[发明专利]基于命令监控的docker入侵检测方法、装置及介质

说明书

本发明涉及一种基于命令监控的docker入侵检测方法，包括以下步骤：将用于命令监控的agent脚本编译成可执行的agent程序，并将其制作成RPM包；创建容器时Python脚本自动向容器发出RPM包安装命令；容器自动部署RPM包；入侵检测服务器根据接收的命令监控日志信息查找不安全的命令操作语句；根据不安全的命令操作语句所关联的容器唯一性信息定位被入侵的容器。本申请不仅实现原命令的功能，还能对命令语句进行监控记录，能够解决现有的无法通过分析docker进出数据流的方式检测docker入侵。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于命令监控的docker入侵检测方法、装置、计算机装置以及存储介质。

背景技术

目前对于docker入侵检测主要是通过分析进出docker的数据流，结合特征字符串匹配来判断docker是否被入侵。由于业务发展，数据加密、应用层协议众多，导致数据还原难度加大，特征字符串难搜集，误报率高等问题，所以很难真正的应用到企业中。

随着技术发展，云服务平台的兴起，越来越多的企业开始使用云服务平台来搭建应用服务。但是为了保护用户信息安全，禁止云服务平台存储收集数据，且每个企业所使用的加密方式种类繁多，导致通过分析docker进出数据流的方式在云服务平台上完全无法实现。

发明内容

本发明提供一种基于命令监控的docker入侵检测方法、装置、计算机装置以及存储介质，通过将命令监控agent程序安装至容器中，不仅实现原命令的功能，还能对命令语句进行监控记录，能够解决现有的无法通过分析docker进出数据流的方式检测docker入侵。

本发明采用如下技术方案：

一种基于命令监控的docker入侵检测方法，该方法用于入侵检测装置中，该入侵检测装置包括编译单元、监控单元、部署单元以及查找定位单元，所述方法包括以下步骤：

步骤1，编译单元将用于命令监控的agent脚本编译成可执行的agent程序，并将其制作成RPM包，所述agent程序用于生成命令监控日志并发送至入侵检测服务器，以及用于调取执行原真命令并返回结果至用户界面，所述命令监控日志包括命令操作语句及其关联的容器唯一性信息；

步骤2，监控单元使用Python脚本监控kafka队列中的容器创建事件，当监控到容器创建事件，Python脚本自动向容器发出安装所述RPM包的安装命令；

步骤3，容器执行安装命令，部署单元自动部署所述RPM包，部署过程中自动将需要监控的真命令改名，然后将agent程序伪装为真命令，当运行伪装的命令时实现对用户输入命令语句的监控；

步骤4，查找定位单元根据接收的命令监控日志信息查找不安全的命令操作语句，根据不安全的命令操作语句所关联的容器唯一性信息定位被入侵的容器。

进一步的，所述容器为docker容器。

进一步的，入侵检测服务器使用go脚本获取命令监控日志，日志中的容器唯一性信息包括：容器名称、用户IP地址、操作用户名、容器创建时间、容器执行的命令操作语句。

进一步的，所述部署过程中自动将需要监控的真命令改名，然后将agent程序伪装为真命令具体包括：

定位到待伪装成的真命令所在的目录下；

根据agent程序中的真假命令名映射列表，修改真命令名为映射列表中对应的假命令名，所述真假命令名映射列表中预编写了待监控命令的真假命令名映射命令语句；

将agent程序拷贝至真命令的目录下，并将该agent程序的名字修改为真命令名。

进一步的，运行agent程序伪装成的真命令包括：