【技术实现步骤摘要】
本专利技术属于云原生,具体涉及一种基于多层数据融合的云平台细粒度溯源数据采集方法与系统。
技术介绍
1、近年来,云原生技术迅速发展,通过虚拟化、容器集群管理、微服务和无服务计算等技术,实现了跨操作系统、跨物理机的高效资源分配,构建了跨应用的函数共享体系和部署体系。这些技术支撑起现代化应用环境的快速构建,在创新速度、成本优化等各方面带来巨大价值。
2、为使资源得到细粒度的调控与利用,云原生平台有多个抽象层,包括:物理层、操作系统层、容器编排层和虚拟化层等,每一层都对资源进行了虚拟化。但虚拟化技术也打破了传统主机、应用的安全防护边界,扩大了上层应用行为和底层系统行为间的语义鸿沟,造成云原生平台中实体和行为的归属不清晰,映射关系不明确的问题。因此,针对云平台进行全局的攻击检测和溯源分析时,需要采集跨层、多来源的数据并进行统一分析。
3、现有数据采集方案无法感知云原生应用、容器编排、容器运行时等多层虚拟化后的资源,不能对行为进行准确的归属划分,同时会忽视文件、网络等映射关系。这些信息的丢失,很可能导致关键攻击路径被错过,最终导致攻击检测失败。
技术实现思路
1、为解决现有技术中的问题,本专利技术提出了一种基于多层数据融合的云平台细粒度溯源数据采集方法与系统,以解决云平台中实体、函数和容器映射关系不明确、归属不清晰以及难以实现高效统一跨层攻击溯源的问题。
2、第一方面,本专利技术实施例提供了一种基于多层数据融合的云平台细粒度溯源数据采集方法,包括:采用eb
3、第二方面,本专利技术实施例提供了一种基于多层数据融合的云平台细粒度溯源数据采集系统,包括:信息收集模块,采用ebpf hook方法从云平台的各个抽象层中收集原始的函数调用信息;ebpf映射表存储模块,针对云平台中不同的抽象层,ebpf根据函数调用的特征将函数调用信息存储在不同的关键映射表中;追踪信息优化模块,对不同抽象层的函数调用信息进行追踪信息优化;跨层信息关联模块,根据不同映射表中的键和值,将追踪信息优化模块优化后的不同抽象层的信息进行关联,得到跨层信息集合;跨层溯源图生成模块,根据跨层信息关联模块的跨层信息集合,生成跨层溯源图。
4、第三方面,本专利技术实施例提供了一种电子装置,包括存储器和处理器,其所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述的基于多层数据融合的云平台细粒度溯源数据采集方法。
5、第四方面,本专利技术实施例提供了一种可读存储介质,所述可读存储介质中存储有计算机程序,所述计算机程序包括用于控制过程以执行过程的程序代码,所述过程包括所述的基于多层数据融合的云平台细粒度溯源数据采集方法。
6、与现有技术相比,本专利技术从各层进行关键实体、行为数据的采集,并构建虚拟化后文件、进程、网络等资源的关键映射表,实现对系统行为的正确归属以及各层中实体的正确解析与融合,最后构建统一数据模型,进行系统实体行为的统一表述,为云原生平台的进程监控、行为审计和威胁溯源等安全需要提供准确的数据源,解决云平台中难以高效构建全局可观测性的难题,解决云平台中实体、函数和容器映射关系不明确、归属不清晰以及难以实现高效统一跨层攻击溯源的问题。
本文档来自技高网...【技术保护点】
1.一种基于多层数据融合的云平台细粒度溯源数据采集方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的采集方法,其特征在于,所述步骤1)工作在内核空间;云平台的抽象层主要包括物理层、操作系统层、容器编排层和虚拟化层。
3.根据权利要求1所述的采集方法,其特征在于,所述eBPF根据函数调用的特征将函数调用信息存储在不同的映射表中具体包括如下子步骤:根据函数调用的记录,将调用的函数名转化为字符串作为函数调用的特征,并将函数调用信息存储在不同的映射表中。
4.根据权利要求3所述的采集方法,其特征在于,所述的映射表包括键字段和值字段,键是唯一的,通过键可以唯一确定一个值;所述的TCP映射表的键字段包括:源IP地址和端口号;值字段包括目的IP地址和端口号;容器编排映射表的键字段包括:函数和函数所在的实例;值字段包括容器ID和IP地址;容器映射表的键字段包括:容器ID;值字段包括容器对应的真实文件名、进程号pid、具体执行的操作、时间戳;文件映射表的键字段包括容器ID、文件名,值字段包括挂载后的文件名。
5.根据权利要求4所述的采集方法,
6.根据权利要求5所述的采集方法,其特征在于,所述将步骤3)优化后的不同抽象层的信息进行关联,其包括如下子步骤:
7.根据权利要求6所述的采集方法,其特征在于,所述根据跨层信息集合,生成跨层溯源图,包括如下子步骤:
8.一种实施权利要求1所述方法的基于多层数据融合的云平台细粒度溯源数据采集系统,其特征在于,包括:
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1到7任一所述的基于多层数据融合的云平台细粒度溯源数据采集方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序,所述计算机程序包括用于控制过程以执行过程的程序代码,所述过程包括根据权利要求1到7任一所述的基于多层数据融合的云平台细粒度溯源数据采集方法。
...【技术特征摘要】
1.一种基于多层数据融合的云平台细粒度溯源数据采集方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的采集方法,其特征在于,所述步骤1)工作在内核空间;云平台的抽象层主要包括物理层、操作系统层、容器编排层和虚拟化层。
3.根据权利要求1所述的采集方法,其特征在于,所述ebpf根据函数调用的特征将函数调用信息存储在不同的映射表中具体包括如下子步骤:根据函数调用的记录,将调用的函数名转化为字符串作为函数调用的特征,并将函数调用信息存储在不同的映射表中。
4.根据权利要求3所述的采集方法,其特征在于,所述的映射表包括键字段和值字段,键是唯一的,通过键可以唯一确定一个值;所述的tcp映射表的键字段包括:源ip地址和端口号;值字段包括目的ip地址和端口号;容器编排映射表的键字段包括:函数和函数所在的实例;值字段包括容器id和ip地址;容器映射表的键字段包括:容器id;值字段包括容器对应的真实文件名、进程号pid、具体执行的操作、时间戳;文件映射表的键字段包括容器id、文件名,值字段包括挂载后的...
【专利技术属性】
技术研发人员:李振源,顾羽桥,纪守领,许海涛,张帆,赵新杰,
申请(专利权)人:浙江大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。