1.一种容器的入侵检测方法,其特征在于,包括:获取宿主机上进程与各容器内进程的映射关系表征数据;根据所述映射关系表征数据,确定所述宿主机上与各容器内进程具有映射关系的进程;从所述宿主机上与各容器内进程具有映射关系的进程中,筛选与各容器内有对外开放监听端口的进程具有映射关系的进程;根据与各容器内有对外开放监听端口的进程具有映射关系的进程,确定审计进程;监测每个所述审计进程的行为数据,根据所述行为数据确定所述审计进程是否入侵对应容器;从所述宿主机上与各容器内进程具有映射关系的进程中,筛选与各容器内有对外开放监听端口的进程具有映射关系的进程,包括:对所述宿主机上与任一容器内进程具有映射关系的每个进程,获取所述进程当前打开的套接字文件描述符的文件标识,并从所述进程的网络连接文件中获取所述容器内目标端口的监听信息,所述目标端口是指所述容器内与所述宿主机上的监听端口具有映射关系的监听端口;根据所述容器内目标端口的监听信息和进程当前打开的套接字文件描述符的文件标识,确定所述进程是否是与所述容器内有对外开放监听端口的进程具有映射关系的进程。
2.如权利要求1所述的方法,其特征在于,获取所述进程当前打开的套接字文件描述符的文件标识,包括:从所述进程当前打开的所有文件描述符中筛选套接字文件描述符;获取筛选出的套接字文件描述符的文件标识。
3.如权利要求1所述的方法,其特征在于,根据所述容器内目标端口的监听信息和所述进程当前打开的套接字文件描述符的文件标识,确定所述进程是否是与所述容器内有对外开放监听端口的进程具有映射关系的进程,包括:若确定所述容器内任一目标端口的监听信息表示所述目标端口处于被监听状态,则获取所述目标端口对应的套接字文件描述符的文件标识;若确定获取的文件标识与所述进程当前打开的任一套接字文件描述符的文件标识相同,则确定所述进程是与所述容器内有对外开放监听端口的进程具有映射关系的进程。
4.如权利要求1-3任一所述的方法,其特征在于,所述映射关系表征数据是所述宿主机上各进程的控制组文件,根据所述映射关系表征数据,确定所述宿主机上与各容器内进程具有映射关系的进程,包括:遍历所述宿主机上每个进程的控制组文件;若确定所述控制组文件中包含表示容器的关键字,则获取所述控制组文件中的容器标识;确定所述控制组文件对应的进程是所述宿主机上与所述容器标识对应的容器内进程具有映射关系的进程。
5.如权利要求1-3任一所述的方法,其特征在于,所述映射关系表征数据是所述宿主机上容器编排工具的容器配置信息,根据所述映射关系表征数据,确定所述宿主机上与各容器内进程具有映射关系的进程,包括:根据所述容器配置信息,确定所述宿主机上内部监听端口与服务的对外开放端口之间有映射关系的至少一个容器,所述服务的对外开放端口与所述宿主机上的端口具有映射关系;确定所述宿主机上与所述至少一个容器内进程具有映射关系的进程。
6.如权利要求5所述的方法,其特征在于,确定所述宿主机上与所述至少一个容器内进程具有映射关系的进程,包括:对所述至少一个容器中的每个容器,在所述宿主机上查找所述容器的初始进程;将所述初始进程的各子进程中启动命令与所述容器中指定进程的启动命令一致的子进程,确定为所述宿主机上与所述容器内指定进程具有映射关系的进程。
7.如权利要求5所述的方法,其特征在于,还包括:在确定任一进程不是与对应容器内有对外开放监听端口的进程具有映射关系的进程之后,在所述进程的各子进程中,确定与所述容器内有对外开放监听端口的进程具有映射关系的子进程,将确定的所述子进程作为审计进程。
8.如权利要求5所述的方法,其特征在于,根据与各容器内有对外开放监听端口的进程具有映射关系的进程,确定审计进程,包括:将与各容器内有对外开放监听端口的进程具有映射关系的进程和所述进程的子进程,均确定为审计进程。
9.如权利要求1所述的方法,其特征在于,监测每个所述审计进程的行为数据,包括:实时获取宿主机上所有进程的进程事件;从获取的所有进程的进程事件中筛选出每个所述审计进程的进程事件,并监测每个所述审计进程的行为数据。
10.一种电子设备,其特征在于,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中:所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-9任一所述的方法。
11.一种存储介质,其特征在于,当所述存储介质中的指令由电子设备的处理器执行时,所述电子设备能够执行如权利要求1-9任一所述的方法。
