一种集群日志审计及攻击行为阻断方法及系统与流程

本申请涉及计算机和网络安全，尤其涉及一种集群日志审计及攻击行为阻断方法及系统。

背景技术：

1、kubernetes简称k8s是一个开源的容器编排平台，提供了原生的日志形式——审计（audit），它记录了对于集群资源的访问以及集群中发生的事件信息。大部分云厂商采用此方法，通过采集日志、数据清洗或规则匹配等方法来检测集群的健康状况，以及是否受到网络安全攻击，但通过此类方法k8s集群会发送大量无用数据，无法有效利用处理器核心，同时其无法实现热插拔，该原生日志系统需要修改集群的配置文件时，集群重启后重新加载配置文件才会生效，且其检出事件较少，对于某些安全攻击，原生日志功能限制了可以匹配的规则类型，使得规则编写具有一定局限性。

技术实现思路

1、本申请提供的一种集群日志审计及攻击行为阻断方法，旨在解决现有技术中检测集群是否受到安全攻击的方法资源利用率较低、无法实现热插拔且检出事件较少的问题。

2、为实现上述目的，本申请采用以下技术方案：

3、本申请的一种集群日志审计及攻击行为阻断方法，包括以下步骤：

4、获取应用程序接口请求并调用变更性质的准入webhook以将所述应用程序接口请求传递给所述变更性质的准入webhook；

5、对所述变更性质的准入webhook中包含的应用程序接口请求进行解析得到当前行为流量，并根据预设安全规则判断所述当前行为中是否存在攻击行为；

6、于存在攻击行为时，通知验证性质的准入webhook对所述当前行为进行阻断，并将所述当前行为流量转换为日志文件。

7、作为优选，所述方法还包括：

8、通过集群官方sdk与集群应用程序接口的交互扩展所述变更性质的准入webhook支持的资源种类新增入口或指定的自定义资源类型。

9、作为优选，所述将所述应用程序接口请求传递给所述变更性质的准入webhook，包括：

10、将所述应用程序接口请求中的数据对象传递给所述变更性质的准入webhook，所述数据对象包括应用程序接口请求路径、资源和行为。

11、作为优选，所述对所述变更性质的准入webhook中包含的应用程序接口请求进行解析得到当前行为流量，并根据预设安全规则判断当前行为中是否存在攻击行为，包括：

12、对所述变更性质的准入webhook中包含的应用程序接口请求的数据对象进行分析得到当前行为流量；

13、将所述当前行为与预设安全规则进行匹配，若所述当前行为匹配到至少一个预设安全规则，则认定所述当前行为中存在攻击行为，其中，所述预设安全规则包括检测敏感目录挂载事件、特权容器事件和携带大权限账号。

14、作为优选，在于存在攻击行为时，通知验证性质的准入webhook对所述当前行为进行阻断之前还包括：

15、于所述当前行为中包含攻击行为时，确定攻击事件，并将攻击事件ip发送给集群应用程序接口服务器；

16、于所述当前行为中不存在攻击行为时，则将正常事件ip发送给所述集群应用程序接口服务器。

17、作为优选，在于存在攻击行为时，通知验证性质的准入webhook对所述当前行为进行阻断之前还包括：

18、所述集群应用程序接口服务器再次判断所述当前行为中是否存在攻击行为。

19、作为优选，所述验证性质的准入webhook对所述当前行为进行阻断，包括：

20、拦截到达集群应用程序接口服务器的应用程序接口请求，所述应用程序接口请求包括集群的创建请求、更新请求或删除请求，接收到阻断通知时，则通过返回相应的错误响应来拒绝所述应用程序接口请求。

21、一种集群日志审计及攻击行为阻断系统，包括：

22、控制准入模块，包括变更性质的准入webhook和验证性质的准入webhook，用于获取应用程序接口请求并调用所述变更性质的准入webhook以将所述应用程序接口请求传递给所述变更性质的准入webhook，并在当前行为中存在攻击行为时调用所述验证性质的准入webhook来阻断所述当前行为；

23、规则引擎模块，用于对所述变更性质的准入webhook中包含的应用程序接口请求进行解析得到当前行为流量，并根据预设安全规则判断所述当前行为中是否存在攻击行为，若存在则通知所述验证性质的准入webhook对所述当前行为进行阻断；

24、日志解析模块，用于将所述当前行为流量转换为日志文件。

25、一种电子设备，包括存储器和处理器，所述存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行以实现如上述中任一项所述的一种集群日志审计及攻击行为阻断方法。

26、一种存储有计算机程序的计算机可读存储介质，所述计算机程序使计算机执行时实现如上述中任一项所述的一种集群日志审计及攻击行为阻断方法。

27、本发明具有如下有益效果：

28、本申请支持热插拔，对系统的兼容性比较广，不需要集群重启；其还支持在事件发生时进行阻断操作，即检测当前行为存在安全风险行为时便对其进行阻断；同时还支持较高的规则扩展性，可以满足大部分安全攻击的行为检测。

技术特征：

1.一种集群日志审计及攻击行为阻断方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种集群日志审计及攻击行为阻断方法，其特征在于，所述方法还包括：

3.根据权利要求1所述的一种集群日志审计及攻击行为阻断方法，其特征在于，所述将所述应用程序接口请求传递给所述变更性质的准入webhook，包括：

4.根据权利要求3所述的一种集群日志审计及攻击行为阻断方法，其特征在于，所述对所述变更性质的准入webhook中包含的应用程序接口请求进行解析得到当前行为流量，并根据预设安全规则判断当前行为中是否存在攻击行为，包括：

5.根据权利要求1所述的一种集群日志审计及攻击行为阻断方法，其特征在于，在于存在攻击行为时，通知验证性质的准入webhook对所述当前行为进行阻断之前还包括：

6.根据权利要求5所述的一种集群日志审计及攻击行为阻断方法，其特征在于，在于存在攻击行为时，通知验证性质的准入webhook对所述当前行为进行阻断之前还包括：

7.根据权利要求1所述的一种集群日志审计及攻击行为阻断方法，其特征在于，所述验证性质的准入webhook对所述当前行为进行阻断，包括：

8.一种集群日志审计及攻击行为阻断系统，其特征在于，包括：

9.一种电子设备，其特征在于，包括存储器和处理器，所述存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行以实现如权利要求1～7中任一项所述的一种集群日志审计及攻击行为阻断方法。

10.一种存储有计算机程序的计算机可读存储介质，其特征在于，所述计算机程序使计算机执行时实现如权利要求1～7中任一项所述的一种集群日志审计及攻击行为阻断方法。

技术总结
本申请公开了一种集群日志审计及攻击行为阻断方法及系统，涉及计算机和网络安全技术领域，包括以下步骤：获取应用程序接口请求并调用变更性质的准入webhook以将应用程序接口请求传递给变更性质的准入webhook；对变更性质的准入webhook中包含的应用程序接口请求进行解析得到当前行为流量，并根据预设安全规则判断当前行为中是否存在攻击行为；若存在则通知验证性质的准入webhook对当前行为进行阻断，并将当前行为流量转换为日志文件。本申请支持热插拔，对系统的兼容性比较广，不需要集群重启；其还支持在事件发生时进行阻断操作，即检测当前行为存在安全风险行为时便对其进行阻断；同时还支持较高的规则扩展性，可以满足大部分安全攻击的行为检测。

技术研发人员：孙鑫,聂万泉,魏兴国,汪利辉,程进
受保护的技术使用者：杭州默安科技有限公司
技术研发日：
技术公布日：2024/5/29