[发明专利]基于云容器的主动防御技术

摘要

本发明提出了一种基于云容器的主动防御方法，主要用于解决传统网络防御技术无法快速部署蜜网，且主动诱骗攻击者能力有限的问题。其实现方案为：在检测到网络攻击后，业务网络的网关会获取业务网络中各个主机的状态信息，并共享给伪装网络的网关；随后伪装网络根据这些状态信息，在各个业务网络主机与伪装网络主机之间建立映射关系；各伪装网络主机根据其所对应的业务网络主机的操作系统版本、运行的服务这些状态信息运行对应的docker容器，使得伪装网络可根据业务网络的状态，动态地伪装自身，从而增强了伪装和诱骗攻击者的能力。本发明具有实时性高，且伪装和诱骗能力强的优点，可用于企业网络中，利用伪装网络诱骗攻击者，保护业务网络。

主权项

1.一种基于云容器的主动防御方法，其特征在于，包括如下：(1)构建由业务网络和伪装网络组成的主动防御网络，其中：业务网络是由包含客户机、网关，以及提供web服务或文件服务的各个服务器在内的所有主机组成的局域网；伪装网络是一个包含与业务网络相同数目、相同种类主机的局域网，通过采用多样化的主机伪装技术，将自身伪装成业务网络；业务网络和伪装网络这两个局域网通过各自的网关实现互联和交互；(2)检测业务网络攻击者的嗅探扫描和网络攻击行为，在检测到扫描或攻击行为之后，记录攻击者的IP地址，并通知伪装网络的网关和业务网络中的各个主机已经检测到攻击行为；(3)在业务网络与伪装网络间进行状态映射，建立伪装网络中的各主机与业务网络中各主机的对应关系，将各个业务网络主机的状态信息共享到对应的伪装网络主机中：(3a)伪装网络网关在接收到(2)中已检测到攻击行为的消息后，主动开放一个端口，用于监听来自于业务网络主机所发送的状态信息；(3b)业务网络主机在接收到(2)中已检测到攻击行为的消息后，采用一个状态信息采集脚本，以获取自身的状态信息，随后将这些状态信息发送到(3a)中的伪装网络网关所开放的端口之中，其中，业务网络主机自身的状态信息，是指业务主机的操作系统版本、运行的服务以及开放的端口这些信息；(3c)伪装网络网关获取到各个业务网络主机的状态信息之后，为每台业务网络主机选取一个伪装网络主机，在两者之间建立映射，并将该映射存储在伪装网络网关中的数据库中；(3d)伪装网络网关根据(3c)中所建立的映射，将(3b)中通过开放端口收集到的每台业务网络主机的状态信息发送到与这些业务网络主机建立映射的伪装网络主机中；(4)伪装网络主机根据所获取的操作系统版本和应用服务信息，利用开源的云容器引擎docker，运行对应版本的操作系统和应用服务容器，使各伪装网络主机和与它们建立映射关系的各业务网络主机的操作系统版本及运行的应用服务在外界看来是相同的。