[发明专利]基于内容差分的容器软件安全性检测系统及方法

说明书

本发明提供了一种基于内容差分的容器软件安全检测系统及方法，包括识别归类节点、数据获取节点和安全性分析节点，三种节点通过交换数据从而协同工作；识别归类节点：完成与用户的交互、对所有输入待检测镜像的基础镜像识别、镜像的归类、发送数据获取任务等工作；数据获取节点：根据下发的数据获取任务下载对应的容器镜像，并将下载完成的容器镜像提取出对应的容器镜像层数据；安全性分析节点：根据提取的容器镜像层数据，识别出非基础镜像层数据，并对非基础镜像层数据进行安全性分析。本发明在保证检测有效性的同时，无需实际运行镜像，极大节约了计算和存储资源，可以通过有限的资源，在较短的时间内实现公开仓库中海量镜像的全量安全检测。

技术领域

本发明涉及容器软件安全性检测的技术领域，具体地，涉及一种基于内容差分的容器软件安全性检测系统及方法。

背景技术

基于虚拟化技术的容器软件应用日益普遍，以Docker为主要代表的容器形态承载了各类云中心常见的企业级虚拟化应用，其中Docker Hub是其官方存储仓库，包含了社区各类用户共同维护的1800万个应用镜像，用户只要使用部署相关的应用就需要从仓库中下载此类镜像。此类容器镜像的脆弱性已经成为攻防关注的焦点，特别是安全配置的不到位暴露出隐私泄露、越权等严重安全漏洞，甚至存在第三方故意植入的恶意镜像，以此来影响整个企业软件供应链安全。因此，如何做到快速评估存储仓库上不断迭代更新的海量镜像安全性是个难题。目前的检测方法通常需要运行镜像之后，在运行的容器中检测系统环境、软件库版本以及软件行为，再通过检测模型匹配来筛选恶意或者存在安全问题的镜像。

公开号为CN108958890A的中国发明专利公开了一种容器镜像检测方法、装置及电子设备，该方法包括：通过对待测容器镜像进行静态扫描，从待测容器镜像的软件特征集合中获取待匹配软件特征；将该待匹配软件特征与预设的软件漏洞库中存储的软件漏洞特征进行比较；如果软件漏洞库中存在与上述待匹配软件特征相匹配的软件漏洞特征，确定该相匹配的软件漏洞特征对应的测试用例集；针对上述待匹配软件特征对应的软件，通过执行上述测试用例集中的测试用例，检测上述待匹配软件特征对应的软件是否存在软件漏洞；当存在软件漏洞时，确定待测容器镜像存在异常。此专利是通过检测待匹配软件特征对应的软件是否存在软件漏洞，从而实现待测容器镜像的检测。

针对上述中的现有技术，发明人认为此类方法的通用难题是需要消耗大量的资源(存储、带宽)去下载海量镜像到本地测试环境，并且需要消耗执行检测的大量计算资源和时间成本。因此，很难应用到大规模的容器软件安全性检测中。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种基于内容差分的容器软件安全检测系统及方法。

根据本发明提供的一种基于内容差分的容器软件安全检测系统，包括识别归类节点、数据获取节点和安全性分析节点，且三种节点通过交换数据从而协同工作；

所述识别归类节点：完成与用户的交互、对所有输入待检测镜像的基础镜像识别、镜像的归类、发送数据获取任务等工作；

所述数据获取节点：根据下发的数据获取任务下载对应的容器镜像，并将下载完成的容器镜像提取出对应的容器镜像层数据；

所述安全性分析节点：根据提取的容器镜像层数据，识别出非基础镜像层数据，并对非基础镜像层数据进行安全性分析。

优选的，所述识别归类节点包括用户交互模块、基础镜像识别模块和镜像分类模块；

所述用户交互模块：接收该系统的用户输入，获取需要检测的镜像列表；

所述基础镜像识别模块：判断镜像列表中当前镜像所依赖的基础镜像，得出识别结果；

所述镜像分类模块：接收基础镜像识别模块的识别结果，将依赖相似特征基础镜像的镜像合并为一类，并发送数据获取任务。

优选的，所述数据获取节点包括通信调度模块、镜像下载模块和数据提取模块；