[发明专利]一种基于Docker容器的防逃逸蜜罐系统及其方法

说明书

本申请公开了一种基于Docker容器的防逃逸系统，包括系统平台和作为蜜罐的Docker容器，以及审计模块；所述Docker容器在系统平台宿主机的挂载目录为UpperDir目录，所述Docker容器以树形结构存储其内部的初始进程及子进程的PID；所述审计模块包括设置在系统平台内核空间的LSM模块和接口设置在系统平台用户空间的BPF模块；所述LSM模块包括安全模块，所述安全模块用于对进入内核空间的进程进行审计；所述BPF模块用于从用户空间将审计策略加载到内核空间的安全模块上。本申请在增加安全性的基础上，能够更加方便高效的加载审计策略。

技术领域

本申请涉及基于Docker容器的蜜罐系统的技术领域，尤其涉及一种基于Docker容器的防逃逸蜜罐系统及其方法。

背景技术

随着网络高速的发展，网络中的资源也在成倍的增加，如何提高暴露在网络中资源的安全性，是目前急需解决的问题。目前的网络攻击可分为已知类型攻击和未知类型攻击，已知类型攻击我们已经得知其特征，因此可以针对其特征采用防火墙、IPS等设备使用特定策略匹配网络流量进行防护，但未知攻击由于具备未知特征，很难被识别，当遇到未知类型攻击时，网络资源将会面临很大的安全风险。因此，只有能够捕捉到攻击方的更多的特征，才能够更多的对其进行识别和抵御。

为诱使攻击方暴露更多的特征，目前常用的是蜜罐类平台产品，其中，蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，增强实际系统的安全防护能力。

由于蜜罐本身也有被攻破利用的风险，因此目前通常使用的蜜罐是伪系统蜜罐，伪系统蜜罐是在真实系统下设置的一个伪系统，伪系统实际上只是一个程序框架，入侵伪系统后的攻击方只是在一个程序框架里进行操作，不会进入真实的系统内核，伪系统的建立比较容易，通过一些虚拟机程序就可以进行建立，但如果同时建立多个系统，会给主机本身带来很大的消耗，造成系统的不稳定，而随着Docker容器技术的出现，由于Docker容器的负载很小、启动快速，相互之间隔离性也很强，因此选择采用Docker容器蜜罐来进行对攻击特征的捕捉和监控，这样我们可以在同一台设备上运行多个蜜罐进程，每个蜜罐占用的空间较小并能够分别限制在蜜罐自己的环境中运行。

Docker容器本质是系统中的一个进程，运行在其中的应用都像是在独立的操作系统中运行一样，Docker容器拥有单独命名空间，使用Docker容器作为蜜罐保证了蜜罐之间彼此互不影响，拥有单独命名空间的蜜罐与其他的进程共享同一个内核。

而为了增加蜜罐的甜度，引诱攻击方做出动作，蜜罐本身也会自带一些已知或者未知漏洞，这样也就增加了被逃逸的风险。为了解决这个问题，申请号为CN201710083412.X《基于Docker容器的移动端双系统实现系统及方法》的专利文件中公开了一种方案，提出了使用LSM在内核里面实现安全模块(对一个模块的操作或者对一个网络的管理)方式，对Docker容器所产生的系统调用进行限制的方法，然而这个方案虽然能够降低系统内核被不安全行为攻击的可能性，但是需要对Linux内核进行开发定制，每添加一个新的LSM功能，就需要重新对内核进行编译，对内核的多次编译会降低系统的稳定性，甚至可能随时会引入让内核崩溃的BUG，也增加了开发的流程。

另外，类似的方法还可以使用安全增强型Linux(Security-Enhanced Linux)简称SELinux，SELinux是Linux的一个安全子系统，其中，审计策略由安全服务器通过一个具有特权的用户空间接口载入内核，SELinux在内核中以LSM模块的形式实现，SELinux使用LSM钩子控制对内核资源的访问，访问决定由SELinux安全服务器产生，然而SELinux策略一般都非常大并且复杂，给加载和编译都带来很大负担，且必须使用特定的接口和模块，在操作上非常繁琐且复杂。