CN117692243A - 攻击链路还原方法、装置、计算机设备和存储介质 - Google Patents
攻击链路还原方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN117692243A CN117692243A CN202311806799.9A CN202311806799A CN117692243A CN 117692243 A CN117692243 A CN 117692243A CN 202311806799 A CN202311806799 A CN 202311806799A CN 117692243 A CN117692243 A CN 117692243A
- Authority
- CN
- China
- Prior art keywords
- container
- link
- access
- abnormal
- containers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 230000002159 abnormal effect Effects 0.000 claims abstract description 77
- 238000010586 diagram Methods 0.000 claims abstract description 62
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 37
- 238000004590 computer program Methods 0.000 claims abstract description 25
- 238000004891 communication Methods 0.000 claims description 25
- 238000012544 monitoring process Methods 0.000 claims description 23
- 239000000523 sample Substances 0.000 claims description 12
- 238000012216 screening Methods 0.000 claims description 9
- 238000012790 confirmation Methods 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 abstract description 5
- 230000008569 process Effects 0.000 description 12
- 238000004458 analytical method Methods 0.000 description 10
- 238000007726 management method Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000004140 cleaning Methods 0.000 description 5
- 230000009545 invasion Effects 0.000 description 5
- 238000011084 recovery Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000012098 association analyses Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000036541 health Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 239000012466 permeate Substances 0.000 description 1
- 238000000547 structure data Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种攻击链路还原方法、装置、计算机设备、存储介质和计算机程序产品。涉及信息安全技术领域,可用于金融科技领域或其他相关领域,所述方法包括:在安全容器监测到容器集群中存在异常行为的情况下,确定存在异常行为的异常容器,并采集容器集群内所有容器之间的访问流量;上述安全容器设置于容器集群中;基于访问流量,建立容器集群内的容器之间的访问关系链路图;根据异常容器,查询访问关系链路图,确定对容器集群的攻击链路。采用本方法能够快速还原攻击链路,完成攻击入口的定位。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种攻击链路还原方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
随着信息安全技术的发展,出现了攻击链路还原技术,这个技术可以定位攻击入口、锁定内网跳板并且刻画出完整的攻击链路。目前的攻击链路还原方式主要通过分析被攻击系统的日志和网络流量等数据,对攻击者的行为和攻击路径进行追踪。
然而,目前在攻击链路还原过程中,边界网络流量分析设备的管理平台在应急处置过程中,由于无法快速定位失陷目标,所以出现难以有效地定位外部攻击者的攻击入口和攻击链路的问题。
发明内容
基于此,有必要针对上述无法快速定位失陷目标,所以出现难以有效地定位外部攻击者的攻击入口和攻击链路的技术问题,提供一种攻击链路还原方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种攻击链路还原方法,包括:
在安全容器监测到容器集群中存在异常行为的情况下,确定存在异常行为的异常容器,并采集所述容器集群内所有容器之间的访问流量;所述安全容器设置于所述容器集群中;
基于所述访问流量,建立所述容器集群内的容器之间的访问关系链路图;
根据所述异常容器,查询所述访问关系链路图,确定对所述容器集群的攻击链路。
在其中一个实施例中,所述基于所述访问流量,建立所述容器集群内的容器之间的访问关系链路图,包括:确定所述容器集群内所有容器之间的访问流量中,每个访问流量对应的请求的发送容器和接收容器;基于各个请求对应的发送容器和接收容器,建立所述容器集群中的容器之间的访问关系链路图。
在其中一个实施例中,所述基于所述访问流量,建立所述容器集群内的容器之间的访问关系链路图,还包括:对所述访问流量进行筛选处理,得到筛选后访问流量;基于所述筛选后访问流量,建立所述容器集群内的容器之间的访问关系链路图。
在一个实施例中,所述根据所述异常容器,查询所述访问关系链路图,确定对所述容器集群的攻击链路,包括:根据所述异常容器,查询所述访问关系链路图,得到与所述异常容器相关的异常流量;确定所述异常流量的关联容器,根据所述关联容器相关的异常流量和所述访问关系链路图,确定对所述容器集群的攻击链路。
在一个实施例中,所述对容器集群的攻击链路中各个容器的确定方式为:根据预先为各个容器配置的应用标识,确定各个容器;上述应用标识为部署容器集群时配置得到,上述应用标识在容器ID发生动态漂移时,保持不变。
在一个实施例中,所述容器集群部署于云平台上;所述方法还包括:在云平台的宿主机中部署防护探针;所述防护探针用于监控容器集群,在监控到容器集群出现异常的情况下,进行告警。
在一个实施例中,所述容器集群部署于云平台上;所述根据异常容器,查询访问关系链路图,确定对容器集群的攻击链路,包括:根据异常容器,查询访问关系链路图,确定在云平台上对容器集群的第一攻击链路;通过第一攻击链路中的负载均衡器,确定在云平台外对容器集群的第二攻击链路;所述负载均衡器用于实现云平台与云平台外的设备之间的通信;基于第一攻击链路和第二攻击链路,得到对容器集群的攻击链路。
第二方面,本申请还提供了一种攻击链路还原装置,包括:
采集模块,用于在安全容器监测到容器集群中存在异常行为的情况下,确定存在异常行为的异常容器,并采集容器集群内所有容器之间的访问流量;上述安全容器设置于容器集群中;
建立模块,用于基于访问流量,建立容器集群内的容器之间的访问关系链路图;
确认模块,用于根据异常容器,查询访问关系链路图,确定对容器集群的攻击链路。
第三方面,本申请还提供了一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现本申请实施例任一项所述的方法的攻击链路还原。
第四方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本申请实施例任一项所述的方法的攻击链路还原。
第五方面,本申请还提供了一种计算机程序产品,所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现本申请实施例任一项所述的方法的攻击链路还原。
上述攻击链路还原方法、装置、计算机设备、存储介质和计算机程序产品,在对攻击链路还原的过程中,具有以下有益效果:首先在安全容器监测到容器集群中存在异常行为的情况下,确定存在异常行为的异常容器,并采集容器集群内所有容器之间的访问流量;上述安全容器设置于容器集群中;然后基于访问流量,建立容器集群内的容器之间的访问关系链路图;最后根据异常容器,查询访问关系链路图,确定对容器集群的攻击链路。通过在容器集群中设置安全容器,监测容器集群中的异常行为,当监测到异常行为时,会确认具体发生异常行为的异常容器,并通过监测容器集群内所有容器之间的访问流量,建立容器之间的访问关系链路图,可以清晰的展示容器之间的访问关系,有效地定位外部攻击者的攻击入口和攻击路径,提高定位精度和定位效率,解决难以快速定位失陷目标的问题。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一个实施例中攻击链路还原方法的应用环境图;
图2为一个实施例中攻击链路还原方法的流程示意图;
图3为一个实施例中攻击链路还原方法的容器标识示意图;
图4为一个实施例中攻击链路还原方法的云平台内部及外部关系示意图;
图5为一个实施例中攻击链路还原步骤的流程示意图;
图6为一个实施例中攻击链路还原方法的攻击入口定位流程示意图;
图7为一个实施例中攻击链路还原装置的结构框图;
图8为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的攻击链路还原方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与安全容器104进行通信。数据存储系统可以存储安全容器104需要处理的数据。数据存储系统可以集成在安全容器104上,也可以放在云上或其他网络服务器上。首先,终端102在安全容器104监测到容器集群106中存在异常行为的情况下,确定存在异常行为的异常容器,并采集容器集群106内所有容器之间的访问流量;上述安全容器104设置于容器集群中;然后基于访问流量,建立容器集群106内的容器之间的访问关系链路图;最后根据异常容器,查询访问关系链路图,确定对容器集群的攻击链路。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个示例性的实施例中,如图2所示,提供了一种攻击链路还原方法,以该方法应用于图1中的终端102为例进行说明,包括以下步骤202至步骤206。其中:
步骤202,在安全容器监测到容器集群中存在异常行为的情况下,确定存在异常行为的异常容器,并采集容器集群内所有容器之间的访问流量;上述安全容器设置于容器集群中。
其中,安全容器指的是在容器集群中设置的用于监测异常行为的容器,通常具有安全监测、日志记录以及流量采集等功能;其中安全容器通过旁挂的方式在容器集群中,可以实时监测和记录其他容器的异常行为。监控容器可以通过监控系统调用、网络流量等方式来检测容器是否存在异常操作或安全风险;异常行为指的是容器集群中的不正常或异常的操作、访问以及通信等行为,可能是由于恶意攻击、漏洞利用或配置错误等原因导致;访问流量指的是容器集群中各个容器之间的网络通信流量,包括请求、响应以及数据传输等。
具体地,安全容器监测到异常行为后,首先需要确定存在异常行为的具体容器,并采集容器集群内所有容器之间的访问流量,根据访问流量可以获取容器之间的通信情况,为后续建立访问关系链路图和确定攻击链路提供数据支持。
步骤204,基于访问流量,建立容器集群内的容器之间的访问关系链路图。
其中,访问关系链路图指的是基于访问流量建立的容器集群内各个容器之间的访问关系图,用于展示容器之间的通信路径和关联关系。
具体地,根据容器集群中所有容器之间的访问流量,得到链路图,分析容器之间的通信模式,从而获取容器之间的通信路径和关联关系,并且确认异常行为的源头。
步骤206,根据异常容器,查询访问关系链路图,确定对容器集群的攻击链路。
其中,攻击链路指的是攻击者利用漏洞或恶意行为在容器集群中进行攻击的路径和方式。
具体地,对访问关系链路图进行分析,获取到攻击者对容器集群的入侵方式和入侵路径,对容器集群的链路关系进行及时的安全防御和精确的修复。
上述攻击链路还原方法中,首先在安全容器监测到容器集群中存在异常行为的情况下,确定存在异常行为的异常容器,并采集容器集群内所有容器之间的访问流量;上述安全容器设置于容器集群中;然后基于访问流量,建立容器集群内的容器之间的访问关系链路图;最后根据异常容器,查询访问关系链路图,确定对容器集群的攻击链路。通过在容器集群中设置安全容器,监测容器集群中的异常行为,当监测到异常行为时,会确认具体发生异常行为的异常容器,并通过监测容器集群内所有容器之间的访问流量,建立容器之间的访问关系链路图,可以清晰的展示容器之间的访问关系,有效地定位外部攻击者的攻击入口和攻击路径,提高定位精度和定位效率,解决难以快速定位失陷目标的问题。
在一个实施例中,基于访问流量,建立容器集群内的容器之间的访问关系链路图,包括:
第一步:确定容器集群内所有容器之间的访问流量中,每个访问流量对应的请求的发送容器和接收容器。
其中,请求指的是容器之间发起的网络通信请求,包括HTTP请求以及TCP请求等,其中HTTP请求是指超文本传输协议中的请求消息,用于向服务器请求特定资源,TCP请求是指传输控制协议中的连接请求,用于在通信双方建立可靠的数据传输连接;发送容器和接收容器分别指的是在进行网络通信过程中,数据包的发送者和接收者,对应容器集群中的具体容器。
具体地,对访问流量进行分析时,需要关注容器之间的网络通信流量,包括请求的发送和接收情况,例如对网络数据包的抓取、解析和识别,以确定每个请求的发送容器和接收容器,从而了解容器之间的通信情况;对访问流量进行分析需要使用网络抓包工具或者专门的流量分析工具,对容器集群中的通信进行监控和分析。
第二步:基于各个请求对应的发送容器和接收容器,建立容器集群中的容器之间的访问关系链路图。
具体地,建立访问关系链路图可以使用网络拓扑分析工具或者专门的容器关系分析工具,将抓取到的数据进行可视化展示,进而直观地了解容器之间的通信路径和关联关系。
本实施例中,通过对访问流量进行分析,确定每个请求的发送容器和接收容器,从而了解容器之间的通信情况;通过建立访问关系链路图,可以更迅速的根据容器集群中的通信模式,定位异常行为的源头,并确定攻击链路。
在一个示例性的实施例中,基于访问流量,建立容器集群内的容器之间的访问关系链路图,还包括:
第1步:对访问流量进行筛选处理,得到筛选后访问流量。
其中,筛选处理指的是对访问流量进行清洗以及筛选,得到符合特定条件或需求的流量数据。
具体地,清洗以及筛选可以是对采集到的容器间访问流量数据进行过滤和处理,去除无关的数据,提取出有效信息,例如时间戳、协议类型、源IP、目的IP以及端口等。
第2步:基于筛选后访问流量,建立容器集群内的容器之间的访问关系链路图。
具体地,将筛选后的信息导入到图数据库中,图数据库是一种专门用于存储和处理图结构数据的数据库。在图数据库中,可以将容器视为节点,访问关系视为边,建立容器间的访问关系链路图。
本实施例中,通过清洗和筛选容器间的访问流量,提取关键信息并导入图数据库,进行关联分析,以实现对容器间访问关系的分析,可以提高发现异常行为的效率,从而进行容器集群的安全分析和防御工作。
进一步地,在一个实施例中,根据异常容器,查询访问关系链路图,确定对容器集群的攻击链路,包括:
步骤一:根据异常容器,查询访问关系链路图,得到与异常容器相关的异常流量。
其中,异常容器指的是在容器集群中出现异常行为或异常流量的容器。
具体地,异常流量的具体形式可以包括:①异常的大量请求:异常容器发出大量的请求,超出了正常的访问量范围;②异常的协议使用:异常容器使用了不常见的协议或者与业务不符的协议;③异常的数据包大小:异常容器发送或者接收的数据包大小超出了正常范围。
步骤二:确定异常流量的关联容器,根据关联容器相关的异常流量和访问关系链路图,确定对容器集群的攻击链路。
其中,关联容器指的是与异常容器在访问关系链路图中有直接或间接关联的容器。
具体地,首先根据异常容器的IP地址或者容器名称,在监控系统或者网络流量分析工具中进行搜索和过滤,筛选出与该容器相关的流量数据,利用访问关系链路图,对筛选出的流量数据进行进一步分析,找到与该容器直接或间接关联的其他容器,以及它们之间的通信路径和流量情况,然后根据异常容器的访问关系链路图,筛选出与异常容器相关的流量数据,可以根据源IP、目标IP、端口号等信息进行过滤和匹配,最后通过分析异常流量的具体形式识别异常流量是否为攻击行为。
本实施例中,通过访问关系链路图,可以清晰地展示容器之间的通信路径和关联关系,迅速确定异常流量的关联容器,进而确定攻击链路,在实际应用中可以及时发现和应对容器集群中的安全威胁。
在一个示例性的实施例中,如图3对容器集群的攻击链路中各个容器的确定方式为:根据预先为各个容器配置的应用标识,确定各个容器;上述应用标识为部署容器集群时配置得到,上述应用标识在容器ID发生动态漂移时,保持不变。
其中,为各个容器配置的应用标识的方法可以是通过namespace,namespace是用于隔离和管理资源的机制;应用标识指的是在容器集群部署时为各个容器预先配置的标识,用于唯一标识和识别各个容器。应用标识可以是容器的名称、ID、标签等,用于区分和定位容器;动态漂移指的是容器在集群中发生位置变化或迁移的过程,例如容器的迁移、重启、扩缩容等操作。
具体地,在容器环境中,namespace可以用来创建独立的运行环境,使不同的容器之间相互隔离,并提供独立的命名空间,每个容器都可以有自己的namespace,以确保其运行环境的隔离性和唯一性。配置时需要将容器运行状态、容器ID(容器对内的信息)、集群node(一个容器集群中的节点)、namespace等信息通过SLB(Server Load Balancer) confd和PaaS etcd配置文件进行记录;
其中,SLB是一种负载均衡器,用于将流量分发到后端的多个服务器上,以提高系统的可用性和性能,可以根据预设的策略将请求分发到不同的服务器上,并监控服务器的健康状态,confd指的是一个配置管理工具,用于动态更新和重新加载应用程序的配置,可以与各种配置后端集成,监控配置文件的变化并自动重新加载应用程序的配置;PaaS etcd指的是分布式键值存储系统,用于存储和检索配置数据。它提供了一种可靠的方式来存储和同步配置信息,以便应用程序可以在不同的节点和容器之间共享和访问配置数据,PaaS(Platform as a Service),平台即服务,是一种云计算服务模型,它使开发人员可以在云平台上创建、部署和管理应用程序,而无需配置底层基础设施。PaaS提供了一种简化的应用程序开发和部署环境,使开发人员能够专注于应用程序的开发和业务逻辑,而不必担心底层的基础设施管理,etcd是一个分布式键值存储系统,常用于存储配置信息、服务发现和共享状态等场景。
本实施例中,通过预先为容器配置的应用标识,可以确保在容器发生位置变化或迁移的情况下,仍然能够通过应用标识来唯一标识和识别容器,=不会因为容器ID的变化而造成管理和定位的困难,更加方便了对容器集群的管理和维护。
在一个实施例中,上述容器集群部署于云平台上;上述方法还包括:在云平台的宿主机中部署防护探针;所述防护探针用于监控容器集群,在监控到容器集群出现异常的情况下,进行告警。
其中,云平台指的是提供云计算服务的PaaS (Platform as a Service),宿主机指的是在容器集群中运行的物理主机,用于承载容器,并提供计算资源。
具体地,防护探针通过监控宿主机上的各种指标,如CPU、内存、磁盘以及网络,并且监控容器集群的运行状态和健康状况,及时发现异常情况并通过通知、日志记录等方式向系统发送警报信息进行告警,防护探针可以与监控系统、日志系统、告警系统等集成,实现对容器集群的全面监控和安全防护,也可以根据实际需求进行定制化开发,以满足特定的监控和告警需求。
本实施例中,通过部署防护探针,监控容器集群,可以及时发现异常情况并进行告警,有助于提高容器集群的稳定性、可靠性和安全性保障业务的正常运行。
进一步地,在一个实施例中,如图4上述容器集群部署于云平台上;所述根据异常容器,查询访问关系链路图,确定对容器集群的攻击链路,包括:
步骤1:根据异常容器,查询访问关系链路图,确定在云平台上对容器集群的第一攻击链路。
其中,第一攻击链路指的是在云平台内部,攻击者利用容器集群中的异常容器或存在漏洞的组件,通过一系列的攻击步骤和路径,最终实现对容器集群的攻击和入侵。
具体地,确定第一攻击链路的过程可能涉及到异常容器对其他容器或组件的攻击或恶意访问,利用漏洞进行攻击,或者通过恶意代码渗透到其他容器中等方式,最终达到入侵和破坏的目的。
步骤2:通过第一攻击链路中的负载均衡器,确定在云平台外对容器集群的第二攻击链路;所述负载均衡器用于实现云平台与云平台外的设备之间的通信。
其中,负载均衡器指的是用于在多台服务器之间分配负载,以实现流量分发和请求转发的设备或服务,提高系统的可用性和性能;第二攻击链路指的是在云平台外部,攻击者利用对云平台内部通信的负载均衡器或其他设备,通过一系列的攻击步骤和路径,最终实现对容器集群的攻击和入侵。
具体地,确定第二攻击链路的过程中,攻击者可能通过对负载均衡器的攻击,利用其作为入口点,进而渗透到云平台内部,或者利用负载均衡器对外部设备的通信进行篡改或攻击,最终影响到容器集群的安全和稳定性。
步骤3:基于第一攻击链路和第二攻击链路,得到对容器集群的攻击链路。
具体地,通过获取攻击者利用云平台内部和外部的通信路径和组件的两条攻击链路,可以得到攻击者对容器集群的攻击链路。
本实施例中,通过对第一攻击链路和第二攻击链路的综合分析,可以迅速识别潜在的安全风险和漏洞,从而制定相应的安全防护策略和应急响应措施。
为了更好地理解上述攻击链路还原的过程,结合图5和图6所示,以下详细阐述一个本申请攻击链路还原的具体流程,包括以下步骤:
S502,对容器进行唯一标识,用于区分确认各个容器。
S504,在云平台的宿主机中部署防护探针,安全容器监控容器异常行为并采集容器集群内东西向访问流量。
在容器集群中旁挂安全容器,同时在PaaS集群底层宿主机部署服务器入侵防护系统探针的方式,基于主机/容器安全管理平台,实现对云工作负载的内外双重监控防护,实时监控云上应用被入侵、容器逃逸等风险,并及时告警。
S506,清洗访问流量,建模分析得到容器间访问关系链路图。
通过旁挂安全容器监控容器异常行为并采集容器集群内东西向访问流量,对云内访问流量进行清洗,筛选请求报文中的时间戳、协议类型、源IP、目的IP、端口等信息,导入图数据库,并建模关联分析,形成容器间的访问关系链路图,可视化追踪跳板容器。
S508,基于访问关系链路图,还原攻击链路,定位攻击入口。
具体地,边界侧攻击需通过云上软负载均衡设备转发至云平台上指定应用,即先由防火墙阻拦一次,再通过网络安全设备检测,然后通过负载均衡分配给具体的容器,为进一步定位外网攻击入口,将传统网络边界防护与PaaS云平台和云上软负载均衡进行对接,通过PaaS云平台将容器ID与容器IP信息关联,再通过负载均衡将容器IP信息关联防护设备告警中受害IP信息,最终在边界防护告警实现公网IP、容器IP、容器ID的相互融合,成功还原云上攻击链路。其中,Id是容器对内的一个信息,IP是容器对外暴露的信息。
示例性地,攻击者通过远程命令执行的漏洞获取服务器权限后,再利用未授权访问漏洞直接登录容器,执行反弹命令行界面定时任务维持权限,并尝试在容器集群内进行横向渗透,利用安全容器可成功监测入侵行为,第一时间锁定攻击入口,及时获取攻击源IP,实现攻击告警的快速定位和应急处置。
通过上述实施例,当安全容器发现云上应用遭受入侵时,能够及时从告警所在容器追踪溯源,关联边界网络流量中的目的IP和攻击源IP,定位攻击入口,成功实现了云上攻击链路还原,突破了云环境和传统环境、云原生安全与传统安全的界限。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的攻击链路还原方法的攻击链路还原装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个攻击链路还原装置实施例中的具体限定可以参见上文中对于攻击链路还原方法的限定,在此不再赘述。
在一个示例性的实施例中,如图7所示,提供了一种攻击链路还原装置,包括:采集模块701、建立模块702和确认模块703,其中:
采集模块701,用于在安全容器监测到容器集群中存在异常行为的情况下,确定存在异常行为的异常容器,并采集容器集群内所有容器之间的访问流量;上述安全容器设置于容器集群中。
建立模块702,用于基于访问流量,建立容器集群内的容器之间的访问关系链路图。
确认模块703,用于根据异常容器,查询访问关系链路图,确定对容器集群的攻击链路。
在一个实施例中,所述建立模块702,还用于确定容器集群内所有容器之间的访问流量中,每个访问流量对应的请求的发送容器和接收容器;基于各个请求对应的发送容器和接收容器,建立容器集群中的容器之间的访问关系链路图。
在一个实施例中,所述建立模块702,还用于对访问流量进行筛选处理,得到筛选后访问流量;基于筛选后访问流量,建立容器集群内的容器之间的访问关系链路图。
在一个实施例中,所述确认模块703,还用于根据异常容器,查询访问关系链路图,得到与异常容器相关的异常流量;确定异常流量的关联容器,根据关联容器相关的异常流量和访问关系链路图,确定对容器集群的攻击链路。
在一个实施例中,所述确认模块703,还用于根据预先为各个容器配置的应用标识,确定各个容器;上述应用标识为部署容器集群时配置得到,上述应用标识在容器ID发生动态漂移时,保持不变。
在一个实施例中,所述采集模块701,还用于在云平台的宿主机中部署防护探针;上述防护探针用于监控容器集群,在监控到容器集群出现异常的情况下,进行告警。
在一个实施例中,所述确认模块703,还用于根据异常容器,查询访问关系链路图,确定在云平台上对容器集群的第一攻击链路;通过第一攻击链路中的负载均衡器,确定在云平台外对容器集群的第二攻击链路;所述负载均衡器用于实现云平台与云平台外的设备之间的通信;基于第一攻击链路和第二攻击链路,得到对容器集群的攻击链路。
上述攻击链路还原装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个示例性的实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图8所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)和通信接口。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储攻击链路还原数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种攻击链路还原方法。
本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个示例性的实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要符合相关规定。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (11)
1.一种攻击链路还原方法,其特征在于,所述方法包括:
在安全容器监测到容器集群中存在异常行为的情况下,确定存在异常行为的异常容器,并采集所述容器集群内所有容器之间的访问流量;所述安全容器设置于所述容器集群中;
基于所述访问流量,建立所述容器集群内的容器之间的访问关系链路图;
根据所述异常容器,查询所述访问关系链路图,确定对所述容器集群的攻击链路。
2.根据权利要求1所述的方法,其特征在于,所述基于所述访问流量,建立所述容器集群内的容器之间的访问关系链路图,包括:
确定所述容器集群内所有容器之间的访问流量中,每个访问流量对应的请求的发送容器和接收容器;
基于各个请求对应的发送容器和接收容器,建立所述容器集群中的容器之间的访问关系链路图。
3.根据权利要求1所述的方法,其特征在于,所述基于所述访问流量,建立所述容器集群内的容器之间的访问关系链路图,还包括:
对所述访问流量进行筛选处理,得到筛选后访问流量;
基于所述筛选后访问流量,建立所述容器集群内的容器之间的访问关系链路图。
4.根据权利要求1所述的方法,其特征在于,所述根据所述异常容器,查询所述访问关系链路图,确定对所述容器集群的攻击链路,包括:
根据所述异常容器,查询所述访问关系链路图,得到与所述异常容器相关的异常流量;
确定所述异常流量的关联容器,根据所述关联容器相关的异常流量和所述访问关系链路图,确定对所述容器集群的攻击链路。
5.根据权利要求1所述的方法,其特征在于,所述对所述容器集群的攻击链路中各个容器的确定方式为:
根据预先为所述各个容器配置的应用标识,确定所述各个容器;所述应用标识为部署所述容器集群时配置得到,所述应用标识在容器ID发生动态漂移时,保持不变。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述容器集群部署于云平台上;所述方法还包括:
在所述云平台的宿主机中部署防护探针;所述防护探针用于监控所述容器集群,在监控到所述容器集群出现异常的情况下,进行告警。
7.根据权利要求1所述的方法,其特征在于,所述容器集群部署于云平台上;所述根据所述异常容器,查询所述访问关系链路图,确定对所述容器集群的攻击链路,包括:
根据所述异常容器,查询所述访问关系链路图,确定在所述云平台上对所述容器集群的第一攻击链路;
通过所述第一攻击链路中的负载均衡器,确定在所述云平台外对所述容器集群的第二攻击链路;所述负载均衡器用于实现所述云平台与所述云平台外的设备之间的通信;
基于所述第一攻击链路和所述第二攻击链路,得到对所述容器集群的攻击链路。
8.一种攻击链路还原装置,其特征在于,所述装置包括:
采集模块,用于在安全容器监测到容器集群中存在异常行为的情况下,确定存在异常行为的异常容器,并采集所述容器集群内所有容器之间的访问流量;所述安全容器设置于所述容器集群中;
建立模块,用于基于所述访问流量,建立所述容器集群内的容器之间的访问关系链路图;
确认模块,用于根据所述异常容器,查询所述访问关系链路图,确定对所述容器集群的攻击链路。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
11.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311806799.9A CN117692243A (zh) | 2023-12-26 | 2023-12-26 | 攻击链路还原方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311806799.9A CN117692243A (zh) | 2023-12-26 | 2023-12-26 | 攻击链路还原方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117692243A true CN117692243A (zh) | 2024-03-12 |
Family
ID=90126407
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311806799.9A Pending CN117692243A (zh) | 2023-12-26 | 2023-12-26 | 攻击链路还原方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117692243A (zh) |
-
2023
- 2023-12-26 CN CN202311806799.9A patent/CN117692243A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11785104B2 (en) | Learning from similar cloud deployments | |
| US20220329616A1 (en) | Using static analysis for vulnerability detection | |
| US20220215101A1 (en) | Dynamically generating monitoring tools for software applications | |
| US10013318B2 (en) | Distributed event correlation system | |
| US11792284B1 (en) | Using data transformations for monitoring a cloud compute environment | |
| US20230075355A1 (en) | Monitoring a Cloud Environment | |
| US20220232024A1 (en) | Detecting deviations from typical user behavior | |
| US20220232025A1 (en) | Detecting anomalous behavior of a device | |
| JP6490059B2 (ja) | データを処理するための方法、有形機械可読記録可能記憶媒体および装置、ならびにデータ・レコードから抽出された特徴をクエリするための方法、有形機械可読記録可能記憶媒体および装置 | |
| US20240080329A1 (en) | Cloud Resource Risk Scenario Assessment and Remediation | |
| RU2634209C1 (ru) | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью | |
| US20160191549A1 (en) | Rich metadata-based network security monitoring and analysis | |
| US20220200869A1 (en) | Configuring cloud deployments based on learnings obtained by monitoring other cloud deployments | |
| US20220279004A1 (en) | Facilitating developer efficiency and application quality | |
| US20220303295A1 (en) | Annotating changes in software across computing environments | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| US20220360600A1 (en) | Agentless Workload Assessment by a Data Platform | |
| US20220224707A1 (en) | Establishing a location profile for a user device | |
| Chhabra et al. | Hadoop‐based analytic framework for cyber forensics | |
| US20240106846A1 (en) | Approval Workflows For Anomalous User Behavior | |
| Diederichsen et al. | A graph database-based approach to analyze network log files | |
| Li et al. | A hierarchical mobile‐agent‐based security operation center | |
| CN103078771B (zh) | 基于p2p的僵尸网络分布式协作检测系统和方法 | |
| Sharma et al. | A Graph Database-Based Method for Network Log File Analysis | |
| WO2023034419A1 (en) | Detecting anomalous behavior of a device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |