一种基于静态分析的Docker镜像扫描方法

技术特征：
1.一种基于静态分析的docker镜像扫描方法，其特征在于，通过手工分析的方法对大量docker镜像构建历史记录进行特征提取并建立安全特征库，根据安全特征库对待测镜像进行特征匹配，依据特征信息和白名单机制检测镜像的安全问题；同时，通过镜像扫描工具检测镜像中的软件漏洞数量，按时间分布的散点图进行函数拟合，建立漏洞预测模型，最后由两者信息进行综合分析docker镜像的安全问题，反馈镜像扫描结果。2.根据权利要求1所述的基于静态分析的docker镜像扫描方法，其特征在于，所述的特征提取为根据系统命令和文件名对docker镜像构建历史记录进行文本匹配，分析已知的具有安全问题的操作或文件，提取其中涉及到的与安全相关的操作或设置，将其纳入安全特征库。3.根据权利要求1所述的基于静态分析的docker镜像扫描方法，其特征在于，所述的特征匹配为使用文本匹配方式对待测镜像的构建历史记录进行检测，与安全特征库中的特性信息进行匹配，以此检测镜像中的安全问题。4.根据权利要求1所述的基于静态分析的docker镜像扫描方法，其特征在于，所述的特征信息为镜像构建历史记录中的一项或多项信息，所述的信息全部作用于镜像中的同一对象，且具有前后的关联性，共同作用于该对象并引发安全问题。5.根据权利要求1或2或3或4所述的基于静态分析的docker镜像扫描方法，其特征在于，所述的特征信息包括四个部分，第一部分是对启动默认设置中的启动权限和启动执行设置进行检测；第二部分是对文件权限设置进行检测；第三部分是对敏感信息中的用户名密码信息和ssh密钥信息进行检测；第四部分是对挖矿程序进行检测，通过四个部分的检测，与特征库进行匹配并综合分析，输出最后的安全检测结果。6.根据权利要求5所述的基于静态分析的docker镜像扫描方法，其特征在于，所述的第一部分用于对启动默认设置中的启动权限和启动执行设置进行检测，判断镜像默认启动的用户权限是普通用户还是超级用户(root)，判断镜像默认启动执行的是什么类型的文件或命令，将该检测内容的特征进行提取，供后续的综合分析；所述的第二部分用于判断是否存在可写、可执行权限和setuid权限，判断是否存在同时具有可写和可执行权限的文件，然后提取该权限操作参数和对象；所述的第三部分用于根据用户名密码输入格式和ssh密钥使用方法进行检测，提取存在的用户名密码信息和ssh密钥使用特征；所述的第四部分根据挖矿程序来源网站进行关联匹配，提取可疑挖矿程序的操作行为特征，进一步确认挖矿程序的特征行为。7.根据权利要求1或6所述的基于静态分析的docker镜像扫描方法，其特征在于，所述的白名单机制为手工分析检测结果，进行误报情况的筛除，将误报特征建立白名单，用于综合分析使用。8.根据权利要求7所述的基于静态分析的docker镜像扫描方法，其特征在于，所述的函数拟合为根据镜像扫描工具检测镜像中的软件漏洞数量，对同一个镜像的所有时间版本进行扫描统计，按照时间分布绘制漏洞数量的时间分布散点图，根据图像散点分布进行函数拟合，得出拟合函数。9.根据权利要求8所述的基于静态分析的docker镜像扫描方法，其特征在于，所述的函数拟合为根据镜像扫描工具检测镜像中的软件漏洞数量，对同一个镜像的所有时间版本进行扫描统计，按照时间分布绘制漏洞数量的时间分布散点图，根据图像散点分布进行函数
拟合，得出拟合函数，同时，以镜像发布日为时间轴原点，取漏洞发现时间与镜像发布时间的相对值为横轴，以该时间的漏洞数量占总漏洞数量的比例作为纵轴，然后根据图像散点分布进行函数拟合。10.根据权利要求1或2或3或4或6或8或9所述的基于静态分析的docker镜像扫描方法，其特征在于，所述的漏洞预测模型为由大量镜像样本进行扫描统计，并取其平均值，然后经过函数拟合得出函数表达式，进而建立漏洞预测的函数模型。

技术总结
本发明公开了一种基于静态分析的Docker镜像扫描方法，通过手工分析的方法对大量Docker镜像构建历史记录进行特征提取并建立安全特征库，根据安全特征库对待测镜像进行特征匹配，依据特征信息和白名单机制检测镜像的安全问题；同时，通过镜像扫描工具检测镜像中的软件漏洞数量，按时间分布的散点图进行函数拟合，建立漏洞预测模型，最后由两者信息进行综合分析Docker镜像的安全问题，反馈镜像扫描结果，该方法结合镜像扫描工具和自定义扫描方法对镜像软件漏洞进行分析，由镜像扫描工具对镜像软件漏洞进行分析，根据漏洞数量分布散点图进行函数拟合，建立了一个镜像漏洞预测模型。型。型。


技术研发人员：申文博 庄阿得 任奎
受保护的技术使用者：浙江大学
技术研发日：2022.02.18
技术公布日：2022/6/1