一种入侵检测提示方法及装置制造方法及图纸

本发明专利技术实施例公开了一种入侵检测方法及装置，其中方法包括：接收业务Docker容器对应的第一虚拟网卡发送的访问业务Docker容器的业务请求，所述业务请求携带发送所述业务请求的用户终端的终端标识；对所述业务请求进行解析，以确定所述业务请求的数据特征；若所述数据特征满足预设入侵条件，则向所述第一虚拟网卡发送停止传输命令，所述停止传输命令用于指示所述第一虚拟网卡停止传输所述业务Docker容器反馈的所述业务请求对应的响应数据。采用本发明专利技术，能够实现对业务Docker容器中业务请求的及时检测和反馈，提高了入侵检测的效率。

Intrusion detection prompting method and device

The embodiment of the invention discloses a method and device for intrusion detection, the method comprises the following steps: access to the business Docker container to send the first virtual network card receiving service Docker container corresponding to the service request, carry the service request sent by the user terminal service request terminal identification; analysis of the service request, to to determine the characteristics of data service request; if the data characteristics meet preset intrusion conditions, is sent to the first virtual network card to stop transmission of commands, the stop transmission command is used to indicate that the first virtual network card to stop transmission of the Docker container business feedback data corresponding to the request response. The invention can realize the timely detection and feedback of the service request in the service Docker container, thereby improving the efficiency of the intrusion detection.

【技术实现步骤摘要】
一种入侵检测提示方法及装置
本专利技术涉及计算机
，尤其涉及一种入侵检测提示方法及装置。
技术介绍
随着互联网技术的发展，互联网数据中心(InternetDataCenter，IDC)已成为互联网产业中不可或缺的一部分。IDC不仅要向用户提供所需数据的服务，还需要对网络数据进行监控以保证服务器的正常运行，例如，部署入侵检测系统(IntrusionDetectionSystems，IDS)，具体是在IDC的网络数据的入口处部署物理设备分光器(或交换机镜像)，能够将用户终端发送的访问请求发送至相应的服务器的同时，将相同的访问请求发送至入侵检测设备，以使入侵检测设备对访问请求进行一一检测。然而，在IDC中的服务器数量较多且访问请求的数量较大时，入侵检测设备需要检测每个服务器的每个访问请求，使得检测工作量较大、处理周期长，无法及时向服务器反馈检测结果。一旦存在攻击性的访问请求，极有可能无法正常响应合法访问请求，从而造成服务器瘫痪，因此降低了入侵检测效率。
技术实现思路
本专利技术实施例所要解决的技术问题在于，提供一种入侵检测方法及装置，能够实现对业务Docker容器中业务请求的及时检测和反馈，提高了入侵检测的效率。第一方面，本专利技术实施例提供了一种入侵检测方法，所述方法包括：接收业务Docker容器对应的第一虚拟网卡发送的访问业务Docker容器的业务请求，所述业务请求携带发送所述业务请求的用户终端的终端标识；对所述业务请求进行解析，以确定所述业务请求的数据特征；若所述数据特征满足预设入侵条件，则向所述第一虚拟网卡发送停止传输命令，所述停止传输命令用于指示所述第一虚拟网卡停止传输所述业务Docker容器反馈的所述业务请求对应的响应数据。第二方面，本专利技术实施例还提供了一种入侵检测装置，所述装置包括：请求接收模块，用于接收业务Docker容器对应的第一虚拟网卡发送的访问业务Docker容器的业务请求，所述业务请求携带发送所述业务请求的用户终端的终端标识；特征确定模块，用于对所述业务请求进行解析，以确定所述业务请求的数据特征；命令发送模块，用于若所述数据特征满足预设入侵条件，则向所述第一虚拟网卡发送停止传输命令，所述停止传输命令用于指示所述第一虚拟网卡停止传输所述业务Docker容器反馈的所述业务请求对应的响应数据。在本专利技术实施例中，通过接收业务Docker容器对应的第一虚拟网卡发送的访问业务Docker容器的业务请求；接着对业务请求进行解析，以确定业务请求的数据特征，若数据特征满足预设入侵条件，则向第一虚拟网卡发送停止传输命令，停止传输命令用于指示第一虚拟网卡停止传输业务Docker容器反馈的业务请求对应的响应数据。通过接收第一虚拟网卡发送的业务请求，实现了对该业务请求的实时检测和检测结果的反馈，进而提高了入侵检测的效率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种可能的物理主机的结构示意图；图2是本专利技术实施例提供的一种入侵检测方法的流程示意图；图3是本专利技术实施例提供的另一种入侵检测方法的流程示意图；图4是本专利技术实施例提供的一种可能的入侵检测系统的系统架构图；图5是本专利技术实施例提供的另一种入侵检测方法的流程示意图；图6是本专利技术实施例提供的一种入侵检测装置的结构示意图；图7是本专利技术实施例提供的另一种入侵检测装置的结构示意图；图8是本专利技术实施例提供的另一种入侵检测装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。请参见图1，为本专利技术实施例提供了一种可能的物理主机的结构示意图。图1所示的物理主机在安装Docker的基础上部署了多个Docker容器，其中包括多个业务Docker容器和IDSDocker容器，其中，可以设定Docker容器使用某个固定的硬件资源，如，中央处理器(CentralProcessingUnit，CPU)资源、内存资源等等，所述物理主机为提供应用或业务的服务器。进一步的，通过单根输入输出虚拟化(SingleRootI/OVirtualization，SR-IOV)技术将物理主机的网络接口卡(NetworkInterfaceCard，NIC)虚拟化为多个虚拟网卡，每个Docker容器对应一个虚拟网卡，例如，虚拟网卡1对应业务Docker容器1、虚拟网卡2对应业务Docker容器2、虚拟网卡10对应IDSDocker容器10等等。以虚拟网卡1对应业务Docker容器1为例，当虚拟网卡1接收到访问业务Docker容器1的业务请求时，虚拟网卡1将业务请求发送至业务Docker容器1，以及将业务请求发送至IDSDocker容器，业务请求携带发送业务请求的用户终端的终端标识；相应的，IDSDocker容器10接收虚拟网卡1发送的访问业务Docker容器1的业务请求，并对业务请求进行解析，以确定业务请求的数据特征，若数据特征满足预设入侵条件，则IDSDocker容器10向虚拟网卡1发送停止传输命令，停止传输命令用于指示虚拟网卡1停止传输业务Docker容器1反馈的业务请求对应的响应数据。通过在单独的一台物理主机中部署IDSDocker容器，能够及时对该物理主机中的业务Docker容器的业务请求进行检测，提高了入侵检测的效率，另外通过设定IDSDocker容器使用固定的硬件资源，能够在实现入侵检测功能的同时不影响业务Docker容器的正常运行。在图1所示的网络构架中，所涉及的用户终端可以是具备显示、通信功能的设备，例如：平板电脑、手机、电子阅读器、个人计算机(PersonalComputer，PC)、笔记本电脑、车载设备、网络电视、可穿戴设备等设备。基于图1所示的物理主机的结构示意图，下面将结合附图2至附图5，对本专利技术实施例提供的入侵检测方法进行详细介绍。请参见图2，为本专利技术实施例提供了一种入侵检测方法的流程示意图。如图2所示，本专利技术实施例的所述方法可以包括以下步骤S101-步骤S103。S101，接收业务Docker容器对应的第一虚拟网卡发送的访问业务Docker容器的业务请求。具体的，在第一虚拟网卡接收到访问业务Docker容器的业务请求的情况下，所述第一虚拟网卡将所述业务请求发送至业务Docker容器，以及将该业务请求发送至IDSDocker容器，其中，所述业务请求携带发送所述业务请求的用户终端的终端标识。相应的，业务Docker容器本文档来自技高网...

【技术保护点】
一种入侵检测方法，其特征在于，包括：接收业务Docker容器对应的第一虚拟网卡发送的访问业务Docker容器的业务请求，所述业务请求携带发送所述业务请求的用户终端的终端标识；对所述业务请求进行解析，以确定所述业务请求的数据特征；若所述数据特征满足预设入侵条件，则向所述第一虚拟网卡发送停止传输命令，所述停止传输命令用于指示所述第一虚拟网卡停止传输所述业务Docker容器反馈的所述业务请求对应的响应数据。

【技术特征摘要】
1.一种入侵检测方法，其特征在于，包括：接收业务Docker容器对应的第一虚拟网卡发送的访问业务Docker容器的业务请求，所述业务请求携带发送所述业务请求的用户终端的终端标识；对所述业务请求进行解析，以确定所述业务请求的数据特征；若所述数据特征满足预设入侵条件，则向所述第一虚拟网卡发送停止传输命令，所述停止传输命令用于指示所述第一虚拟网卡停止传输所述业务Docker容器反馈的所述业务请求对应的响应数据。2.根据权利要求1所述的方法，其特征在于，所述停止传输命令还用于指示所述第一虚拟网卡停止传输发送至所述用户终端的其他响应数据。3.根据权利要求1所述的方法，其特征在于，所述若所述数据特征满足预设入侵条件，则向所述第一虚拟网卡发送停止传输命令之前，还包括：检测预存的攻击特征集合中是否存在与所述数据特征匹配一致的攻击特征；若是，则确定所述数据特征满足预设入侵条件。4.根据权利要求1-3任一项所述的方法，其特征在于，还包括：通过预先分配的第二虚拟网卡将所述业务请求上报至安全服务器；通过所述第二虚拟网卡接收所述安全服务器发送的所述业务请求对应的安全策略，所述安全策略用于指示所述第一虚拟网卡是否允许所述用户终端访问所述业务Docker容器；根据所述安全策略，通知所述第一虚拟网卡对所述用户终端发送的访问连接进行处理。5.根据权利要求4所述的方法，其特征在于，所述根据所述安全策略，通知所述第一虚拟网卡对所述用户终端发送的访问连接进行处理，包括：当所述安全策略为不允许所述用户终端访问所述业务Docker容器时，通知所述第一虚拟网卡拒绝所述用户终端发送的访问连接。6.一种入侵检测装置，其...

【专利技术属性】
技术研发人员：刘剑，关义春，龙凡，刘雷，郑江林，卞合振，王少游，李大伟，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44