容器内恶意进程应用层阻断生成研究

方圆 盛剑桥 张亮 丁鑫

摘要：容器提供了一种逻辑打包机制，以这种机制打包的应用可以脱离其实际运行的环境。利用这种脱离，不管目标环境是私有数据中心、公有云，还是开发者的个人笔记本电脑，都可以轻松、一致地部署基于容器的应用。随着容器技术的应用，容器内的安全性也同样面临着威胁。而不管是什么样的攻击方式最终都需要以程序的方式来执行黑客的攻击手段。进程的生成由Linux 内核接管，目前没有对外放出进程生成管理的接口，而如果以内核级代码进行生成管理，若出一点意外将导致整个系统崩溃，无法使用。该研究是基于容器运行的机制并结合Linux系统的特性，在应用层接管进程的生成管理，并对恶意进程的生成进行阻断生成。

关键词：容器;容器安全;进程阻断

中图分类号：TP393    文献标识码：A

文章编号：1009-3044（2021）28-0012-05

在云原生技术的应用广泛下，容器技术也得到了极大的推广。越来越多的公司把服务从本地迁到云上，服务也越来越契合云原生框架。而容器是Paas（Platform-as-a-Service，平台即服务）的一种体现，将所需软件整合成一个应用，一个服务。

容器技术的应用提高了应用程序的可移植性，容器中运行的应用程序可以轻松部署到多个不同的操作系统和硬件平台。与传统或硬件虚拟机环境相比，容器所需的系统资源更少，因为它们不包含操作系统映像。容器中的应用程序无论部署在何处，都会运行相同的应用程序，从而程序的操作得到一致和统一。

容器的虚拟技术应用在带来方便和高效的同时，也成为黑客入侵攻击的高地。

1研究背 ……此处隐藏12875个字…… 为都需要应用程序做行为承接点才能实施;而容器本身只是Linux 系统下的一个特殊进程，只要是进程就一定要遵守Linux进程的生成流程和机制。Linux 的系统调用接口作为内核层与应用层之间的“桥梁”，而对应的接口库的加载优先级是存放在LD_PRELOAD 内。通过修改优先级来优先加载进程生成过滤策略，从而达到在应用层阻断恶意进程的生成。参考文献：

[1]徐孝晋，伍泽军，邓文杰，等. 基于开源平台的docker 安全性分析 [C]//2019电力行业信息化年会论文集. 无锡 ， 2019：175-178.

[2]鲁涛， 陈杰，史军.Docker安全性研究[J].计算机技术与发展， 2018，28（6）：115-120.

[3]胡俊，李漫.容器安全解决方案探讨与研究[J].网络空间安全， 2018，9（12）：105-113.

[4]刘晓毅，王进，冯中华，等.容器云安全风险分析及防护体系设计[J].通信技术，2020，53（12）：3065-3071.

[5] DoSec安全团队.Docker容器最佳安全实践白皮书[R].中国： DoSec，2018.

[6]绿盟星云实验室.绿盟科技容器安全技术报告[R].中国：绿盟科技，2018.

[7]陈伟，涂俊亮.Docker容器安全的分析研究[J].通信技术，2020， 53（12）：3072-3077.

【通联编辑：代影】