Docker容器的攻击模拟检测方法、系统、介质及电子设备与流程

docker容器的攻击模拟检测方法、系统、介质及电子设备
技术领域
1.本技术涉及计算机安全管理技术领域，尤其是涉及一种docker容器的攻击模拟检测方法、系统、介质及电子设备。


背景技术：

2.docker是一个轻量级的容器，可以方便在其中构建、运行应用。通过docker可以快速的运行应用、迁移应用、快速集成以及快速部署任务，也提高了系统的资源利用率，因此现在越来越多的企业把应用上云，来达到快速上线应用、方便运维的目的。因此docker安全也逐渐的重视起来，如何快速检测当前企业环境内docker环境是否安全、以及是否能发现对应的攻击也是重中之重。
3.由于容器的安全生命周期短，容器内进程数量少，安全设备检测攻击行为需要一定的时间，且常常依托进程链进行攻击行为的检测，如果启动临时容器做攻击模拟，或者直接在容器中安装执行攻击模拟所需要的agent并利用agent启动任务，都可能会导致安全设备检测不到模拟的攻击行为，从而导致安全设备真实情况下不能及时检测到攻击行为，进而导致容器存在安全隐患。


技术实现要素：

4.为了使得安全设备在真实情况下及时检测到攻击行为，进而降低容器的安全隐患，本技术提供一种docker容器的攻击模拟检测方法、系统、存储介质及电子设备。
5.在本技术的第一方面提供了一种docker容器的攻击模拟检测方法，采用如下的技术方案：获取攻击模拟任务；根据所述攻击模拟任务释放两个常驻容器，所述两个常驻容器包括worker容器和存在漏洞的target容器；控制所述worker容器攻击所述target容器，并根据漏洞在所述target容器中植入webshell，以使业务服务器基于webshell模拟攻击行为，以使安全设备检测到所述攻击行为。
6.通过采用上述技术方案，通过控制worker容器攻击存在漏洞的target容器，并利用漏洞在target容器中植入webshell，使得业务服务器基于webshell进行攻击模拟，使得所有模拟攻击行为的父进程都是业务服务器，从而使得所有的攻击行为都是模拟真实的黑客攻击，可以使得安全设备能检测到模拟的攻击行为，从而得知安全设备具备检测该攻击行为的能力，以便在真实情况下安全设备在也能检测到对应的攻击行为，进而降低容器的安全隐患。
7.可选的，所述根据所述攻击模拟任务释放两个常驻容器之前，还包括：根据所述攻击模拟任务，将两个常驻容器的镜像上传至安装agent的计算机设备主机中。
8.通过采用上述技术方案，容器镜像包含有打包的应用程序及其依赖关系，以及有
关启动时所运行的进程的信息，在释放容器前，将两个常驻容器的镜像上传至至安装agent的计算机设备主机中，容器镜像可以为这两个常驻容器提供所依赖的镜像环境。
9.可选的，所述获取攻击模拟任务之后，还包括：通过docker api控制所述target容器，并在所述target容器中部署存在漏洞的war包。
10.通过采用上述技术方案，在target容器中部署存在漏洞的war包，可以使得worker容器根据漏洞来实现对target容器的攻击，使得攻击模拟的父进程是tomcat类的业务服务器。
11.可选的，所述根据所述攻击模拟任务释放两个常驻容器之后，还包括：持续判断所述存在漏洞的war包是否部署成功；若部署成功，则执行根据控制所述worker容器攻击所述target容器的步骤；所述方法还包括：若没有部署成功，则结束所述攻击模拟任务。
12.通过采用上述技术方案，持续判断存在漏洞的war包是否部署成功，部署成功后才会控制两个常驻容器进行模拟攻击，从而提高攻击模拟任务执行的成功率。
13.可选的，所述控制所述worker容器攻击所述target容器，包括：控制所述target容器中的tomcat服务对所述war包进行解压，并启动所述war包对应的漏洞服务；控制所述worker容器攻击所述target容器中所述war包对应的漏洞服务。
14.通过采用上述技术方案，控制target容器中的tomcat服务对war包进行解压，使得war包对应的漏洞服务被执行，从而worker容器可以攻击该漏洞服务，使得攻击模拟的父进程是tomcat此类的业务服务器。
15.可选的，所述控制所述worker容器攻击所述target容器，并根据漏洞在所述target容器中植入webshell，以使业务服务器基于webshell模拟攻击行为，以使安全设备检测到所述攻击行为，包括：控制所述worker容器攻击所述target容器，并根据所述漏洞在所述target容器中植入webshell，以使业务服务器基于webshell进行攻击模拟，以使业务服务器在安全设备中确定存在所述攻击模拟的攻击特征，则确定所述安全设备具备检测所述攻击模拟的能力，以使安全设备检测到所述攻击行为；所述方法还包括：若所述安全设备中不存在所述攻击特征，则确定所述安全设备不具备检测所述攻击模拟的能力。
16.通过采用上述技术方案，通过业务服务器基于webshell进行攻击模拟，使得所有模拟攻击行为的父进程都是业务服务器，从而使得所有的攻击行为都是模拟真实的黑客攻击，可以使得安全设备能检测到模拟的攻击行为，进而在真实情况下存在该攻击行为时，安全设备能及时检测到，从而降低容器的安全隐患。
17.可选的，所述确定安全设备是否具备检测所述攻击模拟的能力之后，还包括：若所述安全设备具备检测所述攻击模拟的能力，则获取所述业务服务器发送的所述攻击模拟的容器信息；若所述安全设备不具备检测所述攻击模拟的能力，则生成所述安全设备存在安全隐患的提示信息，所述提示信息包括所述攻击特征。
18.通过采用上述技术方案，若安全设备不具备检测所述攻击模拟的能力，则表示该用户的系统中存在安全隐患，提示用户及时对该安全设备进行检测。
19.在本技术的第二方面提供了一种docker容器的攻击模拟检测系统，所述系统包括：任务获取模块，用于获取攻击模拟任务；容器释放模块，用于根据所述攻击模拟任务释放两个常驻容器，所述两个常驻容
器包括worker容器和存在漏洞的target容器；模拟攻击模块，用于控制所述worker容器攻击所述target容器，并根据漏洞在所述target容器中植入webshell，以使业务服务器基于webshell模拟攻击行为，以使安全设备检测到所述攻击行为。
20.在本技术的第三方面提供了一种计算机存储介质，所述计算机存储介质存储有多条指令，所述指令适于由处理器加载并执行上述的方法步骤。
21.在本技术的第四方面提供了一种电子设备，包括：处理器和存储器；其中，所述存储器存储有计算机程序，所述计算机程序适于由所述处理器加载并执行上述的方法步骤。
22.综上所述，本技术包括以下至少一种有益技术效果：1.本技术的所有模拟攻击行为的父进程是tomcat此类的业务服务器，从而使得所有的攻击行为都是模拟真实的黑客攻击，可以使得安全设备能检测到模拟的攻击行为，从而得知安全设备具备检测该攻击行为的能力，以便在真实情况下安全设备在也能检测到对应的攻击行为，从而降低容器的安全隐患。
23.2.本技术通过agent控制target容器中的tomcat服务对war包进行解压，使得war包对应的漏洞服务被执行，从而worker容器可以攻击该漏洞服务，使得攻击模拟的父进程是tomcat此类的业务服务器。
附图说明
24.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
25.图1是本技术实施例提供的一种docker容器的攻击模拟检测方法的流程示意图；图2是本技术实施例提供agent释放常驻容器的示意图；图3是本技术实施例提供的一种进程连优化前后的示意图；图4为本技术实施例提供的一种docker容器的攻击模拟检测方法的实施原理示意图；图5本技术实施例提供的一种docker容器的攻击模拟检测系统模块示意图；图6是本技术实施例提供的一种电子设备的结构示意图。
26.附图标记说明：1、任务获取模块；2、容器释放模块；3、攻击模拟模块；1000、电子设备；1001、处理器；1002、通信总线；1003、用户接口；1004、网络接口；1005、存储器。
具体实施方式
27.为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。
28.在本技术实施例的描述中，“示性的”、“例如”或者“举例来说”等词用于表示作例子、例证或说明。本技术实施例中被描述为“示性的”、“例如”或者“举例来说”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示
性的”、“例如”或者“举例来说”等词旨在以具体方式呈现相关概念。
29.在本技术实施例的描述中，术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，单独存在b，同时存在a和b这三种情况。另外，除非另有说明，术语“多个”的含义是指两个或两个以上。例如，多个系统是指两个或两个以上的系统，多个屏幕终端是指两个或两个以上的屏幕终端。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。
30.docker是一种轻量级的虚拟化技术，同时是一个开源的应用容器运行环境搭建平台，可以让开发者以便捷方式打包应用到一个可移植的容器中，然后安装至任何运行linux或windows等系统的服务器上。相较于传统虚拟机，docker容器提供轻量化的虚拟化方式、安装便捷、启停速度快。因此现在越来越多的企业把应用上云，来达到快速上线应用、方便运维的目的。因此因此docker安全也逐渐的重视起来，如何快速检测当前企业环境内docker环境是否安全、以及是否能发现对应的攻击也是重中之重。
31.由于容器的安全生命周期短、容器内进程数量少，安全设备检测攻击行为需要一定时间，且常常依托于进程链的行为进行攻击行为检测。而如果启动临时容器做攻击模拟，攻击模拟结束容器做销毁处理，可能会导致安全设备没有充裕的时间检测到攻击行为；或者如果直接在容器中安装执行攻击模拟所需要的agent，利用agent启动任务，这样任务的父进程就是agent，也可能导致安全设备无法检测到攻击行为，使得导致容器受到攻击，从而导致容器受到安全影响。
32.下面结合具体实施例对本技术的技术方案以及本技术的技术方案如何解决上述技术问题进行详细说明，以下实施例可以相互结合，对于相同或相似的概率或者过程中可能在某些实施例中不再赘述，下面将结合附图，对本技术的实施例进行描述。
33.在一个实施例中，如图1所示，特提出了一种docker容器的攻击模拟检测方法的流程示意图。该方法主要应用于安装在计算机设备主机中的agent，具体的方法包括：步骤10：获取攻击模拟任务；具体的，在本技术实施例中，agent可以理解为一种具备智能功能的智能软件、智能设备、智能计算机系统等。安全设备在本技术实施例中可以理解为：用于检测计算机设备中存在攻击行为的设备，比如可以检测到计算机设备正在执行一个恶意的命令。
34.进一步地，在进行攻击模拟行为检测时，若是在临时容器中安装agent，在攻击模拟结束后临时容器会对攻击行为进行销毁处理，可能会导致安全设备没有充裕的时间检测到攻击行为。或者直接在常驻容器中安装agent，攻击模拟的父进程也是agent，由于容器进程数量少，安全设备检测攻击行为需要花费一定时间，且安全设备常常依托进程链进行攻击行为的检测，也可能导致不能及时检测到攻击行为。所以在本技术实施例中，将agent安装在主机或者具备特殊权限的特权容器中，因此攻击模拟的父进程不再是agent，而是通过漏洞环境部署、并植入webshell的过程，来达到攻击模拟的父进程是tomcat此类的业务服务器。
35.示例性地，攻击模拟任务在本技术实施例中可以理解为人员模拟真实黑客攻击行
为的各种攻击任务，例如容器逃逸等，主机上的agent获取人员发布的攻击模拟任务。
36.在上述实施例的基础上，获取攻击模拟任务这一步骤之后，还包括以下步骤：步骤101：根据所述攻击模拟任务，将两个常驻容器的镜像上传至安装agent的计算机设备主机中。
37.具体的，容器镜像可以指包含打包的应用程序及其依赖关系，以及有关启动时所运行的进程的信息，用户可以根据实际情况提供一些特殊的格式的指令来创建容器镜像。在agent接收到攻击模拟任务后，启动两个常驻容器，即worker容器和target容器，agent将两个常驻容器的镜像下载到计算机设备的主机中，当启动两个常驻容器时，agent在主机上通过docker api来完成镜像的导入，为两个常驻容器提供所依赖的镜像环境。
38.步骤102：通过docker api控制target容器，并在target容器中部署存在漏洞的war包。
39.具体的，war包可以是一个直接运行的web模块，war包可以放在tomcat下的webapps，当tomcat服务器启动时，war包即会随之解压源代码来进行自动部署。本技术实施例中的war包是一个存在漏洞的web模块，将war包部署在target容器中的tomcat上，可以启动一个存在漏洞的web应用。
40.示例性地，agent通过docker api控制target容器，在target容器中部署任何存在漏洞的war包，可以使得worker容器根据存在漏洞的war包对target容器的攻击，从而使得攻击模拟的父进程是tomcat此类的业务服务器。
41.步骤20：根据攻击模拟任务释放两个常驻容器，两个常驻容器包括worker容器和存在漏洞的target容器。
42.具体的，请参见图2，为agent释放常驻容器的示意图，人员点击启动容器，agent接收到启动容器的指令，即可通过docker api释放运行两个容器，即worker容器和target容器。
43.进一步地，agent通过docker api控制target容器，给target容器部署存在漏洞的war包，在给target容器部署存在漏洞的war包后，需要持续判断war包是否部署成功，即在一定时间内持续判断部署的war包能否被访问到，如果能被访问到即说明war包部署成功，则执行控制worker容器攻击target容器这一步骤，以提高攻击模拟任务的执行成功率；如果不能访问成功，则说明war包部署失败，则结束当前攻击模拟任务。
44.步骤30：控制worker容器攻击target容器，并根据漏洞在target容器中植入webshell，以使业务服务器基于webshell模拟攻击行为，以使安全设备检测到攻击行为。
45.具体的，webshell指的是黑客经常使用的一种恶意脚本，其目的是获得对服务器的执行操作权限，比如执行系统命令、窃取用户数据、删除web页面、修改主页等。由于target容器中部署有一个存在漏洞的war包，agent通过docker api控制worker容器，控制worker容器攻击存在漏洞的target容器，并利用该漏洞在target容器中植入webshell，以使业务服务器基于webshell进行攻击模拟，即可实现模拟真实的黑客攻击行为。
46.在上述实施例的基础上，控制worker容器攻击target容器，并根据漏洞在target容器中植入webshell，以使业务服务器基于webshell进行攻击模拟，以确定安全设备是否具备检测攻击模拟的能力这一步骤，还可以包括以下步骤：步骤301：控制target容器中的tomcat服务对war包进行解压，并启动war包对应的
漏洞服务；控制worker容器攻击target容器中war包对应的漏洞服务；具体的，tomcat是一个可以运行web应用的web应用服务器，当在target容器中成功部署存在漏洞的war包后，agent控制target容器运行后会自动启动tomcat服务，tomcat服务收到war包后自动将war包进行解压缩，并启动war包对应的漏洞服务。比如war包中写入的一个恶意命令的网页，将该存在恶意命令的war包放入到tomcat服务器的web目录下，以对war包进行解压并执行war包中对应的恶意命令的漏洞服务。agent控制worker容器攻击target容器中war包对应的漏洞服务，以保证攻击模拟的父进程是tomcat类的业务服务器。
47.步骤302：根据漏洞在target容器中植入webshell，以使业务服务器基于webshell进行攻击模拟，以使安全设备检测到攻击行为。
48.具体的，为了保证容器中攻击模拟的进程链是符合真实的黑客攻击行为，在进行容器逃逸等攻击模拟行为之前，agent根据target容器中存在的漏洞，在target容器中植入webshell，worker容器可以通过访问植入在target容器中的webshell执行任意的系统命令。
49.请参见图3，是本技术实施例提供的一种进程连优化前后的示意图，在本技术实施例中，业务服务器基于webshell进行攻击模拟，这时容器内的进程链是完全模拟真实的业务场景，并且所有攻击行为的父进程为业务服务器，而不再是agent，使得进程链不再是agent发起一个恶意的指令，而是由业务服务器发起。业务服务器利用漏洞发起攻击模拟，符合正常业务入侵的过程，这种攻击行为能被安全设备检测到，使得安全设备可以及时检测到攻击行为，进一步降低容器的安全隐患。
50.进一步地，每一个攻击模拟任务包括有对应的攻击特征，比如该攻击特征为容器逃逸，容器逃逸是危害性十分高的攻击手段，当攻击者完成容器逃逸，则直接能够对宿主机造成危害，并且有可能危害到集群安全。在成功执行攻击模拟任务后，业务服务器将该攻击特征发送至agent，agent接收到攻击特征后，在用户的日志系统中查询是否存在对应的攻击特征，如果在用户的日志系统中存在对应的攻击特征，则表示该用户的安全设备具备检测容器逃逸的能力，如果用户的日志系统中不存在对应的攻击特征，则表示该用户的安全设备不具备检测容器逃逸的能力。本技术的所有模拟攻击行为的父进程都是业务服务器，从而使得所有的攻击行为都是模拟真实的黑客攻击，可以使得安全设备能检测到模拟的攻击行为，从而得知安全设备具备检测该攻击行为的能力，以便在真实情况下安全设备在也能检测到对应的攻击行为，从而降低容器的安全隐患。
51.在上述实施例的基础上，控制worker容器攻击target容器，并根据漏洞在target容器中植入webshell，以使业务服务器基于webshell模拟攻击行为，以使安全设备检测到攻击行为这一步骤之后，还可以包括以下步骤：若安全设备不具备检测该攻击模拟的能力，则表示在真实存在该攻击行为时，安全设备可能不能及时检测到该攻击行为，说明该用户系统存在安全隐患。在进行多种攻击模拟后，若该用户系统中的安全设备多次不具备检测对应攻击模拟的能力，则业务服务器根据多次的攻击模拟结果生成攻击模拟报告，该攻击模拟报告中包括有攻击特征以及对应的攻击模拟结果，并将该攻击模拟报告至用户终端，以提示用户及时对安全设备进行监测查找出漏洞。若安全设备具备检测该攻击模拟的能力，则业务服务器获取攻击模拟的容器
信息，并将该容器信息发送至agent。容器信息可以包括但不限于容器id、容器name等。
52.请参见图4，作为一种可选的实施例，一种docker容器的攻击模拟检测方法的实施原理可以包括：主机上的agent接收到攻击模拟任务，agent通过docker api控制target容器，在target容器中部署存在漏洞的war包，agent控制target容器运行后会自动启动target容器中的tomcat服务，tomcat服务收到war包后会自动将web包进行解压缩，并启动war包对应的漏洞服务，agent利用漏洞控制worker容器攻击target容器，并在target容器中植入webshell，基于植入在target容器中的webshell执行后续的容器逃逸等攻击模拟任务，使得所有模拟攻击行为的父进程都是业务服务器，从而使得所有的攻击行为都是模拟真实的黑客攻击，可以使得安全设备能检测到模拟的攻击行为，进而在真实情况下存在该攻击行为时，安全设备能及时检测到，从而降低容器的安全隐患。
53.下述为本技术系统实施例，可以用于执行本技术方法实施例。对于本技术系统实施例中未披露的细节，请参照本技术方法实施例。
54.请参照图5，为本技术实施例提供的一种docker容器的攻击模拟检测系统模块示意图，该docker容器的攻击模拟检测系统可以包括：任务获取模块1、容器释放模块2以及攻击模拟模块3，其中：任务获取模块1，用于获取攻击模拟任务；容器释放模块2，用于根据所述攻击模拟任务释放两个常驻容器，所述两个常驻容器包括worker容器和存在漏洞的target容器；攻击模拟模块3，用于控制所述worker容器攻击所述target容器，并根据漏洞在所述target容器中植入webshell，以使业务服务器基于webshell模拟攻击行为，以使安全设备检测到所述攻击行为。
55.在上述各实施例的基础上，作为一种可选的实施例，一种docker容器的攻击模拟检测系统，还可以包括：镜像上传模块、war包部署模块、war包部署判断模块以及信息提示模块，其中：镜像上传模块，用于根据所述攻击模拟任务，将两个常驻容器的镜像上传至安装agent的主机中；war包部署模块，用于通过docker api控制所述target容器，并在所述target容器中部署存在漏洞的war包；war包部署判断模块，用于持续判断所述存在漏洞的war包是否部署成功；若部署成功，则执行根据控制所述worker容器攻击所述target容器的步骤；所述方法还包括：若没有部署成功，则结束所述攻击模拟任务；信息提示模块，用于若所述安全设备具备检测所述攻击模拟的能力，则获取所述业务服务器发送的所述攻击模拟的容器信息；若所述安全设备不具备检测所述攻击模拟的能力，则生成所述安全设备存在安全隐患的提示信息，所述提示信息包括所述攻击特征。
56.需要说明的是：上述实施例提供的系统在实现其功能时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的系统和方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
57.本技术实施例还提供了一种计算机存储介质，所述计算机存储介质可以存储有多条指令，所述指令适于由处理器加载并执行如上述所示实施例的所述的一种docker容器的攻击模拟检测方法，具体执行过程可以参加图1所示实施例的具体说明，在此不进行赘述请参见图6，为本技术实施例提供了一种电子设备的结构示意图。如图6所示，所述电子设备1000可以包括：至少一个处理器1001，至少一个网络接口1004，用户接口1003，存储器1005，至少一个通信总线1002。
58.其中，通信总线1002用于实现这些组件之间的连接通信。
59.其中，用户接口1003可以包括显示屏（display）、摄像头（camera），可选用户接口1003还可以包括标准的有线接口、无线接口。
60.其中，网络接口1004可选的可以包括标准的有线接口、无线接口（如wi-fi接口）。
61.其中，处理器1001可以包括一个或者多个处理核心。处理器1001利用各种借口和线路连接整个服务器1000内的各个部分，通过运行或执行存储在存储器1005内的指令、程序、代码集或指令集，以及调用存储在存储器1005内的数据，执行服务器1000的各种功能和处理数据。可选的，处理器1001可以采用数字信号处理（digital signal processing，dsp）、现场可编程门阵列（field-programmable gate array，fpga）、可编程逻辑阵列（programmable logic array，pla）中的至少一种硬件形式来实现。处理器1001可集成中央处理器（central processing unit，cpu）、图像处理器（graphics processing unit，gpu）和调制解调器等中的一种或几种的组合。其中，cpu主要处理操作系统、用户界面和应用程序等；gpu用于负责显示屏所需要显示的内容的渲染和绘制；调制解调器用于处理无线通信。可以理解的是，上述调制解调器也可以不集成到处理器1001中，单独通过一块芯片进行实现。
62.其中，存储器1005可以包括随机存储器（random access memory，ram），也可以包括只读存储器（read-only memory）。可选的，该存储器1005包括非瞬时性计算机可读介质（non-transitory computer-readable storage medium）。存储器1005可用于存储指令、程序、代码、代码集或指令集。存储器1005可包括存储程序区和存储数据区，其中，存储程序区可存储用于实现操作系统的指令、用于至少一个功能的指令（比如触控功能、声音播放功能、图像播放功能等）、用于实现上述各个方法实施例的指令等；存储数据区可存储上面各个方法实施例中涉及到的数据等。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图6所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及一种docker容器的攻击模拟检测方法的应用程序。
63.需要说明的是：上述实施例提供的装置在实现其功能时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的装置和方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
64.在图6所示的电子设备1000中，用户接口1003主要用于为用户提供输入的接口，获取用户输入的数据；而处理器1001可以用于调用存储器1005中存储一种docker容器的攻击模拟检测方法的应用程序，当由一个或多个处理器执行时，使得电子设备执行如上述实施例中一个或多个所述的方法。
65.一种电子设备可读存储介质，其特征在于，所述电子设备可读存储介质存储有指令。当由一个或多个处理器执行时，使得电子设备执行如上述实施例中一个或多个所述的方法。
66.本领域的技术人员可以清楚地了解到本技术的技术方案可借助软件和/或硬件来实现。本说明书中的“单元”和“模块”是指能够独立完成或与其他部件配合完成特定功能的软件和/或硬件，其中硬件例如可以是现场可编程门阵列（field－programmable gate array，fpga）、集成电路（integrated circuit，ic）等。
67.需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本技术并不受所描述的动作顺序的限制，因为依据本技术，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本技术所必须的。
68.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
69.在本技术所提供的几个实施例中，应该理解到，所揭露的装置，可通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些服务接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。
70.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
71.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
72.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储器中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储器中，包括若干指令用以使得一台计算机设备（可为个人计算机、服务器或者网络设备等）执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储器包括：u盘、只读存储器（read-only memory， rom）、随机存取存储器（random access memory，ram）、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
73.本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通进程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储器中，存储器可以包括：闪存盘、只读存储器（read-only memory， rom）、随机存取器（random access memory，ram）、磁盘或光盘等。
74.以上所述者，仅为本公开的示例性实施例，不能以此限定本公开的范围。即但凡依
本公开教导所作的等效变化与修饰，皆仍属本公开涵盖的范围内。本领域技术人员在考虑说明书及实践这里的公开后，将容易想到本公开的其它实施方案。本技术旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未记载的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的范围和精神由权利要求限定。