基于云容器的主动防御技术的制作方法

本发明属于计算机网络技术领域，更进一步涉及一种主动防御方法，可用于快速地部署蜜网并利用蜜网迷惑攻击者，实现网络安全防御。

背景技术：

在网络攻防中，攻击者与防御者一直处于非对称的状态，新的攻击手段与工具层出不穷，攻击者可以非常容易的获取到攻击目标的网络拓扑和参数信息并利用这些信息发动攻击。传统的安全防御系统如防火墙、入侵检测系统等技术已经难以有效应对这些攻击。而且由于传统的防御技术都是基于静态规则匹配的，它们对于新型的攻击手段几乎无能为力，网络管理人员往往在网络攻击发生之后，经过安全审计才有可能发现攻击的线索，随后再进行亡羊补牢。

近年来，研究者们致力于打破这种攻击者与防御者间非对称的状态，于是“移动目标防御mtd”的概念应运而生。mtd技术也可称为“动态防御技术”，动态防御不同于以往的网络安全研究思路，它旨在部署和运行不确定、随机动态的网络和系统，让攻击者难以发现目标。动态防御还可以利用蜜罐和蜜网技术主动欺骗攻击者，扰乱攻击者的视线，将其引入死胡同，并可以设置一个伪目标或者诱饵，诱骗攻击者对其实施攻击，从而触发攻击告警，以降低真实目标被攻击的概率，并通过分析其攻击技术及过程，确定相应的防御措施。动态防御改变了网络防御被动的态势，真正改变了攻防双方的“游戏规则”，真正实现“主动”防御，在很大程度上有效提高了网络信息安全。

基于采用蜜罐和蜜网诱骗攻击者的思想，文章“designofcooperativedeploymentindistributedhoneynetsystem”提出了一种基于协同式部署蜜网的分布式系统架构，这种分布式的蜜网架构更易于部署，且更加难以被攻击者检测出来。但是这种分布式的蜜网架构缺乏高效的管理体制，使得蜜网的部署需要耗费大量的时间和资源，蜜网的快速部署难以实现。

文章“honeymix:towardsdn-basedintelligenthoneynet”提出了一种基于sdn实现的分布式蜜网，它可以动态地选择在多个连接中选择最理想的连接，并在网络中进行集中的分布式计算服务，使在动态地变换蜜网的网络拓扑时，细粒度的数据控制成为可能。但是该方案由于缺乏有效的伪装和主动诱骗的机制，使得蜜罐和蜜网本身诱骗攻击者的能力也比较有限。

技术实现要素：

本发明的目的在于提出一种基于云容器的主动防御方法，以解决传统网络防御技术无法快速地部署蜜网，且在应用蜜罐和蜜网时由于缺乏有效的服务伪装和主动诱骗机制的问题，提高主动诱骗攻击者的能力。

为了实现上述目的，本发明的实现方案包括如下：

其特征在于，包括如下：

(1)构建由业务网络和伪装网络组成的主动防御网络，其中：

业务网络是由包含客户机、网关，以及提供web服务或文件服务的各个服务器在内的所有主机组成的局域网；

伪装网络是一个包含与业务网络相同数目、相同种类主机的局域网，通过采用多样化的主机伪装技术，将自身伪装成业务网络；

业务网络和伪装网络这两个局域网通过各自的网关实现互联和交互；

(2)检测业务网络攻击者的嗅探扫描和网络攻击行为，在检测到扫描或攻击行为之后，记录攻击者的ip地址，并通知伪装网络的网关和业务网络中的各个主机已经检测到攻击行为；

(3)在业务网络与伪装网络间进行状态映射，建立伪装网络中的各主机与业务网络中各主机的对应关系，将各个业务网络主机的状态信息共享到对应的伪装网络主机中：

(3a)伪装网络网关在接收到(2)中已检测到攻击行为的消息后，主动开放一个端口，用于监听来自于业务网络主机所发送的状态信息；

(3b)业务网络主机在接收到(2)中已检测到攻击行为的消息后，采用一个状态信息采集脚本，以获取自身的状态信息，随后将这些状态信息发送到(3a)中的伪装网络网关所开放的端口之中，其中，业务网络主机自身的状态信息，是指业务主机的操作系统版本、运行的服务以及开放的端口这些信息；

(3c)伪装网络网关获取到各个业务网络主机的状态信息之后，为每台业务网络主机选取一个伪装网络主机，在两者之间建立映射，并将该映射存储在伪装网络网关中的数据库中；

(3d)伪装网络网关根据(3c)中所建立的映射，将(3b)中通过开放端口收集到的每台业务网络主机的状态信息发送到与这些业务网络主机建立映射的伪装网络主机中；

(4)伪装网络主机根据所获取的操作系统版本和应用服务信息，利用开源的云容器引擎docker，运行对应版本的操作系统和应用服务容器，使各伪装网络主机和与它们建立映射关系的各业务网络主机的操作系统版本及运行的应用服务在外界看来是相同的。

本发明与现有技术相比具有以下优点：

第一，本发明利用云容器引擎docker来实现蜜网部署环节中的应用服务部署，提高了蜜网部署的效率，有效地降低了蜜网部署所需的时间。

第二，本发明构建了一个伪装网络，伪装网络通过收集业务网络主机的状态信息，并根据这些状态信息利用云容器引擎docker在伪装网络中的各个主机上面运行对应版本的操作系统和应用服务容器，使得伪装网络可以根据业务网络的状态，动态地伪装自身，从而增强了伪装和诱骗攻击者的能力。

附图说明

图1为本发明的实现总流程图。

具体实施步骤

以下结合附图对本发明做进一步描述。

参照图1，对本发明的具体步骤描述如下：

步骤1：构建主动防御网络。

主动防御网络由业务网络和伪装网络组成，业务网络是由包含客户机、网关，以及提供web服务或文件服务的各个服务器在内的所有主机组成的局域网；伪装网络是一个包含与业务网络相同数目、相同种类主机的局域网，通过采用多样化的主机伪装技术，将自身伪装成业务网络；业务网络和伪装网络这两个局域网通过各自的网关实现互联和交互。

步骤2：检测扫描和攻击行为。

利用开源的入侵检测软件snort检测业务网络攻击者的嗅探扫描和网络攻击行为，在检测到扫描或攻击行为之后，记录攻击者的ip地址，并通知伪装网络的网关和业务网络中的各个主机已经检测到攻击行为，其中：

所述嗅探扫描，是指网络攻击者在对目标主机或网络发动攻击之前，通过向目标发送一系列的数据包，根据目标所返回的响应信息，对目标的状态进行判断，从而使攻击者在发动攻击时能够根据目标的状态选择合适的攻击手段。

步骤3：状态映射。

在业务网络与伪装网络间进行状态映射，建立伪装网络中的各主机与业务网络中各主机的对应关系，将各个业务网络主机的状态信息共享到对应的伪装网络主机中：

(3a)伪装网络网关在接收到(2)中已检测到攻击行为的消息后，主动开放一个端口，用于监听来自于业务网络主机所发送的状态信息；

(3b)业务网络主机在接收到(2)中已检测到攻击行为的消息后，采用一个状态信息采集脚本，以获取自身的状态信息，随后将这些状态信息发送到(3a)中的伪装网络网关所开放的端口之中，其中：

业务网络主机自身的状态信息，是指业务主机的操作系统版本、运行的服务以及开放的端口这些信息；

状态信息采集脚本，是利用bash脚本语言编写的一个通过调用系统命令获取当前主机的状态信息，并采用bash脚本语言中的字符串处理命令对状态信息进行提取，以获得当前主机的操作系统版本、运行的服务、开放的端口等信息的脚本；

(3c)伪装网络网关获取到各个业务网络主机的状态信息之后，为每台业务网络主机选取一个伪装网络主机，在两者之间建立映射，并将该映射存储在伪装网络网关中的数据库中；

(3d)伪装网络网关根据(3c)中所建立的映射，将(3b)中通过开放端口收集到的每台业务网络主机的状态信息发送到与这些业务网络主机建立映射的伪装网络主机中。

步骤4：根据状态信息运行docker容器。

选择开源的云容器引擎docker，其用于将应用服务及其相关的依赖环境打包部署到一个可移植容器中，当一台主机需要运行某个操作系统或应用服务时，只需直接运行对应的docker容器即可，而无需再进行繁琐的应用环境配置；

伪装网络主机根据所获取的操作系统版本和应用服务信息，利用开源的云容器引擎docker，运行对应版本的操作系统和应用服务容器，使各伪装网络主机和与它们建立映射关系的各业务网络主机的操作系统版本及运行的应用服务在外界看来是相同的，便于伪装网络根据业务网络的状态，动态地伪装自身，从而增强伪装和诱骗攻击者的能力。

以上描述仅是本发明的一个具体实施例，并未构成对本发明的任何限制，显然对于本领域的专业人员来说，在了解了本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上的各种修改和改变，但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。