CN112153049A - 一种入侵检测方法及装置 - Google Patents
一种入侵检测方法及装置 Download PDFInfo
- Publication number
- CN112153049A CN112153049A CN202011017434.4A CN202011017434A CN112153049A CN 112153049 A CN112153049 A CN 112153049A CN 202011017434 A CN202011017434 A CN 202011017434A CN 112153049 A CN112153049 A CN 112153049A
- Authority
- CN
- China
- Prior art keywords
- service
- message
- container
- agent container
- controlling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开一种入侵检测方法及装置,属于网络安全技术领域,该方法应用于服务网格,服务网格包括多个服务,每个服务包括业务容器和代理容器,该方法包括:控制每个服务中的代理容器截获待进入该服务中的业务容器中的业务报文,控制该代理容器对截获的业务报文进行解析,并控制该代理容器将解析结果与配置的报文拦截规则进行比对,控制该代理容器在确定业务报文与报文拦截规则匹配时对业务报文进行拦截处理,以防止业务报文入侵该服务中的业务容器。这样,将入侵检测的功能集成至服务网格中每个服务的代理容器中,从而使服务网格对网络入侵具有了防御能力。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种入侵检测方法及装置。
背景技术
随着容器技术的不断发展,应用程序设计由传统的单体架构逐渐转变为微服务架构,应用程序部署也从原来的单机部署变成了集群或分布式部署,从而衍生出了许多微服务部署方案。
目前,通过在主流容器编排平台Kubernetes上部署服务网格成为了较为流行的微服务部署方案。服务网格虽然解决了微服务间存在的通信问题,但在复杂多变的网络环境下,由于各种攻击层出不穷,因此,微服务安全也不容忽视。现有的服务网格技术针对网络入侵并不具备相应的防御能力。
发明内容
本申请实施例提供一种入侵检测方法及装置,用以解决现有服务网格技术对网络攻击缺乏防御能力的问题。
第一方面,本申请实施例提供的一种入侵检测方法,应用于服务网格,所述服务网格包括多个服务,每个服务包括业务容器和代理容器,所述方法包括:
控制每个服务中的代理容器截获待进入该服务中的业务容器中的业务报文;
控制所述代理容器对截获的业务报文进行解析;
控制所述代理容器将解析结果与配置的报文拦截规则进行比对;
控制所述代理容器在确定所述业务报文与任一报文拦截规则匹配时对所述业务报文进行拦截处理,以防止所述业务报文入侵所述业务容器。
在一种可能的实施方式中,所述服务网格还包括控制单元,以及根据以下步骤配置各代理容器的报文拦截规则:
控制所述控制单元获取配置文件,所述配置文件中包含有需要拦截的业务报文的特征描述信息;
控制所述控制单元对所述配置文件进行解析,得到报文拦截规则;
控制所述控制单元将所述报文拦截规则发送给各代理容器,以对各代理容器的报文拦截规则进行配置。
在一种可能的实施方式中,所述特征描述信息包括以下信息的任意组合:
有效载荷payload的特征描述信息;网络协议IP的特征描述信息;端口的特征描述信息;统一资源定位器URL的特征描述信息;报文头的特征描述信息。
在一种可能的实施方式中,还包括:
控制每个代理容器在满足设定的报文拦截规则上报条件时,将自身实际使用的报文拦截规则上报给所述控制单元;
控制所述控制单元将每个代理容器实际使用的报文拦截规则与保存的报文拦截规则进行比对;
控制所述控制单元在确定保存的报文拦截规则与任一代理容器实际使用的报文拦截规则不同时,对所述任一代理容器实际使用的报文拦截规则进行更新,使所述任一代理容器实际使用的报文拦截规则与所述控制单元保存的报文拦截规则相同。
第二方面,本申请实施例提供的一种入侵检测装置,应用于服务网格,所述服务网格包括多个服务,每个服务包括业务容器和代理容器,所述装置包括:
截获模块,用于控制每个服务中的代理容器截获待进入该服务中的业务容器中的业务报文;
第一解析模块,用于控制所述代理容器对截获的业务报文进行解析;
第一比对模块,用于控制所述代理容器将解析结果与配置的报文拦截规则进行比对;
拦截模块,用于控制所述代理容器在确定所述业务报文与任一报文拦截规则匹配时对所述业务报文进行拦截处理,以防止所述业务报文入侵所述业务容器。
在一种可能的实施方式中,所述服务网格还包括控制单元,以及所述装置还包括:
获取模块,用于控制所述控制单元获取配置文件,所述配置文件中包含有需要拦截的业务报文的特征描述信息;
第二解析模块,用于控制所述控制单元对所述配置文件进行解析,得到报文拦截规则;
配置模块,用于控制所述控制单元将所述报文拦截规则发送给各代理容器,以对各代理容器的报文拦截规则进行配置。
在一种可能的实施方式中,所述特征描述信息包括以下信息的任意组合:
有效载荷payload的特征描述信息;网络协议IP的特征描述信息;端口的特征描述信息;统一资源定位器URL的特征描述信息;报文头的特征描述信息。
在一种可能的实施方式中,所述装置还包括:
上报模块,用于控制每个代理容器在满足设定的报文拦截规则上报条件时,将自身实际使用的报文拦截规则上报给所述控制单元;
第二比对模块,用于控制所述控制单元将每个代理容器实际使用的报文拦截规则与保存的报文拦截规则进行比对;
更新模块,用于控制所述控制单元在确定保存的报文拦截规则与任一代理容器实际使用的报文拦截规则不同时,对所述任一代理容器实际使用的报文拦截规则进行更新,使所述任一代理容器实际使用的报文拦截规则与所述控制单元保存的报文拦截规则相同。
第三方面,本申请实施例提供的一种电子设备,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中:
存储器存储有可被至少一个处理器执行的指令,该指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述入侵检测方法。
第四方面,本申请实施例提供的一种计算机可读介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述入侵检测方法。
本申请实施例提供的入侵检测方法,应用于服务网格的所有服务中,其中,每个服务包括业务容器和代理容器,具体实施时,可控制每个服务中的代理容器截获待进入该服务中的业务容器中的业务报文,控制该代理容器对截获的业务报文进行解析,并控制该代理容器将解析结果与配置的报文拦截规则进行比对,控制该代理容器在确定业务报文与报文拦截规则匹配时对业务报文进行拦截处理,以防止业务报文入侵该服务中的业务容器。这样,将入侵检测的功能集成至服务网格中每个服务的代理容器中,从而使服务网格对网络入侵具有了防御能力。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的一种服务网格的架构示意图;
图2为本申请实施例提供的一种注入iptables规则后Pod A和Pod B之间的通信流程示意图;
图3为本申请实施例提供的一种入侵检测过滤器的架构示意图;
图4为本申请实施例提供的一种在新创建的Pod资源中自动注入Sidecar容器的流程图;
图5为本申请实施例提供的一种通过控制平面下发安全策略的流程图;
图6为本申请实施例提供的一种入侵检测方法的流程图;
图7为本申请实施例提供的一种入侵检测装置的结构示意图;
图8为本申请实施例提供的一种用于实现入侵检测方法的电子设备的硬件结构示意图。
具体实施方式
为了解决现有服务网格针对网络入侵缺乏防御能力的问题,本申请实施例提供了一种入侵检测方法及装置。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本申请,并不用于限定本申请,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
为了便于理解本申请,本申请涉及的技术术语中:
容器(Container),一种将软件打包成标准化单元,以用于开发、交付和部署的技术。
容器编排工具,一种组织及调度容器的工具,业界目前使用较多的容器编排工具是Kubernetes。
微服务,一种用于构建应用的架构方案,旨在将应用程序拆分为多个核心功能,每个核心功能可称之为一个服务,从而使应用程序具有高度可维护、松散耦合、独立部署的特点。
服务网格,一个基础设施层,主要用于在微服务场景下解决服务间的通信问题,通常实现方式为一组轻量级的网络代理,与应用程序部署在一起,其中,网络代理对应用程序透明。
边车(Sidecar)容器,一种单节点、多容器的应用设计形式。Sidecar主张以额外的容器来扩展或增强主容器,而这个额外容器被称为Sidecar容器。
本申请提供一种入侵检测方法及装置,通过在业务容器旁部署代理容器如Sidecar容器的方式,实现对各业务容器间东西向流量的入侵检测,这种方式可对微服务场景中的未知网络威胁起到有效防护作用。
图1为本申请实施例提供的一种服务网格的架构示意图,服务网格包括数据平面和控制平面,其中,数据平面,用于对待进入业务容器的业务报文进行捕获,并通过Sidecar容器的过滤器对业务报文进行入侵检测;控制平面,用于发现集群资源中新增加的服务、自动在新增加的服务中注入Sidecar容器、下发安全策略(写在配置文件中)并实时地将Sidecar容器的配置信息下发至数据平面。
参见图1,本申请实施例提供的入侵检测方案,包括以下步骤:
1、用户通过Kuberentes下发安全策略,如统一资源定位器(Uniform ResourceLocator,URL)匹配、Header匹配、有效载荷Payload匹配等,至控制平面,控制平面将安全策略下发至数据平面的各Sidecar容器中。
2、发送业务报文到某个业务容器,该业务容器对应的Sidecar容器首先截获该业务报文,并对该业务报文进行解析,然后,将解析结果与配置的安全策略进行匹配,若确定业务报文与任一安全策略匹配时,则不允许业务报文进入该业务容器,此时,可返回访问拒绝(access denied)信息。
3、在确定业务报文与任一安全策略匹配后,可生成一条报文拦截记录,并将报文拦截记录上传至报表系统,以供用户后续查看。
根据以上入侵检测流程,本申请实施例的主要技术点介绍如下:
一、数据平面
1.1Sidecar容器的业务报文获取机制
具体实施时,可采用iptables重定向的方式截获业务报文。在Kubernetes中,每个服务体现为一个Pod资源,每个Pod资源包括一个Sidecar容器和至少一个业务容器。由于在Pod资源中所有容器共享一套网络命名空间,所以在Pod资源对应的yaml文件中加入初始容器(init_container)配置即可实现iptables的自动注入。
init_container镜像的核心是iptables脚本,此iptables脚本用于向网络地址转换(Network Address Translation,NAT)表添加一组iptables规则以实现iptables重定向,iptables规则主要包括四条链(Chains):sidecar_inbound链、sidecar_in_redirect链、sidecar_output链和sidecar_redirect链。这里,每条链是一条业务报文的传输路径,其实质是一个规则清单,每条链中可以有若干规则,当数据包到达一条链时,从该条链的第一条规则开始检查,判断该数据包是否满足该条规则所定义的条件,若满足,则可根据该条规则所定义的处理方式处理该数据包;若不满足,则会继续检查该条链的下一条规则,以此类推。如果该数据包不符合该条链中的任一条规则,则可根据该条链预先定义的默认处理方式来处理该数据包。
具体实施时,在以上四条链上添加的规则分别为:将NAT表的prerouting链接收到的入口业务报文重定向至sidecar_inbound链、将sidecar_inbound链接收到的业务报文重定向至sidecar_in_redirect链的某个指定端口、将NAT表的output链接收到的出口业务报文重定向至sidecar_output链、将sidecar_output链接收到的业务报文重定向至sidecar_redirect链的某个指定端口。在此过程中,可以排除Sidecar容器自身产生的本地报文,以避免死循环,并且,可以设置不必进行截获处理的端口白名单列表。
假设入口业务报文的指定端口为15006,出口业务报文的指定端口为15001,图2为本申请实施例提供的一种注入iptables规则后Pod A和Pod B之间的通信流程示意图。
在图2中,从Pod A出口的业务报文首先经过output链,再通过新添加的sidecar_output链和sidecar_redirect链,最终重定向至Pod A中Sidecar容器的15001端口,该Sidecar容器通过监听15001端口将业务报文路由并转发至目的地址10.40.0.15:8099,即Pod B的访问地址。
进一步地,Pod B收到来自Pod A的入口业务报文后,业务报文首先经过prerouting链,再通过新添加的sidecar_inbound和sidecar_in_redirect链,最终重定向至Pod B中Sidecar容器的15006端口,该Sidecar容器通过监听15006端口将业务报文转发至127.0.0.1:8099所对应的服务。
1.2Sidecar容器的入侵检测机制
具体实施时,Sidecar容器可利用过滤器对截获的业务报文进行入侵检测,图3为本申请实施例提供的一种入侵检测过滤器的架构示意图,该入侵检测过滤器包括http解码器、引擎和规则匹配器,其中:
http解码器,用于接收Sidecar容器拦截的业务报文,对业务报文进行解析,这里,既可以解析业务报文的报文头,也可以解析业务报文的报文体。目前可支持对“authority”、“method”、“path”、“protocol”、“scheme”、“status”、“payload”等字段的解析;
引擎,用于调用规则匹配器将业务报文的解析结果与控制平面下发的安全策略进行比对,并调用策略校验模块分析比对结果,确定是否放行业务报文。其中,规则匹配器包括“URL匹配器”、“载荷匹配器”、“端口匹配器”、“与匹配器”、“或匹配器”、“非匹配器”、“IP匹配器”、“http头匹配器”、“字符串匹配器”。这里,“字符串匹配器”为通用匹配器,通常被其它匹配器调用,且“字符串匹配器”支持正则匹配、模糊匹配和完全匹配。
实际应用中,在设定安全策略时,用户可指定业务报文的源地址和/或目的地址,默认情况下业务报文的源地址和目的地址可以为任何地址,当将业务报文与安全策略进行比对之后,入侵检测过滤器对业务报文可以执行放行操作(即允许业务报文进入业务容器)或禁止操作(即不允许业务报文进入业务容器),其中,当确定业务报文与任一安全策略匹配时,执行禁止操作;当确定业务报文与各安全策略均不匹配时,执行放行操作。
另外,当有多条安全策略一并下发时,还可支持安全策略间“与”、“或”、“非”的关系设定(主要通过与或非过滤器实现)。
二、控制平面
2.1Sidecar容器的自动注入机制
为了在Kubernetes集群中创建新的资源时,将Sidecar容器自动注入到该资源所在的Pod中,本申请实施例中,在Kubernetes中构造Webhook服务,通过Webhook服务与Kubernetes中的mutatingwebhookconfigurations资源协作来完成Sidecar容器的自动注入。
图4为本申请实施例提供的一种在新创建的Pod资源中自动注入Sidecar容器的流程图,该流程包括以下步骤:
1、用户部署mutatingwebhookconfigurations资源至Kubernetes集群;
2、利用Kubernetes中的Kube-manage-controller监听mutatingwebhookconfigurations配置资源中指定命名空间下是否有新创建的Pod资源;
3、若监听到有新的Pod资源被创建,即mutatingwebhookconfigurations配置资源中指定命名空间下的资源有变化,则触发Webhook Server调用“/inject””路由方法,将Sidecar容器注入到新的Pod资源中;
4、将经Webhook Server注入后的Pod资源返回至kube-manage-controller;
5、通过Kubernetes的应用程序接口服务将新创建的Pod资源持久化存入Kubernetes的Etcd中。
2.2控制平面的策略下发功能
由于数据平面中Sidecar容器的数量是随着业务容器的数量的增减而增减的,因此,当用户下发安全策略时,控制平面需要有一种机制可将安全策略实时下发至数据平面的每个Sidecar容器中,并且,当有新的资源被创建或更改时,需支持安全策略热更新。该机制主要依托Sidecar的xDS服务(即Sidecar xDS Server)实现,Sidecar xDS Server提供多种发现服务组件如Route Discovery Service、Cluster Discovery Service、EndpointDiscovery Service、Listener Discovery Service,通过Sidecar xDS Server可以动态发现Route、Cluster、Endpoint、Listener这四项配置的更新,并可通过谷歌远程过程调用(Google Remote Procedure Call,GRPC)或表述性状态传递(Representational StateTransfer,REST)流将发现的配置信息发送至数据平面的每个Sidecar容器中。与此同时,数据平面的每个Sidecar容器也可将自身的配置信息主动推送给Sidecar xDS Server。
图5为本申请实施例提供的一种通过控制平面下发安全策略的流程图,该流程包括以下步骤:
1、用户通过Kubernetes API Server组件创建客户资源定义(CustomResourceDefinition,CRD)资源,即包含下发策略的配置文件;
2、控制平面的发现服务监听到有新的资源被创建,利用翻译引擎将新的资源转化为Sidecar容器配置的格式;
3、存储转换后的配置信息;
4、Sidecar xDS Server从存储模块中获取最新的配置信息下发至数据平面的所有Sidecar容器中,同时,Sidecar容器也主动推送自身的配置信息给Sidecar xDS Server,以保持两者配置信息的同步。
本申请实施例中,构建了基础服务网格平台,通过在服务网格的数据平面添加入侵检测过滤器实现了基本的入侵检测能力,另外,服务网格平台的控制平面也具备策略下发、服务发现、自动注入的机制,从而在微服务场景下可以有效的对东西向流量的异常攻击进行有效防护。
现有技术中,是对业务系统的南北向流量进行入侵检测,且入侵检测系统(Intrusion Detection Systems,IDS)部署在业务系统的上游。而本申请实施例主要针对微服务场景,该场景下入侵检测是通过Sidecar容器实现的,Sidecar容器实际为代理容器,代理容器以非侵入式的方式部署在业务容器旁,且对业务容器透明,其解决的是业务系统东西向流量的安全问题,与传统的入侵检测防护位置是不同的。
并且,现有技术中,入侵检测的防护范围是整个业务系统,相当于在攻击到达业务系统之前提供了一道屏障,一旦这道屏障被绕过或被攻击,整个业务系统便会沦陷。而本申请实施例中,入侵检测能力覆盖每个服务,入侵检测防护粒度为服务,服务之间根据不同策略相互隔离,即便其中一个服务因被攻击而导致沦陷,也不会直接影响到其它服务的入侵检测,入侵检测的灵活性更高。
另外,现有技术中,入侵检测设备需要定期更新核心引擎以扩充自身的安全能力,而当更新频率较高时,安全能力的部署是一件相对麻烦的事。而本申请实施例中,采用Sidecar容器技术进行入侵检测,其核心技术体现为代理中的入侵检测过滤器,每个过滤器均有各自的功能,入侵检测能力即是通过构造Sidecar容器中的过滤器实现,由于Sidecar架构设计的天然优势,安全能力的扩充体现为在Sidecar容器中增加一个个可高度维护的过滤器,利于安全能力快速固化,即安全能力的部署比较简单。
本申请实施例提供的入侵检测方案可以部署在一个设备上,也可以分散部署在多个设备上。图6为本申请实施例提供的一种入侵检测方法的流程图,该方法应用于服务网格,服务网格包括多个服务,每个服务包括业务容器和代理容器,该流程包括以下步骤:
S601:控制每个服务中的代理容器截获待进入该服务中的业务容器中的业务报文。
其中,代理容器可以为Sidecar容器。
该步骤的实施可以参见上述Sidecar容器的流量截取机制部分的介绍,在此不再赘述。
S602:控制代理容器对截获的业务报文进行解析。
具体实施时,可以控制代理容器对截获的业务报文的报文头和报文体分别进行解析,从而获得业务报文的报文头信息和报文体信息。
S603:控制代理容器将解析结果与配置的报文拦截规则进行比对。
实际应用中,服务网格还包括控制单元(可实现服务网格控制平面中所有模块的功能),以及,具体实施时,可以根据以下步骤配置各代理容器的报文拦截规则:
控制控制单元获取配置文件,该配置文件中包含有需要拦截的业务报文的特征描述信息,然后,控制控制单元对配置文件进行解析,得到报文拦截规则,控制控制单元将报文拦截规则发送给各代理容器,以对各代理容器的报文拦截规则进行配置。
其中,业务报文的特征描述信息包括以下信息的任意组合:
有效载荷payload的特征描述信息;网络协议IP的特征描述信息;端口的特征描述信息;统一资源定位器URL的特征描述信息;报文头的特征描述信息。
这样,用户在配置文件中写入需要拦截的业务报文的特征描述信息,就可配置各代理容器的报文拦截规则,配置方式比较简单,可提升用户体验。
具体实施时,若某条报文拦截规则仅对应报文头特征,则将业务报文的解析结果与配置的报文拦截规则进行比对,即是将业务报文的报文头与该条报文拦截规则对应的报文头特征进行比对,此时,只要业务报文的报文头与该条报文拦截规则对应的报文头特征匹配,就确定业务报文与该条报文拦截规则匹配。
若某条报文拦截规则仅对应报文体特征,则将业务报文的解析结果与配置的报文拦截规则进行比对,即是将业务报文的报文体与该条报文拦截规则对应的报文体特征进行比对,此时,只要业务报文的报文体与该条报文拦截规则对应的报文体特征匹配,就确定业务报文与该条报文拦截规则匹配。
若某条报文拦截规则对应报文头特征和报文体特征,则将业务报文的解析结果与配置的报文拦截规则进行比对,即是将业务报文的报文头与该条报文拦截规则对应的报文头特征进行比对,并将业务报文的报文体与该条报文拦截规则对应的报文体特征进行比对,此时,业务报文的报文体与该条报文拦截规则对应的报文体特征匹配、且业务报文的报文头与该条报文拦截规则对应的报文头特征匹配,才确定业务报文与该条报文拦截规则匹配。
S604:控制代理容器在确定业务报文与任一报文拦截规则匹配时对业务报文进行拦截处理,以防止业务报文入侵该服务中的业务容器。
其中,拦截处理可以是丢弃业务报文。
具体实施时,代理容器是随着业务容器的数量的变化而变化的,为了方便管理代理容器,还可控制每个代理容器在满足设定的报文拦截规则上报条件时,将自身实际使用的报文拦截规则上报给控制单元,然后,控制控制单元将每个代理容器实际使用的报文拦截规则与保存的报文拦截规则进行比对,并控制单元在确定保存的报文拦截规则与任一代理容器实际使用的报文拦截规则不同时,对该任一代理容器实际使用的报文拦截规则进行更新,以使该任一代理容器实际使用的报文拦截规则与控制单元保存的报文拦截规则相同,其中,设定的报文拦截规则上报条件如上报周期。
当本申请实施例中提供的方法以软件或硬件或软硬件结合实现的时候,电子设备中可以包括多个功能模块,每个功能模块可以包括软件、硬件或其结合。
图7为本申请实施例提供的一种入侵检测装置的结构示意图,应用于服务网格,服务网格包括多个服务,每个服务包括业务容器和代理容器,该装置包括截获模块701、第一解析模块702、第一比对模块703和拦截模块704。
截获模块701,用于控制每个服务中的代理容器截获待进入该服务中的业务容器中的业务报文;
第一解析模块702,用于控制所述代理容器对截获的业务报文进行解析;
第一比对模块703,用于控制所述代理容器将解析结果与配置的报文拦截规则进行比对;
拦截模块704,用于控制所述代理容器在确定所述业务报文与任一报文拦截规则匹配时对所述业务报文进行拦截处理,以防止所述业务报文入侵所述业务容器。
在一种可能的实施方式中,所述服务网格还包括控制单元,以及所述装置还包括:
获取模块705,用于控制所述控制单元获取配置文件,所述配置文件中包含有需要拦截的业务报文的特征描述信息;
第二解析模块706,用于控制所述控制单元对所述配置文件进行解析,得到报文拦截规则;
配置模块707,用于控制所述控制单元将所述报文拦截规则发送给各代理容器,以对各代理容器的报文拦截规则进行配置。
在一种可能的实施方式中,所述特征描述信息包括以下信息的任意组合:
有效载荷payload的特征描述信息;网络协议IP的特征描述信息;端口的特征描述信息;统一资源定位器URL的特征描述信息;报文头的特征描述信息。
在一种可能的实施方式中,所述装置还包括:
上报模块708,用于控制每个代理容器在满足设定的报文拦截规则上报条件时,将自身实际使用的报文拦截规则上报给所述控制单元;
第二比对模块709,用于控制所述控制单元将每个代理容器实际使用的报文拦截规则与保存的报文拦截规则进行比对;
更新模块710,用于控制所述控制单元在确定保存的报文拦截规则与任一代理容器实际使用的报文拦截规则不同时,对所述任一代理容器实际使用的报文拦截规则进行更新,使所述任一代理容器实际使用的报文拦截规则与所述控制单元保存的报文拦截规则相同。
本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。各个模块相互之间的耦合可以是通过一些接口实现,这些接口通常是电性通信接口,但是也不排除可能是机械接口或其它的形式接口。因此,作为分离部件说明的模块可以是或者也可以不是物理上分开的,既可以位于一个地方,也可以分布到同一个或不同设备的不同位置上。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
图8为本申请实施例提供的一种电子设备的结构示意图,该电子设备包括收发器801以及处理器802等物理器件,其中,处理器802可以是一个中央处理单元(CentralProcessing Unit,CPU)、微处理器、专用集成电路、可编程逻辑电路、大规模集成电路、或者为数字处理单元等等。收发器801用于电子设备和其他设备进行数据收发。
该电子设备还可以包括存储器803用于存储处理器802执行的软件指令,当然还可以存储电子设备需要的一些其他数据,如电子设备的标识信息、电子设备的加密信息、用户数据等。存储器803可以是易失性存储器(Volatile Memory),例如随机存取存储器(Random-Access Memory,RAM);存储器803也可以是非易失性存储器(Non-VolatileMemory),例如只读存储器(Read-Only Memory,Rom),快闪存储器(Flash Memory),硬盘(Hard Disk Drive,Hdd)或固态硬盘(Solid-State Drive,SSD)、或者存储器803是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器803可以是上述存储器的组合。
本申请实施例中不限定上述处理器802、存储器803以及收发器801之间的具体连接介质。本申请实施例在图8中仅以存储器803、处理器802以及收发器801之间通过总线804连接为例进行说明,总线在图8中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器802可以是专用硬件或运行软件的处理器,当处理器802可以运行软件时,处理器802读取存储器803存储的软件指令,并在所述软件指令的驱动下,执行前述实施例中涉及的入侵检测方法。
本申请实施例还提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行前述实施例中涉及的入侵检测方法。
在一些可能的实施方式中,本申请提供的入侵检测方法的各个方面还可以实现为一种程序产品的形式,所述程序产品中包括有程序代码,当所述程序产品在电子设备上运行时,所述程序代码用于使所述电子设备执行前述实施例中涉及的入侵检测方法。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请实施例中用于入侵检测的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算设备上运行。然而,本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络包括局域网(LAN)或广域网(WAN)连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种入侵检测方法,应用于服务网格,其特征在于,所述服务网格包括多个服务,每个服务包括业务容器和代理容器,所述方法包括:
控制每个服务中的代理容器截获待进入该服务中的业务容器中的业务报文;
控制所述代理容器对截获的业务报文进行解析;
控制所述代理容器将解析结果与配置的报文拦截规则进行比对;
控制所述代理容器在确定所述业务报文与任一报文拦截规则匹配时对所述业务报文进行拦截处理,以防止所述业务报文入侵所述业务容器。
2.如权利要求1所述的方法,其特征在于,所述服务网格还包括控制单元,以及根据以下步骤配置各代理容器的报文拦截规则:
控制所述控制单元获取配置文件,所述配置文件中包含有需要拦截的业务报文的特征描述信息;
控制所述控制单元对所述配置文件进行解析,得到报文拦截规则;
控制所述控制单元将所述报文拦截规则发送给各代理容器,以对各代理容器的报文拦截规则进行配置。
3.如权利要求2所述的方法,其特征在于,所述特征描述信息包括以下信息的任意组合:
有效载荷payload的特征描述信息;网络协议IP的特征描述信息;端口的特征描述信息;统一资源定位器URL的特征描述信息;报文头的特征描述信息。
4.如权利要求2所述的方法,其特征在于,还包括:
控制每个代理容器在满足设定的报文拦截规则上报条件时,将自身实际使用的报文拦截规则上报给所述控制单元;
控制所述控制单元将每个代理容器实际使用的报文拦截规则与保存的报文拦截规则进行比对;
控制所述控制单元在确定保存的报文拦截规则与任一代理容器实际使用的报文拦截规则不同时,对所述任一代理容器实际使用的报文拦截规则进行更新,使所述任一代理容器实际使用的报文拦截规则与所述控制单元保存的报文拦截规则相同。
5.一种入侵检测装置,应用于服务网格,其特征在于,所述服务网格包括多个服务,每个服务包括业务容器和代理容器,所述装置包括:
截获模块,用于控制每个服务中的代理容器截获待进入该服务中的业务容器中的业务报文;
第一解析模块,用于控制所述代理容器对截获的业务报文进行解析;
第一比对模块,用于控制所述代理容器将解析结果与配置的报文拦截规则进行比对;
拦截模块,用于控制所述代理容器在确定所述业务报文与任一报文拦截规则匹配时对所述业务报文进行拦截处理,以防止所述业务报文入侵所述业务容器。
6.如权利要求5所述的装置,其特征在于,所述服务网格还包括控制单元,以及所述装置还包括:
获取模块,用于控制所述控制单元获取配置文件,所述配置文件中包含有需要拦截的业务报文的特征描述信息;
第二解析模块,用于控制所述控制单元对所述配置文件进行解析,得到报文拦截规则;
配置模块,用于控制所述控制单元将所述报文拦截规则发送给各代理容器,以对各代理容器的报文拦截规则进行配置。
7.如权利要求6所述的装置,其特征在于,所述特征描述信息包括以下信息的任意组合:
有效载荷payload的特征描述信息;网络协议IP的特征描述信息;端口的特征描述信息;统一资源定位器URL的特征描述信息;报文头的特征描述信息。
8.如权利要求6所述的装置,其特征在于,所述装置还包括:
上报模块,用于控制每个代理容器在满足设定的报文拦截规则上报条件时,将自身实际使用的报文拦截规则上报给所述控制单元;
第二比对模块,用于控制所述控制单元将每个代理容器实际使用的报文拦截规则与保存的报文拦截规则进行比对;
更新模块,用于控制所述控制单元在确定保存的报文拦截规则与任一代理容器实际使用的报文拦截规则不同时,对所述任一代理容器实际使用的报文拦截规则进行更新,使所述任一代理容器实际使用的报文拦截规则与所述控制单元保存的报文拦截规则相同。
9.一种电子设备,其特征在于,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中:
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-4任一所述的方法。
10.一种计算机可读介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令用于执行如权利要求1-4任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011017434.4A CN112153049B (zh) | 2020-09-24 | 2020-09-24 | 入侵检测方法、装置,电子设备和计算机可读介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011017434.4A CN112153049B (zh) | 2020-09-24 | 2020-09-24 | 入侵检测方法、装置,电子设备和计算机可读介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112153049A true CN112153049A (zh) | 2020-12-29 |
CN112153049B CN112153049B (zh) | 2023-01-17 |
Family
ID=73896716
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011017434.4A Active CN112153049B (zh) | 2020-09-24 | 2020-09-24 | 入侵检测方法、装置,电子设备和计算机可读介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112153049B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112929230A (zh) * | 2021-01-22 | 2021-06-08 | 中信银行股份有限公司 | 测试处理方法、装置、电子设备及计算机可读存储介质 |
CN112988223A (zh) * | 2021-03-25 | 2021-06-18 | 北京百度网讯科技有限公司 | 框架集成方法、装置、电子设备及存储介质 |
CN113194029A (zh) * | 2021-05-08 | 2021-07-30 | 上海道客网络科技有限公司 | 自动识别和隔离服务网格边车故障的方法、系统、介质和设备 |
CN113452702A (zh) * | 2021-06-28 | 2021-09-28 | 中国光大银行股份有限公司 | 一种微服务流量检测系统和方法 |
CN113794705A (zh) * | 2021-09-02 | 2021-12-14 | 百融至信(北京)征信有限公司 | 基于TTL的多header链路灰度发布方法及系统 |
CN114338160A (zh) * | 2021-12-29 | 2022-04-12 | 中软信息系统工程有限公司 | 一种程序访问控制方法、装置、电子设备及存储介质 |
CN114465774A (zh) * | 2021-12-30 | 2022-05-10 | 奇安信科技集团股份有限公司 | 一种网络入侵防御方法及装置 |
CN114546598A (zh) * | 2022-02-25 | 2022-05-27 | 北京小佑网络科技有限公司 | 一种容器内进程、文件和网络访问控制方法 |
CN115277244A (zh) * | 2022-08-05 | 2022-11-01 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测系统及方法 |
CN115801569A (zh) * | 2023-02-07 | 2023-03-14 | 苏州浪潮智能科技有限公司 | 一种访问规则部署方法、装置、设备、介质及云平台 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790291A (zh) * | 2017-03-09 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 一种入侵检测提示方法及装置 |
CN108737224A (zh) * | 2017-09-28 | 2018-11-02 | 新华三技术有限公司 | 一种基于微服务架构的报文处理方法和装置 |
US10146936B1 (en) * | 2015-11-12 | 2018-12-04 | EMC IP Holding Company LLC | Intrusion detection for storage resources provisioned to containers in multi-tenant environments |
CN111679888A (zh) * | 2020-06-04 | 2020-09-18 | 深圳前海微众银行股份有限公司 | 一种代理容器的部署方法及装置 |
-
2020
- 2020-09-24 CN CN202011017434.4A patent/CN112153049B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10146936B1 (en) * | 2015-11-12 | 2018-12-04 | EMC IP Holding Company LLC | Intrusion detection for storage resources provisioned to containers in multi-tenant environments |
CN106790291A (zh) * | 2017-03-09 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 一种入侵检测提示方法及装置 |
CN108737224A (zh) * | 2017-09-28 | 2018-11-02 | 新华三技术有限公司 | 一种基于微服务架构的报文处理方法和装置 |
CN111679888A (zh) * | 2020-06-04 | 2020-09-18 | 深圳前海微众银行股份有限公司 | 一种代理容器的部署方法及装置 |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112929230B (zh) * | 2021-01-22 | 2022-09-06 | 中信银行股份有限公司 | 测试处理方法、装置、电子设备及计算机可读存储介质 |
CN112929230A (zh) * | 2021-01-22 | 2021-06-08 | 中信银行股份有限公司 | 测试处理方法、装置、电子设备及计算机可读存储介质 |
CN112988223A (zh) * | 2021-03-25 | 2021-06-18 | 北京百度网讯科技有限公司 | 框架集成方法、装置、电子设备及存储介质 |
CN112988223B (zh) * | 2021-03-25 | 2023-08-04 | 北京百度网讯科技有限公司 | 框架集成方法、装置、电子设备及存储介质 |
CN113194029A (zh) * | 2021-05-08 | 2021-07-30 | 上海道客网络科技有限公司 | 自动识别和隔离服务网格边车故障的方法、系统、介质和设备 |
CN113452702A (zh) * | 2021-06-28 | 2021-09-28 | 中国光大银行股份有限公司 | 一种微服务流量检测系统和方法 |
CN113452702B (zh) * | 2021-06-28 | 2023-02-24 | 中国光大银行股份有限公司 | 一种微服务流量检测系统和方法 |
CN113794705A (zh) * | 2021-09-02 | 2021-12-14 | 百融至信(北京)征信有限公司 | 基于TTL的多header链路灰度发布方法及系统 |
CN113794705B (zh) * | 2021-09-02 | 2023-08-04 | 百融至信(北京)科技有限公司 | 基于TTL的多header链路灰度发布方法及系统 |
CN114338160A (zh) * | 2021-12-29 | 2022-04-12 | 中软信息系统工程有限公司 | 一种程序访问控制方法、装置、电子设备及存储介质 |
CN114465774A (zh) * | 2021-12-30 | 2022-05-10 | 奇安信科技集团股份有限公司 | 一种网络入侵防御方法及装置 |
CN114465774B (zh) * | 2021-12-30 | 2024-04-19 | 奇安信科技集团股份有限公司 | 一种网络入侵防御方法及装置 |
CN114546598A (zh) * | 2022-02-25 | 2022-05-27 | 北京小佑网络科技有限公司 | 一种容器内进程、文件和网络访问控制方法 |
CN114546598B (zh) * | 2022-02-25 | 2022-10-21 | 北京小佑网络科技有限公司 | 一种容器内进程、文件和网络访问控制方法 |
CN115277244A (zh) * | 2022-08-05 | 2022-11-01 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测系统及方法 |
CN115277244B (zh) * | 2022-08-05 | 2023-07-25 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测系统及方法 |
CN115801569A (zh) * | 2023-02-07 | 2023-03-14 | 苏州浪潮智能科技有限公司 | 一种访问规则部署方法、装置、设备、介质及云平台 |
WO2024164540A1 (zh) * | 2023-02-07 | 2024-08-15 | 苏州元脑智能科技有限公司 | 一种访问规则部署方法、装置、设备、非易失性可读存储介质及云平台 |
Also Published As
Publication number | Publication date |
---|---|
CN112153049B (zh) | 2023-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112153049B (zh) | 入侵检测方法、装置,电子设备和计算机可读介质 | |
EP3494682B1 (en) | Security-on-demand architecture | |
US10484334B1 (en) | Distributed firewall security system that extends across different cloud computing networks | |
US10382401B1 (en) | Cloud over IP for enterprise hybrid cloud network and security | |
CN108471397B (zh) | 防火墙配置、报文发送方法和装置 | |
US11190550B1 (en) | Synthetic request injection to improve object security posture for cloud security enforcement | |
US9491189B2 (en) | Revival and redirection of blocked connections for intention inspection in computer networks | |
Salva-Garcia et al. | 5G NB‐IoT: Efficient Network Traffic Filtering for Multitenant IoT Cellular Networks | |
US9654445B2 (en) | Network traffic filtering and routing for threat analysis | |
JP2022545040A (ja) | エンドツーエンドで安全な専用の第5世代電気通信を提供するための方法、システム、キット、及び装置 | |
US20170374032A1 (en) | Autonomic Protection of Critical Network Applications Using Deception Techniques | |
Ubale et al. | Survey on DDoS attack techniques and solutions in software-defined network | |
US20160191600A1 (en) | Methods and systems for an end-to-end solution to deliver content in a network | |
US10904288B2 (en) | Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation | |
US10735453B2 (en) | Network traffic filtering and routing for threat analysis | |
US20220247761A1 (en) | Dynamic routing of access request streams in a unified policy enforcement system | |
US20220247785A1 (en) | Unified system for detecting policy enforcement issues in a cloud-based environment | |
Bremler-Barr et al. | Openbox: Enabling innovation in middlebox applications | |
WO2016109297A1 (en) | Methods and systems for an end-to-end solution to deliver content in a network | |
Li et al. | SDN-based stateful firewall for cloud | |
US20220255898A1 (en) | Systems and methods for monitoring and securing networks using a shared buffer | |
CN112350939B (zh) | 旁路阻断方法、系统、装置、计算机设备及存储介质 | |
US11930045B1 (en) | Secure network access from sandboxed applications | |
CN115580457A (zh) | 云计算平台的蜜罐系统以及云端访问处理方法和装置 | |
CN113452663B (zh) | 基于应用特征的网络业务控制 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |