[发明专利]一种容器内部应用软件漏洞无感缓解装置及其缓解方法

说明书

本发明公开了一种容器内部应用软件漏洞无感缓解装置及其缓解方法，该装置包括：容器启动器附加流程单元，用于修改应用软件漏洞无感缓解策略加载单元和应用软件漏洞无感缓解策略执行单元的动态链接顺序优先于容器内部的动态链接库的动态链接顺序；应用软件漏洞无感缓解策略加载单元，用于加载和初始化应用软件漏洞无感缓解策略；应用软件漏洞无感缓解策略执行单元，包括针对不同动态链接库调用的副本，每个副本用于根据对应动态链接库的调用进行对应应用软件漏洞无感缓解策略的执行。通过实施本发明，经过应用软件漏洞无感缓解策略的加载和执行，实现对已知漏洞利用程序的匹配过滤，使用户免于针对性的已知漏洞利用攻击。

技术领域

本发明涉及信息安全技术领域，具体涉及一种容器内部应用软件漏洞无感缓解装置及其缓解方法。

背景技术

容器是一种轻量级虚拟化技术，既可用于云服务器场景，亦可用于嵌入式场景，其核心是利用操作系统提供的沙箱接口，为指定应用程序部署适当的沙箱运行时环境并在该环境内执行该应用程序。容器内部应用程序不可避免地会存在漏洞，而针对漏洞，安全运维主要面临的问题，一是软件厂商无法及时提供漏洞补丁；二是应用程序漏洞补丁安装对终端业务运行的连续性和可靠性存在潜在的影响。

现有的漏洞利用缓解技术一般指虚拟补丁技术，是通过控制所保护系统的输入输出，防止对软件的漏洞攻击的技术。也就是说能够在不中断应用程序和业务运营的情况下，建立的一个虚拟补丁策略实施层，在恶意软件危及易受攻击目标之前，高效地修正有可能会攻击漏洞的应用程序输入流，也能够针对漏洞攻击行为做到有效地发现和拦截。通常虚拟补丁技术被用于Web应用系统和数据库。但是虚拟补丁技术通常由独立的应用层防火墙设备实现，实施代价较大，而对于小流量场景，独立设备的性能也远超需要。

发明内容

有鉴于此，本发明实施例提供了涉及一种容器内部应用软件漏洞无感缓解装置及其缓解方法，以解决现有技术中采用虚拟补丁技术实现漏洞利用缓解实施代价较大的技术问题。

本发明提出的技术方案如下：

本发明实施例第一方面提供一种容器内部应用软件漏洞无感缓解装置，包括：容器启动器附加流程单元、应用软件漏洞无感缓解策略加载单元和应用软件漏洞无感缓解策略执行单元，所述容器启动器附加流程单元，用于修改应用软件漏洞无感缓解策略加载单元和应用软件漏洞无感缓解策略执行单元的动态链接顺序优先于容器内部的动态链接库的动态链接顺序；所述应用软件漏洞无感缓解策略加载单元，用于加载和初始化应用软件漏洞无感缓解策略；所述应用软件漏洞无感缓解策略执行单元，包括针对不同动态链接库调用的副本，每个副本用于根据对应动态链接库的调用进行对应应用软件漏洞无感缓解策略的执行。

可选地，所述容器启动器附加流程单元还用于挂载所述应用软件漏洞无感缓解策略加载单元和应用软件漏洞无感缓解策略执行单元所在位置到容器内部。

可选地，所述容器启动器附加流程单元配置在容器启动器中，附着于容器启动流程执行环节，用于当容器启动器启动时被执行。

可选地，所述容器启动器附加流程单元配置到容器启动器的方式为采用符合标准OCI规范并含有容器启动器附加流程的容器启动器替换原有容器启动器。

可选地，所述应用软件漏洞无感缓解策略加载单元附着于容器内部应用程序的操作系统初始化执行环节，用于初始化应用软件漏洞无感缓解策略执行单元对应的应用软件漏洞无感缓解策略。

可选地，所述应用软件漏洞无感缓解策略加载单元程序和所述应用软件漏洞无感缓解策略执行单元程序编译为二进制动态链接库。

可选地，所述应用软件漏洞无感缓解策略的保存位置和所述应用软件漏洞无感缓解策略加载单元、应用软件漏洞无感缓解策略执行单元的保存位置相同，所述应用软件漏洞无感缓解策略的组织方式为多元组集合。