(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111511977.6 (22)申请日 2021.12.07 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 杨强　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 李飞 (51)Int.Cl. H04L 9/40(2022.01) G06F 9/455(2006.01) (54)发明名称 容器环境的入侵防御方法及装置、 电子设 备、 存储介质 (57)摘要 本申请提供一种容器环境的入侵防御方法 及装置、 电子设备、 计算机 可读存储介质， 方法包 括： 当获得目标容器对应的目标数据包， 所述目 标容器的命名空间内数据接收线程， 将所述目标 数据包放入 数据接收队列； 所述宿主机的默认命 名空间的入侵防御系统， 从所述数据接收队列获 取所述目标数据包并进行检测； 所述入侵防御系 统基于检测结果， 确定所述目标数据包的处理信 息， 并将所述目标数据包的处理信息放入所述目 标容器对应的数据发送队列； 所述目标容器的命 名空间内的数据发送线程， 从所述数据发送队列 获取对应于所述目标数据包的处理信息。 本申请 方案， 在占用系统内存资源和计算资源较小的情 况下， 完成了容器环境的入侵防御任务。 权利要求书2页 说明书8页 附图4页 CN 114205150 A 2022.03.18 CN 114205150 A 1.一种容器环境的入侵防御 方法， 应用于宿主机， 所述宿主机运行若干容器， 其特征在 于， 包括： 当获得目标容器对应的目标数据包， 所述目标容器的命名空间内数据接收线程， 将所 述目标数据包放入数据接收队列； 所述宿主机的默认命名空间的入侵防御系统， 从所述数据接收 队列获取所述目标数据 包并进行检测； 所述入侵防御系统基于检测结果， 确定所述目标数据包的处理信息， 并将所述目标数 据包的处 理信息放入所述目标容器对应的数据发送队列； 所述目标容器的命名空间内的数据发送线程， 从所述数据发送队列获取对应于所述目 标数据包的处 理信息。 2.根据权利要求1所述的方法， 其特征在于， 所述将所述目标数据包的处理信 息放入所 述目标容器对应的数据发送队列， 包括： 所述入侵防御系统获取添加于所述目标数据包的标识码， 并依据 所述标识码查找对应 的数据发送队列； 若查到对应于标识码的数据发送队列， 所述入侵防御系统将所述目标数据包的处理信 息放入所述数据发送队列。 3.根据权利要求2所述的方法， 其特征在于， 所述目标容器的命名空间内数据接收线 程， 将所述目标 数据包放入数据接收队列， 包括： 所述数据接收线程为所述目标数据包添加标识码； 其中， 所述标识码对应于所述目标 容器； 所述数据接收线程将已添加标识码的目标 数据包， 放入所述数据接收队列。 4.根据权利要求1或2或3所述的方法， 其特征在于， 在所述目标容器的命名空间内数据 接收线程， 将所述目标 数据包放入数据接收队列之前， 所述方法还 包括： 所述入侵防御系统创建所述数据接收队列； 其中， 所述数据接收队列用于接收所述宿 主机内各容器上报的数据包； 所述入侵防御系统在所述目标容器的命名空间创建数据处 理进程； 所述数据处理进程在所述目标容器的命名空间， 创建所述数据接收线程和所述数据发 送线程； 所述数据处 理进程创建对应于所述目标容器的数据发送队列。 5.根据权利要求4所述的方法， 其特征在于， 所述入侵防御系统在所述目标容器的命名 空间创建数据处 理进程， 包括： 所述入侵防御系统为所述目标容器的命名空间生成标识码； 所述入侵防御系统创建所述数据处理进程， 并将所述标识码传递至所述数据处理进 程。 6.根据权利要求5所述的方法， 其特征在于， 所述数据处理进程创建对应于所述目标容 器的数据发送队列， 包括： 所述数据处理进程依据 所述目标容器的标识码， 创建对应于所述标识码的数据发送队 列。 7.根据权利要求 4所述的方法， 其特 征在于， 所述方法还 包括：权　利　要　求　书 1/2 页 2 CN 114205150 A 2当监听到所述目标容器的停止运行事件/删除事件， 所述入侵防御系统删除所述目标 容器对应的数据处 理进程和数据发送队列。 8.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 所述数据发送线程将所述处理信息发送至所述宿主机的Linux内核， 使得所述Linux内 核依据所述处 理信息处 理所述目标 数据包。 9.根据权利要求8所述的方法， 其特征在于， 在所述目标容器的命名空间内数据接收线 程， 将所述目标 数据包放入数据接收队列之前， 所述方法还 包括： 所述目标容器的命名空间内的数据处理进程， 向所述Linux内核下发nfqueue的引流规 则； 其中， 所述引流 规则指示将所述目标容器对应的数据包重 定向至所述数据接收线程。 10.根据权利要求9所述的方法， 其特 征在于， 所述方法还 包括： 若所述数据处 理进程结束运行， 删除所述引流 规则。 11.一种容器环境的入侵防御装置， 应用于宿主机， 所述宿主机运行若干容器， 其特征 在于， 包括： 放入模块， 用于当获得目标容器对应的目标数据包， 将所述目标数据包放入数据接收 队列； 检测模块， 用于从所述数据接收队列获取 所述目标 数据包并进行检测； 确定模块， 用于基于检测结果， 确定所述目标数据包的处理信 息， 并将所述目标数据包 的处理信息放入所述目标容器对应的数据发送队列； 获取模块， 用于从所述数据发送队列获取对应于所述目标 数据包的处 理信息。 12.一种电子设备， 其特 征在于， 所述电子设备包括： 处理器； 用于存储处理器可执行指令的存 储器； 其中， 所述处理器被配置为执行权利要求1 ‑10任意一项所述的容器环境的入侵防御 方 法。 13.一种计算机可读存储介质， 其特征在于， 所述存储介质存储有计算机程序， 所述计 算机程序可由处 理器执行以完成权利要求1 ‑10任意一项所述的容器环境的入侵防御方法。权　利　要　求　书 2/2 页 3 CN 114205150 A 3