[发明专利]Linux容器的细粒度沙盒策略挖掘方法

说明书

本发明提供了一种Linux容器的细粒度沙盒策略挖掘方法，自动挖掘生成目标容器定制化的沙盒策略，该策略符合最小特权原则，通过限制目标容器的系统调用类型及参数，减少攻击面。所述方法包括：容器行为监控控制模块启动Linux系统监控工具，实时监控并记录目标容器的系统调用行为；容器自动化测试模块运行目标容器的测试用例，遍历执行目标容器的功能；沙盒策略生成模块从记录的监控数据中，提取目标容器的系统调用行为特征，并转化为沙盒策略。

技术领域

本发明专利属于计算机技术领域，涉及云计算安全方向。更具体的讲，本发明专利涉及一种Linux容器的细粒度沙盒策略挖掘方法。

背景技术

Linux容器技术采用命名空间将进、文件、设备等资源进行隔离，为用户提供几近原生的性能体验，极大降低了虚拟化的额外开销。Docker容器是最具代表性的Linux容器技术之一。

Linux容器的安全问题已成为限制其广泛使用的重要影响因素。安全问题主要来源于，系统调用接口未实现命名空间的隔离，同一宿主操作系统上的容器共享系统调用接口。攻击者可通过系统调用接口，利用内核漏洞进行权限提升、任意代码执行、绕过访问控制、实现隔离机制的逃逸。

如何提高容器的安全性？一种直观的方法是将容器放在沙盒中，限制容器访问系统调用接口的行为。当可信容器被攻击者攻占后，沙盒的存在一定程度上可以限制攻击者对底层操作系统的影响。系统调用拦截技术是一种限制程序系统调用行为的有效技术，基于系统调用拦截技术的沙盒技术得到研究界及工业界的广泛关注。相关研究关注沙盒技术的具体实现方法以及保障系统调用拦截的安全性，然而，为每个Linux容器生成精确高效的沙盒策略具有挑战性。

发明内容

针对上述问题，本发明提出一种Linux容器的细粒度沙盒策略挖掘方法，自动挖掘生成目标容器定制化的沙盒策略，该策略符合最小特权原则，通过限制目标容器的系统调用类型及参数，减少攻击面。

所述方法包括包括：容器行为监控控制模块、容器自动化测试模块和沙盒策略生成模块，如图1所示。容器行为监控控制模块启动Linux系统监控工具，实时监控并记录目标容器的系统调用行为；容器自动化测试模块运行目标容器的测试用例，遍历执行目标容器的功能；沙盒策略生成模块从记录的监控数据中，提取目标容器的系统调用行为特征，并转化为沙盒策略。

Linux容器的细粒度沙盒策略挖掘方法，具体包括以下步骤：

步骤1：启动目标容器，容器行为监控控制模块启动Linux系统监控工具，实时监控并完整记录目标容器的系统调用行为；

步骤2：容器自动化测试模块根据目标容器的功能，选取测试用例；然后运行测试用例，遍历执行目标容器的功能；

同时，系统监控工具实时监控并完整记录目标容器在执行任一功能时的系统调用行为；对于目标容器的每次系统调用访问，记录系统调用访问入口的时间戳、进程号、系统调用类型及参数列表，以及系统调用访问出口的时间戳、进程号、系统调用类型及返回值。

步骤3：沙盒策略生成模块以记录的目标容器的系统调用行为作为输入，提取目标容器的系统调用行为特征；具体为：

步骤3.1：从记录的目标容器的系统调用行为中，提取目标容器所访问的系统调用类型和参数，筛选出参数类别为路径名或离散数值的系统调用；

步骤3.2：针对步骤3.1筛选出的系统调用，对同一系统调用类型的各个系统调用参数分别进行建模，分别得到参数模型；

步骤3.3：提取每个参数模型的变量；根据变量对系统调用进行聚类操作，获得每个集合中所有系统调用共有的特征，即行为特征。

步骤4：将目标容器的系统调用的所有行为特征转化生成沙盒策略。

本发明下有益效果在于：