[发明专利]容器环境的入侵防御方法及装置、电子设备、存储介质

说明书

本申请提供一种容器环境的入侵防御方法及装置、电子设备、计算机可读存储介质，方法包括：当获得目标容器对应的目标数据包，所述目标容器的命名空间内数据接收线程，将所述目标数据包放入数据接收队列；所述宿主机的默认命名空间的入侵防御系统，从所述数据接收队列获取所述目标数据包并进行检测；所述入侵防御系统基于检测结果，确定所述目标数据包的处理信息，并将所述目标数据包的处理信息放入所述目标容器对应的数据发送队列；所述目标容器的命名空间内的数据发送线程，从所述数据发送队列获取对应于所述目标数据包的处理信息。本申请方案，在占用系统内存资源和计算资源较小的情况下，完成了容器环境的入侵防御任务。

技术领域

本申请涉及云计算技术领域，特别涉及一种容器环境的入侵防御方法及装置、电子设备、计算机可读存储介质。

背景技术

容器网络实现了容器之间的应用、容器内的应用与容器所在宿主机的外部网络之间的通信。容器网络不显虚拟机和传统硬件设备一样有类似的网络属性，其网络安全风险相比传统网络更复杂、严峻。以Docker的网络环境为例，尽管支持Bridge、Overlay等不同网络，但都面临共同的问题：如果容器之间没有网络隔离和控制机制，一旦攻击者控制了某一宿主机或某个容器，便可以此为跳板，攻击同一宿主机或其它宿主机上的其它容器，这就是“东西向攻击”。

相关技术中，可以向宿主机的Linux系统内核的netfilter queue下发iptables以及ip6tables的重定向规则，使得nfqueue可以将容器的流量重定向至入侵防御系统(Intrusion Prevention System，IPS)进行检测。容器基于Linux的命名空间(namespace)实现了容器进程的网络隔离，避免相互影响和干扰。这种情况下，需在每一容器的命名空间下启动入侵防御系统进程。参见图1，为本申请一实施例提供的容器环境的入侵防御方法的架构示意图，如图1所示，容器1位于命名空间M，容器2位于命名空间N，命名空间M和命名空间N内均有入侵防御系统进程。此时，容器1的流量会交由命名空间M的入侵防御系统进程处理；容器2的流量会交由命名空间N的入侵防御系统进程处理。

然而，在为每一命名空间启动入侵防御系统进程的情况下，由于入侵防御系统进程需要大量内存保存入侵防御规则，当宿主机运行成百上千个容器时，宿主机上存在成百上千个命名空间，此时，宿主机的内存几乎都被入侵防御系统占用，导致宿主机运行效率低下。

发明内容

本申请实施例的目的在于提供一种容器环境的入侵防御方法及装置、电子设备、计算机可读存储介质，用于在入侵防御系统仅占用少量内存的情况下，实现容器环境的入侵防御任务。

一方面，本申请提供了一种容器环境的入侵防御方法，应用于宿主机，所述宿主机运行若干容器，包括：

当获得目标容器对应的目标数据包，所述目标容器的命名空间内数据接收线程，将所述目标数据包放入数据接收队列；

所述宿主机的默认命名空间的入侵防御系统，从所述数据接收队列获取所述目标数据包并进行检测；

所述入侵防御系统基于检测结果，确定所述目标数据包的处理信息，并将所述目标数据包的处理信息放入所述目标容器对应的数据发送队列；

所述目标容器的命名空间内的数据发送线程，从所述数据发送队列获取对应于所述目标数据包的处理信息。

在一实施例中，所述将所述目标数据包的处理信息放入所述目标容器对应的数据发送队列，包括：

所述入侵防御系统获取添加于所述目标数据包的标识码，并依据所述标识码查找对应的数据发送队列；

若查到对应于标识码的数据发送队列，所述入侵防御系统将所述目标数据包的处理信息放入所述数据发送队列。

在一实施例中，所述目标容器的命名空间内数据接收线程，将所述目标数据包放入数据接收队列，包括：