CN109450848B - 一种Docker东西向流量入侵防御方法及装置 - Google Patents
一种Docker东西向流量入侵防御方法及装置 Download PDFInfo
- Publication number
- CN109450848B CN109450848B CN201811109057.XA CN201811109057A CN109450848B CN 109450848 B CN109450848 B CN 109450848B CN 201811109057 A CN201811109057 A CN 201811109057A CN 109450848 B CN109450848 B CN 109450848B
- Authority
- CN
- China
- Prior art keywords
- east
- flow
- west
- west flow
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000009545 invasion Effects 0.000 title description 5
- 238000004140 cleaning Methods 0.000 claims abstract description 35
- 230000002265 prevention Effects 0.000 claims abstract description 10
- 238000004590 computer program Methods 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 18
- 230000000007 visual effect Effects 0.000 claims description 14
- 238000003860 storage Methods 0.000 claims description 8
- 230000003993 interaction Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 3
- 238000010926 purge Methods 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 13
- 230000007123 defense Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000005520 cutting process Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000005304 joining Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 101150026195 hook gene Proteins 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开一种Docker东西向流量入侵防御方法及装置,其中,方法包括:在云环境的各物理主机内部连接容器的网桥上设置钩子,利用所述钩子截获所有进出容器的东西向流量;对截获的东西向流量进行清洗,判断所述东西向流量中的报文是否属于恶意流量;若判断获知所述东西向流量中的报文属于恶意流量,则掐断所述东西向流量的连接,并记录东西向流量清洗日志。本发明实施例能够实现对Docker东西向流量的入侵防御,既可以监控跨主机容器之间的流量,也可以监控主机内部的容器之间的流量。
Description
技术领域
本发明实施例涉及信息安全技术领域,具体涉及一种Docker东西向流量入侵防御方法及装置。
背景技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker设想是交付运行环境如同海运,OS(操作系统)如同一个货轮,每一个在OS基础上的软件都如同一个集装箱,用户可以通过标准化手段自由组装运行环境,同时集装箱的内容可以由用户自定义,也可以由专业人员制造。这样,交付一个软件,就是一系列标准化组件的集合的交付,如同乐高积木,用户只需要选择合适的积木组合,并且在最顶端署上自己的名字(最后个标准化组件是用户的应用app)
随着应用的Docker化部署,集群化部署,不同的角色的定位的容器部署在不同的宿主机上甚至相同的宿主机上。随着不同容器之间东西向流量的交互频繁,容器之间的东西向流量将成为一大隐患。一旦其中一台容器被攻破,恶意程序便可以以其为跳板攻击其他环境中的容器。而攻击的流量报文往往也不可控制。云环境中,在相同的或不同的物理机器上的容器,有跨物理主机的流量。比如主机A的Apache(阿帕奇)服务器向主机B的MariaDB(数据库管理系统)请求数据;同时也有可能是主机内部容器之间的流量,比如主机A内部的Apache服务器请求主机A内部的MariaDB的流量。
目前,现有技术提供了两种入侵防御方案:一、部署在网络边界处的IPS(入侵防御系统)设备;二、以软件形式部署在物理主机上的入侵防御软件。
但是,部署在网络边界处的IPS设备,既无法监控跨主机容器之间的流量,更不用提在主机内部的容器之间的流量;部署在物理主机上的IPS软件,也仅能对跨主机的容器之间的流量进行入侵防御。
鉴于此,如何对Docker东西向流量进行入侵防御成为目前需要解决的技术问题。
发明内容
由于现有方法存在上述问题,本发明实施例提出一种Docker东西向流量入侵防御方法及装置。
第一方面,本发明实施例提出一种Docker东西向流量入侵防御方法,包括:
在云环境的各物理主机内部连接容器的网桥上设置钩子,利用所述钩子截获所有进出容器的东西向流量;
对截获的东西向流量进行清洗,判断所述东西向流量中的报文是否属于恶意流量;
若判断获知所述东西向流量中的报文属于恶意流量,则掐断所述东西向流量的连接,并记录东西向流量清洗日志。
可选地,记录东西向流量清洗日志之后,所述方法还包括:
将所述东西向流量清洗日志发送至集中数据处理平台进行可视化展示。
可选地,所述钩子为Netfilter钩子。
可选地,所述对截获的东西向流量进行清洗,判断所述东西向流量中的报文是否属于恶意流量,包括:
对截获的东西向流量中的数据包进行解析,获取媒体访问控制MAC地址;
根据所述MAC地址,确定所述MAC地址对应的容器;
将所述MAC地址对应的容器交互的流量截获,并比对公开的CVE规则,判断所述东西向流量中的报文是否属于恶意流量。
可选地,在判断所述东西向流量中的报文是否属于恶意流量之后,所述方法还包括:
若判断获知所述东西向流量中的报文不属于恶意流量,则记录东西向流量访问日志。
可选地,在记录东西向流量访问日志之后,所述方法还包括:
将所述东西向流量访问日志发送至集中数据处理平台进行可视化展示。
第二方面,本发明实施例还提出一种Docker东西向流量入侵防御装置,包括:
截获模块,用于在云环境的各物理主机内部连接容器的网桥上设置钩子,利用所述钩子截获所有进出容器的东西向流量;
引擎模块,用于对截获的东西向流量进行清洗,判断所述东西向流量中的报文是否属于恶意流量;若判断获知所述东西向流量中的报文属于恶意流量,则掐断所述东西向流量的连接,并记录东西向流量清洗日志。
可选地,所述装置还包括:
第一发送模块,用于将所述东西向流量清洗日志发送至集中数据处理平台进行可视化展示。
可选地,所述钩子为Netfilter钩子。
可选地,所述引擎模块,具体用于
对截获的东西向流量中的数据包进行解析,获取媒体访问控制MAC地址;
根据所述MAC地址,确定所述MAC地址对应的容器;
将所述MAC地址对应的容器交互流量截获,并比对公开的CVE规则,判断所述东西向流量中的报文是否属于恶意流量。
可选地,所述装置还包括:
记录模块,用于若判断获知所述东西向流量中的报文不属于恶意流量,则记录东西向流量访问日志。
可选地,所述装置还包括:
第二发送模块,用于将所述东西向流量访问日志发送至集中数据处理平台进行可视化展示。
第三方面,本发明实施例提供一种电子设备,包括:处理器、存储器、总线及存储在存储器上并可在第处理器上运行的计算机程序;
其中,所述处理器,存储器通过所述总线完成相互间的通信;
所述处理器执行所述计算机程序时实现上述方法。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,所述存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述方法。
由上述技术方案可知,本发明实施例提供的一种Docker东西向流量入侵防御方法及装置,通过在云环境的各物理主机内部连接容器的网桥上设置钩子,利用钩子截获所有进出容器的东西向流量;对截获的东西向流量进行清洗,判断东西向流量中的报文是否属于恶意流量,若是,则掐断东西向流量的连接,并记录东西向流量清洗日志,由此,能够实现对Docker东西向流量的入侵防御,既可以监控跨主机容器之间的流量,也可以监控主机内部的容器之间的流量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1为本发明一实施例提供的一种Docker东西向流量入侵防御方法的流程示意图;
图2为本发明一实施例提供的一种Docker东西向流量入侵防御装置的结构示意图;
图3为本发明一实施例提供的电子设备的实体结构示意图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1示出了本发明一实施例提供的一种Docker东西向流量入侵防御方法的流程示意图,如图1所示,本实施例的Docker东西向流量入侵防御方法,包括:
S1、在云环境的各物理主机内部连接容器的网桥上设置钩子,利用所述钩子截获所有进出容器的东西向流量。
可以理解的是,东西向流量指的是云环境中数据中心内部服务器之间交互的流量,也叫横向流量。
S2、对截获的东西向流量进行清洗,判断所述东西向流量中的报文是否属于恶意流量。
S3、若判断获知所述东西向流量中的报文属于恶意流量,则掐断所述东西向流量的连接,并记录东西向流量清洗日志。
在具体应用中,可以通过向所述网桥返回RST(重置)包,掐断所述东西向流量的连接。
本实施例提供的一种Docker东西向流量入侵防御方法,通过在云环境的各物理主机内部连接容器的网桥上设置钩子,利用钩子截获所有进出容器的东西向流量;对截获的东西向流量进行清洗,判断东西向流量中的报文是否属于恶意流量,若是,则掐断东西向流量的连接,并记录东西向流量清洗日志,由此,能够实现对Docker东西向流量的入侵防御,本实施例所述方法既可以监控跨主机容器之间的流量,也可以监控主机内部的容器之间的流量,并且可以填补目前市面上针对容器之间东西向流量清洗的空白。
进一步地,在上述实施例的基础上,所述步骤S1中的钩子可以为Netfilter钩子。
需要说明的是,Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook(钩子)函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。Netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。
举例来说,本实施例可以选择容器中的数据包经过网桥的路径中的LOCAL_IN这个钩子点来截获所有进出容器的东西向流量。
本实施例利用加入云环境的各物理主机内部连接容器的网桥上的Netfilter钩子,能够截获所有进出容器的东西向流量。
进一步地,在上述实施例的基础上,在所述步骤S3记录东西向流量清洗日志之后,本实施例所述方法还可以包括图中未示出的步骤:
将所述东西向流量清洗日志发送至集中数据处理平台进行可视化展示。
由此,本实施例可以填补目前市面上针对容器之间东西向流量可视化分析的空白。
进一步地,在上述实施例的基础上,本实施例所述步骤S2,可以包括:
对截获的东西向流量中的数据包进行解析,获取MAC(媒体访问控制)地址;
根据所述MAC地址,确定所述MAC地址对应的容器;
将所述MAC地址对应的容器交互的流量截获,并比对CVE(公共漏洞和暴露)规则,判断所述东西向流量中的报文是否属于恶意流量。
由此,本实施例能够实现对所述东西向流量中的报文是否属于恶意流量的判断。
进一步地,在上述实施例的基础上,在所述步骤S2判断所述东西向流量中的报文是否属于恶意流量之后,本实施例所述方法还可以包括图中未示出的步骤:
若判断获知所述东西向流量中的报文不属于恶意流量,则记录东西向流量访问日志。
进一步地,在记录东西向流量访问日志之后,本实施例所述方法还可以包括:
将所述东西向流量访问日志发送至集中数据处理平台进行可视化展示。
本实施例提供的Docker东西向流量入侵防御方法,能够实现对Docker东西向流量的入侵防御,既可以监控跨主机容器之间的流量,也可以监控主机内部的容器之间的流量,并且可以填补目前市面上针对容器之间东西向流量清洗和可视化分析的空白。
图2示出了本发明一实施例提供的一种Docker东西向流量入侵防御装置的结构示意图,如图2所示,本实施例的Docker东西向流量入侵防御装置,包括:截获模块21、引擎模块22;其中:
所述截获模块21,用于在云环境的各物理主机内部连接容器的网桥上设置钩子,利用所述钩子截获所有进出容器的东西向流量;
所述引擎模块22,用于对截获的东西向流量进行清洗,判断所述东西向流量中的报文是否属于恶意流量;若判断获知所述东西向流量中的报文属于恶意流量,则掐断所述东西向流量的连接,并记录东西向流量清洗日志。
具体地,所述截获模块21在云环境的各物理主机内部连接容器的网桥上设置钩子,利用所述钩子截获所有进出容器的东西向流量;所述引擎模块22对截获的东西向流量进行清洗,判断所述东西向流量中的报文是否属于恶意流量;若判断获知所述东西向流量中的报文属于恶意流量,则掐断所述东西向流量的连接,并记录东西向流量清洗日志。
可以理解的是,东西向流量指的是云环境中数据中心内部服务器之间交互的流量,也叫横向流量。
本实施例提供的一种Docker东西向流量入侵防御装置,通过截获模块在云环境的各物理主机内部连接容器的网桥上设置钩子,利用钩子截获所有进出容器的东西向流量,清洗模块对截获的东西向流量进行清洗,判断东西向流量中的报文是否属于恶意流量,掐断模块若判断获知东西向流量中的报文属于恶意流量,则掐断东西向流量的连接,并记录东西向流量清洗日志,由此,能够实现对Docker东西向流量的入侵防御,本实施例既可以监控跨主机容器之间的流量,也可以监控主机内部的容器之间的流量,并且可以填补目前市面上针对容器之间东西向流量清洗的空白。
进一步地,在上述实施例的基础上,本实施例中的钩子可以为Netfilter钩子。
举例来说,本实施例可以选择容器中的数据包经过网桥的路径中的LOCAL_IN这个钩子点来截获所有进出容器的东西向流量。
本实施例利用加入云环境的各物理主机内部连接容器的网桥上的Netfilter钩子,能够截获所有进出容器的东西向流量。
进一步地,在上述实施例的基础上,本实施例所述装置还包括图中未示出的:
第一发送模块,用于将所述东西向流量清洗日志发送至集中数据处理平台进行可视化展示。
由此,本实施例可以填补目前市面上针对容器之间东西向流量可视化分析的空白。
进一步地,在上述实施例的基础上,所述清洗模块22,可具体用于
对截获的东西向流量中的数据包进行解析,获取MAC地址;
根据所述MAC地址,确定所述MAC地址对应的容器;
将所述MAC地址对应的容器交互的流量截获,并比对CVE规则,判断所述东西向流量中的报文是否属于恶意流量。
由此,本实施例所述清洗模块22能够实现对所述东西向流量中的报文是否属于恶意流量的判断。
进一步地,在上述实施例的基础上,本实施例所述装置还可以包括图中未示出的:
记录模块,用于若判断获知所述东西向流量中的报文不属于恶意流量,则记录东西向流量访问日志。
进一步地,本实施例所述装置还可以包括图中未示出的:
第二发送模块,用于将所述东西向流量访问日志发送至集中数据处理平台进行可视化展示。
本实施例提供的Docker东西向流量入侵防御装置,能够实现对Docker东西向流量的入侵防御,既可以监控跨主机容器之间的流量,也可以监控主机内部的容器之间的流量,并且可以填补目前市面上针对容器之间东西向流量清洗和可视化分析的空白。
本实施例的Docker东西向流量入侵防御装置,可以用于执行前述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图3示出了本发明一实施例提供的一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器301、存储器302、总线303及存储在存储器302上并可在处理器301上运行的计算机程序;
其中,所述处理器301和存储器302通过所述总线303完成相互间的通信;
所述处理器301执行所述计算机程序时实现上述方法实施例所提供的方法,例如包括:在云环境的各物理主机内部连接容器的网桥上设置钩子,利用所述钩子截获所有进出容器的东西向流量;对截获的东西向流量进行清洗,判断所述东西向流量中的报文是否属于恶意流量;若判断获知所述东西向流量中的报文属于恶意流量,则掐断所述东西向流量的连接,并记录东西向流量清洗日志。
本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法实施例所提供的方法,例如包括:在云环境的各物理主机内部连接容器的网桥上设置钩子,利用所述钩子截获所有进出容器的东西向流量;对截获的东西向流量进行清洗,判断所述东西向流量中的报文是否属于恶意流量;若判断获知所述东西向流量中的报文属于恶意流量,则掐断所述东西向流量的连接,并记录东西向流量清洗日志。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置/系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
本发明的说明书中,说明了大量具体细节。然而能够理解的是,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面,也不局限于任何单一的实施例,也不局限于这些方面和/或实施例的任意组合和/或置换。而且,可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (12)
1.一种Docker东西向流量入侵防御方法,其特征在于,包括:
在云环境的各物理主机内部连接容器的网桥上设置钩子,利用所述钩子截获所有进出容器的东西向流量;
对截获的东西向流量进行清洗,判断所述东西向流量中的报文是否属于恶意流量;
若判断获知所述东西向流量中的报文属于恶意流量,则掐断所述东西向流量的连接,并记录东西向流量清洗日志;
其中,所述对截获的东西向流量进行清洗,判断所述东西向流量中的报文是否属于恶意流量,包括:
对截获的东西向流量中的数据包进行解析,获取媒体访问控制MAC地址;
根据所述MAC地址,确定所述MAC地址对应的容器;
将所述MAC地址对应的容器交互的流量截获,并比对公开的CVE规则,判断所述东西向流量中的报文是否属于恶意流量。
2.根据权利要求1所述的方法,其特征在于,记录东西向流量清洗日志之后,所述方法还包括:
将所述东西向流量清洗日志发送至集中数据处理平台进行可视化展示。
3.根据权利要求1所述的方法,其特征在于,所述钩子为Netfilter钩子。
4.根据权利要求1所述的方法,其特征在于,在判断所述东西向流量中的报文是否属于恶意流量之后,所述方法还包括:
若判断获知所述东西向流量中的报文不属于恶意流量,则记录东西向流量访问日志。
5.根据权利要求4所述的方法,其特征在于,在记录东西向流量访问日志之后,所述方法还包括:
将所述东西向流量访问日志发送至集中数据处理平台进行可视化展示。
6.一种Docker东西向流量入侵防御装置,其特征在于,包括:
截获模块,用于在云环境的各物理主机内部连接容器的网桥上设置钩子,利用所述钩子截获所有进出容器的东西向流量;
引擎模块,用于对截获的东西向流量进行清洗,判断所述东西向流量中的报文是否属于恶意流量;若判断获知所述东西向流量中的报文属于恶意流量,则掐断所述东西向流量的连接,并记录东西向流量清洗日志;
其中,所述引擎模块,具体用于
对截获的东西向流量中的数据包进行解析,获取媒体访问控制MAC地址;
根据所述MAC地址,确定所述MAC地址对应的容器;
将所述MAC地址对应的容器交互的流量截获,并比对公开的CVE规则,判断所述东西向流量中的报文是否属于恶意流量。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第一发送模块,用于将所述东西向流量清洗日志发送至集中数据处理平台进行可视化展示。
8.根据权利要求6所述的装置,其特征在于,所述钩子为Netfilter钩子。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
记录模块,用于若判断获知所述东西向流量中的报文不属于恶意流量,则记录东西向流量访问日志。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第二发送模块,用于将所述东西向流量访问日志发送至集中数据处理平台进行可视化展示。
11.一种电子设备,其特征在于,包括:处理器、存储器、总线及存储在存储器上并可在第处理器上运行的计算机程序;
其中,所述处理器,存储器通过所述总线完成相互间的通信;
所述处理器执行所述计算机程序时实现如权利要求1-5中任一项所述的方法。
12.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如权利要求1-5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811109057.XA CN109450848B (zh) | 2018-09-21 | 2018-09-21 | 一种Docker东西向流量入侵防御方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811109057.XA CN109450848B (zh) | 2018-09-21 | 2018-09-21 | 一种Docker东西向流量入侵防御方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109450848A CN109450848A (zh) | 2019-03-08 |
| CN109450848B true CN109450848B (zh) | 2021-05-25 |
Family
ID=65531035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811109057.XA Active CN109450848B (zh) | 2018-09-21 | 2018-09-21 | 一种Docker东西向流量入侵防御方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109450848B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114465774B (zh) * | 2021-12-30 | 2024-04-19 | 奇安信科技集团股份有限公司 | 一种网络入侵防御方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105072115A (zh) * | 2015-08-12 | 2015-11-18 | 国家电网公司 | 一种基于Docker虚拟化的信息系统入侵检测方法 |
| CN107454010A (zh) * | 2017-09-25 | 2017-12-08 | 国云科技股份有限公司 | 一种云平台东西流量管控方法 |
| CN107643940A (zh) * | 2017-09-26 | 2018-01-30 | 华为技术有限公司 | 容器创建方法、相关设备及计算机存储介质 |
| CN108139935A (zh) * | 2015-10-23 | 2018-06-08 | 华为技术有限公司 | 业务定义容器的资源约束的扩展 |
| CN108446159A (zh) * | 2017-02-16 | 2018-08-24 | 中标软件有限公司 | 基于Docker容器的移动端双系统实现系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10091238B2 (en) * | 2014-02-11 | 2018-10-02 | Varmour Networks, Inc. | Deception using distributed threat detection |
-
2018
- 2018-09-21 CN CN201811109057.XA patent/CN109450848B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105072115A (zh) * | 2015-08-12 | 2015-11-18 | 国家电网公司 | 一种基于Docker虚拟化的信息系统入侵检测方法 |
| CN108139935A (zh) * | 2015-10-23 | 2018-06-08 | 华为技术有限公司 | 业务定义容器的资源约束的扩展 |
| CN108446159A (zh) * | 2017-02-16 | 2018-08-24 | 中标软件有限公司 | 基于Docker容器的移动端双系统实现系统及方法 |
| CN107454010A (zh) * | 2017-09-25 | 2017-12-08 | 国云科技股份有限公司 | 一种云平台东西流量管控方法 |
| CN107643940A (zh) * | 2017-09-26 | 2018-01-30 | 华为技术有限公司 | 容器创建方法、相关设备及计算机存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于LSM的Docker访问控制机制研究;李平平等;《信息技术》;20161125;第2节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109450848A (zh) | 2019-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3391274B1 (en) | Dual memory introspection for securing multiple network endpoints | |
| EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| US9516054B2 (en) | System and method for cyber threats detection | |
| Roschke et al. | Intrusion detection in the cloud | |
| US10491621B2 (en) | Website security tracking across a network | |
| US20180191779A1 (en) | Flexible Deception Architecture | |
| US8869270B2 (en) | System and method for implementing content and network security inside a chip | |
| US20170264637A1 (en) | Method, Apparatus and System for Processing Attack Behavior of Cloud Application in Cloud Computing System | |
| US10951646B2 (en) | Biology based techniques for handling information security and privacy | |
| CN104023034A (zh) | 一种基于软件定义网络的安全防御系统及防御方法 | |
| US11743161B2 (en) | Container network interface monitoring | |
| CN110798482B (zh) | 基于linux网络过滤器的系统级蜜罐网络隔离系统 | |
| CN109479013A (zh) | 计算机网络中的业务的日志记录 | |
| CN112019545B (zh) | 一种蜜罐网络部署方法、装置、设备及介质 | |
| US11895148B2 (en) | Detection and mitigation of denial of service attacks in distributed networking environments | |
| CN114422255A (zh) | 一种云安全模拟检测系统及检测方法 | |
| CN104486320A (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| RU2739864C1 (ru) | Система и способ корреляции событий для выявления инцидента информационной безопасности | |
| CN109450848B (zh) | 一种Docker东西向流量入侵防御方法及装置 | |
| CN112583841B (zh) | 虚拟机安全防护方法及系统、电子设备和存储介质 | |
| CN109981606A (zh) | 通用串行总线的硬件防火墙检测装置 | |
| Fan et al. | Dynamic hybrid honeypot system based transparent traffic redirection mechanism | |
| CN112202922A (zh) | 信息通信安全访问管理方法、系统及存储介质 | |
| US10320751B2 (en) | DNS server selective block and DNS address modification method using proxy | |
| CN114285660B (zh) | 蜜网部署方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Address before: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Fan Weibo Inventor after: Liu Hao Inventor before: Fan Weibo |
|
| CB03 | Change of inventor or designer information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |