[发明专利]用于容器文件完整性监视的系统和方法

说明书

一种用于在主机计算设备中监视文件完整性的系统，主机计算设备具有处理器和存储计算机可执行代码的存储设备。计算机可执行代码配置为：提供容器、容器外部的代理、以及为容器配置策略的策略文件；拦截指示挂载的系统调用，以及构建容器文件路径和具有挂载对应关系的主机文件路径之间的第一对应关系；拦截该容器的指示打开策略文件的系统调用，以及构建容器文件路径和该容器文件路径的违规之间的第二对应关系；聚合第一对应关系和第二对应关系以获取主机文件路径和违规之间的对应关系；以及通过检测主机文件路径的违规来监视容器的文件完整性。

交叉引用

在本公开的描述中引用并讨论了一些参考文献，其可以包括专利、专利申请和各种公开文献。这种参考文献的引用和讨论仅仅提供用于阐明本公开的描述而不是承认任何这种参考文献为此处所描述公开的“现有技术”。在本说明书中引用和讨论的所有参考文献通过引用而将其整体包含于此，并且其公开程度与每个参考文献通过引用单独包含相同。

技术领域

本公开总体涉及信息安全领域，更具体地，涉及用于使用一个代理对容器进行文件完整性监视(FIM)的系统和方法。

背景技术

此处提供的背景描述是用于总体呈现本公开上下文的目的。既不明确地承认也不暗示地承认当前记名的发明人的工作(就本背景部分所描述的程度)以及在申请时可能不符合现有技术的描述的某些方面是本公开的现有技术。

文件完整性监视(FIM)是一种验证文件系统(包括操作系统(OS)、软件、配置文件和证书文件等等)在当前状态和期望状态之间的完整性的行为，以便检测无效修改、删除、替换等等，这可以有效检测由常规黑客或普通恶意软件(特洛伊木马、Rootkit等等)执行的非法动作。例如，高级持续性威胁(APT)，诸如政府资助的网络间谍活动，可以通过精心设计的FIM策略来检测。具体地，对于持续性攻击，APT恶意软件需要修改OS凭证(例如，Linux上的.ssh/id_rsa.pub./etc/shadow，/usr/bin/passwd等)，或者通过用恶意二进制替换普通二进制(例如，ps，ls，ifconfig等)或通过删除日志信息/etc/localtime或bash历史.bash_history而在目标机器中隐藏自己，FIM策略可以配置成检测这些修改或删除。

FIM通过在使用FIM策略的计算设备(例如，主机)的主机系统(也称为基于主机的系统)上运行的软件系统(诸如代理)来实施。FIM策略通常由用户指定，诸如系统管理员，其经由文件结构来定义与文件和/或文件路径有关的违规动作，且检测到违规导致针对文件完整性的警报。例如，通过规则列表来表示FIM策略，规则列表可以格式化为file，violation，其中file指的是完整文件路径，其可被主机理解以找到存储在该文件路径中的对应文件，violation指示会破坏文件完整性的动作。例如，/bin/ls，‘w，d’是指如果路径/bin/ls中的文件被修改或删除，则将触发针对文件完整性的警报。例如，EP 2228722B1、US 7,526,516 B1、KR 20100125116 A、US 7,457,951 B1、US 7,069,594 B1、US 8,819,225 B2(【14】-【19】)等等已经描述了如何在主机上执行FIM。

当前，容器作为一种为应用提供虚拟主机环境的轻量虚拟化技术，在诸如主机的物理机器中扮演着越来越重要的角色。不同于传统的虚拟机(【2】-【5】)，物理机器上的所有容器共享同一内核以为了更好的资源利用和效率。得益于其效率和优势，容器已经在微服务(【6】)和无服务器计算架构(【7】)中广泛采用。已经表明(【8】)的是包括亚马逊AWS、谷歌云、微软Azure等的云提供商使用容器作为他们的核心技术。例如，代替于直接在计算设备的主机系统(例如，Linux)上运行，所有应用可以在大量(诸如成千上万)个容器中运行，这些容器继而在主机系统中运行，使得在一个容器中运行的应用可以实现与其他容器中的其他应用隔离的、相对安全的运行环境。