| 基于异构观测链的容器逃逸检测方法 |
| |
| 引用本文: | 张云涛,方滨兴,杜春来,王忠儒,崔志坚,宋首友.基于异构观测链的容器逃逸检测方法[J].通信学报,2023(1):49-63. |
| |
| 作者姓名: | 张云涛 方滨兴 杜春来 王忠儒 崔志坚 宋首友 |
| |
| 作者单位: | 1. 北京邮电大学网络空间安全学院;2. 广州大学网络空间先进技术研究院;3. 北方工业大学信息学院;4. 中国网络空间研究院信息化研究所;5. 北京丁牛科技有限公司 |
| |
| 基金项目: | 国家自然科学基金资助项目(No.62172006);;国家重点研发计划基金资助项目(No.2019YFA0706404)~~; |
| |
| 摘 要: | 针对现有容器逃逸检测技术漏报率较高的问题,提出一种异构观测的实时检测方法。首先对利用内核漏洞的容器逃逸行为建模,选取进程的关键属性作为观测点,提出以“权限提升”为检测标准的异构观测方法;然后利用内核模块实时捕获进程的属性信息,构建进程起源图,并通过容器内外进程边界识别技术缩小起源图规模;最后基于进程属性信息构建异构观测链,实现原型系统HOC-Detector。实验结果表明,HOC-Detector可以成功检测测试数据集中利用内核漏洞的容器逃逸,并且运行时增加的总体开销低于0.8%。
|
| 关 键 词: | 容器逃逸 内核漏洞 开放起源模型 异构观测链 |
|
|
