[发明专利]一种基于Kubernetes构建的容器云安全防护方法与系统在审
| 申请号: | 201811137300.9 | 申请日: | 2018-10-05 |
| 公开(公告)号: | CN109347814A | 公开(公告)日: | 2019-02-15 |
| 发明(设计)人: | 关键;李斌 | 申请(专利权)人: | 李斌 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 200080 上海市虹*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于Kubernetes构建的容器云安全防护方法与系统,方法包括:在Kubernetes容器云中加入安全防护系统,当客户端访问容器云上的微服务,防护系统首先对请求进行传输层第一次流量清洗;然后转发到应用层防护系统进行第二次流量清洗,并将清洗后的流量转发至相应的微服务;同时收集所有访问日志,然后通过对日志的智能分析,识别异常访问行为和攻击源,生成防护策略,下发到防护子系统,拦截攻击,完成第三次流量清洗。本发明实现了:1)IP层、传输层、应用层的纵深防护体系;2)防护策略的智能生成、下发以及与防护系统的联动;3)安全组件的容器化,具有部署快、易扩展、易运维等优势。本发明适用于Kubernetes容器云上的微服务的安全防护。 | ||
| 搜索关键词: | 流量清洗 防护策略 防护系统 防护 传输层 云安全 构建 安全防护系统 客户端访问 应用层防护 安全防护 安全组件 访问日志 访问行为 流量转发 智能分析 智能生成 纵深防护 攻击源 应用层 联动 日志 运维 服务 清洗 拦截 转发 攻击 部署 | ||
【主权项】:
1.一种基于Kubernetes构建的容器云安全防护方法与系统,其特征在于包括:在Kubernetes构建容器云集群的同时,本发明作为容器化的系统组件,部署在Kubernetes系统中,作为系统业务流量入口,起到安全防护的作用,系统具体包含:传输层流量清洗子系统,用于接收客户端的第一访问请求,判断是不是攻击流量,要求扩展Linux内核,类似syn‑proxy这样的机制,拦截包括常见的传输层流量型攻击,synflood,udp flood等;如果检测为攻击,直接丢弃,并记录访问日志,用于数据分析和可视化展示;如果不是,则转发到应用层流量清洗子系统;应用层流量清洗子系统,用于接收传输层清洗子系统过滤后的流量,并实现应用层攻击检测,根据协议,匹配规则库中的规则,如果符合攻击特征,直接丢弃,并记录访问日志,用于数据分析和可视化展示;如果不是,则转发到后端容器云中真实的微服务地址;容器云日志收集子系统,用于收集Kubernetes集群中所有微服务容器所产生的访问日志,集成高可用的存储系统,缓存系统确保数据正常及时写入,过滤掉重复,或没有价值的日志,用于日志解析子系统;智能日志解析子系统,用于智能分析访问日志,获取攻击行为的访问,然后智能生成安全防护策略,并下发给清洗子系统,持续增强防护策略,进行再次的流量清洗;以上所述的多层流量清洗,构建了一套纵深的防护体系,实现了防御的联动,和防护策略的生成和下发,系统自身防护能力可持续性增强。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于李斌,未经李斌许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201811137300.9/,转载请声明来源钻瓜专利网。
