[发明专利]一种容器零信任安全防护方法及系统

说明书

本发明涉及一种容器零信任安全防护方法及系统，其中，该方法包括以下步骤：获取容器的入口流量，得到入口流量的属性在周期内的特征值；统计属性的特征值在周期内出现的频率分布，从而计算属性在周期内的熵值；根据属性在不同周期的历史熵值来计算平均熵值和熵值方差，从而得到合理阈值；以及在属性中的至少一个在周期内的熵值超出相应的合理阈值的情况下，发出容器被攻击的警告。该方法和系统能够实现容器安全状态的持续评估，以实时数据为中心，进行动态的访问控制。

技术领域

本发明实施例涉及一种容器安全防护方法及系统，尤其涉及一种容器零信任安全防护方法及系统。

背景技术

随着高级安全威胁的持续增加，传统的以边界防护为主的思路不再适应当前的IT环境变化，需要对容器的安全状态持续进行安全防护。

目前容器的安全防护主要以边界防护为主，即在整个容器集群与外界网络的网络边界部署安全防护设备，进行安全攻击检测和处理。传统安全防护方法对网络边界内的系统授予完全可信的权限，而随着攻击手段的升级绕过边界安全设备通过网络内部发起攻击的事件越来越多。

基于此，需要一种容器零信任安全防护方法及系统，依据关键容器入口流量的各项特征的随机程度判断容器安全情况，从而能够实现容器安全状态的持续评估，以实时数据为中心，进行动态的访问控制。

发明内容

本发明提供了一种容器零信任安全防护方法及系统，以解决上述技术问题的至少一个。

根据本发明的一个方面，提供一种容器零信任安全防护方法，该方法可以包括以下步骤：

获取容器的入口流量，可以得到入口流量的属性在周期内的特征值；

统计属性的特征值在周期内出现的频率分布，从而可以计算属性在周期内的熵值；

可以根据属性在不同周期的历史熵值来计算平均熵值和熵值方差，从而可以得到合理阈值；以及

在属性中的至少一个在周期内的熵值超出相应的合理阈值的情况下，可以发出容器被攻击的警告。

可选地，可以统计属性的特征值在周期内出现的次数，汇总得到属性的特征次数映射表。

可选地，可以计算属性的特征值在周期内出现的频率，可以将特征次数映射表中的次数替换为频率，从而可以得到特征频率映射表。

可选地，可以根据特征频率映射表计算属性在周期内的熵值，熵值可以通过下式计算：

其中，P_i可以表示第i个属性，H(P_i)可以表示第i个属性的熵值，r_j可以表示第i个属性的第j个特征值在周期内出现的频率，n可以为第i个属性的特征值在周期内的数量，i、j和n均为不为零的正整数。

可选地，合理阈值可以在平均熵值减去熵值方差的值以上且平均熵值加上熵值方差的值以下的范围内。

可选地，在发出警告之后，在确认容器被攻击的情况下，可以屏蔽被攻击的容器，并且可以将入口流量负载到其它同类容器中。

可选地，入口流量的目的IP地址可以以容器为目的地。

可选地，属性可以包括入口流量的源IP地址、源端口号和目的端口号。

根据本发明的第二方面，提供一种容器零信任安全防护系统，该系统可以包括：主机、网络链路、分光器、流量解析器和容器，入口流量可以从主机经由网络链路流向容器，分光器可以部署在网络链路上，并且分光器可以配置为将来自主机的流量复制到流量解析器中，流量解析器可以配置为根据流量的目的IP地址提取出以容器为目的地的入口流量，提取入口流量的属性，计算属性的熵值和合理阈值，并且判断熵值是否超出合理阈值。