[发明专利]基于云容器的主动防御技术

说明书

本发明提出了一种基于云容器的主动防御方法，主要用于解决传统网络防御技术无法快速部署蜜网，且主动诱骗攻击者能力有限的问题。其实现方案为：在检测到网络攻击后，业务网络的网关会获取业务网络中各个主机的状态信息，并共享给伪装网络的网关；随后伪装网络根据这些状态信息，在各个业务网络主机与伪装网络主机之间建立映射关系；各伪装网络主机根据其所对应的业务网络主机的操作系统版本、运行的服务这些状态信息运行对应的docker容器，使得伪装网络可根据业务网络的状态，动态地伪装自身，从而增强了伪装和诱骗攻击者的能力。本发明具有实时性高，且伪装和诱骗能力强的优点，可用于企业网络中，利用伪装网络诱骗攻击者，保护业务网络。

技术领域

本发明属于计算机网络技术领域，更进一步涉及一种主动防御方法，可用于快速地部署蜜网并利用蜜网迷惑攻击者，实现网络安全防御。

背景技术

在网络攻防中，攻击者与防御者一直处于非对称的状态，新的攻击手段与工具层出不穷，攻击者可以非常容易的获取到攻击目标的网络拓扑和参数信息并利用这些信息发动攻击。传统的安全防御系统如防火墙、入侵检测系统等技术已经难以有效应对这些攻击。而且由于传统的防御技术都是基于静态规则匹配的，它们对于新型的攻击手段几乎无能为力，网络管理人员往往在网络攻击发生之后，经过安全审计才有可能发现攻击的线索，随后再进行亡羊补牢。

近年来，研究者们致力于打破这种攻击者与防御者间非对称的状态，于是“移动目标防御MTD”的概念应运而生。MTD技术也可称为“动态防御技术”，动态防御不同于以往的网络安全研究思路，它旨在部署和运行不确定、随机动态的网络和系统，让攻击者难以发现目标。动态防御还可以利用蜜罐和蜜网技术主动欺骗攻击者，扰乱攻击者的视线，将其引入死胡同，并可以设置一个伪目标或者诱饵，诱骗攻击者对其实施攻击，从而触发攻击告警，以降低真实目标被攻击的概率，并通过分析其攻击技术及过程，确定相应的防御措施。动态防御改变了网络防御被动的态势，真正改变了攻防双方的“游戏规则”，真正实现“主动”防御，在很大程度上有效提高了网络信息安全。

基于采用蜜罐和蜜网诱骗攻击者的思想，文章“Design of cooperativedeployment in distributed honeynet system”提出了一种基于协同式部署蜜网的分布式系统架构，这种分布式的蜜网架构更易于部署，且更加难以被攻击者检测出来。但是这种分布式的蜜网架构缺乏高效的管理体制，使得蜜网的部署需要耗费大量的时间和资源，蜜网的快速部署难以实现。

文章“Honeymix:toward sdn-based intelligent honeynet”提出了一种基于SDN实现的分布式蜜网，它可以动态地选择在多个连接中选择最理想的连接，并在网络中进行集中的分布式计算服务，使在动态地变换蜜网的网络拓扑时，细粒度的数据控制成为可能。但是该方案由于缺乏有效的伪装和主动诱骗的机制，使得蜜罐和蜜网本身诱骗攻击者的能力也比较有限。

发明内容

本发明的目的在于提出一种基于云容器的主动防御方法，以解决传统网络防御技术无法快速地部署蜜网，且在应用蜜罐和蜜网时由于缺乏有效的服务伪装和主动诱骗机制的问题，提高主动诱骗攻击者的能力。

为了实现上述目的，本发明的实现方案包括如下：

其特征在于，包括如下：

(1)构建由业务网络和伪装网络组成的主动防御网络，其中：

业务网络是由包含客户机、网关，以及提供web服务或文件服务的各个服务器在内的所有主机组成的局域网；

伪装网络是一个包含与业务网络相同数目、相同种类主机的局域网，通过采用多样化的主机伪装技术，将自身伪装成业务网络；

业务网络和伪装网络这两个局域网通过各自的网关实现互联和交互；