本发明公开了一种限制Docker容器行为的安全防护方法,主要解决现有Docker安全性不足的问题。其实现方案为：分别在每个容器、每个运行工具、Docker引擎上创建包括有行为规范规则的AppArmor配置文件,以限制各自的访问功能,实现容器在非法行为发生时强制停止运行；建立一个可视化行为监控平台,实时监控Docker容器的行为规范,实现当容器强制停止时,平台能发出警报,当非法行为再次出现时,平台能在容器强制停止之前及时发出警报。本发明可保护容器免受非法行为的攻击,并从运营维护的角度监控容器行为,减少因容器强制停止运行带来的损失,进一步保证了容器的安全性能,可用于安全保护系统。

• 单位
  西安电子科技大学