基于容器部署的主机入侵检测系统、方法及电子设备技术方案

本发明专利技术提供了一种基于容器部署的主机入侵检测系统、方法及电子设备，该系统包括：事件源模块、检测引擎模块和沙箱模块；事件源模块用于对事件进行监控并获取事件的属性信息；检测引擎模块用于基于属性信息确定事件的第一关联信息并将第一关联信息发送至沙箱模块中；还用于接收沙箱模块生成的第二关联信息并利用第二关联信息获取事件的入侵概率：沙箱模块用于根据第一关联信息将事件的名称空间切换至对应的容器中生成第二关联信息，并将第二关联信息发送至检测引擎模块中；通过该沙箱模块可以方便的支持主机的安全检测以及容器的安全检测，利用沙箱模块的抽象层能力使得HIDS开发时不用专门去维护支持容器的分支，降低了开发运维部署成本。发运维部署成本。发运维部署成本。

【技术实现步骤摘要】
基于容器部署的主机入侵检测系统、方法及电子设备


[0001]本专利技术涉及计算机
，尤其是涉及一种基于容器部署的主机入侵检测系统、方法及电子设备。

技术介绍

[0002]HIDS(Host
‑
based Intrusion Detection System)全程为：基于主机的入侵检测系统，用来检测计算机内部发生的事件，监视系统的动态行为，及时发现内部的入侵行为。随着云原生时代的到来，HIDS也随之发展到云上的检测，而容器作为云原生的重要载体，基于容器的攻击事件层出不穷，这也带动了云原生安全的发展。由于云原生时代，集群的规模通常会比较大，而且变更会比较频繁，经常会有计算节点的加入或删除。传统的HIDS系统需要逐一进行部署，部署工作复杂繁琐；其次，基于容器的安全检测也增加了不少的开发成本，很多传统的HIDS厂商在云原生时代适配容器安全时，通常使用原有的主机检测逻辑，对容器场景进行适配，相当于要维护两套系统。实际场景中，为了快速抢占市场，厂商在开发过程中直接进行基于容器的安全检测开发，虽然具备集群部署的能力，但是只提供了容器的安全检测，对于传统的主机安全检测则不处理。
[0003]现有技术中心的主机入侵检测系统为了适配容器通常会去做二次开发，将主机上的检测能力平移到容器里，需要维护两套代码，开发成本高；由于是主机部署，在云原生时代，面对大规模的集群显得很吃力，集群的变更也会带来部署维护的成本剧增，没有充分利用云原生集群快速部署的能力，导致传统的HIDS在开发时需要专门维护支持容器的分支，开发成本以及运维部署成本较高。

技术实现思路

[0004]有鉴于此，本专利技术的目的在于提供一种基于容器部署的主机入侵检测系统、方法及电子设备，通过该系统内置的沙箱模块可以方便的支持主机的安全检测以及容器的安全检测，利用沙箱模块提供的抽象层能力使得传统的HIDS在开发时不用专门去维护支持容器的分支，大大降低了开发成本以及运维部署成本。
[0005]第一方面，本专利技术实施例提供了一种基于容器部署的主机入侵检测系统，该系统包括：事件源模块、检测引擎模块和沙箱模块；检测引擎模块分别与事件源模块和沙箱模块相连接；其中，事件源模块，用于对事件进行监控，并获取已监控的事件的属性信息；检测引擎模块，用于基于事件源模块获取的属性信息确定事件的第一关联信息，并将第一关联信息发送至沙箱模块中；还用于接收沙箱模块生成的第二关联信息，并利用第二关联信息获取事件的入侵概率：沙箱模块，用于根据第一关联信息将事件的名称空间切换至对应的容器中进行处理，生成第二关联信息；并将第二关联信息发送至检测引擎模块中。
[0006]在一些实施方式中，事件源模块包括：事件监听模块、事件标注模块和进程启动模
块；其中，事件监听模块，用于对已发生的事件进行监控；事件标注模块，用于按照预设的标注格式对已监控的事件的属性信息进行标注；进程启动模块，用于根据事件的属性信息获取事件的类型，并按照事件的类型在预设的容器中启动进程。
[0007]在一些实施方式中，检测引擎模块包括：第一关联信息生成模块和入侵检测模块；其中，第一关联信息生成模块，用于根据属性信息获取的事件的父进程信息、访问信息、进程权限信息和端口信息生成事件的第一关联信息；入侵检测模块，用于将沙箱模块接收得到的第二关联信息与预设的入侵检测规则进行匹配得到匹配结果，并根据匹配结果确定事件的入侵概率。
[0008]在一些实施方式中，检测引擎模块还包括：关联信息检查模块；关联信息检查模块，用于按照事件的属性信息对第二关联信息和第一关联信息进行检查。
[0009]在一些实施方式中，沙箱模块包括：事件类型检查模块、事件类型判断模块和第二关联信息生成模块；其中，事件类型检查模块，用于接收检测引擎模块发出的第一关联信息，并对第一关联信息中的事件类型的格式进行检查；事件类型判断模块，用于对第一关联信息中的事件类型的内容进行判断，并根据判断结果生成容器的关联策略；第二关联信息生成模块，用于利用关联策略并根据事件的属性信息生成第二关联信息。
[0010]在一些实施方式中，沙箱模块，还包括：第一切换模块；其中，当事件类型为主机事件时，第一切换模块，用于将事件的名称空间切换至主机中。
[0011]在一些实施方式中，沙箱模块，还包括：第二切换模块；其中，当事件类型为非主机事件时，第二切换模块，用于将事件的名称空间切换至对应的容器中。
[0012]第二方面，本专利技术实施例提供了一种基于主机的入侵检测方法，该方法应用于上述第一方面提到的基于容器部署的主机入侵检测系统，基于容器部署的主机入侵检测系统至少包括：事件源模块、检测引擎模块和沙箱模块；该方法包括：控制事件源模块对事件进行监控，并获取已监控的事件的属性信息；控制检测引擎模块根据属性信息确定事件的第一关联信息，并将第一关联信息发送至沙箱模块；控制沙箱模块根据第一关联信息将事件的名称空间切换至对应的容器中生成第二关联信息，并将第二关联信息发送至检测引擎模块中；控制检测引擎模块接收第二关联信息，并利用第二关联信息获取事件的入侵概率。
[0013]第三方面，专利技术实施例还提供一种电子设备，包括存储器、处理器，存储器中存储
有可在处理器上运行的计算机程序，其中，处理器执行计算机程序时实现上述第二方面提到的基于主机的入侵检测方法的步骤。
[0014]第四方面，本专利技术实施例还提供一种可读存储介质，该可读存储介质上存储有计算机程序，其中，计算机程序被处理器运行时实现上述第二方面提到的基于主机的入侵检测方法的步骤。
[0015]本专利技术实施例带来了至少以下有益效果：本专利技术提供了一种基于容器部署的主机入侵检测系统、方法及电子设备，该系统包括：事件源模块、检测引擎模块和沙箱模块；检测引擎模块分别与事件源模块和沙箱模块相连接；具体的，事件源模块用于对事件进行监控，并获取已监控的事件的属性信息；检测引擎模块用于基于事件源模块获取的属性信息确定事件的第一关联信息，并将第一关联信息发送至沙箱模块中；还用于接收沙箱模块生成的第二关联信息，并利用第二关联信息获取事件的入侵概率：沙箱模块用于根据第一关联信息将事件的名称空间切换至对应的容器中进行处理，生成第二关联信息；并将第二关联信息发送至检测引擎模块中。在利用该基于容器部署的主机入侵检测系统进行入侵检测的过程中，通过系统内置的沙箱模块实现对底层检测对象(主机或容器)的抽象，而不用去关心具体的事件是发生在主机上还是容器里，只专注于业务本身即可，可以方便的支持主机的安全检测以及容器的安全检测，利用沙箱模块提供的抽象层能力使得传统的HIDS在开发时不用专门去维护支持容器的分支，大大降低了开发成本以及运维部署成本。
[0016]本专利技术的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义的确定，或者通过实施本专利技术的上述技术即可得知。
[0017]为使本专利技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施方式，并配合所附附图，作详细说明如下。
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于容器部署的主机入侵检测系统，其特征在于，所述系统包括：事件源模块、检测引擎模块和沙箱模块；所述检测引擎模块分别与所述事件源模块和所述沙箱模块相连接；其中，所述事件源模块，用于对事件进行监控，并获取已监控的所述事件的属性信息；所述检测引擎模块，用于基于所述事件源模块获取的所述属性信息确定所述事件的第一关联信息，并将所述第一关联信息发送至所述沙箱模块中；还用于接收所述沙箱模块生成的第二关联信息，并利用所述第二关联信息获取所述事件的入侵概率：所述沙箱模块，用于根据所述第一关联信息将所述事件的名称空间切换至对应的容器中进行处理，生成所述第二关联信息；并将所述第二关联信息发送至所述检测引擎模块中。2.根据权利要求1所述的基于容器部署的主机入侵检测系统，其特征在于，所述事件源模块包括：事件监听模块、事件标注模块和进程启动模块；其中，所述事件监听模块，用于对已发生的所述事件进行监控；所述事件标注模块，用于按照预设的标注格式对已监控的所述事件的属性信息进行标注；所述进程启动模块，用于根据所述事件的属性信息获取所述事件的类型，并按照所述事件的类型在预设的容器中启动进程。3.根据权利要求1所述的基于容器部署的主机入侵检测系统，其特征在于，所述检测引擎模块包括：第一关联信息生成模块和入侵检测模块；其中，所述第一关联信息生成模块，用于根据所述属性信息获取的所述事件的父进程信息、访问信息、进程权限信息和端口信息生成所述事件的第一关联信息；所述入侵检测模块，用于将所述沙箱模块接收得到的所述第二关联信息与预设的入侵检测规则进行匹配得到匹配结果，并根据所述匹配结果确定所述事件的入侵概率。4.根据权利要求3所述的基于容器部署的主机入侵检测系统，其特征在于，所述检测引擎模块还包括：关联信息检查模块；所述关联信息检查模块，用于按照所述事件的属性信息对所述第二关联信息和所述第一关联信息进行检查。5.根据权利要求1所述的基于容器部署的主机入侵检测系统，其特征在于，所述沙箱模块包括：事件类型检查模块、事件类型判断模块和第二...

【专利技术属性】
技术研发人员：贺毅，张福，程度，
申请(专利权)人：北京升鑫网络科技有限公司，
类型：发明
国别省市：