网络流量检测方法及装置制造方法及图纸

本申请公开一种网络流量检测方法及装置，涉及网络安全技术领域。本申请的方法应用于容器防火墙，所述容器防火墙设置于容器引擎的网络层和链路层之间，所述容器防火墙用于对链路层接收到的网络流量进行检测，本申请的方法包括：从链路层的流量端口通过预设钩子函数抓取所述网络流量，并对所述网络流量进行检测，得到检测结果；其中，所述预设钩子函数用于对所述流量端口实时监测，并在监测到网络流量时进行抓取；当所述检测结果正常时，将所述网络流量转发到所述网络层中，以便通过所述网络层传输到对应所述网络流量的服务容器中；当所述检测结果为异常时，拦截并丢弃所述网络流量。拦截并丢弃所述网络流量。拦截并丢弃所述网络流量。

【技术实现步骤摘要】
网络流量检测方法及装置


[0001]本申请涉及网络安全
，尤其涉及一种网络流量检测方法及装置。

技术介绍

[0002]随着网络攻击的不断增加，为了保证安全，对网络流量的检测也显得尤为重要。
[0003]目前，现有的网络流量检测方式一般是基于虚拟防火墙进行，尤其在以容器引擎中设置的虚拟防火墙尤为常见。在现有的网络流量检测过程中，通过利用虚拟防火墙构建的防护层作为整个容器引擎的最外层，也就是说在接收网络流量的过程中需要将网络流量中的端口信息修改为该虚拟防火墙的端口信息，然后进行检测，并在检测完成后再次将该网络流量的端口信息修改回原来的端口信息，也就是说在整个网络流量的检测过程中需要不断的调整该网络流量的路径，以适应添加了虚拟防火墙的容器引擎，这就导致在现有的网络流量检测过程中的处理过程较为复杂，严重影响了检测效率。

技术实现思路

[0004]本申请实施例提供一种网络流量检测方法及装置，主要目的在于实现一种网络流量检测方法，用以解决当前的网络流量检测过程中的处理过程较为复杂，影响检测效率的问题。
[0005]为解决上述技术问题，本申请实施例提供如下技术方案：
[0006]第一方面，本申请提供了一种网络流量检测方法，应用于容器防火墙，所述容器防火墙设置于容器引擎的网络层和链路层之间，所述容器防火墙用于对链路层接收到的网络流量进行检测，所述方法包括：
[0007]从链路层的流量端口通过预设钩子函数抓取所述网络流量，并对所述网络流量进行检测，得到检测结果；其中，所述预设钩子函数用于对所述流量端口实时监测，并在监测到网络流量时进行抓取；
[0008]当所述检测结果正常时，将所述网络流量转发到所述网络层中，以便通过所述网络层传输到对应所述网络流量的服务容器中；
[0009]当所述检测结果为异常时，拦截并丢弃所述网络流量。
[0010]可选的，所述容器防火墙包括流量接入端口；
[0011]所述从链路层的流量端口通过预设钩子函数抓取所述网络流量，包括：
[0012]对所述链路层的流量端口进行监测，并在监测到所述网络流量时，基于所述预设钩子函数通过所述流量接入接口对所述网络流量进行抓取。
[0013]可选的，所述容器防火墙还包括放行网桥和流量输出端口，其中，所述放行网桥用于将检测结果为正常的网络流量转发至所述流量输出端口，以便所述网络流量通过所述流量输出端口传输至所述容器防火墙之外；
[0014]所述当所述检测结果正常时，将所述网络流量转发到所述网络层中包括：
[0015]当所述检测结果为正常时，将所述网络流量从所述流量接入端口发送至所述放行
网桥；
[0016]通过所述放行网桥将所述网络流量传输至所述流量输出端口，并基于所述流量输出端口将所述网络流量转发到所述网络层中。
[0017]可选的，所述流量输出端口包括对内端口和对外端口，其中，所述对内端口用于接收所述容器防火墙内部的网络流量，所述对外端口用于向所述容器防火墙的外部的发送网络流量；
[0018]所述通过所述放行网桥将所述网络流量传输至所述流量输出端口，并基于所述流量输出端口将所述网络流量转发到所述网络层中包括：
[0019]通过所述放行网桥将所述网络流量传输至所述对内端口，并基于所述对内端口将所述网络流量发送到所述对外端口；
[0020]通过所述对外端口将所述网络流量发送到所述网络层的网桥中对应所述对外端口的对接端口中。
[0021]可选的，所述方法还包括：
[0022]当检测到所述容器防火墙存在转发服务异常时，控制所述容器防火墙执行屏蔽操作，以便在所述链路层的流量端口接收到所述网络流量后直接转发至所述网络层，其中，所述转发服务异常包括转发进程异常和转发流量异常，所述转发流量异常用于表征在所述流量接入端口接收到心跳报文后，在预设时间段内未在所述流量输出端口检测到所述心跳报文；所述转发进程异常用于表征控制所述容器防火墙进行转发的进程处于挂死状态或退出状态。
[0023]可选的，所述方法还包括：
[0024]当接收到防火墙关闭指令时，基于所述防火墙关闭指令，控制所述容器防火墙执行屏蔽操作，以便在所述链路层的流量端口接收到所述网络流量后直接转发至所述网络层。
[0025]可选的，所述控制所述容器防火墙执行屏蔽操作包括：
[0026]通过防火墙控制指令中止所述容器防火墙的流量接入端口与所述链路层的流量端口之间的连接；
[0027]控制所述链路层的流量端口与所述网络层的网桥建立通信连接，并中止所述流量输出端口中对外端口与所述网络层的网桥中对接端口之间的连接。
[0028]第二方面，本申请还提供一种网络流量检测装置，应用于容器防火墙，所述容器防火墙设置于容器引擎的网络层和链路层之间，所述容器防火墙用于对链路层接收到的网络流量进行检测，所述装置包括：
[0029]检测单元，用于从链路层的流量端口通过预设钩子函数抓取所述网络流量，并对所述网络流量进行检测，得到检测结果；其中，所述预设钩子函数用于对所述流量端口实时监测，并在监测到网络流量时进行抓取；
[0030]转发单元，用于当所述检测结果正常时，将所述网络流量转发到所述网络层中，以便通过所述网络层传输到对应所述网络流量的服务容器中；
[0031]执行单元，用于当所述检测结果为异常时，拦截并丢弃所述网络流量。
[0032]可选的，所述容器防火墙包括流量接入端口；
[0033]所述检测单元，具体用于对所述链路层的流量端口进行监测，并在监测到所述网
络流量时，基于所述预设钩子函数通过所述流量接入接口对所述网络流量进行抓取。
[0034]可选的，所述容器防火墙还包括放行网桥和流量输出端口，其中，所述放行网桥用于将检测结果为正常的网络流量转发至所述流量输出端口，以便所述网络流量通过所述流量输出端口传输至所述容器防火墙之外；
[0035]所述转发单元，包括：
[0036]发送模块，用于当所述检测结果为正常时，将所述网络流量从所述流量接入端口发送至所述放行网桥；
[0037]转发模块，用于通过所述放行网桥将所述网络流量传输至所述流量输出端口，并基于所述流量输出端口将所述网络流量转发到所述网络层中。
[0038]可选的，所述流量输出端口包括对内端口和对外端口，其中，所述对内端口用于接收所述容器防火墙内部的网络流量，所述对外端口用于向所述容器防火墙的外部的发送网络流量；
[0039]所述转发模块包括：
[0040]第一发送子模块，用于通过所述放行网桥将所述网络流量传输至所述对内端口，并基于所述对内端口将所述网络流量发送到所述对外端口；
[0041]第二发送子模块，用于通过所述对外端口将所述网络流量发送到所述网络层的网桥中对应所述对外端口的对接端口中。
[0042]可选的，所述装置还包括：
[0043]屏蔽控制单元，用于当检测到所述容器防火墙存本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络流量检测方法，其特征在于，应用于容器防火墙，所述容器防火墙设置于容器引擎的网络层和链路层之间，所述容器防火墙用于对链路层接收到的网络流量进行检测，所述方法包括：从链路层的流量端口通过预设钩子函数抓取所述网络流量，并对所述网络流量进行检测，得到检测结果；其中，所述预设钩子函数用于对所述流量端口实时监测，并在监测到网络流量时进行抓取；当所述检测结果正常时，将所述网络流量转发到所述网络层中，以便通过所述网络层传输到对应所述网络流量的服务容器中；当所述检测结果为异常时，拦截并丢弃所述网络流量。2.根据权利要求1所述的方法，其特征在于，所述容器防火墙包括流量接入端口；所述从链路层的流量端口通过预设钩子函数抓取所述网络流量，包括：对所述链路层的流量端口进行监测，并在监测到所述网络流量时，基于所述预设钩子函数通过所述流量接入接口对所述网络流量进行抓取。3.根据权利要求2所述的方法，其特征在于，所述容器防火墙还包括放行网桥和流量输出端口，其中，所述放行网桥用于将检测结果为正常的网络流量转发至所述流量输出端口，以便所述网络流量通过所述流量输出端口传输至所述容器防火墙之外；所述当所述检测结果正常时，将所述网络流量转发到所述网络层中包括：当所述检测结果为正常时，将所述网络流量从所述流量接入端口发送至所述放行网桥；通过所述放行网桥将所述网络流量传输至所述流量输出端口，并基于所述流量输出端口将所述网络流量转发到所述网络层中。4.根据权利要求3所述的方法，其特征在于，所述流量输出端口包括对内端口和对外端口，其中，所述对内端口用于接收所述容器防火墙内部的网络流量，所述对外端口用于向所述容器防火墙的外部发送网络流量；所述通过所述放行网桥将所述网络流量传输至所述流量输出端口，并基于所述流量输出端口将所述网络流量转发到所述网络层中包括：通过所述放行网桥将所述网络流量传输至所述对内端口，并基于所述对内端口将所述网络流量发送到所述对外端口；通过所述对外端口将所述网络流量发送到所述网络层的网桥中对应所述对外端口的对接端口中。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：当检测到所述容器防火墙存在转发服务异...

【专利技术属性】
技术研发人员：马鑫宇，
申请(专利权)人：奇安信科技集团股份有限公司，
类型：发明
国别省市：