基于异构观测链的容器逃逸检测方法OA
Container escape detection method based on heterogeneous observation chain
针对现有容器逃逸检测技术漏报率较高的问题,提出一种异构观测的实时检测方法.首先对利用内核漏洞的容器逃逸行为建模,选取进程的关键属性作为观测点,提出以"权限提升"为检测标准的异构观测方法;然后利用内核模块实时捕获进程的属性信息,构建进程起源图,并通过容器内外进程边界识别技术缩小起源图规模;最后基于进程属性信息构建异构观测链,实现原型系统HOC-Detector.实验结果表明,HOC-Detector可以成功检测测试数据集中利用内核漏洞的容器逃逸,并且运行时增加的总体开销低于0.8%.
张云涛;方滨兴;杜春来;王忠儒;崔志坚;宋首友
北京邮电大学网络空间安全学院,北京 100876北京邮电大学网络空间安全学院,北京 100876广州大学网络空间先进技术研究院,广东广州 510006北方工业大学信息学院,北京 100144中国网络空间研究院信息化研究所,北京 100010北方工业大学信息学院,北京 100144
信息技术与安全科学
容器逃逸内核漏洞开放起源模型异构观测链
《通信学报》 2023 (1)
漏洞挖掘与利用中的对抗博弈:一种混合增强智能方法
49-63,15
国家自然科学基金资助项目(No.62172006)广东省重点研发计划基金资助项目(No.2019B010136003)国家重点研发计划基金资助项目(No.2019YFA0706404)
评论