针对容器云平台的网络入侵检测方法技术

本发明专利技术涉及一种针对容器云平台的网络入侵检测方法，包括如下步骤：步骤S1：获取网络流量；步骤S2：对获取的网络流量进行数据预处理；步骤S3：将LSTM模型和CNN层按照先后顺序组合得到入侵检测模型L

【技术实现步骤摘要】
针对容器云平台的网络入侵检测方法


[0001]本专利技术属于深度学习和网络安全相结合的
，尤其涉及容器云平台下基于深度学习的入侵检测方法。

技术介绍

[0002]2020年国家互联网应急中心监测发现，我国境内云遭受大流量DDoS攻击次数占境内目标遭受大流量攻击次数的74.0％；被植入后门数占境内被植入后门数的88.1％；被篡改网站数占境内被篡改网站数的88.6％；由于云上承载的业务和数据越来越多，发生在云平台上的各类网络安全事件数量占比较高。云平台包括基于虚拟化的云平台和容器云平台，而基于虚拟化的云平台满足不了云原生时代业务快速创新的需求。容器技术拥有比传统虚拟化方法更高的性能和效率，利用Docker、Kubernetes(K8S)等项目构建私有云或混合云的容器云平台正在成为业界的主流选择。因此容器云平台的安全问题也变得越发重要。使用入侵检测方法对云平台的网络流量进行监控，可以及时发现并阻止恶意网络入侵，保障云平台的安全。
[0003]入侵检测技术通常是通过分析网络流量来检测攻击行为，现有技术中流量分析通常使用机器学习算法完成。随着计算机的计算能力的发展，深度学习也开始被用于入侵检测，相较于传统的机器学习算法，深度学习方法不需要进行复杂的特征工程，并且可以自动发现不同网络流量之间的相关性。
[0004]容器云发展迅速，使用越来越广泛，但是目前没有很好地针对容器云的网络入侵检测方案。容器云和传统云平台网络结构的不同导致传统检测方法不再那么有效。已有的使用深度学习模型的网络入侵检测方法更多的没有考虑时序特征或者空间特征，不够全面；已有考虑时序和空间特征的网络入侵检测办法在训练前需要经过特征提取，将网络流量向量化，增加时间成本。

技术实现思路

[0005]为解决已有技术存在的不足，本专利技术提供了一种针对容器云平台的网络入侵检测方法，包括如下步骤：
[0006]步骤S1：获取网络流量；
[0007]步骤S2：对获取的网络流量进行数据预处理；
[0008]步骤S3：将LSTM模型和CNN层按照先后顺序组合得到入侵检测模型L
‑
CNN，利用入侵检测模型L
‑
CNN对获取的网络流量进行入侵检测，得到检测结果。
[0009]其中，所述步骤S1中，使用Tcpdump工具抓取Flannel.1网桥的网络流量。
[0010]其中，所述步骤S3中，入侵检测模型L
‑
CNN中，初始LSTM模型对输入中的网络流量的每个标记确定一个输出标记，CNN层使用原始输入的更丰富的表示查找局部图案。
[0011]其中，所述入侵检测模型L
‑
CNN中，LSTM层前面还设置有Embedding层，以将输入文本转化为词向量的同时对其进行降维处理。
[0012]本专利技术提供的针对容器云平台的网络入侵检测方法，针对容器云平台网络架构的特点，从Flannel.1抓取云平台的网络流量，更好地从南北和东西方向对云平台进行保护；同时，本专利技术使用LSTM
‑
CNN的模型，与其他模型相比，本专利技术使用的模型囊括特征的时间和空间特性，并且不需要进行额外的特征提取，减少时间开销，拥有更高的精确度。
附图说明
[0013]图1为本专利技术的基于容器云平台的入侵检测方法的设计流程图。
[0014]图2为Kubernetes的网络架构图。
[0015]图3为本专利技术在设计阶段的入侵检测架构图。
[0016]图4为本专利技术较佳的LSTM
‑
CNN入侵检测模型。
具体实施方式
[0017]为了对本专利技术的技术方案及有益效果有更进一步的了解，下面结合附图详细说明本专利技术的技术方案及其产生的有益效果。
[0018]本专利技术针对现有技术存在的问题，设计一种基于容器云平台的入侵检测方法。针对容器云平台网络结构的特点捕获云平台的网络流量，以更好的对东西和南北方向进行检测。同时，提出了用于入侵检测的网络模型(L
‑
CNN)，将LSTM与CNN结合使用，初始的LSTM模型对于输入中的每个标记都有一个输出标记，之后CNN层将使用原始输入的更丰富的表示来查找局部图案，从而获得更好的准确性。
[0019]图1为本专利技术的基于容器云平台的入侵检测方法的设计流程图，本专利技术通过如下步骤得到了完整的设计构思：
[0020]一、获取网络流量
[0021]获取网络流量部分的主要功能是得到容器云平台和外界通信的网络流量，为后续的模型入侵检测提供检测数据。该部分的实际环境是在centos 7下安装的Kubernetes环境。在Kubernetes的云平台上创建容器实例，采集容器与外界通信的网络流量。主要包括以下几步：
[0022]1、在基于k8s的云平台中创建容器实例，在容器内运行需要与外网通信的进程。
[0023]2、在进程运行后，使用Tcpdump抓包工具对K8S提供的VXLAN设备Flannel.1进行监听抓取，获取正常的网络流量。
[0024]3、使用fping3模拟DoS攻击，对该容器进行攻击，同时使用Tcpdump工具抓取Flannel.1的网络流量，获取被攻击的网络流量。
[0025]图2为Kubernetes的网络架构图，从下而上是外部网络访问指定pod中容器的流量走向。首先经过物理网卡，到达Flannel.1网桥，与外界通信都要经过Flannel.1网桥，之后在Kubernetes内部外网访问想要到达指定pod中的容器则是通过kube
‑
proxy，也就是更改iptables的规则进行虚拟IP的访问。而入侵是通过网络或者系统资源对系统内部进行攻击，在Kubernetes内则是对容器及容器进程进行攻击。
[0026]因此，本专利技术采集通过Flannel.1网桥的流量，从根本上拦截违反安全策略的行为或攻击可能：云平台中的所有pod与外部网络通信时都需要通过Flannel.1进行，对其进行监听可以捕获到云平台中南北方向的网络异常；其次，Flannel.1还负责pod间的网络通讯，
对其进行监听可以捕获到云平台中东西方向的网络异常；最后Flannel.1只参与K8S中pod的网络通讯过程，避免了物理服务器中其他软件进行网络通讯时的干扰。
[0027]二、数据预处理
[0028]数据预处理部分主要功能是将获取到的网络流量转变成模型可用的输入数据。主要包括如下步骤：
[0029]1、使用wireshark解析抓取的cap格式的流量数据，并针对解析后的数据进行筛选。我们选择以下信息：时间、源地址、目的地址、协议、包长度、信息、物理层数据帧概况、数据链路层以太网帧头部信息、网络层IP包头部信息、传输层数据段头部信息。
[0030]2、将选择好的数据信息导出为模型可以输入的数据。使用wireshark将筛选后的数据导出为TXT格式的文件。
[0031]3、对公共数据集进行相同的处本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种针对容器云平台的网络入侵检测方法，其特征在于，包括如下步骤：步骤S1：获取网络流量；步骤S2：对获取的网络流量进行数据预处理；步骤S3：将LSTM模型和CNN层按照先后顺序组合得到入侵检测模型L
‑
CNN，利用入侵检测模型L
‑
CNN对获取的网络流量进行入侵检测，得到检测结果。2.如权利要求1所述的针对容器云平台的网络入侵检测方法，其特征在于，所述步骤S1中，使用Tcpdump工具抓取Flannel.1网桥的网络流量...

【专利技术属性】
技术研发人员：丁紫薇，陈博翰，马桂才，杨诏钧，魏立峰，韩光，姬一文，
申请(专利权)人：麒麟软件有限公司，
类型：发明
国别省市：