經(jīng)由多層文件系統(tǒng)狀態(tài)檢測文件系統(tǒng)修改的系統(tǒng)和方法。該技術(shù)提供威脅檢測系統(tǒng)。就這一點而言，該系統(tǒng)可以被配置成輸出多層文件系統(tǒng)的文件狀態(tài)。例如，系統(tǒng)可以基于文件的文件狀態(tài)來確定多層文件系統(tǒng)中的可以找到與該文件相對應(yīng)的一個或多個對象的一個或多個層。基于與文件對應(yīng)的一個或多個對象，系統(tǒng)可以檢測潛在威脅。然后，系統(tǒng)可以響應(yīng)于潛在威脅而采取動作。

技術(shù)領(lǐng)域

本公開涉及經(jīng)由多層文件系統(tǒng)狀態(tài)檢測文件系統(tǒng)修改的系統(tǒng)和方法。

背景技術(shù)

檢測操作系統(tǒng)(“OS”)的文件系統(tǒng)中的威脅的典型方法可以包括比較OS中的文件的修改時間戳，以及將文件與OS中的預(yù)期文件的索引進行比較。但是，這些方法需要OS中的原始時間戳和/或原始索引使其可用于檢測機制，這可能會使OS面臨進一步的威脅并需要額外存儲和處理。在OS文件系統(tǒng)中檢測威脅的另一種方法是測量OS中的文件內(nèi)容，這可能需要大量的處理資源，諸如加工和處理大量的輸入/輸出文件數(shù)據(jù)。OS文件系統(tǒng)中的威脅檢測方法的又一示例是表征OS的磁盤塊分配圖，這可能非常復(fù)雜，并且可能不是惡意修改的良好指標(biāo)。

此外，由于容器的短暫性質(zhì)，檢測容器化的環(huán)境中的威脅造成另外的挑戰(zhàn)。就這一點而言，可以創(chuàng)建包括一個或多個可執(zhí)行二進制文件集的OS文件系統(tǒng)的基礎(chǔ)鏡像，所述二進制文件是用于運行容器實例的一個集合的編譯程序。當(dāng)需要修改、移除、添加等可執(zhí)行二進制文件時，使用經(jīng)過修改或新的可執(zhí)行二進制文件集創(chuàng)建OS文件系統(tǒng)的新基礎(chǔ)鏡像通常是可接受的慣例。然后，可以使用新基礎(chǔ)鏡像部署新容器實例。通常，在容器運行時修改容器中的可執(zhí)行二進制文件集是不可接受的慣例，因為在容器實例期間對可執(zhí)行二進制文件進行的任何修改都不會持續(xù)超出該容器實例的相對較短的壽命。這樣，如果惡意行為者在容器的實例的運行時期間修改可執(zhí)行二進制文件或添加新可執(zhí)行文件，則一旦容器實例的壽命結(jié)束，惡意修改就可能無法檢測到。

發(fā)明內(nèi)容

本公開涉及檢測多層文件系統(tǒng)中的潛在威脅。一個方面包括輸出文件的文件狀態(tài)的方法?？梢曰谠撐募顟B(tài)確定其中可以找到與該文件相對應(yīng)的一個或多個對象的多層文件系統(tǒng)的一個或多個層。可以基于其中找到與該文件相對應(yīng)的所述一個或多個對象的所述一個或多個層來確定對多層文件系統(tǒng)的潛在威脅，并且可以響應(yīng)于該潛在威脅而采取動作。

在某些情況下，該方法可以包括：確定在多層文件系統(tǒng)的上層中的可修改鏡像中找到的與該文件相對應(yīng)的對象包含對在多層文件系統(tǒng)的下層中的基礎(chǔ)鏡像中找到的與該文件相對應(yīng)的對象的修改；以及檢測潛在威脅可以進一步基于確定在可修改鏡像中找到的與該文件相對應(yīng)的對象包含對在基礎(chǔ)鏡像中找到的與該文件相對應(yīng)的對象的修改。

在某些情況下，該方法可以包括確定在多層文件系統(tǒng)的下層中的基礎(chǔ)鏡像中沒有找到與該文件相對應(yīng)的所述一個或多個對象，以及檢測潛在威脅可以進一步基于確定在基礎(chǔ)鏡像中沒有找到與該文件相對應(yīng)的所述一個或多個對象。

在一些示例中，可以創(chuàng)建基礎(chǔ)鏡像，并且檢測潛在威脅可以進一步基于確定文件狀態(tài)指示該文件在基礎(chǔ)鏡像之后被創(chuàng)建。

在一些示例中，可以在多層文件系統(tǒng)的上層中構(gòu)造一個或多個可修改鏡像，使得該一個或多個可修改鏡像包含在應(yīng)用的運行時期間對基礎(chǔ)鏡像做出的修改。檢測潛在威脅可以進一步基于確定文件狀態(tài)指示該文件在該應(yīng)用的運行時期間被創(chuàng)建。

在一些示例中，可以在多層文件系統(tǒng)的上層中構(gòu)造一個或多個可修改鏡像，使得該一個或多個可修改鏡像包含在運行應(yīng)用的容器的實例期間對基礎(chǔ)鏡像做出的修改。檢測潛在威脅可以進一步基于確定文件狀態(tài)指示該文件在該容器的實例期間被創(chuàng)建。

在某些情況下，該方法可以包括確定該文件是否是可執(zhí)行二進制文件。檢測潛在威脅可以進一步基于確定該文件是可執(zhí)行二進制文件。

在某些情況下，該方法可以包括確定該文件是否是庫文件。檢測潛在威脅可以進一步基于確定該文件是庫文件。