基于eBPF的容器运行时可信监控方案

作     者：黄轲 李璇 周庆飞 尚科彤 秦宇 HUANG Ke;LI Xuan;ZHOU Qingfei;SHANG Ketong;QIN Yu

作者机构：中国科学院软件研究所可信计算与信息保障实验室北京100190 中国长城科技集团股份有限公司深圳518028 

基　　金：工信部高质量专项B管理模块项目[2023-11] 国家重点研发计划[2022YFB4501500,2022YFB4501501] 

出 版 物：《信息网络安全》 (Netinfo Security)

年 卷 期：2025年第2期

页      码：306-326页

摘      要：随着云服务技术的发展,越来越多的应用以容器形式迁移到云端,容器的安全监控成为研究热点。虽然容器具有轻量级、部署快速、移植便捷的优点,但其较弱的隔离性却带来了诸多安全问题,如容器逃逸攻击、容器镜像投毒、内核漏洞利用等。针对这些威胁,文章采用eBPF系统监控技术,结合BMC信任根、镜像静态分析、通用策略引擎及运行时证明,提出了一种容器运行时安全监控方案。该方案利用eBPF实现的监控程序,能够识别并监控容器的进程、权能、文件、网络等行为事件。同时,该方案设计了细粒度的容器安全策略,并依据容器镜像静态分析所得的系统调用白名单,检测容器异常行为,多维度保障容器安全。此外,该方案还设计并实现了基于BMC信任根的运行时证明协议,利用BMC中集成的可信计算模块作为信任根,通过可信计算模块的证明确保eBPF监控事件报警日志的完整性和真实性。实验表明,监控服务器能够长期监控各类容器的运行状态,并针对安全异常事件及时采取应对措施。

主 题 词：容器安全 eBPF 运行时监控 BMC信任根 远程证明 

学科分类：0839[0839] 08[工学] 081201[081201] 0812[工学-测绘类] 

D　O　I：10.3969/j.issn.1671-1122.2025.02.011

馆 藏 号：203157619...