典型文献
基于系统调用限制的容器安全防护方案
文献摘要:
针对现有解决方案在限制容器系统调用方面存在系统调用列表不完整和自动化程度差等问题,提出了基于系统调用限制的容器安全防护方案,旨在为任意给定Docker镜像自动化地定制所需系统调用白名单,减小攻击平面.针对镜像层级文件系统组织结构复杂和层间关系难以获取等问题,通过分析配置文件,建立了dockerfile命令和镜像层的一一对应关系,并提取镜像中目标二进制程序;针对标准库中因系统调用号传值模式复杂造成系统调用识别困难问题,通过定义匹配模式,提出利用回溯法确定指定寄存器的值;针对映射表构建时因调用关系复杂引起的路径爆炸和调用节点回环问题,提出基于邻接矩阵的函数映射关系提取算法表示调用关系.为评估该方案的有效性,选取了50个广泛使用的Docker镜像,然后分别为其定制所需系统调用白名单.实验结果表明,所有镜像均可正常运行,且平均所需系统调用数为127.通过选取近6年系统调用相关的软件漏洞,设置白名单后,约70%的通用漏洞披露(common vulnerabilities and exposures,CVEs)可以直接被拦截.
文献关键词:
容器安全;系统调用限制;白名单技术;攻击平面
中图分类号:
作者姓名:
邢云龙;严飞;刘彦孝;张立强
作者机构:
空天信息安全与可信计算教育部重点实验室,武汉大学国家网络安全学院,湖北武汉430072
文献出处:
引用格式:
[1]邢云龙;严飞;刘彦孝;张立强-.基于系统调用限制的容器安全防护方案)[J].武汉大学学报(理学版),2022(01):35-43
A类:
系统调用限制,攻击平面,dockerfile,CVEs
B类:
容器安全,安全防护方案,列表,Docker,镜像,文件系统,配置文件,命令,一一对应,二进制程序,困难问题,匹配模式,回溯法,寄存器,对映,射表,回环,邻接矩阵,函数映射,映射关系,关系提取,软件漏洞,common,vulnerabilities,exposures,拦截,白名单技术
AB值:
0.259676
相似文献
机标中图分类号,由域田数据科技根据网络公开资料自动分析生成,仅供学习研究参考。
