[发明专利]容器环境下的入侵防御方法及装置、电子设备、存储介质

权利要求书

1.一种容器环境下的入侵防御方法，应用于宿主机，其特征在于，包括：

指定网卡驱动接收到数据包；其中，所述指定网卡驱动包括所述宿主机的容器内虚拟网卡的网卡驱动、以及所述宿主机的物理网卡的网卡驱动；

所述指定网卡驱动调用XDP网络钩子上的eBPF程序，通过所述eBPF程序从所述数据包中提取出数据包特征值，并在快速路径流表中，查找与所述数据包特征值对应的快速路径流表项；

基于查找结果对所述数据包进行处理。

2.根据权利要求1所述的方法，其特征在于，所述基于查找结果对所述数据包进行处理，包括：

若查找结果为查到对应的快速路径流表项，所述指定网卡驱动依据所述快速路径流表项中的处理动作，对所述数据包进行处理；

若查找结果为未查到对应的快速路径流表项，所述指定网卡驱动将所述数据包交由容器命名空间的nfqueue，使得所述nfqueue依据所述容器命名空间的引流规则、将所述数据包重定向至入侵防御系统。

3.根据权利要求2所述的方法，其特征在于，所述指定网卡驱动依据所述快速路径流表项中的处理动作，对所述数据包进行处理，包括：

如果处理动作为放行，所述指定网卡驱动发送所述数据包；

如果处理动作为丢弃，所述指定网卡驱动丢弃所述数据包。

4.根据权利要求3所述的方法，其特征在于，所述指定网卡驱动发送所述数据包，包括：

通过所述eBPF程序以所述数据包的目的MAC，查找转发表；

如果查到对应于所述目的MAC的转发表项，所述指定网卡驱动将数据包发送至所述转发表项指示的网卡；

如果未查到对应于所述目的MAC的转发表项，所述指定网卡驱动广播所述数据包。

5.根据权利要求2所述的方法，其特征在于，所述方法还包括：

所述入侵防御系统对所述数据包进行检测，获得检测结果；

所述入侵防御系统基于所述检测结果对应的处理动作、所述数据包的数据包特征值构建快速路径流表项，并将所述快速路径流表项写入所述快速路径流表。

6.根据权利要求2所述的方法，其特征在于，所述方法还包括：

若查找结果为未查到对应的快速路径流表项，所述eBPF程序依据所述指定网卡驱动的类型信息确定所述指定网卡驱动对应于物理网卡时，基于所述数据包的源MAC和所述物理网卡的网卡名称构建转发表项，并写入转发表。

7.根据权利要求1所述的方法，其特征在于，在所述指定网卡驱动接收到数据包之前，所述方法还包括：

所述宿主机的入侵防御系统获取所述宿主机上已运行的容器信息；

所述入侵防御系统在所述指定网卡驱动的XDP网络钩子上，下发eBPF程序；

所述入侵防御系统基于每一容器的容器信息，构建转发表项，并将所述转发表项写入所述eBPF程序的转发表；

所述入侵防御系统为每一容器的网络命名空间下发nfqueue的引流规则；其中，所述引流规则指示将与容器相关的数据包重定向至所述入侵防御系统。

8.根据权利要求7所述的方法，其特征在于，所述方法还包括：

若任一容器停止运行，删除停止运行的容器的网络命名空间下的引流规则，并在所述转发表删除停止运行的容器对应的转发表项。

9.一种电子设备，其特征在于，所述电子设备包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为执行权利要求1-8任意一项所述的容器环境下的入侵防御方法。

10.一种计算机可读存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序可由处理器执行以完成权利要求1-8任意一项所述的容器环境下的入侵防御方法。