[发明专利]一种基于容器级蜜罐群的入侵检测方法及系统

说明书

本发明涉及网络安全技术领域，本发明公开了一种基于容器级蜜罐群的入侵检测方法及系统，包括场景构建模块、数据采集模块、规则引擎模块和态势展现模块。一种基于容器级蜜罐群的入侵检测方法，包括以下步骤：获取蜜罐元素并构建网络拓扑搭建符合真实环境的蜜罐群。蜜罐元素中部署数据采集探针，采集蜜罐群数据信息。搭建规则引擎并进行对采集到的数据信息进行入侵检测分析。获取分析结果信息，并进行态势综合呈现。本发明构造逼真的蜜罐群，迷惑攻击人员，并能够更为有效的获悉攻击人员的攻击行为方式，搜集更多的信息，能够对根据不同需求动态构建蜜罐群属性，为保护真实系统提供更多有用的策略。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于容器级蜜罐群的入侵检测方法及系统。

背景技术

蜜网又可称为诱捕网络，蜜罐技术实质上是一类研究型的高交互蜜罐技术。其主要目的是收集黑客的攻击信息。与传统的蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中，可以包含一个或多个蜜罐，同时保证网络的高度可控性，以及提供多种工具以方便对攻击信息的采集和分析。这其中，蜜罐的机制设计与实际应用一直受到安全研究人员的关注。

然而，目前的高交互蜜罐能够吸引更深层次的攻击，但是存在着部署风险高、部署配置复杂等缺点；低交互蜜罐虽然能够快速部署，但却只是对攻击请求进行简单回应。并且现阶段主要采用的欺骗技术，侧重于协议栈欺骗角度，缺乏策略层面的欺骗研究和技术方案。

发明内容

本发明的实施例提供一种基于容器级蜜罐群的入侵检测方法及系统，能够根据不同需求动态构建蜜罐群属性，为保护真实系统提供更多有用的策略。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明的实施例提供的方法，包括：

步骤S1，通过Docker镜像进行模拟，得到蜜罐元素；

步骤S2，根据所获取的蜜罐元素，进行网络拓扑并得到蜜罐群；

步骤S3，在蜜罐元素中部署数据采集探针，并采集蜜罐群的数据信息；

步骤S4，对采集到的数据信息进行入侵检测分析；

步骤S5，将所获取的分析结果，显示在可视化界面中。

第二方面，本发明的实施例提供的系统，包括：场景构建模块(1)、数据采集模块(2)、规则引擎模块(3)、态势展现模块(4)和镜像管理模块(6)，其中：

镜像管理模块(6)，用于通过Docker镜像进行模拟，得到蜜罐元素；

场景构建模块(1)，用于根据所获取的蜜罐元素，进行网络拓扑并得到蜜罐群；

数据采集模块(2)，用于在蜜罐元素中部署数据采集探针，并采集蜜罐群的数据信息；

规则引擎模块(3)，用于对采集到的数据信息进行入侵检测分析；

态势展现模块(4)，用于将所获取的分析结果，显示在可视化界面中。

本实施例基于容器级蜜罐群的入侵检测，通过场景构建模块、数据采集模块、规则引擎模块和态势展现模块，实现获取蜜罐元素并构建网络拓扑搭建符合真实环境的蜜罐群。蜜罐元素中部署数据采集探针，采集蜜罐群数据信息。搭建规则引擎并进行对采集到的数据信息进行入侵检测分析。获取分析结果信息，并进行态势综合呈现，实现利用多个蜜罐，仿照真实的系统运行环境和拓扑结构，构造逼真的蜜罐群，迷惑攻击人员，并能够更为有效的获悉攻击人员的攻击行为方式，搜集更多的信息，从而帮助安全管理人员对攻击人员的来源和手段进行分析，能够对根据不同需求动态构建蜜罐群属性，为保护真实系统提供更多有用的策略。

附图说明