本发明属于云计算网络技术领域,具体涉及一种容器安全防护的方法及装置。
背景技术
随着云平台的发展,很多应用系统都迁入到的虚拟机、容器、物理机的云管理平台中。云平台外部边界上有防火墙、入侵检测等相关设备,来保证外界的安全。而云平台内部的安全一般是通过宿主机上的虚拟防火墙来实现。然而这个虚拟防火墙的功能比较有限,一般只能设置安全访问规则功能,对于同一宿主机所承载的各容器之间的网络流量不受限制,因此容器之间的攻击数据可以绕过物理网卡直接攻击同一个主机的其他容器,从而无法有效防护同一个主机的不同容器之间的相互攻击。
因此,解决同一个主机的不同容器之间的相互攻击是至关重要的。
技术实现要素:
本发明至少部分解决现有的同一个主机的不同容器之间的相互攻击的问题,提供一种防护同一个主机的不同容器之间的相互攻击的容器安全防护的方法及装置。
解决本发明技术问题所采用的技术方案是一种容器安全防护的方法,包括:
根据有效数据的路径信息对所述有效数据进行数据量分析,并针对每种数据量得到一项分析结果;
判断所述分析结果是否符合预设标准;
当任意一项所述分析结果持续不符合所述预设标准时,发出告警信息。
进一步优选的是,根据所述有效数据的路径信息对有效数据进行数据量分析之前还包括:根据所述预设规则对容器的数据进行筛选,剔除无效数据以及预设的可信数据,保留所述有效数据。
进一步优选的是,根据所述预设规则对所述容器的数据进行筛选之前还包括:根据所述容器的ip列表向openflow交换机发送流表;根据所述流表将所述ip列表对应的数据进行封装,并传输至sdn控制器;将封装的所述数据进行解封,形成所述容器的数据。
进一步优选的是,根据所述有效数据的路径信息对所述有效数据进行数据量分析之前还包括:设定所述预设标准并更新所述容器的数据。
进一步优选的是,所述预设标准包括所述容器的数据量的告警阈值。
所述路径信息包括所述有效数据的来源、所述有效数据包目的地址、所述有效数据包的转发端口中的至少一项。
解决本发明技术问题所采用的技术方案是一种容器安全防护的装置,包括:
统计模块,用于根据有效数据的路径信息对所述有效数据进行数据量分析,并针对每种数据量得到一项分析结果;
判断模块,用于判断所述分析结果是否符合预设标准;
告警模块,用于当任意一项所述分析结果持续不符合所述预设标准时,发出告警信息。
进一步优选的是,该装置还包括:预处理模块,用于根据所述预设规则对容器的数据进行筛选,剔除无效数据以及预设的可信数据,保留所述有效数据;传输模块,用于根据所述容器的ip列表向openflow交换机发送流表;封装模块,用于根据所述流表将所述ip列表对应的数据进行封装,并传输至sdn控制器;解封模块,将封装的所述数据进行解封,形成所述容器的数据;设定模块,用于设定所述预设标准并更新所述容器的数据。
进一步优选的是,所述预设标准包括所述容器的数据量的告警阈值。
进一步优选的是,所述路径信息包括所述有效数据的来源、所述有效数据包目的地址、所述有效数据包的转发端口中的至少一项。
本发明的一种容器安全防护的方法中,首先根据预设规则将有效数据筛选出来,再根据有效数据的路径信息对有效数据进行数据量分析,并针对每种数据量得到一项分析结果,当任意一项分析结果持续不符合预设标准时,发出告警信息,从而可以预防同一个主机的不同容器之间的相互攻击,进而可以在一定程度上减少同一个主机的容器之间的流量攻击产生危害,保证容器运行的性能。
此外,在筛选有效数据之前,根据容器的流表将所述ip列表对应的数据进行封装之后再传输至sdn控制器,这样不仅可以将ip列表的数据更可靠和准确的发送至目的地,而且可以更加合理的利用传输资源,从而提高运作效率。
附图说明
图1为本发明的实施例的一种容器安全防护的方法的流程示意图;
图2为本发明的实施例的另一种容器安全防护的方法的流程示意图;
图3为本发明的实施例的一种容器安全防护的装置的组成示意框图。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和具体实施方式对本发明作进一步详细描述。
实施例1:
如图1所示,本实施例提供一种容器安全防护的方法,包括:
s101、根据有效数据的路径信息对有效数据进行数据量分析,并针对每种数据量得到一项分析结果。
其中,这里所说的路径信息可以包括有效数据的来源、有效数据包目的地址、有效数据包的转发端口以及其他与有效数据相关的数据。根据有效数据的路径信息的其中一项信息进行数据量分析得到一个相对应的分析结果,也就是说,如果有效数据的路径信息包括有效数据的来源、有效数据包目的地址、有效数据包的转发端口三项,则分别根据这三项信息得到关于有效数据的来源分析结果、关于有效数据包目的地址的分析结果以及关于有效数据包的转发端口的分析结果。
s102、判断分析结果是否符合预设标准。
其中,这里所说的预设标准可以包括容器的数据量的告警阈值或者是其他的阈值。这里的分析结果是对有效数据的数据量分析的结果,因此,这里是用预设标准中的容器的数据量的告警阈值来进行判断的。
s103、当任意一项分析结果持续不符合预设标准时,发出告警信息。
其中,容器的数据量是不断变化的,因此需要对的到的分析结果进行持续的判断,当容器的数据量的任一项分析结果在一段时间内不符合预设标准时,发出告警信息。这里所说的发出告警信息是对容器的产生异常流量的现象告警,从而防止容器间的互相攻击。
本发明的一种容器安全防护的方法中,根据有效数据的路径信息对有效数据进行数据量分析,并针对每种数据量得到一项分析结果,当任意一项分析结果持续不符合预设标准时,发出告警信息,从而可以预防同一个主机的不同容器之间的相互攻击,进而可以在一定程度上减少同一个主机的容器之间的流量攻击产生危害,保证容器运行的性能。
实施例2:
如图2所示,本实施例提供一种容器安全防护的方法,包括:。
s201、设定预设标准并更新容器的数据。
其中,这里所说的预设标准可以包括容器的数据量的告警阈值或者是其他的阈值。可以根据实际需要对容器的数据进行更新。
s202、根据容器的ip列表向openflow交换机发送流表。
其中,这里可以是通过控制sdn控制器,使得sdn控制器根据所监控的容器的ip列表向openflow交换机发送流表。openflow是一种新型的网络交换模型,可以将网络设备的控制功能和转发功能进行分离,进而将控制功能全部集中到远程的控制器上完成,其中openflow交换机负责做简单高速的数据转发。容器的ip列表可以包括动态主机配置协议(dynamichostconfigurationprotocol,dhcp)、域名系统(domainnamesystem,dns)、sflow流量等数据。
s203、根据流表将ip列表对应的数据进行封装,并传输至sdn控制器。
其中,这里是说将ip列表的动态主机配置协议、域名系统、sflow流量等数据封装到一个数据包中。封装可以将ip列表对应的数据更可靠和准确的发送至目的地,而且可以更加合理的利用传输资源。sdn控制器是软件定义网络(sdn)中的应用程序,负责流量控制以确保智能网络。
s204、将封装的数据进行解封,形成容器的数据。
其中,当ip列表对应的数据形成的数据包到达sdn控制器后,将ip列表对应的数据形成的数据包进行解封,使得sdn控制器识别ip列表对应的数据,从而形成容器的数据。
s205、根据预设规则对容器的数据进行筛选,剔除无效数据以及预设的可信数据,保留有效数据。
其中,这里所说的根据预设规则对容器的数据进行筛选的过程也可以说是对容器的数据预处理过程。预设规则包括无效数据的界定标准以及可信数据。本步骤中主要是根据预设标准中的无效数据的界定标准以及可信数据对容器的数据进行筛选,使得筛选后的容器的数据均为有效数据。无效数据可以是指容器的出现错误的数据,对容器的运行起到阻碍作用。
s206、根据有效数据的路径信息对有效数据进行数据量分析,并针对每种数据量得到一项分析结果。
其中,这里所说的路径信息可以包括有效数据的来源、有效数据包目的地址、有效数据包的转发端口以及其他与有效数据相关的数据。根据有效数据的路径信息的其中一项信息进行数据量分析得到一个相对应的分析结果,也就是说,如果有效数据的路径信息包括有效数据的来源、有效数据包目的地址、有效数据包的转发端口三项,则分别根据这三项信息得到关于有效数据的来源分析结果、关于有效数据包目的地址的分析结果以及关于有效数据包的转发端口的分析结果。
s207、判断分析结果是否符合预设标准。
其中,这里的分析结果是对有效数据的数据量分析的结果,因此,这里是用预设标准中的容器的数据量的告警阈值来进行判断的。
s208、当任意一项分析结果持续不符合预设标准时,发出告警信息。
其中,容器的数据量是不断变化的,因此需要对的到的分析结果进行持续的判断,当容器的数据量的任一项分析结果在一段时间内不符合预设标准时,发出告警信息。这里所说的发出告警信息是对容器的产生异常流量的现象告警,从而防止容器间的互相攻击。
本发明的一种容器安全防护的方法中,首先根据预设规则将有效数据筛选出来,再根据有效数据的路径信息得到分析结果,当分析结果持续不符合预设标准时,发出告警信息,从而可以预防同一个主机的不同容器之间的相互攻击,进而可以在一定程度上减少同一个主机的容器之间的流量攻击产生危害,保证容器运行的性能。
此外,在筛选有效数据之前,根据流表将ip列表对应的数据进行封装之后再传输至sdn控制器,这样不仅可以将ip列表对应的数据更可靠和准确的发送至目的地,而且可以更加合理的利用传输资源,从而提高运作效率。
实施例3:
如图3所示,本实施例提供一种容器安全防护的装置,其包括统计模块、判断模块、告警模块、预处理模块、传输模块、封装模块、解封模块以及设定模块。
其中,统计模块用于根据有效数据的路径信息对有效数据进行数据量分析,并针对每种数据量得到一项分析结果。这里所说的路径信息可以包括有效数据的来源、有效数据包目的地址、有效数据包的转发端口以及其他与有效数据相关的数据。根据有效数据的路径信息的其中一项信息进行数据量分析得到一个相对应的分析结果。
其中,判断模块用于判断分析结果是否符合预设标准。这里所说的预设标准可以包括容器的数据量的告警阈值或者是其他的阈值。这里的分析结果是对有效数据的数据量分析的结果,因此,这里是用预设标准中的容器的数据量的告警阈值来进行判断的。
其中,告警模块用于当任意一项分析结果持续不符合预设标准时,发出告警信息。这里所说的发出告警信息是对容器的产生异常流量的现象告警,从而防止容器间的互相攻击。
其中,预处理模块用于根据预设规则对容器的数据进行筛选,剔除无效数据以及预设的可信数据,保留有效数据。这里主要是根据预设标准中的无效数据的界定标准以及可信数据对容器的数据进行筛选,使得筛选后的容器的数据均为有效数据。
其中,传输模块用于根据容器的ip列表向openflow交换机发送流表。
其中,封装模块用于根据流表将ip列表对应的数据进行封装,并传输至sdn控制器。
其中,解封模块将封装的数据进行解封,形成容器的数据。这里是说将ip列表的动态主机配置协议、域名系统、sflow流量等数据封装到一个数据包中。封装可以将ip列表对应的数据更可靠和准确的发送至目的地,而且可以更加合理的利用传输资源。
其中,设定模块用于设定预设标准并更新容器的数据。
本发明提供的一种容器安全防护的方法装置,通过据有效数据的路径信息对有效数据进行数据量分析,并针对每种数据量得到一项分析结果,当任意一项分析结果持续不符合预设标准时,发出告警信息,从而可以预防同一个主机的不同容器之间的相互攻击,进而可以在一定程度上减少同一个主机的容器之间的流量攻击产生危害,保证容器运行的性能。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。