[发明专利]基于云容器的主动防御技术

权利要求书

1.一种基于云容器的主动防御方法，其特征在于，包括如下：

(1)构建由业务网络和伪装网络组成的主动防御网络，其中：

业务网络是由包含客户机、网关，以及提供web服务或文件服务的各个服务器在内的所有主机组成的局域网；

伪装网络是一个包含与业务网络相同数目、相同种类主机的局域网，通过采用多样化的主机伪装技术，将自身伪装成业务网络；

业务网络和伪装网络这两个局域网通过各自的网关实现互联和交互；

(2)检测业务网络攻击者的嗅探扫描和网络攻击行为，在检测到扫描或攻击行为之后，记录攻击者的IP地址，并通知伪装网络的网关和业务网络中的各个主机已经检测到攻击行为；

(3)在业务网络与伪装网络间进行状态映射，建立伪装网络中的各主机与业务网络中各主机的对应关系，将各个业务网络主机的状态信息共享到对应的伪装网络主机中：

(3a)伪装网络网关在接收到(2)中已检测到攻击行为的消息后，主动开放一个端口，用于监听来自于业务网络主机所发送的状态信息；

(3b)业务网络主机在接收到(2)中已检测到攻击行为的消息后，采用一个状态信息采集脚本，以获取自身的状态信息，随后将这些状态信息发送到(3a)中的伪装网络网关所开放的端口之中，其中，业务网络主机自身的状态信息，是指业务主机的操作系统版本、运行的服务以及开放的端口这些信息；

(3c)伪装网络网关获取到各个业务网络主机的状态信息之后，为每台业务网络主机选取一个伪装网络主机，在两者之间建立映射，并将该映射存储在伪装网络网关中的数据库中；

(3d)伪装网络网关根据(3c)中所建立的映射，将(3b)中通过开放端口收集到的每台业务网络主机的状态信息发送到与这些业务网络主机建立映射的伪装网络主机中；

(4)伪装网络主机根据所获取的操作系统版本和应用服务信息，利用开源的云容器引擎docker，运行对应版本的操作系统和应用服务容器，使各伪装网络主机和与它们建立映射关系的各业务网络主机的操作系统版本及运行的应用服务在外界看来是相同的。

2.根据权利要求1所述的方法，其特征在于，步骤(1)中伪装网络通过采用多样化的主机伪装技术，将自身伪装成业务网络，是先采集业务网络中各个主机的操作系统、运行的应用服务、业务流量和存储的数据等各个维度的状态信息，再将这些信息共享给伪装网络中的主机，使得伪装网络中的主机能根据这些信息对外界呈现出与业务网络主机相同的特征。

3.根据权利要求1所述的方法，其特征在于，步骤(2)中检测业务网络攻击者的嗅探扫描和网络攻击行为，是通过在业务网络网关处部署snort开源软件实现嗅探扫描和网络攻击的检测，其中：

所述snort开源软件，是用C语言开发的一个开源的入侵检测系统，具有实时流量分析和网络IP数据包记录等强大功能，以支持网络入侵检测；

所述嗅探扫描，是指网络攻击者在对目标主机或网络发动攻击之前，通过向目标发送一系列的数据包，根据目标所返回的响应信息，对它的状态进行判断，从而使攻击者在发动攻击时能够根据目标的状态选择合适的攻击手段。

4.根据权利要求1所述的方法，其特征在于，步骤(3b)中的状态信息采集脚本，是利用bash脚本语言编写的一个通过调用系统命令获取当前主机的状态信息，并采用bash脚本语言中的字符串处理命令对状态信息进行提取，以获得当前主机的操作系统版本、运行的服务、开放的端口等信息的脚本。

5.根据权利要求1所述的方法，其特征在于，步骤(4)中开源的云容器引擎docker，是用于将应用服务及其相关的依赖环境打包部署到一个可移植容器中，当一台主机需要运行某个操作系统或应用服务时，只需直接运行对应的docker容器即可，而无需再进行繁琐的应用环境配置。