一种防护方法及其相关设备技术

本申请公开了一种防护方法及其相关设备，该方法包括：在内核层获取到待执行操作之后，若确定待执行操作属于第一预设操作类型、待执行操作为容器内进程、待执行操作对应的目标目录为内存中预先存储的待使用挂载目录、且待执行操作对应的目标挂载设备属于宿主机存储设备，则内核层向应用层发送通知信息，以使应用层将待执行操作对应的目标操作对象迁移至隔离区，并依据生成告警信息；应用层将告警信息发送至交互层，以使交互层判断待执行操作是否为正常业务操作，得到待执行操作对应的识别结果，并向应用层发送该识别结果；应用层根据该识别结果确定待执行操作对应的对象处理操作，如此能够有效地提高部署有容器的虚拟机(或者，宿主机)的安全性。宿主机)的安全性。宿主机)的安全性。

【技术实现步骤摘要】
一种防护方法及其相关设备


[0001]本申请涉及云计算
，尤其涉及一种防护方法及其相关设备。

技术介绍

[0002]随着云计算技术的快速发展，虚拟化技术也逐渐成为热门技术。基于硬件的虚拟化技术，通常是指虚拟机，而基于操作系统的虚拟化技术，通常是指容器。例如：一台硬件服务器可虚拟多台虚拟机，每台虚拟机又可以虚拟化多个容器。
[0003]容器的优势在于能够隔离资源，避免相互干扰，因此，很多云用户将业务应用部署在容器上。
[0004]然而，在一些情况下，黑客可以借助容器入侵该容器所在的虚拟机(或者，宿主机)，如此导致部署有容器的虚拟机(或者，宿主机)的安全性比较低。

技术实现思路

[0005]为了解决现有技术中存在的以上技术问题，本申请提供一种防护方法及其相关设备，能够提高部署有容器的虚拟机(或者，宿主机)的安全性。
[0006]为了实现上述目的，本申请实施例提供的技术方案如下：
[0007]本申请实施例提供一种防护方法，应用于防护系统，所述防护系统包括内核层、应用层和交互层；所述方法包括：
[0008]在所述内核层获取到待执行操作之后，若所述内核层确定所述待执行操作属于第一预设操作类型、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录，则所述内核层确定所述待执行操作对应的目标挂载设备；
[0009]若所述内核层确定所述目标挂载设备属于宿主机存储设备，则所述内核层向所述应用层发送通知信息，以使所述应用层将所述待执行操作对应的目标操作对象迁移至隔离区，并依据所述通知信息生成告警信息；
[0010]所述应用层将所述告警信息发送至所述交互层，以使所述交互层判断所述待执行操作是否为正常业务操作，得到所述待执行操作对应的识别结果；
[0011]在所述应用层接收到所述交互层发送的所述待执行操作对应的识别结果之后，所述应用层根据所述待执行操作对应的识别结果，确定所述待执行操作对应的对象处理操作；其中，所述待执行操作对应的对象处理操作用于对所述待执行操作对应的目标操作对象进行处理。
[0012]在一种可能的实施方式中，所述应用层根据所述待执行操作对应的识别结果，确定所述待执行操作对应的对象处理操作，包括：
[0013]当所述应用层确定所述待执行操作对应的识别结果表示所述待执行操作为正常业务操作之后，所述应用层将所述待执行操作对应的目标操作对象从所述隔离区迁移至所述待执行操作对应的目标区域；
[0014]当所述应用层确定所述待执行操作对应的识别结果表示所述待执行操作不是正常业务操作之后，所述应用层从所述隔离区中删除所述待执行操作对应的目标操作对象。
[0015]在一种可能的实施方式中，所述待执行操作对应的识别结果的获取过程，包括：
[0016]在所述交互层接收到所述告警信息之后，所述交互层将所述告警信息通过预设方式发送给运维人员，以使所述运维人员依据所述告警信息，确定所述待执行操作是否为正常业务操作；
[0017]在所述交互层接收到所述运维人员输入的反馈信息之后，所述交互层根据所述反馈信息，生成所述待执行操作对应的识别结果。
[0018]在一种可能的实施方式中，所述待执行操作对应的目标挂载设备的确定过程，包括：
[0019]获取所述待执行操作对应的目标操作对象的挂载描述符；
[0020]根据所述待执行操作对应的目标操作对象的挂载描述符，确定所述待执行操作对应的目标挂载设备。
[0021]在一种可能的实施方式中，所述方法还包括：
[0022]在内核层获取到待执行操作之后，所述内核层获取所述待执行操作的进程号命名空间；
[0023]所述内核层根据所述待执行操作的进程号命名空间，确定所述待执行操作是否为容器内进程。
[0024]在一种可能的实施方式中，所述方法还包括：
[0025]若所述内核层确定所述待执行操作属于第二预设操作类型、且确定所述待执行操作为容器内进程，则所述内核层将所述待执行操作对应的挂载目录记录至所述内存中。
[0026]本申请实施例还提供了一种防护系统，所述防护系统包括内核层、应用层和交互层；
[0027]所述内核层，用于在获取到待执行操作之后，若确定所述待执行操作属于第一预设操作类型、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录，则确定所述待执行操作对应的目标挂载设备；
[0028]所述内核层，还用于若确定所述目标挂载设备属于宿主机存储设备，则向应用层发送通知信息，以使所述应用层将所述待执行操作对应的目标操作对象迁移至隔离区，并依据所述通知信息生成告警信息；
[0029]所述应用层，用于将所述告警信息发送至交互层，以使所述交互层判断所述待执行操作是否为正常业务操作，得到所述待执行操作对应的识别结果；
[0030]所述应用层，还用于在接收到所述交互层发送的所述待执行操作对应的识别结果之后，根据所述待执行操作对应的识别结果，确定所述待执行操作对应的对象处理操作；其中，所述待执行操作对应的对象处理操作用于对所述待执行操作对应的目标操作对象进行处理。
[0031]本申请实施例还提供了一种设备，所述设备包括处理器以及存储器：
[0032]所述存储器用于存储计算机程序；
[0033]所述处理器用于根据所述计算机程序执行本申请实施例提供的防护方法的任一实施方式。
[0034]本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，所述计算机程序用于执行本申请实施例提供的防护方法的任一实施方式。
[0035]本申请实施例还提供了一种计算机程序产品，其特征在于，所述计算机程序产品在终端设备上运行时，使得所述终端设备执行本申请实施例提供的防护方法的任一实施方式。
[0036]与现有技术相比，本申请实施例至少具有以下优点：
[0037]本申请实施例提供的技术方案中，在所述内核层获取到待执行操作之后，若所述内核层确定所述待执行操作属于第一预设操作类型、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录，则所述内核层确定所述待执行操作对应的目标挂载设备；若所述内核层确定所述目标挂载设备属于宿主机存储设备，则所述内核层向所述应用层发送通知信息，以使所述应用层将所述待执行操作对应的目标操作对象迁移至隔离区，并依据所述通知信息生成告警信息；所述应用层将所述告警信息发送至所述交互层，以使所述交互层判断所述待执行操作是否为正常业务操作，得到所述待执行操作对应的识别结果；在所述应用层接收到所述交互层发送的所述待执行操作对应的识别结果之后，所述应用层根据所述待执行操作对应的识别结果，确定所述待执行操作对应的对象处理操作，以使所述待执行操作对应的对象处理操作用于对所述待执行操作对应的目标操作对象进行处理，如此能够有效地避免非正常业务本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防护方法，其特征在于，应用于防护系统，所述防护系统包括内核层、应用层和交互层；所述方法包括：在所述内核层获取到待执行操作之后，若所述内核层确定所述待执行操作属于第一预设操作类型、确定所述待执行操作为容器内进程、且确定所述待执行操作对应的目标目录为内存中预先存储的待使用挂载目录，则所述内核层确定所述待执行操作对应的目标挂载设备；若所述内核层确定所述目标挂载设备属于宿主机存储设备，则所述内核层向所述应用层发送通知信息，以使所述应用层将所述待执行操作对应的目标操作对象迁移至隔离区，并依据所述通知信息生成告警信息；所述应用层将所述告警信息发送至所述交互层，以使所述交互层判断所述待执行操作是否为正常业务操作，得到所述待执行操作对应的识别结果；在所述应用层接收到所述交互层发送的所述待执行操作对应的识别结果之后，所述应用层根据所述待执行操作对应的识别结果，确定所述待执行操作对应的对象处理操作；其中，所述待执行操作对应的对象处理操作用于对所述待执行操作对应的目标操作对象进行处理。2.根据权利要求1所示的方法，其特征在于，所述应用层根据所述待执行操作对应的识别结果，确定所述待执行操作对应的对象处理操作，包括：当所述应用层确定所述待执行操作对应的识别结果表示所述待执行操作为正常业务操作之后，所述应用层将所述待执行操作对应的目标操作对象从所述隔离区迁移至所述待执行操作对应的目标区域；当所述应用层确定所述待执行操作对应的识别结果表示所述待执行操作不是正常业务操作之后，所述应用层从所述隔离区中删除所述待执行操作对应的目标操作对象。3.根据权利要求1所示的方法，其特征在于，所述待执行操作对应的识别结果的获取过程，包括：在所述交互层接收到所述告警信息之后，所述交互层将所述告警信息通过预设方式发送给运维人员，以使所述运维人员依据所述告警信息，确定所述待执行操作是否为正常业务操作；在所述交互层接收到所述运维人员输入的反馈信息之后，所述交互层根据所述反馈信息，生成所述待执行操作对应的识别结果。4.根据权利要求1所示的方法，其特征在于，所述待执行操作对应的目标挂载设备的确定过程，包括：获取所述待执行操作对应的目标操作对象的挂载描述符；根据所...

【专利技术属性】
技术研发人员：甄鹏，梁媛，唐超，
申请(专利权)人：苏州浪潮智能科技有限公司，
类型：发明
国别省市：