CN114465774B - 一种网络入侵防御方法及装置 - Google Patents

一种网络入侵防御方法及装置 Download PDF

Info

Publication number
CN114465774B
CN114465774B CN202111656011.1A CN202111656011A CN114465774B CN 114465774 B CN114465774 B CN 114465774B CN 202111656011 A CN202111656011 A CN 202111656011A CN 114465774 B CN114465774 B CN 114465774B
Authority
CN
China
Prior art keywords
intrusion prevention
network
kernel
data packet
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111656011.1A
Other languages
English (en)
Other versions
CN114465774A (zh
Inventor
冯顾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qianxin Technology Group Co Ltd, Secworld Information Technology Beijing Co Ltd filed Critical Qianxin Technology Group Co Ltd
Priority to CN202111656011.1A priority Critical patent/CN114465774B/zh
Publication of CN114465774A publication Critical patent/CN114465774A/zh
Application granted granted Critical
Publication of CN114465774B publication Critical patent/CN114465774B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供的网络入侵防御方法及装置,包括:通过内核态入侵防御模块在目标容器集所属的网络命名空间,获取访问服务器节点的业务消息的网络数据包;通过用户态入侵防御程序将网络命名空间的ID发送到内核态入侵防御模块;将网络数据包及对应的网络命名空间的ID发送到用户态入侵防御程序;通过用户态入侵防御程序根据网络命名空间的ID,获取对应的防护规则集,将网络数据包与防护规则集进行匹配,将基于匹配结果确定的裁决结果发送到内核态入侵防御模块;通过内核态入侵防御模块基于裁决结果对网络数据包进行处理。该方法可以降低主机资源占用及消耗。

Description

一种网络入侵防御方法及装置
技术领域
本发明涉及网络安全领域,尤其涉及一种网络入侵防御方法及装置。
背景技术
容器是一种轻量级虚拟化技术,可以快速高效的建立虚拟系统。但是由于容器是一种基于操作系统内核的虚拟机化技术,其安全性一直被人诟病,对容器进行网络入侵防御十分有必要。
现有的网络入侵防御方法主要是通过在Pod中添加称做Sidecar的辅助安全容器。由安全容器对出入Pod的网络数据包进行过滤,再将流量转发到业务容器。其中,Pod由一个或多个容器组成,是Kubernetes的最小调度单位。Kubernetes是Google开源的一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。在生产环境中部署一个应用程序时,通常要部署该应用的多个实例以便对应用请求进行负载均衡。然而现有的网络入侵防御方法存以下缺陷:
1、需要每个Pod都配置独立的Sidecar容器,对资源的消耗浪费较大。
2、由于要配置独立的Sidecar容器,需要对业务应用容器进行调整,对业务带来侵入性。
3、所有进出POD的流量都要经过Sidecar容器,网络性能影响较大。
发明内容
本发明提供一种一种网络入侵防御方法及装置,用以解决现有技术中资源的消耗浪费较大以及网络性能影响较大的缺陷,可以使业务容器不存在侵入性,降低整体的沟通交流及运维成本。
第一方面,本发明实施例提供了一种网络入侵防御方法,内核态入侵防御模块和用户态入侵防御程序部署在承载运行容器的服务器节点,包括:通过所述内核态入侵防御模块在目标容器集所属的网络命名空间,获取访问所述服务器节点的业务消息的网络数据包;若通过所述内核态入侵防御模块根据网络的连接状态,确定不放行所述网络数据包,通过用户态入侵防御程序将所述网络命名空间的ID发送到所述内核态入侵防御模块;若通过所述内核态入侵防御模块根据所述网络命名空间的ID,确定将所述网络数据包发送到所述用户态入侵防御程序,将所述网络数据包及对应的网络命名空间的ID发送到所述用户态入侵防御程序;通过所述用户态入侵防御程序根据所述网络命名空间的ID,获取对应的防护规则集,将所述网络数据包与所述防护规则集进行匹配,将基于匹配结果确定的裁决结果发送到所述内核态入侵防御模块;通过所述内核态入侵防御模块基于所述裁决结果对所述网络数据包进行处理。
进一步地,所述网络入侵防御方法,还包括:若连续预设数目的网络数据包的裁决结果为放行网络数据包,通过所述用户态入侵防御程序向所述内核态入侵防御模块发送持续放行网络数据包的裁决结果;通过所述内核态入侵防御模块执行放行所述连续预设数目的网络数据包之后的网络数据包的操作。
进一步地,所述通过所述内核态入侵防御模块在目标容器集所属的网络命名空间,获取访问所述服务器节点的业务消息的网络数据包之前,还包括:通过所述内核态入侵防御模块建立所述用户态入侵防御程序与所述内核态入侵防御模块之间进行信息传递的数据通道。
进一步地,所述通过用户态入侵防御程序将所述网络命名空间的ID发送到所述内核态入侵防御模块,包括:通过用户态入侵防御程序根据所述目标容器集的名称,获取所述目标容器集所属网络命名空间的ID;将所述网络命名空间的ID发送到所述内核态入侵防御模块。
进一步地,所述通过所述用户态入侵防御程序根据所述网络命名空间的ID,获取对应的防护规则集,包括:通过所述用户态入侵防御程序访问安全控制中心;在所述安全控制中心中拉取所述目标容器集的防护规则集;基于所述目标容器集与所述网络命名空间的ID的对应关系,获取所述网络命名空间的ID对应的防护规则集。
第二方面,本发明还提供了一种网络入侵防御装置,内核态入侵防御模块和用户态入侵防御程序部署在承载运行容器的服务器节点,包括:获取模块,用于通过所述内核态入侵防御模块在目标容器集所属的网络命名空间,获取访问所述服务器节点的业务消息的网络数据包;第一发送模块,用于若通过所述内核态入侵防御模块根据网络的连接状态,确定不放行所述网络数据包,通过用户态入侵防御程序将所述网络命名空间的ID发送到所述内核态入侵防御模块;第二发送模块,用于若通过所述内核态入侵防御模块根据所述网络命名空间的ID,确定将所述网络数据包发送到所述用户态入侵防御程序,将所述网络数据包及对应的网络命名空间的ID发送到所述用户态入侵防御程序;匹配模块,用于通过所述用户态入侵防御程序根据所述网络命名空间的ID,获取对应的防护规则集,将所述网络数据包与所述防护规则集进行匹配,将基于匹配结果确定的裁决结果发送到所述内核态入侵防御模块;处理模块,用于通过所述内核态入侵防御模块基于所述裁决结果对所述网络数据包进行处理。
进一步地,所述网络入侵防御装置,还包括:第三发送模块,若连续预设数目的网络数据包的裁决结果为放行网络数据包,通过所述用户态入侵防御程序向所述内核态入侵防御模块发送持续放行网络数据包的裁决结果;所述处理模块,还用于通过所述内核态入侵防御模块执行放行所述连续预设数目的网络数据包之后的网络数据包的操作。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述的网络入侵防御方法的步骤。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述的网络入侵防御方法的步骤。
第五方面,本发明实施例还提供了一种计算机程序产品,其上存储有可执行指令,该指令被处理器执行时使处理器实现如第一方面所述的网络入侵防御方法的步骤。
本发明实施例提供的网络入侵防御方法及装置,包括:通过内核态入侵防御模块在目标容器集所属的网络命名空间,获取访问服务器节点的业务消息的网络数据包;若通过内核态入侵防御模块根据网络的连接状态,确定不放行网络数据包,通过用户态入侵防御程序将网络命名空间的ID发送到内核态入侵防御模块;若通过内核态入侵防御模块根据网络命名空间的ID,确定将网络数据包发送到用户态入侵防御程序,将网络数据包及对应的网络命名空间的ID发送到用户态入侵防御程序;通过用户态入侵防御程序根据网络命名空间的ID,获取对应的防护规则集,将网络数据包与防护规则集进行匹配,将基于匹配结果确定的裁决结果发送到内核态入侵防御模块;通过内核态入侵防御模块基于裁决结果对网络数据包进行处理。通过对网络命名空间中网络数据包的拦截及对需要发送的网络数据包进行发送,用户态入侵防御模块通过网络命名空间ID识别不同的防护规则集,完成针对不同目标容器集使用不同的防护规则集进行匹配,实现使用一套程序防护节点上的所有目标容器集的效果,降低主机资源占用及消耗;安装部署过程只涉及节点的操作,不涉及业务容器的调整,对业务没有侵入性,简化整体安装部署及运维过程。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种网络入侵防御方法实施例的流程示意图;
图2为本发明提供的另一种网络入侵防御方法实施例的流程示意图;
图3为本发明提供的一种获取防护规则集的方法实施例的流程示意图
图4为本发明提供的一种网络入侵防御方法的流程示意图;
图5为本发明提供的一种网络入侵防御装置实施例的结构组成示意图;
图6为本发明提供的一种网络入侵防御系统实施例的结构组成示意图;
图7示例了一种电子设备的实体结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明提供的一种网络入侵防御方法实施例的流程示意图。如图1所示,该网络入侵防御方法,可以包括以下步骤:
S101,通过内核态入侵防御模块在目标容器集所属的网络命名空间,获取访问服务器节点的业务消息的网络数据包。
在步骤S101中,业务消息访问服务器时,业务消息的网络数据包到达承载运行容器的服务器节点,该承载运行容器的服务器节点可以是Node节点,Node节点的内核协议栈将该网络数据包发送至目标容器集所属的网络命名空间。目标容器集,也被称为pod,可以由一个或多个容器组成,是Kubernetes的最小调度单位。Netfilter是Linux系统在tcp/ip协议栈特定位置放置HOOK(俗称钩子函数)的框架,网络数据包被内核协议栈处理时,遇到HOOK函数,就执行HOOK函数中的操作,如网络数据包过滤、NAT、连接跟踪。网络命名空间是Linux网络系统的逻辑隔离空间,为命名空间内的所有进程提供了全新隔离的网络协议栈,包括网络接口,路由表和iptables规则等。
S102,若通过内核态入侵防御模块根据网络的连接状态,确定不放行网络数据包,通过用户态入侵防御程序将网络命名空间的ID发送到内核态入侵防御模块。
在步骤S102中,网络的连接状态可以包括放行状态、丢弃状态和不放行状态,本发明实施例对此不作限定。若网络络的连接状态为不放行状态,则可以确定不放行网络数据包。通过用户态入侵防御程序将所述网络命名空间的ID发送到内核态入侵防御模块,对网络数据包的处理进行进一步判断。
S103,若通过内核态入侵防御模块根据网络命名空间的ID,确定将网络数据包发送到用户态入侵防御程序,将网络数据包及对应的网络命名空间的ID发送到用户态入侵防御程序。
在步骤S103中,可以根据网络命名空间的ID确定对应的网络命名空间是否是安全的,若是安全的,则无需将其发送到用户态入侵防御程序,若是不安全的,则需要将其发送到用户态入侵防御程序。可以基于预设的白名单判断网络命名空间的ID对应的网络命名空间是否是安全的。若网络命名空间的ID存在于预设的白名单上,则可以确定对应的网络命名空间是安全的;若网络命名空间的ID不存在于预设的白名单上,则可以确定对应的网络命名空间是不安全的。本发明实施例对判断网络命名空间的ID对应的网络命名空间是否是安全的方法不作限定。
S104,若通过用户态入侵防御程序根据网络命名空间的ID,获取对应的防护规则集,将网络数据包与防护规则集进行匹配,将基于匹配结果确定的裁决结果发送到内核态入侵防御模块。
在步骤S104中,不同的网络命名空间对应不同的防护规则集,基于网络命名空间的ID与防护规则集的映射关系可以确定网络命名空间对用的防护规则集。网络命名空间的ID与防护规则集的映射关系可以基于目标容器集确定的,本发明实施例对此不作限定。
可以将网络数据包与防护规则集的特定位置的特定内容进行匹配,确定网络数据包中是否包含恶意特征。若在匹配的结果为网络数据包中包含恶意特征,则向内核态入侵防御模块下发丢弃该网络数据包的裁决结果;若在匹配的结果为网络数据包中不包含恶意特征,则向内核态入侵防御模块下发放行该网络数据包的裁决结果。
S105,通过内核态入侵防御模块基于裁决结果对网络数据包进行处理。
在步骤S105中,若裁决结果为放行网络数据包,则执行放行网络数据包的操作;若裁决结果为丢弃网络数据包,则执行丢弃网络数据包的操作。
本发明实施例提供的网络入侵防御方法,包括:通过内核态入侵防御模块在目标容器集所属的网络命名空间,获取访问服务器节点的业务消息的网络数据包;若通过内核态入侵防御模块根据网络的连接状态,确定不放行网络数据包,通过用户态入侵防御程序将网络命名空间的ID发送到内核态入侵防御模块;若通过内核态入侵防御模块根据网络命名空间的ID,确定将网络数据包发送到用户态入侵防御程序,将网络数据包及对应的网络命名空间的ID发送到用户态入侵防御程序;通过用户态入侵防御程序根据网络命名空间的ID,获取对应的防护规则集,将网络数据包与防护规则集进行匹配,将基于匹配结果确定的裁决结果发送到内核态入侵防御模块;通过内核态入侵防御模块基于裁决结果对网络数据包进行处理。通过使用Netfilter框架在不同目标容器集所属的网络命名空间中拦截网络数据包,然后将网络命名空间ID和网络数据包附加在一起通过数据通道发送到用户态入侵防御程序。通过内核协议栈实现对网络命名空间中网络数据包的拦截及对需要发送的网络数据包进行发送,用户态入侵防御模块通过网络命名空间ID识别不同的防护规则集,完成针对不同目标容器集使用不同的防护规则集进行匹配,实现使用一套程序防护节点上的所有目标容器集的效果,降低主机资源占用及消耗;安装部署过程只涉及节点的操作,不涉及业务容器的调整,对业务没有侵入性,简化整体安装部署及运维过程。
图2为本发明提供的另一种网络入侵防御方法实施例的流程示意图。如图2所示,该网络入侵防御方法,可以包括以下步骤:
S201,若连续预设数目的网络数据包的裁决结果为放行网络数据包,通过用户态入侵防御程序向内核态入侵防御模块发送持续放行网络数据包的裁决结果。
S202,通过内核态入侵防御模块执行放行连续预设数目的网络数据包之后的网络数据包的操作。
在步骤S201和步骤S202中,预设数目可以为10,16,或者20,本发明实施例对此不作限定。若预设数目为16,当连续16个网络数据包的裁决结果为放行网络数据包,用户态入侵防御程序下发持续放行网络数据包的裁决结果,也就是说,此时默认网络连接是安全的,无需将连续16个放行的网络数据包之后的网络数据包发送至用户态入侵防御程序进行进一步的识别匹配,即当获取到第17个及以后的网络数据包时,直接对该网络数据包执行放行的操作。
本发明提供的对网络数据包放行的方法,在连续预设的数目的网络数据包被放行后,认为此时的网络连接是安全的,后续的网络数据包直接放行,使后续网络数据包不再发送到用户态入侵防御程序,降低整体的网络性能消耗。
在一些可选的实施例中,通过内核态入侵防御模块在目标容器集所属的网络命名空间,获取访问服务器节点的业务消息的网络数据包之前,还可以包括:通过内核态入侵防御模块建立用户态入侵防御程序与内核态入侵防御模块之间进行信息传递的数据通道。
其中,数据通道可以包括内存映射通道及控制信令通道,本发明实施例对此不作限定。其中,内存映射通道用于发送网络数据包及对应的网络命名空间的ID到用户态入侵防御程序,控制信令通道用于发送网络命名空间的ID及裁决结果到内核态入侵防御模块。
本发明实施例提供的建立数据通道的方法,通过建立内存映射通道及控制信令通道区分上传数据和下发数据,保证数据传输的正确性并提升数据传输效率。
在一些可选的实施例中,通过用户态入侵防御程序将网络命名空间的ID发送到内核态入侵防御模块,可以包括:通过用户态入侵防御程序根据目标容器集的名称,获取目标容器集所属网络命名空间的ID;将网络命名空间的ID发送到内核态入侵防御模块。
其中,目标容器集的名称与目标容器集所属网络命名空间的ID存在对应关系,其对应关系可以被记录在预先设定的列表中,根据该列表可以确定该网络命名空间的ID,将网络命名空间的ID发送到内核态入侵防御模块。
本发明实施例提供的确定网络命名空间的ID的方法,基于目标容器集的名称与目标容器集所属网络命名空间的ID的对应关系,可以快速获取网络命名空间的ID。
图3为本发明提供的一种获取防护规则集的方法实施例的流程示意图。如图3所示,该获取防护规则集的方法,可以包括以下步骤:
S301,通过用户态入侵防御程序访问安全控制中心。
S302,在安全控制中心中拉取目标容器集的防护规则集;
S303,基于目标容器集与网络命名空间的ID的对应关系,获取网络命名空间的ID对应的防护规则集。
在步骤S301至步骤S303中,安全控制中心是独立部署的WEB服务,负责向用户态入侵防御程序下发防护目标容器集的防护规则集。通过用户态入侵防御程序对其访问,可以拉取到目标容器集的防护规则集,由于目标容器集与网络命名空间的ID存在对应关系,可以根据目标容器集建立起网络命名空间的ID与防护规则集的对应关系,即可以获取网络命名空间的ID对应的防护规则集。
本发明提供的一种获取防护规则集的方法,可以通过拉取目标容器集的防护规则集,间接获取网络命名空间的ID对应的防护规则集。
图4为本发明提供的一种网络入侵防御方法的流程示意图。如图4所示,该网络入侵防御方法可以包括以下步骤:
网络数据包到达Node节点的内核协议栈,内核态入侵防御模块根据网络数据包的连状态是否为持续放行;若是,则放行网络数据包;若不是,则用户态入侵防御程序向内核态入侵防御模块下发网络数据包所在目标容器集所属网络命名空间的ID,内核态入侵防御模块根据网络命名空间的ID确定是否将网络数据包上传到用户态入侵防御程序;若不需要,则放行网络数据包;若需要,则将网络数据包及对应的网络命名空间ID上传到用户态入侵防御程序。用户态入侵防御程序根据网络命名空间ID获取对应的防护规则集,将网络数据包与防护规则集进行匹配,根据匹配的结果确定裁决结果。用户态入侵防御程序将裁决结果下发到内核态入侵防御模块,内核态入侵防御模块根据裁决结果执行相应操作,若裁决结果为放行网络数据包,则执行放行网络数据包的操作,若裁决结果为丢弃网络数据包,则执行丢弃网络数据包的操作。
图5为本发明提供的一种网络入侵防御装置实施例的结构组成示意图。如图5所示,该网络入侵防御装置,包括:
获取模块501,用于通过内核态入侵防御模块在目标容器集所属的网络命名空间,获取访问服务器节点的业务消息的网络数据包;
第一发送模块502,用于若通过内核态入侵防御模块根据网络的连接状态,确定不放行网络数据包,通过用户态入侵防御程序将网络命名空间的ID发送到内核态入侵防御模块;
第二发送模块503,用于若通过内核态入侵防御模块根据网络命名空间的ID,确定将网络数据包发送到用户态入侵防御程序,将网络数据包及对应的网络命名空间的ID发送到用户态入侵防御程序;
匹配模块504,用于通过用户态入侵防御程序根据网络命名空间的ID,获取对应的防护规则集,将网络数据包与防护规则集进行匹配,将基于匹配结果确定的裁决结果发送到内核态入侵防御模块;
处理模块505,用于通过内核态入侵防御模块基于裁决结果对网络数据包进行处理。
可选地,该网络入侵防御装置,还包括:
第三发送模块,若连续预设数目的网络数据包的裁决结果为放行网络数据包,通过用户态入侵防御程序向内核态入侵防御模块发送持续放行网络数据包的裁决结果;
处理模块505,还用于通过内核态入侵防御模块执行放行连续预设数目的网络数据包之后的网络数据包的操作。
可选地,该网络入侵防御装置,还包括:
建立模块,用于通过内核态入侵防御模块建立用户态入侵防御程序与内核态入侵防御模块之间进行信息传递的数据通道。
可选地,第一发送模块502,包括:
获取单元,用于通过用户态入侵防御程序根据目标容器集的名称,获取目标容器集所属网络命名空间的ID;
发送单元,用于将网络命名空间的ID发送到内核态入侵防御模块。
可选地,匹配模块504,包括:
访问单元,用于通过用户态入侵防御程序访问安全控制中心;
拉取单元,用于在安全控制中心中拉取目标容器集的防护规则集;
获取单元,用于基于目标容器集与网络命名空间的ID的对应关系,获取网络命名空间的ID对应的防护规则集。
图6为本发明提供的一种网络入侵防御系统实施例的结构组成示意图。如图6所示,该网络入侵防御系统,包括:用户态入侵防御程序、内核态入侵防御模块、内核协议栈、容器集和安全控制中心。
其中,安全控制中心是独立部署的WEB服务,负责向用户态入侵防御程序下发防护容器集的相应的防护规则集。用户态入侵防御程序部署在Node节点,访问安全控制中心拉取需要防护的容器集的相应的防护规则集,并下发流量发送配置给内核态入侵防御模块。内核态入侵防御模块部署在Node节点,根据用户态入侵防御程序下发的流量发送配置,将特定网络命名空间的流量通过内存映射通道发送到用户态入侵防御程序。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)701、通信接口(CommunicationsInterface)702、存储器(memory)703和通信总线704,其中,处理器701,通信接口702,存储器703通过通信总线704完成相互间的通信。处理器701可以调用存储器703中的逻辑指令,以执行如下方法:通过内核态入侵防御模块在目标容器集所属的网络命名空间,获取访问服务器节点的业务消息的网络数据包;若通过内核态入侵防御模块根据网络的连接状态,确定不放行网络数据包,通过用户态入侵防御程序将网络命名空间的ID发送到内核态入侵防御模块;若通过内核态入侵防御模块根据网络命名空间的ID,确定将网络数据包发送到用户态入侵防御程序,将网络数据包及对应的网络命名空间的ID发送到用户态入侵防御程序;通过用户态入侵防御程序根据网络命名空间的ID,获取对应的防护规则集,将网络数据包与防护规则集进行匹配,将基于匹配结果确定的裁决结果发送到内核态入侵防御模块;通过内核态入侵防御模块基于裁决结果对网络数据包进行处理。
此外,上述的存储器703中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各实施例提供的网络入侵防御方法,例如包括:通过内核态入侵防御模块在目标容器集所属的网络命名空间,获取访问服务器节点的业务消息的网络数据包;若通过内核态入侵防御模块根据网络的连接状态,确定不放行网络数据包,通过用户态入侵防御程序将网络命名空间的ID发送到内核态入侵防御模块;若通过内核态入侵防御模块根据网络命名空间的ID,确定将网络数据包发送到用户态入侵防御程序,将网络数据包及对应的网络命名空间的ID发送到用户态入侵防御程序;通过用户态入侵防御程序根据网络命名空间的ID,获取对应的防护规则集,将网络数据包与防护规则集进行匹配,将基于匹配结果确定的裁决结果发送到内核态入侵防御模块;通过内核态入侵防御模块基于裁决结果对网络数据包进行处理。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的网络入侵防御方法,例如包括:通过内核态入侵防御模块在目标容器集所属的网络命名空间,获取访问服务器节点的业务消息的网络数据包;若通过内核态入侵防御模块根据网络的连接状态,确定不放行网络数据包,通过用户态入侵防御程序将网络命名空间的ID发送到内核态入侵防御模块;若通过内核态入侵防御模块根据网络命名空间的ID,确定将网络数据包发送到用户态入侵防御程序,将网络数据包及对应的网络命名空间的ID发送到用户态入侵防御程序;通过用户态入侵防御程序根据网络命名空间的ID,获取对应的防护规则集,将网络数据包与防护规则集进行匹配,将基于匹配结果确定的裁决结果发送到内核态入侵防御模块;通过内核态入侵防御模块基于裁决结果对网络数据包进行处理。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种网络入侵防御方法,内核态入侵防御模块和用户态入侵防御程序部署在承载运行容器的服务器节点,其特征在于,包括:
通过所述内核态入侵防御模块在目标容器集所属的网络命名空间,获取访问所述服务器节点的业务消息的网络数据包;
若通过所述内核态入侵防御模块根据网络的连接状态,确定不放行所述网络数据包,通过所述用户态入侵防御程序将所述网络命名空间的ID发送到所述内核态入侵防御模块;
若通过所述内核态入侵防御模块根据所述网络命名空间的ID,确定将所述网络数据包发送到所述用户态入侵防御程序,将所述网络数据包及对应的网络命名空间的ID发送到所述用户态入侵防御程序;
通过所述用户态入侵防御程序根据所述网络命名空间的ID,获取对应的防护规则集,将所述网络数据包与所述防护规则集进行匹配,将基于匹配结果确定的裁决结果发送到所述内核态入侵防御模块;
通过所述内核态入侵防御模块基于所述裁决结果对所述网络数据包进行处理。
2.根据权利要求1所述的网络入侵防御方法,其特征在于,还包括:
若连续预设数目的网络数据包的裁决结果为放行网络数据包,通过所述用户态入侵防御程序向所述内核态入侵防御模块发送持续放行网络数据包的裁决结果;
通过所述内核态入侵防御模块执行放行所述连续预设数目的网络数据包之后的网络数据包的操作。
3.根据权利要求1所述的网络入侵防御方法,其特征在于,所述通过所述内核态入侵防御模块在目标容器集所属的网络命名空间获取访问所述服务器节点的业务消息的网络数据包之前,还包括:
通过所述内核态入侵防御模块建立所述用户态入侵防御程序与所述内核态入侵防御模块之间进行信息传递的数据通道。
4.根据权利要求1所述的网络入侵防御方法,其特征在于,所述通过所述用户态入侵防御程序将所述网络命名空间的ID发送到所述内核态入侵防御模块,包括:
通过用户态入侵防御程序根据所述目标容器集的名称,获取所述目标容器集所属网络命名空间的ID;
将所述网络命名空间的ID发送到所述内核态入侵防御模块。
5.根据权利要求1所述的网络入侵防御方法,其特征在于,所述通过所述用户态入侵防御程序根据所述网络命名空间的ID,获取对应的防护规则集,包括:
通过所述用户态入侵防御程序访问安全控制中心;
在所述安全控制中心中拉取所述目标容器集的防护规则集;
基于所述目标容器集与所述网络命名空间的ID的对应关系,获取所述网络命名空间的ID对应的防护规则集。
6.一种网络入侵防御装置,内核态入侵防御模块和用户态入侵防御程序部署在承载运行容器的服务器节点,其特征在于,包括:
获取模块,用于通过所述内核态入侵防御模块在目标容器集所属的网络命名空间,获取访问所述服务器节点的业务消息的网络数据包;
第一发送模块,用于若通过所述内核态入侵防御模块根据网络的连接状态,确定不放行所述网络数据包,通过用户态入侵防御程序将所述网络命名空间的ID发送到所述内核态入侵防御模块;
第二发送模块,用于若通过所述内核态入侵防御模块根据所述网络命名空间的ID,确定将所述网络数据包发送到所述用户态入侵防御程序,将所述网络数据包及对应的网络命名空间的ID发送到所述用户态入侵防御程序;
匹配模块,用于通过所述用户态入侵防御程序根据所述网络命名空间的ID,获取对应的防护规则集,将所述网络数据包与所述防护规则集进行匹配,将基于匹配结果确定的裁决结果发送到所述内核态入侵防御模块;
处理模块,用于通过所述内核态入侵防御模块基于所述裁决结果对所述网络数据包进行处理。
7.根据权利要求6所述的网络入侵防御装置,其特征在于,还包括:
第三发送模块,若连续预设数目的网络数据包的裁决结果为放行网络数据包,通过所述用户态入侵防御程序向所述内核态入侵防御模块发送持续放行网络数据包的裁决结果;
所述处理模块,还用于通过所述内核态入侵防御模块执行放行所述连续预设数目的网络数据包之后的网络数据包的操作。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~5任一项所述的网络入侵防御方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1~5任一项所述的网络入侵防御方法的步骤。
10.一种计算机程序产品,其上存储有可执行指令,其特征在于,该指令被处理器执行时使处理器实现如权利要求1~5任一项所述的网络入侵防御方法的步骤。
CN202111656011.1A 2021-12-30 2021-12-30 一种网络入侵防御方法及装置 Active CN114465774B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111656011.1A CN114465774B (zh) 2021-12-30 2021-12-30 一种网络入侵防御方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111656011.1A CN114465774B (zh) 2021-12-30 2021-12-30 一种网络入侵防御方法及装置

Publications (2)

Publication Number Publication Date
CN114465774A CN114465774A (zh) 2022-05-10
CN114465774B true CN114465774B (zh) 2024-04-19

Family

ID=81407395

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111656011.1A Active CN114465774B (zh) 2021-12-30 2021-12-30 一种网络入侵防御方法及装置

Country Status (1)

Country Link
CN (1) CN114465774B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115174206B (zh) * 2022-07-01 2024-04-02 江苏深网科技有限公司 透明网桥模式下的用户态应用安全检测方法及检测系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109218327A (zh) * 2018-10-15 2019-01-15 西安电子科技大学 基于云容器的主动防御技术
CN109450848A (zh) * 2018-09-21 2019-03-08 北京奇安信科技有限公司 一种Docker东西向流量入侵防御方法及装置
CN109905361A (zh) * 2019-01-08 2019-06-18 深圳大学 物联网DDoS攻击防御方法、装置、系统及存储介质
CN110912882A (zh) * 2019-11-19 2020-03-24 北京工业大学 一种基于智能算法的入侵检测方法及系统
CN111355686A (zh) * 2018-12-21 2020-06-30 中国电信股份有限公司 泛洪攻击的防御方法、装置、系统和存储介质
CN112153049A (zh) * 2020-09-24 2020-12-29 绿盟科技集团股份有限公司 一种入侵检测方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11669426B2 (en) * 2017-06-30 2023-06-06 International Business Machines Corporation Kernel-based power consumption and isolation and defense against emerging power attacks

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109450848A (zh) * 2018-09-21 2019-03-08 北京奇安信科技有限公司 一种Docker东西向流量入侵防御方法及装置
CN109218327A (zh) * 2018-10-15 2019-01-15 西安电子科技大学 基于云容器的主动防御技术
CN111355686A (zh) * 2018-12-21 2020-06-30 中国电信股份有限公司 泛洪攻击的防御方法、装置、系统和存储介质
CN109905361A (zh) * 2019-01-08 2019-06-18 深圳大学 物联网DDoS攻击防御方法、装置、系统及存储介质
CN110912882A (zh) * 2019-11-19 2020-03-24 北京工业大学 一种基于智能算法的入侵检测方法及系统
CN112153049A (zh) * 2020-09-24 2020-12-29 绿盟科技集团股份有限公司 一种入侵检测方法及装置

Also Published As

Publication number Publication date
CN114465774A (zh) 2022-05-10

Similar Documents

Publication Publication Date Title
US10700979B2 (en) Load balancing for a virtual networking system
US10719369B1 (en) Network interfaces for containers running on a virtual machine instance in a distributed computing environment
US8005022B2 (en) Host operating system bypass for packets destined for a virtual machine
EP3669532B1 (en) Managing network connectivity between cloud computing service endpoints and virtual machines
US8392565B2 (en) Network memory pools for packet destinations and virtual machines
US20160337372A1 (en) Network system, controller and packet authenticating method
US9854045B2 (en) Generic cloud enabling of stateful applications
US20070140263A1 (en) Virtual machine system and method of network communication between virtual machines
JP2017538179A5 (zh)
EP2991319B1 (en) Method and device for router-based networking control
US10191760B2 (en) Proxy response program, proxy response device and proxy response method
JP2013511207A5 (zh)
CN112910685B (zh) 实现对容器网络统一管理的方法及装置
EP3588856B1 (en) Technologies for hot-swapping a legacy appliance with a network functions virtualization appliance
CN115037551B (zh) 连接权限控制方法、装置、电子设备及存储介质
CN114465774B (zh) 一种网络入侵防御方法及装置
KR102153585B1 (ko) 네트워크 기능 가상화 장치 및 방법
CN111885031B (zh) 一种基于会话过程的细粒度访问控制方法及系统
US10181031B2 (en) Control device, control system, control method, and control program
US9847927B2 (en) Information processing device, method, and medium
CN117240935A (zh) 基于dpu的数据平面转发方法、装置、设备及介质
EP2992441A1 (en) Governing bare metal guests
US7848331B2 (en) Multi-level packet classification
CN114528114B (zh) 数据处理方法、装置及设备
WO2012015127A1 (ko) 웹 데이터의 권한 관리 장치, 웹 데이터의 권한 관리 방법을 컴퓨터에서 실행시키기 위한 기록매체, 그리고 권한 관리 정보 제공 장치 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Country or region after: China

Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant after: Qianxin Technology Group Co.,Ltd.

Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd.

Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant before: Qianxin Technology Group Co.,Ltd.

Country or region before: China

Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc.

GR01 Patent grant
GR01 Patent grant