10.11959/j.issn.1000−436x.2023008
基于异构观测链的容器逃逸检测方法
针对现有容器逃逸检测技术漏报率较高的问题,提出一种异构观测的实时检测方法.首先对利用内核漏洞的容器逃逸行为建模,选取进程的关键属性作为观测点,提出以"权限提升"为检测标准的异构观测方法;然后利用内核模块实时捕获进程的属性信息,构建进程起源图,并通过容器内外进程边界识别技术缩小起源图规模;最后基于进程属性信息构建异构观测链,实现原型系统HOC-Detector.实验结果表明,HOC-Detector可以成功检测测试数据集中利用内核漏洞的容器逃逸,并且运行时增加的总体开销低于0.8%.
容器逃逸、内核漏洞、开放起源模型、异构观测链
44
TP393.081(计算技术、计算机技术)
国家自然科学基金;广东省重点研发计划基金资助项目;国家重点研发计划
2023-02-21(万方平台首次上网日期,不代表论文的发表时间)
共15页
49-63
