本申请提供了一种容器云平台网络安全防护方法、装置及电子设备,在检测到进入与容器云平台连接的网卡的网络报文数据包时,通过XDP程序拦截网卡中的所有网络报文数据包,并对每个网络报文数据包进行解析,得到每个网络报文数据包对应的应用数据;通过规则匹配引擎,对每个网络报文数据包对应的应用数据进行正则表达式匹配,确定每个网络报文数据包是否存在网络安全风险;针对存在网络安全风险的网络报文数据包,进行丢包操作并记录;将不存在网络安全风险的网络报文数据包发送至网络协议栈;本申请通过XDP程序和规则匹配引擎可以将进入网卡的网络报文数据拦截在用户态进行分析处理,减少占用CPU的处理时间,提高计算机的性能。的性能。的性能。
【技术实现步骤摘要】
容器云平台网络安全防护方法、装置及电子设备
[0001]本申请涉及软件
,尤其是涉及一种容器云平台网络安全防护方法、装置及电子设备。
技术介绍
[0002]随着容器云技术的快速发展,容器云安全越来约被重视,其中应用服务基于七层的WAF(Web Application Firewal,网站应用级入侵防御系统)网络安全防护也成为防护的重点。
[0003]目前大多WAF的安全防护主要是在网络报文数据包通过协议栈进入用户态进行处理,当WAF服务发现网络报文数据包存在威胁并对数据包进行丢弃等处理时,网络报文数据包已经在网络协议栈中进行了数据链路层的Mac头的处理、网络层IP头的处理和传输层网络包的解析等一系列操作,占用CPU的处理时间,影响计算机的性能。
技术实现思路
[0004]本申请的目的在于提供一种容器云平台网络安全防护方法、装置及电子设备,通过XDP(eXpress Data Path,数据包处理器)程序和规则匹配引擎可以将进入网卡的网络报文数据拦截在用户态进行分析处理,在确定无网络完全风险时再发送至网络协议栈,减少占用CPU的处理时间,提高计算机的性能。
[0005]第一方面,本申请实施例提供一种容器云平台网络安全防护方法,方法应用于容器云平台;容器云平台中加载有XDP程序、安装有规则匹配引擎;方法包括:在检测到进入与容器云平台连接的网卡的网络报文数据包时,通过XDP程序拦截网卡中的所有网络报文数据包,并对每个网络报文数据包进行解析,得到每个网络报文数据包对应的应用数据;通过规则匹配引擎,对每个网络报文数据包对应的应用数据进行正则表达式匹配,确定每个网络报文数据包是否存在网络安全风险;针对存在网络安全风险的第一网络报文数据包进行丢包操作并记录;将不存在网络安全风险的第二网络报文数据包发送至网络协议栈以进行后续操作。
[0006]在本申请较佳的实施方式中,上述通过XDP程序拦截网卡中的所有网络报文数据包的步骤,包括:以libbpf为基础库,参考指定头文件中定义的格式,拦截并获取网卡中的所有网络报文数据包。
[0007]在本申请较佳的实施方式中,上述指定头文件中定义的格式为:依次排列的MAC头、IP头、TCP头和应用数据。
[0008]在本申请较佳的实施方式中,上述容器云平台中预存有规则数据库;规则数据库中预存有WAF防护的正则表达式;通过规则匹配引擎,对每个网络报文数据包对应的应用数据进行正则表达式匹配的步骤,包括:通过规则匹配引擎,加载规则数据库中的WAF防护的正则表达式,根据加载的WAF防护的正则表达式对每个网络报文数据包对应的应用数据进行正则表达式匹配。
[0009]在本申请较佳的实施方式中,上述根据加载的WAF防护的正则表达式对每个网络报文数据包对应的应用数据进行正则表达式匹配的步骤,包括:根据加载的WAF防护的正则表达式,以块模式方式,对多个网络报文数据包分别对应的应用数据进行正则表达式匹配。
[0010]在本申请较佳的实施方式中,上述规则数据库是通过优化硬件流程对多个WAF防护的正则表达式进行转换而生成的。
[0011]在本申请较佳的实施方式中,上述针对存在网络安全风险的第一网络报文数据包进行丢包操作并记录的同时,还包括:针对第一网络报文数据包进行报警处理。
[0012]在本申请较佳的实施方式中,上述规则匹配引擎为Hyperscan正则匹配引擎。
[0013]第二方面,本申请实施例还提供一种容器云平台网络安全防护装置,装置应用于容器云平台;容器云平台中加载有XDP程序,安装有规则匹配引擎;装置包括:数据拦截解析模块,用于在检测到进入与容器云平台连接的网卡的网络报文数据包时,通过XDP程序拦截网卡中的所有网络报文数据包,并对每个网络报文数据包进行解析,得到每个网络报文数据包对应的应用数据;风险判断模块,用于通过规则匹配引擎,对每个网络报文数据包对应的应用数据进行正则表达式匹配,确定每个网络报文数据包是否存在网络安全风险;数据包处理模块,用于针对存在网络安全风险的第一网络报文数据包进行丢包操作并记录;将不存在网络安全风险的第二网络报文数据包发送至网络协议栈以进行后续操作。
[0014]第三方面,本申请实施例还提供一种容器云平台网络安全防护系统,系统包括:容器云平台和与容器云平台连接的网关;容器云平台中加载有XDP程序,安装有规则匹配引擎;容器云平台用于通过XDP程序、规则匹配引擎执行如第一方面所述的方法。
[0015]本申请实施例提供的一种容器云平台网络安全防护方法、装置及电子设备中,方法应用于容器云平台;容器云平台中加载有XDP程序、安装有规则匹配引擎;在检测到进入与容器云平台连接的网卡的网络报文数据包时,通过XDP程序拦截网卡中的所有网络报文数据包,并对每个网络报文数据包进行解析,得到每个网络报文数据包对应的应用数据;通过规则匹配引擎,对每个网络报文数据包对应的应用数据进行正则表达式匹配,确定每个网络报文数据包是否存在网络安全风险;针对存在网络安全风险的第一网络报文数据包进行丢包操作并记录;将不存在网络安全风险的第二网络报文数据包发送至网络协议栈以进行后续操作。本申请实施例通过XDP程序和规则匹配引擎可以将进入网卡的网络报文数据拦截在用户态进行分析处理,在确定无网络完全风险时再发送至网络协议栈,减少占用CPU的处理时间,提高计算机的性能。
附图说明
[0016]为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0017]图1为本申请实施例提供的一种现有技术中数据包处理路径与本申请实施例数据包处理路径的对比示意图;
[0018]图2为本申请实施例提供的一种容器云平台网络安全防护方法的流程图;
[0019]图3为本申请实施例提供的一种格式定义示意图;
[0020]图4为本申请实施例提供的一种容器云平台网络安全防护装置的结构框图;
[0021]图5为本申请实施例提供的一种容器云平台网络安全防护系统的结构示意图。
具体实施方式
[0022]下面将结合实施例对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范。
[0023]目前大多WAF的安全防护主要是在网络报文数据包通过协议栈进入用户态进行处理,如图1所示的原始网络包路径,网卡接收到网络报文数据后会直接发送至协议栈,然后在协议栈内进行网络报文数据包的分析,如数据链路层的Mac头的处理、网络层IP头的处理和传输层网络包的解析等一系列操作,这样会占用CPU的大量处理时间,影响计算机的性能。
[0024]基于此,本申请实施例提本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种容器云平台网络安全防护方法,其特征在于,所述方法应用于容器云平台;所述容器云平台中加载有XDP程序、安装有规则匹配引擎;所述方法包括:在检测到进入与所述容器云平台连接的网卡的网络报文数据包时,通过所述XDP程序拦截所述网卡中的所有网络报文数据包,并对每个所述网络报文数据包进行解析,得到每个所述网络报文数据包对应的应用数据;通过所述规则匹配引擎,对每个所述网络报文数据包对应的应用数据进行正则表达式匹配,确定每个所述网络报文数据包是否存在网络安全风险;针对存在网络安全风险的第一网络报文数据包进行丢包操作并记录;将不存在网络安全风险的第二网络报文数据包发送至网络协议栈以进行后续操作。2.根据权利要求1所述的方法,其特征在于,通过所述XDP程序拦截所述网卡中的所有网络报文数据包的步骤,包括:以libbpf为基础库,参考指定头文件中定义的格式,拦截并获取所述网卡中的所有网络报文数据包。3.根据权利要求2所述的方法,其特征在于,所述指定头文件中定义的格式为:依次排列的MAC头、IP头、TCP头和应用数据。4.根据权利要求1所述的方法,其特征在于,所述容器云平台中预存有规则数据库;所述规则数据库中预存有WAF防护的正则表达式;通过所述规则匹配引擎,对每个所述网络报文数据包对应的应用数据进行正则表达式匹配的步骤,包括:通过所述规则匹配引擎,加载所述规则数据库中的WAF防护的正则表达式,根据加载的所述WAF防护的正则表达式对每个所述网络报文数据包对应的应用数据进行正则表达式匹配。5.根据权利要求4所述的方法,其特征在于,根据加载的所述WAF防护的正则表达式对每个所述网络报文数据包对应的应用数据进行正则表达式匹配的步骤,包括:...
【专利技术属性】
技术研发人员:刘铸澎,王卓,尹琛,金龙,孙杨,李胜军,李冰,曾岸林,邵长宏,范文祥,周鹏辉,陈炳印,邢凯,赵美亮,
申请(专利权)人:阳光保险集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。