CN115022085A - 基于云原生场景的节点隔离方法及其装置、电子设备 - Google Patents
基于云原生场景的节点隔离方法及其装置、电子设备 Download PDFInfo
- Publication number
- CN115022085A CN115022085A CN202210843378.2A CN202210843378A CN115022085A CN 115022085 A CN115022085 A CN 115022085A CN 202210843378 A CN202210843378 A CN 202210843378A CN 115022085 A CN115022085 A CN 115022085A
- Authority
- CN
- China
- Prior art keywords
- node
- service
- service node
- isolation
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 120
- 238000000034 method Methods 0.000 claims abstract description 186
- 230000008569 process Effects 0.000 claims abstract description 164
- 230000002159 abnormal effect Effects 0.000 claims abstract description 55
- 238000004519 manufacturing process Methods 0.000 claims abstract description 40
- 238000012544 monitoring process Methods 0.000 claims description 54
- 238000011144 upstream manufacturing Methods 0.000 claims description 15
- 230000006399 behavior Effects 0.000 claims description 13
- 238000012360 testing method Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 abstract description 10
- 238000010586 diagram Methods 0.000 description 11
- 238000010276 construction Methods 0.000 description 6
- 230000001960 triggered effect Effects 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000013515 script Methods 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000005034 decoration Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于云原生场景的节点隔离方法及其装置、电子设备,涉及云计算领域,其中,该隔离方法包括:基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略,采用节点进程模型,判断与节点进程模型匹配的业务节点是否触发预设安全策略,在业务节点触发预设安全策略的情况下,确定业务节点的节点等级,在业务节点的节点等级为第一等级的情况下,执行链路隔离策略。本发明解决了相关技术中无法精确定位并隔离异常的业务节点,导致业务生产环境的安全性较低的技术问题。
Description
技术领域
本发明涉及云计算领域,具体而言,涉及一种基于云原生场景的节点隔离方法及其装置、电子设备。
背景技术
随着分布式架构技术的发展,分布式微服务模式已经成为主流的架构模型。然而,分布式微服务模式由于集群节点数量增多,增加了外部安全攻击可行性。一种常见的攻击方式为在业务容器中注入攻击脚本,对业务容器中的业务进程开展安全攻击。
相关技术中,针对当前攻击方式,采用的安全策略是在流量入口前设置统一网络防火墙规则,该规则较通用,缺乏个性化,当该防火墙规则被突破后,无法监控后端运行节点被攻击的情况,并且,后端运行节点被攻击成功后,也无法快速精准地定位被攻击成功节点,以及时对该节点进行修复。因此,现有的安全策略具有以下缺陷:(1)被攻击发现模式较为单一及表面,无法根据各业务容器个性化指定安全发现问题策略;(2)发现被攻击后,无法精确定位到单个容器并及时修复。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种基于云原生场景的节点隔离方法及其装置、电子设备,以至少解决相关技术中无法精确定位并隔离异常的业务节点,导致业务生产环境的安全性较低精的技术问题。
根据本发明实施例的一个方面,提供了一种基于云原生场景的节点隔离方法,包括:基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略,其中,每个业务节点对应构建有一个节点进程模型;采用所述节点进程模型,判断与所述节点进程模型匹配的业务节点是否触发预设安全策略;在所述业务节点触发预设安全策略的情况下,确定所述业务节点的节点等级;在所述业务节点的节点等级为第一等级的情况下,执行所述链路隔离策略。
可选地,在构建与所述业务节点匹配的节点进程模型时,包括:基于所述业务节点的节点代理,监听与所述业务节点对应的业务容器中的进程标识,其中,所述业务容器至少包括:业务进程,所述业务进程与所述进程标识一一对应;基于所述进程标识,记录所述进程标识表征的目标业务进程的进程数据;基于各所述业务容器中的所述进程数据,生成进程标识清单;基于所述进程标识清单,构建所述节点进程模型。
可选地,在基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略之前,还包括:基于所述进程标识清单,分析所述业务容器中是否出现异常业务进程;在所述业务容器中出现异常业务进程的情况下,确定所述业务容器出现异常数据;基于所述异常数据以及所述业务容器的容器属性,构建安全基线模型。
可选地,在基于所述异常数据以及所述业务容器的容器属性,构建安全基线模型之后,还包括:在测试环境中,模拟所述业务容器中的业务进程的操作行为;基于所述安全基线模型,分析所述操作行为,生成所述预设安全策略。
可选地,基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略的步骤,包括:基于云原生微服务策略,获取所述生产环境中每个所述业务节点的流量出入数据;基于所述流量出入数据,构建所述流量拓扑关系;基于所述流量拓扑关系,生成所述链路隔离策略,其中,所述链路隔离策略为通过所述流量拓扑关系确定异常业务节点的上游业务节点,并基于所述上游业务节点的网路路由侧对所述异常业务节点进行流量隔离。
可选地,在确定所述业务节点的节点等级之后,还包括:在所述业务节点的节点等级为第二等级的情况下,执行预设监控策略,得到监控结果,其中,所述预设监控策略用于监控所述业务节点的运行状态;在所述监控结果指示所述业务节点为正常业务节点的情况下,继续运行与所述业务节点相关的业务进程;基于所述业务进程的操作数据,更新所述预设安全策略。
可选地,在执行预设监控策略,得到监控结果之后,还包括:在所述监控结果指示所述业务节点为异常业务节点的情况下,执行所述链路隔离策略。
根据本发明实施例的另一方面,还提供了一种基于云原生场景的节点隔离装置,包括:生成单元,用于基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略,其中,每个业务节点对应构建有一个节点进程模型;判断单元,用于采用所述节点进程模型,判断与所述节点进程模型匹配的业务节点是否触发预设安全策略;确定单元,用于在所述业务节点触发预设安全策略的情况下,确定所述业务节点的节点等级;执行单元,用于在所述业务节点的节点等级为第一等级的情况下,执行所述链路隔离策略。
可选地,所述隔离装置还包括:第一监听模块,用于在构建与所述业务节点匹配的节点进程模型时,基于所述业务节点的节点代理,监听与所述业务节点对应的业务容器中的进程标识,其中,所述业务容器至少包括:业务进程,所述业务进程与所述进程标识一一对应;第一记录模块,用于基于所述进程标识,记录所述进程标识表征的目标业务进程的进程数据;第一生成模块,用于基于各所述业务容器中的所述进程数据,生成进程标识清单;第一构建模块,用于基于所述进程标识清单,构建所述节点进程模型。
可选地,所述隔离装置还包括:第一分析模块,用于在基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略之前,基于所述进程标识清单,分析所述业务容器中是否出现异常业务进程;第一确定模块,用于在所述业务容器中出现异常业务进程的情况下,确定所述业务容器出现异常数据;第二构建模块,用于基于所述异常数据以及所述业务容器的容器属性,构建安全基线模型。
可选地,所述隔离装置还包括:第一模拟模块,用于在基于所述异常数据以及所述业务容器的容器属性,构建安全基线模型之后,在测试环境中,模拟所述业务容器中的业务进程的操作行为;第二生成模块,用于基于所述安全基线模型,分析所述操作行为,生成所述预设安全策略。
可选地,所述生成单元包括:第一获取模块,用于基于云原生微服务策略,获取所述生产环境中每个所述业务节点的流量出入数据;第三构建模块,用于基于所述流量出入数据,构建所述流量拓扑关系;第三生成模块,用于基于所述流量拓扑关系,生成所述链路隔离策略,其中,所述链路隔离策略为通过所述流量拓扑关系确定异常业务节点的上游业务节点,并基于所述上游业务节点的网路路由侧对所述异常业务节点进行流量隔离。
可选地,所述隔离装置还包括:第一执行模块,用于在确定所述业务节点的节点等级之后,在所述业务节点的节点等级为第二等级的情况下,执行预设监控策略,得到监控结果,其中,所述预设监控策略用于监控所述业务节点的运行状态;第一运行模块,用于在所述监控结果指示所述业务节点为正常业务节点的情况下,继续运行与所述业务节点相关的业务进程;第一更新模块,用于基于所述业务进程的操作数据,更新所述预设安全策略。
可选地,所述隔离装置还包括:第二执行模块,用于在执行预设监控策略,得到监控结果之后,在所述监控结果指示所述业务节点为异常业务节点的情况下,执行所述链路隔离策略。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述所述的基于云原生场景的节点隔离方法。
根据本发明实施例的另一方面,还提供了一种电子设备,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现上述所述的基于云原生场景的节点隔离方法。
在本公开中,基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略,采用节点进程模型,判断与节点进程模型匹配的业务节点是否触发预设安全策略,在业务节点触发预设安全策略的情况下,确定业务节点的节点等级,在业务节点的节点等级为第一等级的情况下,执行链路隔离策略。在本申请中,可根据业务节点之间的流量拓扑关系,生成链路隔离策略,然后根据节点进程模型,判断相应的业务节点是否触发预设安全策略,如果业务节点触发预设安全策略,并且该业务节点的节点等级为第一等级(即安全等级级别高)时,直接执行链路隔离策略,以及时隔离该业务节点,避免该业务节点所在的链路出现其他攻击,能够有效提高业务生产环境的安全性,进而解决了相关技术中无法精确定位并隔离异常的业务节点,导致业务生产环境的安全性较低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的基于云原生场景的节点隔离方法的流程图;
图2是根据本发明实施例的一种可选的训练安全基线模型的示意图;
图3是根据本发明实施例的一种可选的生成流量拓扑关系的示意图;
图4是根据本发明实施例的一种可选的安全微隔离流程的示意图;
图5是根据本发明实施例的一种可选的基于云原生场景的节点隔离装置的示意图;
图6是根据本发明实施例的一种用于基于云原生场景的节点隔离方法的电子设备(或移动设备)的硬件结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本公开中的基于云原生场景的节点隔离方法及其装置可用于云计算领域在基于云原生场景对节点进行隔离的情况下,也可用于除云计算领域之外的任意领域在基于云原生场景对节点进行隔离的情况下,本公开中对基于云原生场景的节点隔离方法及其装置的应用领域不做限定。
需要说明的是,本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等),均为经用户授权或者经过各方充分授权的信息和数据。例如,本系统和相关用户或机构间设置有接口,在获取相关信息之前,需要通过接口向前述的用户或机构发送获取请求,并在接收到前述的用户或机构反馈的同意信息后,获取相关信息。
本发明下述各实施例可应用于各种基于云原生场景对节点进行隔离的系统/应用/设备中。本发明提供了一种在云原生场景下,可以根据各后端业务容器属性,快速发现攻击脚本,并联动云原生技术进行快速网络隔离该节点的方法,能够解决发生网格攻击时被攻击发现模式较为单一,发现面不够准确,无法根据各业务容器个性化生成安全发现问题策略,并且发现被攻击后,无法精确定位到单个业务容器并及时隔离等问题。
下面结合各个实施例来详细说明本发明。
实施例一
根据本发明实施例,提供了一种基于云原生场景的节点隔离方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种可选的基于云原生场景的节点隔离方法的流程图,如图1所示,该方法包括如下步骤:
步骤S101,基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略,其中,每个业务节点对应构建有一个节点进程模型。
步骤S102,采用节点进程模型,判断与节点进程模型匹配的业务节点是否触发预设安全策略。
步骤S103,在业务节点触发预设安全策略的情况下,确定业务节点的节点等级。
步骤S104,在业务节点的节点等级为第一等级的情况下,执行链路隔离策略。
通过上述步骤,可以基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略,采用节点进程模型,判断与节点进程模型匹配的业务节点是否触发预设安全策略,在业务节点触发预设安全策略的情况下,确定业务节点的节点等级,在业务节点的节点等级为第一等级的情况下,执行链路隔离策略。在本发明实施例中,可根据业务节点之间的流量拓扑关系,生成链路隔离策略,然后根据节点进程模型,判断相应的业务节点是否触发预设安全策略,如果业务节点触发预设安全策略,并且该业务节点的节点等级为第一等级(即安全等级级别高)时,直接执行链路隔离策略,以及时隔离该业务节点,避免该业务节点所在的链路出现其他攻击,能够有效提高业务生产环境的安全性,进而解决了相关技术中无法精确定位并隔离异常的业务节点,导致业务生产环境的安全性较低的技术问题。
下面结合上述各步骤对本发明实施例进行详细说明。
在本发明实施例中,一种可选的,在构建与业务节点匹配的节点进程模型时,包括:基于业务节点的节点代理,监听与业务节点对应的业务容器中的进程标识,其中,业务容器至少包括:业务进程,业务进程与进程标识一一对应;基于进程标识,记录进程标识表征的目标业务进程的进程数据;基于各业务容器中的进程数据,生成进程标识清单;基于进程标识清单,构建节点进程模型。
在本发明实施例中,传统网络攻击通常会通过脚本或者命令等形式注入业务节点,会在被攻击节点生成一个单独额外的攻击进程,因此,本实施例可以在测试等非生产环境中预先学习各业务容器的业务进程模型,具体为,可以通过集群的中每个业务节点的agent(即节点代理),监听与该业务节点对应的业务容器中的进程标识,记录不同业务容器中运行的进程数据(即记录进程标识表征的目标业务进程的进程数据),自动生成该业务节点的进程标识清单(即基于各业务容器中的进程数据,生成进程标识清单),本实施例也可以对重要的业务节点对应的进程标识清单进行审核,最终得到业务进程模型(即基于进程标识清单,构建节点进程模型)。
本实施例中,业务容器包括:业务进程,还可以包括:一些辅助进程,并且业务进程与进程标识一一对应。
可选的,在基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略之前,还包括:基于进程标识清单,分析业务容器中是否出现异常业务进程;在业务容器中出现异常业务进程的情况下,确定业务容器出现异常数据;基于异常数据以及业务容器的容器属性,构建安全基线模型。
在本发明实施例中,可以对各业务容器生成不同的安全基线,即基于不同业务应用对应的不同业务容器中的正常存在的进程标识清单,分析业务容器中是否出现异常业务进程,当业务容器中出现非清单内的进程时,即认为发生安全异常行为(即在业务容器中出现异常业务进程的情况下,确定业务容器出现异常数据),之后可以根据异常数据和各业务应用的各自私有属性(也可以为各业务容器的容器属性),以及预先设置的各业务节点的安全等级,训练安全基线模型。
图2是根据本发明实施例的一种可选的训练安全基线模型的示意图,如图2所示,对于安全基线管理,可以先学习各业务应用常规进程,生成对应的安全策略,例如,业务应用包括:应用A、应用B、应用C等,每个业务应用对应一个业务节点,每个业务节点对应的业务容器中有不同的业务常规进程(如,应用A对应的业务节点有:业务常规进程1、业务常规进程2等;应用B对应的业务节点有:业务常规进程1、业务常规进程2、业务常规进程3等;应用C对应的业务节点有:业务常规进程1等),当应用C对应的业务节点出现了异常进程1时,表明应用C可能发生了安全攻击,通过这些异常数据以及各业务应用的属性,训练安全基线模型。
可选的,在基于异常数据以及业务容器的容器属性,构建安全基线模型之后,还包括:在测试环境中,模拟业务容器中的业务进程的操作行为;基于安全基线模型,分析操作行为,生成预设安全策略。
在本发明实施例中,可以在测试环境中,模拟业务容器中的额外业务进程的产生与退出(即模拟业务容器中的业务进程的操作行为),基于安全基线模型学习到这些操作行为是异常行为(即于安全基线模型,分析操作行为),并形成预设安全策略。即业务应用对应的进程标识清单内的进程退出,或非进程标识清单内的进程产生,可以认为是安全异常行为,可以针对这些异常情况生成预设安全策略,如告警或者微隔离策略等。
步骤S101,基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略,其中,每个业务节点对应构建有一个节点进程模型。
在本发明实施例中,可以基于云原生微服务技术,实时学习生产环境中每个业务节点间的各流量调用拓扑关系,生成链路隔离策略(即基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略),即通过拓扑学习,当本业务节点需要被隔离时,通过上游业务节点网路路由侧对本业务节点进行流量隔离,实现业务节点网路隔离。
可选的,基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略的步骤,包括:基于云原生微服务策略,获取生产环境中每个业务节点的流量出入数据;基于流量出入数据,构建流量拓扑关系;基于流量拓扑关系,生成链路隔离策略,其中,链路隔离策略为通过流量拓扑关系确定异常业务节点的上游业务节点,并基于上游业务节点的网路路由侧对异常业务节点进行流量隔离。
在本发明实施例中,可以基于云原生微服务策略,自适应实时获取各业务应用网络调用流量出入目的地(即获取生产环境中每个业务节点的流量出入数据),形成实时的业务网格调用拓扑(即基于流量出入数据,构建流量拓扑关系),之后,基于流量拓扑关系,生成链路隔离策略,当节点被判定为安全异常时,则从上游节点网络路由侧隔离该节点(即该链路隔离策略通过流量拓扑关系确定异常业务节点的上游业务节点,并基于上游业务节点的网路路由侧对异常业务节点进行流量隔离)。
图3是根据本发明实施例的一种可选的生成流量拓扑关系的示意图,如图3所示,业务节点A的流量去向为业务节点B,业务节点B的流量去向为业务节点C和业务节点D,当发现业务节点C触发安全策略时,可以从该业务节点的上游业务节点(即业务节点B)的网路路由侧对该业务节点进行流量隔离。
步骤S102,采用节点进程模型,判断与节点进程模型匹配的业务节点是否触发预设安全策略。
在本发明实施例中,可以根据节点进程模型,判断与该节点进程模型匹配的业务节点是否触发预设安全策略,即可以通过节点进程模型,分析相应的业务节点的业务容器中是否出现了额外的进程标识。
步骤S103,在业务节点触发预设安全策略的情况下,确定业务节点的节点等级。
在本发明实施例中,在生产运行中,如果业务节点出现异常进程并触发预设安全策略,可以先确定该业务节点的节点等级(即预先设置的安全等级)。
步骤S104,在业务节点的节点等级为第一等级的情况下,执行链路隔离策略。
在本发明实施例中,在业务节点的节点等级为第一等级(即安全等级级别高)的情况下,可以直接执行链路隔离策略,对该业务节点进行隔离。
可选的,在确定业务节点的节点等级之后,还包括:在业务节点的节点等级为第二等级的情况下,执行预设监控策略,得到监控结果,其中,预设监控策略用于监控业务节点的运行状态;在监控结果指示业务节点为正常业务节点的情况下,继续运行与业务节点相关的业务进程;基于业务进程的操作数据,更新预设安全策略。
在本发明实施例中,在业务节点的节点等级为第二等级(即安全等级级别低)的情况下,则执行预设监控策略(即监控该业务节点的运行状态),观察该业务节点的运行健康状况,得到监控结果,如果监控正常,则发送报警,并继续运行(即在监控结果指示业务节点为正常业务节点的情况下,继续运行与业务节点相关的业务进程),之后可以设定该业务节点的当前状态为为正常状态,并将该业务节点的的当前业务进程自动纳入安全基线学习中,当下次再出现该类型进程时不再触发安全策略,以达到持续学习更新状态(即基于业务进程的操作数据,更新预设安全策略)。
可选的,在执行预设监控策略,得到监控结果之后,还包括:在监控结果指示业务节点为异常业务节点的情况下,执行链路隔离策略。
在本发明实施例中,在监控结果指示业务节点为异常业务节点的情况下(即观察到该业务节点不正常时),继续触发链路隔离策略,对该业务节点进行隔离。
下面结合另一种可选的具体实施方式进行详细说明。
图4是根据本发明实施例的一种可选的安全微隔离流程的示意图,如图4所示,可以先在测试环境训练各应用常规进程,形成各应用私有安全基线,并录入各应用安全等级,形成安全策略,当在生产环境业务运行时,如果发现额外异常进程,则根据安全策略判断是否需要微隔离,如果应用的安全要求高,则直接触发隔离,否则根据监控,发送报警,当监控正常时,继续运行,并将该应用进程数据纳入基线持续学习,以更新安全策略,如果监控发现业务异常,则触发隔离。
本发明实施例中,可以根据各业务节点属性进行个性化学习,生成安全策略,并能实时自适应调整,同时,如果发现安全问题,能够快速精确地定位到业务节点,进行自适应快速隔离,可以避免该业务节点所在的链路出现其他攻击,有效提高了业务生产环境的安全性。
下面结合另一实施例进行详细说明。
实施例二
本实施例中提供的一种基于云原生场景的节点隔离装置包含了多个实施单元,每个实施单元对应于上述实施例一中的各个实施步骤。
图5是根据本发明实施例的一种可选的基于云原生场景的节点隔离装置的示意图,如图5所示,该隔离装置可以包括:生成单元50,判断单元51,确定单元52,执行单元53,其中,
生成单元50,用于基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略,其中,每个业务节点对应构建有一个节点进程模型;
判断单元51,用于采用节点进程模型,判断与节点进程模型匹配的业务节点是否触发预设安全策略;
确定单元52,用于在业务节点触发预设安全策略的情况下,确定业务节点的节点等级;
执行单元53,用于在业务节点的节点等级为第一等级的情况下,执行链路隔离策略。
上述隔离装置,可以通过生成单元50基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略,通过判断单元51采用节点进程模型,判断与节点进程模型匹配的业务节点是否触发预设安全策略,通过确定单元52在业务节点触发预设安全策略的情况下,确定业务节点的节点等级,通过执行单元53在业务节点的节点等级为第一等级的情况下,执行链路隔离策略。在本发明实施例中,可根据业务节点之间的流量拓扑关系,生成链路隔离策略,然后根据节点进程模型,判断相应的业务节点是否触发预设安全策略,如果业务节点触发预设安全策略,并且该业务节点的节点等级为第一等级(即安全等级级别高)时,直接执行链路隔离策略,以及时隔离该业务节点,避免该业务节点所在的链路出现其他攻击,能够有效提高业务生产环境的安全性,进而解决了相关技术中无法精确定位并隔离异常的业务节点,导致业务生产环境的安全性较低的技术问题。
可选的,隔离装置还包括:第一监听模块,用于在构建与业务节点匹配的节点进程模型时,基于业务节点的节点代理,监听与业务节点对应的业务容器中的进程标识,其中,业务容器至少包括:业务进程,业务进程与进程标识一一对应;第一记录模块,用于基于进程标识,记录进程标识表征的目标业务进程的进程数据;第一生成模块,用于基于各业务容器中的进程数据,生成进程标识清单;第一构建模块,用于基于进程标识清单,构建节点进程模型。
可选的,隔离装置还包括:第一分析模块,用于在基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略之前,基于进程标识清单,分析业务容器中是否出现异常业务进程;第一确定模块,用于在业务容器中出现异常业务进程的情况下,确定业务容器出现异常数据;第二构建模块,用于基于异常数据以及业务容器的容器属性,构建安全基线模型。
可选的,隔离装置还包括:第一模拟模块,用于在基于异常数据以及业务容器的容器属性,构建安全基线模型之后,在测试环境中,模拟业务容器中的业务进程的操作行为;第二生成模块,用于基于安全基线模型,分析操作行为,生成预设安全策略。
可选的,生成单元包括:第一获取模块,用于基于云原生微服务策略,获取生产环境中每个业务节点的流量出入数据;第三构建模块,用于基于流量出入数据,构建流量拓扑关系;第三生成模块,用于基于流量拓扑关系,生成链路隔离策略,其中,链路隔离策略为通过流量拓扑关系确定异常业务节点的上游业务节点,并基于上游业务节点的网路路由侧对异常业务节点进行流量隔离。
可选的,隔离装置还包括:第一执行模块,用于在确定业务节点的节点等级之后,在业务节点的节点等级为第二等级的情况下,执行预设监控策略,得到监控结果,其中,预设监控策略用于监控业务节点的运行状态;第一运行模块,用于在监控结果指示业务节点为正常业务节点的情况下,继续运行与业务节点相关的业务进程;第一更新模块,用于基于业务进程的操作数据,更新预设安全策略。
可选的,隔离装置还包括:第二执行模块,用于在执行预设监控策略,得到监控结果之后,在监控结果指示业务节点为异常业务节点的情况下,执行链路隔离策略。
上述的隔离装置还可以包括处理器和存储器,上述生成单元50,判断单元51,确定单元52,执行单元53等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
上述处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来在业务节点的节点等级为第一等级的情况下,执行链路隔离策略。
上述存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略,采用节点进程模型,判断与节点进程模型匹配的业务节点是否触发预设安全策略,在业务节点触发预设安全策略的情况下,确定业务节点的节点等级,在业务节点的节点等级为第一等级的情况下,执行链路隔离策略。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的计算机程序,其中,在计算机程序运行时控制计算机可读存储介质所在设备执行上述的基于云原生场景的节点隔离方法。
根据本发明实施例的另一方面,还提供了一种电子设备,包括一个或多个处理器和存储器,存储器用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现上述的基于云原生场景的节点隔离方法。
图6是根据本发明实施例的一种用于基于云原生场景的节点隔离方法的电子设备(或移动设备)的硬件结构框图。如图6所示,电子设备可以包括一个或多个(图中采用602a、602b,……,602n来示出)处理器602(处理器602可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器604。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、键盘、电源和/或相机。本领域普通技术人员可以理解,图6所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,电子设备还可包括比图6中所示更多或者更少的组件,或者具有与图6所示不同的配置。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种基于云原生场景的节点隔离方法,其特征在于,包括:
基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略,其中,每个业务节点对应构建有一个节点进程模型;
采用所述节点进程模型,判断与所述节点进程模型匹配的业务节点是否触发预设安全策略;
在所述业务节点触发预设安全策略的情况下,确定所述业务节点的节点等级;
在所述业务节点的节点等级为第一等级的情况下,执行所述链路隔离策略。
2.根据权利要求1所述的节点隔离方法,其特征在于,在构建与所述业务节点匹配的节点进程模型时,包括:
基于所述业务节点的节点代理,监听与所述业务节点对应的业务容器中的进程标识,其中,所述业务容器至少包括:业务进程,所述业务进程与所述进程标识一一对应;
基于所述进程标识,记录所述进程标识表征的目标业务进程的进程数据;
基于各所述业务容器中的所述进程数据,生成进程标识清单;
基于所述进程标识清单,构建所述节点进程模型。
3.根据权利要求2所述的节点隔离方法,其特征在于,在基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略之前,还包括:
基于所述进程标识清单,分析所述业务容器中是否出现异常业务进程;
在所述业务容器中出现异常业务进程的情况下,确定所述业务容器出现异常数据;
基于所述异常数据以及所述业务容器的容器属性,构建安全基线模型。
4.根据权利要求3所述的节点隔离方法,其特征在于,在基于所述异常数据以及所述业务容器的容器属性,构建安全基线模型之后,还包括:
在测试环境中,模拟所述业务容器中的业务进程的操作行为;
基于所述安全基线模型,分析所述操作行为,生成所述预设安全策略。
5.根据权利要求1所述的节点隔离方法,其特征在于,基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略的步骤,包括:
基于云原生微服务策略,获取所述生产环境中每个所述业务节点的流量出入数据;
基于所述流量出入数据,构建所述流量拓扑关系;
基于所述流量拓扑关系,生成所述链路隔离策略,其中,所述链路隔离策略为通过所述流量拓扑关系确定异常业务节点的上游业务节点,并基于所述上游业务节点的网路路由侧对所述异常业务节点进行流量隔离。
6.根据权利要求1所述的节点隔离方法,其特征在于,在确定所述业务节点的节点等级之后,还包括:
在所述业务节点的节点等级为第二等级的情况下,执行预设监控策略,得到监控结果,其中,所述预设监控策略用于监控所述业务节点的运行状态;
在所述监控结果指示所述业务节点为正常业务节点的情况下,继续运行与所述业务节点相关的业务进程;
基于所述业务进程的操作数据,更新所述预设安全策略。
7.根据权利要求6所述的节点隔离方法,其特征在于,在执行预设监控策略,得到监控结果之后,还包括:
在所述监控结果指示所述业务节点为异常业务节点的情况下,执行所述链路隔离策略。
8.一种基于云原生场景的节点隔离装置,其特征在于,包括:
生成单元,用于基于生产环境中每个业务节点之间的流量拓扑关系,生成链路隔离策略,其中,每个业务节点对应构建有一个节点进程模型;
判断单元,用于采用所述节点进程模型,判断与所述节点进程模型匹配的业务节点是否触发预设安全策略;
确定单元,用于在所述业务节点触发预设安全策略的情况下,确定所述业务节点的节点等级;
执行单元,用于在所述业务节点的节点等级为第一等级的情况下,执行所述链路隔离策略。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至7中任意一项所述的基于云原生场景的节点隔离方法。
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任意一项所述的基于云原生场景的节点隔离方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210843378.2A CN115022085B (zh) | 2022-07-18 | 2022-07-18 | 基于云原生场景的节点隔离方法及其装置、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210843378.2A CN115022085B (zh) | 2022-07-18 | 2022-07-18 | 基于云原生场景的节点隔离方法及其装置、电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115022085A true CN115022085A (zh) | 2022-09-06 |
| CN115022085B CN115022085B (zh) | 2024-03-08 |
Family
ID=83080317
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210843378.2A Active CN115022085B (zh) | 2022-07-18 | 2022-07-18 | 基于云原生场景的节点隔离方法及其装置、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115022085B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180109551A1 (en) * | 2016-10-14 | 2018-04-19 | Cisco Technology, Inc. | Device profiling for isolation networks |
| US20190199626A1 (en) * | 2017-12-26 | 2019-06-27 | Cisco Technology, Inc. | Routing traffic across isolation networks |
| CN113676449A (zh) * | 2021-07-13 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 网络攻击处理方法及装置 |
| CN113888142A (zh) * | 2021-11-15 | 2022-01-04 | 常州市科技资源统筹服务中心(常州市科技情报研究所) | 一种申报企业信息的项目智能管理方法及系统 |
-
2022
- 2022-07-18 CN CN202210843378.2A patent/CN115022085B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180109551A1 (en) * | 2016-10-14 | 2018-04-19 | Cisco Technology, Inc. | Device profiling for isolation networks |
| US20190199626A1 (en) * | 2017-12-26 | 2019-06-27 | Cisco Technology, Inc. | Routing traffic across isolation networks |
| CN113676449A (zh) * | 2021-07-13 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 网络攻击处理方法及装置 |
| CN113888142A (zh) * | 2021-11-15 | 2022-01-04 | 常州市科技资源统筹服务中心(常州市科技情报研究所) | 一种申报企业信息的项目智能管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115022085B (zh) | 2024-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109802852B (zh) | 应用于网络靶场的网络仿真拓扑的构建方法及系统 | |
| CN111652496B (zh) | 基于网络安全态势感知系统的运行风险评估方法及装置 | |
| CN109361534B (zh) | 一种网络安全模拟系统 | |
| CN112118272B (zh) | 基于仿真实验设计的网络攻防推演平台 | |
| US11138312B2 (en) | Cyber range integrating technical and non-technical participants, participant substitution with AI bots, and AI bot training | |
| CA2768193C (en) | System and method for extending automated penetration testing to develop an intelligent and cost efficient security strategy | |
| US8413237B2 (en) | Methods of simulating vulnerability | |
| US20200184847A1 (en) | A system and method for on-premise cyber training | |
| CN107451040A (zh) | 故障原因的定位方法、装置及计算机可读存储介质 | |
| CN104765678A (zh) | 对移动终端设备上的应用进行测试的方法及装置 | |
| EP3958152B1 (en) | Attack scenario simulation device, attack scenario generation system, and attack scenario generation method | |
| CN112769810B (zh) | 防火墙测试方法、装置、非易失性存储介质和电子装置 | |
| US20230208882A1 (en) | Policy - aware vulnerability mapping and attack planning | |
| CN112418259A (zh) | 一种基于直播过程中用户行为的实时规则的配置方法、计算机设备及可读存储介质 | |
| CN111239569A (zh) | 电弧故障检测方法、装置、设备及存储介质 | |
| US11750635B2 (en) | Minimizing production disruption through a scan rule engine | |
| Alshawish et al. | Risk mitigation in electric power systems: Where to start? | |
| CN115022085B (zh) | 基于云原生场景的节点隔离方法及其装置、电子设备 | |
| US11909754B2 (en) | Security assessment system | |
| CN105302682A (zh) | 一种服务器测试的方法、装置及系统 | |
| US20220309171A1 (en) | Endpoint Security using an Action Prediction Model | |
| CN111131198B (zh) | 网络安全策略配置的更新方法及装置 | |
| CN111381932B (zh) | 触发应用程序更改的方法、装置、电子设备及存储介质 | |
| CN113301040A (zh) | 一种防火墙策略优化方法、装置、设备及存储介质 | |
| Kriaa et al. | Better safe than sorry: modeling reliability and security in replicated SDN controllers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |