CN114154160B - 容器集群监测方法、装置、电子设备及存储介质 - Google Patents
容器集群监测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114154160B CN114154160B CN202210117115.3A CN202210117115A CN114154160B CN 114154160 B CN114154160 B CN 114154160B CN 202210117115 A CN202210117115 A CN 202210117115A CN 114154160 B CN114154160 B CN 114154160B
- Authority
- CN
- China
- Prior art keywords
- data
- feature library
- early warning
- matching
- security feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Alarm Systems (AREA)
Abstract
本申请提供一种容器集群监测方法、装置、电子设备及存储介质。该方法包括:将预处理数据与最新更新的安全特征库进行匹配,若匹配成功,则根据匹配结果对用户进行提醒,所述预处理数据为对最新获取到的宿主机数据和容器性能指标数据经过处理后的数据;将所述预处理数据输入预设的预警模型,获取未来时间段内的预警事件数据;根据所述预警事件数据对所述安全特征库进行更新。通过该方式,能改善现有技术无法获取到较好的容器集群的监测效果的问题。
Description
技术领域
本申请涉及数据处理技术领域,具体而言,涉及一种容器集群监测方法、装置、电子设备及存储介质。
背景技术
目前市场上针对容器集群监测的方案有多种,比如:基于WEB界面的提供分布式***监视工具Zabbix、Docker容器自带的命令docker stats,开源项目cAdvisor用于采集和展示容器的资源使用信息、基于云的应用程序和数据库监控服务、基于云的监控解决方案。然而,现有的针对容器集群监测的方案均是根据获取的容器集群数据进行对应的监测活动,该方案易产生监控黑洞,且应用场景单一,无法高效应对复杂***的监测告警应用场景,进而无法获取较好的监测效果。
发明内容
本申请实施例的目的在于提供一种容器集群监测方法、装置、电子设备及存储介质,以改善“现有技术无法获取到较好的容器集群的监测效果”的问题。
本发明是这样实现的:
第一方面,本申请实施例提供一种容器集群监测方法,所述方法包括:将预处理数据与最新更新的安全特征库进行匹配,若匹配成功,则根据匹配结果对用户进行提醒,所述预处理数据为对最新获取到的宿主机数据和容器性能指标数据经过处理后的数据;将所述预处理数据输入预设的预警模型,获取未来时间段内的预警事件数据;根据所述预警事件数据对所述安全特征库进行更新。
在本申请实施例中,通过将预处理数据和最新更新的安全特征库进行匹配,并根据匹配结果对用户进行提醒,从而实现对敏感信息的预警和告警,进而保证了容器在运行阶段的全方面安全。此外,在通过安全特征库进行匹配的同时,还将预处理数据输入预设的预警模型,获取预警事件数据,从而实现根据预警事件数据对安全特征库进行更新,进而使得下一次的预处理数据能与最新更新的安全特征库进行匹配,即每次预处理数据都能与最新更新的安全特征库进行匹配,从而提高对容器集群的监测效果。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述根据所述预警事件数据对所述安全特征库进行更新,包括:根据所述预警事件数据中的监测项标签和监测名称,获取对应的攻击类型;判断所述安全特征库中是否存在所述攻击类型,若所述安全特征库中存在所述攻击类型,则提高所述攻击类型在所述安全特征库中的匹配优先级。
在本申请实施例中,预警事件数据表征预警模型预测出的未来时间段内存在的攻击,且其包括监测项名称和监测项标签,对上述监测项名称和监测项标签进行处理,从而获取到上述预警事件对应的攻击类型;再判断最新更新的安全特征库中是否存在上述攻击类型,若存在,则提高所述攻击类型在安全特征库中的匹配优先级,使得下一次预处理数据和最新更新的安全特征库进行匹配时,能尽快匹配到已预测出的攻击类型,从而提高匹配效率,且能对匹配结果更快的做出报警处理,进而提高对容器集群的监测效果。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述方法还包括:若所述安全特征库中不存在所述攻击类型,则在所述安全特征库中添加所述攻击类型。
在本申请实施例中,若安全特征库中不存在预警事件数据对应的攻击类型,则在安全特征库中添加上该攻击类型,使得下一次预处理数据和最新更新的安全特征库进行匹配时,不会因安全特征库中没有对应的攻击类型,而遗漏一些敏感数据,从而提高对容器集群的监测效果。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述方法还包括:根据所述预处理数据、历史存储数据和所述攻击类型,对所述监测项标签和所述监测名称进行追踪溯源,获取攻击者的相关信息。
在本申请实施例中,通过对预警模型中生成攻击类型的数据进行追踪溯源,从而能获取到攻击者的相关信息,比如:攻击者的主机IP、所利用的网络协议、端口号等。在获取到攻击者的相关信息后,可利用该相关信息对攻击者进行超前反制,从而能对预测出的攻击提前做好预防。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述方法还包括:根据所述预处理数据和历史存储数据,对所述匹配结果进行追踪溯源,以判断所述匹配结果是否被误判;若所述匹配结果被误判,则根据所述匹配结果,对所述安全特征库进行更新。
在本申请实施例中,通过对预处理数据和最新更新的安全特征库的匹配结果进行追踪溯源,能判断该匹配结果是否被误判;且若该匹配结果被误判,则根据该匹配结果对该安全特征库进行更新,从而提高后续预处理数据和安全特征库匹配的准确率,避免对上述情况再次进行误判,进而提高对容器集群的监测效果。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述根据所述匹配结果,对所述安全特征库进行更新,包括:降低所述匹配结果对应的攻击类型在所述安全特征库中的匹配优先级。
在本申请实施例中,通过上述方式,能按照实际情况对安全特征库进行动态的调整,从而提高后续预处理数据和安全特征匹配库进行匹配的匹配效率,进而提高对容器集群的监测效果。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述方法还包括:根据所述预警事件数据,生成用于表征所述未来时间段内的安全态势的态势曲线。
在本申请实施例中,根据预警事件数据生成态势曲线,能使工作人员从该态势曲线更直观地获取到未来时间段内的安全态势,从而方便工作人员根据该态势曲线对后续工作进行安排。
第二方面,本申请实施例提供一种容器集群监测装置,所述装置包括:监测模块,用于将预处理数据与最新更新的安全特征库进行匹配,若匹配成功,则根据匹配结果对用户进行提醒,所述预处理数据为对最新获取到的宿主机数据和容器性能指标数据经过处理后的数据;处理模块,用于将所述预处理数据输入预设的预警模型,获取未来时间段内的预警事件数据;更新模块,用于根据所述预警事件数据对所述安全特征库进行更新。
第三方面,本申请实施例提供一种电子设备,包括:处理器和存储器,所述处理器和所述存储器连接;所述存储器用于存储程序;所述处理器用于调用存储在所述存储器中的程序,执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在被处理器运行时执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种容器集群监测***的模块框图。
图2为本申请实施例提供的一种数据获取层的模块框图。
图3为本申请实施例提供的一种数据预处理层的模块框图。
图4为本申请实施例提供的一种安全分析层的模块框图。
图5为本申请实施例提供的一种安全管理层的模块框图。
图6为本申请实施例提供的一种容器集群监测方法的步骤流程图。
图7为本申请实施例提供的一种容器集群监测装置的模块框图。
图8为本申请实施例提供的一种电子设备的模块框图。
图标:10-容器集群监测***;11-数据获取层;12-数据预处理层;13-安全分析层;14-数据存储层;15-安全管理层;100-容器集群监测装置;101-监测模块;102-处理模块;103-更新模块;200-电子设备;210-处理器;220-存储器。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
鉴于现有技术无法获取到较好的容器集群的监测效果,本申请发明人经过研究探索,提出以下实施例以解决上述问题。
本申请实施例提供了一种容器集群监测***10,其用于对容器集群的安全进行监测。如图1至图5所示,该***包括数据获取层11、数据预处理层12、安全分析层13、数据存储层14和安全管理层15。
其中,数据获取层11用于对宿主机数据和容器性能指标数据进行采集,以此获得容器各方面信息及其运行状态信息;再从采集到的数据中拉取宿主机数据和容器数据,并将采集到的数据发送至数据预处理层12。
数据预处理层12用于对上述数据获取层11发送的数据进行预处理操作,再对进行预处理操作后的数据通过数据筛选器进行筛选,获取重要的指标数据(即预处理数据),并将该指标数据发送至安全分析层13。其中,上述预处理操作包括:先对获取到的数据进行缺失值处理、异常值处理和去除无用特征处理。
安全分析层13用于将预处理数据与最新更新的安全特征库进行匹配,若匹配成功,则根据匹配结果对用户进行提醒,上述预处理数据为对最新获取到的宿主机数据和容器性能指标数据经过处理后的数据;将预处理数据输入预设的预警模型,获取未来时间段内的预警事件数据;根据预警事件数据对上述安全特征库进行更新。此外,安全分析层13还用于对匹配结果,以判断匹配结果是否被误判;以及,对预警模型预测出的攻击进行追踪溯源,从而确定出潜在攻击者的相关信息,以此对该攻击者进行超前反制。
数据存储层14用于存储安全分析层13产生的数据和整个***日志中的数据。
安全管理层15用于将对容器状态进行可视化,即对采集到的宿主机数据、容器数据和安全分析后获取的数据进行展示,以供管理员查看各个容器的安全状态。此外,安全管理层15还用于根据安全分析层13分析出的匹配结果和预警模型预测的攻击,对该匹配结果和该攻击发起追踪溯源;以及,接收用户输入的预警文本,并将该预警文本发送值安全分析层13用于更新安全特征库。
需要说明的是,除了上述通过安全分析层13向数据存储层14发送预处理数据,还可由数据预处理层12直接向数据存储层14发送其处理后的数据。
本申请实施例还提供了一种容器集群检测方法,该方法应用于对容器集群的监测中。以下结合图6对一种容器集群监测方法的具体流程及步骤进行描述,该方法从安全分析层13的角度进行描述。
需要说明的是,本申请实施例提供的容器集群监测方法不以图6及以下所示的顺序为限制。
S101:将预处理数据与最新更新的安全特征库进行匹配,若匹配成功,则根据匹配结果对用户进行提醒。
其中,上述预处理数据为对最新获取到的宿主机数据和容器性能指标数据经过处理后的数据。
可选的,在步骤S101之前,方法还包括:通过监控代理(即数据获取层11)对宿主机和容器性能指标数据进行收集,以获取容器的各方面信息及其运行状态信息。在获取到宿主机和容器性能指标数据后,通过服务端(即数据获取层11)对上述数据进行分类,将收集到的数据分成宿主机数据和容器数据,并对各数据设置其对应的标签,再通过数据预处理层12对上述宿主机数据和容器数据进行预操作处理和重要指标筛选处理,获取上述预处理数据。
其中,上述宿主机数据包括:网络数据、CPU(Central Processing Unit,中央处理器)使用量、原始流量、容器日志数据、运行中的进程、元数据、外存使用量和主存使用量;上述容器数据包括:CPU资源、网卡信息、文件***用量、南北数据流、运行中的进程、镜像信息、行为信息和外存使用量;上述预操作处理包括:缺失值0填充、异常值剔除和预设的宿主机和容器指标之外的无用特征去除等处理;上述重要指标筛选是指根据每个数据对应的标签项,筛选出用于进行安全分析的各数据;上述预处理数据包括:南北数据流、进程数据、外存使用量数据、主存使用量数据、行为信息、网卡信息、元数据、原始流量信息、容器日志数据。
通过上述方式,能实现对容器集群的数据进行采集和处理,从而方便后续对容器集群进行安全监测时对处理后的数据进行使用。
可选的,将预处理数据与最新更新的安全特征库进行匹配可包括:将预处理数据对应的各标签项与安全特征库中各匹配标签项进行匹配,其中,上述各匹配标签项为不同的网络攻击指纹标签项。
此外,根据匹配结果对用户进行提醒可包括:根据匹配结果触发报警机制;根据报警机制触发的时间以及触发后持续的时间进行相对应的响应,从而对用户进行提醒。
例如:在根据匹配结果触发报警机制后,监测项对应的值接近阈值,则可先警告用户该值即将达到所规定的阈值,有可能会存在异常,此时用户可根据该警告去查看该值(即具体的数据);若该警告用户未察觉或未来得及处理,在该值超出阈值后,就会触发危险响应,则会根据提前设置的规则强制关闭对应的容器;若该警告被处理后,则会触发静默响应,供用户查看。需要说明的是,因有些数据异常可能不是由真正的攻击造成的,即可能是因为用户自行设置的服务或存储的文件过大而造成的。因此,通过对报警机制进行分级响应,可提醒用户对异常处进行查看,使用户可以提前根据分级响应自行更改阈值,防止触发不必要的报警。
还需要说明的是,在对用户进行提醒的同时,还会通过安全管理层向管理人员发出提醒。并且,在向用户发出提醒时,会告知用户该提醒对应的威胁等级,以使用户知道容器目前处于何种风险中,若风险系数过高,则可提醒用户给予重视,并尽可能快的做出决策。
S102:将预处理数据输入预设的预警模型,获取未来时间段内的预警事件数据。
其中,预警模型为ARIMA时间序列预警模型,预警事件数据包括:监测项名称、监测项标签和监测数据抓取的时间戳。该ARIMA时间序列预警模型为本领域技术人员熟知的一种模型,此处不做过多说明。
在获取到预警事件数据之后,本方法可以继续执行步骤S103。
S103:根据预警事件数据对最新更新的安全特征库进行更新。
具体的,根据预警事件数据中的监测项标签和监测名称,获取对应的攻击类型;判断最新更新的安全特征库中是否存在所述攻击类型,若该安全特征库中存在所述攻击类型,则提高攻击类型在上述安全特征库中的匹配优先级。
在本申请实施例中,预警事件数据表征预警模型预测出的未来时间段内存在的攻击,且其包括监测项名称和监测项标签,通过对监测项标签和监测名称通过聚合函数进行筛选统计求和,从而获取预警事件数据对应的攻击类型。接着,判断最新更新的安全特征库中是否存在上述攻击类型,若存在,则提高所述攻击类型在安全特征库中的匹配优先级,使得下一次预处理数据和最新更新的安全特征库进行匹配时,能尽快匹配到已预测出的攻击类型,从而提高匹配效率,使得能对匹配结果更快的做出报警处理,进而提高对容器集群的监测效果。
可选的,若最新更新的安全特征库中不存在预警时间数据对应的攻击类型,则在该安全特征库中添加所述攻击类型。
在本申请实施例中,通过上述方式,使得在下一次预处理数据和最新更新的安全特征库进行匹配时,不会因安全特征库中没有对应的攻击类型,而遗漏一些敏感数据,从而提高对容器集群的监测效果。
在获取到攻击类型之后,还可根据预处理数据、历史存储数据和攻击类型,对监测项标签和监测名称进行追踪溯源,获取攻击者的相关信息。具体的,对于上述追踪溯源,一方面可以根据网络抓包,并进行包解析以获取攻击者的控制域名信息;另一方面,可采用取证分析方法,对攻击者入侵容器或宿主机进行行为分析,例如:有的攻击者入侵成功后会留下启动脚本,该启动脚本中包含攻击者的个人网络ID,通过对该ID进行追踪溯源,最终可定位到攻击者。其中,上述网络抓包和取证分析方法可采用本领域中常用的技术手段。通过该方式,可获取到未来时间段内可能会出现的攻击对应的攻击者的相关信息,从而能在攻击还未发生时,利用攻击者的相关信息对预测出的攻击进行预防和对攻击者进行反击。
此外,在对容器集群进行监测的过程中,还可根据所述预警事件数据,生成用于表征所述未来时间段内的安全态势的态势曲线。具体的,因预警数据包括预警模型输出的未来时间段内有可能出现的变化情况,故以监测项标签分类,以变化情况以时间为横轴,以监测项标签对应的键值为纵轴值,进行曲线绘制,得到上述态势曲线。需要说明的是,上述态势曲线可采用seaborn进行绘制,也可采用matplotlib进行绘制,其中,seaborn和matplotlib均为本领域技术人员熟知的内容,此处不再进行说明。
在本申请实施例中,根据预警事件数据可获取到容器网络流量方面的数据,即获取到容器CPU相关数据、容器网络方面的数据和容器内存方面的数据,其中,容器CPU相关数据为标签项为container_cpu_system_second-
-s_total、process_cpu_seconds_total、container_cpu_usage_seconds_total等数据;容器网络方面的数据为标签项为container_network_receive_bytes_total、container_network_transmit_bytes_total等数据;容器内存方面的数据为标签项为container_memory_rss、container_memory_usage_bytes等数据。根据获取到的数据可生成用于表征所述未来时间段内的安全态势的态势曲线,使得工作人员能从该态势曲线直观地获取到未来时间段内的安全态势,进而方便工作人员根据该态势曲线对后续工作进行安排。
需要注意的是,在对容器集群进行监测的过程中,在预处理数据和最新更新的安全特征库匹配成功、触发报警机制和分级响应至安全管理层后,还可对匹配结果进行追踪溯源,从而判断所述匹配结果是否被误判。
具体的,根据预处理数据和历史存储数据,对匹配结果进行追踪溯源,以判断该匹配结果是否被误判;若上述匹配结果被误判,则根据该匹配结果,对安全特征库进行更新。
在本申请实施例中,通过对匹配结果进行追踪溯源,从而根据匹配结果对应的实际情况进行判断,从而判断上述匹配结果是否被误判。具体的,当预处理数据与最新更新的安全特征库匹配成功后,会生成对应的日志,故可根据当时生成的日志回顾当时的状况,将日志所记载的情况与正常情况进行比较,通过出现的异常数据判断对匹配结果是否误判,比如:若最终容器并未遭受攻击,那么数据的猛增只是暂时的,则可以获取到误判期间的数据,与容器正常时候的数据进行比对,如果数据流中只是某个指标或某几个指标增长,而非整个数据流均发生较大变化,则可判断出匹配结果被误判。且通过根据误判的匹配结果对安全特征库进行更新,能提高后续预处理数据和安全特征库匹配的准确率,避免对上述情况再次进行误判,进而提高对容器集群的监测效果。
可选的,根据匹配结果,对安全特征库进行更新可具体包括:降低匹配结果对应的攻击类型在安全特征库中的匹配优先级。
在本申请实施例中,通过上述方式,能按照实际情况对安全特征库进行动态的调整,从而提高对容器集群的监测效果。
作为另一种可选的实施方式,根据匹配结果,对安全特征库进行更新还可具体包括:根据匹配结果,对安全特征库中的攻击对应的时间进行调整。例如:在双十一活动当晚,用户网络流量会迅速猛增,此时,将预处理数据与安全特征库进行匹配会认为该时间段内存在DoS攻击;但是,对该DoS攻击进行追踪溯源会发现该情况是正常的业务情况,而非DoS攻击;因此,可以对安全特征匹配库中的DoS攻击的时间进行调整,即调整为在双十一当晚用户网络流量激增不会被判断为DoS攻击。
通过上述方式,能根据误判的匹配类型对安全特征库中的攻击进行时间点的详细调整,从而使安全特征库在后续匹配时更贴近实际情况,从而提高匹配的准确率。
此外,若上述匹配结果未被误判,则立即触发报警并进行展示,以提醒管理员和用户对该匹配结果对应的攻击进行处理。通过该方式,能在对匹配结果进行追踪溯源后,再次确定该匹配结果的准确性,从而防止误报警。
需要说明的是,还可根据用户输入的预警文本对安全特征库进行更新。
具体的,获取用户输入的预警文本,将所述预警文本输入预设的Bert序列模型进行标注,获取攻击类型;根据该攻击类型,对安全特征库进行更新。其中,根据该攻击类型,对安全特征库进行更新可具体包括:判断安全特征库中是否存在上述攻击类型,若是,则提高该攻击类型在安全特征库中的匹配优先级;若否,则将该攻击类型添加至安全特征库。
通过上述方式,能使用户依据实际情况对安全特征库进行调整、更新,从而提高对容器集群的监测效果。
请参阅图7,基于同一发明构思,本申请实施例还提供一种容器集群监测装置100,该装置100包括:监测模块101、处理模块102和更新模块103。
监测模块101,用于将预处理数据与最新更新的安全特征库进行匹配,若匹配成功,则根据匹配结果对用户进行提醒,预处理数据为对最新获取到的宿主机数据和容器性能指标数据经过处理后的数据。
处理模块102,用于将预处理数据输入预设的预警模型,获取未来时间段内的预警事件数据。
更新模块103,用于根据预警事件数据对安全特征库进行更新。
可选的,更新模块103具体用于根据预警事件数据中的监测项标签和监测名称,获取对应的攻击类型;判断安全特征库中是否存在攻击类型,若安全特征库中存在攻击类型,则提高攻击类型在安全特征库中的匹配优先级。
可选的,更新模块103具体用于若安全特征库中不存在攻击类型,则在安全特征库中添加攻击类型。
可选的,更新模块103还用于根据所述预处理数据、历史存储数据和所述攻击类型,对所述监测项标签和所述监测名称进行追踪溯源,获取攻击者的相关信息。
可选的,更新模块103还用于根据预处理数据和历史存储数据,对匹配结果进行追踪溯源,以判断匹配结果是否被误判;若匹配结果被误判,则根据匹配结果,对安全特征库进行更新。
可选的,更新模块103具体用于降低匹配结果对应的攻击类型在安全特征库中的匹配优先级。
可选的,处理模块102还用于根据预警事件数据,生成用于表征未来时间段内的安全态势的态势曲线。
请参阅图8,基于同一发明构思,本申请实施例提供的一种电子设备200的示意性结构框图,该电子设备200用于实施上述的一种容器集群监测方法。本申请实施例中,电子设备200可以是,但不限于个人计算机(Personal Computer,PC)、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)、移动上网设备(Mobile Internet Device,MID)等。在结构上,电子设备200可以包括处理器210和存储器220。
处理器210与存储器220直接或间接地电性连接,以实现数据的传输或交互,例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。其中,处理器210可以是一种集成电路芯片,具有信号处理能力。处理器210也可以是通用处理器,例如,可以是中央处理器(Central Processing Unit,CPU)、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit ,ASIC)、分立门或晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。此外,通用处理器可以是微处理器或者任何常规处理器等。
存储器220可以是,但不限于,随机存取存储器(Random Access Memory,RAM)、只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-OnlyMemory,PROM)、可擦可编程序只读存储器(Erasable Programmable Read-Only Memory,EPROM),以及电可擦编程只读存储器(Electric Erasable Programmable Read-OnlyMemory,EEPROM)。存储器220用于存储程序,处理器210在接收到执行指令后,执行该程序。
应当理解,图8所示的结构仅为示意,本申请实施例提供的电子设备200还可以具有比图8更少或更多的组件,或是具有与图8所示不同的配置。此外,图8所示的各组件可以通过软件、硬件或其组合实现。
需要说明的是,由于所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
基于同一发明构思,本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序在被运行时执行上述实施例中提供的方法。
该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid StateDisk (SSD))等。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种容器集群监测方法,其特征在于,所述方法包括:
将预处理数据与最新更新的安全特征库进行匹配,若匹配成功,则根据匹配结果对用户进行提醒,所述预处理数据为对最新获取到的宿主机数据和容器性能指标数据经过处理后的数据;
将所述预处理数据输入预设的预警模型,获取未来时间段内的预警事件数据;
根据所述预警事件数据对应攻击类型对所述安全特征库进行更新;所述预警事件数据表征所述预警模型预测出的未来时间段内存在的攻击;
将所述预处理数据对应的日志与正常数据进行比对;并根据所述比对结果,确定所述匹配结果是否为误判;所述日志的发生时间和所述正常数据对应的历史时间属于同一时间段;
根据误判结果,对所述安全特征库中的匹配结果对应的攻击类型的匹配优先级进行更新。
2.根据权利要求1所述的方法,其特征在于,所述根据所述预警事件数据对所述安全特征库进行更新,包括:
根据所述预警事件数据中的监测项标签和监测名称,获取对应的攻击类型;
判断所述安全特征库中是否存在所述攻击类型,若所述安全特征库中存在所述攻击类型,则提高所述攻击类型在所述安全特征库中的匹配优先级。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述安全特征库中不存在所述攻击类型,则在所述安全特征库中添加所述攻击类型。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
根据所述预处理数据、历史存储数据和所述攻击类型,对所述监测项标签和所述监测名称进行追踪溯源,获取攻击者的相关信息。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述预处理数据和历史存储数据,对所述匹配结果进行追踪溯源,以判断所述匹配结果是否被误判;
若所述匹配结果被误判,则根据所述匹配结果,对所述安全特征库进行更新。
6.根据权利要求5所述的方法,其特征在于,所述根据所述匹配结果,对所述安全特征库进行更新,包括:
降低所述匹配结果对应的攻击类型在所述安全特征库中的匹配优先级。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述预警事件数据,生成用于表征所述未来时间段内的安全态势的态势曲线。
8.一种容器集群监测装置,其特征在于,所述装置包括:
监测模块,用于将预处理数据与最新更新的安全特征库进行匹配,若匹配成功,则根据匹配结果对用户进行提醒,所述预处理数据为对最新获取到的宿主机数据和容器性能指标数据经过处理后的数据;
处理模块,用于将所述预处理数据输入预设的预警模型,获取未来时间段内的预警事件数据;
更新模块,用于根据所述预警事件数据对应攻击类型对所述安全特征库进行更新;所述预警事件数据表征所述预警模型预测出的未来时间段内存在的攻击;
所述更新模块,还用于将所述预处理数据对应的日志与正常数据进行比对;并根据所述比对结果,确定所述匹配结果是否为误判;所述日志的发生时间和所述正常数据对应的历史时间属于同一时间段;根据误判结果,对所述安全特征库中的匹配结果对应的攻击类型的匹配优先级进行更新。
9.一种电子设备,其特征在于,包括:处理器和存储器,所述处理器和所述存储器连接;
所述存储器用于存储程序;
所述处理器用于运行存储在所述存储器中的程序,执行如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序在被计算机运行时执行如权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210117115.3A CN114154160B (zh) | 2022-02-08 | 2022-02-08 | 容器集群监测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210117115.3A CN114154160B (zh) | 2022-02-08 | 2022-02-08 | 容器集群监测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114154160A CN114154160A (zh) | 2022-03-08 |
| CN114154160B true CN114154160B (zh) | 2022-09-16 |
Family
ID=80450228
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210117115.3A Active CN114154160B (zh) | 2022-02-08 | 2022-02-08 | 容器集群监测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114154160B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103516586A (zh) * | 2012-06-30 | 2014-01-15 | 北京神州泰岳软件股份有限公司 | 一种即时通信***的在线用户行为分析*** |
| CN107040517A (zh) * | 2017-02-22 | 2017-08-11 | 南京邮电大学 | 一种面向云计算环境的认知入侵检测方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11012472B2 (en) * | 2018-12-05 | 2021-05-18 | International Business Machines Corporation | Security rule generation based on cognitive and industry analysis |
| CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护*** |
| CN110262941B (zh) * | 2019-05-28 | 2023-06-16 | 深圳市汇川技术股份有限公司 | 应用程序容器集群报警实现方法、***、设备及存储介质 |
| US11580199B2 (en) * | 2019-09-20 | 2023-02-14 | International Business Machines Corporation | Correspondence of external operations to containers and mutation events |
| CN111813497A (zh) * | 2020-06-30 | 2020-10-23 | 绿盟科技集团股份有限公司 | 一种容器环境异常检测的方法、装置、介质及计算机设备 |
| CN113141273B (zh) * | 2021-04-22 | 2024-06-18 | 康键信息技术(深圳)有限公司 | 基于预警信息的自修复方法、装置、设备及存储介质 |
| CN113961245A (zh) * | 2021-10-28 | 2022-01-21 | 绿盟科技集团股份有限公司 | 一种基于微服务应用的安全防护***、方法及介质 |
-
2022
- 2022-02-08 CN CN202210117115.3A patent/CN114154160B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103516586A (zh) * | 2012-06-30 | 2014-01-15 | 北京神州泰岳软件股份有限公司 | 一种即时通信***的在线用户行为分析*** |
| CN107040517A (zh) * | 2017-02-22 | 2017-08-11 | 南京邮电大学 | 一种面向云计算环境的认知入侵检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114154160A (zh) | 2022-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11336669B2 (en) | Artificial intelligence cyber security analyst | |
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| EP3356985B1 (en) | Detection of security incidents with low confidence security events | |
| CN102160048B (zh) | 收集和分析恶意软件数据 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN107992398A (zh) | 一种业务***的监控方法和监控*** | |
| CN111092852A (zh) | 基于大数据的网络安全监控方法、装置、设备及存储介质 | |
| US20170083703A1 (en) | Leveraging behavior-based rules for malware family classification | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN104038466B (zh) | 用于云计算环境的入侵检测***、方法及设备 | |
| CN112385196B (zh) | 用于报告计算机安全事故的***和方法 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及*** | |
| CN110865866B (zh) | 一种基于自省技术的虚拟机安全检测方法 | |
| CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| CN114154160B (zh) | 容器集群监测方法、装置、电子设备及存储介质 | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| Gonzalez-Granadillo et al. | Enhancing information sharing and visualization capabilities in security data analytic platforms | |
| CN115296849A (zh) | 关联告警方法及***、存储介质和电子设备 | |
| US11763004B1 (en) | System and method for bootkit detection | |
| WO2021217239A1 (en) | Endpoint security using an action prediction model | |
| US11888817B2 (en) | Filtering data logs from disparate data sources for processing by a security engine | |
| CN114006720B (zh) | 网络安全态势感知方法、装置及*** | |
| CN110569646B (zh) | 文件识别方法及介质 | |
| CN113591112A (zh) | 一种物业管理***的运行方法及装置 | |
| CN117768193A (zh) | 一种工控网络的安全监测方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |