CN113872954B - 一种数据流量检测的方法 - Google Patents

一种数据流量检测的方法 Download PDF

Info

Publication number
CN113872954B
CN113872954B CN202111114502.3A CN202111114502A CN113872954B CN 113872954 B CN113872954 B CN 113872954B CN 202111114502 A CN202111114502 A CN 202111114502A CN 113872954 B CN113872954 B CN 113872954B
Authority
CN
China
Prior art keywords
container
detection
data
containers
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111114502.3A
Other languages
English (en)
Other versions
CN113872954A (zh
Inventor
凌杰
张晓峰
李亿伦
杜霖
张万兴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhou Lvmeng Chengdu Technology Co ltd
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
Shenzhou Lvmeng Chengdu Technology Co ltd
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhou Lvmeng Chengdu Technology Co ltd, Nsfocus Technologies Inc, Nsfocus Technologies Group Co Ltd filed Critical Shenzhou Lvmeng Chengdu Technology Co ltd
Priority to CN202111114502.3A priority Critical patent/CN113872954B/zh
Publication of CN113872954A publication Critical patent/CN113872954A/zh
Application granted granted Critical
Publication of CN113872954B publication Critical patent/CN113872954B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种数据流量检测的方法、装置及电子设备,该方法包括:在业务容器集群中筛选出具有预设容器特征的N个防护容器,分别获取N个防护容器对应的数据流量,得到N份数据流量,将N份数据流量通过代理程序分发到对应的检测容器进行异常流量检测。通过上述的方法,在业务容器集群中筛选出N个防护容器,精确定位了需要进行异常流量检测的防护容器,将防护容器中的数据流量分发至检测容器中进行异常流量检测,保证了每一份数据流量都能分发到对应的检测容器上,避免了将业务容器集群中的所有数据容器中的数据流量分发至一台检测容器进行异常流量检测,减少了检测容器的检测工作量,达到了检测容器负载均衡的目的,解决了检测容器运行缓慢的问题。

Description

一种数据流量检测的方法
技术领域
本申请涉及网络安全技术领域,尤其涉及一种数据流量检测的方法、装置及电子设备。
背景技术
在容器云场景中,存在数据容器与外部通信系统的数据流量,同时,在业务容器集群中也存在数据容器与数据容器之间的数据流量,在攻击者需要攻击数据容器中的数据流量时,攻击者的攻击手段往往是先通过攻击数据容器与外部通信系统之间的数据流量入侵到数据容器,然后通过数据容器与数据容器之间的数据流量攻击其他的数据容器。
目前,为了防止数据容器中的数据流量被攻击,采用的是将所有数据容器中的数据流量镜像到一台检测容器上进行异常流量检测,由于没有对数据流量进行筛选,大量不用检测的数据流量也镜像到检测容器上,造成检测容器的检测量过大,导致检测容器运行缓慢。
发明内容
本申请提供一种数据流量检测的方法、装置及电子设备,通过预设容器特征在业务容器集群中筛选出需要防护的数据容器作为防护容器,将防护容器的数据流量发送至检测容器进行异常流量检测,精确筛选出防护容器,减少了检测容器的检测工作量,解决了检测容器运行缓慢的问题。
第一方面,本申请提供了一种数据流量检测的方法,所述方法包括:
在业务容器集群中筛选出具有预设容器特征的N个防护容器,其中,N为大于等于1的整数;
分别获取所述N个防护容器对应的数据流量,得到N份数据流量;
将所述N份数据流量通过代理程序分发到对应的检测容器进行异常流量检测。
通过上述描述的方法,通过预设容器特征在业务容器集群中筛选出防护容器,再将防护容器的数据流量分发至检测容器,保证了检测容器中的数据流量都为需要进行异常流量检测的数据流量,减少了检测容器的检测工作量,提高了检测容器的效率,解决了检测容器运行缓慢的问题。
在一种可能的设计中,在业务容器集群中筛选出具有预设容器特征的N个防护容器,包括:
获取所述业务容器集群中每个数据容器的容器特征;
将每个数据容器的容器特征与所述预设容器特征进行匹配,其中,所述预设容器特征至少包括容器名、容器类型中的一种;
若匹配到一致的容器特征,则将所述容器特征对应的数据容器作为防护容器;
若未匹配到一致的容器特征,则不做任何处理。
在一种可能的设计中,将所述N份数据流量通过代理程序分发到对应的检测容器进行异常流量检测,包括:
解析出每一份数据流量中的IP地址以及端口号;
根据每一份数据流量对应的IP地址以及端口号,计算出每一份数据流量对应的哈希值;
分别判断每个哈希值是否有对应的检测容器IP地址;
若有,则将哈希值对应的数据流量发送至检测容器IP地址对应的检测容器中进行异常流量检测;
若无,则建立哈希值与未达到负荷阈值的检测容器IP地址的对应关系,并将所述哈希值对应的数据流量发送至检测容器IP地址对应的检测容器中进行异常流量检测。
在一种可能的设计中,建立哈希值与未达到负荷阈值的检测容器IP地址的对应关系,包括:
读取当前每个检测容器中彼此互异的哈希值的数量,其中,彼此互异的哈希值中任意两个哈希值不同;
根据每个检测容器中彼此互异的哈希值的数量,获得检测容器负荷由低到高的排列,其中,检测容器中彼此互异的哈希值的数量越多,检测容器的负荷越高;
按照排列的顺序选出负荷最小的检测容器,建立哈希值与所述检测容器IP地址的对应关系。
第二方面,本申请提供了一种数据流量检测的装置,所述装置包括:
筛选模块,用于在业务容器集群中筛选出具有预设容器特征的N个防护容器;
获取模块,用于分别获取所述N个防护容器对应的数据流量,得到N份数据流量;
分发模块,用于将所述N份数据流量通过代理程序分发到对应的检测容器进行异常流量检测。
在一种可能的设计中,所述筛选模块,具体用于获取所述业务容器集群中每个数据容器的容器特征,将每个数据容器的容器特征与所述预设容器特征进行匹配,其中,所述预设容器特征至少包括容器名、容器类型中的一种,若匹配到一致的容器特征,则将所述容器特征对应的数据容器作为防护容器,若未匹配到一致的容器特征,则不做任何处理。
在一种可能的设计中,所述获取模块,具体用于解析出每一份数据流量中的IP地址以及端口号,根据每一份数据流量对应的IP地址以及端口号,计算出每一份数据流量对应的哈希值,分别判断每个哈希值是否有对应的检测容器IP地址,若有,则将哈希值对应的数据流量发送至检测容器IP地址对应的检测容器中进行异常流量检测,若无,则建立哈希值与未达到负荷阈值的检测容器IP地址的对应关系,并将所述哈希值对应的数据流量发送至检测容器IP地址对应的检测容器中进行异常流量检测。
在一种可能的设计中,所述获取模块,还用于读取当前每个检测容器中彼此互异的哈希值的数量,其中,彼此互异的哈希值中任意两个哈希值不同,根据每个检测容器中彼此互异的哈希值的数量,获得检测容器负荷由低到高的排列,其中,检测容器中彼此互异的哈希值的数量越多,检测容器的负荷越高,按照排列的顺序选出负荷最小的检测容器,建立哈希值与所述检测容器IP地址的对应关系。
第三方面,本申请提供了一种电子设备,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现上述的一种数据流量检测的方法步骤。
第四方面,一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的一种数据流量检测的方法步骤。
上述第一方面至第四方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明,这里不再重复赘述。
附图说明
图1为本申请提供的一种数据流量检测方法步骤的流程图;
图2为本申请提供的一种数据流量检测装置的结构示意图;
图3为本申请提供的一种电子设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。需要说明的是,在本申请的描述中“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。A与B连接,可以表示:A与B直接连接和A与B通过C连接这两种情况。另外,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
目前,在容器云场景中,为了防止数据容器中的数据流量被攻击,采用的是将所有数据容器中的数据流量镜像到一台检测容器中进行异常流量检测,由于没有对业务容器集群中的数据容器进行筛选,造成不需要进行异常流量检测的数据流量也在检测容器中进行异常流量检测,增加了检测容器的工作量、导致检测容器运行缓慢。所以,在业务容器集群中筛选出需要进行异常流量检测的防护容器成为要解决的问题,其中,所述防护容器为需要进行异常流量检测的数据容器。
为了解决上述的问题,本申请提供了一种数据流量检测的方法,用以实现从业务容器集群中筛选出需要进行异常流量检测的防护容器,将防护容器中的数据流量分发至检测容器进行异常流量检测,减少检测容器的检测工作量,提升了检测容器进行异常流量检测的效率。其中,本申请实施例所述方法和装置基于同一技术构思,由于方法及装置所解决问题的原理相似,因此装置与方法的实施例可以相互参见,重复之处不再赘述。
下面结合附图,对本申请实施例进行详细描述。
参照图1,本申请提供了一种数据流量检测的方法,该方法可以提升检测容器进行异常流量检测的效率,该方法的实现流程如下:
步骤S1:在业务容器集群中筛选出具有预设容器特征的N个防护容器。
在本申请实施例中,为了确保检测容器中全为需要进行异常流量检测的数据流量,需要在业务容器集群中筛选出需要进行异常流量检测的防护容器,具体筛选过程如下:
首先,在本申请实施例中需要获取业务容器集群中每个数据容器的容器特征,该容器特征可以是数据容器的容器名,或者数据容器的容器类型,或者是数据容器的容器容量中的一种或者是多种组合。
在获取到数据容器的容器特征之后,将每个数据容器的容器特征与预设容器特征进行匹配,此处的预设容器特征可以设置为一个或者是多个容器特征,在本申请实施例中不做具体限定。
若是存在数据容器的容器特征与预设容器特征匹配时,则将该数据容器作为防护容器;若是存在数据容器特征与预设容器特征不匹配时,则不做任何处理。
通过上述描述的方法,通过预设容器特征在业务容器集群中筛选出N个防护容器,精确定位到需要进行异常流量检测的防护容器,避免了检测容器对不用进行异常流量检测的数据流量进行异常流量检测的情况,减少了检测容器的工作量。
步骤S2:分别获取所述N个防护容器对应的数据流量,得到N份数据流量。
在获得N个防护容器之后,需要分别获取所述N个防护容器对应的数据流量,得到N份数据流量,具体获得N份数据流量的过程如下:
每个防护容器都有对应的虚拟网卡,找到该防护容器的虚拟网卡,通过镜像的方式获得防护容器对应的虚拟网卡中的数据流量,重复以上方法,获取N份数据流量。
通过上述的方式,获得每一个防护容器对应的数据流量,有利于代理程序将数据流量分发至检测容器以及检测容器对数据流量进行异常流量检测。
步骤S3:将所述N份数据流量通过代理程序分发到对应的检测容器进行异常流量检测。
在获得N份数据流量之后,为了保证所述N份数据流量通过代理程序分发到对应的检测容器进行异常流量检测时,每一份数据流量都能对应到检测容器IP地址,检测容器IP地址与检测容器为一一对应关系,需要判断N份数据流量需要所述检测容器的数量,具体的过程如下:
在本申请实施例中,需要说明的是检测容器的存储空间大于数据流量的占用空间,因此在判断所述N份数据流量需要的检测容器的数量时不需要考虑所述N份数据流量的占用空间以及检测容器的存储空间。
为了获得N份数据流量需要检测容器的数量,需要建立数据流量与检测容器的联系,在本申请实施例中,该联系可以为数据流量的哈希值与检测容器的检测容器IP地址的多对一关系,数据流量哈希值、检测容器IP地址以及检测容器三者之间的对应关系如表1所示:
表1
为了获取数据流量的哈希值,需要解析出数据流量中的IP地址以及端口号,根据数据流量中的IP地址以及端口号,计算出数据流量对应的哈希值,按照此方法,可以获得N个哈希值。
因为哈希值与检测容器具有多对一的对应的关系,需要对彼此互异的哈希值的数量进行统计,在本申请实施例中,数量统计的方式可以为轮询方式,具体轮询过程如下:
提取任意一个哈希值为第一哈希值,将所述哈希值与剩余的哈希值进行比较,判断剩余的哈希值中是否包含与所述第一哈希值相同的哈希值,若无,则记录当前所述第一哈希值的序号为1,若有,则将所述第一哈希值以及与所述第一哈希值相同的哈希值放在一起并记录当前序号为1,一个循环结束之后,将已经记录序号的哈希值从所有哈希值中移除,提取剩余哈希值中的任意一个哈希值为第二哈希值,重复以上过程直至记录完所有哈希值的序号,最后记录的序号为第一数量的值,从而确定N份数据流量对应的彼此互异的哈希值的数量。
比如:有7个哈希值为a、b、c、d、e、f、c,将a作为第一哈希值,剩余的哈希值b、c、d、e、f、c不包含a,则将a的序号记为1并将a从7个哈希值中移除,移除后的哈希值为b、c、d、e、f、c;将c作为第二哈希值,剩余的哈希值b、d、e、f、c包含c,则将c的序号记为2,并将所有的c从b、c、d、e、f、c中移除,移除之后的哈希值为b、d、e、f;继续以上循环,直至记录完所有哈希值的序号,记录的最大序号为6,所以彼此互异的哈希值有6个。
在获得彼此互异的哈希值之后,通过代理程序查找当前彼此互异的哈希值是否有对应的检测容器IP地址,若有,则将彼此互异的哈希值对应的数据流量发送到对应的检测容器上;否则,根据检测容器的负荷情况分发数据流量。
在将部分彼此互异的哈希值对应的数据流量发送至检测容器后,剩余的未与检测容器建立对应关系的数据流量还未发送。此时,需要按照检测容器的负荷从低到高对检测容器进行排序,检测容器的负荷由接收数据流量的彼此互异的哈希值的数量决定。
进一步需要说明的是,检测容器有负荷阈值以及预设阈值,负荷阈值大于预设阈值,负荷阈值为检测容器接收彼此互异的哈希值的数量的最高预期值,当检测容器接收到彼此互异的哈希值的数量高于负荷阈值之后,检测容器处于高负荷状态;预设阈值为检测容器接收彼此互异的哈希值的数量的最低预期值,当检测容器收到彼此互异的哈希值的数量低于预设阈值之后,检测容器处于低负荷状态。
按照检测容器负荷从低到高对检测容器进行排序时,读取当前每个检测容器中彼此互异的哈希值的数量,按照每个检测容器中彼此互异的哈希值的数量,将检测容器负荷由低到高进行排列,因为检测容器中彼此互异的哈希值的数量越多,检测容器的负荷越高,从而得到检测容器负荷由小到大的排列。
在获得检测容器负荷由低到高的排列之后,统计出当前所有检测容器达到负荷阈值需要的彼此互异的哈希值第一数量,读取还未与检测容器建立对应关系的彼此互异的哈希值的第二数量,判断第一数量是否大于第二数量。
若是,则将剩下的数据流量的哈希值与负荷最小的检测容器建立联系,直至当前建立联系的检测容器中彼此互异的哈希值数量达到负荷阈值。或者,剩下的数据流量发送完成,需要进行说明的是,若数据流量发送完成之后当前检测容器中彼此互异的哈希值的数量低于预设阈值,则对当前检测容器进行任意删除。
若否,则增加检测容器的数量,将增加的检测容器的IP地址填入代理程序中,直至当前检测容器能够接收剩下的数据流量。
通过上述描述的方法,确认出所述N份数据流量需要的检测容器的数量,实现检测容器的动态缩容以及扩容,避免了检测容器闲置造成的资源浪费以及检测容器数量不足造成部分数据流量的不能进行异常流量检测的影响。
在确认所述N份数据流量需要所述检测容器的数量之后,为了确保每一份数据流量都能分发到对应的检测容器上,需要建立哈希值以及进行增加或者减少的检测容器IP地址之间的关系,具体过程如下:
在确认需要的检测容器的数量之后,判断每个哈希值是否有对应的检测容器IP地址,若有,则将哈希值对应的数据流量发送至检测容器IP地址对应的检测容器中进行异常流量检测;若无,则建立哈希值与未达到负荷阈值的检测容器IP地址的对应关系,并将所述哈希值对应的数据流量发送至检测容器IP地址对应的检测容器中进行异常流量检测。
当哈希值都与检测容器IP地址建立对应关系之后,根据哈希值与检测容器IP地址的关系将数据流量发送到检测容器IP地址对应的检测容器上,当数据流量分发到对应的检测容器上之后,读取每一份数据流量对应的文件信息以及检测容器的规则文件,判断所述规则文件是否包含所述文件信息,若是,则所述文件信息对应的数据流量正常,不做任何处理;若否,则所述文件信息对应的数据流量异常,输出报警信息。
通过上述描述的方法,根据每一份数据流量对应的哈希值确认需要的检测容器的数量,再根据所述检测容器的实际数量与需要的检测容器的数量的差值,对所述检测容器进行数量的增加或者减少,建立每一份数据流量与所述检测容器的IP地址之间的对应关系,确保每一份数据流量都能发送到对应的检测容器上,对所述检测容器进行动态的增加或者减少,避免了所述数据流量过多时对所述检测容器造成的负荷运行的结果,达到了负载均衡的目的。
基于本申请所提供的方法,在业务容器集群中筛选出具有预设容器特征的N个防护容器,分别获取所述N个防护容器对应的数据流量,得到N份数据流量,将所述N份数据流量通过代理程序分发到对应的检测容器进行异常流量检测。通过上述的方法,在业务容器集群中筛选出N个防护容器,精确定位了需要进行异常流量检测的防护容器,将防护容器中的数据流量分发至检测容器中进行异常流量检测,保证了每一份数据流量都能分发到对应的检测容器上,避免了将所述业务容器集群中的所有数据容器中的数据流量分发至一台检测容器进行异常流量检测,减少了检测容器的检测工作量,达到了检测容器负载均衡的目的,解决了检测容器运行缓慢的问题。
基于同一发明构思,本申请实施例中还提供了一种数据流量检测的装置,该数据流量获取的装置用于实现了一种数据流量检测方法的功能,参照图2,所述装置包括:
筛选模块201,用于在业务容器集群中筛选出具有预设容器特征的N个防护容器;
获取模块202,用于分别获取所述N个防护容器对应的数据流量,得到N份数据流量;
分发模块203,用于将所述N份数据流量通过代理程序分发到对应的检测容器进行异常流量检测。
在一种可能的设计中,所诉筛选模块201,具体用于获取所述业务容器集群中每个数据容器的容器特征,将每个数据容器的容器特征与所述预设容器特征进行匹配,其中,所述预设容器特征至少包括容器名、容器类型中的一种,若匹配到一致的容器特征,则将所述容器特征对应的数据容器作为防护容器,若未匹配到一致的容器特征,则不做任何处理。
在一种可能的设计中,所述获取模块202,具体用于解析出每一份数据流量中的IP地址以及端口号,根据每一份数据流量对应的IP地址以及端口号,计算出每一份数据流量对应的哈希值,分别判断每个哈希值是否有对应的检测容器的IP地址,若有,则将哈希值对应的数据流量发送至检测容器IP地址对应的检测容器中进行异常流量检测,若无,则建立哈希值与未达到负荷阈值的检测容器IP地址的对应关系,并将所述哈希值对应的数据流量发送至检测容器IP地址对应的检测容器中进行异常流量检测。
在一种可能的设计中,所述获取模块202,还用于读取当前每个检测容器中彼此互异的哈希值的数量,其中,彼此互异的哈希值中任意两个哈希值不同,根据每个检测容器中彼此互异的哈希值的数量,获得检测容器负荷由低到高的排列,其中,检测容器中彼此互异的哈希值的数量越多,检测容器的负荷越高,按照排列的顺序选出最小的检测容器,建立哈希值与所述检测容器IP地址的对应关系。
基于同一发明构思,本申请实施例中还提供了一种电子设备,所述电子设备可以实现前述一种数据流量检测的装置的功能,参考图3,所述电子设备包括:
至少一个处理器301,以及与至少一个处理器301连接的存储器302,本申请实施例中不限定处理器301与存储器302之间的具体连接介质,图3中是以处理器301和存储器302之间通过总线300连接为例。总线300在图3中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线300可以分为地址总线、数据总线、控制总线等,为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。或者,处理器301也可以称为控制器,对于名称不做限制。
在本申请实施例中,存储器302存储有可被至少一个处理器301执行的指令,至少一个处理器301通过执行存储器402存储的指令,可以执行前文论述的一种数据流量检测的方法。处理器301可以实现图2所示的装置中各个模块的功能。
其中,处理器301是该装置的控制中心,可以利用各种接口和线路连接整个该控制设备的各个部分,通过运行或执行存储在存储器302内的指令以及调用存储在存储器302内的数据,该装置的各种功能和处理数据,从而对该装置进行整体监控。
在一种可能的设计中,处理器301可包括一个或多个处理单元,处理器301可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器301中。在一些实施例中,处理器301和存储器302可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器301可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的一种数据流量检测方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器302作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器302可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器302是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器302还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对处理器301进行设计编程,可以将前述实施例中介绍的一种数据流量检测方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行图1所示的实施例的一种数据流量检测的步骤。如何对处理器301进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
基于同一发明构思,本申请实施例还提供一种存储介质,该存储介质存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行前文论述的一种数据流量检测方法。
在一些可能的实施方式中,本申请提供一种数据流量检测的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在装置上运行时,程序代码用于使该控制设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种数据流量检测方法中的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (8)

1.一种数据流量检测的方法,其特征在于,包括:
在业务容器集群中筛选出具有预设容器特征的N个防护容器,其中,N为大于等于1的整数;
分别获取所述N个防护容器对应的数据流量,得到N份数据流量;
解析出每一份数据流量中的IP地址以及端口号;
根据每一份数据流量对应的IP地址以及端口号,计算出每一份数据流量对应的哈希值;
分别判断每个哈希值是否有对应的检测容器IP地址;
若有,则将哈希值对应的数据流量发送至检测容器IP地址对应的检测容器中进行异常流量检测;
若无,则建立哈希值与未达到负荷阈值的检测容器IP地址的对应关系,并将所述哈希值对应的数据流量发送至检测容器IP地址对应的检测容器中进行异常流量检测。
2.如权利要求1所述的方法,其特征在于,在业务容器集群中筛选出具有预设容器特征的N个防护容器,包括:
获取所述业务容器集群中每个数据容器的容器特征;
将每个数据容器的容器特征与所述预设容器特征进行匹配,其中,所述预设容器特征至少包括容器名、容器类型中的一种;
若匹配到一致的容器特征,则将所述容器特征对应的数据容器作为防护容器;
若未匹配到一致的容器特征,则不做任何处理。
3.如权利要求1所述的方法,其特征在于,建立哈希值与未达到负荷阈值的检测容器IP地址的对应关系,包括:
读取当前每个检测容器中彼此互异的哈希值的数量,其中,彼此互异的哈希值中任意两个哈希值不同;
根据每个检测容器中彼此互异的哈希值的数量,获得检测容器负荷由低到高的排列,其中,检测容器中彼此互异的哈希值的数量越多,检测容器的负荷越高;
按照排列的顺序选出负荷最小的检测容器,建立哈希值与所述检测容器IP地址的对应关系。
4.一种数据流量检测的装置,其特征在于,所述装置包括:
筛选模块,用于在业务容器集群中筛选出具有预设容器特征的N个防护容器;
获取模块,用于分别获取所述N个防护容器对应的数据流量,得到N份数据流量;
分发模块,用于解析出每一份数据流量中的IP地址以及端口号,根据每一份数据流量对应的IP地址以及端口号,计算出每一份数据流量对应的哈希值,分别判断每个哈希值是否有对应的检测容器IP地址,若有,则将哈希值对应的数据流量发送至检测容器IP地址对应的检测容器中进行异常流量检测,若无,则建立哈希值与未达到负荷阈值的检测容器IP地址的对应关系,并将所述哈希值对应的数据流量发送至检测容器IP地址对应的检测容器中进行异常流量检测。
5.如权利要求4所述的装置,其特征在于,所诉筛选模块,具体用于获取所述业务容器集群中每个数据容器的容器特征,将每个数据容器的容器特征与所述预设容器特征进行匹配,其中,所述预设容器特征至少包括容器名、容器类型中的一种,若匹配到一致的容器特征,则将所述容器特征对应的数据容器作为防护容器,若未匹配到一致的容器特征,则不做任何处理。
6.如权利要求4所述的装置,其特征在于,所述获取模块,还用于读取当前每个检测容器中彼此互异的哈希值的数量,其中,彼此互异的哈希值中任意两个哈希值不同,根据每个检测容器中彼此互异的哈希值的数量,获得检测容器负荷由低到高的排列,其中,检测容器中彼此互异的哈希值的数量越多,检测容器的负荷越高,按照排列的顺序选出负荷最小的检测容器,建立哈希值与所述检测容器IP地址的对应关系。
7.一种电子设备,其特征在于,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现权利要求1-3任一项所述的方法步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-3任一项所述的方法步骤。
CN202111114502.3A 2021-09-23 2021-09-23 一种数据流量检测的方法 Active CN113872954B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111114502.3A CN113872954B (zh) 2021-09-23 2021-09-23 一种数据流量检测的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111114502.3A CN113872954B (zh) 2021-09-23 2021-09-23 一种数据流量检测的方法

Publications (2)

Publication Number Publication Date
CN113872954A CN113872954A (zh) 2021-12-31
CN113872954B true CN113872954B (zh) 2024-02-20

Family

ID=78993527

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111114502.3A Active CN113872954B (zh) 2021-09-23 2021-09-23 一种数据流量检测的方法

Country Status (1)

Country Link
CN (1) CN113872954B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9794287B1 (en) * 2016-10-31 2017-10-17 International Business Machines Corporation Implementing cloud based malware container protection
CN110830289A (zh) * 2019-10-21 2020-02-21 华中科技大学 一种容器异常监测方法及监测系统
CN110874291A (zh) * 2019-10-31 2020-03-10 合肥中科类脑智能技术有限公司 一种异常容器实时检测方法
CN111813498A (zh) * 2020-07-02 2020-10-23 深圳市国电科技通信有限公司 终端容器的监测方法、监测装置、存储介质及处理器
CN111813497A (zh) * 2020-06-30 2020-10-23 绿盟科技集团股份有限公司 一种容器环境异常检测的方法、装置、介质及计算机设备
CN112333163A (zh) * 2020-10-23 2021-02-05 中国联合网络通信集团有限公司 容器间流量监控方法及流量监控管理系统
CN112860484A (zh) * 2021-01-29 2021-05-28 深信服科技股份有限公司 容器运行时异常行为检测、模型训练方法及相关装置
CN112905421A (zh) * 2021-03-18 2021-06-04 中科九度(北京)空间信息技术有限责任公司 基于注意力机制的lstm网络的容器异常行为检测方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9794287B1 (en) * 2016-10-31 2017-10-17 International Business Machines Corporation Implementing cloud based malware container protection
CN110830289A (zh) * 2019-10-21 2020-02-21 华中科技大学 一种容器异常监测方法及监测系统
CN110874291A (zh) * 2019-10-31 2020-03-10 合肥中科类脑智能技术有限公司 一种异常容器实时检测方法
CN111813497A (zh) * 2020-06-30 2020-10-23 绿盟科技集团股份有限公司 一种容器环境异常检测的方法、装置、介质及计算机设备
CN111813498A (zh) * 2020-07-02 2020-10-23 深圳市国电科技通信有限公司 终端容器的监测方法、监测装置、存储介质及处理器
CN112333163A (zh) * 2020-10-23 2021-02-05 中国联合网络通信集团有限公司 容器间流量监控方法及流量监控管理系统
CN112860484A (zh) * 2021-01-29 2021-05-28 深信服科技股份有限公司 容器运行时异常行为检测、模型训练方法及相关装置
CN112905421A (zh) * 2021-03-18 2021-06-04 中科九度(北京)空间信息技术有限责任公司 基于注意力机制的lstm网络的容器异常行为检测方法

Also Published As

Publication number Publication date
CN113872954A (zh) 2021-12-31

Similar Documents

Publication Publication Date Title
US11605087B2 (en) Method and apparatus for identifying identity information
CN104572727A (zh) 一种数据查询方法及装置
CN110830986A (zh) 一种物联网卡异常行为检测方法、装置、设备及存储介质
CN111782383A (zh) 任务分配方法、服务器、电子终端及计算机可读存储介质
CN115412371B (zh) 基于物联网的大数据安全防护方法、系统及云平台
CN111371772A (zh) 基于redis的智能网关限流方法、系统和计算机设备
CN111597040A (zh) 一种资源分配方法、装置、存储介质和电子设备
CN110865982A (zh) 一种数据匹配方法、装置、电子设备及存储介质
CN111538572A (zh) 任务处理方法、装置、调度服务器及介质
CN114615310A (zh) 一种维护tcp连接的方法、装置及电子设备
KR20160099159A (ko) 악성 코드를 탐지하기 위한 전자 시스템 및 방법
CN113872954B (zh) 一种数据流量检测的方法
CN111107079A (zh) 一种上传文件检测方法及装置
CN108763053B (zh) 埋点名称的生成方法及终端设备
CN114338102B (zh) 安全检测方法、装置、电子设备及存储介质
CN113691631B (zh) 一种数据清理的方法、装置及电子设备
CN112747946B (zh) 一种设备结构损伤检测方法及装置
CN113709153B (zh) 一种日志归并的方法、装置及电子设备
CN106295671B (zh) 一种应用列表聚类方法、装置及计算设备
CN114371954A (zh) 一种微服务系统的自动恢复方法
CN108173689B (zh) 负载均衡数据的输出系统
CN113556338A (zh) 一种计算机网络安全异常操作拦截方法
CN112491732A (zh) 一种存储网络拥堵管理方法、系统、终端及存储介质
CN111885159A (zh) 数据采集方法、装置、电子设备及存储介质
CN112288990A (zh) 基于物联数据生成物联事件的方法、系统、介质及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant