【技术实现步骤摘要】
容器安全保护方法、容器安全保护装置、电子设备及介质
[0001]本公开涉及计算机
,尤其涉及一种容器安全保护方法、容器安全保护装置、电子设备及计算机可读存储介质。
技术介绍
[0002]BPF(Berkeley Packet Filter,柏克莱封包过滤器)技术,是一种可以用于数据包过滤领域的技术,随着Linux内核的发展,基于BPF的扩展并经过重新设计,提出了eBPF(extended Berkeley Packet Filter,扩展柏克莱封包过滤器)技术,由于eBPF技术的先进性和高效性,其已被逐渐应用于系统监控和网络领域,并在性能监控和网络流量处理上有了工业化实践,例如将eBPF技术应用于容器系统的安全监控中,以保障容器系统的安全问题。然而,现有技术在进行安全监控时,通常无法同时顾及网络侧和系统侧的数据安全,且往往只能做到事后处理,无法进行事前防护,即难以实现实时的恶意行为阻断功能,导致容器系统的安全仍然受到较大的威胁。
[0003]因此,如何及时、有效的保证容器系统的安全是现有技术亟待解决的问题。
【技术保护点】
【技术特征摘要】
1.一种容器安全保护方法,应用于容器端的中央控制节点,其特征在于,包括:获取网络元数据和系统调用元数据;获取阻断规则,并根据所述阻断规则、所述网络元数据和所述系统调用元数据,生成阻断控制指令;将所述阻断控制指令发送至阻断控制节点,以使所述阻断控制节点根据所述阻断控制指令从网络侧或系统侧进行阻断控制。2.根据权利要求1所述的方法,其特征在于,所述获取网络元数据和系统调用元数据,包括:采用eBPF技术在网络侧监控并采集所述网络元数据,以及在系统侧监控并采集所述系统调用元数据;其中,网络元数据包括网络链接数据或网络流量数据,所述系统调用元数据包括系统进程数据或系统调用参数数据。3.根据权利要求2所述的方法,其特征在于,所述阻断控制指令包括网络阻断控制指令和系统调用阻断控制指令,所述阻断控制节点包括网络侧阻断控制节点和系统侧阻断控制节点;所述将所述阻断控制指令发送至阻断控制节点,以使所述阻断控制节点根据所述阻断控制指令从网络侧或系统侧进行阻断控制,包括:将所述网络阻断控制指令发送至网络侧阻断控制节点,以使所述网络侧阻断控制节点通过第一阻断机制,对网络进行阻断控制;将所述系统调用阻断控制指令发送至系统侧阻断控制节点,以使所述系统侧阻断控制节点通过第二阻断机制,对系统调用进行阻断控制。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:根据系统事件定义优先级信息,并同步至信息缓存节点;其中,所述信息缓存节点用于缓存所述优先级信息,所述优先级信息用于对所述网络元数据和所述系统调用元数据的优先级进行管理。5.根据权利要求4所述的方法,其特征在于,在获取网络元数据和系统调用元数据之前,所述方法还包括:通过数据追踪...
【专利技术属性】
技术研发人员:常青,谢文博,罗鹏,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。