器中的映射文件路径,并根据映射文件路径对目标文件执行文件扫描处理。本申请可以实现对宿主机和所有容器的文件的处理。的文件的处理。的文件的处理。
技术研发人员:李旻旻 佘怀化 孔庆祥
受保护的技术使用者:亚信科技(成都)有限公司
技术研发日:2022.03.16
技术公布日:2022/6/24