[发明专利]一种基于Kubernetes构建的容器云安全防护方法与系统在审

专利信息
申请号: 201811137300.9 申请日: 2018-10-05
公开(公告)号: CN109347814A 公开(公告)日: 2019-02-15
发明(设计)人: 关键;李斌 申请(专利权)人: 李斌
主分类号: H04L29/06 分类号: H04L29/06
代理公司: 暂无信息 代理人: 暂无信息
地址: 200080 上海市虹*** 国省代码: 上海;31
权利要求书: 查看更多 说明书: 查看更多
摘要:
搜索关键词: 流量清洗 防护策略 防护系统 防护 传输层 云安全 构建 安全防护系统 客户端访问 应用层防护 安全防护 安全组件 访问日志 访问行为 流量转发 智能分析 智能生成 纵深防护 攻击源 应用层 联动 日志 运维 服务 清洗 拦截 转发 攻击 部署
【说明书】:

发明公开了一种基于Kubernetes构建的容器云安全防护方法与系统,方法包括:在Kubernetes容器云中加入安全防护系统,当客户端访问容器云上的微服务,防护系统首先对请求进行传输层第一次流量清洗;然后转发到应用层防护系统进行第二次流量清洗,并将清洗后的流量转发至相应的微服务;同时收集所有访问日志,然后通过对日志的智能分析,识别异常访问行为和攻击源,生成防护策略,下发到防护子系统,拦截攻击,完成第三次流量清洗。本发明实现了:1)IP层、传输层、应用层的纵深防护体系;2)防护策略的智能生成、下发以及与防护系统的联动;3)安全组件的容器化,具有部署快、易扩展、易运维等优势。本发明适用于Kubernetes容器云上的微服务的安全防护。

技术领域

本发明属于网络安全技术领域,具体涉及基于Kubernetes构建的容器云的安全防护方法与系统。

背景技术

基于Kubernetes构建的容器云,系统本身提供了三种认证方式:CA认证,Token认证和Base认证来保护系统本身不被攻击,保证了系统组件的安全,但针对于容器云中部署的微服务的防护并没有起到作用,如果攻击只针对其中的一个或这多个微服务发起流量攻击,或者其他渗透攻击,Kubernetes集群现有的安全技术手段,无法监测出并拦截到攻击,攻击者很容易就绕过现有的安全策略,来对系统进行各种攻击,使集群服务瘫痪,无法提供正常的微服务,这一点也是Kubernetes构建的容器云不足的地方。

随着Kubernetes的流行,以及容器化,微服务化的趋势的发展,提供安全可靠的容器云平台是必须考虑的问题,增强Kubernetes的自身系统针对微服务方面的安全防护能力是本发明的目的。

发明内容

为了解决上述现有技术存在的问题,本发明提出了一种针对Kubernetes构建的容器云的安全防护方法与系统,包括如下:

接收客户端发起的,访问基于Kubernetes构建的微服务的请求,首先对该请求进行传输层防护系统第一次流量清洗。

其中,所述的客户端请求,包含攻击正常访问请求,和攻击,异常流量请求。所述的进行传输层防护系统,即针对TCP/UDP传输协议的安全防护,基于报文的特征,访问行为,有效识别syn flood,udp flood,ack flood等常见流量型攻击,并进行有效拦截,清洗掉攻击流量,实现传输层的流量清洗,得到传输层清洗后的流量。

所述的传输层防护系统包含四层负载均衡的能力,确保流量可以正确负载到下一层的清洗系统;同时还包括:

IP黑白名单模块,即直接封禁攻击IP,或加白某IP;域名+IP黑白名单,即直接封禁访问某域名的IP,或开放访问某域名的IP访问;域名+IP地域访问控制黑白名单,即直接封禁某区域访问某个域名的IP,或开放某某地区域名的访问;IP限速,即限制某IP的访问速率;以及基于TCP/UDP协议特征攻击检测模块,自定义协议特征以及配置更新模块。

将第一次清洗后的流量转发到应用层防护系统,进行第二次流量清洗。

所述的应用层流量清洗子系统,用于接收传输层清洗子系统过滤后的流量,并实现应用层攻击检测,根据协议,匹配规则库中的规则,如果是直接丢弃,同时将请求的来源IP等信息,加入黑名单,并记录访问日志;如果不是,则转发到后端真实的微服务地址。

所述的规则库,维护着常见的基于协议的攻击请求定义的规则,匹配每一次应用层协议请求,来判断是否是攻击行为,也可设置白名单机制来跳过监测,提高转发效率。非攻击行为,通过反向代理的方式找到Kubernetes启动的微服务,完成正常的业务交互。同时该系统对微服务的存活具有监控,自动更新配置。

防护系统转发请求到相应的微服务地址,同时收集所有容器化微服务的访问日志,从访问日志这个纬度,来增强系统攻击可追溯性,方便故障排除,和后续的攻击检测。

下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。

该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于李斌,未经李斌许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服

本文链接:http://www.vipzhuanli.com/pat/books/201811137300.9/2.html,转载请声明来源钻瓜专利网。

×

专利文献下载

说明:

1、专利原文基于中国国家知识产权局专利说明书;

2、支持发明专利 、实用新型专利、外观设计专利(升级中);

3、专利数据每周两次同步更新,支持Adobe PDF格式;

4、内容包括专利技术的结构示意图流程工艺图技术构造图

5、已全新升级为极速版,下载速度显著提升!欢迎使用!

请您登陆后,进行下载,点击【登陆】 【注册】

关于我们 寻求报道 投稿须知 广告合作 版权声明 网站地图 友情链接 企业标识 联系我们

钻瓜专利网在线咨询

周一至周五 9:00-18:00

咨询在线客服咨询在线客服
tel code back_top