技术特征:
1.一种智能物联终端容器逃逸攻击检测和防御方法,其特征在于:包括如下步骤:1)模拟攻击者利用内核漏洞对宿主机发起攻击,造成容器逃逸;2)根据进程所属的namespace来判断该进程是否属于容器内进程,之后将容器内进程的访问限制在该容器内,禁止访问其他容器以及宿主机文件。2.如权利要求1所述的智能物联终端容器逃逸攻击检测和防御方法,其特征在于:步骤1)包括如下步骤:(1.1)检测容器docker的版本和runc的版本,确保docker版本<18.09.2,runc版本<1.0-rc6;(1.2)下载cve-2019-5736的脚本,修改main.go文件中payload,编译执行main.go文件,生成payload;(1.3)运行一个docker容器,将生成的main.go文件拷贝到docker容器中,并进入容器,修改main.go文件权限,执行payload;(1.4)在宿主机上通过nc-lvp命令监听本地端口,当管理员通过exec进入容器时会触发payload,此时宿主机上可以获取发生逃逸现象的容器的信息。3.如权利要求1或2所述的智能物联终端容器逃逸攻击检测和防御方法,其特征在于:步骤2)包括如下步骤:(2.1)获取进程信息;(2.2)namespace逃逸攻击监控;(2.3)测试,创建测试容器,创建宿主机及其他容器的测试目录并设置安全标签,将文件以数据卷的方式挂载到被测试容器中,来模拟容器进程对其他容器镜像及宿主机文件的访问。4.如权利要求3所述的智能物联终端容器逃逸攻击检测和防御方法,其特征在于:步骤(2.1),通过命令获取当前运行容器的信息,获取每个容器namespace下pid为1的进程,以及该进程派生出的容器内进程的pid和对应的namespcae状态标识,获取宿主机初始化进程的namespace标识;获取docker的安装目录、宿主机受访问限制文件的路径以及容器可读写层镜像文件的具体路径,添加相应的安全标签。5.如权利要求3所述的智能物联终端容器逃逸攻击检测和防御方法,其特征在于:步骤(2.2)包括如下步骤:2.2.1)识别进程,获得当前进程的来源,将获取到的命名空间与宿主机初始化进程的namespace相比,判断当前进程是否属于容器内进程,若不是则判定为异常进程,如果当前进程属于容器内进程,则执行下一步;2.2.2)识别目标文件并获取当前目标文件的安全标签信息,调用security_getfatrr()函数获取当前目录的扩展属性中的security属性,如果为空,则获取当前文件的父索引节点,并重复该操作,直到它到达根目录或获取某一级别目录的安全标签信息;2.2.3)判断目标文件是否属于受访问限制的宿主机文件,如果是,操作将被拒绝,否则,将执行下一步;2.2.4)判断目标文件是否属于容器的可读写层镜像文件,如果是,执行下一步;如果不是,则允许执行该操作;2.2.5)判断当前进程和获取到的安全标签是否一致,如果是,则允许操作,否则拒绝操
作请求。6.如权利要求3所述的智能物联终端容器逃逸攻击检测和防御方法,其特征在于:步骤(2.3)包括如下步骤:2.3.1)创建测试容器a、被访问容器b、对照容器c、宿主机测试目录d:/root/test,并创建测试文件hello,设置安全标签;2.3.2)创建并运行被访问容器b,创建文件hellocontainer,并设置安全标签;2.3.3)创建并运行测试容器a,将宿主机测试目录和被访问容器b的测试文件挂载到容器a中;2.3.4)在容器a中分别cat容器b和宿主机中的测试文件;2.3.5)在docker的原生环境中,创建容器c,并挂载没有设置安全标签的容器b及宿主机的测试文件,同样进行访问试验。
技术总结
本发明公开了一种智能物联终端容器逃逸攻击检测和防御方法,包括如下步骤:1)模拟攻击者利用内核漏洞对宿主机发起攻击,造成容器逃逸;2)根据进程所属的Namespace来判断该进程是否属于容器内进程,之后将容器内进程的访问限制在该容器内,禁止访问其他容器以及宿主机文件。本发明智能物联终端容器逃逸攻击检测和防御方法,对运行容器进行逃逸攻击检测,检测容器运行环境,并提出一种针对容器逃逸攻击的防御方案,通过模拟攻击者对智能物联终端容器进行逃逸攻击,及时发现容器存在的安全问题,并在此基础上运用容器逃逸攻击防御方法,在一定程度上可以避免攻击者对容器发起逃逸攻击,保障服务器安全稳定的运行。保障服务器安全稳定的运行。保障服务器安全稳定的运行。
技术研发人员:孙祥飞 段绪伟 范子涛 杨楠 乔子芩 姜威威 刘培媛 胡志刚 赵乐乐 张萍 王昱洁 刘陆洋 范浩如 朱雪琴 白箐 刘璐 刘瑞 郭志民 吕卓 陈岑 李暖暖 杨文 张铮 狄立 蔡军飞 李鸣岩 常昊 吴克河 谷肖帆 高雪 袁泽坤 杨丹
受保护的技术使用者:华北电力大学 国网河南省电力公司电力科学研究院 国家电网有限公司
技术研发日:2022.07.25
技术公布日:2022/11/22