CN108471420B - 基于网络模式识别和匹配的容器安全防御方法与装置 - Google Patents
基于网络模式识别和匹配的容器安全防御方法与装置 Download PDFInfo
- Publication number
- CN108471420B CN108471420B CN201810270511.3A CN201810270511A CN108471420B CN 108471420 B CN108471420 B CN 108471420B CN 201810270511 A CN201810270511 A CN 201810270511A CN 108471420 B CN108471420 B CN 108471420B
- Authority
- CN
- China
- Prior art keywords
- network
- container
- mirror image
- mode
- container mirror
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全管控方法及设备技术领域,具体来说是一种基于网络模式识别和匹配的容器安全防御方法与装置,实时收集主机上所有进程的网络访问信息,并将容器镜像与进程相关联,以形成基于容器镜像的网络访问数据;根据容器镜像的网络访问数据对容器镜像进行网络模式识别,特别针对容器化运行的应用进行网络监控,能够自动关联进程的网络行为到某应用容器上,在信息实时收集和分析的基础上,自动对容器网络威胁进行干预;能够自动识别容器的工作模式并对网络行为数据进行相应的分析处理,比如对于采用封装工作模式的容器,容器探针模块能够捕捉到封装网络包内部的原始容器网络信息。
Description
技术领域
本发明涉及网络安全管控方法及设备技术领域,具体来说是一种基于网络模式识别和匹配的容器安全防御方法与装置。
背景技术
网络安全已经成为企业安全的重中之中,而绝大多数企业的网络安全都仅仅关注在网络边缘加固上,比如通过网络物理隔离等方式把企业IT核心基础设施和互联网进行完全隔离。但是,仅仅关注边缘网络加固是不足以满足企业网络安全要求的,甚至会让企业放松在内部网络的管控上。很多时候,一旦边缘网络加固被破坏的话,企业内部缺乏安全保护的系统和数据就完全暴露出来。而且,边缘网络加固仅仅防御了企业外部网络,但是企业内部网络同样面临严峻的安全威胁,一旦企业内部网络中的某台主机被黑客所控制,那么很容易对内网的其他主机和系统产生安全威胁。
而在企业内部网络安全方面,针对应用/主机IP和端口进行网络防火墙控制是绝大多数企业采用的方式。但是随着企业应用上云的不断深化,这种静态配置的方式已经难以为继。尤其在PaaS场景下,应用的部署架构是动态的,PaaS平台会根据应用和平台节点的运行状态对应用的部署架构进行动态调整,比如在应用负载过大时自动增加应用实例,或者当平台的某个节点不健康时自动把应用迁移到其他节点上。这种情况下,以往针对应用IP进行防火墙设置的做法,就不能满足动态需求了。而容器技术的大量引入又提出了更高的要求,因为每个代表应用运行实例的容器的IP可能只是一个应用平台内部有效的IP地址,对平台之外的企业网络来讲,并不能实际访问。
针对容器技术的大量采用,我国专利公开号106469083A公开了一种容器镜像安全检查方法及其装置,在容器镜像中设置安全设置文件,并通过对安全设置文件的验证实现安全检查。但是,该方案仍然存在一些不足。例如,由于该专利申请所公开的方案是静态的,是通过对镜像内部的文件进行基于特征库的静态扫描,发现静态安全隐患,因此,就只能保证容器镜像内是没有病毒文件,但却不能保证容器镜像所生成的虚拟机不具有安全隐患。而如果虚拟机存在安全隐患,在其启动后,黑客就能够通过某种方式获取虚拟机的访问权,从而在虚拟机内部发起一些威胁行为。而且,实行在静态安全检查的前提,就是需要在每个容器镜像的层内设置安全设置文件,这是极为不便利的。
此外,容器在运行时可以根据具体的使用场景采用不同的容器网络模式,这也进一步增加了对容器化应用进行网络监控的难度。
因此,需要设计一种新型的基于网络模式识别和匹配的容器安全防御方法与装置。
发明内容
本发明的目的在于解决现有技术的不足,提供一种基于网络模式识别和匹配的容器安全防御方法与装置,对容器镜像进行动态监测,能够自动识别并适配容器运行时采用的网络模式,有针对性的对容器的网络行为数据进行收集和分析,同时通过容器镜像信息来标识和关联应用,并基于策略对应用的网络行为进行威胁行为甄别和干预。
为了实现上述目的,设计一种基于网络模式识别和匹配的容器安全防御方法,包括如下步骤:
a.通过容器网络探针模块实时收集主机上所有进程的网络访问信息,并将容器镜像与进程相关联,以形成基于容器镜像的网络访问数据;
b.模式识别模块根据容器镜像的网络访问数据对容器镜像进行网络模式识别;
c.将识别得到的网络模式与镜像模式库中所述容器镜像的网络模式进行对比,若不匹配则由策略控制器通过预设的安全管控策略进行处理。
本发明还具有如下优选的技术方案:
所述的步骤a具体如下:采用容器网络探针模块自动从容器管理程序获取容器镜像的所有运行时工作模式,并根据容器镜像的运行时工作模式对容器网络数据包进行解析以获得所述容器镜像的网络访问数据。
所述的根据容器镜像的运行时工作模式对容器网络数据包进行解析以获得所述容器镜像的网络访问数据的方式具体如下:
对于“网桥”模式:根据网桥映射关系,使用原始容器IP和端口记录容器镜像的网络访问数据;
对于“VxLAN”模式:对VxLAN网络包进行拆包后,使用原始容器网络数据包中的元信息记录容器镜像的网络访问数据;
对于“Host”模式:容器网络数据包的元信息即为实际信息,直接使用数据包中的信息记录容器网络访问数据即可。
所述的步骤b具体如下:模式识别模块在收到网络访问数据后,对数据特征信息进行提取,并进行模式识别计算,通过不断积累同一容器镜像的网络访问数据后进行模式识别,并最终产生所述的容器镜像的网络模式。
所述的数据特征信息包括目标地址、带宽和数据量。
所述的模式识别计算包括分类分析和聚类分析。
所述的步骤b还包括:当模式识别模块接收到容器镜像的网络访问数据后,若网络访问数据对应的容器镜像未进行过模式识别,则把所述的容器镜像标示为待识别镜像;
若网络访问数据对应的容器镜像曾完成过模式识别,则把所述的容器镜像标示为已识别镜像。
所述的步骤c具体如下:
若所述的容器镜像被标示为待识别镜像,则根据预先设定的学习阶段定义,对所述容器镜像的所有网络模式进行学习,将学习到的网络模式存入镜像模式库中,并将所述的容器镜像标示为已识别镜像;
若所述的容器镜像被标示为已识别镜像,则将容器镜像的网络模式与镜像模式库中所述容器镜像的网络模式进行对比,若不匹配,则识别所述容器镜像的网络行为为风险行为。
所述的安全管控策略为生成威胁告警、阻止容器的可疑网络访问和停止可疑容器镜像的运行中的任意一种以上。
本发明还设计一种采用所述的基于网络模式识别和匹配的容器安全防御方法的装置,包括:用于实时收集主机上所有进程的网络访问信息,并将容器镜像与进程相关联,以形成基于容器镜像的网络访问数据的容器网络探针模块;
根据容器镜像的网络访问数据对容器镜像进行网络模式识别,并将识别得到的网络模式与镜像模式库中所述容器镜像的网络模式进行对比的模式识别模块;
以及对模式识别结果为不匹配的容器镜像按预设的安全管控策略进行处理的策略控制器。
优选地,所述的装置还包括对容器镜像的运行时工作模式和安全管控策略进行配置管理的网络安全控制器。
本发明同现有技术相比,其优点在于:
特别针对容器化运行的应用进行网络监控,能够自动关联进程的网络行为到某应用容器上,在信息实时收集和分析的基础上,自动对容器网络威胁进行干预;
以容器镜像为网络模式识别对象,极大的降低了模式识别的目标范围,并适应当前越来越广泛的容器化应用部署场景;
能够自动识别容器的工作模式并对网络行为数据进行相应的分析处理,比如对于采用封装工作模式的容器,容器探针模块能够捕捉到封装网络包内部的原始容器网络信息;
系统内置的镜像模式库中可以预制大量常见的镜像网络模式,加快企业安全建设进程。
附图说明
图1是一实施例本发明方法的流程示意图;
图2是一实施例本发明方法中容器网络探针模块的流程示意图;
图3是一实施例本发明方法中网络模式识别的流程示意图;
图4是一实施例本发明方法中识别风险行为的流程示意图。
具体实施方式
下面结合附图对本发明作进一步说明,这种方法和装置的结构和原理对本专业的人来说是非常清楚的。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明的技术方案注重安全监管的动态性,通过把应用根据镜像进行识别和分类,对镜像在运行时,即容器的网络行为模式进行建模,对比实际行为和预期行为,甄别应用行为异常来识别风险。比如我们通过建模确定了一个MySQL镜像启动的容器在运行时是不会对全网进行端口扫描的,那一旦发现MySQL镜像启动的某个容器在运行时开始进行全网端口扫描,那我们就可以甄别出这个MySQL容器有安全隐患,可能被攻破了。
参见图1,本实施方式中,所述的基于网络模式识别和匹配的容器安全防御方法包括如下步骤:
a.通过容器网络探针模块实时收集主机上所有进程的网络访问信息,并将容器镜像与进程相关联,以形成基于容器镜像的网络访问数据;
具体包括:采用容器网络探针模块自动从容器管理程序获取容器镜像的所有运行时工作模式,并根据容器镜像的运行时工作模式对容器网络数据包进行解析以获得所述容器镜像的网络访问数据。
所述的网络访问数据包括网络访问流量、网络主动对外访问和被访问的IP和端口信息等。
以往的基于网络数据包的安全扫描技术,一般采用通过自动识别网络数据包的封装格式来进行相应解析。但是,在容器场景中,比如采用了“网桥”模式或者“Host”模式的容器网络包,并没有进行任何封装,从表面看就是一个从某台主机发出的正常网络包,无法和一个容器进行关联。因此,为了解决容器运行时特有的网络场景,本技术方案主动把容器网络包数据信息和容器运行工作模式进行关联,并根据关联进行相应的数据解析,从而获得真实的容器网络数据,在效果上有巨大优势。
参见图2,由于容器在运行时可以指定不同的工作模式,而在不同的工作模式下容器网络数据包承载的信息差别巨大。鉴于此,容器网络探针模块会自动从容器管理程序获取所有容器的运行时工作模式,并根据容器工作模式采取对应的网络数据包处理方式对容器网络数据包进行解析,比如:
对于“网桥”模式:网络数据包的IP源地址和端口已经被替换为主机的IP和端口,因此需要根据网桥映射关系,使用原始容器IP和端口记录容器网络信息;
对于“VxLAN”模式:原始容器网络数据包被主机使用VxLAN的封装格式进行包装后发送,因此需要对VxLAN网络包进行拆包,使用原始容器网络数据包中的元信息记录容器网络信息;
对于“Host”模式:容器网络数据包的元信息即为实际信息,直接使用数据包中的信息记录容器网络信息即可。
同时,容器网络探针模块还采用可扩展的方式支持更多的容器工作模式。最终经过解析处理过的网络访问信息包括但不限于容器IP及端口信息、容器的镜像信息、容器主动对外访问及被访问信息、网络流量等。
虽然图1中只涉及到了单个主机,但是在多主机的环境中也是类似的机制,每个主机都能够保持上述类似的部署架构。
b.模式识别模块根据容器镜像的网络访问数据对容器镜像进行网络模式识别;
具体包括:模式识别模块在收到网络访问数据,对数据特征信息进行提取,并进行模式识别计算,通过不断积累同一容积镜像的网络访问数据后进行模式识别,并最终产生所述的容器镜像的模式定义。
所述的数据特征信息包括目标地址、带宽和数据量。
所述的模式识别计算包括但不限于分类分析和聚类分析,可以根据具体场景采用适合的模式分析算法,只要能够达到模式识别的目的即可。所述的分类分析和聚类分析均是本领域的现有技术,在此不多做赘述。简单地说,分类分析就是按照某种标准给对象贴标签,再根据标签来区分归类。聚类分析就是指事先没有标签而通过某种成团分析找出事物之间存在聚集性原因的过程。
所述的步骤b还包括:
当模式识别模块接收到容器镜像的网络访问数据后,若网络访问数据对应的容器镜像未进行过模式识别,则把所述的容器镜像标示为待识别镜像;
若网络访问数据对应的容器镜像曾完成过模式识别,则把所述的容器镜像标示为已识别镜像。
参见图3,容器技术是通过一种层次结构的文件系统将应用和环境封装到了一起,而封装的产物就是镜像。镜像是容器化应用的静态表示和数据存储格式,当镜像中封装的程序被一个由容器技术管理的进程运行起来时就成为一个容器。容器是由于容器化应用都是通过镜像发布的,同一个镜像派生出的容器的访问模式应该是类似的。因此,本系统会根据容器镜像对应用进行分类和标记,并以镜像为单位进行网络行为模式识别和比对,即当分析到一个应用容器的网络行为时,会通过匹配该容器对应镜像的网络模式来进行风险识别。
如图3所示,从同一镜像启动的容器的网络行为会和同一镜像标示的网络模式进行关联。请注意,虽然图3只涉及到了单个主机,但是在多主机的环境中也是类似的机制。
c.将识别得到的网络模式与镜像模式库中所述容器镜像的网络模式进行对比,若不匹配则由策略控制器通过预设的安全管控策略进行处理,具体如下:
若所述的容器镜像被标示为待识别镜像,则根据预先设定的学习阶段定义,对所述容器镜像的所有网络访问模式进行学习,并将网络访问模式存入镜像模式库中,并将所述的容器镜像标示为已识别镜像;
若所述的容器镜像被标示为已识别镜像,则将容器镜像的模式定义与镜像模式库中所述容器镜像的网络模式进行对比,若不匹配,则识别所述容器镜像的网络行为为风险行为。
参见图4,当模式识别模块接收到容器网络数据后,会判断是否该镜像是已识别镜像,如果是,则根据该容器的镜像匹配相应的网络模式。如果发现收集的网络数据不匹配相应的镜像网络模式,则识别该网络行为为一个风险行为。
实施例1
所有主机上容器网络探针模块从系统和容器管理程序收集容器网络行为数据,通过匹配相应的容器工作模式对数据进行分析处理,并最终把处理后的信息实时发送给本方案中的模式识别模块,进行模式匹配分析。
网络安全管理员能够通过网络安全控制器设置模式学习方式,可以设置为自动识别或者手动识别,自动学习即一旦发现某一网络数据来自未知镜像则自动进行识别,而手动识别则仅识别指定的镜像。同时,可以设置学习过程定义,比如设置针对某一个镜像的学习时间或者数据量。下述流程针对自动识别进行描述,手动识别过程类似处理,不多做赘述。
如果模式识别模块发现采集到的网络数据来源于一个未被识别过的容器镜像,模式识别模块将标示该应用镜像为待识别镜像,并根据预先设定的学习阶段定义,比如设定的固定时间内,对该镜像的所有容器的网络访问模式进行学习,形成应用网络访问模式并存入镜像模式库,并标示该应用镜像为已识别镜像。
如果模式识别模块发现采集到的容器信息来源于一个已识别镜像,则和镜像模式库中该镜像的网络模式进行匹配,如果发现不匹配的情况则通知策略控制器,后者根据预设置的策略执行相应动作,包括但不限于生成威胁告警、阻止容器的可疑网络访问、停止可疑容器的运行等。
本实施例中,能够采用网络安全控制器对镜像的网络访问模式进行配置管理;也能通过网络安全控制器对安全管控策略进行配置管理。
实施例2
本发明的技术方案还能与现有技术的静态监管的技术方案共同使用,一个关注动态行为,一个关注静态文件;同时,两者又互为补充,就相当于我们在电脑上虽然安装了病毒文件扫描工具,同时还需要开启网络防火墙。
Claims (10)
1.一种基于网络模式识别和匹配的容器安全防御方法,其特征在于包括如下步骤:
a.通过容器网络探针模块实时收集主机上所有进程的网络访问信息,并将容器镜像与进程相关联,以形成基于容器镜像的网络访问数据;
b.模式识别模块根据容器镜像的网络访问数据对容器镜像进行网络模式识别;
c.将识别得到的网络模式与镜像模式库中所述容器镜像的网络模式进行对比,若不匹配则由策略控制器通过预设的安全管控策略进行处理。
2.如权利要求1所述的基于网络模式识别和匹配的容器安全防御方法,其特征在于所述的步骤a具体如下:采用容器网络探针模块自动从容器管理程序获取容器镜像的所有运行时工作模式,并根据容器镜像的运行时工作模式对容器网络数据包进行解析以获得所述容器镜像的网络访问数据。
3.如权利要求1所述的基于网络模式识别和匹配的容器安全防御方法,其特征在于所述的步骤b具体如下:模式识别模块在收到网络访问数据后,对数据特征信息进行提取,并进行模式识别计算,通过不断积累同一容器镜像的网络访问数据后进行模式识别,并最终产生所述的容器镜像的网络模式。
4.如权利要求3所述的基于网络模式识别和匹配的容器安全防御方法,其特征在于所述的数据特征信息包括目标地址、带宽和数据量。
5.如权利要求3所述的基于网络模式识别和匹配的容器安全防御方法,其特征在于所述的模式识别计算包括分类分析和聚类分析。
6.如权利要求3所述的基于网络模式识别和匹配的容器安全防御方法,其特征在于所述的步骤b还包括:
当模式识别模块接收到容器镜像的网络访问数据后,若网络访问数据对应的容器镜像未进行过模式识别,则把所述的容器镜像标示为待识别镜像;
若网络访问数据对应的容器镜像曾完成过模式识别,则把所述的容器镜像标示为已识别镜像。
7.如权利要求6所述的基于网络模式识别和匹配的容器安全防御方法,其特征在于所述的步骤c具体如下:
若所述的容器镜像被标示为待识别镜像,则根据预先设定的学习阶段定义,对所述容器镜像的所有网络模式进行学习,将学习到的网络模式存入镜像模式库中,并将所述的容器镜像标示为已识别镜像;
若所述的容器镜像被标示为已识别镜像,则将容器镜像的网络模式与镜像模式库中所述容器镜像的网络模式进行对比,若不匹配,则识别所述容器镜像的网络行为为风险行为。
8.如权利要求2所述的基于网络模式识别和匹配的容器安全防御方法,其特征在于所述的根据容器镜像的运行时工作模式对容器网络数据包进行解析以获得所述容器镜像的网络访问数据的方式具体如下:
对于“网桥”模式:根据网桥映射关系,使用原始容器IP和端口记录容器镜像的网络访问数据;
对于“VxLAN”模式:对VxLAN网络包进行拆包后,使用原始容器网络数据包中的元信息记录容器镜像的网络访问数据;
对于“Host”模式:容器网络数据包的元信息即为实际信息,直接使用数据包中的信息记录容器镜像的网络访问数据即可。
9.一种采用如权利要求1所述的基于网络模式识别和匹配的容器安全防御方法的装置,其特征在于包括:
用于实时收集主机上所有进程的网络访问信息,并将容器镜像与进程相关联,以形成基于容器镜像的网络访问数据的容器网络探针模块;
根据容器镜像的网络访问数据对容器镜像进行网络模式识别,并将识别得到的网络模式与镜像模式库中所述容器镜像的网络模式进行对比的模式识别模块;
以及对模式识别结果为不匹配的容器镜像按预设的安全管控策略进行处理的策略控制器。
10.如权利要求9所述的装置,其特征在于所述的装置还包括对容器镜像的运行时工作模式和安全管控策略进行配置管理的网络安全控制器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810270511.3A CN108471420B (zh) | 2018-03-29 | 2018-03-29 | 基于网络模式识别和匹配的容器安全防御方法与装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810270511.3A CN108471420B (zh) | 2018-03-29 | 2018-03-29 | 基于网络模式识别和匹配的容器安全防御方法与装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108471420A CN108471420A (zh) | 2018-08-31 |
CN108471420B true CN108471420B (zh) | 2021-02-09 |
Family
ID=63262290
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810270511.3A Active CN108471420B (zh) | 2018-03-29 | 2018-03-29 | 基于网络模式识别和匹配的容器安全防御方法与装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108471420B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109241730B (zh) * | 2018-09-03 | 2020-09-29 | 杭州安恒信息技术股份有限公司 | 一种容器风险的防御方法、装置、设备及可读存储介质 |
CN110554905A (zh) * | 2019-08-28 | 2019-12-10 | 北京奇艺世纪科技有限公司 | 一种容器的启动方法及装置 |
CN110912919B (zh) * | 2019-12-03 | 2020-10-23 | 电子科技大学 | 用于网络健康状况建模分析的网络数据采集方法 |
CN111813497A (zh) * | 2020-06-30 | 2020-10-23 | 绿盟科技集团股份有限公司 | 一种容器环境异常检测的方法、装置、介质及计算机设备 |
CN112104597B (zh) * | 2020-07-23 | 2023-04-07 | 广西电网有限责任公司电力科学研究院 | 一种一端多网环境的终端数据隔离方法及装置 |
CN112165392A (zh) * | 2020-08-20 | 2021-01-01 | 哈尔滨工业大学(威海) | 一种大规模用户网络行为模拟构建系统及其工作方法 |
CN114615028B (zh) * | 2022-02-25 | 2023-06-02 | 北京小佑网络科技有限公司 | 一种基于容器正常行为建模来识别容器异常行为的方法 |
CN115603999A (zh) * | 2022-10-12 | 2023-01-13 | 中国电信股份有限公司(Cn) | 容器安全防护方法、装置、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105069353A (zh) * | 2015-08-11 | 2015-11-18 | 武汉大学 | 一种基于Docker的可信容器安全加固方法 |
CN106020930A (zh) * | 2016-05-13 | 2016-10-12 | 深圳市中润四方信息技术有限公司 | 一种基于应用容器的应用管理方法及系统 |
CN106453492A (zh) * | 2016-08-30 | 2017-02-22 | 浙江大学 | 基于模糊模式识别的Docker容器云平台下的容器调度方法 |
CN107689953A (zh) * | 2017-08-18 | 2018-02-13 | 中国科学院信息工程研究所 | 一种面向多租户云计算的容器安全监控方法及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10185638B2 (en) * | 2015-09-29 | 2019-01-22 | NeuVector, Inc. | Creating additional security containers for transparent network security for application containers based on conditions |
CN105511943B (zh) * | 2015-12-03 | 2019-04-12 | 华为技术有限公司 | 一种Docker容器运行方法和装置 |
CN106293875A (zh) * | 2016-08-04 | 2017-01-04 | 中国联合网络通信集团有限公司 | 一种Docker容器的创建方法和创建系统 |
-
2018
- 2018-03-29 CN CN201810270511.3A patent/CN108471420B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105069353A (zh) * | 2015-08-11 | 2015-11-18 | 武汉大学 | 一种基于Docker的可信容器安全加固方法 |
CN106020930A (zh) * | 2016-05-13 | 2016-10-12 | 深圳市中润四方信息技术有限公司 | 一种基于应用容器的应用管理方法及系统 |
CN106453492A (zh) * | 2016-08-30 | 2017-02-22 | 浙江大学 | 基于模糊模式识别的Docker容器云平台下的容器调度方法 |
CN107689953A (zh) * | 2017-08-18 | 2018-02-13 | 中国科学院信息工程研究所 | 一种面向多租户云计算的容器安全监控方法及系统 |
Non-Patent Citations (1)
Title |
---|
Intrusion Detection System for Applications Using Linux Containers;Amr S.Abed, Charles Clancy, and David S.Levy;《STM:International Workshop on Security and Trust Management》;20151209;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN108471420A (zh) | 2018-08-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108471420B (zh) | 基于网络模式识别和匹配的容器安全防御方法与装置 | |
US9166988B1 (en) | System and method for controlling virtual network including security function | |
US20190260793A1 (en) | Multidimensional clustering analysis and visualizing that clustered analysis on a user interface | |
US8516586B1 (en) | Classification of unknown computer network traffic | |
NL2002694C2 (en) | Method and system for alert classification in a computer network. | |
CN109862003B (zh) | 本地威胁情报库的生成方法、装置、系统及存储介质 | |
JP6904307B2 (ja) | 特定装置、特定方法及び特定プログラム | |
CN112887268B (zh) | 一种基于全面检测和识别的网络安全保障方法及系统 | |
US11381587B2 (en) | Data segmentation | |
Wei et al. | Strategic application of ai intelligent algorithm in network threat detection and defense | |
Iqbal et al. | Advancing automation in digital forensic investigations using machine learning forensics | |
CN113312615B (zh) | 一种终端检测与响应系统 | |
CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
CN111953665B (zh) | 服务器攻击访问识别方法及系统、计算机设备、存储介质 | |
CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
CN110138780B (zh) | 一种基于探针技术实现物联网终端威胁检测的方法 | |
CN113542311B (zh) | 一种实时检测失陷主机并回溯的方法 | |
Kannan et al. | A novel cloud intrusion detection system using feature selection and classification | |
CN111859386A (zh) | 基于行为分析的木马检测方法及系统 | |
US20230315848A1 (en) | Forensic analysis on consistent system footprints | |
US12013942B2 (en) | Rootkit detection based on system dump sequence analysis | |
CN112769815B (zh) | 一种智能工控安全监控与防护方法和系统 | |
Santra et al. | Fuzzy data mining-based framework for forensic analysis and evidence generation in cloud environment | |
US10740458B2 (en) | System and method for high frequency heuristic data acquisition and analytics of information security events | |
US11868473B2 (en) | Method for constructing behavioural software signatures |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |