CN113098868B - 一种基于容器的网络安全处理方法和装置 - Google Patents
一种基于容器的网络安全处理方法和装置 Download PDFInfo
- Publication number
- CN113098868B CN113098868B CN202110356295.6A CN202110356295A CN113098868B CN 113098868 B CN113098868 B CN 113098868B CN 202110356295 A CN202110356295 A CN 202110356295A CN 113098868 B CN113098868 B CN 113098868B
- Authority
- CN
- China
- Prior art keywords
- physical server
- container
- address
- idle
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于容器的网络安全处理方法和装置,该方法包括:获取物理服务器上运行的容器的标识信息,并获取容器中运行的服务的网络地址信息,其中,物理服务器上运行了一个或多个容器;运行在物理服务器上的防火墙获取到发生网络攻击;根据网络地址信息判断网络攻击的攻击目标是否为运行在容器中的服务;在判断结果为是的情况下,从物理服务器上获取空闲的IP地址和端口;在预定时间内将发送到容器中的服务的数据包转发到空闲的IP地址和端口。通过本申请解决了对于运行在Docker中的服务遭受到的攻击没有更适应的处理方式所导致的问题,提高了运行在Docker中的服务的安全性。
Description
技术领域
本申请涉及到网络领域,具体而言,涉及一种基于容器的网络安全处理方法和装置。
背景技术
随着技术的发展,出现了容器(Docker)技术,Docker是一种虚拟化技术,构建在LXC(Linux Container)之上的,是一种基于进程容器的轻量级虚拟化解决方案。Docker是以Docker容器为资源分割和调度的基本单位,封装整个软件运行时环境,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上。容器完全使用沙箱机制,不依赖于任何语言、框架包括系统,相互之间不会有任何接口。几乎没有性能开销,可以很容易地在数据中心中运行。
现在很多服务都运行在Docker中。现在的网络安全中防范攻击的方式基本都是针对物理虚拟机的,对于运行在Docker中的服务遭受到的攻击没有更适应的处理方式。
发明内容
本申请实施例提供了一种基于容器的网络安全处理方法和装置,以至少解决对于运行在Docker中的服务遭受到的攻击没有更适应的处理方式所导致的问题。
根据本申请的一个方面,提供了一种基于容器的网络安全处理方法,包括:获取物理服务器上运行的容器的标识信息,并获取所述容器中运行的服务的网络地址信息,其中,所述物理服务器上运行了一个或多个容器;运行在所述物理服务器上的防火墙获取到发生网络攻击;根据所述网络地址信息判断所述网络攻击的攻击目标是否为运行在所述容器中的所述服务;在判断结果为是的情况下,从所述物理服务器上获取空闲的IP地址和端口;在预定时间内将发送到所述容器中的服务的数据包转发到所述空闲的IP地址和端口。
进一步地,还包括:统计所述物理服务器上的所有的IP地址和端口;将所述物理服务器上所有未被使用的IP地址和端口均记录在列表中;将所述列表保存在所述物理服务器上。
进一步地,从所述物理服务器上获取所述空闲IP地址和端口包括:从所述列表上获取空闲的IP地址和端口。
进一步地,在将所述物理服务器上所有未被使用的IP地址和端口均记录在列表中之前,所述方法还包括:向每个IP地址和端口发送Ping命令;在预定时长内未收到回应的IP地址和端口标记为未被使用的IP地址和端口。
根据本申请的另一个方面,还提供了一种基于容器的网络安全处理装置,包括:第一获取模块,用于获取物理服务器上运行的容器的标识信息,并获取所述容器中运行的服务的网络地址信息,其中,所述物理服务器上运行了一个或多个容器;第二获取模块,用于运行在所述物理服务器上的防火墙获取到发生网络攻击;判断模块,用于根据所述网络地址信息判断所述网络攻击的攻击目标是否为运行在所述容器中的所述服务;第三获取模块,用于在判断结果为是的情况下,从所述物理服务器上获取空闲的IP地址和端口;转发模块,用于在预定时间内将发送到所述容器中的服务的数据包转发到所述空闲的IP地址和端口。
进一步地,还包括:统计模块,用于统计所述物理服务器上的所有的IP地址和端口;记录模块,用于将所述物理服务器上所有未被使用的IP地址和端口均记录在列表中;保存模块,用于将所述列表保存在所述物理服务器上。
进一步地,所述第三获取模块,用于从所述列表上获取空闲的IP地址和端口。
进一步地,还包括:发送模块,用于向每个IP地址和端口发送Ping命令;标记模块,用于在预定时长内未收到回应的IP地址和端口标记为未被使用的IP地址和端口。
根据本申请的另一个方面,还提供了一种存储器,用于存储软件,所述软件用于执行上述的方法。
根据本申请的另一个方面,还提供了一种一种处理器,用于存储软件,所述软件用于执行上述的方法。
在本申请实施例中,采用了获取物理服务器上运行的容器的标识信息,并获取所述容器中运行的服务的网络地址信息,其中,所述物理服务器上运行了一个或多个容器;运行在所述物理服务器上的防火墙获取到发生网络攻击;根据所述网络地址信息判断所述网络攻击的攻击目标是否为运行在所述容器中的所述服务;在判断结果为是的情况下,从所述物理服务器上获取空闲的IP地址和端口;在预定时间内将发送到所述容器中的服务的数据包转发到所述空闲的IP地址和端口。通过本申请解决了对于运行在Docker中的服务遭受到的攻击没有更适应的处理方式所导致的问题,提高了运行在Docker中的服务的安全性。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种基于容器的网络安全处理方法的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中,提供了一种基于容器的网络安全处理方法,图1是根据本申请实施例的一种基于容器的网络安全处理方法的流程图,如图1所示,该流程包括如下步骤:
步骤S102,获取物理服务器上运行的容器的标识信息,并获取所述容器中运行的服务的网络地址信息,其中,所述物理服务器上运行了一个或多个容器;
作为一个可选地可以增加的实施方式,可以在所述物理服务器上为每个容器分配硬件资源,其中包括内存的使用、CPU的占用、网络带宽的占用。
步骤S104,运行在所述物理服务器上的防火墙获取到发生网络攻击;
判断攻击的方式有很多:
例如:从因特网接收报文,并判断所述报文的长度是否大于阈值;如果所述报文的长度大于阈值,则将所述长度大于阈值的报文镜像到从处理芯片;根据镜像到所述从处理芯片的所述长度大于阈值的报文的数量和频率判断是否受到攻击。
又例如:检测是否有流量穿越防火墙;若检测到有流量穿越防火墙,则将所述流量导入虚拟机仿真环境;通过监测所述虚拟机仿真环境产生的变化,确定防火墙所在的主机是否受到网络攻击。
又例如,所述物理服务器上设置了一个专门的容器,该容器内运行有判断是否为攻击行为的程序,所述物理服务器上接收到报文均会转发到该容器,该专门的容器对接收到报文进行判断,在判断不为网络攻击的情况下,根据报文的目的地址,将报文转发到对应的容器。该专门的容器还设置有驻留内存的进程,该进程用于与其他容器沟通,该进程按照预定周期发送心跳信号,所述心跳信号用于确定其他容器内的服务是否正常运行。
如果发送心跳信号给第二容器之后,预定时间内未收到响应,则所述专门的容器将之前预定时间段内转发给所述第二容器的数据包保存在所述物理服务器上。所述物理服务器判断这些数据包是否存在攻击行为。
在所述物理服务器的处理器有多核的情况下,所述专门的容器可以单独运行在一个核上,其他容器可以共享其他核。
在所述物理服务器的内存中设置缓存,该缓存用于在所述专门的容器资源被耗尽的情况下,缓存接收到的报文。如果缓存区已满,判断缓存区的报文是否均为到预定目标容器的报文,如果是,则执行步骤S108和步骤S110。
步骤S106,根据所述网络地址信息判断所述网络攻击的攻击目标是否为运行在所述容器中的所述服务;
步骤S108,在判断结果为是的情况下,从所述物理服务器上获取空闲的IP地址和端口;
在获取空闲的IP地址和端口之前,可以计算此次网络攻击的报文发送到所述容器之后,所述容器的资源是否支持处理所有报文,如果支持,则将报文发送至所述容器。如果不支持,则从所述物理服务器上获取空闲的IP地址和端口。
步骤S110,在预定时间内将发送到所述容器中的服务的数据包转发到所述空闲的IP地址和端口。
作为一个可选的可以增加的实施方式,可以通过驻留在所述物理服务器中的一个进程,将转发到空闲IP地址和端口的数据包或者报文进行保存。保存下来的数据包被用来进行虚拟攻击。例如,可以在另一台物理服务器中设置一个与受到攻击的容器相同的第一容器,将保存下来的数据包按照接收时的频率向所述另一台物理服务器中设置的所述第一容器发送。在发送数据包之后,获取所述第一容器内的服务运行的情况下,如果所述服务运行出现异常,则将异常日志发送给管理员。如果所述第一容器内的服务运行正常,则将此次数据包打包成一个集合,并为该集合打上标签,该标签用于指示此次打包的数据包为非网络攻击包。打包好的数据以及标签可以在将来用于机器学习的训练。
通过上述步骤解决了对于运行在Docker中的服务遭受到的攻击没有更适应的处理方式所导致的问题,提高了运行在Docker中的服务的安全性。
优选地,还包括:统计所述物理服务器上的所有的IP地址和端口;将所述物理服务器上所有未被使用的IP地址和端口均记录在列表中;将所述列表保存在所述物理服务器上。
优选地,从所述物理服务器上获取所述空闲IP地址和端口包括:从所述列表上获取空闲的IP地址和端口。
优选地,在将所述物理服务器上所有未被使用的IP地址和端口均记录在列表中之前,所述方法还包括:向每个IP地址和端口发送Ping命令;在预定时长内未收到回应的IP地址和端口标记为未被使用的IP地址和端口。
在本实施例中,提供一种电子装置,包括存储器和处理器,存储器中存储有计算机程序,处理器被设置为运行计算机程序以执行以上实施例中的方法。
该程序也可以理解为一种装置,在本实施例中,提供了一种基于容器的网络安全处理装置,包括:第一获取模块,用于获取物理服务器上运行的容器的标识信息,并获取所述容器中运行的服务的网络地址信息,其中,所述物理服务器上运行了一个或多个容器;第二获取模块,用于运行在所述物理服务器上的防火墙获取到发生网络攻击;判断模块,用于根据所述网络地址信息判断所述网络攻击的攻击目标是否为运行在所述容器中的所述服务;第三获取模块,用于在判断结果为是的情况下,从所述物理服务器上获取空闲的IP地址和端口;转发模块,用于在预定时间内将发送到所述容器中的服务的数据包转发到所述空闲的IP地址和端口。
该装置中的模块与上述实施例中的方法步骤相对应,已经进行过说明的,在此不再赘述。
优选地,还包括:统计模块,用于统计所述物理服务器上的所有的IP地址和端口;记录模块,用于将所述物理服务器上所有未被使用的IP地址和端口均记录在列表中;保存模块,用于将所述列表保存在所述物理服务器上。
优选地,所述第三获取模块,用于从所述列表上获取空闲的IP地址和端口。
优选地,还包括:发送模块,用于向每个IP地址和端口发送Ping命令;标记模块,用于在预定时长内未收到回应的IP地址和端口标记为未被使用的IP地址和端口。
这些计算机程序也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤,对应与不同的步骤可以通过不同的模块来实现。
上述程序可以运行在处理器中,或者也可以存储在存储器中(或称为计算机可读介质),计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (6)
1.一种基于容器的网络安全处理方法,其特征在于,包括:
获取物理服务器上运行的容器的标识信息,并获取所述容器中运行的服务的网络地址信息,其中,所述物理服务器上运行了一个或多个容器;
运行在所述物理服务器上的防火墙获取到发生网络攻击;
根据所述网络地址信息判断所述网络攻击的攻击目标是否为运行在所述容器中的所述服务;
在判断结果为是的情况下,从所述物理服务器上获取空闲的IP地址和端口;
在预定时间内将发送到所述容器中的服务的数据包转发到所述空闲的IP地址和端口。
2.根据权利要求1所述的方法,其特征在于,还包括:
统计所述物理服务器上的所有的IP地址和端口;
将所述物理服务器上所有未被使用的IP地址和端口均记录在列表中;
将所述列表保存在所述物理服务器上。
3.根据权利要求2所述的方法,其特征在于,从所述物理服务器上获取所述空闲IP地址和端口包括:
从所述列表上获取空闲的IP地址和端口。
4.根据权利要求2所述的方法,其特征在于,在将所述物理服务器上所有未被使用的IP地址和端口均记录在列表中之前,所述方法还包括:
向每个IP地址和端口发送Ping命令;
在预定时长内未收到回应的IP地址和端口标记为未被使用的IP地址和端口。
5.一种基于容器的网络安全处理装置,其特征在于,包括:
第一获取模块,用于获取物理服务器上运行的容器的标识信息,并获取所述容器中运行的服务的网络地址信息,其中,所述物理服务器上运行了一个或多个容器;
第二获取模块,用于运行在所述物理服务器上的防火墙获取到发生网络攻击;
判断模块,用于根据所述网络地址信息判断所述网络攻击的攻击目标是否为运行在所述容器中的所述服务;
第三获取模块,用于在判断结果为是的情况下,从所述物理服务器上获取空闲的IP地址和端口;
转发模块,用于在预定时间内将发送到所述容器中的服务的数据包转发到所述空闲的IP地址和端口。
6.根据权利要求5所述的装置,其特征在于,还包括:
统计模块,用于统计所述物理服务器上的所有的IP地址和端口;
记录模块,用于将所述物理服务器上所有未被使用的IP地址和端口均记录在列表中;
保存模块,用于将所述列表保存在所述物理服务器上。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110356295.6A CN113098868B (zh) | 2021-04-01 | 2021-04-01 | 一种基于容器的网络安全处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110356295.6A CN113098868B (zh) | 2021-04-01 | 2021-04-01 | 一种基于容器的网络安全处理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113098868A CN113098868A (zh) | 2021-07-09 |
CN113098868B true CN113098868B (zh) | 2022-03-11 |
Family
ID=76672738
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110356295.6A Active CN113098868B (zh) | 2021-04-01 | 2021-04-01 | 一种基于容器的网络安全处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113098868B (zh) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
US20170134422A1 (en) * | 2014-02-11 | 2017-05-11 | Varmour Networks, Inc. | Deception Techniques Using Policy |
CN112422481B (zh) * | 2019-08-22 | 2021-10-26 | 华为技术有限公司 | 网络威胁的诱捕方法、系统和转发设备 |
CN112134857B (zh) * | 2020-09-07 | 2021-08-27 | 广州锦行网络科技有限公司 | 一种蜜罐系统多个节点绑定一个蜜罐的方法 |
-
2021
- 2021-04-01 CN CN202110356295.6A patent/CN113098868B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN113098868A (zh) | 2021-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113326228B (zh) | 基于远程直接数据存储的报文转发方法、装置及设备 | |
US8856585B2 (en) | Hardware failure mitigation | |
CN109951494B (zh) | 仿真数据处理方法、装置、仿真设备及存储介质 | |
CN113472900B (zh) | 报文处理方法、设备、存储介质及计算机程序产品 | |
CN109560976B (zh) | 一种消息延迟的监控方法及装置 | |
CN109564502B (zh) | 应用于存储设备中的访问请求的处理方法和装置 | |
JP2019523501A (ja) | リスク識別方法、リスク識別装置、クラウドリスク識別装置及びシステム | |
CN113067875A (zh) | 基于微服务网关动态流控的访问方法和装置以及设备 | |
CN114205342A (zh) | 服务调试的路由方法、电子设备、介质及程序产品 | |
US9654491B2 (en) | Network filtering apparatus and filtering method | |
CN108810183B (zh) | 冲突mac地址的处理方法、装置和机器可读存储介质 | |
CN112737945B (zh) | 服务器连接控制方法及装置 | |
CN113098868B (zh) | 一种基于容器的网络安全处理方法和装置 | |
CN117041379B (zh) | 同时监听用户态协议栈和内核态协议栈新建连接的方法及装置 | |
WO2021056715A1 (zh) | 一种服务器的代理监测方法及相关产品 | |
WO2021056716A1 (zh) | 一种云服务质量监控方法及相关产品 | |
CN111770054A (zh) | 一种针对smb协议读请求的交互加速方法与系统 | |
CN115033407A (zh) | 一种适用于云计算的采集识别流量的系统和方法 | |
US11301282B2 (en) | Information protection method and apparatus | |
CN114356593A (zh) | 数据处理方法、装置、网络设备及介质 | |
CN112667359B (zh) | 数据透传方法、电子设备及存储介质 | |
CN114860432A (zh) | 一种内存故障的信息确定方法及装置 | |
CN114095398A (zh) | 探测时延的确定方法、装置、电子设备及存储介质 | |
Dietz et al. | Slipstream: Automatic interprocess communication optimization | |
CN114979236B (zh) | 数据传输方法、装置、存储介质以及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A container-based network security processing method and device Effective date of registration: 20220811 Granted publication date: 20220311 Pledgee: Bank of China Limited by Share Ltd. Guangzhou Haizhu branch Pledgor: Guangzhou Jushi Information Technology Co.,Ltd. Registration number: Y2022440000198 |