计算资源漏洞的基于上下文的风险评估的制作方法

背景技术：

1、本公开涉及计算机资源漏洞的风险评估，并且更具体地，涉及计算机资源漏洞的基于上下文的风险评估。

2、云计算应用(例如，云本地应用)可能在其源代码中(例如，通过它们包括的库)或在其环境中(例如，通过它们在同一虚拟机(vm)或应用容器中打包的其他软件)包括已知的漏洞。云原生应用通常打包在应用容器(也称为“容器”)中，并由诸如kubernetes(k8s)等容器集群和编排中间件进行管理。易受攻击的容器的典型示例是安装了带有已知漏洞的安全外壳(ssh)版本的容器。

3、常见漏洞和暴露(cve)是计算资源漏洞和其他与安全暴露相关的信息的标准化名称的字典类型列表。cve旨在对所有众所周知的计算资源漏洞和安全暴露的名称进行标准化。cve还根据每个漏洞的严重性以及攻击者实体在利用漏洞后可能造成的损害程度，为每个漏洞分配分数。

4、一些现有的安全技术使用cve分数(例如，较低的cve分数＝风险较低)和/或攻击图形来评估网络中检测到的计算资源漏洞的风险。然而，这种使用攻击图形来评估检测到的计算资源漏洞的风险的现有安全技术的问题在于，它们仅考虑能够缓解攻击(例如，网络攻击)的联网元件。这种现有安全技术的另一个问题是，当评估检测到的计算资源漏洞可能对一个或多个其他计算资源造成的风险和/或潜在损害时，它们没有考虑易受攻击的计算资源(例如，易受攻击的容器、vm和/或另一易受攻击的计算资源)的部署上下文。

技术实现思路

1、以下给出了
技术实现要素：
，以提供对本发明的一个或多个实施例的基本理解。该发明内容不旨在标识关键或重要元素，或描绘特定实施例的任何范围或权利要求的任何范围。其唯一目的是以简化的形式呈现概念，作为稍后呈现的更详细描述的序言。在本文描述的一个或多个实施例中，描述了促进计算机资源漏洞的基于上下文的风险评估的系统、计算机实现的方法和/或计算机程序产品。

2、根据一个实施例，一种系统，可以包括处理器，其执行存储在非暂时性计算机可读介质中的下列计算机可执行组件：查验组件(inspection component)，其查验分别与荚相关联的一组容器图像，标识包含漏洞的荚的第一子集，并且将荚的第一子集分类为初级感染荚(primary-infected pod)；名称空间(namespace)组件，其生成其中初级感染荚部署在网络内的名称空间的第一列表；以及网络组件，其检查(check)与名称空间的第一列表相关的网络策略，以确定有能力与初级感染荚进行通信的次级可疑荚(secondary-suspectpod)，其中名称空间组件生成其中次级可疑荚部署在网络内的次级可疑名称空间的列表，网络组件标识与一个或多个初级感染荚进行通信的一个或多个次级可疑荚，并且其中查验组件生成次级感染荚的列表。这种系统的优点是它可以保护网络中的一个或多个计算资源。

3、在一些实施例中，计算机可执行组件还包括检查组件，其检查与初级感染荚和次级感染荚相关联的规范和特权(privilege)，以生成可疑机器、初级感染机器和次级感染机器的列表。这种系统的优点是它可以保护网络中的一个或多个计算资源。

4、根据另一个实施例，一种计算机实现的方法，可以包括使用处理器查验分别与荚相关联的一组容器图像。该计算机实现的方法可以进一步包括使用处理器标识包含漏洞的荚的第一子集。该计算机实现的方法可以进一步包括使用处理器将第一子集的荚分类为初级感染荚。该计算机实现的方法还可以包括使用处理器生成其中初级感染荚部署在网络内的名称空间的第一列表。该计算机实现的方法还可以包括使用处理器检查与名称空间的第一列表相关的网络策略，以确定有能力与初级感染荚进行通信的次级可疑荚。该计算机实现的方法还可以包括使用处理器生成其中次级可疑荚部署在网络内的次级可疑名称空间的列表。该计算机实现的方法可以进一步包括使用处理器标识与一个或多个初级感染荚进行通信的一个或多个次级可疑荚。该计算机实现的方法还可以包括使用处理器生成次级感染荚的列表。这种计算机实现的方法的优点是它可以被实现来保护网络中的一个或多个计算资源。

5、在一些实施例中，上述计算机实现的方法还可以包括使用处理器检查与初级感染荚和次级感染荚相关联的规范和特权，以及使用处理器生成可疑机器、初级感染机器和次级感染机器的列表。这种计算机实现的方法的优点是它可以被实现来保护网络中的一个或多个计算资源。

6、根据另一个实施例，一种计算机程序产品，包括计算机可读存储介质，该计算机可读存储介质具有体现在其中的程序指令，该程序指令可由处理器执行以使处理器查验分别与荚相关联的一组容器图像。该程序指令还可由处理器执行，以使处理器标识包含漏洞的荚的第一子集。该程序指令还可由处理器执行，以使处理器将第一子集的荚分类为初级感染荚。该程序指令还可由该处理器执行，以使该处理器生成其中初级感染荚部署在网络内的名称空间的第一列表。该程序指令还可由处理器执行，以使处理器检查与名称空间的第一列表相关的网络策略，以确定有能力与初级感染荚进行通信的次级可疑荚。该程序指令还可由处理器执行，以使处理器生成其中次级可疑荚部署在网络内的次级可疑名称空间的列表。该程序指令还可由处理器执行，以使处理器标识与一个或多个初级感染荚通信的一个或多个次级可疑荚。该程序指令还可由处理器执行，以使处理器生成次级感染荚的列表。这种计算机程序产品的优点是它可以被实现来保护网络中的一个或多个计算资源。

7、在一些实施例中，程序指令还可由处理器执行，以使处理器检查与初级感染荚和次级感染荚相关联的规范和特权，并生成可疑机器、初级感染机器和次级感染机器的列表。这种计算机程序产品的优点是它可以被实现来保护网络中的一个或多个计算资源。

技术特征：

1.一种系统，包括：

2.根据权利要求1所述的系统，还包括检查组件，其检查与初级感染荚和次级感染荚相关联的规范和特权，以生成可疑机器、初级感染机器和次级感染机器的列表，并确定初级感染荚和次级感染荚改变所述网络的配置的能力。

3.根据权利要求1所述的系统，还包括资源组件，其确定与初级感染荚和次级感染荚相关联的相应感染容器有能力消耗的总资源容量，以生成总风险容量度量。

4.根据权利要求3所述的系统，还包括许可组件，其确定与相应感染容器相关联的许可。

5.根据权利要求1所述的系统，还包括风险组件，其生成与初级感染荚和次级感染荚相关联的上下文风险分数和绝对风险分数。

6.根据权利要求3所述的系统，其中，所述资源组件评估处理器、存储器或磁盘中至少一个的有限容量。

7.根据权利要求6所述的系统，还包括风险组件，其生成与初级感染荚和次级感染荚相关联的上下文风险分数和绝对风险分数，其中所述风险组件基于一个或多个改变动态地生成与初级感染荚和次级感染荚相关联的第二上下文风险分数和第二绝对风险分数。

8.根据权利要求5所述的系统，其中，所述风险组件采用训练模型来动态地生成与初级感染荚和所述次级感染荚相关联的上下文风险分数和绝对风险分数。

9.一种计算机实现的方法，包括：

10.根据权利要求9所述的方法，还包括：

11.根据权利要求9所述的方法，还包括使用所述处理器确定与初级感染荚和次级感染荚相关联的相应感染容器能够消耗的总资源容量，以及使用所述处理器生成总风险容量度量。

12.根据权利要求11所述的方法，还包括使用所述处理器确定与相应感染容器相关联的许可。

13.根据权利要求9所述的方法，还包括使用所述处理器生成与初级感染荚和次级感染荚相关联的上下文风险分数和绝对风险分数。

14.根据权利要求11所述的方法，还包括使用所述处理器评估处理器、存储器或磁盘中至少一个的有限容量。

15.根据权利要求14所述的方法，还包括使用所述处理器生成与初级感染荚和次级感染荚相关联的上下文风险分数和绝对风险分数，以及使用所述处理器基于一个或多个改变生成与初级感染荚和次级感染荚相关联的第二上下文风险分数和第二绝对风险分数。

16.一种计算机程序产品，包括具有体现在其中的程序指令的计算机可读存储介质，所述程序指令可由处理器执行以使所述处理器：

17.根据权利要求16所述的计算机程序产品，所述程序指令还可由所述处理器执行，以使所述处理器：

18.根据权利要求16所述的计算机程序产品，所述程序指令还可由所述处理器执行，以使所述处理器确定与初级感染荚和次级感染荚相关联的相应感染容器能够消耗的总资源容量，并生成总风险容量度量。

19.根据权利要求18所述的计算机程序产品，所述程序指令还可由所述处理器执行，以使所述处理器确定与相应感染容器相关联的许可。

20.根据权利要求16所述的计算机程序产品，所述程序指令还可由所述处理器执行，以使所述处理器生成与初级感染荚和次级感染荚相关联的上下文风险分数和绝对风险分数，并且基于一个或多个改变生成与初级感染荚和次级感染荚相关联的第二上下文风险分数和第二绝对风险分数。

技术总结
一种计算机实现的方法可以包括：使用处理器查验分别与荚相关联的一组容器图像；使用处理器标识包含漏洞的荚的第一子集；使用处理器将荚的第一子集分类为初级感染荚；使用处理器生成其中初级感染荚部署在网络内的名称空间的第一列表；使用处理器检查与名称空间的第一列表相关的网络策略，以确定有能力与初级感染荚通信的次级可疑荚；使用处理器生成其中次级可疑荚部署在网络内的次级可疑名称空间的列表；使用处理器标识与一个或多个初级感染荚通信的一个或多个次级可疑荚；以及使用处理器生成次级感染荚的列表。

技术研发人员：A·坎苏,M·F·布卢特,黄珍镐,S·纳德戈达
受保护的技术使用者：国际商业机器公司
技术研发日：
技术公布日：2024/1/14