CN113608828A - 一种防护方法及其相关设备 - Google Patents
一种防护方法及其相关设备 Download PDFInfo
- Publication number
- CN113608828A CN113608828A CN202110744933.1A CN202110744933A CN113608828A CN 113608828 A CN113608828 A CN 113608828A CN 202110744933 A CN202110744933 A CN 202110744933A CN 113608828 A CN113608828 A CN 113608828A
- Authority
- CN
- China
- Prior art keywords
- executed
- layer
- target
- application layer
- identification result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 101
- 230000008569 process Effects 0.000 claims abstract description 59
- 230000003993 interaction Effects 0.000 claims abstract description 57
- 238000012545 processing Methods 0.000 claims abstract description 34
- 238000002955 isolation Methods 0.000 claims abstract description 21
- 238000012423 maintenance Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 11
- 239000010410 layer Substances 0.000 description 158
- 230000009471 action Effects 0.000 description 39
- 238000005516 engineering process Methods 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 5
- 230000002411 adverse Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 239000012792 core layer Substances 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5011—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals
- G06F9/5016—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals the resource being the memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/50—Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本申请公开了一种防护方法及其相关设备,该方法包括:在内核层获取到待执行操作之后,若确定待执行操作属于第一预设操作类型、待执行操作为容器内进程、待执行操作对应的目标目录为内存中预先存储的待使用挂载目录、且待执行操作对应的目标挂载设备属于宿主机存储设备,则内核层向应用层发送通知信息,以使应用层将待执行操作对应的目标操作对象迁移至隔离区,并依据生成告警信息;应用层将告警信息发送至交互层,以使交互层判断待执行操作是否为正常业务操作,得到待执行操作对应的识别结果,并向应用层发送该识别结果;应用层根据该识别结果确定待执行操作对应的对象处理操作,如此能够有效地提高部署有容器的虚拟机(或者,宿主机)的安全性。
Description
技术领域
本申请涉及云计算技术领域,尤其涉及一种防护方法及其相关设备。
背景技术
随着云计算技术的快速发展,虚拟化技术也逐渐成为热门技术。基于硬件的虚拟化技术,通常是指虚拟机,而基于操作系统的虚拟化技术,通常是指容器。例如:一台硬件服务器可虚拟多台虚拟机,每台虚拟机又可以虚拟化多个容器。
容器的优势在于能够隔离资源,避免相互干扰,因此,很多云用户将业务应用部署在容器上。
然而,在一些情况下,黑客可以借助容器入侵该容器所在的虚拟机(或者,宿主机),如此导致部署有容器的虚拟机(或者,宿主机)的安全性比较低。
发明内容
为了解决现有技术中存在的以上技术问题,本申请提供一种防护方法及其相关设备,能够提高部署有容器的虚拟机(或者,宿主机)的安全性。
为了实现上述目的,本申请实施例提供的技术方案如下:
本申请实施例提供一种防护方法,应用于防护系统,所述防护系统包括内核层、应用层和交互层;所述方法包括:
在所述内核层获取到待执行操作之后,若所述内核层确定所述待执行操作属于第一预设操作类型、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录,则所述内核层确定所述待执行操作对应的目标挂载设备;
若所述内核层确定所述目标挂载设备属于宿主机存储设备,则所述内核层向所述应用层发送通知信息,以使所述应用层将所述待执行操作对应的目标操作对象迁移至隔离区,并依据所述通知信息生成告警信息;
所述应用层将所述告警信息发送至所述交互层,以使所述交互层判断所述待执行操作是否为正常业务操作,得到所述待执行操作对应的识别结果;
在所述应用层接收到所述交互层发送的所述待执行操作对应的识别结果之后,所述应用层根据所述待执行操作对应的识别结果,确定所述待执行操作对应的对象处理操作;其中,所述待执行操作对应的对象处理操作用于对所述待执行操作对应的目标操作对象进行处理。
在一种可能的实施方式中,所述应用层根据所述待执行操作对应的识别结果,确定所述待执行操作对应的对象处理操作,包括:
当所述应用层确定所述待执行操作对应的识别结果表示所述待执行操作为正常业务操作之后,所述应用层将所述待执行操作对应的目标操作对象从所述隔离区迁移至所述待执行操作对应的目标区域;
当所述应用层确定所述待执行操作对应的识别结果表示所述待执行操作不是正常业务操作之后,所述应用层从所述隔离区中删除所述待执行操作对应的目标操作对象。
在一种可能的实施方式中,所述待执行操作对应的识别结果的获取过程,包括:
在所述交互层接收到所述告警信息之后,所述交互层将所述告警信息通过预设方式发送给运维人员,以使所述运维人员依据所述告警信息,确定所述待执行操作是否为正常业务操作;
在所述交互层接收到所述运维人员输入的反馈信息之后,所述交互层根据所述反馈信息,生成所述待执行操作对应的识别结果。
在一种可能的实施方式中,所述待执行操作对应的目标挂载设备的确定过程,包括:
获取所述待执行操作对应的目标操作对象的挂载描述符;
根据所述待执行操作对应的目标操作对象的挂载描述符,确定所述待执行操作对应的目标挂载设备。
在一种可能的实施方式中,所述方法还包括:
在内核层获取到待执行操作之后,所述内核层获取所述待执行操作的进程号命名空间;
所述内核层根据所述待执行操作的进程号命名空间,确定所述待执行操作是否为容器内进程。
在一种可能的实施方式中,所述方法还包括:
若所述内核层确定所述待执行操作属于第二预设操作类型、且确定所述待执行操作为容器内进程,则所述内核层将所述待执行操作对应的挂载目录记录至所述内存中。
本申请实施例还提供了一种防护系统,所述防护系统包括内核层、应用层和交互层;
所述内核层,用于在获取到待执行操作之后,若确定所述待执行操作属于第一预设操作类型、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录,则确定所述待执行操作对应的目标挂载设备;
所述内核层,还用于若确定所述目标挂载设备属于宿主机存储设备,则向应用层发送通知信息,以使所述应用层将所述待执行操作对应的目标操作对象迁移至隔离区,并依据所述通知信息生成告警信息;
所述应用层,用于将所述告警信息发送至交互层,以使所述交互层判断所述待执行操作是否为正常业务操作,得到所述待执行操作对应的识别结果;
所述应用层,还用于在接收到所述交互层发送的所述待执行操作对应的识别结果之后,根据所述待执行操作对应的识别结果,确定所述待执行操作对应的对象处理操作;其中,所述待执行操作对应的对象处理操作用于对所述待执行操作对应的目标操作对象进行处理。
本申请实施例还提供了一种设备,所述设备包括处理器以及存储器:
所述存储器用于存储计算机程序;
所述处理器用于根据所述计算机程序执行本申请实施例提供的防护方法的任一实施方式。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质用于存储计算机程序,所述计算机程序用于执行本申请实施例提供的防护方法的任一实施方式。
本申请实施例还提供了一种计算机程序产品,其特征在于,所述计算机程序产品在终端设备上运行时,使得所述终端设备执行本申请实施例提供的防护方法的任一实施方式。
与现有技术相比,本申请实施例至少具有以下优点:
本申请实施例提供的技术方案中,在所述内核层获取到待执行操作之后,若所述内核层确定所述待执行操作属于第一预设操作类型、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录,则所述内核层确定所述待执行操作对应的目标挂载设备;若所述内核层确定所述目标挂载设备属于宿主机存储设备,则所述内核层向所述应用层发送通知信息,以使所述应用层将所述待执行操作对应的目标操作对象迁移至隔离区,并依据所述通知信息生成告警信息;所述应用层将所述告警信息发送至所述交互层,以使所述交互层判断所述待执行操作是否为正常业务操作,得到所述待执行操作对应的识别结果;在所述应用层接收到所述交互层发送的所述待执行操作对应的识别结果之后,所述应用层根据所述待执行操作对应的识别结果,确定所述待执行操作对应的对象处理操作,以使所述待执行操作对应的对象处理操作用于对所述待执行操作对应的目标操作对象进行处理,如此能够有效地避免非正常业务操作(如,黑客借助容器发起的入侵操作)对虚拟机(或者宿主机)造成的不良影响,从而能够有效地提高部署有容器的虚拟机(或者,宿主机)的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种防护方法的流程图;
图2为本申请实施例提供的挂载动作对应的流程图;
图3为本申请实施例提供的一种容器中数据传递过程的安全防护示意图;
图4为本申请实施例提供的一种防护系统的结构示意图。
具体实施方式
发明人在针对容器的研究中发现,容器上部署的业务应用会将端口曝露在公网,黑客可通过这些端口入侵容器,从而入侵容器所在虚拟机(宿主机),如此导致部署有容器的虚拟机(或者,宿主机)的安全性比较低。
基于上述发现,为了解决背景技术部分的技术问题,本申请实施例提供了一种防护方法,该方法包括:在在所述内核层获取到待执行操作之后,若所述内核层确定所述待执行操作属于第一预设操作类型、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录,则所述内核层确定所述待执行操作对应的目标挂载设备;若所述内核层确定所述目标挂载设备属于宿主机存储设备,则所述内核层向所述应用层发送通知信息,以使所述应用层将所述待执行操作对应的目标操作对象迁移至隔离区,并依据所述通知信息生成告警信息;所述应用层将所述告警信息发送至所述交互层,以使所述交互层判断所述待执行操作是否为正常业务操作,得到所述待执行操作对应的识别结果;在所述应用层接收到所述交互层发送的所述待执行操作对应的识别结果之后,所述应用层根据所述待执行操作对应的识别结果,确定所述待执行操作对应的对象处理操作,以使所述待执行操作对应的对象处理操作用于对所述待执行操作对应的目标操作对象进行处理,如此能够有效地避免非正常业务操作(如,黑客借助容器发起的入侵操作)对虚拟机(或者宿主机)造成的不良影响,从而能够有效地提高部署有容器的虚拟机(或者,宿主机)的安全性。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
方法实施例
参见图1,该图为本申请实施例提供的一种防护方法的流程图。
本申请实施例提供的防护方法,应用于防护系统,而且所述防护方法包括S1-S4:
S1:内核层获取待执行操作。
其中,防护系统包括内核层、应用层和交互层;而且本申请实施例不限定防护系统,例如,该防护系统可以是容器(也就是,虚拟化的操作系统)。
待执行操作是指需要进行执行的系统动作;而且本申请实施例不限定待执行操作,例如,该待执行操作可以是挂载(mount)动作、目录创建动作、目录拷贝动作、文件创建动作或者文件拷贝动作中的任一种。
另外,本申请实施例不限定待执行操作的获取方式,例如,可以通过hook技术进行拦截。
S2:若所述内核层确定所述待执行操作属于第二预设操作类型、且确定所述待执行操作为容器内进程,则所述内核层将所述待执行操作对应的挂载目录记录至所述内存中。
其中,第二预设操作类型可以预先设定,例如,该第二预设操作类型可以包括挂载(mount)动作。可见,上述“待执行操作属于第二预设操作类型”用于表示待执行操作属于挂载(mount)动作。
“待执行操作对应的挂载目录”是指当该待执行操作属于挂载(mount)动作时由该待执行操作携带的挂载目录信息。
另外,本申请实施不限定上述“待执行操作为容器内进程”的确定方式,例如,因容器是通过命名空间(namespace)实现隔离的,使得在创建容器时会创建与宿主机不一致的新的进程号命名空间(nsproxy->pid_ns),以使该容器内的所有进程均是在上述“新的进程号命名空间”下进行工作的。基于此,本申请实施例提供了一种容器内进程的识别过程,其具体可以包括步骤11-步骤12:
步骤11:在内核层获取到待执行操作之后,所述内核层获取所述待执行操作的进程号命名空间。
其中,“待执行操作的进程号命名空间”用于描述该待执行操作所处的工作空间(也就是,当前进程的nsproxy->pid_ns)。
步骤12:所述内核层根据所述待执行操作的进程号命名空间,确定所述待执行操作是否为容器内进程。
本申请实施例中,在获取到待执行操作的进程号命名空间之后,判断该待执行操作的进程号命名空间与宿主机初始进程号命名空间(init_pid_ns)是否一致,若不一致,即可确定该待执行操作为容器内进程。
基于上述步骤11至步骤12的相关内容可知,在获取到待执行操作之后,可以将该待执行操作的进程号命名空间与宿主机初始进程号命名空间(init_pid_ns)进行比较,以便在确定该待执行操作的进程号命名空间与宿主机初始进程号命名空间(init_pid_ns)不一致时,确定该待执行操作为容器内进程。
基于上述S2的相关内容可知,在内核层获取到待执行操作之后,若确定该待执行操作属于挂载(mount)动作,且确定该待执行操作为容器内进程(如图2所示),则可以直接将该待执行操作对应的挂载目录记录至内存中,以便在后续能够基于该内存中记录的挂载目录(如,下文待使用挂载目录)来确定在容器中发起的后续执行动作是否需要向容器所处的虚拟机(或者宿主机)中写入数据。需要说明的是,在图2中“a”是指挂载目录标识。
S3:若所述内核层确定所述待执行操作属于第一预设操作类型、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录,则所述内核层确定所述待执行操作对应的目标挂载设备。
其中,第一预设操作类型可以预先设定,例如,该第一预设操作类型包括目录创建动作、目录拷贝动作、文件创建动作或者文件拷贝动作。可见,上述“待执行操作属于第一预设操作类型”用于表示待执行操作属于目录创建动作、目录拷贝动作、文件创建动作或者文件拷贝动作。
待执行操作对应的目标目录是指当待执行操作属于目录创建动作、目录拷贝动作、文件创建动作或者文件拷贝动作时该待执行操作所针对的目录(也就是是指即将创建(或拷贝)的目录(或文件)所处目录)。
“待使用挂载目录”是指预先记录在内存中的挂载目录;而且,本申请实施例不限定“待使用挂载目录”的记录过程,例如,“待使用挂载目录”的记录过程可以采用上文S2所示的任一实施方式进行实施。
“待执行操作对应的目标挂载设备”是指当待执行操作属于目录创建动作、目录拷贝动作、文件创建动作或者文件拷贝动作时该待执行操作所针对的存储设备(也就是是指用于存储即将创建(或拷贝)的目录(或文件)的存储设备)。
另外,本申请实施例不限定“待执行操作对应的目标挂载设备”的获取方式,例如,在一种可能的实施方式中,其具体可以包括步骤21-步骤22:
步骤21:获取所述待执行操作对应的目标操作对象的挂载描述符。
步骤22:根据所述待执行操作对应的目标操作对象的挂载描述符,确定所述待执行操作对应的目标挂载设备。
基于上述步骤21至步骤22的相关内容可知,若待执行操作属于目录创建动作、目录拷贝动作、文件创建动作或者文件拷贝动作,则在获取到所述待执行操作之后,可以先获取即将创建(或拷贝)的目录(或文件)的挂载描述符;再从该挂载描述符中获取存储设备标识(mnt_devname),确定为该待执行操作对应的目标挂载设备。
基于上述S3的相关内容可知,在内核层获取到待执行操作之后,若确定所述待执行操作属于目录创建动作、目录拷贝动作、文件创建动作或者文件拷贝动作、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录(如图3所示),则可以获取待执行操作对应的目标挂载设备,以便后续能够基于该待执行操作对应的目标挂载设备,确定该待执行操作是否想要向容器所处的虚拟机(或者宿主机)中写入数据。需要说明的是,在图2中“a”是指挂载目录标识。
S4:若所述内核层确定所述目标挂载设备属于宿主机存储设备,则所述内核层向所述应用层发送通知信息,以使所述应用层将所述待执行操作对应的目标操作对象迁移至隔离区,并依据所述通知信息生成告警信息。
其中,通知信息用于表示待执行操作是否想要向容器所处的虚拟机(或者宿主机)中写入数据。
待执行操作对应的目标操作对象是指创建(或拷贝)的目录(或文件)。
告警信息用于提醒待执行操作是否想要向容器所处的虚拟机(或者宿主机)中写入数据;而且,本申请实施例不限定告警信息,例如,该告警信息可以包括发生动作的容器名称、挂载目录名、创建的目录或文件名、操作时间。
基于上述S4的相关内容可知,在内核层确定所述目标挂载设备属于宿主机存储设备之后,该内核层可以将这一信息通知给应用层,以使该应用层能够将即将创建的目录或文件迁移至隔离区,并向交互层发出告警。
S5:所述应用层将所述告警信息发送至所述交互层,以使所述交互层判断所述待执行操作是否为正常业务操作,得到所述待执行操作对应的识别结果。
其中,待执行操作对应的识别结果用于表示该待执行操作是否为正常业务操作。
另外,本申请实施例不限定“待执行操作对应的识别结果”的确定过程,例如,在一种可能的实施方式中,其具体可以包括步骤31-步骤32:
步骤31:在所述交互层接收到所述告警信息之后,所述交互层将所述告警信息通过预设方式发送给运维人员,以使所述运维人员依据所述告警信息,确定所述待执行操作是否为正常业务操作。
其中,预设方式可以预先设定,例如,该预设方式可以包括利用显示屏进行显示的方式、通过短信进行展示的方式、通过邮件进行展示的方式、通过扬声器进行告警的方式中的至少一种。
基于上述步骤31的相关内容可知,在交互层获取到应用层发送的告警信息之后,可以将该告警信息展示给运维人员,以使运维人员能够获知待执行操作的相关信息,从而使得该运维人员能够依据该待执行操作的相关信息,判断该待执行操作是否为正常业务操作,并将判断结果反馈给交互层。
步骤32:在所述交互层接收到所述运维人员输入的反馈信息之后,所述交互层根据所述反馈信息,生成所述待执行操作对应的识别结果。
其中,“反馈信息”是指由运维人员针对“待执行操作是否为正常业务操作”作出的判断结果,以使该“反馈信息”用于表示该待执行操作是否为正常业务操作。
基于上述步骤31至步骤32的相关内容可知,在交互层获取到应用层发送的告警信息之后,可以将该告警信息展示给运维人员,以使该运维人员能够依据该告警信息,判断该待执行操作是否为正常业务操作,并将判断结果反馈给交互层;然后,该交互层能够基于运维人员输入的反馈信息,生成所述待执行操作对应的识别结果,以使该待执行操作对应的识别结果能够准确地表示出该待执行操作是否为正常业务操作。
S6:在所述应用层接收到所述交互层发送的所述待执行操作对应的识别结果之后,所述应用层根据所述待执行操作对应的识别结果,确定所述待执行操作对应的对象处理操作。
其中,“待执行操作对应的对象处理操作”用于对所述待执行操作对应的目标操作对象进行处理。
另外,本申请实施例不限定“待执行操作对应的对象处理操作”的确定过程,例如,在一种可能的实施方式中,其具体可以包括步骤41-步骤42:
步骤41:当所述应用层确定所述待执行操作对应的识别结果表示所述待执行操作为正常业务操作之后,所述应用层将所述待执行操作对应的目标操作对象从所述隔离区迁移至所述待执行操作对应的目标区域。
其中,待执行操作对应的目标区域是指即将创建(或拷贝)的目录(或文件)本应该处于的区域。
基于上述步骤41的相关内容可知,在应用层接收到待执行操作对应的识别结果之后,若确定该待执行操作对应的识别结果表示所述待执行操作为正常业务操作,则可以确定该待执行操作不可能是由黑客发起的用于入侵虚拟机(或者宿主机)的动作,故可以直接将存储于隔离区内的待执行操作对应的目标操作对象迁移至该待执行操作对应的目标区域,以实现该待执行操作的原本目的。
步骤42:当所述应用层确定所述待执行操作对应的识别结果表示所述待执行操作不是正常业务操作之后,所述应用层从所述隔离区中删除所述待执行操作对应的目标操作对象。
本申请实施例中,在应用层接收到待执行操作对应的识别结果之后,若确定该待执行操作对应的识别结果表示所述待执行操作不是正常业务操作,则可以确定该待执行操作很有可能就是由黑客发起的用于入侵虚拟机(或者宿主机)的动作,故为了避免虚拟机(或者,宿主机)的安全性遭到损坏,可以直接从所述隔离区中删除所述待执行操作对应的目标操作对象,以使该待执行操作无法针对虚拟机(或者,宿主机)产生任何影响,如此能够有效地避免非正常业务操作(如,黑客借助容器发起的入侵操作)对虚拟机(或者宿主机)造成的不良影响,从而能够有效地提高部署有容器的虚拟机(或者,宿主机)的安全性。
基于上述S1至S6的相关内容可知,对于本申请实施例提供的防护方法来说,在所述内核层获取到待执行操作之后,若所述内核层确定所述待执行操作属于第一预设操作类型、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录,则所述内核层确定所述待执行操作对应的目标挂载设备;若所述内核层确定所述目标挂载设备属于宿主机存储设备,则所述内核层向所述应用层发送通知信息,以使所述应用层将所述待执行操作对应的目标操作对象迁移至隔离区,并依据所述通知信息生成告警信息;所述应用层将所述告警信息发送至所述交互层,以使所述交互层判断所述待执行操作是否为正常业务操作,得到所述待执行操作对应的识别结果;在所述应用层接收到所述交互层发送的所述待执行操作对应的识别结果之后,所述应用层根据所述待执行操作对应的识别结果,确定所述待执行操作对应的对象处理操作,以使所述待执行操作对应的对象处理操作用于对所述待执行操作对应的目标操作对象进行处理,如此能够有效地避免非正常业务操作(如,黑客借助容器发起的入侵操作)对虚拟机(或者宿主机)造成的不良影响,从而能够有效地提高部署有容器的虚拟机(或者,宿主机)的安全性。
基于上述方法实施例提供的防护方法,本申请实施例还提供了一种防护系统,下面结合附图进行解释和说明。
系统实施例
系统实施例提供的防护系统的技术详情,请参照上述方法实施例。
参见图4,该图为本申请实施例提供的一种防护系统的结构示意图。
本申请实施例提供的防护系统400,包括:内核层、应用层和交互层;
所述内核层,用于在获取到待执行操作之后,若确定所述待执行操作属于第一预设操作类型、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录,则确定所述待执行操作对应的目标挂载设备;
所述内核层,还用于若确定所述目标挂载设备属于宿主机存储设备,则向应用层发送通知信息,以使所述应用层将所述待执行操作对应的目标操作对象迁移至隔离区,并依据所述通知信息生成告警信息;
所述应用层,用于将所述告警信息发送至交互层,以使所述交互层判断所述待执行操作是否为正常业务操作,得到所述待执行操作对应的识别结果;
所述应用层,还用于在接收到所述交互层发送的所述待执行操作对应的识别结果之后,根据所述待执行操作对应的识别结果,确定所述待执行操作对应的对象处理操作;其中,所述待执行操作对应的对象处理操作用于对所述待执行操作对应的目标操作对象进行处理。
在一种可能的实施方式中,所述应用层,具体用于:
当确定所述待执行操作对应的识别结果表示所述待执行操作为正常业务操作之后,所述应用层将所述待执行操作对应的目标操作对象从所述隔离区迁移至所述待执行操作对应的目标区域;
当确定所述待执行操作对应的识别结果表示所述待执行操作不是正常业务操作之后,所述应用层从所述隔离区中删除所述待执行操作对应的目标操作对象。
在一种可能的实施方式中,所述交互层,具体用于:在接收到所述告警信息之后,将所述告警信息通过预设方式发送给运维人员,以使所述运维人员依据所述告警信息,确定所述待执行操作是否为正常业务操作;在接收到所述运维人员输入的反馈信息之后,根据所述反馈信息,生成所述待执行操作对应的识别结果。
在一种可能的实施方式中,所述内核层,还用于获取所述待执行操作对应的目标操作对象的挂载描述符;根据所述待执行操作对应的目标操作对象的挂载描述符,确定所述待执行操作对应的目标挂载设备。
在一种可能的实施方式中,所述内核层,还用于在内核层获取到待执行操作之后,所述内核层获取所述待执行操作的进程号命名空间;所述内核层根据所述待执行操作的进程号命名空间,确定所述待执行操作是否为容器内进程。
在一种可能的实施方式中,所述内核层,还用于若确定所述待执行操作属于第二预设操作类型、且确定所述待执行操作为容器内进程,则将所述待执行操作对应的挂载目录记录至所述内存中。
基于上述防护系统400的相关内容可知,对于防护系统400来说,在所述内核层获取到待执行操作之后,若所述内核层确定所述待执行操作属于第一预设操作类型、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录,则所述内核层确定所述待执行操作对应的目标挂载设备;若所述内核层确定所述目标挂载设备属于宿主机存储设备,则所述内核层向所述应用层发送通知信息,以使所述应用层将所述待执行操作对应的目标操作对象迁移至隔离区,并依据所述通知信息生成告警信息;所述应用层将所述告警信息发送至所述交互层,以使所述交互层判断所述待执行操作是否为正常业务操作,得到所述待执行操作对应的识别结果;在所述应用层接收到所述交互层发送的所述待执行操作对应的识别结果之后,所述应用层根据所述待执行操作对应的识别结果,确定所述待执行操作对应的对象处理操作,以使所述待执行操作对应的对象处理操作用于对所述待执行操作对应的目标操作对象进行处理,如此能够有效地避免非正常业务操作(如,黑客借助容器发起的入侵操作)对虚拟机(或者宿主机)造成的不良影响,从而能够有效地提高部署有容器的虚拟机(或者,宿主机)的安全性。
进一步地,本申请实施例还提供了一种防护设备,包括:处理器、存储器、系统总线;
所述处理器以及所述存储器通过所述系统总线相连;
所述存储器用于存储一个或多个程序,所述一个或多个程序包括指令,所述指令当被所述处理器执行时使所述处理器执行上述防护方法的任一种实现方法。
进一步地,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行上述防护方法的任一种实现方法。
进一步地,本申请实施例还提供了一种计算机程序产品,所述计算机程序产品在终端设备上运行时,使得所述终端设备执行上述防护方法的任一种实现方法。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明。任何熟悉本领域的技术人员,在不脱离本发明技术方案范围情况下,都可利用上述揭示的方法和技术内容对本发明技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本发明技术方案保护的范围内。
Claims (10)
1.一种防护方法,其特征在于,应用于防护系统,所述防护系统包括内核层、应用层和交互层;所述方法包括:
在所述内核层获取到待执行操作之后,若所述内核层确定所述待执行操作属于第一预设操作类型、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录,则所述内核层确定所述待执行操作对应的目标挂载设备;
若所述内核层确定所述目标挂载设备属于宿主机存储设备,则所述内核层向所述应用层发送通知信息,以使所述应用层将所述待执行操作对应的目标操作对象迁移至隔离区,并依据所述通知信息生成告警信息;
所述应用层将所述告警信息发送至所述交互层,以使所述交互层判断所述待执行操作是否为正常业务操作,得到所述待执行操作对应的识别结果;
在所述应用层接收到所述交互层发送的所述待执行操作对应的识别结果之后,所述应用层根据所述待执行操作对应的识别结果,确定所述待执行操作对应的对象处理操作;其中,所述待执行操作对应的对象处理操作用于对所述待执行操作对应的目标操作对象进行处理。
2.根据权利要求1所示的方法,其特征在于,所述应用层根据所述待执行操作对应的识别结果,确定所述待执行操作对应的对象处理操作,包括:
当所述应用层确定所述待执行操作对应的识别结果表示所述待执行操作为正常业务操作之后,所述应用层将所述待执行操作对应的目标操作对象从所述隔离区迁移至所述待执行操作对应的目标区域;
当所述应用层确定所述待执行操作对应的识别结果表示所述待执行操作不是正常业务操作之后,所述应用层从所述隔离区中删除所述待执行操作对应的目标操作对象。
3.根据权利要求1所示的方法,其特征在于,所述待执行操作对应的识别结果的获取过程,包括:
在所述交互层接收到所述告警信息之后,所述交互层将所述告警信息通过预设方式发送给运维人员,以使所述运维人员依据所述告警信息,确定所述待执行操作是否为正常业务操作;
在所述交互层接收到所述运维人员输入的反馈信息之后,所述交互层根据所述反馈信息,生成所述待执行操作对应的识别结果。
4.根据权利要求1所示的方法,其特征在于,所述待执行操作对应的目标挂载设备的确定过程,包括:
获取所述待执行操作对应的目标操作对象的挂载描述符;
根据所述待执行操作对应的目标操作对象的挂载描述符,确定所述待执行操作对应的目标挂载设备。
5.根据权利要求1所示的方法,其特征在于,所述方法还包括:
在内核层获取到待执行操作之后,所述内核层获取所述待执行操作的进程号命名空间;
所述内核层根据所述待执行操作的进程号命名空间,确定所述待执行操作是否为容器内进程。
6.根据权利要求1所示的方法,其特征在于,所述方法还包括:
若所述内核层确定所述待执行操作属于第二预设操作类型、且确定所述待执行操作为容器内进程,则所述内核层将所述待执行操作对应的挂载目录记录至所述内存中。
7.一种防护系统,其特征在于,所述防护系统包括内核层、应用层和交互层;
所述内核层,用于在获取到待执行操作之后,若确定所述待执行操作属于第一预设操作类型、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录,则确定所述待执行操作对应的目标挂载设备;
所述内核层,还用于若确定所述目标挂载设备属于宿主机存储设备,则向应用层发送通知信息,以使所述应用层将所述待执行操作对应的目标操作对象迁移至隔离区,并依据所述通知信息生成告警信息;
所述应用层,用于将所述告警信息发送至交互层,以使所述交互层判断所述待执行操作是否为正常业务操作,得到所述待执行操作对应的识别结果;
所述应用层,还用于在接收到所述交互层发送的所述待执行操作对应的识别结果之后,根据所述待执行操作对应的识别结果,确定所述待执行操作对应的对象处理操作;其中,所述待执行操作对应的对象处理操作用于对所述待执行操作对应的目标操作对象进行处理。
8.一种设备,其特征在于,所述设备包括处理器以及存储器:
所述存储器用于存储计算机程序;
所述处理器用于根据所述计算机程序执行权利要求1-6中任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储计算机程序,所述计算机程序用于执行权利要求1-6中任一项所述的方法。
10.一种计算机程序产品,其特征在于,所述计算机程序产品在终端设备上运行时,使得所述终端设备执行权利要求1至6任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110744933.1A CN113608828B (zh) | 2021-06-30 | 2021-06-30 | 一种防护方法及其相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110744933.1A CN113608828B (zh) | 2021-06-30 | 2021-06-30 | 一种防护方法及其相关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113608828A true CN113608828A (zh) | 2021-11-05 |
CN113608828B CN113608828B (zh) | 2023-07-14 |
Family
ID=78337158
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110744933.1A Active CN113608828B (zh) | 2021-06-30 | 2021-06-30 | 一种防护方法及其相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113608828B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109240802A (zh) * | 2018-09-21 | 2019-01-18 | 北京百度网讯科技有限公司 | 请求处理方法和装置 |
WO2019127191A1 (zh) * | 2017-12-28 | 2019-07-04 | 深圳前海达闼云端智能科技有限公司 | 一种多操作系统共享文件系统的方法、装置和电子设备 |
CN110472413A (zh) * | 2019-07-26 | 2019-11-19 | Oppo广东移动通信有限公司 | 基于jenkins的设备管理方法、装置、存储介质及电子设备 |
CN110956437A (zh) * | 2019-10-17 | 2020-04-03 | 广东电网有限责任公司 | 一种输电线路运维工单编制派发方法及系统 |
-
2021
- 2021-06-30 CN CN202110744933.1A patent/CN113608828B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019127191A1 (zh) * | 2017-12-28 | 2019-07-04 | 深圳前海达闼云端智能科技有限公司 | 一种多操作系统共享文件系统的方法、装置和电子设备 |
CN109240802A (zh) * | 2018-09-21 | 2019-01-18 | 北京百度网讯科技有限公司 | 请求处理方法和装置 |
CN110472413A (zh) * | 2019-07-26 | 2019-11-19 | Oppo广东移动通信有限公司 | 基于jenkins的设备管理方法、装置、存储介质及电子设备 |
CN110956437A (zh) * | 2019-10-17 | 2020-04-03 | 广东电网有限责任公司 | 一种输电线路运维工单编制派发方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113608828B (zh) | 2023-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106528224B (zh) | 一种Docker容器的内容更新方法、服务器及系统 | |
US10148675B1 (en) | Block-level forensics for distributed computing systems | |
CN109445861A (zh) | 系统启动方法、装置、计算机装置及存储介质 | |
CN109598140A (zh) | 一种网页信息的保护方法和装置 | |
CN112732406B (zh) | 一种云平台虚拟机回收方法及计算机设备 | |
CN112613041A (zh) | 容器镜像检测方法和装置、电子设备、存储介质 | |
WO2023065740A1 (zh) | 窗口显示方法、装置、设备和存储介质 | |
CN111221625A (zh) | 文件检测方法、装置及设备 | |
CN114328029B (zh) | 一种应用资源的备份方法、装置、电子设备及存储介质 | |
CN112099904A (zh) | 一种虚拟机的嵌套页表管理方法、装置、处理器芯片及服务器 | |
US20190190933A1 (en) | Behavioral and account fingerprinting | |
US9313218B1 (en) | Systems and methods for providing information identifying the trustworthiness of applications on application distribution platforms | |
CN111597553A (zh) | 病毒查杀中的进程处理方法、装置、设备及存储介质 | |
CN104735069A (zh) | 一种基于安全可信的高可用性计算机集群 | |
CN106612283B (zh) | 一种识别下载文件来源的方法及装置 | |
CN114691445A (zh) | 集群故障处理方法、装置、电子设备及可读存储介质 | |
CN113608828B (zh) | 一种防护方法及其相关设备 | |
CN107918550A (zh) | 一种在Linux系统下审计USB设备历史使用情况的方法 | |
CN115730012A (zh) | 一种数据库脱敏方法及系统 | |
US20160246627A1 (en) | Detecting an interrupted operation associated with a virtual machine | |
US20220084048A1 (en) | Server apparatus, method of controlling server apparatus, computer-readable medium, genuine product determining system, and method of controlling genuine product determining system | |
WO2017129068A1 (zh) | 事件执行方法和装置及系统 | |
US11436319B2 (en) | Automated detection of user device security risks related to process threads and corresponding activity | |
CN107426320A (zh) | 用于Openstack的信息处理方法和信息处理系统 | |
CN114726909A (zh) | 云服务迁移信息处理方法、装置、设备、介质及产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |