[发明专利]一种容器环境下的文件防篡改方法及装置

说明书

本申请涉及网络安全技术领域，尤其涉及一种容器环境下的文件防篡改方法及装置，获取进程发起的文件修改请求，其中，所述文件修改请求中至少包括所述进程的名字空间信息和待修改文件对应的文件名或文件路径信息；根据所述名字空间信息、预设的容器实例标识计算算法，以及各名字空间信息与容器实例标识之间的对应关系，计算所述进程所属的容器实例对应的容器实例标识；根据所述容器实例标识，查找到所述容器实例对应的文件防护策略；根据所述文件防护策略和所述文件路径，确定是否阻止所述进程对所述待修改文件进行修改。这样，能够提高多容器实例环境下文件防篡改检测的准确度。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种容器环境下的文件防篡改方法及装置。

背景技术

目前，随着容器技术的发展，业务容器化被广泛应用于多种场景中，例如，可以应用于公有云、私有云等业务中。为了保证容器文件的安全性，相应地就需要防止容器文件被篡改，因此，如何能够实现对Linux操作系统容器环境下的文件防篡改进行检测，成为了一个亟待解决的问题。

相关技术中，当需要确定是否允许进程对文件进行修改时，可以采用内核事件触发机制实现。例如，对操作系统I/O访问相关系统调用函数进行HOOK处理，当进程发起文件写操作请求时，对进程的合法性进行检测，从而确定是否允许进程对文件进行修改。

然而，使用相关技术中的这种方式对文件防篡改进行检测时，若同一个宿主机环境下同时运行多个(2个或以上)容器实例，且任意2个容器实例内存在相同的防护目录或防护文件但各自拥有不同的访问权限，当其中任意一个容器实例中的任意一个应用发起对防护目录或防护文件的访问请求时，系统无法判断发起文件访问请求的进程来源于哪一个容器，也就无法确定该进程是否拥有该防护文件的访问请求，从而会降低文件防篡改检测的准确度。

发明内容

本申请实施例提供一种容器环境下的文件防篡改方法及装置，以提高文件防篡改检测的准确度。

本申请实施例提供的具体技术方案如下：

一种容器环境下的文件防篡改方法，包括：

获取进程发起的文件修改请求，其中，所述文件修改请求中至少包括所述进程的名字空间信息和待修改文件对应的文件名或文件路径信息；

根据所述名字空间信息、预设的容器实例标识计算算法，以及各名字空间信息与容器实例标识之间的对应关系，计算所述进程所属的容器实例对应的容器实例标识，其中，宿主机内核管理各容器实例标识，每一个容器实例标识对应于一种预先配置的文件防护策略；

根据所述容器实例标识，查找到所述容器实例对应的文件防护策略，其中，所述文件防护策略中至少包括各防护目录或具体的防护文件路径和对应的访问权限；

根据所述文件防护策略和所述文件路径，确定是否阻止所述进程对所述待修改文件进行修改。

可选的，获取进程发起的文件修改请求之前，进一步包括：

获取防护策略配置请求，其中，所述防护策略配置请求中至少包括配置服务进程对应的名字空间信息，防护目录或具体的防护文件路径，以及所述各文件的访问权限；

根据所述配置服务进程对应的名字空间信息，计算所述配置服务进程所属的容器实例标识；

针对具体的容器实例，从宿主机内核管理的容器实例防护信息表中分配一个空白防护信息项，将当前容器实例标识及配置请求中携带的每个防护策略信息字段填充到该新分配的防护信息项对应的内容字段中。

可选的，若所述文件防护策略中至少包括待防护列表，则根据所述文件防护策略和所述文件路径，确定是否阻止所述进程对所述待修改文件进行修改，具体包括：