CN114491516B - 一种基于容器环境的威胁检测诱捕方法 - Google Patents

一种基于容器环境的威胁检测诱捕方法 Download PDF

Info

Publication number
CN114491516B
CN114491516B CN202210093268.9A CN202210093268A CN114491516B CN 114491516 B CN114491516 B CN 114491516B CN 202210093268 A CN202210093268 A CN 202210093268A CN 114491516 B CN114491516 B CN 114491516B
Authority
CN
China
Prior art keywords
environment
trapping
container
threat detection
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210093268.9A
Other languages
English (en)
Other versions
CN114491516A (zh
Inventor
程亚皓
袁曙光
王震
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Xiaoyou Network Technology Co ltd
Original Assignee
Beijing Xiaoyou Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Xiaoyou Network Technology Co ltd filed Critical Beijing Xiaoyou Network Technology Co ltd
Priority to CN202210093268.9A priority Critical patent/CN114491516B/zh
Publication of CN114491516A publication Critical patent/CN114491516A/zh
Application granted granted Critical
Publication of CN114491516B publication Critical patent/CN114491516B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2127Bluffing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Measurement Of Radiation (AREA)

Abstract

本申请提供了一种基于容器环境的威胁检测诱捕方法,该基于容器环境的威胁检测诱捕方法包括包括在部署编排系统构建诱捕环境,诱捕环境与正式业务环境共存且互不影响;在诱捕环境中创建容器组,且创建容器组时固定容器名称按照一定规范进行命名;还包括用于检测诱捕环境中的威胁检测模块,威胁检测模块通过事件分析系统捕获诱捕环境中的容器组的进程事件。以上描述中可以看出,本申请中使得诱捕环境更加真实,由于容器负载小、启动快,相互之间隔离性也很强,诱捕环境和正式环境共存互不影响,还可以减少主机资源消耗。结合具体环境针对分析,具有准确、高效、安全性高的优点。

Description

一种基于容器环境的威胁检测诱捕方法
技术领域
本申请涉及到信息安全技术领域,尤其涉及到一种基于容器环境的威胁检测诱捕方法。
背景技术
随着网络高速发展,网络中的资源也在增加,如何提高暴露在网络中资源的安全性,是目前急需解决的问题。因此,只有能够捕获到攻击方更多特征,才能够更多的对其进行识别和防护。
容器是操作系统上一种轻量化的虚拟技术,通过隔离容器和宿主机系统的运行环境,使容器内的应用进程运行在自己独立的环境中。Kubernetes是容器的部署编排系统,通过该系统,可以统一管理集群内不同节点上的所有pod即容器组,事实上在Kubernetes中最小的管理单位就是pod容器组,每个pod由多个容器组成。
目前的诱骗环境还是通过虚拟程序放到一个单独主机。如果需要的诱骗环境很多维护更新很不方便,也会给主机本身带来很大消耗,还会造成系统不稳定。而且攻击者的行为也无法有效监控。还有可能使攻击者发现环境的不真实性,导致无法真正的诱骗到攻击者。而且环境产生的事件很多会导致分析效率低下,误报多的问题。
发明内容
一种基于容器环境的威胁检测诱捕方法,包括在部署编排系统构建诱捕环境,所述诱捕环境与正式业务环境共存且互不影响;
在所述诱捕环境中创建容器组,且创建所述容器组时固定容器名称按照一定规范进行命名;
还包括用于检测所述诱捕环境中的威胁检测模块,所述威胁检测模块通过事件分析系统捕获所述诱捕环境中的容器组的进程事件。
在一个具体的可实施方案中,所述诱捕环境通过namespace进行资源隔离。
在一个具体的可实施方案中,所述容器组包含对应服务所在的多个所述固定容器。
在一个具体的可实施方案中,所述容器组设置有一组和/或多组。
在一个具体的可实施方案中,所述威胁检测模块根据内置威胁检测规则去匹配所述诱捕环境产生的各种事件。
在一个具体的可实施方案中,所述事件分析系统通过发现所述诱捕环境中的所述容器组的至少三个方面进行事件监控;且针对产生的事件通过对应规则引擎进行规则匹配。
在一个具体的可实施方案中,所述至少三个方面包括:网络事件采集、文件事件采集以及进程事件采集。
在一个具体的可实施方案中,所述事件分析系统对命中规则后的当前行为进行标记并报告。
本申请中使得诱捕环境更加真实,由于容器负载小、启动快,相互之间隔离性也很强,诱捕环境和正式环境共存互不影响,还可以减少主机资源消耗。结合具体环境针对分析,具有准确、高效、安全性高的优点。
附图说明
图1为本申请实施例提供的基于容器环境的威胁检测诱捕方法的第一实施例的构架示意图;
图2为本申请实施例提供的基于容器环境的威胁检测诱捕方法的第二实施例的构架示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。
参考图1,本申请中基于容器环境的威胁检测诱捕方法包括,包括首先在Kubernetes集群中创建一个属于诱捕环境的namespace,通过namespace进行资源隔离。通过进行资源隔离诱捕环境与正式业务环境共存且互不影响;
然后在已创建的namespace中创建诱捕环境所需要的对应服务的容器组(pod),容器组(pod)包含对应服务所在的多个固定容器。并且,本申请实施例中的不仅仅针对一个容器组(pod)启动,为此容器组(pod)设置有一组和/或多组。
在具体创建容器组(pod)时需要固定容器名称按照一定规范进行命名,方便在事件分析系统中查找和绑定对应诱捕容器。具体创建容器组(pod)包括以下步骤:
1.执行创建namespace命令kubectl create namespace{namespace名称}。
2.创建一份编排文件,然后只需要执行此命令kubectl apply-f{编排文件名}即可创建对应pod。
3.可根据自身环境针对性对指定诱捕环境进行资源、权限限制,增强安全性。
以上只是针对一个容器组(pod)的启动,此方案可根据具体环境进行适度增加容器组(pod)增加对攻击者诱惑强度和迷惑强度,也可结合具体环境的业务制作更加真实的诱捕环境。此方案的移植性和可操作性非常强,只要相同基础环境支持只需复制以上操作就可创建一个诱捕环境。还包括用于检测诱捕环境中的威胁检测模块,威胁检测模块通过事件分析系统捕获诱捕环境中的容器组的进程事件。本申请中的第一实施例中对构建诱捕环境进行详细阐述,当然也包含对诱捕环境中的事件采集和威胁检测方式进行同步运行。
参考图2,在本申请中的第二实施例中,首先制作一份诱捕环境容器启动所需的镜像,此镜像需根据待保护服务来制作。这样才能是诱捕环境更真实、更有迷惑度。然后通过docker run命令启动对应镜像,并将服务端口暴露。
威胁检测模块根据内置威胁检测规则去匹配诱捕环境产生的各种事件。并且事件分析系统通过发现诱捕环境中的容器组的至少三个方面进行事件监控;且针对产生的事件通过对应规则引擎进行规则匹配。具体的,威胁检测模块是根据内置威胁检测规则去匹配诱捕环境产生的各种事件。事件分析系统通过发现诱捕环境对应服务容器进行文件、网络、进程三个方面的事件监控,针对产生的事件通过对应规则引擎进行规则匹配。
具体的,三个方面包括:网络事件采集,文件事件采集以及进程事件采集。
其中,网络事件采集;网络事件采集使用eBPF(全称extendedBerkeley PacketFilter),Linux内核提供了一种扩展的BPF(全称Berkeley Packet Filter)虚拟机。它能够被用于非网络相关的功能,能够向用户空间提供一个向内核注入可执行代码的接口。eBPF(全称extended Berkeley Packet Filter)具有独立的寄存器,提供单独的虚拟机环境,因此在BPF(全称Berkeley Packet Filter)虚拟环境中运行代码不会对系统造成影响,具有安全性。只需要监控对应容器进程及其创建出的子进程的网络事件。
另外,文件事件采集;文件事件采集是通过Linux内核notify机制监控文件系统的变化,比如删除、读、写和卸载等操作。notify机制是让某个子系统在发生某个事件时通知其它子系统。基于Docker容器技术使用联合文件系统(UnionFS)并利用notify机制,联合文件系统(Union File System)也可称为UnionFS,此系统最主要的功能是将多个目录(被称为layer)联合挂载到同一目录下。Overlay2就是Docker所用到的联合文件系统中的一种。容器的基础层就是基于镜像层上增加一层,所以容器运行后的所有文件都会体现在容器层目录merged中。所以需要将所有诱捕环境容器的层目录挂载到事件分析系统可访问环境。文件事件采集系统会将对应容器的所有文件添加到监控列表,接收其操作事件。
此外,进程事件采集;进程事件采集方案是通过进程事件引擎监听Darwin/BSD上的kqueue和Linux上的netlink连接器从内核捕获进程事件。
由以上描述中可以看出,事件分析系统基于采集到的各类事件进行规则匹配。每类事件都有针对于当前类型的规则,当命中规则后会将当前行为标记并报告。可以精准定位到具体问题点。
本申请中使得诱捕环境更加真实,由于容器负载小、启动快,相互之间隔离性也很强,诱捕环境和正式环境共存互不影响,还可以减少主机资源消耗。结合具体环境针对分析,具有准确、高效、安全性高的优点。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (6)

1.一种基于容器环境的威胁检测诱捕方法,其特征在于,包括:
在部署编排系统构建诱捕环境,所述诱捕环境与正式业务环境共存且互不影响;
在所述诱捕环境中创建容器组,且创建所述容器组时固定容器名称按照一定规范进行命名;
制作一份诱捕环境容器启动所需的镜像;通过dockerrun命令启动对应镜像,并将服务端口暴露;
通过事件分析系统捕获所述诱捕环境中的容器组的进程事件;
具体的,所述事件分析系统通过发现所述诱捕环境中的所述容器组的至少三个方面进行事件监控;且针对产生的事件通过对应规则引擎进行规则匹配;其中,所述至少三个方面包括:网络事件采集、文件事件采集以及进程事件采集。
2.根据权利要求1所述的基于容器环境的威胁检测诱捕方法,其特征在于,所述诱捕环境通过namespace进行资源隔离。
3.根据权利要求1所述的基于容器环境的威胁检测诱捕方法,其特征在于,所述容器组包含对应服务所在的多个所述固定容器。
4.根据权利要求3所述的基于容器环境的威胁检测诱捕方法,其特征在于,所述容器组设置有一组和/或多组。
5.根据权利要求1所述的基于容器环境的威胁检测诱捕方法,其特征在于,所述通过事件分析系统捕获所述诱捕环境中的容器组的进程事件,还具体包括:
通过威胁检测模块根据内置威胁检测规则去匹配所述诱捕环境产生的各种事件。
6.根据权利要求1所述的基于容器环境的威胁检测诱捕方法,其特征在于,还包括:所述事件分析系统对命中规则后的当前行为进行标记并报告。
CN202210093268.9A 2022-01-26 2022-01-26 一种基于容器环境的威胁检测诱捕方法 Active CN114491516B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210093268.9A CN114491516B (zh) 2022-01-26 2022-01-26 一种基于容器环境的威胁检测诱捕方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210093268.9A CN114491516B (zh) 2022-01-26 2022-01-26 一种基于容器环境的威胁检测诱捕方法

Publications (2)

Publication Number Publication Date
CN114491516A CN114491516A (zh) 2022-05-13
CN114491516B true CN114491516B (zh) 2023-04-14

Family

ID=81474241

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210093268.9A Active CN114491516B (zh) 2022-01-26 2022-01-26 一种基于容器环境的威胁检测诱捕方法

Country Status (1)

Country Link
CN (1) CN114491516B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103581104A (zh) * 2012-07-18 2014-02-12 江苏中科慧创信息安全技术有限公司 一种基于行为捕捉的主动诱捕方法
CN109858244A (zh) * 2019-01-16 2019-06-07 四川大学 一种容器内进程异常行为检测方法与系统
CN111901203A (zh) * 2020-08-03 2020-11-06 北京启明星辰信息安全技术有限公司 一种捕获网络流量的方法及Kubernetes集群
CN112272177A (zh) * 2020-10-23 2021-01-26 广州锦行网络科技有限公司 一种批量部署蜜网诱捕节点的方法
CN112989330A (zh) * 2021-02-08 2021-06-18 网宿科技股份有限公司 容器的入侵检测方法、装置、电子设备及存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10382484B2 (en) * 2015-06-08 2019-08-13 Illusive Networks Ltd. Detecting attackers who target containerized clusters
CN105389197B (zh) * 2015-10-13 2019-02-26 北京百度网讯科技有限公司 用于基于容器的虚拟化系统的操作捕获方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103581104A (zh) * 2012-07-18 2014-02-12 江苏中科慧创信息安全技术有限公司 一种基于行为捕捉的主动诱捕方法
CN109858244A (zh) * 2019-01-16 2019-06-07 四川大学 一种容器内进程异常行为检测方法与系统
CN111901203A (zh) * 2020-08-03 2020-11-06 北京启明星辰信息安全技术有限公司 一种捕获网络流量的方法及Kubernetes集群
CN112272177A (zh) * 2020-10-23 2021-01-26 广州锦行网络科技有限公司 一种批量部署蜜网诱捕节点的方法
CN112989330A (zh) * 2021-02-08 2021-06-18 网宿科技股份有限公司 容器的入侵检测方法、装置、电子设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘文懋 ; 刘威歆 ; .基于软件定义安全的企业内网威胁诱捕机制.信息技术与网络安全.2018,(07),第13-16页. *

Also Published As

Publication number Publication date
CN114491516A (zh) 2022-05-13

Similar Documents

Publication Publication Date Title
US9229758B2 (en) Passive monitoring of virtual systems using extensible indexing
CN112422484B (zh) 确定用于处理安全事件的剧本的方法、装置及存储介质
JPWO2013046287A1 (ja) 根本原因を解析する管理計算機及び方法
CN111046011A (zh) 日志收集方法、系统、节点、电子设备及可读存储介质
US20130111018A1 (en) Passive monitoring of virtual systems using agent-less, offline indexing
CN110619226A (zh) 一种基于平台的数据处理方法、系统、设备及存储介质
US11132126B1 (en) Backup services for distributed file systems in cloud computing environments
US11424984B2 (en) Autodiscovery with dynamic configuration launching
CN116107846A (zh) 一种基于EBPF的Linux系统事件监控方法及装置
CN114363144A (zh) 一种面向分布式系统的故障信息关联上报方法及相关设备
CN112732412B (zh) 一种服务配置文件处理方法、装置、存储介质及电子设备
CN114491516B (zh) 一种基于容器环境的威胁检测诱捕方法
CN114138483A (zh) 一种虚拟化资源管理方法、装置、服务器、系统及介质
CN113595832A (zh) 一种网络数据获取系统和方法
CN113342767A (zh) 一种日志生成方法、装置、设备及存储介质
CN108989086B (zh) OpenStack平台中的Open vSwitch违规端口操作自动发现与追溯系统
CN112688914A (zh) 一种智慧型云平台动态感知方法
CN114691445A (zh) 集群故障处理方法、装置、电子设备及可读存储介质
Tabiban et al. Catching falling dominoes: cloud management-level provenance analysis with application to OpenStack
CN113656241B (zh) 一种容器终端全生命周期管控系统及方法
CN114764349A (zh) 跨应用运行子应用的控制方法、装置、介质和电子设备
CN116938605B (zh) 网络攻击防护方法、装置、电子设备及可读存储介质
CN109684158A (zh) 分布式协调系统的状态监控方法、装置、设备及存储介质
JP2014109975A (ja) 性能分析装置、性能分析方法及び性能分析プログラム
US20220229901A1 (en) Information system security

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant