(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210815446.4 (22)申请日 2022.07.08 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 奇安信网神信息技 术 （北京） 股份有 限公司 (72)发明人 戈龙颜　刘浩　冯顾　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 张文玄 (51)Int.Cl. G06F 21/53(2013.01) G06F 21/55(2013.01) G06F 9/455(2006.01)G06F 9/50(2006.01) (54)发明名称 容器安全防护方法及装置 (57)摘要 本发明实施例提供一种容器安全防护方法 及装置， 涉及安全防护技术领域， 其中方法包括： 内核模块在检测到目标进程对目标文件进行操 作时， 获取所述目标进程的进程标识符PID命名 空间和挂载命名空间； 所述内核模块在基于所述 PID命名空间和所述挂载命名空间确定所述目标 进程为容器内的进程时， 获取所述容器的名称和 所述目标文件的文件路径， 并将所述容器的名称 和所述文件路径发送至所述杀毒模块； 所述杀毒 模块基于所述容器的名 称和所述文件路径读取 所述目标文件， 并确定所述目标文件是否安全。 本发明的杀毒模块基于容器的名 称和文件路径 读取容器内的目标文件， 进而可以实现对容器内 的目标文 件进行安全检测。 权利要求书2页 说明书9页 附图3页 CN 115391772 A 2022.11.25 CN 115391772 A 1.一种容器安全防护方法， 其特征在于， 应用于电子设备， 所述电子设备包括内核模块 和杀毒模块， 所述方法包括： 所述内核模块在检测到目标进程对目标文件进行操作时， 获取所述目标进程的进程标 识符PID命名空间和挂载命名空间； 所述内核模块在基于所述PID命名空间和所述挂载命名空间确定所述目标进程为容器 内的进程时， 获取所述容器的名称和所述 目标文件的文件路径， 并将所述容器的名称和所 述文件路径发送至所述杀毒模块； 所述杀毒模块基于所述容器的名称和所述文件路径读取所述目标文件， 并确定所述目 标文件是否安全。 2.根据权利要求1所述的容器安全防护方法， 其特征在于， 在所述内核模块在基于所述 PID命名空间和所述挂载命名空间确定所述目标进程为容器内的进程时， 获取所述容器的 名称和所述目标文件的文件路径之前， 所述方法还 包括： 所述内核模块基于所述PID命名空间和所述挂载命名空间确定所述目标进程是否为容 器内的进程。 3.根据权利要求2所述的容器安全 防护方法， 其特征在于， 所述内核模块基于所述PID 命名空间和所述 挂载命名空间确定所述目标进程是否为 容器内的进程， 包括： 所述内核模块确定所述目标进程的PID命名空间是否与全局的PID命名空间相同， 并确 定所述目标进程的挂载命名空间是否与全局的挂载命名空间相同； 所述内核模块在确定所述目标进程的PID命名空间与所述全局的PID命名空间不相同， 且所述目标进程的挂载命名空间与所述全局的挂载命名空间不相同时， 确定所述目标进程 为所述容器内的进程； 所述内核模块在确定所述目标进程的PID命名空间与所述全局的PID命名空间相同， 和/或， 所述目标进程的挂载命名空间与所述全局的挂载命名空间相同时， 确定所述目标进 程不为所述容器内的进程。 4.根据权利要求1所述的容器安全防护方法， 其特征在于， 所述杀毒模块基于所述容器 的名称和所述文件路径读取 所述目标文件， 包括： 所述杀毒模块调用所述内核模块中的容器文件读取函数， 并将所述容器的名称和所述 文件路径输入至所述 容器文件读取函数； 所述杀毒模块 通过所述容器文件读取函数读取 所述目标文件。 5.根据权利要求4所述的容器安全防护方法， 其特征在于， 所述杀毒模块通过所述容器 文件读取函数读取 所述目标文件， 包括： 所述杀毒模块通过所述容器文件读取函数确定进程列表中与所述容器的名称匹配的 进程， 将与所述容器的名称匹配的进程确定为参考进程； 所述进程列表中存储有每个进程 所属容器的名称； 所述杀毒模块通过所述容器文件读取函数获取所述参考进程的根目录； 所述参考进程 的根目录为相对于所述参考进程的挂载命名空间的目录； 所述参考进程的根目录与所述目 标进程的根目录相同； 所述杀毒模块通过所述容器文件读取函数基于所述参考进程的根目录和所述文件路 径读取所述目标文件。权　利　要　求　书 1/2 页 2 CN 115391772 A 26.根据权利要求5所述的容器安全防护方法， 其特征在于， 所述杀毒模块通过所述容器 文件读取函数基于所述 参考进程的根目录和所述文件路径读取 所述目标文件， 包括： 所述杀毒模块通过所述容器文件读取函数调用应用程序接口API函数， 将所述参考进 程的根目录和所述文件路径输入至所述API函数中， 通过所述API函数打开并读取所述目标 文件。 7.一种容器安全防护装置， 其特 征在于， 包括： 第一获取模块， 用于在检测到目标进程对目标文件进行操作时， 获取所述目标进程的 进程标识符PID命名空间和挂载命名空间； 第二获取模块， 用于在所述内核模块基于所述PID命名空间和所述挂载命名空间确定 所述目标进程为容器内的进程时， 通过所述内核模块 获取所述容器的名称和所述目标文件 的文件路径， 并将所述 容器的名称和所述文件路径发送至所述检测模块； 检测模块， 用于基于所述容器的名称和所述文件路径读取所述目标文件， 并确定所述 目标文件是否安全。 8.一种电子设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至6任一项所述容器安 全防护方法。 9.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该计算机程 序被处理器执行时实现如权利要求1至 6任一项所述 容器安全防护方法。 10.一种计算机程序产品， 其上存储有可执行指令， 其特征在于， 该指令被处理器执行 时使处理器实现如权利要求1至 6中任一项所述 容器安全防护方法。权　利　要　求　书 2/2 页 3 CN 115391772 A 3