CN115994353A - 基于容器部署的主机入侵检测系统、方法及电子设备 - Google Patents
基于容器部署的主机入侵检测系统、方法及电子设备 Download PDFInfo
- Publication number
- CN115994353A CN115994353A CN202310281579.2A CN202310281579A CN115994353A CN 115994353 A CN115994353 A CN 115994353A CN 202310281579 A CN202310281579 A CN 202310281579A CN 115994353 A CN115994353 A CN 115994353A
- Authority
- CN
- China
- Prior art keywords
- module
- event
- information
- container
- association information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Burglar Alarm Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种基于容器部署的主机入侵检测系统、方法及电子设备,该系统包括:事件源模块、检测引擎模块和沙箱模块;事件源模块用于对事件进行监控并获取事件的属性信息;检测引擎模块用于基于属性信息确定事件的第一关联信息并将第一关联信息发送至沙箱模块中;还用于接收沙箱模块生成的第二关联信息并利用第二关联信息获取事件的入侵概率:沙箱模块用于根据第一关联信息将事件的名称空间切换至对应的容器中生成第二关联信息,并将第二关联信息发送至检测引擎模块中;通过该沙箱模块可以方便的支持主机的安全检测以及容器的安全检测,利用沙箱模块的抽象层能力使得HIDS开发时不用专门去维护支持容器的分支,降低了开发运维部署成本。
Description
技术领域
本发明涉及计算机技术领域,尤其是涉及一种基于容器部署的主机入侵检测系统、方法及电子设备。
背景技术
HIDS(Host-based Intrusion Detection System)全程为:基于主机的入侵检测系统,用来检测计算机内部发生的事件,监视系统的动态行为,及时发现内部的入侵行为。随着云原生时代的到来,HIDS也随之发展到云上的检测,而容器作为云原生的重要载体,基于容器的攻击事件层出不穷,这也带动了云原生安全的发展。由于云原生时代,集群的规模通常会比较大,而且变更会比较频繁,经常会有计算节点的加入或删除。传统的HIDS系统需要逐一进行部署,部署工作复杂繁琐;其次,基于容器的安全检测也增加了不少的开发成本,很多传统的HIDS厂商在云原生时代适配容器安全时,通常使用原有的主机检测逻辑,对容器场景进行适配,相当于要维护两套系统。实际场景中,为了快速抢占市场,厂商在开发过程中直接进行基于容器的安全检测开发,虽然具备集群部署的能力,但是只提供了容器的安全检测,对于传统的主机安全检测则不处理。
现有技术中心的主机入侵检测系统为了适配容器通常会去做二次开发,将主机上的检测能力平移到容器里,需要维护两套代码,开发成本高;由于是主机部署,在云原生时代,面对大规模的集群显得很吃力,集群的变更也会带来部署维护的成本剧增,没有充分利用云原生集群快速部署的能力,导致传统的HIDS在开发时需要专门维护支持容器的分支,开发成本以及运维部署成本较高。
发明内容
有鉴于此,本发明的目的在于提供一种基于容器部署的主机入侵检测系统、方法及电子设备,通过该系统内置的沙箱模块可以方便的支持主机的安全检测以及容器的安全检测,利用沙箱模块提供的抽象层能力使得传统的HIDS在开发时不用专门去维护支持容器的分支,大大降低了开发成本以及运维部署成本。
第一方面,本发明实施例提供了一种基于容器部署的主机入侵检测系统,该系统包括:事件源模块、检测引擎模块和沙箱模块;检测引擎模块分别与事件源模块和沙箱模块相连接;
其中,事件源模块,用于对事件进行监控,并获取已监控的事件的属性信息;
检测引擎模块,用于基于事件源模块获取的属性信息确定事件的第一关联信息,并将第一关联信息发送至沙箱模块中;还用于接收沙箱模块生成的第二关联信息,并利用第二关联信息获取事件的入侵概率:
沙箱模块,用于根据第一关联信息将事件的名称空间切换至对应的容器中进行处理,生成第二关联信息;并将第二关联信息发送至检测引擎模块中。
在一些实施方式中,事件源模块包括:事件监听模块、事件标注模块和进程启动模块;
其中,事件监听模块,用于对已发生的事件进行监控;
事件标注模块,用于按照预设的标注格式对已监控的事件的属性信息进行标注;
进程启动模块,用于根据事件的属性信息获取事件的类型,并按照事件的类型在预设的容器中启动进程。
在一些实施方式中,检测引擎模块包括:第一关联信息生成模块和入侵检测模块;
其中,第一关联信息生成模块,用于根据属性信息获取的事件的父进程信息、访问信息、进程权限信息和端口信息生成事件的第一关联信息;
入侵检测模块,用于将沙箱模块接收得到的第二关联信息与预设的入侵检测规则进行匹配得到匹配结果,并根据匹配结果确定事件的入侵概率。
在一些实施方式中,检测引擎模块还包括:关联信息检查模块;
关联信息检查模块,用于按照事件的属性信息对第二关联信息和第一关联信息进行检查。
在一些实施方式中,沙箱模块包括:事件类型检查模块、事件类型判断模块和第二关联信息生成模块;
其中,事件类型检查模块,用于接收检测引擎模块发出的第一关联信息,并对第一关联信息中的事件类型的格式进行检查;
事件类型判断模块,用于对第一关联信息中的事件类型的内容进行判断,并根据判断结果生成容器的关联策略;
第二关联信息生成模块,用于利用关联策略并根据事件的属性信息生成第二关联信息。
在一些实施方式中,沙箱模块,还包括:第一切换模块;
其中,当事件类型为主机事件时,第一切换模块,用于将事件的名称空间切换至主机中。
在一些实施方式中,沙箱模块,还包括:第二切换模块;
其中,当事件类型为非主机事件时,第二切换模块,用于将事件的名称空间切换至对应的容器中。
第二方面,本发明实施例提供了一种基于主机的入侵检测方法,该方法应用于上述第一方面提到的基于容器部署的主机入侵检测系统,基于容器部署的主机入侵检测系统至少包括:事件源模块、检测引擎模块和沙箱模块;
该方法包括:
控制事件源模块对事件进行监控,并获取已监控的事件的属性信息;
控制检测引擎模块根据属性信息确定事件的第一关联信息,并将第一关联信息发送至沙箱模块;
控制沙箱模块根据第一关联信息将事件的名称空间切换至对应的容器中生成第二关联信息,并将第二关联信息发送至检测引擎模块中;
控制检测引擎模块接收第二关联信息,并利用第二关联信息获取事件的入侵概率。
第三方面,发明实施例还提供一种电子设备,包括存储器、处理器,存储器中存储有可在处理器上运行的计算机程序,其中,处理器执行计算机程序时实现上述第二方面提到的基于主机的入侵检测方法的步骤。
第四方面,本发明实施例还提供一种可读存储介质,该可读存储介质上存储有计算机程序,其中,计算机程序被处理器运行时实现上述第二方面提到的基于主机的入侵检测方法的步骤。
本发明实施例带来了至少以下有益效果:
本发明提供了一种基于容器部署的主机入侵检测系统、方法及电子设备,该系统包括:事件源模块、检测引擎模块和沙箱模块;检测引擎模块分别与事件源模块和沙箱模块相连接;具体的,事件源模块用于对事件进行监控,并获取已监控的事件的属性信息;检测引擎模块用于基于事件源模块获取的属性信息确定事件的第一关联信息,并将第一关联信息发送至沙箱模块中;还用于接收沙箱模块生成的第二关联信息,并利用第二关联信息获取事件的入侵概率:沙箱模块用于根据第一关联信息将事件的名称空间切换至对应的容器中进行处理,生成第二关联信息;并将第二关联信息发送至检测引擎模块中。在利用该基于容器部署的主机入侵检测系统进行入侵检测的过程中,通过系统内置的沙箱模块实现对底层检测对象(主机或容器)的抽象,而不用去关心具体的事件是发生在主机上还是容器里,只专注于业务本身即可,可以方便的支持主机的安全检测以及容器的安全检测,利用沙箱模块提供的抽象层能力使得传统的HIDS在开发时不用专门去维护支持容器的分支,大大降低了开发成本以及运维部署成本。
本发明的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义的确定,或者通过实施本发明的上述技术即可得知。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施方式,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于容器部署的主机入侵检测系统的结构示意图;
图2为本发明实施例提供的一种基于容器部署的主机入侵检测系统中事件源模块的结构示意图;
图3为本发明实施例提供的一种基于容器部署的主机入侵检测系统中检测引擎模块的结构示意图;
图4为本发明实施例提供的另一种基于容器部署的主机入侵检测系统中检测引擎模块的结构示意图;
图5为本发明实施例提供的一种基于容器部署的主机入侵检测系统中沙箱模块的结构示意图;
图6为本发明实施例提供的另一种基于容器部署的主机入侵检测系统中沙箱模块的结构示意图;
图7为本发明实施例提供的一种基于主机的入侵检测方法的流程图;
图8为本发明实施例提供的另一种基于主机的入侵检测方法的流程图;
图9为本发明实施例提供的一种电子设备的结构示意图。
图标:
100-事件源模块;200-检测引擎模块;300-沙箱模块;
110-事件监听模块;120-事件标注模块;130-进程启动模块;
210-第一关联信息生成模块;220-入侵检测模块;230-关联信息检查模块;
310-事件类型检查模块;320-事件类型判断模块;330-第二关联信息生成模块;340-第一切换模块;350-第二切换模块;
101-处理器;102-存储器;103-总线;104-通信接口。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
HIDS(Host-based Intrusion Detection System)全程为:基于主机的入侵检测系统,用来检测计算机内部发生的事件,监视系统的动态行为,及时发现内部的入侵行为。随着云原生时代的到来,HIDS也随之发展到云上的检测,而容器作为云原生的重要载体,基于容器的攻击事件层出不穷,这也带动了云原生安全的发展。由于云原生时代,集群的规模通常会比较大,而且变更会比较频繁,经常会有计算节点的加入或删除。传统的HIDS系统需要逐一进行部署,部署工作复杂繁琐;其次,基于容器的安全检测也增加了不少的开发成本,很多传统的HIDS厂商在云原生时代适配容器安全时,通常使用原有的主机检测逻辑,对容器场景进行适配,相当于要维护两套系统。实际场景中,为了快速抢占市场,厂商在开发过程中直接进行基于容器的安全检测开发,虽然具备集群部署的能力,但是只提供了容器的安全检测,对于传统的主机安全检测则不处理。
现有技术中心的主机入侵检测系统为了适配容器通常会去做二次开发,将主机上的检测能力平移到容器里,需要维护两套代码,开发成本高;由于是主机部署,在云原生时代,面对大规模的集群显得很吃力,集群的变更也会带来部署维护的成本剧增,没有充分利用云原生集群快速部署的能力,导致传统的HIDS在开发时需要专门维护支持容器的分支,开发成本以及运维部署成本较高。基于此,本发明实施例提供的一种基于容器部署的主机入侵检测系统、方法及电子设备,通过该系统内置的沙箱模块可以方便的支持主机的安全检测以及容器的安全检测,利用沙箱模块提供的抽象层能力使得传统的HIDS在开发时不用专门去维护支持容器的分支,大大降低了开发成本以及运维部署成本。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种基于容器部署的主机入侵检测系统进行详细介绍。具体的,参见图1所示的一种基于容器部署的主机入侵检测系统的结构示意图,该系统包括:事件源模块100、检测引擎模块200和沙箱模块300;检测引擎模块200分别与事件源模块100和沙箱模块300相连接。其中,事件源模块100用于对事件进行监控,并获取已监控的事件的属性信息。该模块是提供一个事件监控器,每个HIDS系统都需要这样的一个事件源,通常通过audit、netlink、ebpf等技术搜集机器上发生的各种事件。
检测引擎模块200,用于基于事件源模块100获取的属性信息确定事件的第一关联信息,并将第一关联信息发送至沙箱模块300中;还用于接收沙箱模块300生成的第二关联信息,并利用第二关联信息获取事件的入侵概率。该模块在每个HIDS都会设置,也是HIDS的核心所在,通过分析事件源中的事件,与检测规则做匹配或是进行数据分析,进而发现异常行为,也就是入侵痕迹。
沙箱模块300,用于根据第一关联信息将事件的名称空间切换至对应的容器中进行处理生成第二关联信息,并将第二关联信息发送至检测引擎模块200中。该模块是该发明的核心,思路的出发点是在linux下一切皆文件。通过提供一层抽象的文件、网络访问接口,在检测引擎想要获取某个事件信息时,通过该抽象的接口,直接重定向到事件本身的文件位置。
具体的说,在一些实施方式中,事件源模块100如图2所示,包括:事件监听模块110、事件标注模块120和进程启动模块130;其中,事件监听模块110,用于对已发生的事件进行监控;事件标注模块120,用于按照预设的标注格式对已监控的事件的属性信息进行标注;进程启动模块130,用于根据事件的属性信息获取事件的类型,并按照事件的类型在预设的容器中启动进程。
事件源模块100获取进程启动事件、网络连接事件后,对事件搜集汇总或是经过初加工后传给检测引擎模块200。该初加工可以为事件加上一些属性或是获取事件的一些基本信息,比如在主机上启动一个进程,事件类型标注为“event_type=host”,容器上启动一个进程,事件类型标注为“event_type=container_id”。备注:可以通过访问进程的/proc/pid/cgroup路径判断该进程是主机上的还是某个容器内的,如果是容器进程,访问/proc/pid/cgroup可以获取到对应的容器id,也就是字段里标注的container_id。
在一些实施方式中,检测引擎模块200如图3所示,包括:第一关联信息生成模块210和入侵检测模块220;其中,第一关联信息生成模块210,用于根据属性信息获取的事件的父进程信息、访问信息、进程权限信息和端口信息生成事件的第一关联信息;入侵检测模块220,用于将沙箱模块接收得到的第二关联信息与预设的入侵检测规则进行匹配得到匹配结果,并根据匹配结果确定事件的入侵概率。
在一些实施方式中,如图4所示,检测引擎模块200还包括:关联信息检查模块230;其中,关联信息检查模块230,用于按照事件的属性信息对第二关联信息和第一关联信息进行检查。
检测引擎模块200需要两个输入,一个输入是事件源里的事件,该事件只是初加工,检测引起分析时需要获取事件的详细信息,比如父进程信息、访问了哪些文件、进程的权限、打开了哪些端口等。本发明里的这些信息获取全部是通过沙箱模块300的抽象出来的接口获取。
在一些实施方式中,沙箱模块300如图5所示,包括:事件类型检查模块310、事件类型判断模块320和第二关联信息生成模块330;其中,事件类型检查模块310,用于接收检测引擎模块发出的第一关联信息,并对第一关联信息中的事件类型的格式进行检查;事件类型判断模块320,用于对第一关联信息中的事件类型的内容进行判断,并根据判断结果生成容器的关联策略;第二关联信息生成模块330,用于利用关联策略并根据事件的属性信息生成第二关联信息。
在一些实施方式中,如图6所示,沙箱模块300,还包括:第一切换模块340;其中,当事件类型为主机事件时,第一切换模块340,用于将事件的名称空间切换至主机中。在一些实施方式中,沙箱模块300,还包括:第二切换模块350;其中,当事件类型为非主机事件时,第二切换模块350,用于将事件的名称空间切换至对应的容器中。
沙箱模块300为该系统的最核心模块,思路的出发点是在linux下一切皆文件。通过提供一层抽象的文件、网络访问接口,在检测引擎想要获取某个事件信息时,通过该抽象的接口,直接重定向到事件本身的文件位置。比如需要获取某个进程的用户信息,如果是主机上的进程,则通过访问主机的/proc/pid/status里的uid然后去查询主机上的/etc/passwd即可获取到。而如果是容器内的进程,则沙箱进行一层namespace切换,将当前的namespace切换到容器内,这样再访问/proc/pid/status或是/etc/passwd访问的就是对应容器内的文件了。该沙箱就是提供了这样的一层抽象,将对文件、网络的访问在沙箱内部通过namespace切换后获取。容器化部署后HIDS工作在容器内,需要访问主机的文件时,也是采用了namespace切换,将当前的namespace切换到主机上,进而进行对主机的访问;当需要访问其他容器时,再切换到对应容器的namespace中。该沙箱的存在,可以使得检测引擎不关心底层数据来源于主机还是容器,故开发时不用专门去考虑这是主机上的还是容器内的,只进行正常的检测即可,需要获取的数据都通过沙箱模块300来直接获取。
通过上述实施例中提到的基于容器部署的主机入侵检测系统可知,在利用该基于容器部署的主机入侵检测系统进行入侵检测的过程中,可通过系统内置的沙箱模块实现对底层检测对象(主机或容器)的抽象,而不用去关心具体的事件是发生在主机上还是容器里,只专注于业务本身即可,可以方便的支持主机的安全检测以及容器的安全检测,利用沙箱模块提供的抽象层能力使得传统的HIDS在开发时不用专门去维护支持容器的分支,大大降低了开发成本以及运维部署成本。
本发明实施例提供了一种基于主机的入侵检测方法,该方法应用于上述实施例中提到的基于容器部署的主机入侵检测系统,基于容器部署的主机入侵检测系统至少包括:事件源模块、检测引擎模块和沙箱模块。如图7所示,该方法包括:
步骤S701,控制事件源模块对事件进行监控,并获取已监控的事件的属性信息;
步骤S702,控制检测引擎模块根据属性信息确定事件的第一关联信息,并将第一关联信息发送至沙箱模块;
步骤S703,控制沙箱模块根据第一关联信息将事件的名称空间切换至对应的容器中生成第二关联信息,并将第二关联信息发送至检测引擎模块中;
步骤S704,控制检测引擎模块接收第二关联信息,并利用第二关联信息获取事件的入侵概率。
该方法中的基于容器部署的主机入侵检测系统至少包含了事件源模块、检测引擎模块和沙箱模块三个模块,其中事件源模块就是通过内核审计等技术获取机器上发生的各个事件,比如进程启动、网络连接等;检测引擎模块是处理事件源中上报的事件,通过规则匹配、数据分析等确认是否是攻击事件,将检测结果上报;沙箱模块是提供了一种在容器内访问主机及其他容器的文件、进程、网络等信息的能力。通过上述方法,可在容器内具备对主机及其他容器的文件、进程、网络等的访问能力,进而可以使主机的HIDS系统部署在容器中,提供集群化的部署方式,并且不仅具备原有的主机HIDS检测能力,也具备容器的HIDS检测。
如图8所示的另一种基于主机的入侵检测方法可知,该方法包括以下步骤:
步骤1:将agent在容器中启动,并设置权限,当前监控事件及使用namespace技术需要使用sys_admin、net_admin、sys_ptrace、audit_control权限;
步骤2:开启事件源监控,审计系统上发生的事件,并根据该事件对应进程的/proc/pid/cgroup获取该事件类型,设置event_type为host(主机)、或container_id(容器内的事件,设置为容器id),然后丢给检测引擎模块;
步骤3:检测引擎模块拿到事件,丢给沙箱模块,来补充事件的详细关联信息;
步骤4-8:沙箱模块根据时间的event_type,判断事件是发送在主机上还是容器内,如果是发生在主机上,则使用namesapce技术,将当前沙箱的环境切换至主机上,然后获取对应的事件详细信息(访问文件、进程详细信息、网络端口等);如果发生在容器内,则根据event_type中的container_id,将namesapce切换至对应的目标容器内,然后获取事件信息,并将这些补齐的事件数据丢给检测引擎模块进行处理;
步骤9:此时检测引擎模块根据返回的完整的事件数据,与本地预制的检测规则做匹配,将结果通过步骤10上报给服务器。
可见,该模型通过在事件源与检测引擎之间增加一个中间层“沙箱层”,所有与环境(主机或容器)相关的信息都在“沙箱层”获取补充完善,而使得上层业务进行检测时无须关心当前检测的是主机还是容器的,只需一套检测逻辑就可实现对主机及容器的检测,故可以起到代码复用的目的,减少开发成本。独立的“沙箱层”,内部通过namespace切换,支持从主机切换到容器,也支持从容器切换到主机。
通过上述实施例中提到的基于主机的入侵检测方法可知,在利用该基于容器部署的主机入侵检测系统进行入侵检测的过程中,可通过系统内置的沙箱模块实现对底层检测对象(主机或容器)的抽象,而不用去关心具体的事件是发生在主机上还是容器里,只专注于业务本身即可,可以方便的支持主机的安全检测以及容器的安全检测,利用沙箱模块提供的抽象层能力使得传统的HIDS在开发时不用专门去维护支持容器的分支,大大降低了开发成本以及运维部署成本。
本发明实施例提供的基于主机的入侵检测方法,与上述实施例提供的基于容器部署的主机入侵检测系统具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。为简要描述,实施例部分未提及之处,可参考前述基于容器部署的主机入侵检测系统实施例中相应内容。
本实施例还提供一种电子设备,为该电子设备的结构示意图如图9所示,该设备包括处理器101和存储器102;其中,存储器102用于存储一条或多条计算机指令,一条或多条计算机指令被处理器执行,以实现上述基于主机的入侵检测方法。
图9所示的电子设备还包括总线103和通信接口104,处理器101、通信接口104和存储器102通过总线103连接。
其中,存储器102可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。总线103可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
通信接口104用于通过网络接口与至少一个用户终端及其它网络单元连接,将封装好的IPv4报文或IPv4报文通过网络接口发送至用户终端。
处理器101可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器101中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器101可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processor,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本公开实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本公开实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器102,处理器101读取存储器102中的信息,结合其硬件完成前述实施例的方法的步骤。
本发明实施例还提供了一种可读存储介质,该可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行前述实施例的基于主机的入侵检测方法的步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、设备和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以用软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于容器部署的主机入侵检测系统,其特征在于,所述系统包括:事件源模块、检测引擎模块和沙箱模块;所述检测引擎模块分别与所述事件源模块和所述沙箱模块相连接;
其中,所述事件源模块,用于对事件进行监控,并获取已监控的所述事件的属性信息;
所述检测引擎模块,用于基于所述事件源模块获取的所述属性信息确定所述事件的第一关联信息,并将所述第一关联信息发送至所述沙箱模块中;还用于接收所述沙箱模块生成的第二关联信息,并利用所述第二关联信息获取所述事件的入侵概率:
所述沙箱模块,用于根据所述第一关联信息将所述事件的名称空间切换至对应的容器中进行处理,生成所述第二关联信息;并将所述第二关联信息发送至所述检测引擎模块中。
2.根据权利要求1所述的基于容器部署的主机入侵检测系统,其特征在于,所述事件源模块包括:事件监听模块、事件标注模块和进程启动模块;
其中,所述事件监听模块,用于对已发生的所述事件进行监控;
所述事件标注模块,用于按照预设的标注格式对已监控的所述事件的属性信息进行标注;
所述进程启动模块,用于根据所述事件的属性信息获取所述事件的类型,并按照所述事件的类型在预设的容器中启动进程。
3.根据权利要求1所述的基于容器部署的主机入侵检测系统,其特征在于,所述检测引擎模块包括:第一关联信息生成模块和入侵检测模块;
其中,所述第一关联信息生成模块,用于根据所述属性信息获取的所述事件的父进程信息、访问信息、进程权限信息和端口信息生成所述事件的第一关联信息;
所述入侵检测模块,用于将所述沙箱模块接收得到的所述第二关联信息与预设的入侵检测规则进行匹配得到匹配结果,并根据所述匹配结果确定所述事件的入侵概率。
4.根据权利要求3所述的基于容器部署的主机入侵检测系统,其特征在于,所述检测引擎模块还包括:关联信息检查模块;
所述关联信息检查模块,用于按照所述事件的属性信息对所述第二关联信息和所述第一关联信息进行检查。
5.根据权利要求1所述的基于容器部署的主机入侵检测系统,其特征在于,所述沙箱模块包括:事件类型检查模块、事件类型判断模块和第二关联信息生成模块;
其中,所述事件类型检查模块,用于接收所述检测引擎模块发出的所述第一关联信息,并对所述第一关联信息中的事件类型的格式进行检查;
所述事件类型判断模块,用于对所述第一关联信息中的事件类型的内容进行判断,并根据判断结果生成所述容器的关联策略;
所述第二关联信息生成模块,用于利用所述关联策略并根据所述事件的所述属性信息生成所述第二关联信息。
6.根据权利要求5所述的基于容器部署的主机入侵检测系统,其特征在于,所述沙箱模块,还包括:第一切换模块;
其中,当所述事件类型为主机事件时,所述第一切换模块,用于将所述事件的名称空间切换至主机中。
7.根据权利要求5所述的基于容器部署的主机入侵检测系统,其特征在于,所述沙箱模块,还包括:第二切换模块;
其中,当所述事件类型为非主机事件时,所述第二切换模块,用于将所述事件的名称空间切换至对应的所述容器中。
8.一种基于主机的入侵检测方法,其特征在于,所述方法应用于上述权利要求1至7任一项所述的基于容器部署的主机入侵检测系统,所述基于容器部署的主机入侵检测系统至少包括:事件源模块、检测引擎模块和沙箱模块;
所述方法包括:
控制所述事件源模块对事件进行监控,并获取已监控的所述事件的属性信息;
控制所述检测引擎模块根据所述属性信息确定所述事件的第一关联信息,并将所述第一关联信息发送至所述沙箱模块;
控制所述沙箱模块根据所述第一关联信息将所述事件的名称空间切换至对应的容器中生成所述第二关联信息,并将所述第二关联信息发送至所述检测引擎模块中;
控制所述检测引擎模块接收所述第二关联信息,并利用所述第二关联信息获取所述事件的入侵概率。
9.一种电子设备,其特征在于,包括:处理器和存储装置;所述存储装置上存储有计算机程序,所述计算机程序在被所述处理器运行时实现上述权利要求8所述的基于主机的入侵检测方法的步骤。
10.一种可读存储介质,所述可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器运行时实现上述权利要求8所述的基于主机的入侵检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310281579.2A CN115994353B (zh) | 2023-03-22 | 2023-03-22 | 基于容器部署的主机入侵检测系统、方法及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310281579.2A CN115994353B (zh) | 2023-03-22 | 2023-03-22 | 基于容器部署的主机入侵检测系统、方法及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115994353A true CN115994353A (zh) | 2023-04-21 |
| CN115994353B CN115994353B (zh) | 2023-06-06 |
Family
ID=85992292
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310281579.2A Active CN115994353B (zh) | 2023-03-22 | 2023-03-22 | 基于容器部署的主机入侵检测系统、方法及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115994353B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309180A (zh) * | 2008-06-21 | 2008-11-19 | 华中科技大学 | 一种适用于虚拟机环境的安全网络入侵检测系统 |
| US20200125721A1 (en) * | 2018-10-22 | 2020-04-23 | Microsoft Technology Licensing, Llc | Tiered scalability sandbox fleet with internet access |
| CN111464526A (zh) * | 2020-03-30 | 2020-07-28 | 深信服科技股份有限公司 | 一种网络入侵检测方法、装置、设备及可读存储介质 |
| US20200285737A1 (en) * | 2019-03-05 | 2020-09-10 | Microsoft Technology Licensing, Llc | Dynamic cybersecurity detection of sequence anomalies |
| CN114116118A (zh) * | 2021-10-15 | 2022-03-01 | 阿里巴巴(中国)有限公司 | 容器应用程序安全监测方法、装置、电子设备及介质 |
| CN114254304A (zh) * | 2021-11-30 | 2022-03-29 | 深圳依时货拉拉科技有限公司 | 容器安全入侵检测方法、装置、计算机设备及存储介质 |
| US20220121741A1 (en) * | 2020-10-15 | 2022-04-21 | International Business Machines Corporation | Intrusion detection in micro-services through container telemetry and behavior modeling |
| CN115086064A (zh) * | 2022-07-05 | 2022-09-20 | 吴国立 | 基于协同入侵检测的大规模网络安全防御系统 |
-
2023
- 2023-03-22 CN CN202310281579.2A patent/CN115994353B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309180A (zh) * | 2008-06-21 | 2008-11-19 | 华中科技大学 | 一种适用于虚拟机环境的安全网络入侵检测系统 |
| US20200125721A1 (en) * | 2018-10-22 | 2020-04-23 | Microsoft Technology Licensing, Llc | Tiered scalability sandbox fleet with internet access |
| US20200285737A1 (en) * | 2019-03-05 | 2020-09-10 | Microsoft Technology Licensing, Llc | Dynamic cybersecurity detection of sequence anomalies |
| CN111464526A (zh) * | 2020-03-30 | 2020-07-28 | 深信服科技股份有限公司 | 一种网络入侵检测方法、装置、设备及可读存储介质 |
| US20220121741A1 (en) * | 2020-10-15 | 2022-04-21 | International Business Machines Corporation | Intrusion detection in micro-services through container telemetry and behavior modeling |
| CN114116118A (zh) * | 2021-10-15 | 2022-03-01 | 阿里巴巴(中国)有限公司 | 容器应用程序安全监测方法、装置、电子设备及介质 |
| CN114254304A (zh) * | 2021-11-30 | 2022-03-29 | 深圳依时货拉拉科技有限公司 | 容器安全入侵检测方法、装置、计算机设备及存储介质 |
| CN115086064A (zh) * | 2022-07-05 | 2022-09-20 | 吴国立 | 基于协同入侵检测的大规模网络安全防御系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115994353B (zh) | 2023-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11075945B2 (en) | System, apparatus and method for reconfiguring virtual machines | |
| US9495180B2 (en) | Optimized resource allocation for virtual machines within a malware content detection system | |
| US11522904B2 (en) | Self-healing architecture for resilient computing services | |
| US11108793B2 (en) | Preemptive alerts in a connected environment | |
| US20120005755A1 (en) | Infection inspection system, infection inspection method, storage medium, and program | |
| US9229758B2 (en) | Passive monitoring of virtual systems using extensible indexing | |
| CN110362455B (zh) | 一种数据处理方法和数据处理装置 | |
| EP1960933A1 (en) | System and method for detecting unauthorized boots | |
| CN103595774A (zh) | 终端基于服务器端的系统应用卸载方法与装置 | |
| WO2008083890A1 (en) | Method, system and program product for alerting an information technology support organization of a security event | |
| CN110943984B (zh) | 一种资产安全保护方法及装置 | |
| CN112818307A (zh) | 用户操作处理方法、系统、设备及计算机可读存储介质 | |
| CN104735069A (zh) | 一种基于安全可信的高可用性计算机集群 | |
| US11251976B2 (en) | Data security processing method and terminal thereof, and server | |
| CN113536304A (zh) | 一种基于运维审计系统的防绕行方法及设备 | |
| CN115994353B (zh) | 基于容器部署的主机入侵检测系统、方法及电子设备 | |
| CN116743619B (zh) | 网络服务的测试方法、装置、设备及存储介质 | |
| US11487853B2 (en) | Cluster-wise license information replication | |
| EP3535681B1 (en) | System and method for detecting and for alerting of exploits in computerized systems | |
| US11763004B1 (en) | System and method for bootkit detection | |
| US9569619B1 (en) | Systems and methods for assessing internet addresses | |
| CN109710495A (zh) | 一种信息处理方法及电子设备 | |
| CN115118481B (zh) | 一种主机信息采集方法、装置、设备及介质 | |
| US10489267B2 (en) | Taking an action in response to detecting an unsupported language in a log | |
| CN117251863A (zh) | 日志数据保护方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |