CN111813497A - 一种容器环境异常检测的方法、装置、介质及计算机设备 - Google Patents
一种容器环境异常检测的方法、装置、介质及计算机设备 Download PDFInfo
- Publication number
- CN111813497A CN111813497A CN202010613033.9A CN202010613033A CN111813497A CN 111813497 A CN111813497 A CN 111813497A CN 202010613033 A CN202010613033 A CN 202010613033A CN 111813497 A CN111813497 A CN 111813497A
- Authority
- CN
- China
- Prior art keywords
- container
- service
- process data
- detection model
- mirror image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 161
- 238000000034 method Methods 0.000 claims abstract description 300
- 230000008569 process Effects 0.000 claims abstract description 251
- 230000002159 abnormal effect Effects 0.000 claims abstract description 38
- 238000004590 computer program Methods 0.000 claims description 16
- 230000006399 behavior Effects 0.000 claims description 15
- 230000007613 environmental effect Effects 0.000 claims description 9
- 238000013499 data model Methods 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 13
- 230000005856 abnormality Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000003993 interaction Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000002955 isolation Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000008447 perception Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000006378 damage Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 239000000725 suspension Substances 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供了一种容器环境异常检测的方法、装置、介质及计算机设备,方法包括:针对容器集群中的宿主机节点,获取各宿主机节点中所有业务容器正常运行时的历史进程数据;针对每个镜像,基于镜像对应的各所述业务容器内的历史进程数据建立检测模型;当接收到各业务容器的当前进程数据时,基于对应的述检测模型对当前进程数据进行检测,判断各业务容器环境是否出现异常;本申请针对每一个镜像,因镜像创建的容器有多个,因此进程数据是多元化的,进而可确保检测模型的检测精度;并且在容器集群中,镜像的数量远远小于业务容器的数量,因此相比现有技术中对每个容器进行建模的方式,本申请对镜像进行建模可以大幅降低建模成本。
Description
技术领域
本申请属于网络安全技术领域,尤其涉及一种容器环境异常检测的方法、装置、介质及计算机设备。
背景技术
容器是一种允许在资源隔离的环境下,运行应用程序和其依赖项的、轻量的、操作***级别的虚拟化技术。容器技术通过共享宿主机操作***内核,实现轻量的资源虚拟化和隔离,近年来在DevOps、微服务等领域有着广泛的应用。
虽然容器技术备受欢迎,在多个领域得到广泛使用,但其背后的安全问题不容忽视。容器运行是否安全直接关系到容器内部业务能否符合预期地持续稳定运行;因此如何及时准确发现容器环境内部的异常威胁并进行告警和处置,是容器平台开发运维和应急响应团队必须考虑的问题。
一般来说,无论是传统主机上的终端异常检测还是虚拟化方案中的虚拟机异常检测,通常是以主机或虚拟机为单位进行建模和检测。同样的,在容器环境和容器集群环境中,现有技术依然是以容器为基本单位进行建模和检测。但是因为在容器集群的环境中,生命周期短、生命周期内的行为较为简单,导致行为数据比较单一,因此建立的检测模型的检测精度不能得到确保;并且在集群环境中,容器数量较多,需要为每个容器均建立一个检测模型,建模成本极高。
发明内容
针对现有技术存在的问题,本申请实施例提供了一种容器环境异常检测的方法、装置、介质及计算机设备,用于解决现有技术中对容器环境异常检测时,检测精度得不到确保且建模成本较高的技术问题。
本申请的第一方面,提供一种容器环境异常检测的方法,所述方法包括:
针对容器集群中的宿主机节点,获取各所述宿主机节点中所有业务容器正常运行时的历史进程数据;
针对每个镜像,基于所述镜像对应的各所述业务容器内的历史进程数据建立检测模型;所述镜像用于创建所述业务容器,每个所述镜像对应多个所述业务容器,每个所述镜像对应一个所述检测模型;
当接收到各所述业务容器的当前进程数据时,基于对应的所述检测模型对所述当前进程数据进行检测,判断各所述业务容器环境是否出现异常。
可选的,所述获取各所述宿主机节点中所有业务容器正常运行时的历史进程数据,包括:
在各所述宿主机节点中创建对应的特权容器,所述特权容器中包括数据采集器;
将各套接字文件挂载至对应的所述特权容器中;所述套接字文件为被容器守护进程监听的文件,每个所述宿主机节点中存在一个所述容器守护进程,所述容器守护进程用于管理所述宿主机节点中所有业务容器的生命周期;
基于预设的采集周期,通过各所述数据采集器向对应的所述套接字文件发送数据采集指令,以使得所述套接字文件将所述数据采集指令发送至对应的所述容器守护进程;
接收由各所述容器守护进程发送的对应所述宿主节点中运行的所有业务容器正常运行时的历史进程数据。
可选的,所述针对每个镜像,基于所述镜像对应的各所述业务容器内的历史进程数据建立检测模型,包括:
以所述镜像为基准对各所述业务容器内的历史进程数据进行归类;
针对每个所述镜像,通过控制器将归类后的所述历史进程数据写入预先建立的数据库模型表中;所述数据模型表中的每个数据项为一个所述检测模型;其中,所述控制器以容器形式部署在所述容器集群中。
可选的,所述针对每个镜像,基于所述镜像对应的各所述业务容器内的历史进程数据建立检测模型后,包括:
针对每个所述镜像,当在预设的自学习时间段接收到所述镜像对应的业务容器的新增进程数据时,根据所述新增进程数据更新所述对应的检测模型。
可选的,所述基于对应的所述检测模型对所述当前进程数据进行检测,判断各所述业务容器环境是否出现异常,包括:
将所述当前进程数据与所述对应的检测模型中的进程列表进行匹配;
若匹配结果为所述当前进程数据的内存资源使用率超出所述检测模型中的内存资源使用率阈值;或者,
若所述匹配结果为所述当前进程数据的占用的CPU超出所述检测模型中的CPU阈值时,确定所述业务容器内资源使用异常。
可选的,所述方法还包括:
若所述匹配结果为所述当前进程打开未知文件;或者,
若所述匹配结果为所述业务容器内创建未知进程数时,确定所述业务容器内进程行为异常。
可选的,所述方法还包括:
若所述匹配结果为存在黑名单进程;或者,
若所述匹配结果为所述当前进程以未知用户身份运行;或者,
若所述匹配结果为所述当前进程从未知路径启动时,则确定所述业务容器内进程属性异常。
本申请的第二方面,提供一种容器环境异常检测的装置,所述装置包括:
获取模块,用于针对容器集群中的宿主机节点,获取各所述宿主机节点中所有业务容器正常运行时的历史进程数据;
建立模块,用于针对每个镜像,基于所述镜像对应的各所述业务容器内的历史进程数据建立检测模型;所述镜像用于创建所述业务容器,每个所述镜像对应多个所述业务容器,每个所述镜像对应一个所述检测模型;
检测模块,用于当接收到各所述业务容器的当前进程数据时,基于对应的所述检测模型对所述当前进程数据进行检测,判断各所述业务容器环境是否出现异常。
本申请的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面中任一项所述的方法。
本申请的第四方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面中任一项所述的方法。
本申请提供了一种容器环境异常检测的方法、装置、介质及计算机设备,因容器是由镜像创建的,一个镜像对应多个业务容器;因此本申请针对每一个镜像,基于来自该镜像中的所有业务容器的进程数据建立对应的检测模型,这样获得的进程数据是多元化的,所以检测模型可以充分刻画出与该镜像相对应的所有业务容器在业务正常运行期间的行为特征,进而可确保检测模型的检测精度;并且在容器集群中,镜像的数量远远小于业务容器的数量,因此相比现有技术中对每个容器进行建模的方式,本申请对镜像进行建模可以大幅降低建模成本。
附图说明
图1为本申请实施例提供的容器环境异常检测的方法流程示意图;
图2为本申请实施例提供的容器环境异常检测的装置架构示意图;
图3为本申请实施例提供的Kubernetes***的容器集群示意图;
图4为本申请实施例提供的检测模型建立的流程示意图;
图5为本申请实施例提供的容器环境异常检测流程示意图;
图6为本申请实施例提供的容器环境异常检测的装置结构示意图;
图7为本申请实施例提供的容器环境异常检测的计算机设备结构示意图;
图8为本申请实施例提供的容器环境异常检测的介质结构示意图。
具体实施方式
为了解决现有技术中对容器环境异常检测时,检测精度得不到确保且建模成本较高的技术问题,本申请提供了一种容器环境异常检测的方法、装置、介质及计算机设备,方法包括:针对容器集群中的宿主机节点,获取各所述宿主机节点中所有业务容器正常运行时的历史进程数据;针对每个镜像,基于所述镜像对应的各所述业务容器内的历史进程数据建立检测模型;所述镜像用于创建所述业务容器,每个所述镜像对应多个所述业务容器,每个所述镜像对应一个所述检测模型;当接收到各所述业务容器的当前进程数据时,基于对应的所述检测模型对所述当前进程数据进行检测,判断各所述业务容器环境是否出现异常。
下面通过附图及具体实施例对本申请的技术方案做进一步的详细说明。
实施例一
本实施例提供一种容器环境异常检测的方法,如图1所示,方法包括:
S110,针对容器集群中的宿主机节点,采集各宿主机节点中所有业务容器正常运行时的历史进程数据;
在分布式***中,存在多台宿主机,一个宿主机为一个节点,每个宿主机节点中部署有多个容器,形成容器集群。
为了确保每个宿主机节点的处理效率,容器在创建完成之后,由分布式***的后台管理模块进行统一部署;后台管理单元根据每个宿主机节点的当前资源占用率来确定最优的部署方式。这样,即使由同一个镜像创建的不同容器,也可能被部署在不同的宿主机节点中。
针对容器集群中的宿主机节点,采集各宿主机节点中所有业务容器正常运行时的历史进程数据,以能根据历史进程数据建立检测模型。
具体的,采集各宿主机节点中所有业务容器正常运行时的历史进程数据,实现如下:
在各宿主机节点中创建对应的特权容器,如图2所示,若宿主机节点包括N个,那么特权容器也包括N个;特权容器包括:数据采集器;数据采集器包括:采集模块、定时模块及第一消息中心模块;采集模块用于采集业务容器的历史进程数据,定时模块用于设定采集周期;第一消息中心模块用于基于消息队列的通信模式与控制器进行数据交互,比如:将采集到的历史进程数据发送至控制器。
数据采集器以容器的形式部署在每个宿主机节点中,其在容器集群中与***中其他的业务容器、***容器等处于同等的地位,方便***的后台管理单元能够采用与其他容器同样的管理方式对特权容器进行管理,比如对特权容器进行部署、编排及调度等。并且,为了减小对业务容器的影响,特权容器在容器集群中位于一个独立的命名空间中,实现与业务环境的隔离。
为了采集到每个宿主机节点中所有容器的历史进程数据,将各套接字文件挂载至对应的特权容器中,每个特权容器中均挂载有一个套接字文件。套接字文件为被容器守护进程监听的本地文件,每个宿主机节点中存在一个容器守护进程,容器守护进程用于管理监控宿主机节点中所有业务容器的生命周期(比如容器的创建、暂停、继续及销毁等);其中,套接字文件可包括unixsocket。
基于定时模块中设定的采集周期,各采集模块向对应的套接字文件发送数据采集指令,套接字文件将数据采集指令发送至对应的容器守护进程中;容器守护进程接收到数据采集指令后,基于数据采集指令查询并获得对应容器的历史进程数据,并将对应容器的历史进程数据发送至对应的套接字文件。
套接字文件接收到对应容器的历史进程数据后,将历史进程数据发送至对应的采集器中,这样,各采集器相当于接收到由各容器守护进程发送的对应宿主节点中运行的所有业务容器正常运行时的历史进程数据。
本申请通过套接字文件进行数据交互的方式,数据采集器无需侵入到业务容器内部便可实现数据的采集。这种无感知的采集方式可以避免业务容器被入侵,减小对业务容器内部的影响。
值得注意的是,容器守护进程不但可以监控业务容器的进程数据,还可以监控特权容器的进程数据。那么数据采集器获取到的历史进程数据既可以包括业务容器内的历史进程数据,也可以包括特权容器内的历史进程数据。
为了能更好地理解采集器无感知的获得历史进程数据的方式,这里以容器编排***Kubernetes为例进行说明:
Kubernetes***包括一个宿主机主节点和多个宿主机从节点;编排调度的单位pod,一个pod包括一个或多个容器,不同的pod构成更高逻辑层次的控制器,比如:Deployment、DaemonSet、StatefulSet等,这些控制器在Kubernetes***内统称为资源。
资源在逻辑上以命名空间为划分界限,不同功能的资源划分在不同的命名空间中。参考图3,比如:与Kubernetes自身相关的所有资源位于kube-system命名空间;在默认配置的情况下,用户自己的业务相关资源位于Default命名空间或自定义业务命名空间;业务容器根据业务类型的不同位于不同的命名空间,比如业务类型A的业务容器位于业务1命名空间,业务类型B的业务容器位于业务2命名空间;而特权容器和控制器位于安全容器命名空间。不同命名空间的资源之间没有关系,处于相互隔离状态。
图3中的每个特权容器中挂载有套接字文件,特权容器中的数据采集器通过套接字文件与宿主机节点的容器守护进程DockerDaemon进行交互,获得该宿主机节点上所有业务容器的历史进程数据,这样即避免了数据采集器对业务容器的侵入。
S111,针对每个镜像,基于镜像对应的各业务容器内的历史进程数据建立检测模型;镜像用于创建业务容器,每个所述镜像对应多个业务容器,每个所述镜像对应一个检测模型;
继续参考图2,当采集模块采集到各个业务容器的历史进程数据后,第一消息中心模块将各业务容器的历史进程数据发送至控制器,控制器基于镜像对应的各业务容器内的历史进程数据建立检测模型。其中,控制器以容器形式部署在容器集群中;如图3所示,控制器与特权容器位于同一个命名空间中。
继续参考图2,控制器包括:第二消息中心模块、任务派发模块、检测模块、及告警生成模块。第二消息中心模块用于以消息队列的通信模式与数据采集器进行数据交互;任务派发模块用于根据接收到的消息(比如当前进程数据)为参数调用检测模块;检测模块用于控制检测模型自学习以及进行异常检测;告警生成模块用于发布告警信息。
其中,每个业务容器内的历史进程数据可如表1所示。
表1
从表1中可以看出,每个业务容器的历史进程数据包括:容器名称,容器ID,镜像ID,镜像名称、进程名、进程命令行语句、进程所属用户、进程打开文件、进程ID(PID)、父进程ID、CPU使用率及内存使用率。
因每个业务容器的生命周期比较短,单个业务容器的行为数据也较为单一,因此为了确保检测模型的精度,在建立检测模型时,控制器以镜像为基准对各业务容器内的历史数据进程数据进行归类,针对每个镜像,控制器将归类后的历史进程数据写入预先建立的数据库模型表中;数据模型表中的每个数据项为一个检测模型。其中,镜像用于创建业务容器,每个镜像对应多个业务容器,每个镜像对应一个检测模型。
虽然同一镜像创建的不同容器其具体的行为进程数据可能会有差异,但是行为模式是类似的,因此以镜像为单位对各容器的历史进程数据进行归类,可以提高进程数据的多元化及复杂度,当基于归类后的进行数据建立检测模型时,更有利于提高检测模型的检测精度。
参考图4,比如镜像A对应的业务容器包括:容器A1……An;镜像B对应的业务容器包括:容器B1……Bn等等。那么针对镜像A,归类后的历史进程数据包括容器A1……An内的历史进程数据;针对镜像B,归类后的历史进程数据包括容器B1……Bn内的历史进程数据。那么针对镜像A,是利用归类后的容器A1……An内的历史进程数据建立镜像A对应的检测模型。单个检测模型可如表2所示。
表2
从表2可以看出,检测模型包括:模型数据项、数据项类型及数据项的值;模型数据项包括:镜像标识ID、镜像名称、进程列表、模型状态及模型创建时间;其中,进程列表即为该镜像对应的所有业务容器内的进程。
需要说明的是,当控制器接收到针对某个镜像归类后的历史进程数据时,需判断是否存在该镜像对应的检测模型,若不存在,则自动建立对应的检测模型。
作为一种可选的实施,针对每个镜像,基于镜像对应的各所述业务容器内的历史进程数据建立检测模型后,包括:
针对每个镜像,当在预设的自学习时间段接收到镜像对应的业务容器的新增进程数据时,根据新增进程数据更新对应的检测模型,以能使得检测模型进行学习,提高检测模型的检测精度。其中,自学习时间段可以预先设定,比如可以为一个月或一周等。在自学习时间内,检测模型的模型状态为“训练中”;自学习结束后,检测模型的模型状态为“已就绪”,当检测模型的模型状态为“已就绪”时,可以对进程数据进行自动检测。
S112,当接收到各所述业务容器的当前进程数据时,基于对应的所述检测模型对所述当前进程数据进行检测,判断各所述业务容器环境是否出现异常。
检测模型建立好之后,对于每个进程数据来说,检测模型中记录有每个进程数据的历史最大CPU使用率(CPU使用率阈值)、内存资源使用率阈值、该进程打开的文件名称、用户身份及启动路径等信息。当控制器接收由到数据采集器发送的各业务容器的当前进程数据时,基于对应的检测模型对当前进程数据进行检测,判断各业务容器环境是否出现异常。其中,检测流程可参考图5。
作为一种可选的实施例,基于对应的检测模型对当前进程数据进行检测,判断各业务容器环境是否出现异常,包括:
将当前进程数据与对应的检测模型中的进程列表进行匹配;
若匹配结果为当前进程数据的内存资源使用率超出检测模型中该进程的内存资源使用率阈值;或者,若所述匹配结果为当前进程数据占用的CPU超出检测模型中该进程的CPU阈值时,确定业务容器内资源使用异常。
举例来说,对于业务容器A的进程f来说,检测模型中进程f的内存资源使用率阈值为5%,进程f的CPU使用率阈值为3%;若进程f在当前时刻的内存使用率阈值为6%,或者进程f在当前时刻的内存使用率阈值为4%时,确定业务容器A内资源使用异常。
同样的,若匹配结果为当前进程打开未知文件;或者,
若匹配结果为业务容器内创建未知进程数时,确定业务容器内进程行为异常。
若匹配结果为存在黑名单进程;或者,
若匹配结果为当前进程以未知用户身份运行;或者,
若匹配结果为当前进程从未知路径启动时,则确定业务容器内进程属性异常。
可选的,基于对应的检测模型对所述当前进程数据进行检测,判断各业务容器环境是否出现异常后,还包括:
若确定业务容器环境出现异常,则控制器基于检测结果实时生成并向web界面推送告警信息,管理人员能够根据告警信息了解异常并定位异常所在的集群宿主机节点、容器及容器内进程,以能及时维护***。其中,告警信息可如表3所示。
表3
本申请提供的容器环境异常检测的方法,因容器是由镜像创建的,一个镜像对应多个业务容器;因此本申请针对每一个镜像,基于来自该镜像中的所有业务容器的进程数据建立对应的检测模型,这样获得的进程数据是多元化的,所以检测模型可以充分刻画出与该镜像相对应的所有业务容器在业务正常运行期间的行为特征,进而可确保检测模型的检测精度;并且在容器集群中,镜像的数量远远小于业务容器的数量,因此相比现有技术中对每个容器进行建模的方式,本申请对镜像进行建模可以大幅降低建模成本。并且,采集器和控制器均是以容器形式部署在集群中的,无需新增单独的管理机制,后台管理模块可采用与其他容器同样的管理方式对采集器和控制器所在的容器进行管理;为了减小对业务容器的影响,特权容器在容器集群中位于一个独立的命名空间中,实现与业务环境的隔离,避免影响业务容器的正常运行。
基于同样的发明构思,本申请还提供一种容器环境异常检测的装置,详见实施例二。
实施例二
本实施例提供一种容器环境异常检测装置,如图6所示,装置包括:采集模块61、建立模块62及异常检测模块63;其中,
获取模块61,用于针对容器集群中的宿主机节点,采集各宿主机节点中正常运行的所有业务容器的历史进程数据;
建立模块62,用于针对每个镜像,基于镜像对应的各业务容器内的历史进程数据建立检测模型;所述镜像用于创建业务容器,每个镜像对应多个业务容器,每个镜像对应一个检测模型;
异常检测模块63,用于当接收到各业务容器的当前进程数据时,基于对应的检测模型对当前进程数据进行检测,判断各业务容器环境是否出现异常。
在分布式***中,存在多台宿主机,一个宿主机为一个节点,每个宿主机节点中部署有多个容器,形成容器集群。
为了确保每个宿主机节点的处理效率,容器在创建完成之后,由分布式***的后台管理模块对容器进行统一部署;后台管理单元根据每个宿主机节点的当前资源占用率来确定最优的部署方式。这样,即使由同一个镜像创建的不同容器,也可能被部署在不同的宿主机节点中。
针对容器集群中的宿主机节点,采集各宿主机节点中所有业务容器正常运行时的历史进程数据,以能根据历史进程数据建立检测模型。
具体的,获取模块61采集各宿主机节点中运行的所有业务容器的历史进程数据,实现如下:
在各宿主机节点中创建对应的特权容器,如图2所示,特权容器中包括:数据采集器;数据采集器包括:采集模块、定时模块及第一消息中心模块;采集模块用于采集业务容器的历史进程数据,定时模块用于设定采集周期;第一消息中心模块用于基于消息队列的通信模式与控制器进行数据交互,比如:将采集到的历史进程数据发送至控制器。
数据采集器以容器的形式部署在每个宿主机节点中,其在容器集群中与***中其他的业务容器、***容器等处于同等的地位,方便***的后台管理单元能够采用与其他容器同样的管理方式对特权容器进行管理,比如对特权容器进行部署、编排及调度等。并且,为了减小对业务容器的影响,特权容器在容器集群中位于一个独立的命名空间中,实现与业务环境的隔离。
为了采集到每个宿主机节点中所有容器的历史进程数据,将各套接字文件挂载至对应的特权容器中,每个特权容器中均挂载有一个套接字文件。套接字文件为被容器守护进程监听的本地文件,每个宿主机节点中存在一个容器守护进程,容器守护进程用于管理宿主机节点中所有业务容器的生命周期(比如容器的创建、暂停、继续及销毁等);其中,套接字文件可包括unixsocket。
基于定时模块中设定的采集周期,各采集模块向对应的套接字文件发送数据采集指令,套接字文件将数据采集指令发送至对应的容器守护进程中;容器守护进程接收到数据采集指令后,基于数据采集指令获得对应容器的历史进程数据,并将对应容器的历史进程数据发送至对应的套接字文件。
套接字文件接收到对应业务容器的历史进程数据后,将历史进程数据发送至对应的数据采集器中,这样,各获取模块61相当于接收到由各容器守护进程发送的对应宿主节点中运行的所有业务容器的历史进程数据。
本申请通过套接字文件进行数据交互的方式,采集模块无需侵入到业务容器内部便可实现数据的采集。这种无感知的采集方式可以避免业务容器被入侵,减小对业务容器内部的影响。
值得注意的是,容器守护进程不但可以监控业务容器的进程数据,还可以监控特权容器的进程数据。那么采集模块获取到的历史进程数据既可以包括业务容器内的历史进程数据,也可以包括特权容器内的历史进程数据。
为了能更好地理解采集器无感知的获得历史进程数据的方式,这里以容器编排***Kubernetes为例进行说明:
Kubernetes***包括一个宿主机主节点和多个宿主机从节点;编排调度的单位pod,一个pod包括一个或多个容器,不同的pod构成更高逻辑层次的控制器,比如:Deployment、DaemonSet、StatefulSet等,这些控制器在Kubernetes***内统称为资源。
资源在逻辑上以命名空间为划分界限,不同功能的资源划分在不同的命名空间中。参考图3,比如:与Kubernetes自身相关的所有资源位于kube-system命名空间;在默认配置的情况下,用户自己的业务相关资源位于Default命名空间或自定义业务命名空间;业务容器根据业务类型的不同位于不同的命名空间,比如业务类型A的业务容器位于业务1命名空间,业务类型B的业务容器位于业务2命名空间;而特权容器和控制器位于安全容器命名空间。不同命名空间的资源之间没有关系,处于相互隔离状态。
图3中的每个特权容器中挂载有套接字文件,特权容器中的数据采集器通过套接字文件与宿主机节点的容器守护进程DockerDaemon进行交互,获得该宿主机节点上所有业务容器的历史进程数据,这样即避免了采集模块对业务容器的侵入。
继续参考图2,当获取模块61模块获取到各个业务容器的历史进程数据后,将各业务容器的历史进程数据发送至控制器,建立模块62基于镜像对应的各业务容器内的历史进程数据建立检测模型。其中,建立模块62可以由控制器实现,控制器以容器形式部署在容器集群中;如图3所示,控制器与特权容器位于同一个命名空间中。
继续参考图2,控制器包括:第二消息中心模块、任务派发模块、检测模块、及告警生成模块。第二消息中心模块用于以消息队列的通信模式与数据采集器进行数据交互;任务派发模块用于根据接收到的消息(比如当前进程数据)为参数调用检测模块;检测模块用于控制检测模型自学习以及进行异常检测;告警生成模块用于发布告警信息。其中,每个业务容器内的历史进程数据可如表1所示。
表1
从表1中可以看出,每个业务容器的历史进程数据包括:容器名称,容器ID,镜像ID,镜像名称、进程名、进程命令行语句、进程所属用户、进程打开文件、进程ID(PID)、父进程ID、CPU使用率及内存使用率。
因每个业务容器的生命周期比较短,单个业务容器的行为数据也较为单一,因此为了确保检测模型的精度,在建立检测模型时,建立模块62以镜像为基准对各业务容器内的历史数据进程数据进行归类,针对每个镜像,建立模块62将归类后的历史进程数据写入预先建立的数据库模型表中;数据模型表中的每个数据项为一个检测模型。其中,镜像用于创建业务容器,每个镜像对应多个业务容器,每个镜像对应一个检测模型。
虽然同一镜像创建的不同容器其具体的行为进程数据可能会有差异,但是行为模式是类似的,因此以镜像为单位对各容器的历史进程数据进行归类,可以提高进程数据的多元化及复杂度,当基于归类后的进行数据建立检测模型时,更有利于提高检测模型的检测精度。
参考图4,比如镜像A对应的业务容器包括:容器A1……An;镜像B对应的业务容器包括:容器B1……Bn等等。那么针对镜像A,归类后的历史进程数据包括容器A1……An内的历史进程数据;针对镜像B,归类后的历史进程数据包括容器B1……Bn内的历史进程数据。那么针对镜像A,是利用归类后的容器A1……An内的历史进程数据建立镜像A对应的检测模型。单个检测模型可如表2所示。
表2
从表2可以看出,检测模型包括:模型数据项、数据项类型及数据项的值;模型数据项包括:镜像标识ID、镜像名称、进程列表、模型状态及模型创建时间;其中,进程列表即为该镜像对应的所有业务容器内的进程。
需要说明的是,当建立模块62接收到针对某个镜像归类后的历史进程数据时,需判断是否存在该镜像对应的检测模型,若不存在,则自动建立对应的检测模型。
作为一种可选的实施,建立模块62针对每个所述镜像,基于镜像对应的各所述业务容器内的历史进程数据建立检测模型后,还用于:
针对每个述镜像,当在预设的自学习时间段接收到镜像对应的业务容器的新增进程数据时,根据新增进程数据更新对应的检测模型,以能对检测模型进行训练,提高检测模型的检测精度。其中,自学习时间段可以预先设定,比如可以为一个月或一周等。在自学习时间内,检测模型的模型状态为“训练中”;自学习结束后,检测模型的模型状态为“已就绪”,当检测模型的模型状态为“已就绪”时,可以对进程数据进行自动检测。
检测模型建立好之后,对于每个进程数据来说,检测模型中记录有每个进程数据的历史最大CPU使用率(CPU使用率阈值)、内存资源使用率阈值、该进程打开的文件名称、用户身份及启动路径等信息。当控制器接收由到采集器发送的各业务容器的当前进程数据时,基于对应的检测模型对当前进程数据进行检测,判断各业务容器环境是否出现异常。其中,检测流程可参考图5。
作为一种可选的实施例,异常检测模块63基于对应的检测模型对当前进程数据进行检测,判断各业务容器环境是否出现异常,包括:
将当前进程数据与对应的检测模型中的进程列表进行匹配;
若匹配结果为当前进程数据的内存资源使用率超出检测模型中该进程的内存资源使用率阈值;或者,若所述匹配结果为当前进程数据占用的CPU超出检测模型中该进程的CPU阈值时,确定业务容器内资源使用异常。其中,异常检测模块63可由控制器实现。
举例来说,对于业务容器A的进程f来说,检测模型中进程f的内存资源使用率阈值为5%,进程f的CPU使用率阈值为3%;若进程f在当前时刻的内存使用率阈值为6%,或者进程f在当前时刻的内存使用率阈值为4%时,确定业务容器A内资源使用异常。
同样的,若匹配结果为当前进程打开未知文件;或者,
若匹配结果为业务容器内创建未知进程数时,确定业务容器内进程行为异常。
若匹配结果为存在黑名单进程;或者,
若匹配结果为当前进程以未知用户身份运行;或者,
若匹配结果为当前进程从未知路径启动时,则确定业务容器内进程属性异常。
可选的,基于对应的检测模型对所述当前进程数据进行检测,判断各业务容器环境是否出现异常后,还包括:
若确定业务容器环境出现异常,则控制器基于检测结果实时生成并向web界面推送告警信息,管理人员能够根据告警信息了解异常并定位异常所在的集群宿主机节点、容器及容器内进程,以能及时维护***。其中,告警信息可如表3所示。
表3
本申请提供的容器环境异常检测的方法、装置、介质及计算机设备能带来的有益效果至少是:
本申请提供一种容器环境异常检测的方法、装置、介质及计算机设备,方法包括:针对容器集群中的宿主机节点,获取各所述宿主机节点中所有业务容器正常运行时的历史进程数据;针对每个镜像,基于所述镜像对应的各所述业务容器内的历史进程数据建立检测模型;所述镜像用于创建所述业务容器,每个所述镜像对应多个所述业务容器,每个所述镜像对应一个所述检测模型;当接收到各所述业务容器的当前进程数据时,基于对应的所述检测模型对所述当前进程数据进行检测,判断各所述业务容器环境是否出现异常;如此,因容器是由镜像创建的,一个镜像对应多个业务容器;因此本申请针对每一个镜像,基于来自该镜像中的所有业务容器的进程数据建立对应的检测模型,这样获得的进程数据是多元化的,所以检测模型可以充分刻画出与该镜像相对应的所有业务容器在业务正常运行期间的行为特征,进而可确保检测模型的检测精度;并且在容器集群中,镜像的数量远远小于业务容器的数量,因此相比现有技术中对每个容器进行建模的方式,本申请对镜像进行建模可以大幅降低建模成本。并且,采集器和控制器均是以容器形式部署在集群中的,无需新增单独的管理机制,后台管理模块可采用与其他容器同样的管理方式对采集器和控制器所在的容器进行管理;为了减小对业务容器的影响,特权容器在容器集群中位于一个独立的命名空间中,实现与业务环境的隔离,避免影响业务容器的正常运行。
实施例三
本实施例提供一种计算机设备,如图7所示,包括存储器70、处理器71及存储在存储器70上并可在处理器71上运行的计算机程序72,处理器71执行计算机程序72时实现以下步骤:
针对容器集群中的宿主机节点,获取各所述宿主机节点中所有业务容器正常运行时的历史进程数据;
针对每个镜像,基于所述镜像对应的各所述业务容器内的历史进程数据建立检测模型;所述镜像用于创建所述业务容器,每个所述镜像对应多个所述业务容器,每个所述镜像对应一个所述检测模型;
当接收到各所述业务容器的当前进程数据时,基于对应的所述检测模型对所述当前进程数据进行检测,判断各所述业务容器环境是否出现异常。
由于本实施例所介绍的计算机设备为实施本申请实施例一中一种容器环境异常检测的方法所采用的设备,故而基于本申请实施例一中所介绍的方法,本领域所属技术人员能够了解本实施例的计算机设备的具体实施方式以及其各种变化形式,所以在此对于该服务器如何实现本申请实施例中的方法不再详细介绍。只要本领域所属技术人员实施本申请实施例中的方法所采用的设备,都属于本申请所欲保护的范围。
基于同一发明构思,本申请提供了实施例一对应的存储介质,详见实施例四。
实施例四
本实施例提供一种计算机可读存储介质80,如图8所示,其上存储有计算机程序81,该计算机程序81被处理器执行时实现以下步骤:
针对容器集群中的宿主机节点,获取各所述宿主机节点中所有业务容器正常运行时的历史进程数据;
针对每个镜像,基于所述镜像对应的各所述业务容器内的历史进程数据建立检测模型;所述镜像用于创建所述业务容器,每个所述镜像对应多个所述业务容器,每个所述镜像对应一个所述检测模型;
当接收到各所述业务容器的当前进程数据时,基于对应的所述检测模型对所述当前进程数据进行检测,判断各所述业务容器环境是否出现异常。
在具体实施过程中,该计算机程序81被处理器执行时,可以实现实施例一中任一实施方式。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围,凡在本申请的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种容器环境异常检测的方法,其特征在于,所述方法包括:
针对容器集群中的宿主机节点,获取各所述宿主机节点中所有业务容器正常运行时的历史进程数据;
针对每个镜像,基于所述镜像对应的各所述业务容器内的历史进程数据建立检测模型;所述镜像用于创建所述业务容器,每个所述镜像对应多个所述业务容器,每个所述镜像对应一个所述检测模型;
当接收到各所述业务容器的当前进程数据时,基于对应的所述检测模型对所述当前进程数据进行检测,判断各所述业务容器环境是否出现异常。
2.如权利要求1所述的方法,其特征在于,所述获取各所述宿主机节点中所有业务容器正常运行时的历史进程数据,包括:
在各所述宿主机节点中创建对应的特权容器,所述特权容器中包括数据采集器;
将各套接字文件挂载至对应的所述特权容器中;所述套接字文件为被容器守护进程监听的文件,每个所述宿主机节点中存在一个所述容器守护进程,所述容器守护进程用于管理所述宿主机节点中所有业务容器的生命周期;
基于预设的采集周期,通过各所述数据采集器向对应的所述套接字文件发送数据采集指令,以使得所述套接字文件将所述数据采集指令发送至对应的所述容器守护进程;
接收由各所述容器守护进程发送的对应所述宿主节点中运行的所有业务容器正常运行时的历史进程数据。
3.如权利要求1所述的方法,其特征在于,所述针对每个镜像,基于所述镜像对应的各所述业务容器内的历史进程数据建立检测模型,包括:
以所述镜像为基准对各所述业务容器内的历史进程数据进行归类;
针对每个所述镜像,通过控制器将归类后的所述历史进程数据写入预先建立的数据库模型表中;所述数据模型表中的每个数据项为一个所述检测模型;其中,所述控制器以容器形式部署在所述容器集群中。
4.如权利要求1所述的方法,其特征在于,所述针对每个镜像,基于所述镜像对应的各所述业务容器内的历史进程数据建立检测模型后,包括:
针对每个所述镜像,当在预设的自学习时间段接收到所述镜像对应的业务容器的新增进程数据时,根据所述新增进程数据更新所述对应的检测模型。
5.如权利要求1所述的方法,其特征在于,所述基于对应的所述检测模型对所述当前进程数据进行检测,判断各所述业务容器环境是否出现异常,包括:
将所述当前进程数据与所述对应的检测模型中的进程列表进行匹配;
若匹配结果为所述当前进程数据的内存资源使用率超出所述检测模型中的内存资源使用率阈值;或者,
若所述匹配结果为所述当前进程数据的占用的CPU超出所述检测模型中的CPU阈值时,确定所述业务容器内资源使用异常。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
若所述匹配结果为所述当前进程打开未知文件;或者,
若所述匹配结果为所述业务容器内创建未知进程数时,确定所述业务容器内进程行为异常。
7.如权利要求5所述的方法,其特征在于,所述方法还包括:
若所述匹配结果为存在黑名单进程;或者,
若所述匹配结果为所述当前进程以未知用户身份运行;或者,
若所述匹配结果为所述当前进程从未知路径启动时,则确定所述业务容器内进程属性异常。
8.一种容器环境异常检测的装置,其特征在于,所述装置包括:
获取模块,用于针对容器集群中的宿主机节点,获取各所述宿主机节点中所有业务容器正常运行时的历史进程数据;
建立模块,用于针对每个镜像,基于所述镜像对应的各所述业务容器内的历史进程数据建立检测模型;所述镜像用于创建所述业务容器,每个所述镜像对应多个所述业务容器,每个所述镜像对应一个所述检测模型;
检测模块,用于当接收到各所述业务容器的当前进程数据时,基于对应的所述检测模型对所述当前进程数据进行检测,判断各所述业务容器环境是否出现异常。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至7任一项所述的方法。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010613033.9A CN111813497A (zh) | 2020-06-30 | 2020-06-30 | 一种容器环境异常检测的方法、装置、介质及计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010613033.9A CN111813497A (zh) | 2020-06-30 | 2020-06-30 | 一种容器环境异常检测的方法、装置、介质及计算机设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111813497A true CN111813497A (zh) | 2020-10-23 |
Family
ID=72856597
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010613033.9A Pending CN111813497A (zh) | 2020-06-30 | 2020-06-30 | 一种容器环境异常检测的方法、装置、介质及计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111813497A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113190369A (zh) * | 2021-04-21 | 2021-07-30 | 北京海博思创科技股份有限公司 | 数据处理方法、装置、设备及存储介质 |
CN113872954A (zh) * | 2021-09-23 | 2021-12-31 | 绿盟科技集团股份有限公司 | 一种数据流量检测的方法 |
CN114154160A (zh) * | 2022-02-08 | 2022-03-08 | 中国电子信息产业集团有限公司第六研究所 | 容器集群监测方法、装置、电子设备及存储介质 |
CN114615028A (zh) * | 2022-02-25 | 2022-06-10 | 北京小佑网络科技有限公司 | 一种基于容器正常行为建模来识别容器异常行为的方法 |
WO2023160010A1 (zh) * | 2022-02-28 | 2023-08-31 | 中兴通讯股份有限公司 | 安全检测方法、装置、电子设备和存储介质 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130219456A1 (en) * | 2012-01-06 | 2013-08-22 | Rahul Sharma | Secure Virtual File Management System |
CN103365758A (zh) * | 2013-08-05 | 2013-10-23 | 北京搜狐新媒体信息技术有限公司 | 一种虚拟化环境下的进程监控方法及*** |
CN104915285A (zh) * | 2015-06-30 | 2015-09-16 | 北京奇虎科技有限公司 | 一种容器进程监控方法、装置及*** |
US9256467B1 (en) * | 2014-11-11 | 2016-02-09 | Amazon Technologies, Inc. | System for managing and scheduling containers |
CN105915378A (zh) * | 2016-01-04 | 2016-08-31 | 中国电子科技网络信息安全有限公司 | 一种基于容器应用的跨平台统一管理*** |
CN106776005A (zh) * | 2016-11-23 | 2017-05-31 | 华中科技大学 | 一种面向容器化应用的资源管理***及方法 |
CN108471420A (zh) * | 2018-03-29 | 2018-08-31 | 上交所技术有限责任公司 | 基于网络模式识别和匹配的容器安全防御方法与装置 |
CN109086119A (zh) * | 2018-07-30 | 2018-12-25 | 南京卓盛云信息科技有限公司 | 一种快速检测容器运行状态的方法 |
CN109753417A (zh) * | 2018-12-17 | 2019-05-14 | 新视家科技(北京)有限公司 | 异常进程管理方法及其装置、电子设备、计算机可读介质 |
US20190190771A1 (en) * | 2017-12-20 | 2019-06-20 | Gemini Open Cloud Computing Inc. | Cloud service management method |
CN110188574A (zh) * | 2019-06-06 | 2019-08-30 | 上海帆一尚行科技有限公司 | 一种Docker容器的网页防篡改***及其方法 |
CN110851241A (zh) * | 2019-11-20 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | Docker容器环境的安全防护方法、装置及*** |
US20200201650A1 (en) * | 2018-12-20 | 2020-06-25 | Microsoft Technology Licensing, Llc | Automatic anomaly detection in computer processing pipelines |
-
2020
- 2020-06-30 CN CN202010613033.9A patent/CN111813497A/zh active Pending
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130219456A1 (en) * | 2012-01-06 | 2013-08-22 | Rahul Sharma | Secure Virtual File Management System |
CN103365758A (zh) * | 2013-08-05 | 2013-10-23 | 北京搜狐新媒体信息技术有限公司 | 一种虚拟化环境下的进程监控方法及*** |
US9256467B1 (en) * | 2014-11-11 | 2016-02-09 | Amazon Technologies, Inc. | System for managing and scheduling containers |
CN104915285A (zh) * | 2015-06-30 | 2015-09-16 | 北京奇虎科技有限公司 | 一种容器进程监控方法、装置及*** |
CN105915378A (zh) * | 2016-01-04 | 2016-08-31 | 中国电子科技网络信息安全有限公司 | 一种基于容器应用的跨平台统一管理*** |
CN106776005A (zh) * | 2016-11-23 | 2017-05-31 | 华中科技大学 | 一种面向容器化应用的资源管理***及方法 |
US20190190771A1 (en) * | 2017-12-20 | 2019-06-20 | Gemini Open Cloud Computing Inc. | Cloud service management method |
CN108471420A (zh) * | 2018-03-29 | 2018-08-31 | 上交所技术有限责任公司 | 基于网络模式识别和匹配的容器安全防御方法与装置 |
CN109086119A (zh) * | 2018-07-30 | 2018-12-25 | 南京卓盛云信息科技有限公司 | 一种快速检测容器运行状态的方法 |
CN109753417A (zh) * | 2018-12-17 | 2019-05-14 | 新视家科技(北京)有限公司 | 异常进程管理方法及其装置、电子设备、计算机可读介质 |
US20200201650A1 (en) * | 2018-12-20 | 2020-06-25 | Microsoft Technology Licensing, Llc | Automatic anomaly detection in computer processing pipelines |
CN110188574A (zh) * | 2019-06-06 | 2019-08-30 | 上海帆一尚行科技有限公司 | 一种Docker容器的网页防篡改***及其方法 |
CN110851241A (zh) * | 2019-11-20 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | Docker容器环境的安全防护方法、装置及*** |
Non-Patent Citations (3)
Title |
---|
RYO NAKAMURA 等: "Grafting Sockets for Fast Container Networking", 《ACM》, 18 July 2018 (2018-07-18) * |
宋亚峰 等: "基于RFID技术的核燃料储运一体化管控平台", 《计算机科学》, 30 June 2012 (2012-06-30) * |
陈金窗: "《Prometheus监控技术与实践》", 31 March 2020, 《北京:机械工业出版社》, pages: 209 - 213 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113190369A (zh) * | 2021-04-21 | 2021-07-30 | 北京海博思创科技股份有限公司 | 数据处理方法、装置、设备及存储介质 |
CN113872954A (zh) * | 2021-09-23 | 2021-12-31 | 绿盟科技集团股份有限公司 | 一种数据流量检测的方法 |
CN113872954B (zh) * | 2021-09-23 | 2024-02-20 | 绿盟科技集团股份有限公司 | 一种数据流量检测的方法 |
CN114154160A (zh) * | 2022-02-08 | 2022-03-08 | 中国电子信息产业集团有限公司第六研究所 | 容器集群监测方法、装置、电子设备及存储介质 |
CN114615028A (zh) * | 2022-02-25 | 2022-06-10 | 北京小佑网络科技有限公司 | 一种基于容器正常行为建模来识别容器异常行为的方法 |
WO2023160010A1 (zh) * | 2022-02-28 | 2023-08-31 | 中兴通讯股份有限公司 | 安全检测方法、装置、电子设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111813497A (zh) | 一种容器环境异常检测的方法、装置、介质及计算机设备 | |
US10747591B2 (en) | Endpoint process state collector | |
CN107689953B (zh) | 一种面向多租户云计算的容器安全监控方法及*** | |
CN106776212B (zh) | 容器集群部署多进程应用的监管***及方法 | |
CN111459763B (zh) | 跨kubernetes集群监控***及方法 | |
CN104618693B (zh) | 一种基于云计算的监控视频在线处理任务管理方法及*** | |
WO2023142054A1 (zh) | 一种面向容器微服务的性能监控告警方法及告警*** | |
CN105512027B (zh) | 进程状态监控方法和装置 | |
CN110175451A (zh) | 一种基于电力云的安全监控方法和*** | |
CN105335214A (zh) | 一种虚拟机故障检测和恢复的方法 | |
CN106371974A (zh) | Docker容器内应用程序的监控方法和发布平台 | |
CN102739802A (zh) | 面向业务应用的it集中运维分析*** | |
CN110650038A (zh) | 面向多类监管对象的安全事件日志采集处理方法和*** | |
CN111046011A (zh) | 日志收集方法、***、节点、电子设备及可读存储介质 | |
CN113949652B (zh) | 基于人工智能的用户异常行为检测方法、装置及相关设备 | |
CN113448685B (zh) | 一种基于Kubernetes的Pod调度方法及*** | |
CN106961428A (zh) | 一种基于私有云平台的集中式入侵检测*** | |
CN108694093A (zh) | 进程异常监控方法及装置 | |
CN107579858A (zh) | 云主机的告警方法及装置、通信*** | |
CN114356499A (zh) | Kubernetes集群告警根因分析方法及装置 | |
CN108009004B (zh) | 基于Docker的业务应用可用度测量监控的实现方法 | |
CN112100239A (zh) | 车辆检测设备画像生成方法、装置、服务器及可读存储介质 | |
CN112769620B (zh) | 一种网络部署方法、设备和计算机可读存储介质 | |
CN107666399A (zh) | 一种监控数据的方法和装置 | |
CN109995571B (zh) | 服务器配置与vnf应用匹配的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |