[發明專利]一種面向安全容器的調用路徑分析方法在審
| 申請號: | 202210153199.6 | 申請日: | 2022-02-18 |
| 公開(公告)號: | CN114547595A | 公開(公告)日: | 2022-05-27 |
| 發明(設計)人: | 申文博;周天昱;任奎 | 申請(專利權)人: | 浙江大學 |
| 主分類號: | G06F21/53 | 分類號: | G06F21/53;G06F11/36;G06F9/455 |
| 代理公司: | 杭州中成專利事務所有限公司 33212 | 代理人: | 李亦慈;唐銀益 |
| 地址: | 310058 浙江*** | 國省代碼: | 浙江;33 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 面向 安全 容器 調用 路徑 分析 方法 | ||
1.一種面向安全容器的調用路徑分析方法,其特征在于,包括如下步驟:
步驟一:使用內核性能分析工具perf在宿主操作系統內核中的系統調用入口函數處插入探測點;
步驟二:使用模糊測試工具syzkaller在gVisor容器沙箱內部持續創建、執行大量測試用例;
步驟三:在步驟二開始的同時,使用性能分析工具perf監控容器沙箱進程對步驟一中探測點的觸發情況;
步驟四:對于步驟三收集的路徑集合進行過濾,篩選出由容器沙箱內應用程序系統調用觸發的路徑。
2.根據權利要求1所述的路徑分析方法,其特征在于,所述的步驟一中,宿主操作系統內核為Linux內核,被放置探測點的內核函數為Linux系統調用入口函數,該函數會在用戶空間的進程進行系統調用時被調用,其名稱和在內存中的地址由具體Linux內核版本決定。
3.根據權利要求1所述的路徑分析方法,其特征在于,所述的步驟一中,系統調用入口函數中的探測點會在每次該函數被調用時觸發,從而可以保證探測到容器沙箱向宿主操作系統內核發送的每一次系統調用。
4.根據權利要求1所述的路徑分析方法,其特征在于,所述步驟二中,通過指定gVisor安全容器為測試對象,可使模糊測試工具syzkaller創建容器沙箱,并在容器沙箱內部持續創建測試用例并執行。
5.根據權利要求4所述的路徑分析方法,其特征在于,所述的模糊測試工具syzkaller使用由gVisor源碼編譯而成的二進制可執行文件創建容器沙箱,并在沙箱中運行測試用例生成程序,對于每個測試用例該程序都會運行測試用例執行程序負責執行,被執行的測試用例內包含一組特定順序的系統調用,這些系統調用會被容器沙箱重定位到應用程序內核中進行處理。
6.根據權利要求1所述的路徑分析方法,其特征在于,所述步驟三中,在容器沙箱被創建的同時,使用性能分析工具perf監控容器沙箱進程對探測點的觸發情況,當容器沙箱中的應用程序內核發生系統調用時,會陷入宿主操作系統內核并調用內核中的系統調用入口函數,從而觸發步驟一中預先放置的探測點并記錄觸發時對應的時間戳、應用程序內核中的函數調用路徑、系統調用入口函數的參數值。
7.根據權利要求1所述的路徑分析方法,其特征在于,所述的步驟四中,基于應用程序內核對于容器內系統調用的具體實現方式,通過在待過濾的路徑中匹配應用程序內核中實現容器內系統調用的相關函數的名稱,篩選出由容器內系統調用觸發的路徑,同時可得到觸發路徑對應的容器內系統調用名稱。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于浙江大學,未經浙江大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210153199.6/1.html,轉載請聲明來源鉆瓜專利網。
