一种Docker容器的网页防篡改系统及其方法技术方案

本发明专利技术公开了一种Docker容器的网页防篡改系统，其特征在于：包含网页防篡改管理后台、容器集群管理系统和宿主机，宿主机内设置有Docker守护进程、网页防篡改监控客户端和Docker容器化Web应用，容器集群管理系统与网页防篡改管理后台连接，Docker守护进程与容器集群管理系统连接，网页防篡改监控客户端与网页防篡改管理后台和Docker守护进程连接，Docker容器化Web应用与Docker守护进程和网页防篡改监控客户端连接。本发明专利技术保证了Docker容器内服务的安全性，并且实现简单，仅需修改容器启动流程。

A Docker Container Web Page Tamper-proof System and Its Method

【技术实现步骤摘要】
一种Docker容器的网页防篡改系统及其方法
本专利技术涉及一种网页防篡改系统及其方法，特别是一种Docker容器的网页防篡改系统及其方法，涉及网络安全领域。
技术介绍
网页篡改是黑客常用的一种方法，网页被篡改可能造成企业形象受损、恶意内容发布及木马病毒传播等危害。本网页防篡改系统采用第三代防篡改技术，通过内核驱动级文件保护技术从根本上保证了文件检测的准确度，提供了针对文件夹及其子文件夹的保护。该系统基于事件触发式监测机制，高效地实现了网页监测与防护功能，系统后台运行监测程序，一旦检测到文件变更事件，将立即阻断非法变更，彻底杜绝了网站被非法篡改的可能。此外，该系统的性能、灵活性以及安全性远高于传统类防护技术，并且支持多种网页格式，还具有系统资源占用极少、无需改变现有网络架构的优点。本网页防篡改系统实现了对网页文件的完整性检查和保护，彻底杜绝网站被挂马、挂黑链、篡改，全面提升了云服务的安全性。Docker是一个开源的应用容器引擎，让开发者可以用虚拟化的方式将应用及其依赖打包到一个可移植容器中，然后发布到任何流行的Linux机器上。Docker容器完全采用沙箱机制，各容器之间没有任何接口。最重要的是，Docker容器应用不依赖于任何语言、框架甚至系统，可以很容易地运行在机器和数据中心上，而几乎没有额外的性能开销。由于目前大量业务都在Docker环境中进行部署，故针对Docker容器应用的网页防篡改功能也势必会成为下一代网页防篡改产品的重点功能之一。因此有必要设计一种针对Docker容器应用网页防篡改系统或方法。
技术实现思路
本专利技术所要解决的技术问题是提供一种Docker容器的网页防篡改系统及其方法，保证Docker容器内服务的安全性。为解决上述技术问题，本专利技术所采用的技术方案是：一种Docker容器的网页防篡改系统，其特征在于：包含网页防篡改管理后台、容器集群管理系统和宿主机，宿主机内设置有Docker守护进程、网页防篡改监控客户端和Docker容器化Web应用；网页防篡改管理后台用于提供主机管理、用户管理、对象管理、策略下发、日志监控以及查看各监控客户端监控状态功能；容器集群管理系统与网页防篡改管理后台连接用于提供部署、维护、扩展服务，以方便地管理跨集群运行的容器化应用；Docker守护进程与容器集群管理系统连接用于容器的创建、运行、监控与镜像的构建、储存；网页防篡改监控客户端与网页防篡改管理后台和Docker守护进程连接用于监控站点的防攻击状态、执行管理中心配置的策略、阻止各类篡改攻击；Docker容器化Web应用与Docker守护进程和网页防篡改监控客户端连接用于容器化后通过Docker部署、对外提供Web服务。进一步地，所述网页防篡改管理后台部署在独立的服务器或虚拟机上。进一步地，所述容器集群管理系统的主要相关功能包括协调辅助进程、挂载存储系统、分布式机密信息、检查程序状态、负载均衡和资源监控程序调试。进一步地，所述Docker守护进程在宿主机内以系统后台服务的方式运行。进一步地，所述网页防篡改监控客户端以Docker容器的形式绑定安装在网站服务的宿主机上，安装完成后，立即自动后台运行。一种Docker容器的网页防篡改方法，其特征在于包含以下步骤：步骤一：搭建权利要求1-5任一项所述的Docker容器的网页防篡改系统；步骤二：通过网页防篡改管理中心管理配置，启动网页防篡改功能的对外服务节点及配置参数；步骤三：网页防篡改系统将网页防篡改的配置参数下发至容器集群管理系统，容器集群管理系统将配置结果上报给网页防篡改系统，并在界面上显示相应结果；步骤四：容器集群管理系统解析该配置参数，并根据配置参数内容绑定至目标服务的相关容器节点配置中；步骤五：容器集群管理系统在启动目标服务的容器时，根据配置参数内容，逐步将配置的目录根据不同的权限加载至不同的文件卷；步骤六：目标服务的容器启动完毕后，容器集群管理系统启动网页防篡改系统监控客户端，并绑定至目标服务，随后监控客户端开始监控目录中的文件修改状况；如果被锁定目录中有任何文件发生了变更，则认为发生了篡改事件，监控客户端将发送告警至网页防篡改管理中心；步骤七：网页防篡改管理中心接收到告警后，通知容器集群管理系统重载防护中的目标服务，并在管理中心前台显示告警，通知用户。进一步地，所述步骤一中配置参数包含监控目录、排除目录和排除进程。进一步地，所述步骤四具体为容器集群管理系统解析相关配置参数，并根据参数要求加载对应文件卷和配置，其具体过程为1)使用以下命令安装docker环境yum-yinstalldocker-io启动Docker服务servicedockerstartorsystemctlstartdocker2)查找镜像dockersearch<image>ex:dockersearchcentos//查找centos操作系统的镜像dockersearchphp//查找已经部署php环境的镜像3)下载镜像dockerpull<image>ex:dockerpulldocker.io/1and1internet/ubuntu-16-apache-php-7.04)查看下载镜像dockerimages//列出imagesdockerimages-a//列出所有的images(包含历史)dockerrmi<imageID>//删除一个或多个image；使用镜像创建容器安装防篡改客户端，其过程为1)dockerrun-it--name<docker-name>-v/setup:/home/setup<image-name>/bin/bash使用名为image-name的镜像创建容器，容器的名称是docker-name，添加数据卷使宿主主机的文件路径/setup和容器的文件路径/home/setup进行绑定；2)将webguard防篡改监控保护端程序放入宿主主机的文件路径/setup中；在docker容器中执行安装程序；3)保存容器到镜像dockercommit<container-id><image-name>将一个正在运行的容器生成一个新的镜像，通过将已经安装了webguard和应用的容器生成镜像。4)保存镜像dockersaveimage-id>/tmp/image.tar5)使用保存的镜像dockerload</tmp/image.tar。进一步地，所述步骤五中将配置的目录根据不同的权限加载至不同的文件卷具体过程为针对锁定目录，将该目录加载为只读可执行分区；针对可写目录，将该目录加载为可写分区；在多级嵌套目录的情况下，加载目录通过加载顺序保证嵌套的可靠性。进一步地，所述加载顺序具体为防篡改管理中心获取平台的配置内容，根据两个维度对目录对象进行分析：c)目录深度：对每个目录对象进行深度赋值，深度越深，权值越高；d)目录权限：根据目录权限进行赋值，权限越高，赋值越高；当嵌套目录对应的策略存在冲突时，以赋值大小判断，赋值越大，优先级越高，优先级高的策略优先满足。本专利技术与现有技术相比，具有以下优点和效果：1、本专利技术的网页防篡改监控客户端不会对目标服务镜像产生任何影响，无侵本文档来自技高网...

【技术保护点】
1.一种Docker容器的网页防篡改系统，其特征在于：包含网页防篡改管理后台、容器集群管理系统和宿主机，宿主机内设置有Docker守护进程、网页防篡改监控客户端和Docker容器化Web应用；网页防篡改管理后台用于提供主机管理、用户管理、对象管理、策略下发、日志监控以及查看各监控客户端监控状态功能；容器集群管理系统与网页防篡改管理后台连接用于提供部署、维护、扩展服务，以方便地管理跨集群运行的容器化应用；Docker守护进程与容器集群管理系统连接用于容器的创建、运行、监控与镜像的构建、储存；网页防篡改监控客户端与网页防篡改管理后台和Docker守护进程连接用于监控站点的防攻击状态、执行管理中心配置的策略、阻止各类篡改攻击；Docker容器化Web应用与Docker守护进程和网页防篡改监控客户端连接用于容器化后通过Docker部署、对外提供Web服务。

【技术特征摘要】
1.一种Docker容器的网页防篡改系统，其特征在于：包含网页防篡改管理后台、容器集群管理系统和宿主机，宿主机内设置有Docker守护进程、网页防篡改监控客户端和Docker容器化Web应用；网页防篡改管理后台用于提供主机管理、用户管理、对象管理、策略下发、日志监控以及查看各监控客户端监控状态功能；容器集群管理系统与网页防篡改管理后台连接用于提供部署、维护、扩展服务，以方便地管理跨集群运行的容器化应用；Docker守护进程与容器集群管理系统连接用于容器的创建、运行、监控与镜像的构建、储存；网页防篡改监控客户端与网页防篡改管理后台和Docker守护进程连接用于监控站点的防攻击状态、执行管理中心配置的策略、阻止各类篡改攻击；Docker容器化Web应用与Docker守护进程和网页防篡改监控客户端连接用于容器化后通过Docker部署、对外提供Web服务。2.按照权利要求1所述的一种Docker容器的网页防篡改系统，其特征在于：所述网页防篡改管理后台部署在独立的服务器或虚拟机上。3.按照权利要求1所述的一种Docker容器的网页防篡改系统，其特征在于：所述容器集群管理系统的主要相关功能包括协调辅助进程、挂载存储系统、分布式机密信息、检查程序状态、负载均衡和资源监控程序调试。4.按照权利要求1所述的一种Docker容器的网页防篡改系统，其特征在于：所述Docker守护进程在宿主机内以系统后台服务的方式运行。5.按照权利要求1所述的一种Docker容器的网页防篡改系统，其特征在于：所述网页防篡改监控客户端以Docker容器的形式绑定安装在网站服务的宿主机上，安装完成后，立即自动后台运行。6.一种Docker容器的网页防篡改方法，其特征在于包含以下步骤：步骤一：搭建权利要求1-5任一项所述的Docker容器的网页防篡改系统；步骤二：通过网页防篡改管理中心管理配置，启动网页防篡改功能的对外服务节点及配置参数；步骤三：网页防篡改系统将网页防篡改的配置参数下发至容器集群管理系统，容器集群管理系统将配置结果上报给网页防篡改系统，并在界面上显示相应结果；步骤四：容器集群管理系统解析该配置参数，并根据配置参数内容绑定至目标服务的相关容器节点配置中；步骤五：容器集群管理系统在启动目标服务的容器时，根据配置参数内容，逐步将配置的目录根据不同的权限加载至不同的文件卷；步骤六：目标服务的容器启动完毕后，容器集群管理系统启动网页防篡改系统监控客户端，并绑定至目标服务，随后监控客户端开始监控目录中的文件修改状况；如果被锁定目录中有任何文件发生了变更，则认为发生了篡改事件，监控客户端将发送告警至网页防篡改管理中心；步骤七：网页防篡改管理中心接收到告警后，通知容器集群管理系统重载防护中的目标服务，并在管理中心前台显示告警，通知用户。7.按照权利要求6所述的一种Docker容器的网页防篡改方法，其特征在于：所述步骤一中配置参数包含监控目录、排除目录和排除进程...

【专利技术属性】
技术研发人员：钱照峰，陈凯，马文学，吴晨炜，章赟杰，
申请(专利权)人：上海帆一尚行科技有限公司，
类型：发明
国别省市：上海,31