容器技术因其使用便捷和高性能的特点被开发人员和组织广泛使用。但是,与虚拟机不同的是,不同容器之间共享同一主机操作系统内核,这使得容器的隔离性更弱。尽管操作系统提供了严格的软件隔离机制,例如Namespaces,试图解决这一问题,但是,恶意的租户仍然可以通过系统调用访问内核,并利用内核漏洞绕过这些隔离机制。同时,随着内核代码不断更新,内核功能也不断增加,而绝大多数应用程序在工作时只需要使用部分内核功能,并不需要访问整个内核,这些没有被使用到的内核功能,很可能会被其他的恶意容器所利用,危害容器安全。针对这个问题,在不对容器镜像进行修改的前提下,设计并实现了基于容器镜像分析的内核模块定制系统。首先,系统使用动态分析和静态分析相结合的方法,分析出容器运行期间所需要的正常系统调用集合。其次,系统会根据分析结果,为容器生成一个专用的内核模块,并限制容器只能通过内核模块中维护的系统调用表进行系统调用,从而对容器的系统调用行为进行限制,达到限制其访问不需要的内核功能的目的。实验结果表明,与默认的Seccomp配置文件对比,系统能够分析并禁用更多的系统调用,数量达到默认的2倍以上。与Seccomp机制相比,系统使用内核模块进行系统调用限制,能够将Seccomp带来的系统调用的性能开销减少14%,同时,在nginx容器的QPS压力测试中,与不使用Seccomp等安全机制启动容器的条件相比,内核模块带来的性能开销小于2%,这说明,使用内核模块进行系统调用限制的方法给主机带来的性能开销更小。