本申請(qǐng)公開(kāi)一種入侵檢測(cè)方法及裝置，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，該方法應(yīng)用于服務(wù)網(wǎng)格，服務(wù)網(wǎng)格包括多個(gè)服務(wù)，每個(gè)服務(wù)包括業(yè)務(wù)容器和代理容器，該方法包括：控制每個(gè)服務(wù)中的代理容器截獲待進(jìn)入該服務(wù)中的業(yè)務(wù)容器中的業(yè)務(wù)報(bào)文，控制該代理容器對(duì)截獲的業(yè)務(wù)報(bào)文進(jìn)行解析，并控制該代理容器將解析結(jié)果與配置的報(bào)文攔截規(guī)則進(jìn)行比對(duì)，控制該代理容器在確定業(yè)務(wù)報(bào)文與報(bào)文攔截規(guī)則匹配時(shí)對(duì)業(yè)務(wù)報(bào)文進(jìn)行攔截處理，以防止業(yè)務(wù)報(bào)文入侵該服務(wù)中的業(yè)務(wù)容器。這樣，將入侵檢測(cè)的功能集成至服務(wù)網(wǎng)格中每個(gè)服務(wù)的代理容器中，從而使服務(wù)網(wǎng)格對(duì)網(wǎng)絡(luò)入侵具有了防御能力。

技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種入侵檢測(cè)方法及裝置。

背景技術(shù)

隨著容器技術(shù)的不斷發(fā)展，應(yīng)用程序設(shè)計(jì)由傳統(tǒng)的單體架構(gòu)逐漸轉(zhuǎn)變?yōu)槲⒎?wù)架構(gòu)，應(yīng)用程序部署也從原來(lái)的單機(jī)部署變成了集群或分布式部署，從而衍生出了許多微服務(wù)部署方案。

目前，通過(guò)在主流容器編排平臺(tái)Kubernetes上部署服務(wù)網(wǎng)格成為了較為流行的微服務(wù)部署方案。服務(wù)網(wǎng)格雖然解決了微服務(wù)間存在的通信問(wèn)題，但在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境下，由于各種攻擊層出不窮，因此，微服務(wù)安全也不容忽視。現(xiàn)有的服務(wù)網(wǎng)格技術(shù)針對(duì)網(wǎng)絡(luò)入侵并不具備相應(yīng)的防御能力。

發(fā)明內(nèi)容

本申請(qǐng)實(shí)施例提供一種入侵檢測(cè)方法及裝置，用以解決現(xiàn)有服務(wù)網(wǎng)格技術(shù)對(duì)網(wǎng)絡(luò)攻擊缺乏防御能力的問(wèn)題。

第一方面，本申請(qǐng)實(shí)施例提供的一種入侵檢測(cè)方法，應(yīng)用于服務(wù)網(wǎng)格，所述服務(wù)網(wǎng)格包括多個(gè)服務(wù)，每個(gè)服務(wù)包括業(yè)務(wù)容器和代理容器，所述方法包括：

控制每個(gè)服務(wù)中的代理容器截獲待進(jìn)入該服務(wù)中的業(yè)務(wù)容器中的業(yè)務(wù)報(bào)文；

控制所述代理容器對(duì)截獲的業(yè)務(wù)報(bào)文進(jìn)行解析；

控制所述代理容器將解析結(jié)果與配置的報(bào)文攔截規(guī)則進(jìn)行比對(duì)；

控制所述代理容器在確定所述業(yè)務(wù)報(bào)文與任一報(bào)文攔截規(guī)則匹配時(shí)對(duì)所述業(yè)務(wù)報(bào)文進(jìn)行攔截處理，以防止所述業(yè)務(wù)報(bào)文入侵所述業(yè)務(wù)容器。

在一種可能的實(shí)施方式中，所述服務(wù)網(wǎng)格還包括控制單元，以及根據(jù)以下步驟配置各代理容器的報(bào)文攔截規(guī)則：

控制所述控制單元獲取配置文件，所述配置文件中包含有需要攔截的業(yè)務(wù)報(bào)文的特征描述信息；

控制所述控制單元對(duì)所述配置文件進(jìn)行解析，得到報(bào)文攔截規(guī)則；

控制所述控制單元將所述報(bào)文攔截規(guī)則發(fā)送給各代理容器，以對(duì)各代理容器的報(bào)文攔截規(guī)則進(jìn)行配置。

在一種可能的實(shí)施方式中，所述特征描述信息包括以下信息的任意組合：

有效載荷payload的特征描述信息；網(wǎng)絡(luò)協(xié)議IP的特征描述信息；端口的特征描述信息；統(tǒng)一資源定位器URL的特征描述信息；報(bào)文頭的特征描述信息。

在一種可能的實(shí)施方式中，還包括：

控制每個(gè)代理容器在滿足設(shè)定的報(bào)文攔截規(guī)則上報(bào)條件時(shí)，將自身實(shí)際使用的報(bào)文攔截規(guī)則上報(bào)給所述控制單元；

控制所述控制單元將每個(gè)代理容器實(shí)際使用的報(bào)文攔截規(guī)則與保存的報(bào)文攔截規(guī)則進(jìn)行比對(duì)；

控制所述控制單元在確定保存的報(bào)文攔截規(guī)則與任一代理容器實(shí)際使用的報(bào)文攔截規(guī)則不同時(shí)，對(duì)所述任一代理容器實(shí)際使用的報(bào)文攔截規(guī)則進(jìn)行更新，使所述任一代理容器實(shí)際使用的報(bào)文攔截規(guī)則與所述控制單元保存的報(bào)文攔截規(guī)則相同。

第二方面，本申請(qǐng)實(shí)施例提供的一種入侵檢測(cè)裝置，應(yīng)用于服務(wù)網(wǎng)格，所述服務(wù)網(wǎng)格包括多個(gè)服務(wù)，每個(gè)服務(wù)包括業(yè)務(wù)容器和代理容器，所述裝置包括：

截獲模塊，用于控制每個(gè)服務(wù)中的代理容器截獲待進(jìn)入該服務(wù)中的業(yè)務(wù)容器中的業(yè)務(wù)報(bào)文；