[发明专利]基于命令监控的docker入侵检测方法、装置及介质

权利要求书

1.一种基于命令监控的docker入侵检 测方法，该方法用于入侵监测装置中，该入侵监测装置包括编译单元、监控单元、部署单元以及查找定位单元，其特征在于，所述方法包括以下步骤：

步骤1，编译单元将用于命令监控的agent脚本编译成可执行的agent程序，并将其制作成RPM包，所述agent程序用于生成命令监控日志并发送至入侵检测服务器，以及用于调取执行原真命令并返回结果至用户界面，所述命令监控日志包括命令操作语句及其关联的容器唯一性信息；

步骤2，监控单元使用Python脚本监控kafka队列中的容器创建事件，当监控到容器创建事件，Python脚本自动向容器发出安装所述RPM包的安装命令；

步骤3，容器执行安装命令，部署单元自动部署所述RPM包，部署过程中自动将需要监控的真命令改名，然后将agent程序复制到监控的命令目录下，名字修改为伪装的真命令名字，当运行伪装的命令时实现对用户输入命令语句的监控；

步骤4，查找定位单元根据接收的命令监控日志信息查找不安全的命令操作语句，根据不安全的命令操作语句所关联的容器唯一性信息定位被入侵的容器。

2.根据权利要求1所述的基于命令监控的docker入侵检测方法，其特征在于：所述容器为docker容器。

3.根据权利要求1所述的基于命令监控的docker入侵检测方法，其特征在于：入侵检测服务器使用go脚本获取命令监控日志，日志中的容器唯一性信息包括：容器名称、用户IP地址、操作用户名、容器创建时间和容器执行的命令操作语句。

4.根据权利要求1所述的基于命令监控的docker入侵检测方法，其特征在于，所述部署过程中自动将需要监控的真命令改名，然后将agent程序伪装为真命令具体包括：

定位到待伪装成的真命令所在的目录下；

根据agent程序中的真假命令名映射列表，修改真命令名为映射列表中对应的假命令名，所述真假命令名映射列表中预编写了待监控命令的真假命令名映射命令语句；

将agent程序拷贝至真命令的目录下，并将该agent程序的名字修改为真命令名。

5.根据权利要求4所述的基于命令监控的docker入侵检测方法，其特征在于，运行agent程序伪装成的真命令包括：

接收用户执行的命令操作语句，收集容器唯一性信息，将该命令操作语句与容器唯一性信息拼装加密，并发送至入侵检测服务器；

根据所述映射列表查找真命令映射后的假命令名，执行该假命令名对应的命令并返回执行结果至用户界面。

6.根据权利要求1所述的基于命令监控的docker入侵检测方法，其特征在于：命令监控日志发送至入侵检测服务器之前还进行加密处理。

7.根据权利要求1所述的基于命令监控的docker入侵检测方法，其特征在于：所入侵检测服务器根据接收的命令监控日志信息查找不安全的命令操作语句，具体是通过指定的正则表达式进行匹配查找。