-
公开(公告)号:CN111651752A
公开(公告)日:2020-09-11
申请号:CN202010305553.3
申请日:2020-04-17
Applicant: 北京大学
Abstract: 本发明公开了一种获取容器需要的系统调用白名单的方法,其步骤包括:1)在容器启动时获取需要添加到系统调用白名单中的系统调用集合A,以及在容器运行时调用的ELF可执行文件集合B,并将集合A添加到系统调用白名单中;2)基于步骤1)得到的ELF可执行文件集合B,对容器进行静态分析,得到容器中的应用运行过程中所需调用的系统调用集合S并将其添加到系统调用白名单中。本发明通过动态分析和静态分析获得系统调用白名单,与Docker的默认配置相比,本发明将系统调用减少了69.27%至85.89%,提高了安全性和运行效率。
-
公开(公告)号:CN114546539B
公开(公告)日:2024-10-01
申请号:CN202011347443.X
申请日:2020-11-26
Applicant: 北京大学
Abstract: 本发明公开了一种面向解释型语言源程序的系统调用白名单生成方法。本发明的白名单生成方法步骤包括:1)对于待分析应用的源代码,根据该源代码的编写语言选取对应的目标解释器;2)利用所选目标解释器获取该源代码运行时的系统调用;3)利用该源代码的编写语言编写一测试程序并运行,获取运行测试程序时所需的系统调用作为该目标解释器初始化时所需的系统调用,然后将其与步骤2)所得系统调用相结合,得到该待分析应用的系统调用白名单。在容器上运行时,只允许应用调用白名单上的系统调用,大大增强了安全性。
-
公开(公告)号:CN111651752B
公开(公告)日:2022-10-14
申请号:CN202010305553.3
申请日:2020-04-17
Applicant: 北京大学
Abstract: 本发明公开了一种获取容器需要的系统调用白名单的方法,其步骤包括:1)在容器启动时获取需要添加到系统调用白名单中的系统调用集合A,以及在容器运行时调用的ELF可执行文件集合B,并将集合A添加到系统调用白名单中;2)基于步骤1)得到的ELF可执行文件集合B,对容器进行静态分析,得到容器中的应用运行过程中所需调用的系统调用集合S并将其添加到系统调用白名单中。本发明通过动态分析和静态分析获得系统调用白名单,与Docker的默认配置相比,本发明将系统调用减少了69.27%至85.89%,提高了安全性和运行效率。
-
公开(公告)号:CN114546539A
公开(公告)日:2022-05-27
申请号:CN202011347443.X
申请日:2020-11-26
Applicant: 北京大学
Abstract: 本发明公开了一种面向解释型语言源程序的系统调用白名单生成方法。本发明的白名单生成方法步骤包括:1)对于待分析应用的源代码,根据该源代码的编写语言选取对应的目标解释器;2)利用所选目标解释器获取该源代码运行时的系统调用;3)利用该源代码的编写语言编写一测试程序并运行,获取运行测试程序时所需的系统调用作为该目标解释器初始化时所需的系统调用,然后将其与步骤2)所得系统调用相结合,得到该待分析应用的系统调用白名单。在容器上运行时,只允许应用调用白名单上的系统调用,大大增强了安全性。
-
-
-
Search Results
4
records
(took 0.016 seconds)
