-
公开(公告)号:CN116974694A
公开(公告)日:2023-10-31
申请号:CN202310943932.9
申请日:2023-07-28
申请人: 广州大学
IPC分类号: G06F9/455
摘要: 本说明书实施例提供了一种分阶段Seccomp策略生成和实施方法及装置,其中,方法包括:使用静态分析和动态分析的方式获取容器所需的系统调用过滤策略;确定容器初始化阶段和运行阶段的过渡点或过度空间;基于所述容器初始化阶段和运行阶段的过渡点或过度空间,在容器的初始化阶段使用容器所需的全部系统调用构成的系统调用过滤策略限制容器对系统调用的访问,在容器完成初始化后使用Seccomp动态更新系统调用过滤策略,实施更严格的容器最小特权原则,获取严格的系统调用过滤策略,在容器的运行阶段使用更严格的系统调用过滤策略限制容器在正常运行时对系统调用的访问。
-
公开(公告)号:CN118627104A
公开(公告)日:2024-09-10
申请号:CN202410242660.4
申请日:2024-03-04
申请人: 广州大学
摘要: 本发明公开了一种容器运行时强制访问控制方法、系统、装置及存储介质,包括:获取用户空间的第一策略文件,根据第一策略文件进行eBPF动态挂载得到目标挂载点,并在用户空间生成容器特征匹配函数和参数过滤函数;通过目标挂载点获取目标Pod的第一数据,并根据第一数据对目标Pod进行时序图分析,得到目标Pod的状态观测结果;获取预设的逃逸提权策略,根据逃逸提权策略、容器特征匹配函数、参数过滤函数以及状态观测结果进行多级缓解的容器运行时强制访问控制。本发明实现了攻击者发起攻击前的预防、发起攻击中的阻断以及发起攻击后的分析,提高了容器的安全性,可广泛应用于容器安全技术领域。
-
公开(公告)号:CN118152068A
公开(公告)日:2024-06-07
申请号:CN202410169217.9
申请日:2024-02-06
申请人: 广州大学
摘要: 本发明公开了一种多级容器安全缓解方法、系统、装置及存储介质,包括:通过集群状态监测器扫描获取目标集群的节点事件、工作负载事件以及网络策略事件;通过规则引擎获取预设的风险规则和多级环节策略;根据风险规则对节点事件、工作负载事件以及网络策略事件进行动态风险评估,得到目标集群的总体风险得分;根据多级缓解策略和总体风险得分确定对应的容器安全策略,并通过安全执行器执行容器安全策略;其中,多级缓解策略包括用户自定义策略、集群默认策略以及横向攻击防止策略。本发明在保证系统性能的同时提高了集群系统的安全性,可广泛应用于容器安全技术领域。
-
-
搜索结果
3 条记录 (耗时 0.02 秒)
筛选
AND
AND
过滤
NOT
NOT
扫码加群
