本發明涉及一種基于命令監控的docker入侵檢測方法，包括以下步驟：將用于命令監控的agent腳本編譯成可執行的agent程序，并將其制作成RPM包；創建容器時Python腳本自動向容器發出RPM包安裝命令；容器自動部署RPM包；入侵檢測服務器根據接收的命令監控日志信息查找不安全的命令操作語句；根據不安全的命令操作語句所關聯的容器唯一性信息定位被入侵的容器。本申請不僅實現原命令的功能，還能對命令語句進行監控記錄，能夠解決現有的無法通過分析docker進出數據流的方式檢測docker入侵。

技術領域

本發明屬于網絡安全技術領域，尤其涉及一種基于命令監控的docker入侵檢測方法、裝置、計算機裝置以及存儲介質。

背景技術

目前對于docker入侵檢測主要是通過分析進出docker的數據流，結合特征字符串匹配來判斷docker是否被入侵。由于業務發展，數據加密、應用層協議眾多，導致數據還原難度加大，特征字符串難搜集，誤報率高等問題，所以很難真正的應用到企業中。

隨著技術發展，云服務平臺的興起，越來越多的企業開始使用云服務平臺來搭建應用服務。但是為了保護用戶信息安全，禁止云服務平臺存儲收集數據，且每個企業所使用的加密方式種類繁多，導致通過分析docker進出數據流的方式在云服務平臺上完全無法實現。

發明內容

本發明提供一種基于命令監控的docker入侵檢測方法、裝置、計算機裝置以及存儲介質，通過將命令監控agent程序安裝至容器中，不僅實現原命令的功能，還能對命令語句進行監控記錄，能夠解決現有的無法通過分析docker進出數據流的方式檢測docker入侵。

本發明采用如下技術方案：

一種基于命令監控的docker入侵檢測方法，該方法用于入侵檢測裝置中，該入侵檢測裝置包括編譯單元、監控單元、部署單元以及查找定位單元，所述方法包括以下步驟：

步驟1，編譯單元將用于命令監控的agent腳本編譯成可執行的agent程序，并將其制作成RPM包，所述agent程序用于生成命令監控日志并發送至入侵檢測服務器，以及用于調取執行原真命令并返回結果至用戶界面，所述命令監控日志包括命令操作語句及其關聯的容器唯一性信息；

步驟2，監控單元使用Python腳本監控kafka隊列中的容器創建事件，當監控到容器創建事件，Python腳本自動向容器發出安裝所述RPM包的安裝命令；

步驟3，容器執行安裝命令，部署單元自動部署所述RPM包，部署過程中自動將需要監控的真命令改名，然后將agent程序偽裝為真命令，當運行偽裝的命令時實現對用戶輸入命令語句的監控；

步驟4，查找定位單元根據接收的命令監控日志信息查找不安全的命令操作語句，根據不安全的命令操作語句所關聯的容器唯一性信息定位被入侵的容器。

進一步的，所述容器為docker容器。

進一步的，入侵檢測服務器使用go腳本獲取命令監控日志，日志中的容器唯一性信息包括：容器名稱、用戶IP地址、操作用戶名、容器創建時間、容器執行的命令操作語句。

進一步的，所述部署過程中自動將需要監控的真命令改名，然后將agent程序偽裝為真命令具體包括：

定位到待偽裝成的真命令所在的目錄下；

根據agent程序中的真假命令名映射列表，修改真命令名為映射列表中對應的假命令名，所述真假命令名映射列表中預編寫了待監控命令的真假命令名映射命令語句；

將agent程序拷貝至真命令的目錄下，并將該agent程序的名字修改為真命令名。

進一步的，運行agent程序偽裝成的真命令包括：