一种网络入侵防御方法及装置制造方法及图纸

本发明专利技术提供的网络入侵防御方法及装置，包括:通过内核态入侵防御模块在目标容器集所属的网络命名空间，获取访问服务器节点的业务消息的网络数据包；通过用户态入侵防御程序将网络命名空间的ID发送到内核态入侵防御模块；将网络数据包及对应的网络命名空间的ID发送到用户态入侵防御程序；通过用户态入侵防御程序根据网络命名空间的ID，获取对应的防护规则集，将网络数据包与防护规则集进行匹配，将基于匹配结果确定的裁决结果发送到内核态入侵防御模块；通过内核态入侵防御模块基于裁决结果对网络数据包进行处理。该方法可以降低主机资源占用及消耗。资源占用及消耗。资源占用及消耗。

【技术实现步骤摘要】
一种网络入侵防御方法及装置


[0001]本专利技术涉及网络安全领域，尤其涉及一种网络入侵防御方法及装置。

技术介绍

[0002]容器是一种轻量级虚拟化技术，可以快速高效的建立虚拟系统。但是由于容器是一种基于操作系统内核的虚拟机化技术，其安全性一直被人诟病，对容器进行网络入侵防御十分有必要。
[0003]现有的网络入侵防御方法主要是通过在Pod中添加称做Sidecar的辅助安全容器。由安全容器对出入Pod的网络数据包进行过滤，再将流量转发到业务容器。其中，Pod由一个或多个容器组成,是Kubernetes的最小调度单位。Kubernetes是Google开源的一个容器编排引擎，它支持自动化部署、大规模可伸缩、应用容器化管理。在生产环境中部署一个应用程序时，通常要部署该应用的多个实例以便对应用请求进行负载均衡。然而现有的网络入侵防御方法存以下缺陷：
[0004]1、需要每个Pod都配置独立的Sidecar容器，对资源的消耗浪费较大。
[0005]2、由于要配置独立的Sidecar容器，需要对业务应用容器进行调整，对业务带来侵入性。
[0006]3、所有进出POD的流量都要经过Sidecar容器，网络性能影响较大。

技术实现思路

[0007]本专利技术提供一种一种网络入侵防御方法及装置，用以解决现有技术中资源的消耗浪费较大以及网络性能影响较大的缺陷，可以使业务容器不存在侵入性，降低整体的沟通交流及运维成本。
[0008]第一方面，本专利技术实施例提供了一种网络入侵防御方法，内核态入侵防御模块和用户态入侵防御程序部署在承载运行容器的服务器节点，包括:通过所述内核态入侵防御模块在目标容器集所属的网络命名空间，获取访问所述服务器节点的业务消息的网络数据包；若通过所述内核态入侵防御模块根据网络的连接状态，确定不放行所述网络数据包，通过用户态入侵防御程序将所述网络命名空间的ID发送到所述内核态入侵防御模块；若通过所述内核态入侵防御模块根据所述网络命名空间的ID，确定将所述网络数据包发送到所述用户态入侵防御程序，将所述网络数据包及对应的网络命名空间的ID发送到所述用户态入侵防御程序；通过所述用户态入侵防御程序根据所述网络命名空间的ID，获取对应的防护规则集，将所述网络数据包与所述防护规则集进行匹配，将基于匹配结果确定的裁决结果发送到所述内核态入侵防御模块；通过所述内核态入侵防御模块基于所述裁决结果对所述网络数据包进行处理。
[0009]进一步地，所述网络入侵防御方法，还包括：若连续预设数目的网络数据包的裁决结果为放行网络数据包，通过所述用户态入侵防御程序向所述内核态入侵防御模块发送持续放行网络数据包的裁决结果；通过所述内核态入侵防御模块执行放行所述连续预设数目
的网络数据包之后的网络数据包的操作。
[0010]进一步地，所述通过所述内核态入侵防御模块在目标容器集所属的网络命名空间，获取访问所述服务器节点的业务消息的网络数据包之前，还包括：通过所述内核态入侵防御模块建立所述用户态入侵防御程序与所述内核态入侵防御模块之间进行信息传递的数据通道。
[0011]进一步地，所述通过用户态入侵防御程序将所述网络命名空间的ID发送到所述内核态入侵防御模块，包括：通过用户态入侵防御程序根据所述目标容器集的名称，获取所述目标容器集所属网络命名空间的ID；将所述网络命名空间的ID发送到所述内核态入侵防御模块。
[0012]进一步地，所述通过所述用户态入侵防御程序根据所述网络命名空间的ID，获取对应的防护规则集，包括：通过所述用户态入侵防御程序访问安全控制中心；在所述安全控制中心中拉取所述目标容器集的防护规则集；基于所述目标容器集与所述网络命名空间的ID的对应关系，获取所述网络命名空间的ID对应的防护规则集。
[0013]第二方面，本专利技术还提供了一种网络入侵防御装置，内核态入侵防御模块和用户态入侵防御程序部署在承载运行容器的服务器节点，包括:获取模块，用于通过所述内核态入侵防御模块在目标容器集所属的网络命名空间，获取访问所述服务器节点的业务消息的网络数据包；第一发送模块，用于若通过所述内核态入侵防御模块根据网络的连接状态，确定不放行所述网络数据包，通过用户态入侵防御程序将所述网络命名空间的ID发送到所述内核态入侵防御模块；第二发送模块，用于若通过所述内核态入侵防御模块根据所述网络命名空间的ID，确定将所述网络数据包发送到所述用户态入侵防御程序，将所述网络数据包及对应的网络命名空间的ID发送到所述用户态入侵防御程序；匹配模块，用于通过所述用户态入侵防御程序根据所述网络命名空间的ID，获取对应的防护规则集，将所述网络数据包与所述防护规则集进行匹配，将基于匹配结果确定的裁决结果发送到所述内核态入侵防御模块；处理模块，用于通过所述内核态入侵防御模块基于所述裁决结果对所述网络数据包进行处理。
[0014]进一步地，所述网络入侵防御装置，还包括：第三发送模块，若连续预设数目的网络数据包的裁决结果为放行网络数据包，通过所述用户态入侵防御程序向所述内核态入侵防御模块发送持续放行网络数据包的裁决结果；所述处理模块，还用于通过所述内核态入侵防御模块执行放行所述连续预设数目的网络数据包之后的网络数据包的操作。
[0015]第三方面，本专利技术实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述的网络入侵防御方法的步骤。
[0016]第四方面，本专利技术实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所述的网络入侵防御方法的步骤。
[0017]第五方面，本专利技术实施例还提供了一种计算机程序产品，其上存储有可执行指令，该指令被处理器执行时使处理器实现如第一方面所述的网络入侵防御方法的步骤。
[0018]本专利技术实施例提供的网络入侵防御方法及装置，包括:通过内核态入侵防御模块在目标容器集所属的网络命名空间，获取访问服务器节点的业务消息的网络数据包；若通
过内核态入侵防御模块根据网络的连接状态，确定不放行网络数据包，通过用户态入侵防御程序将网络命名空间的ID发送到内核态入侵防御模块；若通过内核态入侵防御模块根据网络命名空间的ID，确定将网络数据包发送到用户态入侵防御程序，将网络数据包及对应的网络命名空间的ID发送到用户态入侵防御程序；通过用户态入侵防御程序根据网络命名空间的ID，获取对应的防护规则集，将网络数据包与防护规则集进行匹配，将基于匹配结果确定的裁决结果发送到内核态入侵防御模块；通过内核态入侵防御模块基于裁决结果对网络数据包进行处理。通过对网络命名空间中网络数据包的拦截及对需要发送的网络数据包进行发送，用户态入侵防御模块通过网络命名空间ID识别不同的防护规则集，完成针对不同目标容器集使用不同的防护规则集进行匹配，实现使用一套程序防护节点上的所有目标容器集的效果，降低主机资源占用及消耗；安装部署过程只涉及节点的操作，不涉及业务容器的调整，对业务没本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络入侵防御方法，内核态入侵防御模块和用户态入侵防御程序部署在承载运行容器的服务器节点，其特征在于，包括:通过所述内核态入侵防御模块在目标容器集所属的网络命名空间，获取访问所述服务器节点的业务消息的网络数据包；若通过所述内核态入侵防御模块根据网络的连接状态，确定不放行所述网络数据包，通过所述用户态入侵防御程序将所述网络命名空间的ID发送到所述内核态入侵防御模块；若通过所述内核态入侵防御模块根据所述网络命名空间的ID，确定将所述网络数据包发送到所述用户态入侵防御程序，将所述网络数据包及对应的网络命名空间的ID发送到所述用户态入侵防御程序；通过所述用户态入侵防御程序根据所述网络命名空间的ID，获取对应的防护规则集，将所述网络数据包与所述防护规则集进行匹配，将基于匹配结果确定的裁决结果发送到所述内核态入侵防御模块；通过所述内核态入侵防御模块基于所述裁决结果对所述网络数据包进行处理。2.根据权利要求1所述的网络入侵防御方法，其特征在于，还包括：若连续预设数目的网络数据包的裁决结果为放行网络数据包，通过所述用户态入侵防御程序向所述内核态入侵防御模块发送持续放行网络数据包的裁决结果；通过所述内核态入侵防御模块执行放行所述连续预设数目的网络数据包之后的网络数据包的操作。3.根据权利要求1所述的网络入侵防御方法，其特征在于，所述通过所述内核态入侵防御模块在目标容器集所属的网络命名空间获取访问所述服务器节点的业务消息的网络数据包之前，还包括：通过所述内核态入侵防御模块建立所述用户态入侵防御程序与所述内核态入侵防御模块之间进行信息传递的数据通道。4.根据权利要求1任一项所述的网络入侵防御方法，其特征在于，所述通过用户态入侵防御程序将所述网络命名空间的ID发送到所述内核态入侵防御模块，包括：通过用户态入侵防御程序根据所述目标容器集的名称，获取所述目标容器集所属网络命名空间的ID；将所述网络命名空间的ID发送到所述内核态入侵防御模块。5.根据权利要求1所述的网络入侵防御方法，其特征在于，所述通过所述用户态入侵防御程序根据所述网络命名空间的ID，获取对应的防护规则集，包括：通过所述用户态入侵防御程序访问安全控制中心；在所述安...

【专利技术属性】
技术研发人员：冯顾，
申请(专利权)人：网神信息技术北京股份有限公司，
类型：发明
国别省市：