申请/专利权人：苏州元脑智能科技有限公司

申请日：2023-12-28

公开（公告）日：2024-03-22

公开（公告）号：CN117478438B

主分类号：H04L9/40

分类号：H04L9/40;H04L41/122;H04L43/12

优先权：

专利状态码：有效-授权

法律状态：2024.03.22#授权;2024.02.20#实质审查的生效;2024.01.30#公开

摘要：本发明涉及计算机技术领域，尤其涉及一种网络微隔离方法、系统及虚拟化云主机。方法包括：通过kprobe探针或kretprobe探针，在虚拟化云主机的内核函数挂载eBPF程序，在检测到目标事件的情况下，自动触发eBPF程序，以得到虚拟化云主机的网络连接的五元组信息，目标事件指虚拟化云主机创建网络连接或接受网络连接；基于全部五元组信息，得到网络连接拓扑，网络连接拓扑为创建网络防护策略的依据；基于创建的网络防护策略，进行网络访问拦截，以完成网络微隔离。本方法能够在获取虚拟化云主机的网络连接关系，即网络连接拓扑的同时，降低性能消耗，快速理清繁琐复杂的虚拟化云主机的网络连接关系，便于进行网络防护策略创建。

主权项：1.一种网络微隔离方法，其特征在于，包括：通过kprobe探针或kretprobe探针，在虚拟化云主机的内核函数挂载eBPF程序，在检测到目标事件的情况下，自动触发所述eBPF程序，以得到所述虚拟化云主机的网络连接的五元组信息，所述目标事件指所述虚拟化云主机创建网络连接或接受网络连接；基于全部所述五元组信息，得到网络连接拓扑，所述网络连接拓扑为创建网络防护策略的依据；基于创建的所述网络防护策略，进行网络访问拦截，以完成网络微隔离；通过kprobe探针或kretprobe探针，在虚拟化云主机的内核函数挂载eBPF程序的步骤包括：通过kretprobe探针，在所述虚拟化云主机的socket系统调用函数的出口处挂载eBPF程序，以得到所述socket系统调用函数的第一返回值；基于所述第一返回值，得到当前网络连接的初始套接字描述符；通过kprobe探针，在所述虚拟化云主机的bind系统调用函数的入口处挂载eBPF程序，以得到进入所述bind系统调用函数的第一目标参数，所述第一目标参数包括：第一目标套接字描述符、以及所述第一目标套接字描述符绑定的所述虚拟化云主机的IP地址与IP端口号；通过kprobe探针，在所述虚拟化云主机的connect系统调用函数的入口处挂载eBPF程序，以得到进入所述connect系统调用函数的第二目标参数，所述第二目标参数包括：第二目标套接字描述符、以及与所述第二目标套接字描述符相关联的网络连接目的IP地址与网络连接目的端口号；通过kprobe探针，在所述虚拟化云主机的accept系统调用函数的入口处挂载eBPF程序，以得到进入所述accept系统调用函数的第三目标参数，所述第三目标参数包括：第三目标套接字描述符、以及与所述第三目标套接字描述符相关联的网络连接源IP地址和网络连接源端口号；通过kretprobe探针，在所述虚拟化云主机的listen系统调用函数的出口处挂载eBPF程序，以得到listen系统调用函数的返回结果，所述返回结果包括：第四目标套接字描述符、以及与所述第四目标套接字描述符相关联的第二返回值，所述第二返回值用于确定listen系统调用成功或失败；基于全部所述五元组信息，得到网络连接拓扑的步骤包括：对所述五元组信息增加时间戳与云主机标识信息，得到网络连接数据，所述网络连接数据包括：所述时间戳、所述云主机标识信息、所述网络连接源IP地址、所述网络连接源端口号、所述网络连接目的IP地址、所述网络连接目的端口号、通信协议以及五元组哈希值；基于全部所述网络连接数据，得到所述网络连接拓扑；对所述五元组信息增加时间戳与云主机标识信息，得到网络连接数据的步骤之后，还包括：基于所述网络连接数据中的云主机标识信息与五元组哈希值，查询目标数据库中是否存储有当前所述网络连接数据；在确定所述目标数据库中存储有当前所述网络连接数据的情况下，基于当前所述网络连接数据中的时间戳，对所述目标数据库中存储的对应网络连接数据的时间戳进行更新；在确定所述目标数据库中缺少当前所述网络连接数据的情况下，将当前所述网络连接数据写入所述目标数据库；基于全部所述网络连接数据，得到所述网络连接拓扑的步骤包括：获取网络连接拓扑获取需求；基于所述网络连接拓扑获取需求中的所述云主机标识信息，向所述目标数据库查询并获取对应的所述虚拟化云主机的全部所述网络连接数据；基于所述虚拟化云主机的全部所述网络连接数据，得到所述虚拟化云主机的所述网络连接拓扑；基于创建的所述网络防护策略，进行网络访问拦截，以完成网络微隔离的步骤包括：接收服务端下发的所述网络防护策略，所述网络防护策略为所述服务端基于eBPFmap下发的，所述eBPFmap的键为云主机标识信息，所述eBPFmap的值为所述云主机标识信息对应的所述网络防护策略；基于所述网络防护策略，进行网络访问拦截，以完成所述网络微隔离。

全文数据：

权利要求：

百度查询： 苏州元脑智能科技有限公司 网络微隔离方法、系统及虚拟化云主机

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD