一种基于容器环境的威胁检测诱捕方法与流程

1.本技术涉及到信息安全技术领域，尤其涉及到一种基于容器环境的威胁检测诱捕方法。


背景技术：

2.随着网络高速发展，网络中的资源也在增加，如何提高暴露在网络中资源的安全性，是目前急需解决的问题。因此，只有能够捕获到攻击方更多特征，才能够更多的对其进行识别和防护。
3.容器是操作系统上一种轻量化的虚拟技术，通过隔离容器和宿主机系统的运行环境，使容器内的应用进程运行在自己独立的环境中。kubernetes是容器的部署编排系统，通过该系统，可以统一管理集群内不同节点上的所有pod即容器组，事实上在kubernetes中最小的管理单位就是pod容器组，每个pod由多个容器组成。
4.目前的诱骗环境还是通过虚拟程序放到一个单独主机。如果需要的诱骗环境很多维护更新很不方便，也会给主机本身带来很大消耗，还会造成系统不稳定。而且攻击者的行为也无法有效监控。还有可能使攻击者发现环境的不真实性，导致无法真正的诱骗到攻击者。而且环境产生的事件很多会导致分析效率低下，误报多的问题。


技术实现要素：

5.一种基于容器环境的威胁检测诱捕方法，包括在部署编排系统构建诱捕环境，所述诱捕环境与正式业务环境共存且互不影响；
6.在所述诱捕环境中创建容器组，且创建所述容器组时固定容器名称按照一定规范进行命名；
7.还包括用于检测所述诱捕环境中的威胁检测模块，所述威胁检测模块通过事件分析系统捕获所述诱捕环境中的容器组的进程事件。
8.在一个具体的可实施方案中，所述诱捕环境通过namespace进行资源隔离。
9.在一个具体的可实施方案中，所述容器组包含对应服务所在的多个所述固定容器。
10.在一个具体的可实施方案中，所述容器组设置有一组和/或多组。
11.在一个具体的可实施方案中，所述威胁检测模块根据内置威胁检测规则去匹配所述诱捕环境产生的各种事件。
12.在一个具体的可实施方案中，所述事件分析系统通过发现所述诱捕环境中的所述容器组的至少三个方面进行事件监控；且针对产生的事件通过对应规则引擎进行规则匹配。
13.在一个具体的可实施方案中，所述至少三个方面包括：网络事件采集、文件事件采集以及进程事件采集。
14.在一个具体的可实施方案中，所述事件分析系统对命中规则后的当前行为进行标
记并报告。
15.本技术中使得诱捕环境更加真实，由于容器负载小、启动快，相互之间隔离性也很强，诱捕环境和正式环境共存互不影响，还可以减少主机资源消耗。结合具体环境针对分析，具有准确、高效、安全性高的优点。
附图说明
16.图1为本技术实施例提供的基于容器环境的威胁检测诱捕方法的第一实施例的构架示意图；
17.图2为本技术实施例提供的基于容器环境的威胁检测诱捕方法的第二实施例的构架示意图。
具体实施方式
18.为了使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术作进一步地详细描述。
19.参考图1，本技术中基于容器环境的威胁检测诱捕方法包括，包括首先在kubernetes集群中创建一个属于诱捕环境的namespace，通过namespace进行资源隔离。通过进行资源隔离诱捕环境与正式业务环境共存且互不影响；
20.然后在已创建的namespace中创建诱捕环境所需要的对应服务的容器组(pod)，容器组(pod)包含对应服务所在的多个固定容器。并且，本技术实施例中的不仅仅针对一个容器组(pod)启动，为此容器组(pod)设置有一组和/或多组。
21.在具体创建容器组(pod)时需要固定容器名称按照一定规范进行命名，方便在事件分析系统中查找和绑定对应诱捕容器。具体创建容器组(pod)包括以下步骤：
22.1.执行创建namespace命令kubectl create namespace{namespace名称}。
23.2.创建一份编排文件，然后只需要执行此命令kubectl apply-f{编排文件名}即可创建对应pod。
24.3.可根据自身环境针对性对指定诱捕环境进行资源、权限限制，增强安全性。
25.以上只是针对一个容器组(pod)的启动，此方案可根据具体环境进行适度增加容器组(pod)增加对攻击者诱惑强度和迷惑强度，也可结合具体环境的业务制作更加真实的诱捕环境。此方案的移植性和可操作性非常强，只要相同基础环境支持只需复制以上操作就可创建一个诱捕环境。还包括用于检测诱捕环境中的威胁检测模块，威胁检测模块通过事件分析系统捕获诱捕环境中的容器组的进程事件。本技术中的第一实施例中对构建诱捕环境进行详细阐述，当然也包含对诱捕环境中的事件采集和威胁检测方式进行同步运行。
26.参考图2，在本技术中的第二实施例中，首先制作一份诱捕环境容器启动所需的镜像，此镜像需根据待保护服务来制作。这样才能是诱捕环境更真实、更有迷惑度。然后通过docker run命令启动对应镜像，并将服务端口暴露。
27.威胁检测模块根据内置威胁检测规则去匹配诱捕环境产生的各种事件。并且事件分析系统通过发现诱捕环境中的容器组的至少三个方面进行事件监控；且针对产生的事件通过对应规则引擎进行规则匹配。具体的，威胁检测模块是根据内置威胁检测规则去匹配诱捕环境产生的各种事件。事件分析系统通过发现诱捕环境对应服务容器进行文件、网络、
进程三个方面的事件监控，针对产生的事件通过对应规则引擎进行规则匹配。
28.具体的，三个方面包括：网络事件采集，文件事件采集以及进程事件采集。
29.其中，网络事件采集；网络事件采集使用ebpf(全称extendedberkeley packet filter)，linux内核提供了一种扩展的bpf(全称berkeley packet filter)虚拟机。它能够被用于非网络相关的功能，能够向用户空间提供一个向内核注入可执行代码的接口。ebpf(全称extended berkeley packet filter)具有独立的寄存器，提供单独的虚拟机环境，因此在bpf(全称berkeley packet filter)虚拟环境中运行代码不会对系统造成影响，具有安全性。只需要监控对应容器进程及其创建出的子进程的网络事件。
30.另外，文件事件采集；文件事件采集是通过linux内核notify机制监控文件系统的变化，比如删除、读、写和卸载等操作。notify机制是让某个子系统在发生某个事件时通知其它子系统。基于docker容器技术使用联合文件系统(unionfs)并利用notify机制，联合文件系统(union file system)也可称为unionfs,此系统最主要的功能是将多个目录(被称为layer)联合挂载到同一目录下。overlay2就是docker所用到的联合文件系统中的一种。容器的基础层就是基于镜像层上增加一层，所以容器运行后的所有文件都会体现在容器层目录merged中。所以需要将所有诱捕环境容器的层目录挂载到事件分析系统可访问环境。文件事件采集系统会将对应容器的所有文件添加到监控列表，接收其操作事件。
31.此外，进程事件采集；进程事件采集方案是通过进程事件引擎监听darwin/bsd上的kqueue和linux上的netlink连接器从内核捕获进程事件。
32.由以上描述中可以看出，事件分析系统基于采集到的各类事件进行规则匹配。每类事件都有针对于当前类型的规则，当命中规则后会将当前行为标记并报告。可以精准定位到具体问题点。
33.本技术中使得诱捕环境更加真实，由于容器负载小、启动快，相互之间隔离性也很强，诱捕环境和正式环境共存互不影响，还可以减少主机资源消耗。结合具体环境针对分析，具有准确、高效、安全性高的优点。
34.以上，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。