[发明专利]基于内容差分的容器软件安全性检测系统及方法

权利要求书

1.一种基于内容差分的容器软件安全检测系统，其特征在于，包括识别归类节点、数据获取节点和安全性分析节点，且三种节点通过交换数据从而协同工作；

所述识别归类节点：完成与用户的交互、对所有输入待检测镜像的基础镜像识别、镜像的归类、发送数据获取任务工作；

所述数据获取节点：根据下发的数据获取任务下载对应的容器镜像，并将下载完成的容器镜像提取出对应的容器镜像层数据；

所述安全性分析节点：根据提取的容器镜像层数据，识别出非基础镜像层数据，并对非基础镜像层数据进行安全性分析；

所述镜像的归类是指，依据归类算法将依赖相似特征基础镜像的镜像合并为一类，所述归类算法是指通过计算容器镜像关系树的根容器镜像节点到当前容器镜像节点的路径的相似度，当相似度超过设定的相似度阈值，判定容器镜像的基础镜像相似；识别归类节点使用归类算法将具有类似特征基础镜像的节点归为一组，以组为单位下发数据获取任务给数据获取节点；

所述归类算法采用树结构表示容器镜像间关系，通过数据库存储每个节点到根节点的路径，采用Levenshtein算法计算基础镜像的相似程度，设定阈值，认为超过阈值的镜像之间可以归为一组；

所述安全性分析节点包括通信模块和分析模块；

所述通信模块通过分布式任务调度技术获取提取的容器镜像层数据；

所述分析模块利用差分分析方法将容器镜像层数据区分为基础镜像层数据和非基础镜像层数据，确定非基础镜像层数据中所有文件的最终内容，并对非基础镜像层数据中所有文件的最终内容进行分析，对比非基础镜像层数据与基础镜像层数据的差异，对差异数据结合基础镜像安全性进行分析；

所述分析包括如下步骤：

S1：安全性分析节点接收容器镜像层数据；

S2：通过容器基础镜像，将容器基础镜像层提取数据区分为基础镜像数据和非基础镜像数据；

S3：对于非基础镜像层数据，按照镜像层顺序，由后至前分别检测镜像层内文件；

S4：判断当前检测的文件是否存在已经检查的同名同路径文件，是则跳过当前文件，否则继续检查；

S5：对于基础镜像层数据，判断对应的基础镜像是否存在已知的安全隐患，是则进入S6，否则结束当前镜像检测，并将检测结果存入数据库；

S6：确定包含安全隐患的文件，判断S4内是否检查过同名同路径文件，是则进入S7，否则确认该安全隐患依然存在，并结束当前镜像检测，将检测结果存入数据库；

S7：判断S4内检测过的同名同路径文件是否存在安全隐患，是则确认该文件依然存在安全隐患，否则确认该文件不存在安全隐患； 结束当前镜像检测，并将检测结果存入数据库。

2.根据权利要求1所述的基于内容差分的容器软件安全检测系统，其特征在于，所述识别归类节点包括用户交互模块、基础镜像识别模块和镜像分类模块；

所述用户交互模块：接收该系统的用户输入，获取需要检测的镜像列表；

所述基础镜像识别模块：判断镜像列表中当前镜像所依赖的基础镜像，得出识别结果；

所述镜像分类模块：接收基础镜像识别模块的识别结果，将依赖相似特征基础镜像的镜像合并为一类，并发送数据获取任务。

3.根据权利要求2所述的基于内容差分的容器软件安全检测系统，其特征在于，所述数据获取节点包括通信调度模块、镜像下载模块和数据提取模块；

所述通信调度模块：接收镜像分类模块下发的数据获取任务；

所述镜像下载模块：根据数据获取任务，过滤已经下载的重复镜像层，向镜像仓库请求下载对应的容器镜像；

所述数据提取模块：对已经完成下载的容器镜像，静态提取容器镜像所对应的容器镜像层数据；

所述通信调度模块将提取的容器镜像层数据发送到安全性分析节点。

4.根据权利要求1所述的基于内容差分的容器软件安全检测系统，其特征在于，所述数据获取任务和容器镜像层数据均通过分布式任务调度技术传递，其中数据获取任务通过分布式任务调度技术由识别归类节点向数据获取节点传递，容器镜像层数据通过分布式任务调度技术由数据获取节点向安全性分析节点传递。