CN110210225A - 一种智能化的Docker容器恶意文件检测方法和装置 - Google Patents
一种智能化的Docker容器恶意文件检测方法和装置 Download PDFInfo
- Publication number
- CN110210225A CN110210225A CN201910445566.8A CN201910445566A CN110210225A CN 110210225 A CN110210225 A CN 110210225A CN 201910445566 A CN201910445566 A CN 201910445566A CN 110210225 A CN110210225 A CN 110210225A
- Authority
- CN
- China
- Prior art keywords
- file
- web page
- testing result
- document
- docker container
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 57
- 238000012360 testing method Methods 0.000 claims abstract description 68
- 241001377938 Yara Species 0.000 claims abstract description 44
- 238000000034 method Methods 0.000 claims abstract description 35
- 230000002155 anti-virotic effect Effects 0.000 claims abstract description 19
- 230000003068 static effect Effects 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 10
- 238000012549 training Methods 0.000 claims description 9
- 230000006835 compression Effects 0.000 claims description 4
- 238000007906 compression Methods 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- SBNFWQZLDJGRLK-UHFFFAOYSA-N phenothrin Chemical compound CC1(C)C(C=C(C)C)C1C(=O)OCC1=CC=CC(OC=2C=CC=CC=2)=C1 SBNFWQZLDJGRLK-UHFFFAOYSA-N 0.000 description 3
- 230000006837 decompression Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请涉及计算机技术领域,提供了一种智能化的Docker容器恶意文件检测方法和装置。所述方法应用于服务器,所述方法包括:获取目标Docker容器的原始镜像中的多个文件,所述目标Docker容器为待检测的Docker容器;针对所述多个文件中的每个文件,利用基于yara规则的恶意文件特征码对该文件进行检测,以判断该文件是否为恶意文件,得到第一检测结果;针对所述多个文件中的每个文件,利用杀毒软件对该文件进行检测,以判断该文件是否为恶意文件,得到第二检测结果;获取所述目标Docker容器的原始镜像中的多个网页文件;针对所述多个网页文件中的每个网页文件,将该网页文件输入网页分类模型,以检测该网页是否为Webshell网页后门文件,得到第三检测结果。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种智能化的Docker容器恶意文件检测方法和装置。
背景技术
Docker是一款依赖于Linux内核的容器引擎,基于Apache2.0开源授权协议发行,可以快速实现应用程序基于容器的自动化部署。Docker主要由客户端、守护进程、镜像、容器和镜像仓库五部分组成,提供了简单而轻量的建模方式。其中,镜像一方面是面向对象中的类,相当于模板;另一方面又相当于一个文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的一些配置参数(如匿名卷、环境变量、用户等)。而容器相当于是依据镜像这个模板而创建出的实体。
在Docker容器技术飞速发展的同时,Docker容器安全问题也日益成为广大用户关注的焦点,越来越多潜在的Docker安全问题开始浮现。对于镜像,其安全问题主要是:开发者构建镜像时容易遗留下一些数据库密码之类的敏感信息;不论是来自官方的镜像还是社区的镜像,镜像本身也会存在许多漏洞可能造成风险。镜像虽然在传输和部署方面非常高效,但是也为病毒、后门之类的恶意文件的传播提供了方便。
发明内容
有鉴于此,本申请实施例提供一种智能化的Docker容器恶意文件检测方法和装置,旨在从多方面对Docker容器的原始镜像进行安全性检测,从而更彻底地检测出Docker容器的原始镜像中的恶意文件。
本申请实施例第一方面提供了一种智能化的Docker容器恶意文件检测方法,所述方法应用于服务器,所述方法包括:
获取目标Docker容器的原始镜像中的多个文件,所述目标Docker容器为待检测的Docker容器;
针对所述多个文件中的每个文件,利用基于yara规则的恶意文件特征码对该文件进行检测,以判断该文件是否为恶意文件,得到第一检测结果;
针对所述多个文件中的每个文件,利用杀毒软件对该文件进行检测,以判断该文件是否为恶意文件,得到第二检测结果;
获取所述目标Docker容器的原始镜像中的多个网页文件;
针对所述多个网页文件中的每个网页文件,将该网页文件输入网页分类模型,以检测该网页是否为Webshell网页后门文件,得到第三检测结果。
可选地,所述方法还包括:
获取多个样本网页文件,所述多个样本网页文件中的每个样本网页文件携带标记,该标记表征该样本网页文件的静态特征,其中,所述多个样本网页文件中的一部分为Webshell网页后门文件;
以所述多个样本网页文件为输入,对预设模型进行训练,得到所述网页分类模型,所述网页分类模型用于判断单个网页文件是否为Webshell网页后门文件。
可选地,所述静态特征至少包括以下特征中的至少一种:信息熵、重合指数、最大单词长度、危险函数个数、文件压缩比、Eval函数个数。
可选地,针对所述多个文件中的每个文件,利用基于yara规则的恶意文件特征码对该文件进行检测,以判断该文件是否为恶意文件,包括:
获取多个公开的基于yara规则的恶意文件特征码,建立yara规则库;
针对所述多个文件中的每个文件,检测该文件中是否包含所述yara规则库中的恶意文件特征码,其中,在该文件包含所述yara规则库中的恶意文件特征码时,确定该文件是恶意文件。
可选地,所述服务器与客户端通信连接;所述方法还包括:
接收所述客户端发送的所述目标Docker容器的原始镜像;
将所述第一检测结果、所述第二检测结果以及所述第三检测结果发送给所述客户端。
可选地,所述服务器与数据库通信连接;所述方法还包括:
将所述第一检测结果、所述第二检测结果以及所述第三检测结果存入所述数据库,以使所述客户端通过所述数据库获得所述第一检测结果、所述第二检测结果以及所述第三检测结果。
本申请实施例第二方面提供了一种智能化的Docker容器恶意文件检测装置,所述装置应用于服务器,所述装置包括:
第一获取模块,用于获取目标Docker容器的原始镜像中的多个文件,所述目标Docker容器为待检测的Docker容器;
第一检测模块,用于针对所述多个文件中的每个文件,利用基于yara规则的恶意文件特征码对该文件进行检测,以判断该文件是否为恶意文件,得到第一检测结果;
第二检测模块,用于针对所述多个文件中的每个文件,利用杀毒软件对该文件进行检测,以判断该文件是否为恶意文件,得到第二检测结果;
第二获取模块,用于获取所述目标Docker容器的原始镜像中的多个网页文件;
第三检测模块,用于针对所述多个网页文件中的每个网页文件,将该网页文件输入网页分类模型,以检测该网页是否为Webshell网页后门文件,得到第三检测结果。
可选地,所述装置还包括:
第三获取模块,用于获取多个样本网页文件,所述多个样本网页文件中的每个样本网页文件携带标记,该标记表征该样本网页文件的静态特征,其中,所述多个样本网页文件中的一部分为Webshell网页后门文件;
训练模块,用于以所述多个样本网页文件为输入,对预设模型进行训练,得到所述网页分类模型,所述网页分类模型用于判断单个网页文件是否为Webshell网页后门文件。
可选地,所述第一检测模块包括:
建立子模块,用于获取多个公开的基于yara规则的恶意文件特征码,建立yara规则库;
检测子模块,针对所述多个文件中的每个文件,检测该文件中是否包含所述yara规则库中的恶意文件特征码,其中,在该文件包含所述yara规则库中的恶意文件特征码时,确定该文件是恶意文件。
可选地,所述服务器与客户端通信连接,所述装置还包括:
接收模块,用于接收所述客户端发送的所述目标Docker容器的原始镜像;
发送模块,用于将所述第一检测结果、所述第二检测结果以及所述第三检测结果发送给所述客户端。
采用本申请实施例提供的智能化的Docker容器恶意文件检测方法,服务器针对目标Docker容器的原始镜像中的多个文件,利用基于yara规则的恶意文件特征码对其进行检测,又利用杀毒软件对其进行检测,还将网页文件输入网页分类模型,以检测该网页是否为Webshell网页后门文件。
一方面,服务器针对目标Docker容器的原始镜像中的多个文件,从多维角度对其进行检测,具体的,利用恶意文件特征码、杀毒软件以及网页分类模型等多种检测手段对其进行检测,每种检测手段都能检测出该手段所应对的恶意文件,从而能更彻底地检测出Docker容器的原始镜像中的恶意文件。
另一方面,服务器利用恶意文件特征码和杀毒软件等检测手段,对目标Docker容器的原始镜像中的多个文件进行检测时,能检测出已知的恶意文件。而对于当前未知的恶意文件,服务器利用网页分类模型这一检测手段,对目标Docker容器的原始镜像中的多个文件进行检测,以预测出当前未知的恶意文件。从而实现了服务器对当前未知的恶意文件的智能检测,提高了服务器的检测功能的可靠性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提出的智能化的Docker容器恶意文件检测方法的流程图;
图2是本申请一实施例提出的对网页分类模型的训练方法的流程图;
图3是本申请一实施例提供的智能化的Docker容器恶意文件检测装置的示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参考图1,图1是本申请一实施例提出的智能化的Docker容器恶意文件检测方法的流程图,该方法应用于服务器。如图1所示,该方法包括以下步骤:
S11:获取目标Docker容器的原始镜像中的多个文件,所述目标Docker容器为待检测的Docker容器。
本实施例中,目标Docker容器的原始镜像是指:创建该目标Docker容器时所利用的镜像。
本实施例中,服务器可与客户端通信连接,服务器可以通过接收所述客户端发送的所述目标Docker容器的原始镜像,从而获取所述目标Docker容器的原始镜像。服务器对所获取的原始镜像解压,进而获取到原始镜像中的多个文件。由于服务器与客户端连接,服务器接收客户端发送的目标Docker容器的原始镜像,从而对客户端本地环境中的Docker容器安全性进行检测,一方面,客户端可以借助服务器对本地环境中的Docker容器安全性进行检测,客户端所在主机不必执行检测动作,减小客户端运行压力。另一方面,服务器可以对多个客户端所发送的原始镜像中检测出的恶意文件进行收集整理,以进一步提高服务器自身的检测能力。
示例地,客户端向用户提供UI(User Interface)界面,并侦测本地环境(即该客户端所在主机)中的镜像,客户端将本机下载的镜像以列表的形式呈现给用户。客户端接收用户对某些镜像的选择,并将用户所选的镜像打包发送给服务器。打包的镜像传输完成后,服务器向客户端返回发送成功的信息。当客户端接收到发送成功的信息时,客户端进入检测加载界面,同时向服务器发送进行检测的请求。
S12:针对所述多个文件中的每个文件,利用基于yara规则的恶意文件特征码对该文件进行检测,以判断该文件是否为恶意文件,得到第一检测结果。
本实施例中,第一检测结果用于表征多个文件中存在多少个恶意文件。
示例地,例如针对多个文件中的每个文件,利用基于yara规则的恶意文件特征码对每个文件进行检测后,总共检测出2个恶意文件,则该第一检测结果可以是“2”。或者,第一检测结果以安全评分的方式呈现,例如满分为100分,每检出一个恶意文件,扣除10分,例如针对多个文件中的每个文件,利用基于yara规则的恶意文件特征码对每个文件进行检测后,总共检测出2个恶意文件,则第一检测结果是“80分”。
本实施例中,在针对多个文件中的每个文件,利用基于yara规则的恶意文件特征码对该文件进行检测时,可具体包括以下步骤:
S121:获取多个公开的基于yara规则的恶意文件特征码,建立yara规则库;
S122:针对所述多个文件中的每个文件,检测该文件中是否包含所述yara规则库中的恶意文件特征码,其中,在该文件包含所述yara规则库中的恶意文件特征码时,确定该文件是恶意文件。
示例地,服务器从多个公开的yara规则信息源处获取基于yara规则的恶意文件特征码,以建立服务器自己的本地yara规则库。针对所述多个文件中的每个文件,服务器针对该文件的特征码与本地yara规则库中的多个恶意文件特征码一一进行匹配,当该特征码与某一恶意文件特征码匹配时,即该文件中包含了yara规则库中的恶意文件特征码,则确定该文件是恶意文件。
S13:针对所述多个文件中的每个文件,利用杀毒软件对该文件进行检测,以判断该文件是否为恶意文件,得到第二检测结果。
本实施例中,第二检测结果用于表征多个文件中存在多少个恶意文件。
示例地,例如针对多个文件中的每个文件,利用杀毒软件对该文件进行检测后,总共检测出1个恶意文件,则该第二检测结果可以是“1”。或者,第二检测结果以安全评分的方式呈现,例如满分为100分,每检出一个恶意文件,扣除10分,例如针对多个文件中的每个文件,利用杀毒软件对该文件进行检测后,总共检测出1个恶意文件,则第二检测结果是“90分”。
示例地,针对多个文件中的每个文件,服务器利用开源杀毒软件ClamAV依次对文件进行检测,并获取开源杀毒软件ClamAV的输出信息,以实现对恶意文件的检测。开源杀毒软件ClamAV能够最大程度地发现Docker容器的原始镜像的多个文件中存在的恶意文件,有助于实现对已知样本及后门程序等已知恶意文件的自动识别。
S14:获取所述目标Docker容器的原始镜像中的多个网页文件。
本实施例中,服务器可与客户端通信连接,服务器可以通过接收所述客户端发送的所述目标Docker容器的原始镜像,从而获取所述目标Docker容器的原始镜像。服务器对所获取的原始镜像解压,从而获取到原始镜像中的所有文件。服务器从其中筛选出所述目标Docker容器的原始镜像中的所有网页文件。
S15:针对所述多个网页文件中的每个网页文件,将该网页文件输入网页分类模型,以检测该网页是否为Webshell网页后门文件,得到第三检测结果。
本实施例中,第三检测结果用于表征多个网页文件中存在多少个Webshell网页后门文件。
示例地,例如针对多个网页文件中的每个网页文件,利用网页分类模型对该网页文件进行检测后,总共检测出2个Webshell网页后门文件,则该第三检测结果可以是“2”。或者,第三检测结果以安全评分的方式呈现,例如满分为100分,每检出一个Webshell网页后门文件,扣除10分,例如针对多个网页文件中的每个网页文件,利用网页分类模型对该网页文件进行检测后,总共检测出2个Webshell网页后门文件,则第三检测结果是“80分”。
本实施例中,网页分类模型是对预设模型预先经过训练而得到的。训练时,获取多个样本网页文件,所述多个样本网页文件中的每个样本网页文件携带标记,该标记表征该样本网页文件的静态特征,其中,所述多个样本网页文件中的一部分为Webshell网页后门文件;以所述多个样本网页文件为输入,对预设模型进行训练,得到所述网页分类模型,所述网页分类模型用于判断单个网页文件是否为Webshell网页后门文件。其中,所述静态特征至少包括以下特征中的至少一种:信息熵、重合指数、最大单词长度、危险函数个数、文件压缩比、Eval函数(程序语言中的函数)的个数。
参考图2,图2是本申请一实施例提出的对网页分类模型的训练方法的流程图。具体地,在训练时,收集数多个Webshell网页后门文件样本以及多个正常网页文件样本,从每个样本中手动提取出恶意文件有效的静态特征,如信息熵、重合指数、最大单词长度、激活函数个数、文件压缩比、Eval函数数量等,形成特征矩阵,以特征矩阵作为模型的输入数据,利用随机森林算法训练预设模型,得到网页分类模型。服务器借助网页分类模型实现对Docker容器的原始镜像内未知恶意文件的检测。
本实施例利用机器学习技术对yara规则库和杀毒软件作用范围以外的网页文件进行预测,能更全面彻底地检测到基于yara规则库和杀毒软件而检测不到的Webshell网页后门文件,进一步高了对目标Docker容器的安全问题的检出率。
上述包括步骤S11至步骤S15的方法中,步骤S11至步骤S13体现了服务器可从多个文件中检测出已知的恶意文件的功能,步骤S14至步骤S15体现了服务器可从多个网页文件中检测出未知的Webshell网页后门文件的功能。
采用上述包括步骤S11至步骤S15的方法,一方面,服务器针对目标Docker容器的原始镜像中的多个文件,利用恶意文件特征码、杀毒软件以及网页分类模型等多种检测手段对其进行检测,每种检测手段都能检测出该手段所应对的恶意文件,从而能更彻底地检测出Docker容器的原始镜像中的恶意文件。
另一方面,服务器利用恶意文件特征码和杀毒软件等检测手段,对目标Docker容器的原始镜像中的多个文件进行检测时,能检测出已知的恶意文件。而对于当前未知的恶意文件,服务器利用网页分类模型这一检测手段,对目标Docker容器的原始镜像中的多个文件进行检测,以预测出当前未知的恶意文件。从而实现了服务器对当前未知的恶意文件的智能检测,提高了服务器的检测功能的可靠性。
服务器在经过步骤S11至步骤S15以得到的第一检测结果、第二检测结果以及第三检测结果后,还将所述第一检测结果、所述第二检测结果以及所述第三检测结果发送给客户端。
此外,服务器还可以与数据库通信连接,服务器将经过步骤S11至步骤S15后所得到的第一检测结果、第二检测结果以及第三检测结果存入数据库,以使客户端可通过数据库获得静态检测结果、第一动态检测结果、第二动态检测结果以及第三动态检测结果。
基于同一发明构思,本申请一实施例提供一种智能化的Docker容器恶意文件检测装置。参考图3,图3是本申请一实施例提供的智能化的Docker容器恶意文件检测装置的示意图。如图3所示,该装置包括:
第一获取模块31,用于获取目标Docker容器的原始镜像中的多个文件,所述目标Docker容器为待检测的Docker容器;
第一检测模块32,用于针对所述多个文件中的每个文件,利用基于yara规则的恶意文件特征码对该文件进行检测,以判断该文件是否为恶意文件,得到第一检测结果;
第二检测模块33,用于针对所述多个文件中的每个文件,利用杀毒软件对该文件进行检测,以判断该文件是否为恶意文件,得到第二检测结果;
第二获取模块34,用于获取所述目标Docker容器的原始镜像中的多个网页文件;
第三检测模块35,用于针对所述多个网页文件中的每个网页文件,将该网页文件输入网页分类模型,以检测该网页是否为Webshell网页后门文件,得到第三检测结果。
可选地,所述装置还包括:
第三获取模块,用于获取多个样本网页文件,所述多个样本网页文件中的每个样本网页文件携带标记,该标记表征该样本网页文件的静态特征,其中,所述多个样本网页文件中的一部分为Webshell网页后门文件;
训练模块,用于以所述多个样本网页文件为输入,对预设模型进行训练,得到所述网页分类模型,所述网页分类模型用于判断单个网页文件是否为Webshell网页后门文件。
可选地,所述第一检测模块包括:
建立子模块,用于获取多个公开的基于yara规则的恶意文件特征码,建立yara规则库;
检测子模块,针对所述多个文件中的每个文件,检测该文件中是否包含所述yara规则库中的恶意文件特征码,其中,在该文件包含所述yara规则库中的恶意文件特征码时,确定该文件是恶意文件。
可选地,所述服务器与客户端通信连接,所述装置还包括:
接收模块,用于接收所述客户端发送的所述目标Docker容器的原始镜像;
发送模块,用于将所述第一检测结果、所述第二检测结果以及所述第三检测结果发送给所述客户端。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本申请所提供的一种智能化的Docker容器恶意文件检测方法和装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种智能化的Docker容器恶意文件检测方法,其特征在于,应用于服务器,所述方法包括:
获取目标Docker容器的原始镜像中的多个文件,所述目标Docker容器为待检测的Docker容器;
针对所述多个文件中的每个文件,利用基于yara规则的恶意文件特征码对该文件进行检测,以判断该文件是否为恶意文件,得到第一检测结果;
针对所述多个文件中的每个文件,利用杀毒软件对该文件进行检测,以判断该文件是否为恶意文件,得到第二检测结果;
获取所述目标Docker容器的原始镜像中的多个网页文件;
针对所述多个网页文件中的每个网页文件,将该网页文件输入网页分类模型,以检测该网页是否为Webshell网页后门文件,得到第三检测结果。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取多个样本网页文件,所述多个样本网页文件中的每个样本网页文件携带标记,该标记表征该样本网页文件的静态特征,其中,所述多个样本网页文件中的一部分为Webshell网页后门文件;
以所述多个样本网页文件为输入,对预设模型进行训练,得到所述网页分类模型,所述网页分类模型用于判断单个网页文件是否为Webshell网页后门文件。
3.根据权利要求2所述的方法,其特征在于,所述静态特征至少包括以下特征中的至少一种:信息熵、重合指数、最大单词长度、危险函数个数、文件压缩比、Eval函数个数。
4.根据权利要求1所述的方法,其特征在于,针对所述多个文件中的每个文件,利用基于yara规则的恶意文件特征码对该文件进行检测,以判断该文件是否为恶意文件,包括:
获取多个公开的基于yara规则的恶意文件特征码,建立yara规则库;
针对所述多个文件中的每个文件,检测该文件中是否包含所述yara规则库中的恶意文件特征码,其中,在该文件包含所述yara规则库中的恶意文件特征码时,确定该文件是恶意文件。
5.根据权利要求1至4任一所述的方法,其特征在于,所述服务器与客户端通信连接;所述方法还包括:
接收所述客户端发送的所述目标Docker容器的原始镜像;
将所述第一检测结果、所述第二检测结果以及所述第三检测结果发送给所述客户端。
6.根据权利要求5所述的方法,其特征在于,所述服务器与数据库通信连接;所述方法还包括:
将所述第一检测结果、所述第二检测结果以及所述第三检测结果存入所述数据库,以使所述客户端通过所述数据库获得所述第一检测结果、所述第二检测结果以及所述第三检测结果。
7.一种智能化的Docker容器恶意文件检测装置,其特征在于,应用于服务器,所述装置包括:
第一获取模块,用于获取目标Docker容器的原始镜像中的多个文件,所述目标Docker容器为待检测的Docker容器;
第一检测模块,用于针对所述多个文件中的每个文件,利用基于yara规则的恶意文件特征码对该文件进行检测,以判断该文件是否为恶意文件,得到第一检测结果;
第二检测模块,用于针对所述多个文件中的每个文件,利用杀毒软件对该文件进行检测,以判断该文件是否为恶意文件,得到第二检测结果;
第二获取模块,用于获取所述目标Docker容器的原始镜像中的多个网页文件;
第三检测模块,用于针对所述多个网页文件中的每个网页文件,将该网页文件输入网页分类模型,以检测该网页是否为Webshell网页后门文件,得到第三检测结果。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第三获取模块,用于获取多个样本网页文件,所述多个样本网页文件中的每个样本网页文件携带标记,该标记表征该样本网页文件的静态特征,其中,所述多个样本网页文件中的一部分为Webshell网页后门文件;
训练模块,用于以所述多个样本网页文件为输入,对预设模型进行训练,得到所述网页分类模型,所述网页分类模型用于判断单个网页文件是否为Webshell网页后门文件。
9.根据权利要求7所述的装置,其特征在于,所述第一检测模块包括:
建立子模块,用于获取多个公开的基于yara规则的恶意文件特征码,建立yara规则库;
检测子模块,针对所述多个文件中的每个文件,检测该文件中是否包含所述yara规则库中的恶意文件特征码,其中,在该文件包含所述yara规则库中的恶意文件特征码时,确定该文件是恶意文件。
10.根据权利要求7所述的装置,其特征在于,所述服务器与客户端通信连接,所述装置还包括:
接收模块,用于接收所述客户端发送的所述目标Docker容器的原始镜像;
发送模块,用于将所述第一检测结果、所述第二检测结果以及所述第三检测结果发送给所述客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910445566.8A CN110210225A (zh) | 2019-05-27 | 2019-05-27 | 一种智能化的Docker容器恶意文件检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910445566.8A CN110210225A (zh) | 2019-05-27 | 2019-05-27 | 一种智能化的Docker容器恶意文件检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110210225A true CN110210225A (zh) | 2019-09-06 |
Family
ID=67788697
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910445566.8A Pending CN110210225A (zh) | 2019-05-27 | 2019-05-27 | 一种智能化的Docker容器恶意文件检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110210225A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110851824A (zh) * | 2019-11-13 | 2020-02-28 | 哈尔滨工业大学 | 一种针对恶意容器的检测方法 |
| CN112560018A (zh) * | 2020-12-23 | 2021-03-26 | 苏州三六零智能安全科技有限公司 | 样本文件检测方法、装置、终端设备以及存储介质 |
| CN113407935A (zh) * | 2021-06-16 | 2021-09-17 | 中国光大银行股份有限公司 | 一种文件检测方法、装置、存储介质及服务器 |
| CN114048477A (zh) * | 2021-11-22 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 恶意文件的检测方法、装置、设备及介质 |
| CN114329462A (zh) * | 2021-11-22 | 2022-04-12 | 网宿科技股份有限公司 | 恶意文件检测方法、装置、设备及可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090088687A (ko) * | 2008-02-15 | 2009-08-20 | 한국정보보호진흥원 | 웹쉘 탐지 시스템 및 웹쉘 탐지 방법 |
| KR101080953B1 (ko) * | 2011-05-13 | 2011-11-08 | (주)유엠브이기술 | 실시간 웹쉘 탐지 및 방어 시스템 및 방법 |
| CN107659570A (zh) * | 2017-09-29 | 2018-02-02 | 杭州安恒信息技术有限公司 | 基于机器学习与动静态分析的Webshell检测方法及系统 |
| CN109067708A (zh) * | 2018-06-29 | 2018-12-21 | 北京奇虎科技有限公司 | 一种网页后门的检测方法、装置、设备及存储介质 |
| CN109583567A (zh) * | 2018-11-29 | 2019-04-05 | 四川大学 | 一种基于CNN的Web自动扫描器指纹识别模型 |
| CN109657467A (zh) * | 2018-11-26 | 2019-04-19 | 北京兰云科技有限公司 | 一种网页后门检测方法和装置、计算机可读存储介质 |
| CN109753798A (zh) * | 2018-12-11 | 2019-05-14 | 四川大学 | 一种基于随机森林与FastText的Webshell检测模型 |
| CN109800574A (zh) * | 2018-12-12 | 2019-05-24 | 中国人民公安大学 | 基于密码算法分析的计算机病毒检测方法及系统 |
-
2019
- 2019-05-27 CN CN201910445566.8A patent/CN110210225A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090088687A (ko) * | 2008-02-15 | 2009-08-20 | 한국정보보호진흥원 | 웹쉘 탐지 시스템 및 웹쉘 탐지 방법 |
| KR101080953B1 (ko) * | 2011-05-13 | 2011-11-08 | (주)유엠브이기술 | 실시간 웹쉘 탐지 및 방어 시스템 및 방법 |
| CN107659570A (zh) * | 2017-09-29 | 2018-02-02 | 杭州安恒信息技术有限公司 | 基于机器学习与动静态分析的Webshell检测方法及系统 |
| CN109067708A (zh) * | 2018-06-29 | 2018-12-21 | 北京奇虎科技有限公司 | 一种网页后门的检测方法、装置、设备及存储介质 |
| CN109657467A (zh) * | 2018-11-26 | 2019-04-19 | 北京兰云科技有限公司 | 一种网页后门检测方法和装置、计算机可读存储介质 |
| CN109583567A (zh) * | 2018-11-29 | 2019-04-05 | 四川大学 | 一种基于CNN的Web自动扫描器指纹识别模型 |
| CN109753798A (zh) * | 2018-12-11 | 2019-05-14 | 四川大学 | 一种基于随机森林与FastText的Webshell检测模型 |
| CN109800574A (zh) * | 2018-12-12 | 2019-05-24 | 中国人民公安大学 | 基于密码算法分析的计算机病毒检测方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| LOVEYOUYOU: ""Docker镜像扫描器的实现"", 《公众号名称为"REEBUF"的微信公众平台》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110851824A (zh) * | 2019-11-13 | 2020-02-28 | 哈尔滨工业大学 | 一种针对恶意容器的检测方法 |
| CN112560018A (zh) * | 2020-12-23 | 2021-03-26 | 苏州三六零智能安全科技有限公司 | 样本文件检测方法、装置、终端设备以及存储介质 |
| CN112560018B (zh) * | 2020-12-23 | 2023-10-31 | 苏州三六零智能安全科技有限公司 | 样本文件检测方法、装置、终端设备以及存储介质 |
| CN113407935A (zh) * | 2021-06-16 | 2021-09-17 | 中国光大银行股份有限公司 | 一种文件检测方法、装置、存储介质及服务器 |
| CN114048477A (zh) * | 2021-11-22 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 恶意文件的检测方法、装置、设备及介质 |
| CN114329462A (zh) * | 2021-11-22 | 2022-04-12 | 网宿科技股份有限公司 | 恶意文件检测方法、装置、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110210225A (zh) | 一种智能化的Docker容器恶意文件检测方法和装置 | |
| US11570211B1 (en) | Detection of phishing attacks using similarity analysis | |
| US20240070648A1 (en) | Relaxed fraud detection for transactions using virtual transaction cards | |
| CN106161342B (zh) | 安全应用的动态优化 | |
| US11509667B2 (en) | Predictive internet resource reputation assessment | |
| Li et al. | Block: a black-box approach for detection of state violation attacks towards web applications | |
| CN105793862B (zh) | 动态程序在隔离环境中的受指导执行 | |
| CN110462606A (zh) | 智能安全管理 | |
| CN104980404B (zh) | 保护账号信息安全的方法和系统 | |
| CN107659570A (zh) | 基于机器学习与动静态分析的Webshell检测方法及系统 | |
| JPWO2018235252A1 (ja) | 分析装置、ログの分析方法及び分析プログラム | |
| US10331441B2 (en) | Source code mapping through context specific key word indexes and fingerprinting | |
| KR101858620B1 (ko) | 기계 학습을 이용한 자바스크립트 분석 장치 및 방법 | |
| US11550707B2 (en) | Systems and methods for generating and executing a test case plan for a software product | |
| US12088613B2 (en) | Machine learning powered authentication challenges | |
| Solomos et al. | The dangers of human touch: fingerprinting browser extensions through user actions | |
| KR20190031030A (ko) | 바이너리 파일에 기초하여 오픈소스 소프트웨어 패키지를 식별하는 방법 및 시스템 | |
| CN114036501A (zh) | 一种app的检测方法、系统、装置、设备及存储介质 | |
| CN110516173A (zh) | 一种非法网站识别方法、装置、设备及介质 | |
| CN106030527B (zh) | 将可供下载的应用程序通知用户的系统和方法 | |
| CN109582560A (zh) | 测试文件编辑方法、装置、设备及计算机可读存储介质 | |
| Usman et al. | Test case generation from android mobile applications focusing on context events | |
| KR101115250B1 (ko) | Qr코드의 안전도 검사 장치 및 방법 | |
| US10817601B2 (en) | Hypervisor enforcement of cryptographic policy | |
| KR20160031589A (ko) | 악성 애플리케이션 탐지 방법 및 이 방법을 실행시키는 컴퓨터프로그램 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190906 |
|
| RJ01 | Rejection of invention patent application after publication |