[發(fā)明專利]一種容器零信任安全防護(hù)方法及系統(tǒng)在審
| 申請(qǐng)?zhí)枺?/td> | 202110786066.8 | 申請(qǐng)日: | 2021-07-12 |
| 公開(公告)號(hào): | CN113595995A | 公開(公告)日: | 2021-11-02 |
| 發(fā)明(設(shè)計(jì))人: | 程筱彪;徐雷;張曼君 | 申請(qǐng)(專利權(quán))人: | 中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司 |
| 主分類號(hào): | H04L29/06 | 分類號(hào): | H04L29/06 |
| 代理公司: | 北京天昊聯(lián)合知識(shí)產(chǎn)權(quán)代理有限公司 11112 | 代理人: | 劉杰;龍濤峰 |
| 地址: | 100033 *** | 國(guó)省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 容器 信任 安全 防護(hù) 方法 系統(tǒng) | ||
本發(fā)明涉及一種容器零信任安全防護(hù)方法及系統(tǒng),其中,該方法包括以下步驟:獲取容器的入口流量,得到入口流量的屬性在周期內(nèi)的特征值;統(tǒng)計(jì)屬性的特征值在周期內(nèi)出現(xiàn)的頻率分布,從而計(jì)算屬性在周期內(nèi)的熵值;根據(jù)屬性在不同周期的歷史熵值來計(jì)算平均熵值和熵值方差,從而得到合理閾值;以及在屬性中的至少一個(gè)在周期內(nèi)的熵值超出相應(yīng)的合理閾值的情況下,發(fā)出容器被攻擊的警告。該方法和系統(tǒng)能夠?qū)崿F(xiàn)容器安全狀態(tài)的持續(xù)評(píng)估,以實(shí)時(shí)數(shù)據(jù)為中心,進(jìn)行動(dòng)態(tài)的訪問控制。
技術(shù)領(lǐng)域
本發(fā)明實(shí)施例涉及一種容器安全防護(hù)方法及系統(tǒng),尤其涉及一種容器零信任安全防護(hù)方法及系統(tǒng)。
背景技術(shù)
隨著高級(jí)安全威脅的持續(xù)增加,傳統(tǒng)的以邊界防護(hù)為主的思路不再適應(yīng)當(dāng)前的IT環(huán)境變化,需要對(duì)容器的安全狀態(tài)持續(xù)進(jìn)行安全防護(hù)。
目前容器的安全防護(hù)主要以邊界防護(hù)為主,即在整個(gè)容器集群與外界網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界部署安全防護(hù)設(shè)備,進(jìn)行安全攻擊檢測(cè)和處理。傳統(tǒng)安全防護(hù)方法對(duì)網(wǎng)絡(luò)邊界內(nèi)的系統(tǒng)授予完全可信的權(quán)限,而隨著攻擊手段的升級(jí)繞過邊界安全設(shè)備通過網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊的事件越來越多。
基于此,需要一種容器零信任安全防護(hù)方法及系統(tǒng),依據(jù)關(guān)鍵容器入口流量的各項(xiàng)特征的隨機(jī)程度判斷容器安全情況,從而能夠?qū)崿F(xiàn)容器安全狀態(tài)的持續(xù)評(píng)估,以實(shí)時(shí)數(shù)據(jù)為中心,進(jìn)行動(dòng)態(tài)的訪問控制。
發(fā)明內(nèi)容
本發(fā)明提供了一種容器零信任安全防護(hù)方法及系統(tǒng),以解決上述技術(shù)問題的至少一個(gè)。
根據(jù)本發(fā)明的一個(gè)方面,提供一種容器零信任安全防護(hù)方法,該方法可以包括以下步驟:
獲取容器的入口流量,可以得到入口流量的屬性在周期內(nèi)的特征值;
統(tǒng)計(jì)屬性的特征值在周期內(nèi)出現(xiàn)的頻率分布,從而可以計(jì)算屬性在周期內(nèi)的熵值;
可以根據(jù)屬性在不同周期的歷史熵值來計(jì)算平均熵值和熵值方差,從而可以得到合理閾值;以及
在屬性中的至少一個(gè)在周期內(nèi)的熵值超出相應(yīng)的合理閾值的情況下,可以發(fā)出容器被攻擊的警告。
可選地,可以統(tǒng)計(jì)屬性的特征值在周期內(nèi)出現(xiàn)的次數(shù),匯總得到屬性的特征次數(shù)映射表。
可選地,可以計(jì)算屬性的特征值在周期內(nèi)出現(xiàn)的頻率,可以將特征次數(shù)映射表中的次數(shù)替換為頻率,從而可以得到特征頻率映射表。
可選地,可以根據(jù)特征頻率映射表計(jì)算屬性在周期內(nèi)的熵值,熵值可以通過下式計(jì)算:
其中,Pi可以表示第i個(gè)屬性,H(Pi)可以表示第i個(gè)屬性的熵值,rj可以表示第i個(gè)屬性的第j個(gè)特征值在周期內(nèi)出現(xiàn)的頻率,n可以為第i個(gè)屬性的特征值在周期內(nèi)的數(shù)量,i、j和n均為不為零的正整數(shù)。
可選地,合理閾值可以在平均熵值減去熵值方差的值以上且平均熵值加上熵值方差的值以下的范圍內(nèi)。
可選地,在發(fā)出警告之后,在確認(rèn)容器被攻擊的情況下,可以屏蔽被攻擊的容器,并且可以將入口流量負(fù)載到其它同類容器中。
可選地,入口流量的目的IP地址可以以容器為目的地。
可選地,屬性可以包括入口流量的源IP地址、源端口號(hào)和目的端口號(hào)。
根據(jù)本發(fā)明的第二方面,提供一種容器零信任安全防護(hù)系統(tǒng),該系統(tǒng)可以包括:主機(jī)、網(wǎng)絡(luò)鏈路、分光器、流量解析器和容器,入口流量可以從主機(jī)經(jīng)由網(wǎng)絡(luò)鏈路流向容器,分光器可以部署在網(wǎng)絡(luò)鏈路上,并且分光器可以配置為將來自主機(jī)的流量復(fù)制到流量解析器中,流量解析器可以配置為根據(jù)流量的目的IP地址提取出以容器為目的地的入口流量,提取入口流量的屬性,計(jì)算屬性的熵值和合理閾值,并且判斷熵值是否超出合理閾值。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司,未經(jīng)中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110786066.8/2.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
- 用名稱空間和策略來調(diào)整信任關(guān)系的方法和系統(tǒng)
- 一種用于實(shí)現(xiàn)可信可控網(wǎng)絡(luò)協(xié)議的方法
- 一種基于信任度評(píng)估的自適應(yīng)信任協(xié)商系統(tǒng)和方法
- 一種用于普適環(huán)境下實(shí)體信任值的預(yù)測(cè)方法
- 對(duì)等組警戒
- 一種面向車聯(lián)網(wǎng)的分層信任模型及其信任值計(jì)算方法
- 一種跨網(wǎng)數(shù)據(jù)安全交換設(shè)備
- 一種跨網(wǎng)數(shù)據(jù)安全交換設(shè)備
- 一種物聯(lián)網(wǎng)節(jié)點(diǎn)的信任度評(píng)價(jià)方法、裝置、設(shè)備及介質(zhì)
- 一種基于情境感知的在線學(xué)習(xí)社區(qū)學(xué)伴推薦方法及系統(tǒng)
- 防護(hù)裝置和防護(hù)方法
- 防護(hù)材料與防護(hù)結(jié)構(gòu)與防護(hù)方法
- 一種用于評(píng)估防護(hù)工程綜合防護(hù)效能的數(shù)學(xué)計(jì)算模型
- 平面防護(hù)板、拐角防護(hù)板及防護(hù)裝置
- 平面防護(hù)板、拐角防護(hù)板及防護(hù)裝置
- 防護(hù)裝置及防護(hù)系統(tǒng)
- 防護(hù)蓋(接頭防護(hù)蓋)
- 巖爆防護(hù)臺(tái)車防護(hù)網(wǎng)以及防護(hù)臺(tái)車防護(hù)架
- 巖爆防護(hù)臺(tái)車防護(hù)網(wǎng)以及防護(hù)臺(tái)車防護(hù)架
- 防護(hù)罩、防護(hù)服及防護(hù)系統(tǒng)
