[发明专利]容器安全保护方法、容器安全保护装置、电子设备及介质

权利要求书

1.一种容器安全保护方法，应用于容器端的中央控制节点，其特征在于，包括：

获取网络元数据和系统调用元数据；

获取阻断规则，并根据所述阻断规则、所述网络元数据和所述系统调用元数据，生成阻断控制指令；

将所述阻断控制指令发送至阻断控制节点，以使所述阻断控制节点根据所述阻断控制指令从网络侧或系统侧进行阻断控制。

2.根据权利要求1所述的方法，其特征在于，所述获取网络元数据和系统调用元数据，包括：

采用eBPF技术在网络侧监控并采集所述网络元数据，以及在系统侧监控并采集所述系统调用元数据；

其中，网络元数据包括网络链接数据或网络流量数据，所述系统调用元数据包括系统进程数据或系统调用参数数据。

3.根据权利要求2所述的方法，其特征在于，所述阻断控制指令包括网络阻断控制指令和系统调用阻断控制指令，所述阻断控制节点包括网络侧阻断控制节点和系统侧阻断控制节点；

所述将所述阻断控制指令发送至阻断控制节点，以使所述阻断控制节点根据所述阻断控制指令从网络侧或系统侧进行阻断控制，包括：

将所述网络阻断控制指令发送至网络侧阻断控制节点，以使所述网络侧阻断控制节点通过第一阻断机制，对网络进行阻断控制；

将所述系统调用阻断控制指令发送至系统侧阻断控制节点，以使所述系统侧阻断控制节点通过第二阻断机制，对系统调用进行阻断控制。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据系统事件定义优先级信息，并同步至信息缓存节点；

其中，所述信息缓存节点用于缓存所述优先级信息，所述优先级信息用于对所述网络元数据和所述系统调用元数据的优先级进行管理。

5.根据权利要求4所述的方法，其特征在于，在获取网络元数据和系统调用元数据之前，所述方法还包括：

通过数据追踪节点分别从网络侧获取所述网络元数据，从系统侧获取所述系统调用元数据，并将所述网络元数据和所述系统调用元数据同步至数据收集节点；

使所述数据收集节点从所述信息缓存节点获取优先级信息，并根据收集的上下文信息，调整所述网络元数据和所述系统调用元数据的优先级，根据所述优先级，将所述网络元数据和所述系统调用元数据输入至数据缓存队列；

所述获取网络元数据和系统调用元数据包括：

从所述数据缓存队列中根据所述优先级获取所述网络元数据和所述系统调用元数据。

6.根据权利要求5所述的方法，其特征在于，所述数据缓存队列为环形缓存队列。

7.根据权利要求1所述的方法，其特征在于，所述获取阻断规则，包括：

从规则引擎节点获取所述阻断规则；

所述规则引擎节点用于根据预先获取的行为数据定义恶意行为数据，确定所述阻断规则。

8.一种容器安全保护装置，应用于容器端的中央控制节点，其特征在于，包括：

数据获取模块，用于获取网络元数据和系统调用元数据；

指令生成模块，用于获取阻断规则，并根据所述阻断规则、所述网络流元数据和所述系统调用元数据，生成阻断控制指令；

指令发送模块，用于将所述阻断控制指令发送至阻断控制节点，以使所述阻断控制节点根据所述阻断控制指令从网络侧或系统侧进行阻断控制。

9.一种电子设备，其特征在于，包括：

处理器；以及

存储器，用于存储所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行权利要求1-7任一项所述的方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1-7任一项所述的方法。