[发明专利]一种基于容器级蜜罐群的入侵检测方法及系统

权利要求书

1.一种基于容器级蜜罐群的入侵检测方法，其特征在于，包括：

步骤S1，通过Docker镜像进行模拟，得到蜜罐元素；

步骤S2，根据所获取的蜜罐元素，进行网络拓扑并得到蜜罐群；

步骤S3，在蜜罐元素中部署数据采集探针，并采集蜜罐群的数据信息；

步骤S4，对采集到的数据信息进行入侵检测分析；

步骤S5，将所获取的分析结果，显示在可视化界面中；

所述步骤S4包括：

获取日志信息之间的关联规则；

从所获取的关联规则中，筛选出攻击关联规则和可疑网络行为数据；

所述获取日志信息之间的关联规则，包括：

对于日志信息F，创建副本D，其中，日志信息F中记录的属性至少包括：协议、源IP地址、端口号、目标IP地址和端口号；

根据各个属性的属性值进行事务计数，并丢弃低于期望阈值的1项集，得到只包含一个项的频繁项集C₁；

根据输入的最小支持度对所有C₁进行统计，如果属性没有出现过，则加入到D当中，并且计数为1，如果D中存在该属性，则计数加1，得到1-频繁项集L₁；

对L_k-1进行自连接运算和剪枝，生成k-候选项集D_k，k为表示项集中的元素个数的动态变量，L_k-1表示频繁k-1项集；

根据最小支持度从D_k中，得到频繁项集k-项集的集合L_k，并将不包含任何频繁项集的元素从F中删除；

重复上述过程，直至L_k为空，其中，在重复迭代中k进行自增；

根据最小置信度，对生成的频繁项集L进行筛选，生成数据的强关联规则。

2.根据权利要求1所述的方法，其特征在于，所述步骤S1包括：

至少两个Docker镜像分别进行实例化，并各自模拟蜜罐元素，所述蜜罐元素的类型至少包括：工控蜜罐、Mysql数据库蜜罐和NTP蜜罐；

利用模拟得到的蜜罐元素组成Docker镜像模板并记录。

3.根据权利要求1或2所述的方法，其特征在于，所述步骤S2包括：

根据用户在所述可视化界面上的操作，选择Docker镜像模板；

根据所述Docker镜像模板将所获取的蜜罐元素添加到网络拓扑中，得到所述蜜罐群。

4.根据权利要求3所述的方法，其特征在于，在进行网络拓扑之前，还包括：

通过回溯法验证所述网络拓扑的结构和网络节点属性；

并排除存在环状结构的网络拓扑。

5.根据权利要求1所述的方法，其特征在于，所述步骤S3包括：

通过Logstash数据收集处理引擎，接受所述蜜罐群所在的服务器发送的日志信息，其中，数据采集探针至少包括了流量传感器和日志采集器，日志信息的格式为JSON格式；

将采集到的日志信息进行预处理后，输出到Elasticsearch分布式搜索引擎中存储。