容器监控处理方法、装置、宿主机、系统、存储介质及程序产品与流程

技术特征：
1.一种容器监控处理方法，其特征在于，所述方法应用于配置容器的容器宿主机，所述方法包括：当检测到容器中有新建进程时，利用所述新建进程的进程标识，获取所述新建进程的其他维度信息，并将所述新建进程的所述进程标识和所述其他维度信息建立关联，以形成所述新建进程的进程数据；确定所述新建进程所属容器所对应的容器镜像，将所述新建进程的所述进程数据添加到所述新建进程所属容器所对应的所述容器镜像中；利用容器宿主机中容器代理端配置的代理端进程检测规则集，对所述容器镜像中的所述进程数据进行异常进程检测处理。2.根据权利要求1所述的方法，其特征在于，所述确定所述新建进程所属容器所对应的容器镜像，包括：获取所述新建进程所属容器的容器标识；利用所述容器标识与对应所述容器镜像的映射关系，确定出所述新建进程所属容器所对应的所述容器镜像。3.根据权利要求2所述的方法，其特征在于，所述利用所述容器标识与对应所述容器镜像的映射关系，确定出所述新建进程所属容器所对应的所述容器镜像之前，所述方法还包括：利用容器的套接字socket接口，定时获取容器宿主机上的在运行容器；针对所述在运行容器，建立对应的所述容器镜像，并将所述在运行容器的所述容器标识与对应的所述容器镜像建立映射关系。4.根据权利要求1所述的方法，其特征在于，所述利用容器宿主机中容器代理端配置的代理端进程检测规则集，对所述容器镜像中的所述进程数据进行异常进程检测处理，包括：通过所述容器代理端获取所述容器镜像中的所述进程数据；利用所述代理端进程检测规则集，对所述进程数据中所述其他维度信息的各维度信息进行检测；当检测到有维度信息命中所述代理端进程检测规则集中的进程检测规则时，基于所述进程数据中的所述进程标识进行告警提示。5.根据权利要求1-4任一项所述的方法，其特征在于，所述方法还包括：利用所述容器代理端将所述进程数据发送至云端服务器的分布式消息队列kafka，以使所述云端服务器的流处理框架flink，从所述分布式消息队列kafka中获取所述进程数据，将所述进程数据存储于所述云端服务器的搜索引擎elasticsearch中，并在所述搜索引擎elasticsearch中，基于所述进程数据中的所述进程标识，对所述进程数据建立索引，以及利用所述云端服务器中的云端进程检测规则集，对建立索引的所述进程数据进行异常进程检测处理。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：针对所述容器镜像中的文件，进行异常文件检测，并当检测出异常文件时，获取所述异常文件在所述容器镜像中的访问路径；利用所述访问路径，通过所述容器代理端从所述容器镜像所对应的容器中查找到对应的文件，针对查找到的文件，做隔离或者删除处理。
7.根据权利要求6所述的方法，其特征在于，所述针对所述容器镜像中的文件，进行异常文件检测，包括：获取所述容器镜像中web服务的根目录；利用预设网页后门文件webshell检测规则，对所述web服务的根目录下的web文件进行检测，检测是否存在网页后门文件，若存在网页后门文件，则确定检测出异常文件。8.根据权利要求6所述的方法，其特征在于，所述针对所述容器镜像中的文件，进行异常文件检测，包括：获取所述容器镜像中各文件的文件路径，利用预设的异常路径集，当检测出所述容器镜像中有文件路径命中所述异常路径集中的异常路径时，则确定检测出异常文件。9.一种容器监控处理装置，其特征在于，所述容器监控处理装置应用于配置容器的容器宿主机，所述容器监控处理装置包括：进程数据得到模块，用于当检测到容器中有新建进程时，利用所述新建进程的进程标识，获取所述新建进程的其他维度信息，并将所述新建进程的所述进程标识和所述其他维度信息建立关联，以形成所述新建进程的进程数据；进程数据添加至容器镜像模块，用于确定所述新建进程所属容器所对应的容器镜像，将所述新建进程的所述进程数据添加到所述新建进程所属容器所对应的所述容器镜像中；宿主机端进程检测处理模块，用于利用容器宿主机中容器代理端配置的代理端进程检测规则集，对所述容器镜像中的所述进程数据进行异常进程检测处理。10.一种容器宿主机，其特征在于，包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-8中任一项所述的方法。11.一种容器监控系统，其特征在于，包括：如权利要求10所述的容器宿主机。12.根据权利要求11所述的容器监控系统，其特征在于，所述容器监控系统还包括：云端服务器，用于通过所述云端服务器的分布式消息队列kafka接收所述容器宿主机发送的所述进程数据，并利用所述云端服务器的流处理框架flink，从所述分布式消息队列kafka中获取所述进程数据，将所述进程数据存储于所述云端服务器的搜索引擎elasticsearch中，并在所述搜索引擎elasticsearch中，基于所述进程数据中的所述进程标识，对所述进程数据建立索引，以及利用所述云端服务器中的云端进程检测规则集，对建立索引的所述进程数据进行异常进程检测处理。13.一种存储有计算机指令的非瞬时计算机可读存储介质，其特征在于，所述计算机指令用于使所述计算机执行权利要求1-8中任一项所述的方法。14.一种计算机程序产品，其特征在于，包括计算机程序，所述计算机程序在被处理器执行时实现根据权利要求1-8中任一项所述的方法。

技术总结
本申请涉及容器监控处理方法、装置、宿主机、系统、存储介质及程序产品，属于信息安全技术领域。本申请中，当检测到容器中有新建进程时，利用该新建进程的进程标识，获取该新建进程的其他维度信息，并将该新建进程的进程标识和其他维度信息建立关联，以此形成该新建进程的进程数据，然后，确定该新建进程所属容器所对应的容器镜像，并将该新建进程的进程数据添加到该新建进程所属容器所对应的容器镜像中，再利用宿主机中容器代理端配置的代理端进程检测规则集，对容器镜像中的进程数据进行异常进程检测处理。以此实现在容器外对容器的运行安全进行监控，而不是直接在容器中对运行的进程进行检测，进而可降低容器自身运行的负担压力。力。力。


技术研发人员：翁迟迟
受保护的技术使用者：北京奇艺世纪科技有限公司
技术研发日：2022.06.29
技术公布日：2022/9/13