The invention relates to the network security management and control method and the technical field of equipment, in particular to a container security defense method and device based on network pattern recognition and matching, which collects the network access information of all processes on the host in real time and associates the container image with the process to form the network access number based on the container image. According to the network access data of container mirror, the network pattern recognition of container mirror is carried out, especially for the application of container running, which can automatically correlate the network behavior of process to an application container, and automatically intervene the container network threat on the basis of real-time collection and analysis of information. It can automatically identify the working mode of the container and analyze the network behavior data. For example, the container probe module can capture the original container network information inside the packet.
【技术实现步骤摘要】
基于网络模式识别和匹配的容器安全防御方法与装置
本专利技术涉及网络安全管控方法及设备
,具体来说是一种基于网络模式识别和匹配的容器安全防御方法与装置。
技术介绍
网络安全已经成为企业安全的重中之中,而绝大多数企业的网络安全都仅仅关注在网络边缘加固上,比如通过网络物理隔离等方式把企业IT核心基础设施和互联网进行完全隔离。但是,仅仅关注边缘网络加固是不足以满足企业网络安全要求的,甚至会让企业放松在内部网络的管控上。很多时候,一旦边缘网络加固被破坏的话,企业内部缺乏安全保护的系统和数据就完全暴露出来。而且,边缘网络加固仅仅防御了企业外部网络,但是企业内部网络同样面临严峻的安全威胁,一旦企业内部网络中的某台主机被黑客所控制,那么很容易对内网的其他主机和系统产生安全威胁。而在企业内部网络安全方面,针对应用/主机IP和端口进行网络防火墙控制是绝大多数企业采用的方式。但是随着企业应用上云的不断深化,这种静态配置的方式已经难以为继。尤其在PaaS场景下,应用的部署架构是动态的,PaaS平台会根据应用和平台节点的运行状态对应用的部署架构进行动态调整,比如在应用负载过大时自动增加应用实例,或者当平台的某个节点不健康时自动把应用迁移到其他节点上。这种情况下,以往针对应用IP进行防火墙设置的做法,就不能满足动态需求了。而容器技术的大量引入又提出了更高的要求,因为每个代表应用运行实例的容器的IP可能只是一个应用平台内部有效的IP地址,对平台之外的企业网络来讲,并不能实际访问。针对容器技术的大量采用,我国专利公开号106469083A公开了一种容器镜像安全检查方法及其装置,在容 ...
【技术保护点】
1.一种基于网络模式识别和匹配的容器安全防御方法,其特征在于包括如下步骤:a.通过容器网络探针模块实时收集主机上所有进程的网络访问信息,并将容器镜像与进程相关联,以形成基于容器镜像的网络访问数据;b.模式识别模块根据容器镜像的网络访问数据对容器镜像进行网络模式识别;c.将识别得到的网络模式与镜像模式库中所述容器镜像的网络模式进行对比,若不匹配则由策略控制器通过预设的安全管控策略进行处理。
【技术特征摘要】
1.一种基于网络模式识别和匹配的容器安全防御方法,其特征在于包括如下步骤:a.通过容器网络探针模块实时收集主机上所有进程的网络访问信息,并将容器镜像与进程相关联,以形成基于容器镜像的网络访问数据;b.模式识别模块根据容器镜像的网络访问数据对容器镜像进行网络模式识别;c.将识别得到的网络模式与镜像模式库中所述容器镜像的网络模式进行对比,若不匹配则由策略控制器通过预设的安全管控策略进行处理。2.如权利要求1所述的基于网络模式识别和匹配的容器安全防御方法,其特征在于所述的步骤a具体如下:采用容器网络探针模块自动从容器管理程序获取容器镜像的所有运行时工作模式,并根据容器镜像的运行时工作模式对容器网络数据包进行解析以获得所述容器镜像的网络访问数据。3.如权利要求1所述的基于网络模式识别和匹配的容器安全防御方法,其特征在于所述的步骤b具体如下:模式识别模块在收到网络访问数据,对数据特征信息进行提取,并进行模式识别计算,通过不断积累同一容积镜像的网络访问数据后进行模式识别,并最终产生所述的容器镜像的模式定义。4.如权利要求3所述的基于网络模式识别和匹配的容器安全防御方法,其特征在于所述的数据特征信息包括目标地址、带宽和数据量。5.如权利要求3所述的基于网络模式识别和匹配的容器安全防御方法,其特征在于所述的模式识别计算包括分类分析和聚类分析。6.如权利要求3所述的基于网络模式识别和匹配的容器安全防御方法,其特征在于所述的步骤b还包括:当模式识别模块接收到容器镜像的网络访问数据后,若网络访问数据对应的容器镜像未进行过模式识别,则把所述的容器镜像标示为待识别镜像;若网络访问数据对应的容器镜像曾完成过模式识别,则把所述的容器镜像标示为已识别镜像。7.如权利...
【专利技术属性】
技术研发人员:黄成,王泊,赵洋明,
申请(专利权)人:上交所技术有限责任公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。