(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210117115.3 (22)申请日 2022.02.08 (65)同一申请的已公布的文献号 申请公布号 CN 114154160 A (43)申请公布日 2022.03.08 (73)专利权人 中国电子信息产业 集团有限公司 第六研究所 地址 102209 北京市昌平区未来科技城南 区中国电子信息产业基地 (72)发明人 燕玮　许凤凯　张尼　薛继东　 崔轲　刘子健　贾星威　李东成　 刘楚涵　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 衡滔(51)Int.Cl. G06F 21/56(2013.01) G06F 21/55(2013.01) G06F 16/2455(2019.01) G06F 16/23(2019.01) (56)对比文件 CN 103516586 A,2014.01.15 US 2020186 569 A1,2020.0 6.11 CN 107040 517 A,2017.08.1 1 审查员 赵婷 (54)发明名称 容器集群监测方法、 装置、 电子设备及存储 介质 (57)摘要 本申请提供一种容器集群监测方法、 装置、 电子设备及存储介质。 该方法包括： 将预处理数 据与最新更新的安全特征库进行匹配， 若匹配成 功， 则根据匹配结果对用户进行提醒， 所述预处 理数据为对最新获取到的宿主机数据和容器性 能指标数据经过处理后的数据； 将所述预处理数 据输入预设的预警模型， 获取未来时间段内的预 警事件数据； 根据所述预警事件 数据对所述安全 特征库进行更新。 通过该方式， 能改善现有技术 无法获取到 较好的容器集群的监测效果的问题。 权利要求书2页 说明书9页 附图6页 CN 114154160 B 2022.09.16 CN 114154160 B 1.一种容器集群监测方法， 其特 征在于， 所述方法包括： 将预处理数据与最新更新的安全特征库进行匹配， 若匹配成功， 则根据匹配结果对用 户进行提醒， 所述预 处理数据为对最新 获取到的宿主机数据和容器性能指标数据经过 处理 后的数据； 将所述预处 理数据输入预设的预警模型， 获取 未来时间段内的预警事 件数据； 根据所述预警事件数据对应攻击类型对所述安全特征库进行更新； 所述预警事件数据 表征所述预警模型 预测出的未来时间段内存在的攻击； 将所述预处理数据对应的日志与正常数据进行比对； 并根据所述比对结果， 确定所述 匹配结果是否为误判； 所述日志的发生时间和所述正常数据对应的历史时间属于同一时间 段； 根据误判结果， 对所述安全特征库中的匹配结果对应的攻击类型的匹配优先级进行更 新。 2.根据权利要求1所述的方法， 其特征在于， 所述根据所述预警事件数据对所述安全特 征库进行 更新， 包括： 根据所述预警事 件数据中的监测项标签和监测名称， 获取对应的攻击类型； 判断所述安全特征库中是否存在所述攻击类型， 若所述安全特征库中存在所述攻击类 型， 则提高所述 攻击类型在所述 安全特征库中的匹配优先级。 3.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 若所述安全特征库中不存在所述攻击类型， 则在所述安全特征库中添加所述攻击类 型。 4.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 根据所述预处理数据、 历史存储数据和所述攻击类型， 对所述监测项标签和所述监测 名称进行追踪溯源， 获取攻击者的相关信息 。 5.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 根据所述预处理数据和历史存储数据， 对所述匹配结果进行追踪溯源， 以判断所述匹 配结果是否被误判； 若所述匹配结果被误判， 则根据所述匹配结果， 对所述 安全特征库进行 更新。 6.根据权利要求5所述的方法， 其特征在于， 所述根据所述匹配结果， 对所述安全特征 库进行更新， 包括： 降低所述匹配结果对应的攻击类型在所述 安全特征库中的匹配优先级。 7.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 根据所述预警事 件数据， 生成用于表征 所述未来时间段内的安全态 势的态势曲线。 8.一种容器集群监测装置， 其特 征在于， 所述装置包括： 监测模块， 用于将预处理数据与最新更新的安全特征库进行匹配， 若 匹配成功， 则根据 匹配结果对用户进行提醒， 所述预 处理数据为对最新 获取到的宿 主机数据和容器性能指标 数据经过处理后的数据； 处理模块， 用于将所述预处理数据输入预设的预警模型， 获取未来时间段内的预警事 件数据； 更新模块， 用于根据所述预警事件数据对应攻击类型对所述安全特征库进行更新； 所权　利　要　求　书 1/2 页 2 CN 114154160 B 2述预警事 件数据表征 所述预警模型 预测出的未来时间段内存在的攻击； 所述更新模块， 还用于将所述预处理数据对应的日志与正常数据进行比对； 并根据所 述比对结果， 确定所述匹配结果是否为误判； 所述日志的发生时间和所述正常数据对应的 历史时间属于同一时间段； 根据误判 结果， 对所述安全特征库中的匹配结果对应的攻击类 型的匹配优先级 进行更新。 9.一种电子设备， 其特 征在于， 包括： 处 理器和存 储器， 所述处 理器和所述存 储器连接； 所述存储器用于存 储程序； 所述处理器用于运行存储在所述存储器中的程序， 执行如权利要求1 ‑7中任一项所述 的方法。 10.一种计算机可读存储介质， 其特征在于， 其上存储有计算机程序， 所述计算机程序 在被计算机运行时执 行如权利要求1 ‑7中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114154160 B 3