本申请公开了一种风险检测方法、装置、存储介质以及电子设备。该方法包括:获取云计算系统中的工作负载产生的调用事件,并解析调用事件,得到解析结果,根据解析结果确定用于执行调用事件的工作负载的容器ID;获取引擎ID与容器ID相同的规则引擎,得到目标规则引擎;通过容器ID获取与调用事件相关联的执行日志,得到目标执行日志,并将目标执行日志发送至目标规则引擎中;获取目标规则引擎中的检测规则,通过检测规则对目标执行日志进行检测,得到调用事件的检测结果。通过本申请,解决了相关技术中使用多个检测系统对云计算环境中的调用事件进行安全检测的检测效率和检测准确性较差的问题。差的问题。差的问题。
【技术实现步骤摘要】
风险检测方法、装置、存储介质以及电子设备
[0001]本申请涉及风险控制领域,具体而言,涉及一种风险检测方法、装置、存储介质以及电子设备。
技术介绍
[0002]随着虚拟机和容器技术的发展,两者的结合也更加紧密,在云计算环境中,例如混合云环境,最常见的策略是在主机上部署虚拟机,虚拟机中部署容器,容器和虚拟机一起使用,为部署和管理应用提供了极大的灵活性。Kubernetes(简称k8s)是一个用于管理容器化的工作负载和服务,促进容器编排自动化的工具,k8s作为容器编排技术的代表,在混合云中应用很广泛。
[0003]在企业使用混合云环境的时候,需要定期对混合云环境中的各个工作负载中的调用事件进行安全检测,从而保证混合云环境中的k8s和主机的正常运行,但是,现有的安全检测技术需要在混合云中分别设置检测k8s的检测系统,以及检测主机的检测系统,由于需要使用两套不同的系统进行检测,因此会导致检测的流程复杂,并且无法检测在k8s和主机两侧同时出现的问题之间的关联关系,从而出现检测结果错误的现象发生。
[0004]针对相关技术中使用多个检测系统对云计算环境中的调用事件进行安全检测的检测效率和检测准确性较差的问题,目前尚未提出有效的解决方案。
技术实现思路
[0005]本申请提供一种风险检测方法、装置、存储介质以及电子设备,以解决相关技术中使用多个检测系统对云计算环境中的调用事件进行安全检测的检测效率和检测准确性较差的问题。
[0006]根据本申请的一个方面,提供了一种风险检测方法。该方法包括:获取云计算系统中的工作负载产生的调用事件,并解析调用事件,得到解析结果,根据解析结果确定用于执行调用事件的工作负载的容器ID;获取引擎ID与容器ID相同的规则引擎,得到目标规则引擎,其中,规则引擎中包括检测规则,检测规则用于确定调用事件是否存在风险;通过容器ID获取与调用事件相关联的执行日志,得到目标执行日志,并将目标执行日志发送至目标规则引擎中,其中,执行日志中记录有工作负载在执行调用事件时产生的日志数据;获取目标规则引擎中的检测规则,通过检测规则对目标执行日志进行检测,得到调用事件的检测结果,其中,检测结果表征调用事件是否为风险事件。
[0007]可选地,获取引擎ID与容器ID相同的规则引擎,得到目标规则引擎包括:判断多个规则引擎中是否存在引擎ID与容器ID相同的规则引擎;在存在引擎ID与容器 ID相同的规则引擎的情况下,将引擎ID对应的规则引擎确定为目标规则引擎;在不存在引擎ID与容器ID相同的规则引擎的情况下,生成初始规则引擎,从第一对照表中获取容器ID关联的工作负载,并获取用于检测关联的工作负载的检测规则,将获取的检测规则添加至初始规则引擎中,得到目标规则引擎,其中,第一对照表包括多个工作负载以及每个工作负载的属性信
息。
[0008]可选地,从第一对照表中获取容器ID关联的工作负载包括:从第一对照表中获取容器ID对应的目标容器,并获取目标容器的属性信息;解析目标容器的属性信息,得到用于运行目标容器的目标主机以及目标主机所在的目标集群;将目标容器、目标主机以及目标集群确定为容器ID关联的工作负载。
[0009]可选地,获取用于检测关联的工作负载的检测规则包括:在关联的工作负载包括容器的情况下,从规则特征库中获取用于检测容器的第一检测规则,其中,规则特征库中存储有用于检测不同类型的工作负载的检测规则;和/或在关联的工作负载包括主机的情况下,从规则特征库中获取用于检测容器的第二检测规则;和/或在关联的工作负载包括集群的情况下,从规则特征库中获取用于检测集群的第三检测规则;将第一检测规则、第二检测规则、第三检测规则中的至少一个检测规则确定为用于检测关联的工作负载的检测规则。
[0010]可选地,通过容器ID获取与调用事件相关联的执行日志,得到目标执行日志包括:获取容器ID对应的目标容器,并获取目标容器的执行日志,得到第一执行日志,其中,第一执行日志包括:容器文件系统挂载点、容器是否异常启动;根据目标容器的属性信息确定目标容器所在的目标主机并获取目标主机的执行日志,得到第二执行日志,其中,第二执行日志包括主机的操作系统的进程、用户、文件以及网络行为;将第一执行日志、第二执行日志以及目标容器的属性信息组合为目标执行日志。
[0011]可选地,该方法还包括:检测删除容器的操作和/或变更容器的属性信息的操作;在检测到删除容器的操作的情况下,确定被删除容器,删除第一对照表中被删除容器的属性信息,并删除与被删除容器的容器ID对应的规则引擎;和/或在检测到变更容器的属性信息的操作,确定属性信息变更的容器,更新第一对照表中属性信息变更的容器的属性信息。
[0012]可选地,根据解析结果确定用于执行调用事件的工作负载的容器ID包括:判断解析结果中是否指示执行调用事件的目标容器;在解析结果中指示执行调用事件的目标容器的情况下,将目标容器的ID确定为容器ID;在解析结果中未指示执行调用事件的目标容器的情况下,确定执行调用事件的主机,获取执行调用事件的主机的预设ID,并将预设ID确定为容器ID。
[0013]根据本申请的另一方面,提供了一种风险检测装置。该装置包括:第一获取单元,用于获取云计算系统中的工作负载产生的调用事件,并解析调用事件,得到解析结果,根据解析结果确定用于执行调用事件的工作负载的容器ID;第二获取单元,用于获取引擎ID与容器ID相同的规则引擎,得到目标规则引擎,其中,规则引擎中包括检测规则,检测规则用于确定调用事件是否存在风险;发送单元,用于通过容器ID获取与调用事件相关联的执行日志,得到目标执行日志,并将目标执行日志发送至目标规则引擎中,其中,执行日志中记录有工作负载在执行调用事件时产生的日志数据;第一检测单元,用于获取目标规则引擎中的检测规则,通过检测规则对目标执行日志进行检测,得到调用事件的检测结果,其中,检测结果表征调用事件是否为风险事件。
[0014]根据本专利技术实施例的另一方面,还提供了一种计算机存储介质,计算机存储介质用于存储程序,其中,程序运行时控制计算机存储介质所在的设备执行一种风险检测方法。
[0015]根据本专利技术实施例的另一方面,还提供了一种电子设备,包含一个或多个处理器和存储器;存储器中存储有计算机可读指令,处理器用于运行计算机可读指令,其中,计算
机可读指令运行时执行一种风险检测方法。
[0016]通过本申请,采用以下步骤:获取云计算系统中的工作负载产生的调用事件,并解析调用事件,得到解析结果,根据解析结果确定用于执行调用事件的工作负载的容器ID;获取引擎ID与容器ID相同的规则引擎,得到目标规则引擎,其中,规则引擎中包括检测规则,检测规则用于确定调用事件是否存在风险;通过容器ID获取与调用事件相关联的执行日志,得到目标执行日志,并将目标执行日志发送至目标规则引擎中,其中,执行日志中记录有工作负载在执行调用事件时产生的日志数据;获取目标规则引擎中的检测规则,通过检测规则对目标执行日志进行检测,得到调用事件的检测结果,其本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种风险检测方法,其特征在于,包括:获取云计算系统中的工作负载产生的调用事件,并解析所述调用事件,得到解析结果,根据所述解析结果确定用于执行所述调用事件的工作负载的容器ID;获取引擎ID与所述容器ID相同的规则引擎,得到目标规则引擎,其中,所述规则引擎中包括检测规则,所述检测规则用于确定所述调用事件是否存在风险;通过所述容器ID获取与所述调用事件相关联的执行日志,得到目标执行日志,并将所述目标执行日志发送至所述目标规则引擎中,其中,所述执行日志中记录有工作负载在执行调用事件时产生的日志数据;获取所述目标规则引擎中的所述检测规则,通过所述检测规则对所述目标执行日志进行检测,得到所述调用事件的检测结果,其中,所述检测结果表征所述调用事件是否为风险事件。2.根据权利要求1所述的方法,其特征在于,获取引擎ID与所述容器ID相同的规则引擎,得到目标规则引擎包括:判断多个规则引擎中是否存在引擎ID与所述容器ID相同的规则引擎;在存在引擎ID与所述容器ID相同的规则引擎的情况下,将所述引擎ID对应的规则引擎确定为所述目标规则引擎;在不存在引擎ID与所述容器ID相同的规则引擎的情况下,生成初始规则引擎,从第一对照表中获取所述容器ID关联的工作负载,并获取用于检测所述关联的工作负载的检测规则,将获取的检测规则添加至所述初始规则引擎中,得到所述目标规则引擎,其中,所述第一对照表包括多个工作负载以及每个所述工作负载的属性信息。3.根据权利要求2所述的方法,其特征在于,从第一对照表中获取所述容器ID关联的工作负载包括:从所述第一对照表中获取所述容器ID对应的目标容器,并获取所述目标容器的属性信息;解析所述目标容器的属性信息,得到用于运行所述目标容器的目标主机以及所述目标主机所在的目标集群;将所述目标容器、所述目标主机以及所述目标集群确定为所述容器ID关联的工作负载。4.根据权利要求2所述的方法,其特征在于,获取用于检测所述关联的工作负载的检测规则包括:在所述关联的工作负载包括容器的情况下,从规则特征库中获取用于检测容器的第一检测规则,其中,所述规则特征库中存储有用于检测不同类型的工作负载的检测规则;和/或在所述关联的工作负载包括主机的情况下,从所述规则特征库中获取用于检测容器的第二检测规则;和/或在所述关联的工作负载包括集群的情况下,从所述规则特征库中获取用于检测集群的第三检测规则;将所述第一检测规则、第二检测规则、第三检测规则中的至少一个检测规则确定为用于检测所述关联的工作负载的检测规则。
5.根据权利要求2所述的方法,其特征在于,通过所述容器ID获取与所述调用事件相关联的执行日志,得到目标执行日志包括:获取所述容器ID对应的目标容器,并获取所述目标容器的...
【专利技术属性】
技术研发人员:叶文军,王真,崔应杰,蔡炜,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。