基于镜像容器的应用层流量检测方法、装置、工具、系统制造方法及图纸

本发明专利技术属于网络安全检测技术领域，具体提供一种基于镜像容器的应用层流量检测方法、装置、工具、系统，所述方法包括如下步骤：打包原有应用工程为镜像容器，配置并启动镜像容器；接收外部流量并将流量转发到镜像容器实现原始数据模板映射后进行流量的应用检测；在镜像容器检测到正常流量后，将正常流量转发给实际的应用；在镜像容器检测到恶意流量后，对检测到的恶意流量进行拦截并将恶意流量上报；对上报的恶意流量进行分析提取特征信息并更新到特征数据库。能够适用于各种平台的Web应用，具有较高的兼容性。能够检测、阻止恶意流量的攻击。能够在模拟真实业务场景的情况下隐藏真实数据。数据。数据。

【技术实现步骤摘要】
基于镜像容器的应用层流量检测方法、装置、工具、系统


[0001]本专利技术涉及网络安全
，具体涉及一种基于镜像容器的应用层流量检测方法、装置、工具、系统。

技术介绍

[0002]Web安全在网络安全领域一直是热门，主要原因是Web应用大多面向公开的互联网，降低了攻击者接触目标的难度。同时，攻击流量往往混淆在正常的业务流量之中。给主动检测发现攻击行为增加了难度。目前针对应用层的安全防护主要技术手段是采用流量分析方式，其中应用最为广泛的为模式匹配，就是将已知的恶意流量与通过的流量进行匹配。这种方式发展出针对通信信道的分析，基于会话模式的分析等。
[0003]Web应用安全的流量检测不同于主机的安全检测，恶意流量隐藏在真实业务场景的流量中，对于恶意流量的检测难度较大。另外应用层出现的数据泄露和权限提升在操作系统层面不会出现明显的现象，因此对于检测应用层的恶意流量比较困难。还有就是针对不同的应用，应用的具体业务场景区别较大。传统的使用统一的特征库进行恶意流量匹配的方式存在局限性。

技术实现思路

[0004]针对应用层出现的数据泄露和权限提升在操作系统层面不会出现明显的现象，因此对于检测应用层的恶意流量比较困难的问题，本专利技术一种基于镜像容器的应用层流量检测方法、装置、工具、系统。
[0005]本专利技术的技术方案是：
[0006]第一方面，本专利技术技术方案提供一种基于镜像容器的应用层流量检测方法，包括如下步骤：
[0007]打包原有应用工程为镜像容器，配置并启动镜像容器；
[0008]接收外部流量并将流量转发到镜像容器实现原始数据模板映射后进行流量的应用检测；
[0009]在镜像容器检测到恶意流量后，对检测到的恶意流量进行拦截并将恶意流量上报；
[0010]对上报的恶意流量进行分析提取特征信息并更新到特征数据库。
[0011]采用镜像克隆技术，对与应用层进行容器化克隆，并将外部进来的流量先转发到镜像容器的镜像应用，镜像应用对传入的流量按照原有的业务逻辑进行处理，如果镜像应用产生了异常，则说明该流量为恶意流量。不仅可以防护新型的通用漏洞，还可以发现对于本应用所特有的逻辑或组合型漏洞。针对恶意流量特征数据库的实时更新。当镜像应用检测到恶意流量时，将恶意流量特征上报，分析该恶意流量特征并入库，在再次捕获该特征流量时，提高检测效率。
[0012]优选地，打包原有应用工程为镜像容器，配置并启动镜像容器的步骤包括：
[0013]打包原有应用工程为镜像容器；
[0014]增加代理模块到镜像容器中；
[0015]启动镜像容器，配置其代理原应用的流量。
[0016]针对不同应用运行环境的兼容性问题。采用容器化部署方式，在支持多平台的同时，减少研发成本。另外，采用容器中代理的方式将恶意流量汇总到特征库。
[0017]优选地，接收外部流量并将流量转发到镜像容器实现原始数据模板映射后进行流量的检测的步骤包括：
[0018]接收外部流量；
[0019]将流量转发到镜像容器；
[0020]在镜像容器中将原应用的原始数据进行模板映射；
[0021]模板数据映射后，进行流量的检测。
[0022]针对数据泄露的问题。为防止恶意攻击者获取到真实的业务数据，采用模板映射的方式对原始数据进行映射，在减少需要使用的数据量同时，可以提高对恶意流量的特征的分析维度。
[0023]使用模板映射后的数据可以防止真实数据的泄露，保护原始数据安全。还可以减少数据处理的开销。
[0024]优选地，将流量转发到镜像容器的步骤之前包括：
[0025]分析并提取流量特征；
[0026]将提取的流量特征与特征数据库进行特征匹配；
[0027]将匹配到的异常流量进行拦截；采用分析恶意流量的特征并增加到特征库中，作为流量的模式匹配特征库进行使用。提高下次的检测效率。
[0028]将流量转发到镜像容器的步骤包括：
[0029]将特征匹配后的流量转发到镜像容器。
[0030]优选地，该方法还包括：
[0031]在镜像容器检测到正常流量后，将正常流量转发给实际的应用。
[0032]优选地，在镜像容器检测到恶意流量后，对检测到的恶意流量进行拦截的步骤包括：
[0033]在镜像容器检测到恶意流量后，将该恶意流量抛弃，停止该流量对原应用网关的转发，实现恶意流量的拦截。
[0034]第二方面，本专利技术技术方案提供一种基于镜像容器的应用层流量检测装置，镜像容器生成模块、转发模块、镜像容器、处理更新模块；
[0035]镜像容器生成模块，用于打包原有应用工程为镜像容器，配置并启动镜像容器；
[0036]转发模块，用于接收外部流量并将流量转发到镜像容器；
[0037]镜像容器，用于实现原始数据模板映射后进行流量的应用检测；在镜像容器检测到恶意流量后，对检测到的恶意流量进行拦截并将恶意流量上报；
[0038]处理更新模块，用于对上报的恶意流量进行分析提取特征信息并更新到特征数据库。
[0039]采用镜像克隆技术，对与应用层进行容器化克隆，并将外部进来的流量先转发到镜像容器的镜像应用，镜像应用对传入的流量按照原有的业务逻辑进行处理，如果镜像应
用产生了异常，则说明该流量为恶意流量。不仅可以防护新型的通用漏洞，还可以发现对于本应用所特有的逻辑或组合型漏洞。
[0040]优选地，镜像容器包括模板数据映射模块、镜像应用模块、流量转发模块和流量上报模块；
[0041]模板数据映射模块，用于采用模板映射并的方式将原应用中真实的业务数据进行映射；
[0042]镜像应用模块，用于对传入的流量按照原有的业务逻辑进行处理，若镜像应用产生了异常，则该流量为恶意流量；
[0043]流量转发模块，用于将镜像应用模块处理后的正常流量转发给实际的应用；
[0044]流量上报模块，用于将镜像应用模块处理后的异常流量进行上报。
[0045]针对数据泄露的问题。为防止恶意攻击者获取到真实的业务数据，采用模板映射的方式对原始数据进行映射，在减少需要使用的数据量同时，可以提高对恶意流量的特征的分析维度。
[0046]当镜像应用检测到恶意流量时，将恶意流量特征上报，分析该恶意流量特征并入库，在再次捕获该特征流量时，提高检测效率。
[0047]优选地，镜像容器生成模块包括打包单元、代理设置单元、配置单元；
[0048]打包单元，用于打包原有应用工程为镜像容器；
[0049]代理设置单元，用于增加代理模块到镜像容器中；
[0050]配置单元，用于启动镜像容器，配置其代理原应用的流量。
[0051]针对不同应用运行环境的兼容性问题。采用容器化部署方式，在支持多平台的同时，减少研发成本。另外，采用容器中代理的方式将恶意流量汇总到特征库。
[0052]优选地，该装置还包括分析模块、匹配模块、异常处本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于镜像容器的应用层流量检测方法，其特征在于，包括如下步骤：打包原有应用工程为镜像容器，配置并启动镜像容器；接收外部流量并将流量转发到镜像容器实现原始数据模板映射后进行流量的应用检测；在镜像容器检测到恶意流量后，对检测到的恶意流量进行拦截并将恶意流量上报；对上报的恶意流量进行分析提取特征信息并更新到特征数据库。2.根据权利要求1所述的基于镜像容器的应用层流量检测方法，其特征在于，打包原有应用工程为镜像容器，配置并启动镜像容器的步骤包括：打包原有应用工程为镜像容器；增加代理模块到镜像容器中；启动镜像容器，配置其代理原应用的流量。3.根据权利要求1所述的基于镜像容器的应用层流量检测方法，其特征在于，接收外部流量并将流量转发到镜像容器实现原始数据模板映射后进行流量的检测的步骤包括：接收外部流量；将流量转发到镜像容器；在镜像容器中将原应用的原始数据进行模板映射；模板数据映射后，进行流量的检测。4.根据权利要求3所述的基于镜像容器的应用层流量检测方法，其特征在于，将流量转发到镜像容器的步骤之前包括：分析并提取流量特征；将提取的流量特征与特征数据库进行特征匹配；将匹配到的异常流量进行拦截；将流量转发到镜像容器的步骤包括：将特征匹配后的流量转发到镜像容器。5.根据权利要求1所述的基于镜像容器的应用层流量检测方法，其特征在于，该方法还包括：在镜像容器检测到正常流量后，将正常流量转发给实际的应用。6.根据权利要求1所述的基于镜像容器的应用层流量检测方法，其特征在于，在镜像容器检测到恶意流量后，对检测到的恶意流量进行拦截的步骤包括：在镜像容器检测到恶意流量后，将该恶意流量抛弃，停止该流量对原应用网关的转发，实现恶意流量的拦截。7.一种基于镜像容器的应用层流量检测装置，其特征在于，镜像容器生成模块、转发模块、镜像容器、处理更新模块；镜像容器...

【专利技术属性】
技术研发人员：刘帅甫，
申请(专利权)人：苏州浪潮智能科技有限公司，
类型：发明
国别省市：