[发明专利]经由多层文件系统状态检测文件系统修改的系统和方法

说明书

经由多层文件系统状态检测文件系统修改的系统和方法。该技术提供威胁检测系统。就这一点而言，该系统可以被配置成输出多层文件系统的文件状态。例如，系统可以基于文件的文件状态来确定多层文件系统中的可以找到与该文件相对应的一个或多个对象的一个或多个层。基于与文件对应的一个或多个对象，系统可以检测潜在威胁。然后，系统可以响应于潜在威胁而采取动作。

技术领域

本公开涉及经由多层文件系统状态检测文件系统修改的系统和方法。

背景技术

检测操作系统(“OS”)的文件系统中的威胁的典型方法可以包括比较OS中的文件的修改时间戳，以及将文件与OS中的预期文件的索引进行比较。但是，这些方法需要OS中的原始时间戳和/或原始索引使其可用于检测机制，这可能会使OS面临进一步的威胁并需要额外存储和处理。在OS文件系统中检测威胁的另一种方法是测量OS中的文件内容，这可能需要大量的处理资源，诸如加工和处理大量的输入/输出文件数据。OS文件系统中的威胁检测方法的又一示例是表征OS的磁盘块分配图，这可能非常复杂，并且可能不是恶意修改的良好指标。

此外，由于容器的短暂性质，检测容器化的环境中的威胁造成另外的挑战。就这一点而言，可以创建包括一个或多个可执行二进制文件集的OS文件系统的基础镜像，所述二进制文件是用于运行容器实例的一个集合的编译程序。当需要修改、移除、添加等可执行二进制文件时，使用经过修改或新的可执行二进制文件集创建OS文件系统的新基础镜像通常是可接受的惯例。然后，可以使用新基础镜像部署新容器实例。通常，在容器运行时修改容器中的可执行二进制文件集是不可接受的惯例，因为在容器实例期间对可执行二进制文件进行的任何修改都不会持续超出该容器实例的相对较短的寿命。这样，如果恶意行为者在容器的实例的运行时期间修改可执行二进制文件或添加新可执行文件，则一旦容器实例的寿命结束，恶意修改就可能无法检测到。

发明内容

本公开涉及检测多层文件系统中的潜在威胁。一个方面包括输出文件的文件状态的方法。可以基于该文件状态确定其中可以找到与该文件相对应的一个或多个对象的多层文件系统的一个或多个层。可以基于其中找到与该文件相对应的所述一个或多个对象的所述一个或多个层来确定对多层文件系统的潜在威胁，并且可以响应于该潜在威胁而采取动作。

在某些情况下，该方法可以包括：确定在多层文件系统的上层中的可修改镜像中找到的与该文件相对应的对象包含对在多层文件系统的下层中的基础镜像中找到的与该文件相对应的对象的修改；以及检测潜在威胁可以进一步基于确定在可修改镜像中找到的与该文件相对应的对象包含对在基础镜像中找到的与该文件相对应的对象的修改。

在某些情况下，该方法可以包括确定在多层文件系统的下层中的基础镜像中没有找到与该文件相对应的所述一个或多个对象，以及检测潜在威胁可以进一步基于确定在基础镜像中没有找到与该文件相对应的所述一个或多个对象。

在一些示例中，可以创建基础镜像，并且检测潜在威胁可以进一步基于确定文件状态指示该文件在基础镜像之后被创建。

在一些示例中，可以在多层文件系统的上层中构造一个或多个可修改镜像，使得该一个或多个可修改镜像包含在应用的运行时期间对基础镜像做出的修改。检测潜在威胁可以进一步基于确定文件状态指示该文件在该应用的运行时期间被创建。

在一些示例中，可以在多层文件系统的上层中构造一个或多个可修改镜像，使得该一个或多个可修改镜像包含在运行应用的容器的实例期间对基础镜像做出的修改。检测潜在威胁可以进一步基于确定文件状态指示该文件在该容器的实例期间被创建。

在某些情况下，该方法可以包括确定该文件是否是可执行二进制文件。检测潜在威胁可以进一步基于确定该文件是可执行二进制文件。

在某些情况下，该方法可以包括确定该文件是否是库文件。检测潜在威胁可以进一步基于确定该文件是库文件。