一种恶意行为处理方法、装置、设备及存储介质与流程
1.本发明涉及云原生、信息安全技术领域,特别涉及一种恶意行为处理方法、装置、设备及存储介质。
背景技术:
2.容器技术是一种比虚拟机技术更加节省计算资源也更加灵活的虚拟化技术,可以提升部署的便捷性,然而在基于k8s(kubernetes)的容器集坏境中,容器会基于调度机制,在不同的宿主机之间漂移,从而导致恶意文件在整个容器集中更容易扩散。现有常规的恶意软件分析技术,在每个容器部署单独的恶意文件检测程序将造成资源的浪费;而如果在宿主机部署,由于容器平台的隔离特性,反病毒引擎无法直接访问容器,如直接对容器映射到宿主机的文件进行处理,则可能会造成容器无法正常运行。
3.有学者在基于windows的单容器坏境中,通过基于windows的interrupt request level(irql)技术,监测文件产生,同时提出将反病毒引擎分为文件信息提取器和恶意软件分析器,文件信息提取器嵌入容器内,用于从irql检测到的文件中提取文件信息;恶意软件分析器用于分析,提取到的信息。但此方案有四个问题,第一,特征提取和恶意软件分析器需要在容器内外频繁交互。尤其对于特征提取较密集的算法,会增加系统负担,导致分析速度慢。第二,业务使用者均需要在自己的容器中嵌入特征提取器,耦合性较高,文件信息提取器更新会影响业务容器。第三,此方案未考虑集的情形,因为在集中,容器可能会横向扩展,在不同节点运行具有相同内容的容器,当某个文件被检测到恶意行为,应该将此病毒特征收集到病毒库,并通知集所有节点进行相应查杀。第四,未考虑linux坏境下如何监测文件创建。
4.综上,如何在容器集环境下高效的对恶意行为进行检测分析,减少文件与容器间的耦合度是目前有待解决的问题。
技术实现要素:
5.有鉴于此,本发明的目的在于提供一种恶意行为处理方法、装置、设备及存储介质,能够在容器集环境下高效的对恶意行为进行检测分析,减少文件与容器间的耦合度。其具体方案如下:
6.第一方面,本技术公开了一种恶意行为处理方法,应用于容器集,包括:
7.通过所述容器集中的从节点的反病毒驱动监测对应的业务容器的内核行为,并确定所述内核行为的行为类型;
8.将所述行为类型对应的进程文件的参数信息通知恶意分析服务,以便所述恶意分析服务根据所述参数信息提取所述进程文件中的恶意特征;
9.基于边车模式挂载的策略管理模块将所述恶意特征通知所述业务容器,以便所述业务容器对存在所述恶意特征的进程文件进行相应的处理。
10.可选的,所述通过所述容器集中的从节点的反病毒驱动监测对应的业务容器的
内核行为,并确定所述内核行为的行为类型,包括:
11.通过所述容器集中的从节点的反病毒驱动,基于ebpf的内核追踪技术监测对应的业务容器的内核行为,并获取与所述内核行为对应的进程文件的第一参数信息以及第二参数信息;
12.从所述内核行为的行为类型中确定出与所述第一参数信息对应的第一行为类型以及与所述第二参数信息对应的第二行为类型;其中,所述第一行为类型为系统调用,所述第二行为类型为文件创建。
13.可选的,所述将所述行为类型对应的进程文件的参数信息通知恶意分析服务,以便所述恶意分析服务根据所述参数信息提取所述进程文件中的恶意特征,包括:
14.如果所述行为类型为所述系统调用,则确定出与恶意调用行为对应的进程文件并通知恶意分析服务,以便所述恶意分析服务提取所述进程文件中新出现的目标特征;
15.如果所述行为类型为所述文件创建,则通知所述恶意分析服务,以便所述恶意分析服务基于本地特征数据库中的特征判断创建的文件是否为恶意文件。
16.可选的,所述确定出与恶意调用行为对应的进程文件并通知恶意分析服务,包括:
17.利用预设规则判断所述系统调用中的行为是否包括所述恶意调用行为;
18.若所述系统调用中的行为包括所述恶意调用行为,则根据容器引擎确定出所述恶意调用行为对应的进程文件在所述容器集中的从节点的相对路径,并获取所述进程文件对应的容器标识号;
19.相应的,所述通知所述恶意分析服务,以便所述恶意分析服务基于本地特征数据库中的特征判断创建的文件是否为恶意文件之后,还包括:
20.当所述文件创建中创建的文件包括所述恶意文件时,则根据所述容器引擎确定出所述恶意文件在所述容器集中的从节点的相对路径,并获取所述恶意文件对应的容器标识号。
21.可选的,所述基于边车模式挂载的策略管理模块将所述恶意特征通知所述业务容器,以便所述业务容器对存在所述恶意特征的进程文件进行相应的处理,包括:
22.对创建的文件进行特征提取,并将提取到的特征与所述本地特征数据库中的特征进行静态特征分析以提取出所述恶意文件;
23.基于边车模式挂载的策略管理模块将所述恶意文件和与所述恶意调用行为对应的进程文件通知所述业务容器,以便所述业务容器对所述恶意文件和与恶意调用行为对应的进程文件进行相应的处理。
24.可选的,所述确定出与恶意调用行为对应的进程文件,并通知恶意分析服务提取所述进程文件中新出现的目标特征,包括:
25.确定出与恶意调用行为对应的进程文件,并通知恶意分析服务对所述进程文件提取特征;
26.如果所述特征是恶意特征并且在所述本地特征数据库中不存在,则将所述特征确定为所述目标特征,以便将所述目标特征发送至所述容器集中的主节点,并通过所述主节点通知相应的宿主机,利用所述目标特征更新所述本地特征数据库。
27.可选的,所述的恶意行为处理方法,还包括:
28.通过所述本地特征数据库将所述目标特征通知所述容器集中的所有从节点,以
便所述从节点基于所述目标特征对所述恶意行为进行监测。
29.第二方面,本技术公开了一种恶意行为处理装置,应用于容器集,包括:
30.内核行为监测模块,用于通过所述容器集中的从节点的反病毒驱动监测对应的业务容器的内核行为,并确定所述内核行为的行为类型;
31.恶意分析服务模块,用于将所述行为类型对应的进程文件的参数信息通知恶意分析服务,以便所述恶意分析服务根据所述参数信息提取所述进程文件中的恶意特征;
32.恶意行为处理模块,用于基于边车模式挂载的策略管理模块将所述恶意特征通知所述业务容器,以便所述业务容器对存在所述恶意特征的进程文件进行相应的处理。
33.第三方面,本技术公开了一种电子设备,包括:
34.存储器,用于保存计算机程序;
35.处理器,用于执行所述计算机程序,以实现前述的恶意行为处理方法。
36.第四方面,本技术公开了一种计算机可读存储介质,用于存储计算机程序;其中所述计算机程序被处理器执行时实现如前所述的恶意行为处理方法。
37.本技术应用于容器集,首先通过所述容器集中的从节点的反病毒驱动监测对应的业务容器的内核行为,并确定所述内核行为的行为类型;然后将所述行为类型对应的进程文件的参数信息通知恶意分析服务,以便所述恶意分析服务根据所述参数信息提取所述进程文件中的恶意特征;最后基于边车模式挂载的策略管理模块将所述恶意特征通知所述业务容器,以便所述业务容器对存在所述恶意特征的进程文件进行相应的处理。可见,通过所述容器集中的从节点的反病毒驱动对内核行为进行监测,实现了根据不同的行为类型,利用相应的进程文件中的恶意特征,基于边车模式挂载的策略管理模块结合业务容器对其进行处理。如此一来,对不同的行为类型进行不同的策略管理,减少了耦合度。其次,由于容器共用宿主机内核,通过宿主机可以监测到容器对应的内核行为,实现采用宿主机监测分析恶意行为、业务容器决策的模式,提高了分析效率,能够实现在容器集的环境下高效的对恶意行为进行检测分析,对其进行处理。
附图说明
38.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
39.图1为本技术公开的一种恶意行为处理方法流程图;
40.图2为本技术公开的一种具体的恶意行为处理方法流程图;
41.图3为本技术公开的一种基于linux系统的容器集恶意行为处理示意图;
42.图4为本技术公开的一种恶意行为处理装置结构示意图;
43.图5为本技术公开的一种电子设备结构图。
具体实施方式
44.下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于
本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
45.基于传统的恶意文件检测方案,在每个容器部署单独的恶意文件检测程序,将造成资源的浪费;如果在宿主机部署,反病毒引擎无法直接访问容器;如果直接对文件进行处理,则可能会造成容器无法正常运行。而基于windows的irql技术监测文件产生,同时将反病毒引擎分为文件信息提取器和恶意软件分析器也存在分析速度慢、耦合性较高、未考虑集的情形等问题。
46.为此,本技术提供了一种恶意行为监测方案,能够在容器集环境下高效的对恶意行为进行检测分析,减少文件与容器间的耦合度。
47.本发明实施例公开了一种恶意行为处理方法,参见图1所示,应用于容器集,该方法包括:
48.步骤s11:通过所述容器集中的从节点的反病毒驱动监测对应的业务容器的内核行为,并确定所述内核行为的行为类型。
49.可以理解的是,linux内核一直是实现监视/可观察性的理想场所,由于容器共用宿主机内核,通过宿主机可以监测到容器对应的内核行为。本技术实施例采用基于ebpf(extended berkeley packet filter)的内核追踪技术,动态观测linux的内核行为。具体的,通过所述容器集中的从节点的反病毒驱动,基于ebpf的内核追踪技术监测对应的业务容器的内核行为,并获取与所述内核行为对应的进程文件的第一参数信息以及第二参数信息;从所述内核行为的行为类型中确定出与所述第一参数信息对应的第一行为类型以及与所述第二参数信息对应的第二行为类型;其中,所述第一行为类型为系统调用,所述第二行为类型为文件创建。
50.本技术实施例中,按照预先设置的策略将进行两类内核监测行为,第一类为监测系统调用,当监测到需要关注的或者容器集中从节点对应的本地策略库中已有的系统调用或系统调用组合时,确定出监测到的进程id(identity document,身份标识号码)、函数参数等作为第一参数信息;第二类为监测文件创建,当监测到有新文件创建后,确定出监测到的文件路径、函数参数等作为第二参数信息。如此一来,在进行恶意行为监测时可以根据系统调用类型及与内核行为对应的第一参数信息以及第二参数信息确定出当前的行为是系统调用还是文件创建。
51.步骤s12:将所述行为类型对应的进程文件的参数信息通知恶意分析服务,以便所述恶意分析服务根据所述参数信息提取所述进程文件中的恶意特征。
52.本技术实施例中,恶意分析服务如果获取到所述第一参数信息,则确定出当前的内核行为类型为系统调用或系统调用组合;如果获取到所述第二参数信息,则确定出当前的内核行为类型为文件创建。然后利用对应的进程文件的参数信息可以分析出是否是恶意行为或恶意文件,也即,提取所述进程文件中的恶意特征。
53.需要指出的是,如果当前的内核行为类型为系统调用或系统调用组合时,会确定出恶意调用行为对应的进程文件,提取进程文件中新出现的目标特征,当发现新出现的目标特征后将目标特征发送至容器集中的主节点,如此一来,主节点的容器可以将目标特征通知对应的宿主机,然后宿主机根据目标特征更新本地特征数据库。另外,本地特征数据库会将所述目标特征通知所述容器集中的所有从节点,这样,在容器集坏境中,鉴于容
器会漂移的特征,当发现新出现的目标特征,可以通知相应的宿主机利用目标特征更新本地特征数据库,以便利用更新后的本地特征数据库对恶意行为进行查杀。
54.步骤s13:基于边车模式挂载的策略管理模块将所述恶意特征通知所述业务容器,以便所述业务容器对存在所述恶意特征的进程文件进行相应的处理。
55.本技术实施例中,系统调用和文件创建被判断为恶意后,都需要基于边车模式挂载的策略管理模块通知业务容器,由业务容器对所述恶意文件进行相应的处理。当内核行为类型为文件创建时,对创建的文件进行特征提取,并将提取到的特征与所述本地特征数据库中的特征进行静态特征分析以提取出所述恶意文件;基于边车模式挂载的策略管理模块将所述恶意文件和与所述恶意调用行为对应的进程文件通知所述业务容器,以便所述业务容器对所述恶意文件和与恶意调用行为对应的进程文件进行相应的处理。
56.可以理解的是,在进行文件监测时,是根据本地特征数据库中已有的特征对文件提取的特征进行静态特征分析,判断其是否为恶意文件。如果是恶意文件,则基于边车模式挂载的策略管理通知业务容器,由业务容器判断所述恶意文件的业务逻辑是否正常,需要指出的是,业务逻辑是否正常取决于恶意分析服务的判断,结合用户根据自身的业务逻辑需求来决定所述恶意文件的下一步处理策略,如果所述业务逻辑不正常,则删除所述恶意文件。
57.本技术应用于容器集,首先通过所述容器集中的从节点的反病毒驱动监测对应的业务容器的内核行为,并确定所述内核行为的行为类型;然后将所述行为类型对应的进程文件的参数信息通知恶意分析服务,以便所述恶意分析服务根据所述参数信息提取所述进程文件中的恶意特征;最后基于边车模式挂载的策略管理模块将所述恶意特征通知所述业务容器,以便所述业务容器对存在所述恶意特征的进程文件进行相应的处理。可见,通过所述容器集中的从节点的反病毒驱动对内核行为进行监测,实现了根据不同的行为类型,利用相应的进程文件中的恶意特征,基于边车模式挂载的策略管理模块结合业务容器对其进行处理。如此一来,对不同的行为类型进行不同的策略管理,减少了耦合度。其次,由于容器共用宿主机内核,通过宿主机可以监测到容器对应的内核行为,实现采用宿主机监测分析恶意行为、业务容器决策的模式,提高了分析效率,能够实现在容器集的环境下高效的对恶意行为进行检测分析,对其进行处理。
58.本技术实施例公开了一种具体的恶意行为处理方法,参见图2所示,应用于容器集,该方法包括:
59.步骤s21:通过所述容器集中的从节点的反病毒驱动监测对应的业务容器的内核行为,并确定所述内核行为的行为类型。
60.其中,关于上述步骤s21更加具体的处理过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
61.步骤s22:如果所述行为类型为所述系统调用,则确定出与恶意调用行为对应的进程文件并通知恶意分析服务,以便所述恶意分析服务提取所述进程文件中新出现的目标特征。
62.本技术实施例中,如果当前的内核行为类型为系统调用或系统调用组合,利用预设规则判断所述系统调用中的行为是否包括所述恶意调用行为;若所述系统调用中的行为包括所述恶意调用行为,则通知恶意分析服务对所述进程文件提取特征,然后根据容器引
擎(container/docker)采用的文件系统,转换出基于容器的相对路径,并获取所述进程文件对应的容器标识号。
63.需要指出的是,恶意分析服务在进行特征提取时,如果提取到的进程文件中的特征是新出现的特征时,也即,所述特征是恶意特征并且在所述本地特征数据库中不存在,则将该新出现的特征确定为目标特征,然后将所述目标特征发送至所述容器集中的主节点,并通过所述主节点通知相应的宿主机,以便主节点利用目标特征更新本地特征数据库,使在发现目标特征时可以迅速通知所有从节点进行查杀。
64.步骤s23:如果所述行为类型为所述文件创建,则通知所述恶意分析服务,以便所述恶意分析服务基于本地特征数据库中的特征判断创建的文件是否为恶意文件。
65.本技术实施例中,如果行为类型为文件创建,对创建的文件进行特征提取,恶意分析服务会将提取到的特征与本地特征数据库中的特征进行静态特征分析如果监测出的文件是恶意文件,利用容器引擎转换出所述恶意文件在所述容器集中的从节点的相对路径,并获取所述恶意文件对应的所述从节点的容器标识号。
66.步骤s24:基于边车模式挂载的策略管理模块将所述恶意特征通知所述业务容器,以便所述业务容器对存在所述恶意特征的进程文件进行相应的处理。
67.其中,关于上述步骤s24更加具体的处理过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
68.本技术应用于容器集,首先通过所述容器集中的从节点的反病毒驱动监测对应的业务容器的内核行为,并确定所述内核行为的行为类型;如果所述行为类型为所述系统调用,则确定出与恶意调用行为对应的进程文件并通知恶意分析服务,以便所述恶意分析服务提取所述进程文件中新出现的目标特征;如果所述行为类型为所述文件创建,则通知所述恶意分析服务,以便所述恶意分析服务基于本地特征数据库中的特征判断创建的文件是否为恶意文件;最后基于边车模式挂载的策略管理模块将所述恶意特征通知所述业务容器,以便所述业务容器对存在所述恶意特征的进程文件进行相应的处理。可见,通过所述容器集中的从节点的反病毒驱动对内核行为进行监测,实现了根据不同的行为类型,利用相应的进程文件中的恶意特征,基于边车模式挂载的策略管理模块结合业务容器对其进行处理。如此一来,对不同的行为类型进行不同的策略管理,减少了耦合度。其次,由于容器共用宿主机内核,通过宿主机可以监测到容器对应的内核行为,实现采用宿主机监测分析恶意行为、业务容器决策的模式,提高了分析效率,能够实现在容器集的环境下高效的对恶意行为进行检测分析,对其进行处理。
69.示例性的,如图3所示描述了基于linux系统的容器集恶意行为检测的框架,对本技术实施例进行具体说明。主要包括反病毒驱动、恶意分析服务、策略管理、反病毒管理服务。
70.首先反病毒驱动按预先设置的策略将进行两类内核监测行为。当监测到需要关注的、本地策略库中已有的系统调用或系统调用组合时,将监测到的进程id、函数参数等通知恶意分析服务;当监测到有新文件创建后,将监测到的文件路径、函数参数等通知恶意分析服务。
71.其次,恶意分析服务收到反病毒驱动上报的行为后将进行两个方面的分析:第一:如果是恶意行为或行为组合,则分析并提取新出现的目标特征。第二,如果是文件创建,则
分析其是否是恶意文件。具体的,如果发现新出现的目标特征,则将目标特征通知反病毒管理服务,反病毒管理服务更新特征库,并通知各个宿主机更新本地特征数据库并进行全局扫描。如果恶意行为对应的进程文件的特征是本地特征数据库中已经存在的特征,或者当监测到文件创建后确定出创建的文件可能为恶意文件时,依据容器引擎采用的文件系统,转换出文件基于容器的相对路径,获得文件所属容器id及文件在容器内的路径,并通知策略管理。需要指出的是,在反病毒管理服务中监测到的文件路径是基于宿主机的绝对路径,在恶意分析服务中依据容器引擎采用的文件系统,转换出文件在容器内的路径是基于容器的相对路径。
72.策略管理采用边车模式,用来接收恶意文件分析模块同步的扫描结果消息,即确定出哪一个文件对应了恶意行为,当业务容器启动时,可以进行挂载,不会和业务容器耦合。业务容器可以从策略管理模块获取上报的恶意文件信息,由业务逻辑依据自身需求并结合恶意分析服务的判断来判断并决定此恶意文件的下一步处理策略。如果业务容器判断其为非正常逻辑,则对此文件进行删除。
73.最后,反病毒管理服务位于主节点中,主要进行特征管理,当有新特征发现时,如管理员从外部导入新特征,或者通过恶意分析服务分析获得新出现的目标特征;使其更新本地特征数据库,然后迅速通知所有从节点进行查杀,即进行全局扫描。
74.相应的,本技术实施例还公开了一种恶意行为处理装置,参见图4所示,应用于容器集,该装置包括:
75.内核行为监测模块11,用于通过所述容器集中的从节点的反病毒驱动监测对应的业务容器的内核行为,并确定所述内核行为的行为类型;
76.恶意分析服务模块12,用于将所述行为类型对应的进程文件的参数信息通知恶意分析服务,以便所述恶意分析服务根据所述参数信息提取所述进程文件中的恶意特征;
77.恶意行为处理模块13,用于基于边车模式挂载的策略管理模块将所述恶意特征通知所述业务容器,以便所述业务容器对存在所述恶意特征的进程文件进行相应的处理。
78.其中,关于上述各个模块更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
79.由此可见,通过本实施例的上述方案,首先通过所述容器集中的从节点的反病毒驱动监测对应的业务容器的内核行为,并确定所述内核行为的行为类型;然后将所述行为类型对应的进程文件的参数信息通知恶意分析服务,以便所述恶意分析服务根据所述参数信息提取所述进程文件中的恶意特征;最后基于边车模式挂载的策略管理模块将所述恶意特征通知所述业务容器,以便所述业务容器对存在所述恶意特征的进程文件进行相应的处理。可见,通过所述容器集中的从节点的反病毒驱动对内核行为进行监测,实现了根据不同的行为类型,利用相应的进程文件中的恶意特征,基于边车模式挂载的策略管理模块结合业务容器对其进行处理。如此一来,对不同的行为类型进行不同的策略管理,减少了耦合度。其次,由于容器共用宿主机内核,通过宿主机可以监测到容器对应的内核行为,实现采用宿主机监测分析恶意行为、业务容器决策的模式,提高了分析效率,能够实现在容器集的环境下高效的对恶意行为进行检测分析,对其进行处理。
80.进一步的,本技术实施例还公开了一种电子设备,图5是根据一示例性实施例示出的电子设备20结构图,图中内容不能认为是对本技术的使用范围的任何限制。
81.图5为本技术实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的恶意行为处理方法中的相关步骤。另外,本实施例中的电子设备20具体可以为计算机。
82.本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本技术技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
83.另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统221、计算机程序222及数据223等,数据223可以包括各种各样的数据。存储方式可以是短暂存储或者永久存储。
84.其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,其可以是windows server、netware、unix、linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的恶意行为处理方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
85.进一步的,本技术实施例还公开了一种计算机可读存储介质,这里所说的计算机可读存储介质包括随机存取存储器(random access memory,ram)、内存、只读存储器(read-only memory,rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、磁碟或者光盘或技术领域内所公知的任意其他形式的存储介质。其中,所述计算机程序被处理器执行时实现前述恶意行为处理方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
86.本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
87.结合本文中所公开的实施例描述的恶意行为处理或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
88.最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
89.以上对本发明所提供的一种恶意行为处理方法、装置、设备及存储介质进行了详
细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
技术特征:
1.一种恶意行为处理方法,其特征在于,应用于容器集,包括:通过所述容器集中的从节点的反病毒驱动监测对应的业务容器的内核行为,并确定所述内核行为的行为类型;将所述行为类型对应的进程文件的参数信息通知恶意分析服务,以便所述恶意分析服务根据所述参数信息提取所述进程文件中的恶意特征;基于边车模式挂载的策略管理模块将所述恶意特征通知所述业务容器,以便所述业务容器对存在所述恶意特征的进程文件进行相应的处理。2.根据权利要求1所述的恶意行为处理方法,其特征在于,所述通过所述容器集中的从节点的反病毒驱动监测对应的业务容器的内核行为,并确定所述内核行为的行为类型,包括:通过所述容器集中的从节点的反病毒驱动,基于ebpf的内核追踪技术监测对应的业务容器的内核行为,并获取与所述内核行为对应的进程文件的第一参数信息以及第二参数信息;从所述内核行为的行为类型中确定出与所述第一参数信息对应的第一行为类型以及与所述第二参数信息对应的第二行为类型;其中,所述第一行为类型为系统调用,所述第二行为类型为文件创建。3.根据权利要求2所述的恶意行为处理方法,其特征在于,所述将所述行为类型对应的进程文件的参数信息通知恶意分析服务,以便所述恶意分析服务根据所述参数信息提取所述进程文件中的恶意特征,包括:如果所述行为类型为所述系统调用,则确定出与恶意调用行为对应的进程文件并通知恶意分析服务,以便所述恶意分析服务提取所述进程文件中新出现的目标特征;如果所述行为类型为所述文件创建,则通知所述恶意分析服务,以便所述恶意分析服务基于本地特征数据库中的特征判断创建的文件是否为恶意文件。4.根据权利要求3所述的恶意行为处理方法,其特征在于,所述确定出与恶意调用行为对应的进程文件并通知恶意分析服务,包括:利用预设规则判断所述系统调用中的行为是否包括所述恶意调用行为;若所述系统调用中的行为包括所述恶意调用行为,则根据容器引擎确定出所述恶意调用行为对应的进程文件在所述容器集中的从节点的相对路径,并获取所述进程文件对应的容器标识号;相应的,所述通知所述恶意分析服务,以便所述恶意分析服务基于本地特征数据库中的特征判断创建的文件是否为恶意文件之后,还包括:当所述文件创建中创建的文件包括所述恶意文件时,则根据所述容器引擎确定出所述恶意文件在所述容器集中的从节点的相对路径,并获取所述恶意文件对应的容器标识号。5.根据权利要求3所述的恶意行为处理方法,其特征在于,所述基于边车模式挂载的策略管理模块将所述恶意特征通知所述业务容器,以便所述业务容器对存在所述恶意特征的进程文件进行相应的处理,包括:对创建的文件进行特征提取,并将提取到的特征与所述本地特征数据库中的特征进行静态特征分析以提取出所述恶意文件;
基于边车模式挂载的策略管理模块将所述恶意文件和与所述恶意调用行为对应的进程文件通知所述业务容器,以便所述业务容器对所述恶意文件和与恶意调用行为对应的进程文件进行相应的处理。6.根据权利要求3所述的恶意行为处理方法,其特征在于,所述确定出与恶意调用行为对应的进程文件,并通知恶意分析服务提取所述进程文件中新出现的目标特征,包括:确定出与恶意调用行为对应的进程文件,并通知恶意分析服务对所述进程文件提取特征;如果所述特征是恶意特征并且在所述本地特征数据库中不存在,则将所述特征确定为所述目标特征,以便将所述目标特征发送至所述容器集中的主节点,并通过所述主节点通知相应的宿主机,利用所述目标特征更新所述本地特征数据库。7.根据权利要求3至6任一项所述的恶意行为处理方法,其特征在于,还包括:通过所述本地特征数据库将所述目标特征通知所述容器集中的所有从节点,以便所述从节点基于所述目标特征对所述恶意行为进行监测。8.一种恶意行为处理装置,其特征在于,应用于容器集,包括:内核行为监测模块,用于通过所述容器集中的从节点的反病毒驱动监测对应的业务容器的内核行为,并确定所述内核行为的行为类型;恶意分析服务模块,用于将所述行为类型对应的进程文件的参数信息通知恶意分析服务,以便所述恶意分析服务根据所述参数信息提取所述进程文件中的恶意特征;恶意行为处理模块,用于基于边车模式挂载的策略管理模块将所述恶意特征通知所述业务容器,以便所述业务容器对存在所述恶意特征的进程文件进行相应的处理。9.一种电子设备,其特征在于,包括:存储器,用于保存计算机程序;处理器,用于执行所述计算机程序,以实现权利要求1至7任一项所述的恶意行为处理方法。10.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的恶意行为处理方法。
技术总结
本申请公开了一种恶意行为处理方法、装置、设备及存储介质,应用于容器集,涉及云原生、信息安全技术领域,该方法包括:通过所述容器集中的从节点的反病毒驱动监测对应的业务容器的内核行为,并确定所述内核行为的行为类型;将所述行为类型对应的进程文件的参数信息通知恶意分析服务,以便所述恶意分析服务根据所述参数信息提取所述进程文件中的恶意特征;基于边车模式挂载的策略管理模块将所述恶意特征通知所述业务容器,以便所述业务容器对存在所述恶意特征的进程文件进行相应的处理。通过本申请的技术方案,解决在容器集坏境中,高效的对恶意行为进行检测分析。高效的对恶意行为进行检测分析。高效的对恶意行为进行检测分析。
