[发明专利]文件检测方法、装置及设备

说明书

本申请公开了一种文件检测方法、装置及设备，涉及终端应用技术领域，能够对运行中的容器进行扫描监控，提高Docker容器内文件的安全性。其中方法包括：通过调用容器引擎对应的远程接口，获取容器引擎中运行的文件信息；基于预先构建的大数据分析平台，对所述容器引擎中运行的文件信息进行规则关联，判断所述文件信息中是否存在恶意文件；若存在，则生成并传输恶意文件的告警信息。

技术领域

本发明涉及网络安全技术领域，尤其是涉及到一种文件检测方法、装置及设备。

背景技术

随着互联网技术的不断发展，企业的服务器数量大幅增长，业务系统越来越复杂，用户体验要求越来越高，容器这种能够打包应用和隔离运行环境的技术引起了开发者的高度关注。相比于传统的虚拟化技术，容器不需要为每个应用分配单独的操作系统，所以容器会拥有更高的资源使用效率。其中，以Docker为代表的容器技术发展得最好，迅速占领了市场。

在Docker容器技术飞速发展的同时，Docer容器安全问题也日益为广大用户及企业关注的焦点。如今互联网公司每天面临着无数的恶意攻击，针对Docker容器安全问题，通常都是利用主机层将Docker容器中的文件传输宿主机中，进而对操作系统的文件进行监控检测。但是主机层的文件监控面对Docker容器，无法对容器内的文件内容进行监控检测。

目前，使用Docker安全扫描的工具，能够帮助开发者和企业找到Docker容器镜像中的已知漏洞，可以实现对Docker镜像系统进行监控检测。然而，Docker安全扫描的工具仅支持镜像系统的静态扫描，无法对运行中的容器进行扫描监控，使得Docker容器内文件存在安全隐患

发明内容

根据本申请的一个方面，提供了一种文件检测方法，该方法包括：

通过调用容器引擎对应的远程接口，获取容器引擎中运行的文件信息；

基于预先搭建的数据分析平台，对所述容器引擎中运行的文件信息进行规则关联，判断所述文件信息中是否存在恶意文件；

若存在，则生成并传输恶意文件的告警信息。

进一步地，所述通过调用容器引擎对应的远程接口，获取容器引擎内运行的文件信息，具体包括：

通过调用容器引擎对应的远程接口，获取容器引擎的运行状态；

基于所述容器引擎的运行状态，获取正在运行中的容器列表，所述容器列表中记录有运行中容器的详细信息；

根据所述运行中容器的详细信息，确定容器引擎内运行的文件信息。

进一步地，所述根据所述运行中容器的详细信息，确定容器引擎内运行的文件信息，具体包括：

根据所述运行中容器的详细信息，读取由运行中容器启动的进程信息；

从所述由运行中容器启动的进程信息中提取文件改动信息，并根据文件改动信息中记录当前文件状态，确定容器引擎内运行的文件信息。

进一步地，所述基于预先搭建的数据分析平台，对所述容器引擎中运行的文件信息进行规则关联，判断所述文件信息中是否存在恶意文件，具体包括：

利用预先搭建的数据分析平台，按照预设时间间隔提取并存储所述容器引擎中运行的文件信息；

将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析，得到关联分析结果；

通过将关联分析结果形成的相似度与预先设置的相似度阈值进行比较，判断所述文件信息中是否存在恶意文件。

进一步地，在所述将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析，得到关联分析结果之前，所述方法还包括：