CN114168951B - 异常检测方法以及装置 - Google Patents
异常检测方法以及装置 Download PDFInfo
- Publication number
- CN114168951B CN114168951B CN202210130246.5A CN202210130246A CN114168951B CN 114168951 B CN114168951 B CN 114168951B CN 202210130246 A CN202210130246 A CN 202210130246A CN 114168951 B CN114168951 B CN 114168951B
- Authority
- CN
- China
- Prior art keywords
- container
- groups
- invaded
- determining
- state information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 180
- 230000005856 abnormality Effects 0.000 title claims abstract description 31
- 238000000034 method Methods 0.000 claims abstract description 40
- 230000008569 process Effects 0.000 claims abstract description 30
- 231100000279 safety data Toxicity 0.000 claims description 17
- 238000004422 calculation algorithm Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 7
- 238000004364 calculation method Methods 0.000 abstract description 7
- 238000012423 maintenance Methods 0.000 abstract description 6
- 238000013500 data storage Methods 0.000 abstract description 5
- 230000009545 invasion Effects 0.000 abstract description 3
- 238000004590 computer program Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 101100491335 Caenorhabditis elegans mat-2 gene Proteins 0.000 description 1
- 206010042635 Suspiciousness Diseases 0.000 description 1
- 102100033121 Transcription factor 21 Human genes 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 101150109289 tcf21 gene Proteins 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Alarm Systems (AREA)
Abstract
本说明书实施例提供异常检测方法以及装置,其中所述异常检测方法,包括:接收至少三个容器组上报的安全数据,其中,所述安全数据包括所述容器组的容器运行状态信息;比对所述至少三个容器组的容器运行状态信息,在确定所述容器运行状态信息之间的比对结果不一致的情况下,基于所述比对结果确定被入侵容器组,进而实现对入侵容器的检测,无需通过创建入侵检测模型,也能够精准地对被入侵容器的检测,后期维护的过程中没有那么复杂,也能减少数据存储与计算的成本。
Description
技术领域
本说明书实施例涉及计算机技术领域,特别涉及一种异常检测方法。
背景技术
入侵检测(Intrusion Detection)是一种为计算机网络提供实时保护的网络安全技术,主要是对当前输入受保护网络或受保护主机中的数据进行检测,确定当前检测数据为合法数据还是非法数据。目前的入侵检测体系负责,需要不断的从各个主机、容器上采集各种文件、进程、网络等日志。日志采集agent将日志上报后,通过计算平台检测各种可疑入侵事件。为了检测入侵事件,安全运营人员建立了大量的入侵检测模型,模型复杂度越来越高,模型数量也越来越多,维护也较为困难,且造成了大量的数据存储与计算成本。
发明内容
有鉴于此,本说明书实施例提供了一种异常检测方法。本说明书一个或者多个实施例同时涉及一种异常检测装置,一种计算设备,一种计算机可读存储介质以及一种计算机程序,以解决现有技术中存在的技术缺陷。
根据本说明书实施例的第一方面,提供了一种异常检测方法,包括:
接收至少三个容器组上报的安全数据,其中,所述安全数据包括所述容器组的容器运行状态信息;
比对所述至少三个容器组的容器运行状态信息,在确定所述容器运行状态信息之间的比对结果不一致的情况下,基于所述比对结果确定被入侵容器组。
根据本说明书实施例的第二方面,提供了一种异常检测装置,包括:
数据接收模块,被配置为接收至少三个容器组上报的安全数据,其中,所述安全数据包括所述容器组的容器运行状态信息;
信息比对模块,被配置为比对所述至少三个容器组的容器运行状态信息,在确定所述容器运行状态信息之间的比对结果不一致的情况下,基于所述比对结果确定被入侵容器组。
根据本说明书实施例的第三方面,提供了一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现上述异常检测方法的步骤。
根据本说明书实施例的第四方面,提供了一种计算机可读存储介质,其存储有计算机可执行指令,该指令被处理器执行时实现上述异常检测方法的步骤。
根据本说明书实施例的第五方面,提供了一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述异常检测方法的步骤。
本说明书一个实施例提供了一种异常检测方法,包括:接收至少三个容器组上报的安全数据,其中,所述安全数据包括所述容器组的容器运行状态信息;比对所述至少三个容器组的容器运行状态信息,在确定所述容器运行状态信息之间的比对结果不一致的情况下,基于所述比对结果确定被入侵容器组。
本说明书实施例提供的异常检测方法,利用以容器交付的应用,相同镜像生成容器状态是一致的,进而,形成安全基准线实现入侵检测;通过接收到容器组上报的安全数据,对比容器组中的容器运行状态信息,在确定容器运行状态信息不一致的情况下,基于比对结果确定被入侵容器组,进而实现对入侵容器的检测,无需通过创建入侵检测模型,也能够精准地对被入侵容器的检测,后期维护的过程中没有那么复杂,也能减少数据存储与计算的成本。
附图说明
图1是本说明书一个实施例提供的一种异常检测方法的流程图;
图2是本说明书一个实施例提供的一种云原生环境下异常检测方法的处理过程示意图;
图3是本说明书一个实施例提供的一种异常检测装置的结构示意图;
图4是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本说明书内涵的情况下做类似推广,因此本说明书不受下面公开的具体实施的限制。
在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先,对本说明书一个或多个实施例涉及的名词术语进行解释。
容器异常:可以理解为容器内应用启动发生异常现象,导致容器启动后很快就结束或者构建镜像失败等问题,比如容器处于异常退出时,随后无法再次进行容器内,会显示容器不在运行中;容器日志显示的错误无法在外部进行修改等等。
入侵检测(Intrusion Detection):是对网络入侵行为(网络入侵为容器异常的一类)的检测,通过收集和分析计算机系统中网络流量的信息,检查网络中是否存在违反安全策略的行为和攻击行为。目前入侵检测所采用的技术主要分为两类:特征检测和异常检测。
云原生:云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式API。这些技术能够构建容错性好、易于管理和便于观察的松耦合系统。结合可靠的自动化手段,云原生技术使工程师能够轻松地对系统作出频繁和可预测的重大变更。
Kubernetes,简称k8s:是用于自动部署,扩展和管理容器化应用程序的开源系统。
pod(容器组):作为Kubernetes中最小的资源单位和基础运行单位,Kubernetes中的网络通信是容器组Pod级别的通信。
容器异常现象中较为常见的一类现象为网络入侵行为,而目前的网络入侵检测体系,需要不断的从各个主机、容器上采集各种文件、进程、网络等日志。日志采集agent将日志上报后,通过计算平台检测各种可疑入侵事件。为了检测入侵事件,安全运营人员建立了大量的入侵检测模型,模型复杂度越来越高,模型数量也越来越多,维护也较为困难,且造成了大量的数据存储与计算成本。发生入侵事件后,需要人工去处理被入侵的容器/机器,有工作成本,需要人工介入,处理时间较长。
但是在云原生环境中,所有应用都是以容器交付的,相同镜像生成容器状态是一致的,这就天然的形成了安全基线,做入侵检测。比如:一个应用使用相同的镜像生成了10个容器,这10个容器的静态配置,运行态的进程、网络、文件、目录、关键文件都是一致的。这样天然的就形成了正常的基线。若其中一个容器入侵,必然造成状态的不一致,这样可以通过投票的原理,快速的识别出状态不一致的容器,进行入侵检测,以降低了入侵检测模型的复杂度和计算成本。此外,在云原生环境中,大多数容器都是无状态的,且云原生技术有弹性调度能力,可以利用云原生的弹性调度能力,快速的置换被入侵的容器,达到安全自愈的目的。
基于此,本说明书实施例提供了一种异常检测方法,应用于云原生环境下,以网络入侵为例,对如何解决有效地降低入侵检测的复杂程度,且网络入侵后如何实现安全自愈的技术问题进行说明。
在本说明书中,提供了一种异常检测方法,本说明书同时涉及一种异常检测装置,一种计算设备,以及一种计算机可读存储介质,在下面的实施例中逐一进行详细说明。
参见图1,图1示出了根据本说明书一个实施例提供的一种异常检测方法的流程图,具体包括以下步骤。
需要说明的是,本说明书实施例提供的异常检测方法以应用于安全检测服务器为例进行异常检测说明,利用在云原生环境中,相同镜像生成的容器状态是一致的特性,建立通用的入侵检测模型,降低入侵检测的复杂度,其中,本说明书实施例中对安全检测服务器不作任何限定,在云原生环境下并非可以仅利用安全检测服务器,该异常检测也可能以某种微服务的形式呈现。
步骤102:接收至少三个容器组上报的安全数据,其中,所述安全数据包括所述容器组的容器运行状态信息。
其中,容器运行状态信息可以理解为容器组运行过程中的各种状态参数。
实际应用中,安全检测服务器可接收到应用程序所运行的至少三个容器组上报的安全数据,该安全数据包括容器组的容器运行状态信息,也可以包括其他相应的容器组的参数信息,本说明书实施例对此则不作具体限定;需要说明的是,每个应用程序所运行的容器组的数量根据应用场景的不同而不同,在一些常用的场景中,容器组的数量可以达到十几个、几百、几千、几万等等,本实施例对此不作具体限定。
进一步地,本说明书实施例提供的异常检测方法,所述容器组包括安全容器,
相应地,所述接收至少三个容器组上报的安全数据,包括:
基于第一预设周期接收目标对象所运行的至少三个容器组中对应的安全容器上报的安全数据。
其中,目标对象可以理解为应用程序,也可以理解为其他应用容器运行的程序,本说明书上实施例对此不作具体限定。
实际应用中,每个容器组包括对应的安全容器,其中,安全容器负责采集容器组运行时的状态信息,在安全容器将该容器组运行时的状态信息采集之后,每间隔第一预设周期就将容器组运行时的状态信息上报至安全检测服务器;每个容器组都会在一定的间隔周期上报运行状态数据(安全数据),便于后续安全检测服务器根据每个容器组上报的安全数据,确定是否存在被入侵容器组。
例如,应用程序A现有三个运行的容器组,分别为容器组a、容器组b、容器组c,第一预设周期为1次/2min,那么每个容器组中的安全容器可每2min上传一次安全数据至安全检测服务器。
本说明书实施例提供的异常检测方法,基于第一预设周期接收到每个容器组中的安全容器上报的安全数据,便于后续安全检测服务器根据上报的安全数据获知当前容器组的运行情况,以确定容器组是否被入侵。
步骤104:比对所述至少三个容器组的容器运行状态信息,在确定所述容器运行状态信息之间的比对结果不一致的情况下,基于所述比对结果确定被入侵容器组。
其中,被入侵容器组可以理解为对容器内运行的数据进行干预后发生的容器无法正常运行的容器组,比如,干扰应用程序正常运行的客户端信息等,本说明书实施例对具体的被入侵方式等不作具体限定。
实际应用中,安全检测服务器在接收到至少三个容器组的安全数据之后,还可对该安全数据中的容器运行状态信息之间进行比对,具体的比对方式可以理解为对容器运行状态信息是否一致性的比对,本说明书实施例对此不作具有限定;在确定比对结果出现容器运行状态信息之间存在不一致的现象的情况下,可基于比对结果进一步地确定被入侵容器组。
进一步地,所述容器运行状态信息包括所述目标对象的运行进程、安全信息算法、开放端口、目录结构、目录文件名、目录属性以及配置文件。
其中,运行进程可以理解为当前容器组正在运行的进程个数,比如,容器组a中正在运行的进程个数为10个;安全信息算法可以理解为容器进程的MD5值等;开放端口可以理解为与容器组相关联的端口信息;目录结构可以理解为容器组运行过程中的目录结构;目录属性可以理解为目录是都为可读或者可写;配置文件可以理解为关键配置文件,比如JAVA配置文件等;需要说明的是,容器运行状态信息不仅包括上述信息,本实施例对此不作具体限定。
相应地,安全检测服务器在接收到容器运行状态信息之后,还可在预设周期内对容器运行状态信息进行一致性投票,以检测容器组是否被入侵;具体的,所述比对所述至少三个容器组的容器运行状态信息,包括:
基于第二预设周期比对所述目标对象所运行的至少三个容器组的目标对象的运行进程、安全信息算法、开放端口、目录结构、目录文件名、目录属性以及配置文件。
实际应用中,安全检测服务器可每隔预设周期针对至少三个容器组的容器运行状态信息进行一致性投票,判断容器运行状态信息中的运行进程、安全信息算法、开放端口、目录结构、目录文件名、目录属性以及配置文件等信息是否一致;需要说明的是,比对过程可以理解为对容器组之间的各个运行进程、安全信息算法、开放端口、目录结构、目录文件名、目录属性以及配置文件等之间进行一一比对,确定是否相同,即确定是否具有一致性。
本说明书实施例提供的异常检测方法,安全检测服务器通过对接收到的容器组的容器状态信息进行比对,确定各个容器组的容器运行状态是否一致,以准确地判断是否有容器组发生被入侵的状况。
在容器运行状态信息之间的比对结果不一致的情况下,为了准确地确定被入侵容器组,还可根据比对结果确定不同的预设检测策略,便于后续从至少三个容器组中确定被入侵容器组;具体的,所述基于所述比对结果确定被入侵容器组,包括:
基于所述比对结果确定所述容器运行状态信息的状态类型;
基于所述状态类型的类型数量确定预设检测策略,并基于所述预设检测策略从所述至少三个容器组中确定被入侵容器组。
其中,状态类型可以理解为容器组的容器运行状态信息的状态种类,比如,在三个容器组中,容器组a、容器组b、容器组c,其中,容器组a、容器组b的容器运行状态信息相一致,容器组c的容器运行状态信息与对容器组a、容器组b不一致,那么可以理解为,容器组a、容器组b的容器运行状态信息为第一状态类型,容器组c的容器运行状态信息为第二状态类型。
预设检测策略可以理解为根据比对结果确定的不同的状态类型确定不同的判定被入侵容器组的策略。
实际应用中,安全检测服务器通过比对各个容器组的容器运行状态信息,确定在上报的各个容器组之间有几种状态类型,同时,并根据状态类型的类型数量确定预设检测策略,比如,在确定当前上报容器组的容器运行状态信息的类型数量为两种,那么可以理解为,当前容器运行状态信息有两类,则可确定对应的预设检测策略;在确定当前上报容器组的容器运行状态信息的类型数量为三个或者三个以上的情况下,可以理解为,当前容器运行状态信息有三类或者三类以上,则可确定对应的预设检测策略;进一步地,根据预设检测策略从至少三个容器组中确定被入侵容器组。
本说明书实施例提供的异常检测方法,安全检测服务器通过确定容器运行状态信息的状态类型的类型数量,进而确定预设检测策略,以实现根据预设检测策略从至少三个容器组中确定被入侵容器组。
本说明书实施例提供的异常检测方法可包括两种方式,第一种是在确定所有容器组的容器运行状态信息的状态类型的数量为两个的情况下,确定数量检测策略,进而确定被入侵容器组;第二种是在确定所有容器组的容器运行状态信息的状态类型的数量为三个或者三个以上的情况下,所有的容器组均具有被入侵的可疑性,那么,可确定容器置换策略以确定被入侵容器进而解决被入侵容器的置换过程;具体的,所述基于所述状态类型的类型数量确定预设检测策略,并基于所述预设检测策略从所述至少三个容器组中确定被入侵容器组,包括:
在确定所述状态类型的类型数量为两个的情况下,确定预设检测策略为数量检测策略,其中,所述数量检测策略包括预设数量阈值;
基于所述数量检测策略确定每个状态类型对应的容器组数量,基于所述容器组数量从所述至少三个容器组中确定目标被入侵容器组,其中,所述目标被入侵容器组为与所述预设数量阈值相同的状态类型中的容器组。
实际应用中,安全检测服务器在确定容器组的容器运行状态信息的状态类型的数量为两个的情况下,确定预设检测策略为数量检测策略,根据确定好的数量检测策略确定每个状态类型对应的容器组数量,比如,本次安全检测服务器接收到的上报容器组有4个,那么第一种状态类型的容器组数量为3(分别为容器组a、容器组b、容器组c),第二种状态类型的容器组数量为1(容器组d),因此,可根据数量检测策略中携带的预设数量阈值,确定与预设数量阈值相同的容器组数量的状态类型,为被入侵容器组的状态类型,进而能够确定出具体的被入侵容器组,比如,预设数量阈值为1,则可确定第二种状态类型的容器组d为目标被入侵容器组。
本说明书实施例提供的异常检测方法,在确定容器组的容器运行状态信息的状态类型的数量为两个的情况下,确定数量检测策略,通过数量检测策略精准地从至少三个容器组中确定出被入侵容器组,降低了入侵检测的复杂度。
进一步地,在安全检测服务器确定出被入侵容器组之后,还可利用云原生的弹性调度能力,实现自动置换异常容器,以达到安全自愈的目的;具体的,所述基于所述容器组数量从所述至少三个容器组中确定目标被入侵容器组之后,还包括:
向容器调度服务器发送针对所述目标被入侵容器组的容器异常处理指令,其中,所述容器异常处理指令中携带有目标被入侵容器组的容器标识;
接收所述容器调度服务器基于所述目标被入侵容器组的容器标识返回的容器置换结果。
其中,容器调度服务器可以理解为包括集群控制节点的容器调度系统,比如Kubernetes,简称k8s。
实际应用中,安全检测服务器向容器调度服务器发送容器异常处理指令,以置换掉状态不一致的容器(目标被入侵容器),其中,容器异常处理指令中携带有目标被入侵容器组的容器标识,容器调度服务器基于该目标被入侵容器组的容器标识调用容器组的原生数据,置换掉目标被入侵容器的容器数据,以实现容器达到安全自愈的状态;进而,安全检测服务器即可接收到容器调度服务器对目标被入侵容器组的容器置换结果。
本说明书实施例提供的异常检测方法,安全监测服务器通过向容器调度服务器发送容器异常处理指令,实现对目标被入侵容器组进行容器置换,达到安全自愈的目的。
此外,在安全检测服务器确定出所有容器组的容器运行状态信息的状态类型的数量为三个或者三个以上的情况下,无法确定具体的被入侵容器组,那么可通过将所有的容器组进行整体置换,以实现所有容器组都能安全自愈,且用户使用应用程序可无感知;具体的,所述基于所述状态类型的类型数量确定预设检测策略,并基于所述预设检测策略从所述至少三个容器组中确定被入侵容器组,包括:
在确定所述状态类型的类型数量为三个或三个以上的情况下,确定预设检测策略为容器置换策略;
基于所述容器置换策略将所述至少三个容器组作为被入侵容器组。
实际应用中,安全检测服务器在确定容器组的容器运行状态信息的状态类型的数量为三个或者三个以上的情况下,可将预设检测策略为容器置换策略,也可以理解为,在当前三个以上的容器组中,有三个以上的容器组的容器运行状态信息相互不一致,那么所有的容器组均为可以被入侵容器组,进而,为了实现能够精准地完成对被入侵容器组的自愈,可根据容器置换策略将所有的容器组均作为被入侵容器组,便于后续将所有的容器组均进行容器置换,以实现所有容器组正常运行。
本说明书实施例提供的异常检测方法,安全检测服务器在确定容器运行状态信息的状态类型的类型数量为三个或三个以上的情况下,可将所有容器组均作为被入侵容器组,以便于后续将所有容器组进行容器替换,以实现解决当前容器组运行的安全问题。
进一步地,安全检测服务器可通过容器调度服务器实现对所有容器组的容器置换过程;具体的,所述基于所述容器置换策略将所述至少三个容器组作为被入侵容器组之后,还包括:
向容器调度服务器发送针对所述被入侵容器组的容器置换指令,并接收所述容器调度服务器基于所述容器置换指令返回的置换结果。
实际应用中,安全检测服务器向容器调度服务器发送针对被入侵容器组的容器置换指令,即可理解为对所有容器组的置换指令,容器调度服务器可基于该容器置换指令置换掉所有的容器组,并接收到容器调度服务器返回的置换结果;需要说明的是,容器调度服务器具体的置换容器组的过程在本说明书实施例中不作具体限定。
本说明书实施例提供的异常检测方法,通过容器调度服务器对所有的容器组均进行容器置换,保证了容器组正常运行,且解决了容器组对应的应用程序运行的安全问题。
此外,本说明书实施例提供的异常检测方法,在安全检测服务器对各个容器组上报的容器运行状态信息之间进行对比之后,若确定每个容器组的容器运行的状态信息相一致的情况下,即可确定当前周期内各个容器组处于正常运行状态;具体的,所述比对所述至少三个容器组的容器运行状态信息之后,还包括:
在确定所述容器运行状态信息之间的比对结果一致的情况下,基于所述比对结果确定所述目标对象为正常运行状态。
实际应用中,每个容器组中的安全容器在间隔第一预设周期内上报容器运行状态信息之后,安全检测服务器可在间隔第二预设周期对上报的容器运行状态信息进行一致性投票检测,也可以理解为,对各个容器运行状态信息进行相互比对,确定状态信息是否一致,在确定容器运行状态信息之间的比对结果一致的情况下,可基于比对结果确定应用程序为正常运行状态。
需要说明的是,安全检测服务器通过每隔预设时间段内进行一致性投票,以代替通过各种日志检测异常事件,建立的各种入侵检测模型,不仅能够节省大量的建立模型的资源和成本,也使得后续的维护成本变低。
本说明书实施例提供的异常检测方法,在安全检测服务器确定容器组之间的容器运行状态信息比对结果一致的情况下,可确定容器当前运行的应用程序为正常运行状态,并未发生入侵现象。
综上,本说明书实施例提供的异常检测方法,在云原生环境下,提供了一种通用的入侵检测与自愈方案,根据在云原生环境中,所有应用都是以容器交付的,相同镜像生成容器状态是一致的,即形成了安全基线,实现入侵检测,通过比对每个容器组的容器运行状态信息是否保持一致性,确定被入侵的容器组;同时,还可利用云原生的弹性调度能力,快速地置换被入侵的容器组,达到安全自愈的目的。
下述结合附图2,以本说明书提供的异常检测方法在云原生环境的应用为例,对所述异常检测方法进行进一步说明。其中,图2示出了本说明书一个实施例提供的一种云原生环境下异常检测方法的处理过程示意图。
图2中包括安全检测服务器、容器调度服务器(K8S API Server)、应用程序容器组(AppA pod1、AppA pod2、AppA pod3),另外,安全容器周期性采集容器运行时状态包括:1、正在运行的进程及MD5;2、开放的端口;3、目录结构;4、关键目录中的文件名;5、目录属性;6、关键配置文件;7、其他。
实际应用中,在云原生环境下,每个pod部署安全容器,宿主机上部署安全相关采集程序,或与之等价功能安全采集程序;安全容器或安全信息采集程序周期性(N分钟一个周期)采集pod的状态信息;将采集到的信息上报至安全检测服务器(也可以理解为安全调度模块);安全检测服务器将采集到的信息进行汇总,在云原生环境中,相同应用,使用相同镜像部署产生出的容器,其运行状态是一致的,包括进程、网络、文件、目录、配置的一致。若发现状态不一致的容器,可疑是被入侵的容器组;安全检测服务器向容器调度服务器发出容器置换指令,置换掉状态不一致的容器,在被入侵的容器被置换之后,达到了应用程序的安全自愈。
本说明书实施例提供的异常检测方法,通过对容器组的状态信息进行比对,避免通过各种日志检测异常发生的事件,或者构建入侵检测模型所带来的检测复杂度,通过投票原理,快速地识别出状态不一致的容器,进行入侵检测,降低了入侵检测的复杂度和计算成本。
与上述方法实施例相对应,本说明书还提供了异常检测装置实施例,图3示出了本说明书一个实施例提供的一种异常检测装置的结构示意图。如图3所示,该装置包括:
数据接收模块302,被配置为接收至少三个容器组上报的安全数据,其中,所述安全数据包括所述容器组的容器运行状态信息;
信息比对模块304,被配置为比对所述至少三个容器组的容器运行状态信息,在确定所述容器运行状态信息之间的比对结果不一致的情况下,基于所述比对结果确定被入侵容器组。
可选地,所述信息比对模块304,进一步被配置为:
基于所述比对结果确定所述容器运行状态信息的状态类型;
基于所述状态类型的类型数量确定预设检测策略,并基于所述预设检测策略从所述至少三个容器组中确定被入侵容器组。
可选地,所述信息比对模块304,进一步被配置为:
在确定所述状态类型的类型数量为两个的情况下,确定预设检测策略为数量检测策略,其中,所述数量检测策略包括预设数量阈值;
基于所述数量检测策略确定每个状态类型对应的容器组数量,基于所述容器组数量从所述至少三个容器组中确定目标被入侵容器组,其中,所述目标被入侵容器组为与所述预设数量阈值相同的状态类型中的容器组。
可选地,所述信息比对模块304,进一步被配置为:
在确定所述状态类型的类型数量为三个或三个以上的情况下,确定预设检测策略为容器置换策略;
基于所述容器置换策略将所述至少三个容器组作为被入侵容器组。
可选地,所述装置,还包括:
异常处理模块,被配置为向容器调度服务器发送针对所述目标被入侵容器组的容器异常处理指令,其中,所述容器异常处理指令中携带有目标被入侵容器组的容器标识;
接收所述容器调度服务器基于所述目标被入侵容器组的容器标识返回的容器置换结果。
可选地,所述装置,还包括:
容器置换模块,被配置为向容器调度服务器发送针对所述被入侵容器组的容器置换指令,并接收所述容器调度服务器基于所述容器置换指令返回的置换结果。
可选地,所述容器组包括安全容器,
可选地,所述数据接收模块302,进一步被配置为:
基于第一预设周期接收目标对象所运行的至少三个容器组中对应的安全容器上报的安全数据。
可选地,所述容器运行状态信息包括所述目标对象的运行进程、安全信息算法、开放端口、目录结构、目录文件名、目录属性以及配置文件,
可选地,所述信息比对模块304,进一步被配置为:
基于第二预设周期比对所述目标对象所运行的至少三个容器组的目标对象的运行进程、安全信息算法、开放端口、目录结构、目录文件名、目录属性以及配置文件。
可选地,所述装置,还包括:
结果确定模块,被配置为在确定所述容器运行状态信息之间的比对结果一致的情况下,基于所述比对结果确定所述目标对象为正常运行状态。
本说明书实施例提供的异常检测装置,利用以容器交付的应用,相同镜像生成容器状态是一致的,进而,形成安全基准线实现入侵检测;通过接收到容器组上报的安全数据,对比容器组中的容器运行状态信息,在确定容器运行状态信息不一致的情况下,基于比对结果确定被入侵容器组,进而实现对入侵容器的检测,无需通过创建入侵检测模型,也能够精准地对被入侵容器的检测,后期维护的过程中没有那么复杂,也能减少数据存储与计算的成本。
上述为本实施例的一种异常检测装置的示意性方案。需要说明的是,该异常检测装置的技术方案与上述的异常检测方法的技术方案属于同一构思,异常检测装置的技术方案未详细描述的细节内容,均可以参见上述异常检测方法的技术方案的描述。
图4示出了根据本说明书一个实施例提供的一种计算设备400的结构框图。该计算设备400的部件包括但不限于存储器410和处理器420。处理器420与存储器410通过总线430相连接,数据库450用于保存数据。
计算设备400还包括接入设备440,接入设备440使得计算设备400能够经由一个或多个网络460通信。这些网络的示例包括公用交换电话网(PSTN)、局域网(LAN)、广域网(WAN)、个域网(PAN)或诸如因特网的通信网络的组合。接入设备440可以包括有线或无线的任何类型的网络接口(例如,网络接口卡(NIC))中的一个或多个,诸如IEEE802.11无线局域网(WLAN)无线接口、全球微波互联接入(Wi-MAX)接口、以太网接口、通用串行总线(USB)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC)接口,等等。
在本说明书的一个实施例中,计算设备400的上述部件以及图4中未示出的其他部件也可以彼此相连接,例如通过总线。应当理解,图4所示的计算设备结构框图仅仅是出于示例的目的,而不是对本说明书范围的限制。本领域技术人员可以根据需要,增添或替换其他部件。
计算设备400可以是任何类型的静止或移动计算设备,包括移动计算机或移动计算设备(例如,平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如,智能手机)、可佩戴的计算设备(例如,智能手表、智能眼镜等)或其他类型的移动设备,或者诸如台式计算机或PC的静止计算设备。计算设备400还可以是移动式或静止式的服务器。
其中,处理器420用于执行如下计算机可执行指令,该计算机可执行指令被处理器执行时实现上述异常检测方法的步骤。
上述为本实施例的一种计算设备的示意性方案。需要说明的是,该计算设备的技术方案与上述的异常检测方法的技术方案属于同一构思,计算设备的技术方案未详细描述的细节内容,均可以参见上述异常检测方法的技术方案的描述。
本说明书一实施例还提供一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现上述异常检测方法的步骤。
上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是,该存储介质的技术方案与上述的异常检测方法的技术方案属于同一构思,存储介质的技术方案未详细描述的细节内容,均可以参见上述异常检测方法的技术方案的描述。
本说明书一实施例还提供一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述异常检测方法的步骤。
上述为本实施例的一种计算机程序的示意性方案。需要说明的是,该计算机程序的技术方案与上述的异常检测方法的技术方案属于同一构思,计算机程序的技术方案未详细描述的细节内容,均可以参见上述异常检测方法的技术方案的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
所述计算机指令包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本说明书实施例并不受所描述的动作顺序的限制,因为依据本说明书实施例,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本说明书实施例所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书实施例的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本说明书实施例的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。
Claims (12)
1.一种异常检测方法,包括:
接收至少三个容器组上报的安全数据,其中,所述安全数据包括所述容器组正在运行的容器运行状态信息,其中,所述容器运行状态信息包括所述容器组运行过程中的状态参数;
比对所述至少三个容器组正在运行的容器运行状态信息,在确定所述容器运行状态信息之间的比对结果不一致的情况下,基于所述比对结果确定被入侵容器组。
2.根据权利要求1所述的异常检测方法,所述基于所述比对结果确定被入侵容器组,包括:
基于所述比对结果确定所述容器运行状态信息的状态类型;
基于所述状态类型的类型数量确定预设检测策略,并基于所述预设检测策略从所述至少三个容器组中确定被入侵容器组。
3.根据权利要求2所述的异常检测方法,所述基于所述状态类型的类型数量确定预设检测策略,并基于所述预设检测策略从所述至少三个容器组中确定被入侵容器组,包括:
在确定所述状态类型的类型数量为两个的情况下,确定预设检测策略为数量检测策略,其中,所述数量检测策略包括预设数量阈值;
基于所述数量检测策略确定每个状态类型对应的容器组数量,基于所述容器组数量从所述至少三个容器组中确定目标被入侵容器组,其中,所述目标被入侵容器组为与所述预设数量阈值相同的状态类型中的容器组。
4.根据权利要求2所述的异常检测方法,所述基于所述状态类型的类型数量确定预设检测策略,并基于所述预设检测策略从所述至少三个容器组中确定被入侵容器组,包括:
在确定所述状态类型的类型数量为三个或三个以上的情况下,确定预设检测策略为容器置换策略;
基于所述容器置换策略将所述至少三个容器组作为被入侵容器组。
5.根据权利要求3所述的异常检测方法,所述基于所述容器组数量从所述至少三个容器组中确定目标被入侵容器组之后,还包括:
向容器调度服务器发送针对所述目标被入侵容器组的容器异常处理指令,其中,所述容器异常处理指令中携带有目标被入侵容器组的容器标识;
接收所述容器调度服务器基于所述目标被入侵容器组的容器标识返回的容器置换结果。
6.根据权利要求4所述的异常检测方法,所述基于所述容器置换策略将所述至少三个容器组作为被入侵容器组之后,还包括:
向容器调度服务器发送针对所述被入侵容器组的容器置换指令,并接收所述容器调度服务器基于所述容器置换指令返回的置换结果。
7.根据权利要求1所述的异常检测方法,所述容器组包括安全容器,
相应地,所述接收至少三个容器组上报的安全数据,包括:
基于第一预设周期接收目标对象所运行的至少三个容器组中对应的安全容器上报的安全数据。
8.根据权利要求7所述的异常检测方法,所述容器运行状态信息包括所述目标对象的运行进程、安全信息算法、开放端口、目录结构、目录文件名、目录属性以及配置文件,
相应地,所述比对所述至少三个容器组的容器运行状态信息,包括:
基于第二预设周期比对所述目标对象所运行的至少三个容器组的目标对象的运行进程、安全信息算法、开放端口、目录结构、目录文件名、目录属性以及配置文件。
9.根据权利要求7所述的异常检测方法,所述比对所述至少三个容器组的容器运行状态信息之后,还包括:
在确定所述容器运行状态信息之间的比对结果一致的情况下,基于所述比对结果确定所述目标对象为正常运行状态。
10.一种异常检测装置,包括:
数据接收模块,被配置为接收至少三个容器组上报的安全数据,其中,所述安全数据包括所述容器组正在运行的容器运行状态信息,其中,所述容器运行状态信息包括所述容器组运行过程中的状态参数;
信息比对模块,被配置为比对所述至少三个容器组正在运行的容器运行状态信息,在确定所述容器运行状态信息之间的比对结果不一致的情况下,基于所述比对结果确定被入侵容器组。
11.一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至9任意一项所述异常检测方法的步骤。
12.一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至9任意一项所述异常检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210130246.5A CN114168951B (zh) | 2022-02-11 | 2022-02-11 | 异常检测方法以及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210130246.5A CN114168951B (zh) | 2022-02-11 | 2022-02-11 | 异常检测方法以及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114168951A CN114168951A (zh) | 2022-03-11 |
CN114168951B true CN114168951B (zh) | 2022-08-16 |
Family
ID=80489912
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210130246.5A Active CN114168951B (zh) | 2022-02-11 | 2022-02-11 | 异常检测方法以及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114168951B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116821898A (zh) * | 2023-06-30 | 2023-09-29 | 北京火山引擎科技有限公司 | 容器环境的入侵检测方法、设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110618853A (zh) * | 2019-08-02 | 2019-12-27 | 东软集团股份有限公司 | 一种僵尸容器的检测方法、装置及设备 |
CN110830289A (zh) * | 2019-10-21 | 2020-02-21 | 华中科技大学 | 一种容器异常监测方法及监测系统 |
US10824726B1 (en) * | 2018-03-29 | 2020-11-03 | EMC IP Holding Company LLC | Container anomaly detection using container profiles |
US10936717B1 (en) * | 2018-01-30 | 2021-03-02 | EMC IP Holding Company LLC | Monitoring containers running on container host devices for detection of anomalies in current container behavior |
CN112486629A (zh) * | 2020-11-27 | 2021-03-12 | 成都新希望金融信息有限公司 | 微服务状态检测方法、装置、电子设备和存储介质 |
CN112860484A (zh) * | 2021-01-29 | 2021-05-28 | 深信服科技股份有限公司 | 容器运行时异常行为检测、模型训练方法及相关装置 |
CN113297031A (zh) * | 2021-05-08 | 2021-08-24 | 阿里巴巴新加坡控股有限公司 | 容器集群中的容器组防护方法及装置 |
-
2022
- 2022-02-11 CN CN202210130246.5A patent/CN114168951B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10936717B1 (en) * | 2018-01-30 | 2021-03-02 | EMC IP Holding Company LLC | Monitoring containers running on container host devices for detection of anomalies in current container behavior |
US10824726B1 (en) * | 2018-03-29 | 2020-11-03 | EMC IP Holding Company LLC | Container anomaly detection using container profiles |
CN110618853A (zh) * | 2019-08-02 | 2019-12-27 | 东软集团股份有限公司 | 一种僵尸容器的检测方法、装置及设备 |
CN110830289A (zh) * | 2019-10-21 | 2020-02-21 | 华中科技大学 | 一种容器异常监测方法及监测系统 |
CN112486629A (zh) * | 2020-11-27 | 2021-03-12 | 成都新希望金融信息有限公司 | 微服务状态检测方法、装置、电子设备和存储介质 |
CN112860484A (zh) * | 2021-01-29 | 2021-05-28 | 深信服科技股份有限公司 | 容器运行时异常行为检测、模型训练方法及相关装置 |
CN113297031A (zh) * | 2021-05-08 | 2021-08-24 | 阿里巴巴新加坡控股有限公司 | 容器集群中的容器组防护方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN114168951A (zh) | 2022-03-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10911479B2 (en) | Real-time mitigations for unfamiliar threat scenarios | |
US11907696B2 (en) | Methods and apparatus for safe and smart distribution of software patches | |
US10140453B1 (en) | Vulnerability management using taxonomy-based normalization | |
CN112685682B (zh) | 一种攻击事件的封禁对象识别方法、装置、设备及介质 | |
CN112766672A (zh) | 一种基于全面评估的网络安全保障方法及系统 | |
US11416819B2 (en) | Connecting contact center resources using DLT for IOT solutions | |
CN110661811A (zh) | 一种防火墙策略管理方法及装置 | |
US20200044911A1 (en) | Automatic generation of threat remediation steps by crowd sourcing security solutions | |
CN111641601A (zh) | 防火墙管理方法、装置、设备及存储介质 | |
US20220263854A1 (en) | Automated product update management in managed networks | |
CN114168951B (zh) | 异常检测方法以及装置 | |
US11360871B1 (en) | Automatic optimization and hardening of application images | |
CN111381932B (zh) | 触发应用程序更改的方法、装置、电子设备及存储介质 | |
CN110958267B (zh) | 一种虚拟网络内部威胁行为的监测方法及系统 | |
CN114500106A (zh) | 一种服务器的安全管理方法、装置、设备和存储介质 | |
CN114363079A (zh) | 一种云平台的分布式智能数据监管系统 | |
EP4091084A1 (en) | Endpoint security using an action prediction model | |
CN111092886A (zh) | 一种终端防御方法、系统、设备及计算机可读存储介质 | |
CN110750418B (zh) | 一种信息处理方法、电子设备和信息处理系统 | |
CN114338175B (zh) | 数据收集管理系统及数据收集管理方法 | |
CN114422332B (zh) | 网络切片控制方法、装置、处理设备及存储介质 | |
Sodiya et al. | A survivability model for object-oriented software systems | |
CN117914692A (zh) | 内置数据处理单元的安全数据的处理方法、系统及设备 | |
CN117874142A (zh) | 一种云数据库集群管理方法和系统、电子设备及存储介质 | |
AU2022223423A1 (en) | Automated product update management in managed networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |