[发明专利]Linux容器的细粒度沙盒策略挖掘方法

摘要

本发明提供了一种Linux容器的细粒度沙盒策略挖掘方法，自动挖掘生成目标容器定制化的沙盒策略，该策略符合最小特权原则，通过限制目标容器的系统调用类型及参数，减少攻击面。所述方法包括：容器行为监控控制模块启动Linux系统监控工具，实时监控并记录目标容器的系统调用行为；容器自动化测试模块运行目标容器的测试用例，遍历执行目标容器的功能；沙盒策略生成模块从记录的监控数据中，提取目标容器的系统调用行为特征，并转化为沙盒策略。 1

主权项

1.一种Linux容器的细粒度沙盒策略挖掘方法；包括：容器行为监控控制模块、容器自动化测试模块和沙盒策略生成模块；容器行为监控控制模块启动Linux系统监控工具，实时监控并记录目标容器的系统调用行为；容器自动化测试模块运行目标容器的测试用例，遍历执行目标容器的功能；沙盒策略生成模块从记录的监控数据中，提取目标容器的系统调用行为特征，并转化为沙盒策略。

2.根据权利要求1所述的方法，其特征在于，包括以下步骤：

步骤1：启动目标容器，容器行为监控控制模块启动Linux系统监控工具，实时监控并完整记录目标容器的系统调用行为；

步骤2：容器自动化测试模块根据目标容器的功能，选取测试用例；然后运行测试用例，遍历执行目标容器的功能；

同时，系统监控工具实时监控并完整记录目标容器在执行任一功能时的系统调用行为；对于目标容器的每次系统调用访问，记录系统调用访问入口的时间戳、进程号、系统调用类型及参数列表，以及系统调用访问出口的时间戳、进程号、系统调用类型及返回值。

步骤3：沙盒策略生成模块以记录的目标容器的系统调用行为作为输入，提取目标容器的系统调用行为特征；具体为：

步骤3.1：从记录的目标容器的系统调用行为中，提取目标容器所访问的系统调用类型和参数，筛选出参数类别为路径名或离散数值的系统调用；

步骤3.2：针对步骤3.1筛选出的系统调用，对同一系统调用类型的各个系统调用参数分别进行建模，分别得到参数模型；

步骤3.3：提取每个参数模型的变量；根据变量对系统调用进行聚类操作，获得每个集合中所有系统调用共有的特征，即行为特征。

步骤4：将目标容器的系统调用的所有行为特征转化生成沙盒策略。