[发明专利]异常检测方法以及装置

说明书

本说明书实施例提供异常检测方法以及装置，其中所述异常检测方法，包括：接收至少三个容器组上报的安全数据，其中，所述安全数据包括所述容器组的容器运行状态信息；比对所述至少三个容器组的容器运行状态信息，在确定所述容器运行状态信息之间的比对结果不一致的情况下，基于所述比对结果确定被入侵容器组，进而实现对入侵容器的检测，无需通过创建入侵检测模型，也能够精准地对被入侵容器的检测，后期维护的过程中没有那么复杂，也能减少数据存储与计算的成本。

技术领域

本说明书实施例涉及计算机技术领域，特别涉及一种异常检测方法。

背景技术

入侵检测(Intrusion Detection)是一种为计算机网络提供实时保护的网络安全技术，主要是对当前输入受保护网络或受保护主机中的数据进行检测，确定当前检测数据为合法数据还是非法数据。目前的入侵检测体系负责，需要不断的从各个主机、容器上采集各种文件、进程、网络等日志。日志采集agent将日志上报后，通过计算平台检测各种可疑入侵事件。为了检测入侵事件，安全运营人员建立了大量的入侵检测模型，模型复杂度越来越高，模型数量也越来越多，维护也较为困难，且造成了大量的数据存储与计算成本。

发明内容

有鉴于此，本说明书实施例提供了一种异常检测方法。本说明书一个或者多个实施例同时涉及一种异常检测装置，一种计算设备，一种计算机可读存储介质以及一种计算机程序，以解决现有技术中存在的技术缺陷。

根据本说明书实施例的第一方面，提供了一种异常检测方法，包括：

接收至少三个容器组上报的安全数据，其中，所述安全数据包括所述容器组的容器运行状态信息；

比对所述至少三个容器组的容器运行状态信息，在确定所述容器运行状态信息之间的比对结果不一致的情况下，基于所述比对结果确定被入侵容器组。

根据本说明书实施例的第二方面，提供了一种异常检测装置，包括：

数据接收模块，被配置为接收至少三个容器组上报的安全数据，其中，所述安全数据包括所述容器组的容器运行状态信息；

信息比对模块，被配置为比对所述至少三个容器组的容器运行状态信息，在确定所述容器运行状态信息之间的比对结果不一致的情况下，基于所述比对结果确定被入侵容器组。

根据本说明书实施例的第三方面，提供了一种计算设备，包括：

存储器和处理器；

所述存储器用于存储计算机可执行指令，所述处理器用于执行所述计算机可执行指令，该计算机可执行指令被处理器执行时实现上述异常检测方法的步骤。

根据本说明书实施例的第四方面，提供了一种计算机可读存储介质，其存储有计算机可执行指令，该指令被处理器执行时实现上述异常检测方法的步骤。

根据本说明书实施例的第五方面，提供了一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述异常检测方法的步骤。

本说明书一个实施例提供了一种异常检测方法，包括：接收至少三个容器组上报的安全数据，其中，所述安全数据包括所述容器组的容器运行状态信息；比对所述至少三个容器组的容器运行状态信息，在确定所述容器运行状态信息之间的比对结果不一致的情况下，基于所述比对结果确定被入侵容器组。

本说明书实施例提供的异常检测方法，利用以容器交付的应用，相同镜像生成容器状态是一致的，进而，形成安全基准线实现入侵检测；通过接收到容器组上报的安全数据，对比容器组中的容器运行状态信息，在确定容器运行状态信息不一致的情况下，基于比对结果确定被入侵容器组，进而实现对入侵容器的检测，无需通过创建入侵检测模型，也能够精准地对被入侵容器的检测，后期维护的过程中没有那么复杂，也能减少数据存储与计算的成本。

附图说明