申请/专利权人：之江奇安科技有限公司

申请日：2023-04-26

公开（公告）日：2024-04-05

公开（公告）号：CN116796331B

主分类号：G06F21/57

分类号：G06F21/57

优先权：

专利状态码：有效-授权

法律状态：2024.04.05#授权;2023.10.13#实质审查的生效;2023.09.22#公开

摘要：本发明公开了一种在podman中实现进程监控和白名单机制的自动化hook方法，该方法通过在podman容器启动后的初始化阶段部署资源文件和hook的方法，实现对容器内进程的监控和管理；通过自动化的白名单更新机制，确保白名单的高效性和有效性。本发明实施简单，减少大量人力成本，显著提高容器安全性。

主权项：1.一种在podman中实现进程监控和白名单机制的自动化hook方法，其特征在于，包括以下步骤：步骤一：自定义允许执行的进程所在的文件路径，并默认其为系统环境变量目录；步骤二：启动podman容器，指定podman容器初始化时hook所需文件目录；步骤三：向podman容器内写入hook所需资源文件；步骤四：扫描podman容器内指定的文件路径下所有elf文件的HASH值,以json格式生成白名单文件，文件所在路径与该文件HASH值一一对应；步骤五：替换podman容器内preloadhook方法的系统配置文件，从而hook进程启动时的execve函数；5.1查找容器中原始execve函数地址并保存，通过原始execve函数接口获得将要启动的进程所在的文件路径和文件名；5.2判断步骤5.1得到的文件路径中开头是否存在“.”字符串，若所述文件路径中开头存在“.”字符串，则将“.”替换为系统当前文件路径“$PWD”；5.3判断所述文件路径的开头是否存在“lib”或者“lib64”字符串；若所述文件路径的开头存在“lib”或者“lib64”字符串，则跳过步骤5.4-步骤5.7，允许进程执行，且不对该次进程执行相关信息进行记录；5.4判断所述文件路径所指向的文件是否为elf文件；若不是elf文件，则跳过步骤5.5-步骤5.7，允许进程执行，且不对该次进程执行相关信息进行记录；5.5判断所述文件路径所指向的文件是否记录在白名单中；若不在白名单中，则拒绝启动该次进程，并跳过步骤5.6；5.6读取白名单中所述文件路径所指向的文件的HASH值，同时计算所述文件路径所指向的文件当前的HASH值，并将白名单中读到的HASH值和计算的当前HASH值进行比较；若两个HASH值相同，则允许进程执行；若两个HASH值不同，则拒绝启动该次进程；5.7记录该次进程的执行时间、执行文件名、执行结果；步骤六：通过日志审计自动化完成白名单文件的增加、删除、修改；6.1通过日志审计判断自上一次日志审计到目前是否存在软件升级命令；若存在软件升级命令则重新计算升级目录下所有elf文件的HASH值,并更改白名单中该软件关联的elf文件的HASH值；6.2通过日志审计判断自上一次日志审计到目前是否存在软件安装命令；若存在软件安装命令则计算新的elf文件的HASH值，并将得到的HASH值添加到白名单中；6.3通过日志审计判断自上一次日志审计到目前是否存在软件卸载命令；若存在软件卸载命令则删除白名单中对应的软件条目。

全文数据：

权利要求：

百度查询： 之江奇安科技有限公司 一种在podman中实现进程监控和白名单机制的自动化hook方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD