基于网络模式识别和匹配的容器安全防御方法与装置制造方法及图纸

本发明专利技术涉及网络安全管控方法及设备技术领域，具体来说是一种基于网络模式识别和匹配的容器安全防御方法与装置，实时收集主机上所有进程的网络访问信息，并将容器镜像与进程相关联，以形成基于容器镜像的网络访问数据；根据容器镜像的网络访问数据对容器镜像进行网络模式识别，特别针对容器化运行的应用进行网络监控，能够自动关联进程的网络行为到某应用容器上，在信息实时收集和分析的基础上，自动对容器网络威胁进行干预；能够自动识别容器的工作模式并对网络行为数据进行相应的分析处理，比如对于采用封装工作模式的容器，容器探针模块能够捕捉到封装网络包内部的原始容器网络信息。

Container security defense method and device based on network pattern recognition and matching

The invention relates to the network security management and control method and the technical field of equipment, in particular to a container security defense method and device based on network pattern recognition and matching, which collects the network access information of all processes on the host in real time and associates the container image with the process to form the network access number based on the container image. According to the network access data of container mirror, the network pattern recognition of container mirror is carried out, especially for the application of container running, which can automatically correlate the network behavior of process to an application container, and automatically intervene the container network threat on the basis of real-time collection and analysis of information. It can automatically identify the working mode of the container and analyze the network behavior data. For example, the container probe module can capture the original container network information inside the packet.

【技术实现步骤摘要】
基于网络模式识别和匹配的容器安全防御方法与装置
本专利技术涉及网络安全管控方法及设备
，具体来说是一种基于网络模式识别和匹配的容器安全防御方法与装置。
技术介绍
网络安全已经成为企业安全的重中之中，而绝大多数企业的网络安全都仅仅关注在网络边缘加固上，比如通过网络物理隔离等方式把企业IT核心基础设施和互联网进行完全隔离。但是，仅仅关注边缘网络加固是不足以满足企业网络安全要求的，甚至会让企业放松在内部网络的管控上。很多时候，一旦边缘网络加固被破坏的话，企业内部缺乏安全保护的系统和数据就完全暴露出来。而且，边缘网络加固仅仅防御了企业外部网络，但是企业内部网络同样面临严峻的安全威胁，一旦企业内部网络中的某台主机被黑客所控制，那么很容易对内网的其他主机和系统产生安全威胁。而在企业内部网络安全方面，针对应用／主机IP和端口进行网络防火墙控制是绝大多数企业采用的方式。但是随着企业应用上云的不断深化，这种静态配置的方式已经难以为继。尤其在PaaS场景下，应用的部署架构是动态的，PaaS平台会根据应用和平台节点的运行状态对应用的部署架构进行动态调整，比如在应用负载过大时自动增加应用实例，或者当平台的某个节点不健康时自动把应用迁移到其他节点上。这种情况下，以往针对应用IP进行防火墙设置的做法，就不能满足动态需求了。而容器技术的大量引入又提出了更高的要求，因为每个代表应用运行实例的容器的IP可能只是一个应用平台内部有效的IP地址，对平台之外的企业网络来讲，并不能实际访问。针对容器技术的大量采用，我国专利公开号106469083A公开了一种容器镜像安全检查方法及其装置，在容器镜像中设置安全设置文件，并通过对安全设置文件的验证实现安全检查。但是，该方案仍然存在一些不足。例如，由于该专利申请所公开的方案是静态的，是通过对镜像内部的文件进行基于特征库的静态扫描，发现静态安全隐患，因此，就只能保证容器镜像内是没有病毒文件，但却不能保证容器镜像所生成的虚拟机不具有安全隐患。而如果虚拟机存在安全隐患，在其启动后，黑客就能够通过某种方式获取虚拟机的访问权，从而在虚拟机内部发起一些威胁行为。而且，实行在静态安全检查的前提，就是需要在每个容器镜像的层内设置安全设置文件，这是极为不便利的。此外，容器在运行时可以根据具体的使用场景采用不同的容器网络模式，这也进一步增加了对容器化应用进行网络监控的难度。因此，需要设计一种新型的基于网络模式识别和匹配的容器安全防御方法与装置。
技术实现思路
本专利技术的目的在于解决现有技术的不足，提供一种基于网络模式识别和匹配的容器安全防御方法与装置，对容器镜像进行动态监测，能够自动识别并适配容器运行时采用的网络模式，有针对性的对容器的网络行为数据进行收集和分析，同时通过容器镜像信息来标识和关联应用，并基于策略对应用的网络行为进行威胁行为甄别和干预。为了实现上述目的，设计一种基于网络模式识别和匹配的容器安全防御方法，包括如下步骤：a.通过容器网络探针模块实时收集主机上所有进程的网络访问信息，并将容器镜像与进程相关联，以形成基于容器镜像的网络访问数据；b.模式识别模块根据容器镜像的网络访问数据对容器镜像进行网络模式识别；c.将识别得到的网络模式与镜像模式库中所述容器镜像的网络模式进行对比，若不匹配则由策略控制器通过预设的安全管控策略进行处理。本专利技术还具有如下优选的技术方案：所述的步骤a具体如下：采用容器网络探针模块自动从容器管理程序获取容器镜像的所有运行时工作模式，并根据容器镜像的运行时工作模式对容器网络数据包进行解析以获得所述容器镜像的网络访问数据。所述的根据容器镜像的运行时工作模式对容器网络数据包进行解析以获得所述容器镜像的网络访问数据的方式具体如下：对于“网桥”模式：根据网桥映射关系，使用原始容器IP和端口记录容器镜像的网络访问数据；对于“VxLAN”模式：对VxLAN网络包进行拆包后，使用原始容器网络数据包中的元信息记录容器镜像的网络访问数据；对于“Host”模式：容器网络数据包的元信息即为实际信息，直接使用数据包中的信息记录容器网络访问数据即可。所述的步骤b具体如下：模式识别模块在收到网络访问数据，对数据特征信息进行提取，并进行模式识别计算，通过不断积累同一容积镜像的网络访问数据后进行模式识别，并最终产生所述的容器镜像的模式定义。所述的数据特征信息包括目标地址、带宽和数据量。所述的模式识别计算包括分类分析和聚类分析。所述的步骤b还包括：当模式识别模块接收到容器镜像的网络访问数据后，若网络访问数据对应的容器镜像未进行过模式识别，则把所述的容器镜像标示为待识别镜像；若网络访问数据对应的容器镜像曾完成过模式识别，则把所述的容器镜像标示为已识别镜像。所述的步骤c具体如下：若所述的容器镜像被标示为待识别镜像，则根据预先设定的学习阶段定义，对所述容器镜像的所有网络访问模式进行学习，并将网络访问模式存入镜像模式库中，并将所述的容器镜像标示为已识别镜像；若所述的容器镜像被标示为已识别对象，则将容器镜像的模式定义与镜像模式库中所述容器镜像的网络模式进行对比，若不匹配，则识别所述容器镜像的网络行为为风险行为。所述的安全管控策略为生成威胁告警、阻止容器的可疑网络访问和停止可疑容器镜像的运行中的任意一种以上。本专利技术还设计一种采用所述的基于网络模式识别和匹配的容器安全防御方法的装置，包括：用于实时收集主机上所有进程的网络访问信息，并将容器镜像与进程相关联，以形成基于容器镜像的网络访问数据的容器网络探针模块；根据容器镜像的网络访问数据对容器镜像进行网络模式识别，并将识别得到的网络模式与镜像模式库中所述容器镜像的网络模式进行对比的模式识别模块；以及对模式识别结果为不匹配的容器镜像按预设的安全管控策略进行处理的策略控制器。优选地，所述的装置还包括对容器镜像的运行时工作模式和安全管控策略进行配置管理的网络安全控制器。本专利技术同现有技术相比，其优点在于：特别针对容器化运行的应用进行网络监控，能够自动关联进程的网络行为到某应用容器上，在信息实时收集和分析的基础上，自动对容器网络威胁进行干预；以容器镜像为网络模式识别对象，极大的降低了模式识别的目标范围，并适应当前越来越广泛的容器化应用部署场景；能够自动识别容器的工作模式并对网络行为数据进行相应的分析处理，比如对于采用封装工作模式的容器，容器探针模块能够捕捉到封装网络包内部的原始容器网络信息；系统内置的镜像模式库中可以预制大量常见的镜像网络模式，加快企业安全建设进程。附图说明图1是一实施例本专利技术方法的流程示意图；图2是一实施例本专利技术方法中容器网络探针模块的流程示意图；图3是一实施例本专利技术方法中网络模式识别的流程示意图；图4是一实施例本专利技术方法中识别风险行为的流程示意图。具体实施方式下面结合附图对本专利技术作进一步说明，这种方法和装置的结构和原理对本专业的人来说是非常清楚的。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。本专利技术的技术方案注重安全监管的动态性，通过把应用根据镜像进行识别和分类，对镜像在运行时，即容器的网络行为模式进行建模，对比实际行为和预期行为，甄别应用行为异常来识别风险。比如我们通过建模确定了一个MySQL镜像启动的容器在运行时是不会对全网进行端口扫描的，那本文档来自技高网...

【技术保护点】
1.一种基于网络模式识别和匹配的容器安全防御方法，其特征在于包括如下步骤：a.通过容器网络探针模块实时收集主机上所有进程的网络访问信息，并将容器镜像与进程相关联，以形成基于容器镜像的网络访问数据；b.模式识别模块根据容器镜像的网络访问数据对容器镜像进行网络模式识别；c.将识别得到的网络模式与镜像模式库中所述容器镜像的网络模式进行对比，若不匹配则由策略控制器通过预设的安全管控策略进行处理。

【技术特征摘要】
1.一种基于网络模式识别和匹配的容器安全防御方法，其特征在于包括如下步骤：a.通过容器网络探针模块实时收集主机上所有进程的网络访问信息，并将容器镜像与进程相关联，以形成基于容器镜像的网络访问数据；b.模式识别模块根据容器镜像的网络访问数据对容器镜像进行网络模式识别；c.将识别得到的网络模式与镜像模式库中所述容器镜像的网络模式进行对比，若不匹配则由策略控制器通过预设的安全管控策略进行处理。2.如权利要求1所述的基于网络模式识别和匹配的容器安全防御方法，其特征在于所述的步骤a具体如下：采用容器网络探针模块自动从容器管理程序获取容器镜像的所有运行时工作模式，并根据容器镜像的运行时工作模式对容器网络数据包进行解析以获得所述容器镜像的网络访问数据。3.如权利要求1所述的基于网络模式识别和匹配的容器安全防御方法，其特征在于所述的步骤b具体如下：模式识别模块在收到网络访问数据，对数据特征信息进行提取，并进行模式识别计算，通过不断积累同一容积镜像的网络访问数据后进行模式识别，并最终产生所述的容器镜像的模式定义。4.如权利要求3所述的基于网络模式识别和匹配的容器安全防御方法，其特征在于所述的数据特征信息包括目标地址、带宽和数据量。5.如权利要求3所述的基于网络模式识别和匹配的容器安全防御方法，其特征在于所述的模式识别计算包括分类分析和聚类分析。6.如权利要求3所述的基于网络模式识别和匹配的容器安全防御方法，其特征在于所述的步骤b还包括：当模式识别模块接收到容器镜像的网络访问数据后，若网络访问数据对应的容器镜像未进行过模式识别，则把所述的容器镜像标示为待识别镜像；若网络访问数据对应的容器镜像曾完成过模式识别，则把所述的容器镜像标示为已识别镜像。7.如权利...

【专利技术属性】
技术研发人员：黄成，王泊，赵洋明，
申请(专利权)人：上交所技术有限责任公司，
类型：发明
国别省市：上海,31