(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211018367.7 (22)申请日 2022.08.24 (71)申请人 阳光保险集团股份有限公司 地址 518000 广东省深圳市福田区红荔西 路7002号第一世界广场A座17层 (72)发明人 刘铸澎　王卓　尹琛　金龙　孙杨　 李胜军　李冰　曾岸林　邵长宏　 范文祥　周鹏辉　陈炳印　邢凯　 赵美亮　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 荣颖佳 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) (54)发明名称 容器云平台网络安全防护方法、 装置及电子 设备 (57)摘要 本申请提供了一种容器云平台网络安全防 护方法、 装置及电子设备， 在检测到进入与容器 云平台连接的网卡的网络报文数据包时， 通过 XDP程序拦截网卡中的所有网络报文数据包， 并 对每个网络报文数据包进行解析， 得到每个网络 报文数据包对应的应用数据； 通过规则匹配引 擎， 对每个网络报文数据包对应的应用数据进行 正则表达式匹配， 确定每个网络报文数据包是否 存在网络安全风险； 针对存在网络安全风险的网 络报文数据包， 进行丢包操作并记录； 将不存在 网络安全风险的网络报文数据包发送至网络协 议栈； 本申请通过XDP程序和规则匹配引 擎可以 将进入网卡的网络报文数据拦截在用户态进行 分析处理， 减少占用CP U的处理时间， 提高计算机 的性能。 权利要求书2页 说明书6页 附图2页 CN 115333848 A 2022.11.11 CN 115333848 A 1.一种容器云平台网络安全防护方法， 其特征在于， 所述方法应用于容器云平台； 所述 容器云平台 中加载有XD P程序、 安装有规则匹配引擎； 所述方法包括： 在检测到进入与所述容器云平台连接的网卡的网络报文数据包时， 通过所述XDP程序 拦截所述网卡中的所有网络报文数据包， 并对每个所述网络报文数据包进行解析， 得到每 个所述网络报文数据包 对应的应用数据； 通过所述规则匹配引擎， 对每个所述网络报文数据包对应的应用数据进行正则表达式 匹配， 确定每 个所述网络报文数据包是否存在网络安全风险； 针对存在网络安全风险的第 一网络报文数据包进行丢包操作并记录； 将不存在网络安 全风险的第二网络报文数据包发送至网络协议栈以进行后续操作。 2.根据权利要求1所述的方法， 其特征在于， 通过所述XDP程序拦截所述网卡中的所有 网络报文数据包的步骤， 包括： 以libbpf为基础库， 参考指定头文件中定义的格式， 拦截并获取所述网卡中的所有网 络报文数据包。 3.根据权利要求2所述的方法， 其特征在于， 所述指定头文件中定义的格式为： 依次排 列的MAC头、 IP头、 TCP头和应用数据。 4.根据权利要求1所述的方法， 其特征在于， 所述容器云平台中预存有规则数据库； 所 述规则数据库中预存有WAF防护的正则表达式； 通过所述规则匹配引擎， 对每个所述网络报文数据包对应的应用数据进行正则表达式 匹配的步骤， 包括： 通过所述规则匹配引擎， 加载所述规则数据库中的WAF防护的正则表达 式， 根据加载的 所述WAF防护的正则表达式对每个所述网络报文 数据包对应的应用数据进行正则表达式匹 配。 5.根据权利要求4所述的方法， 其特征在于， 根据加载的所述WAF防护的正则表达式对 每个所述网络报文数据包 对应的应用数据进行正则表达式匹配的步骤， 包括： 根据加载的所述WAF防护的正则表达 式， 以块模式方式， 对多个所述网络报文数据包分 别对应的应用数据进行正则表达式匹配。 6.根据权利要求4所述的方法， 其特征在于， 所述规则数据库 是通过优化硬件流程对多 个WAF防护的正则表达式进行转换而生成的。 7.根据权利要求1所述的方法， 其特征在于， 针对存在网络安全风险的第 一网络报文数 据包进行丢包操作并记录的同时， 还 包括： 针对所述第一网络报文数据包进行报警处 理。 8.根据权利要求1所述的方法， 其特征在于， 所述规则 匹配引擎为Hyperscan正则匹配 引擎。 9.一种容器云平台网络安全防护装置， 其特征在于， 所述装置应用于容器云平台； 所述 容器云平台 中加载有XD P程序， 安装有规则匹配引擎； 所述装置包括： 数据拦截解析模块， 用于在检测到进入与 所述容器云平台连接的网卡的网络报文数据 包时， 通过所述XDP程序拦截所述网卡中的所有网络报文 数据包， 并对每个所述网络报文 数 据包进行解析， 得到每 个所述网络报文数据包 对应的应用数据； 风险判断模块， 用于通过所述规则匹配引擎， 对每个所述网络报文数据包对应的应用权　利　要　求　书 1/2 页 2 CN 115333848 A 2数据进行正则表达式匹配， 确定每 个所述网络报文数据包是否存在网络安全风险； 数据包处理模块， 用于针对存在网络安全风险的第 一网络报文数据包进行丢包操作并 记录； 将不存在网络安全风险的第二网络报文数据包发送至网络协议栈以进行后续操作。 10.一种容器云平台网络安全防护系统， 其特征在于， 所述系统包括： 容器云平台和与 所述容器云平台连接的网关； 所述容器云平台中加载有XDP程序， 安装有规则匹配引擎； 所 述容器云平台用于通过所述XDP程序、 所述规则匹配引擎执行如权利要求 1‑8任一项所述的 方法。权　利　要　求　书 2/2 页 3 CN 115333848 A 3