本發(fā)明涉及電網(wǎng)綜合評(píng)估領(lǐng)域,尤其涉及一種面向docker容器的威脅面評(píng)估系統(tǒng)����。
背景技術(shù):
::1、在傳統(tǒng)的電力行業(yè)中�����,各種軟件和應(yīng)用程序通常以物理服務(wù)器和虛擬機(jī)的形式部署和運(yùn)行�。然而,在智能電網(wǎng)的場(chǎng)景下���,傳統(tǒng)的部署方式顯得過(guò)于沉重和復(fù)雜��。而docker技術(shù)則提供了一種更輕量級(jí)的容器化解決方案��,能夠在智能電網(wǎng)中實(shí)現(xiàn)快速部署��、可重用性和彈性擴(kuò)展等需求�。docker技術(shù)可以將應(yīng)用程序打包成一個(gè)獨(dú)立的容器��,實(shí)現(xiàn)與系統(tǒng)環(huán)境的隔離��,避免應(yīng)用之間的沖突。同時(shí)����,docker容器具備輕量級(jí)、快速啟動(dòng)和停止的特點(diǎn)����,可以實(shí)現(xiàn)快速部署和應(yīng)用升級(jí),提高智能電網(wǎng)系統(tǒng)的靈活性和可維護(hù)性�����。docker技術(shù)提供了嚴(yán)格的訪問(wèn)控制����、資源隔離和容器鏡像簽名驗(yàn)證等安全機(jī)制,加強(qiáng)了智能電網(wǎng)系統(tǒng)的安全性���。容器是下一代的虛擬化技術(shù)���,但容器本身在安全性方面非常欠缺。容器安全用于容器從創(chuàng)建�����、部署到運(yùn)行的全流程的整體安全防護(hù)��,讓容器和運(yùn)行在容器之上的應(yīng)用得以正常運(yùn)行����。容器的威脅面評(píng)估主要用于發(fā)現(xiàn)容器環(huán)境中的安全風(fēng)險(xiǎn)、避免存在風(fēng)險(xiǎn)容器上線運(yùn)行�、并持續(xù)發(fā)現(xiàn)和阻止容器運(yùn)行過(guò)程中的攻擊行為。技術(shù)實(shí)現(xiàn)思路1�、本發(fā)明的目的在于針對(duì)上述現(xiàn)有技術(shù)的不足,提供了一種面向docker容器的威脅面評(píng)估系統(tǒng)�。2、本發(fā)明提供的技術(shù)方案是:一種面向docker容器的威脅面評(píng)估系統(tǒng)���,包括:3����、病毒檢測(cè)單元�,用于對(duì)樣本數(shù)據(jù)進(jìn)行學(xué)習(xí),提煉出高維特征����,應(yīng)對(duì)更多威脅;4�����、webshell檢測(cè)單元,結(jié)合語(yǔ)法分析���、ai檢測(cè)技術(shù)從腳本靜態(tài)分析角度來(lái)確定樣本是否具有惡意行為�����;5�、反shell檢測(cè)單元��,用于提高實(shí)戰(zhàn)攻防技術(shù)門(mén)檻��,基于通過(guò)行為事件檢測(cè)完備覆蓋了容器場(chǎng)景下攻防實(shí)戰(zhàn)中絕大多的攻擊界面并廣譜�、泛化行為事件之間的執(zhí)行流、數(shù)據(jù)流關(guān)聯(lián)���;6�����、暴力破解檢測(cè)單元���,用于實(shí)時(shí)監(jiān)控登錄行為�,及時(shí)發(fā)現(xiàn)黑客使用不同服務(wù)嘗試暴力破解用戶登錄密碼的攻擊行為�;7����、異常命令檢測(cè)單元,用于檢測(cè)容器上執(zhí)行的非常規(guī)命令����;8、權(quán)限逃逸檢測(cè)單元���,用于檢測(cè)黑客利用漏洞或主機(jī)上的不當(dāng)配置提升自身進(jìn)程權(quán)限的行為���;9、端口轉(zhuǎn)發(fā)檢測(cè)單元�,用于檢測(cè)黑客利用ssh、iptable進(jìn)行端口轉(zhuǎn)移的行為��;10��、遠(yuǎn)程命令執(zhí)行檢測(cè)單元�����,用于通過(guò)采集容器主機(jī)平臺(tái)下文件、網(wǎng)絡(luò)��、進(jìn)程系統(tǒng)行為信息���,檢測(cè)多行為事件中間的數(shù)據(jù)流��、執(zhí)行流等深度關(guān)聯(lián)來(lái)發(fā)現(xiàn)webrce攻擊威脅�;11����、訪問(wèn)惡意地址檢測(cè)單元,用于檢測(cè)會(huì)監(jiān)控容器上的網(wǎng)絡(luò)請(qǐng)求���;12�、憑證竊取單元��,用于對(duì)竊取賬號(hào)��、對(duì)/etc/passwd的訪問(wèn)���、對(duì)敏感配置的訪問(wèn)��、hash行為進(jìn)行監(jiān)控��;13��、橫向移動(dòng)檢測(cè)單元�,用于通過(guò)監(jiān)控容器的網(wǎng)絡(luò)連接、進(jìn)程執(zhí)行��,多種弱行為關(guān)聯(lián)����,檢測(cè)是否存在橫向移動(dòng)的行為��。14���、優(yōu)選�����,所述病毒檢測(cè)單元具體過(guò)程為:基于ai技術(shù)的病毒檢測(cè)�,利用深度學(xué)習(xí)技術(shù)����,通過(guò)海量樣本數(shù)據(jù)學(xué)習(xí),提煉出高維特征��,使病毒檢測(cè)單元具備泛化能力,從而應(yīng)對(duì)更多的未知威脅�,而這些高維特征數(shù)量極少,并且不會(huì)隨著病毒數(shù)同步增長(zhǎng)���。15�����、進(jìn)一步優(yōu)選��,所述病毒檢測(cè)單元利用文件信譽(yù)檢測(cè)引擎�、基因特征檢測(cè)引擎�����、行為引擎�����、云查引擎�����,通過(guò)層層過(guò)濾,使檢測(cè)更準(zhǔn)確����、更高效、組員占用消更低���。16�����、進(jìn)一步優(yōu)選,所述webshell檢測(cè)單元具體包括如下步驟:17��、1)語(yǔ)法分析��,通過(guò)string類的concat()函數(shù)對(duì)文本進(jìn)行分析�,得出語(yǔ)法特征和其他特征,將語(yǔ)法特征和其他特征進(jìn)行特征融合�;18、2)ai檢測(cè)���,將上述融合后的特征進(jìn)行ai檢測(cè)�,將數(shù)據(jù)樣本按腳本類型��、分?jǐn)?shù)、黑白�、舉證信息分成不同類別,來(lái)確定樣本是否具有惡意行為���;19�、進(jìn)一步優(yōu)選���,所述反彈shell檢測(cè)單元���,引入進(jìn)程間fd?pipe鏈關(guān)聯(lián)檢測(cè),通過(guò)識(shí)別進(jìn)程間fdpipe鏈數(shù)據(jù)構(gòu)成特定的src/sink流向異常來(lái)從更深層本質(zhì)層次識(shí)別識(shí)別反彈shell攻擊手法�。20、進(jìn)一步優(yōu)選��,所述反彈shell檢測(cè)單元�����,引入引入了實(shí)時(shí)內(nèi)存特征檢測(cè)技術(shù)�����,可以精準(zhǔn)識(shí)別內(nèi)存注入類的反彈shell?shellcode以及payload特征���,從而補(bǔ)全反彈shell威脅圖譜檢測(cè)技術(shù)���。21����、進(jìn)一步優(yōu)選���,所述權(quán)限逃逸檢測(cè)單元���,支持4種類型的提權(quán)檢測(cè)能力:利用sudo、su漏洞提權(quán)�、利用配置不當(dāng)?shù)膕uid程序提權(quán)、利用配置不當(dāng)提權(quán)���、利用系統(tǒng)內(nèi)核漏洞提權(quán);還支持錯(cuò)誤配置(特權(quán)容器�、linux?capabilities逃逸、錯(cuò)誤配置)�����、錯(cuò)誤掛載(docker.sock��、procfs、主機(jī)目錄)�����,掛載敏感目錄��,修改命名空間��、k8s?rolebinding添加用戶權(quán)限多種手法配合檢測(cè)�����。22����、進(jìn)一步優(yōu)選,所述遠(yuǎn)程命令執(zhí)行檢測(cè)單元�,針對(duì)每一個(gè)webrce告警,提供了威脅發(fā)生時(shí)的進(jìn)程樹(shù)���、進(jìn)程命令行參數(shù)����、受害容器webrce威脅以及上下文關(guān)鍵信息���,支持因果舉證��,高亮行為規(guī)則判定依據(jù)�����。23�����、一種計(jì)算機(jī)存儲(chǔ)介質(zhì)��,其特征在于��,所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)內(nèi)存儲(chǔ)有計(jì)算機(jī)程序���,所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至8中任一項(xiàng)所述的系統(tǒng)����。24�����、本發(fā)明采用的這種云模型評(píng)估方法���,兼顧正態(tài)云不確定信息的良好表達(dá)和多元信息融合后的穩(wěn)定合理��,降低了云模型的隨機(jī)性與不確定性��,反映新型配電網(wǎng)的真實(shí)情況并揭示其薄弱環(huán)節(jié)���。25、與現(xiàn)有技術(shù)相比���,本發(fā)明的有益效果為:26����、基于ai技術(shù)的查殺引擎�����,利用深度學(xué)習(xí)的技術(shù)�,通過(guò)對(duì)海量樣本數(shù)據(jù)的學(xué)習(xí),提煉出來(lái)的高維特征�����,具備有很強(qiáng)的泛化能力�,從而可以應(yīng)對(duì)更多的未知威脅��。27���、webshell是從腳本文件靜態(tài)分析的角度來(lái)確定樣本是否具有惡意行為。在技術(shù)上結(jié)合了語(yǔ)法分析�����、ai檢測(cè)等技術(shù)��,可以有效地解決各種webshell變形�����、繞過(guò)���。具有檢出能力強(qiáng)���,誤報(bào)低等特點(diǎn)。28�����、反shell可以精準(zhǔn)識(shí)別內(nèi)存注入類的反彈shell?shellcode以及payload特征�,從而補(bǔ)全反彈shell威脅圖譜檢測(cè)技術(shù)棧。29���、webrce檢測(cè)覆蓋了攻防實(shí)戰(zhàn)中攻擊界面諸如數(shù)據(jù)庫(kù)類�����,web應(yīng)用類�,辦公自動(dòng)化類等幾十種常見(jiàn)的應(yīng)用服務(wù)�,針對(duì)常見(jiàn)的編碼混淆、惡意下載���、文件行為��、信息收集���、網(wǎng)絡(luò)外聯(lián)、腳本執(zhí)行���、系統(tǒng)駐留等十幾類的att&ck攻擊手法���,支持常見(jiàn)行為對(duì)抗繞過(guò),具備廣譜�����、泛化的檢測(cè)能力。30��、經(jīng)數(shù)據(jù)整合����、預(yù)處理與正則化存儲(chǔ)后,再由過(guò)濾引擎����、分析引擎與校驗(yàn)引擎進(jìn)行鑒定,產(chǎn)出諸如c2域名���、惡意鏈接url�、攻擊者ip等戰(zhàn)術(shù)情報(bào)與事件情報(bào)�,并賦予豐富的上下文信息,針對(duì)諸如漏洞利用���、病毒下載����、c2外連各類安全場(chǎng)景,提供安全檢測(cè)與防御能力���,并通過(guò)安全維基,提供域名�����、ip�����、url�����、文件的信息查詢服務(wù)���,幫助用戶進(jìn)行威脅舉證���、處置與查殺的閉環(huán)操作,徹底消滅已知與未知威脅��。技術(shù)特征:1.一種面向docker容器的威脅面評(píng)估系統(tǒng)����,其特征在在于�,包括:2.根據(jù)權(quán)利要求1所述的一種面向docker容器的威脅面評(píng)估系統(tǒng)����,其特征在于,所述病毒檢測(cè)單元具體過(guò)程為:基于ai技術(shù)的病毒檢測(cè)���,利用深度學(xué)習(xí)技術(shù)�����,通過(guò)海量樣本數(shù)據(jù)學(xué)習(xí)�����,提煉出高維特征�����,使病毒檢測(cè)單元具備泛化能力����,從而應(yīng)對(duì)更多的未知威脅�,而這些高維特征數(shù)量極少���,并且不會(huì)隨著病毒數(shù)同步增長(zhǎng)。3.根據(jù)權(quán)利要求1所述的一種面向docker容器的威脅面評(píng)估系統(tǒng)�����,其特征在于�,所述病毒檢測(cè)單元利用文件信譽(yù)檢測(cè)引擎����、基因特征檢測(cè)引擎、行為引擎�、云查引擎,通過(guò)層層過(guò)濾���,使檢測(cè)更準(zhǔn)確�����、更高效���、組員占用消更低。4.根據(jù)權(quán)利要求1所述的一種面向docker容器的威脅面評(píng)估系統(tǒng)��,其特征在于,所述webshell檢測(cè)單元具體包括如下步驟:5.根據(jù)權(quán)利要求1所述的一種面向docker容器的威脅面評(píng)估系統(tǒng)���,其特征在于���,所述反彈shell檢測(cè)單元,引入進(jìn)程間fd?pipe鏈關(guān)聯(lián)檢測(cè)�,通過(guò)識(shí)別進(jìn)程間fdpipe鏈數(shù)據(jù)構(gòu)成特定的src/sink流向異常來(lái)從更深層本質(zhì)層次識(shí)別識(shí)別反彈shell攻擊手法。6.根據(jù)權(quán)利要求1所述的一種面向docker容器的威脅面評(píng)估系統(tǒng)��,其特征在于�,所述反彈shell檢測(cè)單元,引入引入了實(shí)時(shí)內(nèi)存特征檢測(cè)技術(shù)����,可以精準(zhǔn)識(shí)別內(nèi)存注入類的反彈shell?shellcode以及payload特征,從而補(bǔ)全反彈shell威脅圖譜檢測(cè)技術(shù)�����。7.根據(jù)權(quán)利要求1所述的一種面向docker容器的威脅面評(píng)估系統(tǒng)�����,其特征在于����,所述權(quán)限逃逸檢測(cè)單元��,支持4種類型的提權(quán)檢測(cè)能力:利用sudo���、su漏洞提權(quán)、利用配置不當(dāng)?shù)膕uid程序提權(quán)�����、利用配置不當(dāng)提權(quán)��、利用系統(tǒng)內(nèi)核漏洞提權(quán)�;還支持錯(cuò)誤配置(特權(quán)容器���、linux?capabilities逃逸����、錯(cuò)誤配置)���、錯(cuò)誤掛載(docker.sock���、procfs��、主機(jī)目錄)��,掛載敏感目錄���,修改命名空間、k8s?rolebinding添加用戶權(quán)限多種手法配合檢測(cè)����。8.根據(jù)權(quán)利要求1所述的一種面向docker容器的威脅面評(píng)估系統(tǒng),其特征在于����,所述遠(yuǎn)程命令執(zhí)行檢測(cè)單元,針對(duì)每一個(gè)webrce告警��,提供了威脅發(fā)生時(shí)的進(jìn)程樹(shù)����、進(jìn)程命令行參數(shù)、受害容器webrce威脅以及上下文關(guān)鍵信息��,支持因果舉證����,高亮行為規(guī)則判定依據(jù)���。9.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其特征在于�����,所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)內(nèi)存儲(chǔ)有計(jì)算機(jī)程序����,所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至8中任一項(xiàng)所述的系統(tǒng)。技術(shù)總結(jié)本發(fā)明提供了一種面向Docker容器的威脅面評(píng)估系統(tǒng)�����,所述一種面向Docker容器的威脅面評(píng)估系統(tǒng)包括:病毒檢測(cè)單元����、WebShell檢測(cè)單元�����、反Shell檢測(cè)單元�、暴力破解檢測(cè)單元、異常命令檢測(cè)單元�����、權(quán)限逃逸檢測(cè)單元、端口轉(zhuǎn)發(fā)檢測(cè)單元��、遠(yuǎn)程命令執(zhí)行檢測(cè)單元�����、訪問(wèn)惡意地址檢測(cè)單元�、憑證竊取單元,橫向移動(dòng)檢測(cè)單元�����;本發(fā)明所提供的一種面向Docker容器的威脅面評(píng)估系統(tǒng)用于提高系統(tǒng)平均停電時(shí)間����、系統(tǒng)平均停電頻率和缺供電量等可靠性指標(biāo),所提出的方法是基于整數(shù)線性規(guī)劃的方法����,具有求解時(shí)間短、能找到全局最優(yōu)解等優(yōu)勢(shì)��。技術(shù)研發(fā)人員:滕子貽,蘇暢,劉穎,于海,王丹妮,張文杰,呂軍,孟勐,周金磊,王鈞天,張寒松,李春光,張德福,張?chǎng)魏?李龍蛟,劉衍,李佳碩,翟曲,王美玉,付少琦受保護(hù)的技術(shù)使用者:國(guó)網(wǎng)遼寧省電力有限公司信息通信分公司技術(shù)研發(fā)日:技術(shù)公布日:2025/1/6