-
题名基于系统调用隔离的安全容器研究综述
- 1
-
-
作者
章恬
张杰
刘维杰
刘西蒙
-
机构
福州大学计算机与大数据学院
山西师范大学数学与计算机科学学院
南开大学密码与网络空间安全学院
-
出处
《信息安全研究》
北大核心
2026年第1期2-15,共14页
-
基金
国家自然科学基金项目(62072109)
福建省自然科学基金项目(2021J06013)
天津市自然科学基金青年项目(24JCQNJC02140)。
-
文摘
阐述了基于系统调用隔离增强容器安全性的研究进展.首先概述了容器技术的发展背景及其面临的主要安全挑战,随后深入分析了系统调用隔离在提升容器安全性中的作用,包括限制容器应用程序的系统调用以减少攻击面、使用操作系统中间件和硬件保护机制等技术实现对容器的隔离和保护.通过比较这些技术的实现原理、性能以及它们在隔离性、减少攻击面和数据保护方面的效果,揭示了系统调用隔离技术在提升容器安全性方面的优势和局限.
-
关键词
安全容器
系统调用
隔离
seccomp
BPF
操作系统中间件
硬件保护机制
-
Keywords
secure container
system call
isolation
seccomp BPF
operating system middleware
hardware protection mechanism
-
分类号
TP301
[自动化与计算机技术—计算机系统结构]
-
-
题名需求驱动的容器安全策略自动生成技术
被引量:1
- 2
-
-
作者
张新义
武泽慧
贾琼
陈志浩
-
机构
数学工程与先进计算国家重点实验室
北京计算机技术及应用研究所
-
出处
《小型微型计算机系统》
CSCD
北大核心
2024年第4期951-959,共9页
-
基金
国家重点研发计划项目(2017YFB0802901)资助.
-
文摘
容器是一种轻量级的虚拟机化技术,减少容器中可用的系统调用数可以有效的减少来自Linux内核的安全威胁,但是这种方式在保证容器安全性的同时,容器功能的可用性会受到很大的损伤.鉴于容器的安全性和可用性无法均衡的问题,本文提出了AutoSec,AutoSec使用动态训练与静态分析结合的方式提取容器的系统调用集合,依据容器运行的不同阶段进而生成不同的Seccomp BPF配置文件,从而按照容器运行时的程序需求,灵活配置容器中可用的系统调用集合.最后选取了Docker hub中最为流行的4款容器验证AutoSec在减少容器攻击面的有效性,证明AutoSec在可接受的性能损耗并不损害容器功能的前提下,能够减少暴露在容器中70%以上的系统调用,有效的保障容器的安全.
-
关键词
容器安全
系统调用
seccomp
BPF
攻击面减少
-
Keywords
container security
system call
seccomp BPF
attack surface reduction
-
分类号
TP303
[自动化与计算机技术—计算机系统结构]
-
