用于运行时微服务保护的引用策略的自动合成的制作方法

本公开总体上涉及微服务计算环境中的入侵检测。

背景技术：

1、如今，应用开发者经常将大型分布式系统拆分成通信传送的“微服务”，这些微服务全部在例如容器编排引擎(coe)(诸如kubernetes、docker swarm或openshift)内并行运行。每个编排引擎提取包含应用、其依赖性以及分层文件系统中的小操作系统(os)分布的镜像，并且其在硬件节点上创建其自身的命名空间内的进程。

2、引用监视连续地检查程序的执行以检查偏离引用策略的任何行为。引用策略总结了运营商在正常执行时可预期观察到的程序的行为。如果对手以某种方式劫持程序，则任何恶意行为应该偏离引用策略，并且生成针对操作者的警报，或终止被危害的程序。存在用于在操作系统中的各进程上执行策略的许多引用监视器，但是最近对微服务的采用(其中开发者跨服务网格编写大型分布式应用)需要新颖的方法来引用超出在现有操作系统内核中找到的能力的监视，或基于编译器的方法。云操作者和个体安全供应商已经开始提供构建在细粒度容器遥测之上的异常检测服务，但是这些方法通常需要显著的人工专业知识来强制实施，或者它们仅专注于检测跨所有工作负载持久存在的公知问题，诸如开发者在没有许可的情况下访问生产容器或者检测对云架构进行的利用。

3、此外，为引用监视器定义策略是需要显著专业知识来有效执行的手动任务。自动方法确实存在，但是它们通常专注于检测共同的安全问题，与导出针对单个应用定制的策略相反。授权应用特定策略中的最近进展包括针对在linux内核内发现的selinux引用监视器引入公共中间语言(cil)。虽然这允许操作者以声明性语言来定义引用策略，但是仍然需要受保护程序的深度专业知识来写入有用的策略。此外，这些策略是无状态的，并且它们不允许分析师推理程序可在系统资源上进行的复杂操作序列。现有技术的引用监视器目前缺乏用于定义状态策略的完全自动的方法，所述状态策略准确地描述程序如何与系统资源交互。

技术实现思路

1、一种用于容器环境中的自动安全策略合成和使用的方法、装置和计算机程序产品。在该方法中，在二进制分析平台内执行与容器镜像相关联的程序的二进制分析。在二进制分析期间，程序直接在分析平台内被微执行，以生成概括运行时容器环境内程序的预期交互的图。通过分析在微执行程序期间发现的一个或多个系统调用及其参数来标识预期交互。一旦图被创建，安全策略然后从图被自动合成并被实例化到容器环境中。策略嵌入至少一个系统调用参数。在与在容器环境中执行的程序相关联的事件序列的运行时监视期间，当确定事件序列违反安全策略时采取动作。

2、前述内容概述了所公开的主题的一些更相关的特征。这些特征应被解释为仅是说明性的。许多其他有益的结果可以通过以不同方式应用所披露的主题或通过修改如将描述的主题来获得。

技术特征：

1.一种用于容器环境中的自动安全策略合成和使用的方法，包括：

2.根据权利要求1所述的方法，其中，通过分析在微执行所述程序期间发现的一个或多个系统调用及其参数来标识所述程序的所述预期交互。

3.根据权利要求2所述的方法，其中，所述安全策略嵌入至少一个系统调用参数。

4.根据权利要求1所述的方法，还包括对指定外部库函数的行为的应用二进制接口(abi)建模，并且在所述程序的微执行期间，生成执行所述外部库函数的效果而无需其微执行。

5.根据权利要求1所述的方法，其中，当所述程序微执行时，访问所述容器镜像中标识的一个或多个资源。

6.根据权利要求1所述的方法，其中，在二进制分析之前，所述程序被提升为保留基础指令集架构(isa)的语义的中间表示。

7.根据权利要求6所述的方法，其中，微执行所述程序执行所述中间表示。

8.一种装置，包括：

9.根据权利要求8所述的装置，其中，所述程序的所述预期交互由程序代码标识，所述程序代码被配置为分析在微执行所述程序期间发现的一个或多个系统调用及其参数。

10.根据权利要求9所述的装置，其中，所述安全策略嵌入至少一个系统调用参数。

11.根据权利要求8所述的装置，还包括用于对应用二进制接口(abi)建模的程序代码，所述abi指定外部库函数的行为，并且其中，在所述程序的微执行期间，所述程序代码还被配置为生成执行所述外部库函数而不需要其微执行的效果。

12.根据权利要求8所述的装置，其中，当所述程序微执行时，访问所述容器镜像中标识的一个或多个资源。

13.根据权利要求8所述的装置，还包括将所述程序提升为保留基础指令集架构(isa)的语义的中间表示的程序代码。

14.根据权利要求13所述的装置，其中，微执行所述程序执行所述中间表示。

15.一种非易失性计算机可读介质中的用于在数据处理系统中使用的计算机程序产品，所述计算机程序产品保持由所述数据处理系统执行以执行容器环境中的自动安全策略合成和使用的计算机程序指令，所述计算机程序指令包括程序代码，所述程序代码被配置为：

16.根据权利要求15所述的计算机程序产品，其中，所述程序的所述预期交互由程序代码标识，所述程序代码被配置为分析在微执行所述程序期间发现的一个或多个系统调用及其参数。

17.根据权利要求16所述的计算机程序产品，其中，所述安全策略嵌入至少一个系统调用参数。

18.根据权利要求15所述的计算机程序产品，还包括用于对应用二进制接口(abi)建模的程序代码，所述abi指定外部库函数的行为，并且其中，在所述程序的微执行期间，所述程序代码还被配置为生成执行所述外部库函数而不需要其微执行的效果。

19.根据权利要求15所述的计算机程序产品，其中，当所述程序微执行时，访问所述容器镜像中标识的一个或多个资源。

20.根据权利要求15所述的计算机程序产品，还包括将所述程序提升为保留基础指令集架构(isa)的语义的中间表示的程序代码。

21.根据权利要求20所述的计算机程序产品，其中，微执行所述程序执行所述中间表示。

技术总结
一种用于容器环境中的自动安全策略合成和使用的方法、装置和计算机程序产品。在该方法中，在二进制分析平台内执行与容器镜像相关联的程序的二进制分析。在二进制分析期间，程序在分析平台内被直接微执行，以生成概括程序在运行时容器环境内的预期交互的图。通过分析在微执行程序期间发现的一个或多个系统调用及其参数来标识预期交互。一旦图被创建，安全策略然后从图被自动合成并被实例化到容器环境中。策略嵌入至少一个系统调用参数。在与在容器环境中执行的程序相关联的事件序列的运行时监视期间，当确定事件序列违反安全策略时采取动作。

技术研发人员：F·阿劳约,W·布莱尔,T·P·泰勒
受保护的技术使用者：国际商业机器公司
技术研发日：
技术公布日：2024/3/21