专利一种容器沙箱规则的生成方法、系统、电子设备及存储介质

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202111628709.2 (22)申请日 2021.12.28 (71)申请人杭州谐云科技有限公司地址 310023 浙江省杭州市余杭区五常街道文一西路9 98号7幢3 01-401室 (72)发明人徐运元　华正　王翱宇　沈宏杰　刘森泽　 (74)专利代理机构北京汇信合知识产权代理有限公司 1 1335 代理人尚鹏程 (51)Int.Cl. G06F 21/53(2013.01) G06F 21/60(2013.01) (54)发明名称一种容器沙箱规则的生成方法、系统、电子设备及存储介质 (57)摘要本发明公开了一种容器沙箱规则的生成方法、系统、电子设备及存储介质，属于云计算技术领域，所述生成方法包括：基于 eBPF的方法，监测容器的系统调用信息，所述系统调用信息包括进程运行时数据；根据所述进程运行时数据，生成沙箱规则，所述沙箱规则包括Seccomp‑BPF规则，所述Seccomp ‑BPF规则用于阻断或放行系统调用。基于eBPF的方法，监测容器内的系统调用；通过对监测的进程运行时数据进行分析，利于形成安全策略，基于Seco mp‑BPF对容器内的进程进行安全控制，形成容器的安全监控闭环，减少容器的资源占用，提高服务性能；利于充分挖掘容器内的系统调用信息。权利要求书2页说明书4页附图2页 CN 114329443 A 2022.04.12 CN 114329443 A 1.一种容器沙箱规则的生成方法，其特征在于，所述生成方法包括：基于eBPF的方法，监测容器的系统调用信息，所述系统调用信息包括进程运行时数据；根据所述进程运行时数据，生成沙箱规则，所述沙箱规则包括Seccomp ‑BPF规则，所述 Seccomp‑BPF规则用于阻断或放行系统调用。 2.根据权利要求的生成方法，其特征在于，获取容器的进程运行时数据的方法包括：基于eBPF探针的方法，拦截Syst em call entry path和Syst em call exit path，获得调用信息；从所述调用信息中筛选进程运行时数据。 3.根据权利要求1的生成方法，其特征在于，所述运行时数据包括容器属性信息和容器内进程的系统调用信息；所述容器属性信息包括容器标识、容器名称、镜像名称、镜像摘要和特权容器信息；所述系统调用信息包括以下至少一项信息：系统调用名、系统调用时间、调用参数和进程名。 4.根据权利要求1所述的生成方法，其特征在于，生成沙箱规则的方法包括：从所述进程运行时数据中，分析进程危险行为数据；将所述进程危险行为数据与容器集群的资源对象相关联，并生成沙箱规则。 5.根据权利要求1所述的生成方法，其特征在于，还包括告警的方法：根据沙箱规则生成告警规则，所述告警规则包括告警白名单；判断运行进程是否与告警白名单相匹配；若否，产生告警信息。 6.根据权利要求1所述的生成方法，其特征在于，所述Sec comp‑BPF规则包括白名单；放行白名单的进程；阻断非白名单的进程。 7.一种用于实现如权利要求1 ‑6任一项所述生成方法的系统，其特征在于，包括eBPF模块和数据生成模块；所述eBPF模块用于基于eBPF的方法，监测容器的系统调用信息，所述系统调用信息包括进程运行时数据；所述数据分析模块用于根据所述进程运行时数据，生成沙箱规则，所述沙箱规则包括 Seccomp‑BPF规则，所述Sec comp‑BPF规则用于阻断或放行系统调用。 8.根据权利要求7所述的系统，其特征在于，还包括数据收集模块、数据分析模块、后端服务模块和数据展示模块；所述数据收集模块用于对所述调用信息进行过滤，筛选出系统调用信息；所述数据分析模块用于根据所述系统调用信息进行解析，获得进程运行时数据；所述后端服务模块用于与集群管理平台进行通信，将进程运行时数据或系统调用信息与集群资源对象进行关联；数据展示模块用于对系统调用信息、进程运行时数据或危险行为数据进行展示。 9.一种电子设备，包括至少一个处理单元以及至少一个存储单元，其特征在于，所述存储单元存储有计算机程序，所述计算机程序包括用于执行如权利要求1 ‑6任一项所述生成方法的指令，所述处理单元用于执行所述指令。 10.一种存储介质，所述存储介质存储有可执行的计算机程序，所述程序包括用于执行权　利　要　求　书 1/2 页 2 CN 114329443 A 2如权利要求1 ‑6任一项所述生成方法的指令。权　利　要　求　书 2/2 页 3 CN 114329443 A 3

专利 一种容器沙箱规则的生成方法、系统、电子设备及存储介质

专利一种容器沙箱规则的生成方法、系统、电子设备及存储介质