【技术实现步骤摘要】
本申请涉及信息安全,特别是涉及一种攻击链路还原方法、装置、计算机设备、存储介质和计算机程序产品。
技术介绍
1、随着信息安全技术的发展,出现了攻击链路还原技术,这个技术可以定位攻击入口、锁定内网跳板并且刻画出完整的攻击链路。目前的攻击链路还原方式主要通过分析被攻击系统的日志和网络流量等数据,对攻击者的行为和攻击路径进行追踪。
2、然而,目前在攻击链路还原过程中,边界网络流量分析设备的管理平台在应急处置过程中,由于无法快速定位失陷目标,所以出现难以有效地定位外部攻击者的攻击入口和攻击链路的问题。
技术实现思路
1、基于此,有必要针对上述无法快速定位失陷目标,所以出现难以有效地定位外部攻击者的攻击入口和攻击链路的技术问题,提供一种攻击链路还原方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
2、第一方面,本申请提供了一种攻击链路还原方法,包括:
3、在安全容器监测到容器集群中存在异常行为的情况下,确定存在异常行为的异常容器,并采集所述容器集群内所有容器之间的访问流量;所述安全容器设置于所述容器集群中;
4、基于所述访问流量,建立所述容器集群内的容器之间的访问关系链路图;
5、根据所述异常容器,查询所述访问关系链路图,确定对所述容器集群的攻击链路。
6、在其中一个实施例中,所述基于所述访问流量,建立所述容器集群内的容器之间的访问关系链路图,包括:确定所述容器集群内所有容器之间的访问流量中,每个访问流量对应
7、在其中一个实施例中,所述基于所述访问流量,建立所述容器集群内的容器之间的访问关系链路图,还包括:对所述访问流量进行筛选处理,得到筛选后访问流量;基于所述筛选后访问流量,建立所述容器集群内的容器之间的访问关系链路图。
8、在一个实施例中,所述根据所述异常容器,查询所述访问关系链路图,确定对所述容器集群的攻击链路,包括:根据所述异常容器,查询所述访问关系链路图,得到与所述异常容器相关的异常流量;确定所述异常流量的关联容器,根据所述关联容器相关的异常流量和所述访问关系链路图,确定对所述容器集群的攻击链路。
9、在一个实施例中,所述对容器集群的攻击链路中各个容器的确定方式为:根据预先为各个容器配置的应用标识,确定各个容器;上述应用标识为部署容器集群时配置得到,上述应用标识在容器id发生动态漂移时,保持不变。
10、在一个实施例中,所述容器集群部署于云平台上;所述方法还包括:在云平台的宿主机中部署防护探针;所述防护探针用于监控容器集群,在监控到容器集群出现异常的情况下,进行告警。
11、在一个实施例中,所述容器集群部署于云平台上;所述根据异常容器,查询访问关系链路图,确定对容器集群的攻击链路,包括:根据异常容器,查询访问关系链路图,确定在云平台上对容器集群的第一攻击链路;通过第一攻击链路中的负载均衡器,确定在云平台外对容器集群的第二攻击链路;所述负载均衡器用于实现云平台与云平台外的设备之间的通信;基于第一攻击链路和第二攻击链路,得到对容器集群的攻击链路。
12、第二方面,本申请还提供了一种攻击链路还原装置,包括:
13、采集模块,用于在安全容器监测到容器集群中存在异常行为的情况下,确定存在异常行为的异常容器,并采集容器集群内所有容器之间的访问流量;上述安全容器设置于容器集群中;
14、建立模块,用于基于访问流量,建立容器集群内的容器之间的访问关系链路图;
15、确认模块,用于根据异常容器,查询访问关系链路图,确定对容器集群的攻击链路。
16、第三方面,本申请还提供了一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现本申请实施例任一项所述的方法的攻击链路还原。
17、第四方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本申请实施例任一项所述的方法的攻击链路还原。
18、第五方面,本申请还提供了一种计算机程序产品,所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现本申请实施例任一项所述的方法的攻击链路还原。
19、上述攻击链路还原方法、装置、计算机设备、存储介质和计算机程序产品,在对攻击链路还原的过程中,具有以下有益效果:首先在安全容器监测到容器集群中存在异常行为的情况下,确定存在异常行为的异常容器,并采集容器集群内所有容器之间的访问流量;上述安全容器设置于容器集群中;然后基于访问流量,建立容器集群内的容器之间的访问关系链路图;最后根据异常容器,查询访问关系链路图,确定对容器集群的攻击链路。通过在容器集群中设置安全容器,监测容器集群中的异常行为,当监测到异常行为时,会确认具体发生异常行为的异常容器,并通过监测容器集群内所有容器之间的访问流量,建立容器之间的访问关系链路图,可以清晰的展示容器之间的访问关系,有效地定位外部攻击者的攻击入口和攻击路径,提高定位精度和定位效率,解决难以快速定位失陷目标的问题。
本文档来自技高网...【技术保护点】
1.一种攻击链路还原方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述访问流量,建立所述容器集群内的容器之间的访问关系链路图,包括:
3.根据权利要求1所述的方法,其特征在于,所述基于所述访问流量,建立所述容器集群内的容器之间的访问关系链路图,还包括:
4.根据权利要求1所述的方法,其特征在于,所述根据所述异常容器,查询所述访问关系链路图,确定对所述容器集群的攻击链路,包括:
5.根据权利要求1所述的方法,其特征在于,所述对所述容器集群的攻击链路中各个容器的确定方式为:
6.根据权利要求1-5任一项所述的方法,其特征在于,所述容器集群部署于云平台上;所述方法还包括:
7.根据权利要求1所述的方法,其特征在于,所述容器集群部署于云平台上;所述根据所述异常容器,查询所述访问关系链路图,确定对所述容器集群的攻击链路,包括:
8.一种攻击链路还原装置,其特征在于,所述装置包括:
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
11.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
...【技术特征摘要】
1.一种攻击链路还原方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述访问流量,建立所述容器集群内的容器之间的访问关系链路图,包括:
3.根据权利要求1所述的方法,其特征在于,所述基于所述访问流量,建立所述容器集群内的容器之间的访问关系链路图,还包括:
4.根据权利要求1所述的方法,其特征在于,所述根据所述异常容器,查询所述访问关系链路图,确定对所述容器集群的攻击链路,包括:
5.根据权利要求1所述的方法,其特征在于,所述对所述容器集群的攻击链路中各个容器的确定方式为:
6.根据权利要求1-5任一项所述的方法,其特征在于,所述容器集群部署于云平台上;所述方法还包括:
<...【专利技术属性】
技术研发人员:王倩,朱宏亮,袁航,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。