[发明专利]容器环境下的入侵防御方法及装置、电子设备、存储介质

说明书

本申请提供一种容器环境下的入侵防御方法及装置、电子设备、计算机可读存储介质，方法包括：指定网卡驱动接收到数据包，其中，指定网卡驱动包括宿主机的容器内虚拟网卡的网卡驱动、以及宿主机的物理网卡的网卡驱动；指定网卡驱动调用XDP网络钩子上的eBPF程序，eBPF程序从的数据包中解析出数据包特征值，通过eBPF程序在快速路径流表中，查找与数据包特征值对应的快速路径流表项；基于查找结果对数据包进行处理。本申请方案，由于指定网卡驱动的XDP网络钩子上绑定了eBPF程序，该eBPF程序可以通过快速路径流表对已经经过检测的连接的数据包进行快速处理，避免了流量全部被Linux网络协议栈处理所占用的巨大开销，提升了系统性能。

技术领域

本申请涉及信息安全技术领域，特别涉及一种容器环境下的入侵防御方法及装置、电子设备、计算机可读存储介质。

背景技术

容器的轻量化特点使容器技术在云计算中广泛应用。容器网络实现了容器之间的应用、容器内的应用与外部之间的通信。但是容器网络不像虚拟机和传统硬件设备一样有类似的网络属性，其网络安全风险相比传统网络更为严峻。以Docker的网络环境为例，它支持Bridge、Overlay等网络，尽管实现方式不同，但有一个共同和普遍的问题：如果容器之间没有进行有效的网络隔离和控制机制，则一旦攻击者控制某台主机或某台容器，便可以以此为跳板，攻击同主机或不同主机上的其他容器，也就实现了“东西向攻击”。

相关技术中，容器安全产品运行之后，使用iptables命令下发连接标记规则及对应的处理动作。在接收到发往容器的流量之后，由netfilter queue将容器流量引流至容器安全产品进行IPS(Intrusion Prevention System，入侵防御系统)检测，经过检测，可以确定流量所属连接是安全或危险。这种情况下，可以通过Netlink通信方式将流量的数据包信息以及标记信息下发给Linux网络协议栈的连接跟踪模块。连接跟踪模块根据数据包信息在连接表中为数据包所属连接添加该标记信息。后续接收到该连接的数据包之后，可以根据为数据包添加该连接对应的标记信息。依据数据包的标记信息，检查是否与连接标记规则匹配。若匹配到任一连接标记规则，依据连接标记规则所指示的处理动作，对数据包进行处理。对于未匹配到连接标记规则的数据包，可由nfqueue(netfilter queue)上送至容器安全产品进行检测。

然而，相关技术中每个连接的数据包先经过连接跟踪模型，后经过iptables连接标记规则处理。处理过程在Linux网络协议栈中进行，需要大量开销，对系统性能的影响较大。

发明内容

本申请实施例的目的在于提供一种容器环境下的入侵防御方法及装置、电子设备、计算机可读存储介质，用于实现IPS快速检测。

一方面，本申请提供了一种容器环境下的入侵防御方法，应用于宿主机，包括：

指定网卡驱动接收到数据包；其中，所述指定网卡驱动包括所述宿主机的容器内虚拟网卡的网卡驱动、以及所述宿主机的物理网卡的网卡驱动；

所述指定网卡驱动调用XDP网络钩子上的eBPF程序，通过所述eBPF程序从所述数据包中提取出数据包特征值，并在快速路径流表中，查找与所述数据包特征值对应的快速路径流表项；

基于查找结果对所述数据包进行处理。

在一实施例中，所述基于查找结果对所述数据包进行处理，包括：

若查找结果为查到对应的快速路径流表项，所述指定网卡驱动依据所述快速路径流表项中的处理动作，对所述数据包进行处理；

若查找结果为未查到对应的快速路径流表项，所述指定网卡驱动将所述数据包交由容器命名空间的nfqueue，使得所述nfqueue依据所述容器命名空间的引流规则、将所述数据包重定向至入侵防御系统。

在一实施例中，所述指定网卡驱动依据所述快速路径流表项中的处理动作，对所述数据包进行处理，包括：