(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111656011.1 (22)申请日 2021.12.3 0 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 冯顾　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 王宇杨 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络入侵防御方法及装置 (57)摘要 本发明提供的网络入侵防御方法及装置， 包 括:通过内核态入侵防御模块在目标容器集所属 的网络命名空间， 获取访问服务器节 点的业务消 息的网络 数据包； 通过用户态入侵防御程序将网 络命名空间的ID发送到内核态入侵防御模块； 将 网络数据包及对应的网络命名空间的ID发送到 用户态入侵防御程序； 通过用户态入侵防御程序 根据网络命名空间的ID， 获取对应的防护规则 集， 将网络数据包与防护规则集进行匹配， 将基 于匹配结果确定的裁决结果发送到内核态入侵 防御模块； 通过内核态入侵防御模块基于裁决结 果对网络 数据包进行处理。 该方法可以降低主机 资源占用及消耗。 权利要求书2页 说明书9页 附图5页 CN 114465774 A 2022.05.10 CN 114465774 A 1.一种网络入侵防御方法， 内核态入侵防御模块和用户态入侵防御程序部署在承载运 行容器的服 务器节点， 其特 征在于， 包括: 通过所述内核态入侵防御模块在目标容器集所属的网络命名空间， 获取访问所述服务 器节点的业 务消息的网络数据包； 若通过所述内核态入侵防御模块根据网络的连接状态， 确定不放行所述网络数据包， 通过所述用户态入侵防御程序将所述网络命名空间的ID发送到所述内核态入侵防御模块； 若通过所述内核态入侵防御模块根据所述网络命名空间的ID， 确定将所述网络数据包 发送到所述用户态入侵防御程序， 将所述网络数据包及 对应的网络命名空间的ID发送到所 述用户态入侵防御程序； 通过所述用户态入侵防御程序根据所述网络命名空间的ID， 获取对应的防护规则集， 将所述网络数据包与所述防护规则集进行匹配， 将基于匹配结果确定的裁决结果 发送到所 述内核态入侵防御模块； 通过所述内核态入侵防御模块基于所述裁决结果对所述网络数据包进行处 理。 2.根据权利要求1所述的网络入侵防御方法， 其特 征在于， 还 包括： 若连续预设数目的网络数据包的裁决结果为放行网络数据包， 通过所述用户态入侵防 御程序向所述内核态入侵防御模块发送持续 放行网络数据包的裁决结果； 通过所述内核态入侵防御模块执行放行所述连续预设数目的网络数据包之后的网络 数据包的操作。 3.根据权利要求1所述的网络入侵防御 方法， 其特征在于， 所述通过所述内核态入侵防 御模块在目标容器集所属的网络命名空间获取访问所述服务器节点的业务消息的网络数 据包之前， 还 包括： 通过所述内核态入侵防御模块建立所述用户态入侵防御程序与所述内核态入侵防御 模块之间进行信息传递的数据通道。 4.根据权利要求1任一项所述的网络入侵防御 方法， 其特征在于， 所述通过用户态入侵 防御程序将所述网络命名空间的ID发送到所述内核态入侵防御模块， 包括： 通过用户态入侵防御程序根据 所述目标容器集的名称， 获取所述目标容器集所属网络 命名空间的ID； 将所述网络命名空间的ID发送到所述内核态入侵防御模块。 5.根据权利要求1所述的网络入侵防御 方法， 其特征在于， 所述通过所述用户态入侵防 御程序根据所述网络命名空间的ID， 获取对应的防护规则集， 包括： 通过所述用户态入侵防御程序访问安全 控制中心； 在所述安全控制中心中拉取 所述目标容器集的防护规则集； 基于所述目标容器集与所述网络命名空间的ID的对应关系， 获取所述网络命名空间的 ID对应的防护规则集。 6.一种网络入侵防御装置， 内核态入侵防御模块和用户态入侵防御程序部署在承载运 行容器的服 务器节点， 其特 征在于， 包括: 获取模块， 用于通过所述内核态入侵防御模块在目标容器集所属的网络命名空间， 获 取访问所述 服务器节点的业 务消息的网络数据包； 第一发送模块， 用于若通过所述内核态入侵防御模块根据网络的连接状态， 确定不放权　利　要　求　书 1/2 页 2 CN 114465774 A 2行所述网络数据包， 通过用户态入侵防御程序将所述网络命名空间的ID发送到所述内核态 入侵防御模块； 第二发送模块， 用于若通过所述内核态入侵防御模块根据所述网络命名空间的ID， 确 定将所述网络数据包发送到所述用户态入侵防御程序， 将所述网络数据包及对应的网络命 名空间的ID发送到所述用户态入侵防御程序； 匹配模块， 用于通过所述用户态入侵防御程序根据所述网络命名空间的ID， 获取对应 的防护规则集， 将所述网络数据包与所述防护规则集进行匹配， 将基于匹配结果确定的裁 决结果发送到所述内核态入侵防御模块； 处理模块， 用于通过所述内核态入侵防御模块基于所述裁决结果对所述网络数据包进 行处理。 7.根据权利要求6所述的网络入侵防御装置， 其特 征在于， 还 包括： 第三发送模块， 若连续预设数目的网络数据包的裁决结果为放行网络数据包， 通过所 述用户态入侵防御程序向所述内核态入侵防御模块发送持续 放行网络数据包的裁决结果； 所述处理模块， 还用于通过所述内核态入侵防御模块执行放行所述连续预设数目的网 络数据包之后的网络数据包的操作。 8.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1～5任一项所 述的网络入侵防御方法的步骤。 9.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机 程序被处 理器执行时实现如权利要求1～5任一项所述的网络入侵防御方法的步骤。 10.一种计算机程序产品， 其上存储有可执行指令， 其特征在于， 该指令被处理器执行 时使处理器实现如权利要求1～5任一项所述的网络入侵防御方法的步骤。权　利　要　求　书 2/2 页 3 CN 114465774 A 3