The invention proposes an active defense method based on cloud container, which is mainly used to solve the problem that traditional network defense technology can not deploy Honeynet quickly, and the ability of active deception attackers is limited. The implementation scheme is as follows: after network attack is detected, the gateway of the service network will obtain the status information of each host in the service network and share it with the gateway of the camouflage network; then the camouflage network establishes the mapping relationship between each service network host and the camouflage network host according to these status information; and each camouflage network host according to its corresponding operation of the service network host. As the system version and running service, the corresponding docker container can be run, so that the camouflage network can dynamically camouflage itself according to the status of the business network, thus enhancing the ability of camouflage and deceive attackers. The invention has the advantages of high real-time performance, strong camouflage and deception ability, and can be used in enterprise network to deceive attackers and protect business network by camouflage network.
【技术实现步骤摘要】
基于云容器的主动防御技术
本专利技术属于计算机网络
,更进一步涉及一种主动防御方法,可用于快速地部署蜜网并利用蜜网迷惑攻击者,实现网络安全防御。
技术介绍
在网络攻防中,攻击者与防御者一直处于非对称的状态,新的攻击手段与工具层出不穷,攻击者可以非常容易的获取到攻击目标的网络拓扑和参数信息并利用这些信息发动攻击。传统的安全防御系统如防火墙、入侵检测系统等技术已经难以有效应对这些攻击。而且由于传统的防御技术都是基于静态规则匹配的,它们对于新型的攻击手段几乎无能为力,网络管理人员往往在网络攻击发生之后,经过安全审计才有可能发现攻击的线索,随后再进行亡羊补牢。近年来,研究者们致力于打破这种攻击者与防御者间非对称的状态,于是“移动目标防御MTD”的概念应运而生。MTD技术也可称为“动态防御技术”,动态防御不同于以往的网络安全研究思路,它旨在部署和运行不确定、随机动态的网络和系统,让攻击者难以发现目标。动态防御还可以利用蜜罐和蜜网技术主动欺骗攻击者,扰乱攻击者的视线,将其引入死胡同,并可以设置一个伪目标或者诱饵,诱骗攻击者对其实施攻击,从而触发攻击告警,以降低真实目标被攻击的概率,并通过分析其攻击技术及过程,确定相应的防御措施。动态防御改变了网络防御被动的态势,真正改变了攻防双方的“游戏规则”,真正实现“主动”防御,在很大程度上有效提高了网络信息安全。基于采用蜜罐和蜜网诱骗攻击者的思想,文章“Designofcooperativedeploymentindistributedhoneynetsystem”提出了一种基于协同式部署蜜网的分布式系统架构,这种分布式的 ...
【技术保护点】
1.一种基于云容器的主动防御方法,其特征在于,包括如下:(1)构建由业务网络和伪装网络组成的主动防御网络,其中:业务网络是由包含客户机、网关,以及提供web服务或文件服务的各个服务器在内的所有主机组成的局域网;伪装网络是一个包含与业务网络相同数目、相同种类主机的局域网,通过采用多样化的主机伪装技术,将自身伪装成业务网络;业务网络和伪装网络这两个局域网通过各自的网关实现互联和交互;(2)检测业务网络攻击者的嗅探扫描和网络攻击行为,在检测到扫描或攻击行为之后,记录攻击者的IP地址,并通知伪装网络的网关和业务网络中的各个主机已经检测到攻击行为;(3)在业务网络与伪装网络间进行状态映射,建立伪装网络中的各主机与业务网络中各主机的对应关系,将各个业务网络主机的状态信息共享到对应的伪装网络主机中:(3a)伪装网络网关在接收到(2)中已检测到攻击行为的消息后,主动开放一个端口,用于监听来自于业务网络主机所发送的状态信息;(3b)业务网络主机在接收到(2)中已检测到攻击行为的消息后,采用一个状态信息采集脚本,以获取自身的状态信息,随后将这些状态信息发送到(3a)中的伪装网络网关所开放的端口之中,其中, ...
【技术特征摘要】
1.一种基于云容器的主动防御方法,其特征在于,包括如下:(1)构建由业务网络和伪装网络组成的主动防御网络,其中:业务网络是由包含客户机、网关,以及提供web服务或文件服务的各个服务器在内的所有主机组成的局域网;伪装网络是一个包含与业务网络相同数目、相同种类主机的局域网,通过采用多样化的主机伪装技术,将自身伪装成业务网络;业务网络和伪装网络这两个局域网通过各自的网关实现互联和交互;(2)检测业务网络攻击者的嗅探扫描和网络攻击行为,在检测到扫描或攻击行为之后,记录攻击者的IP地址,并通知伪装网络的网关和业务网络中的各个主机已经检测到攻击行为;(3)在业务网络与伪装网络间进行状态映射,建立伪装网络中的各主机与业务网络中各主机的对应关系,将各个业务网络主机的状态信息共享到对应的伪装网络主机中:(3a)伪装网络网关在接收到(2)中已检测到攻击行为的消息后,主动开放一个端口,用于监听来自于业务网络主机所发送的状态信息;(3b)业务网络主机在接收到(2)中已检测到攻击行为的消息后,采用一个状态信息采集脚本,以获取自身的状态信息,随后将这些状态信息发送到(3a)中的伪装网络网关所开放的端口之中,其中,业务网络主机自身的状态信息,是指业务主机的操作系统版本、运行的服务以及开放的端口这些信息;(3c)伪装网络网关获取到各个业务网络主机的状态信息之后,为每台业务网络主机选取一个伪装网络主机,在两者之间建立映射,并将该映射存储在伪装网络网关中的数据库中;(3d)伪装网络网关根据(3c)中所建立的映射,将(3b)中通过开放端口收集到的每台业务网络主机的状态信息发送到与这些业务网络主机建立映射的伪装网络主机中;(4)伪装网络主机根据所获取的操作系统版本和应用服务信息,利用开源的云容器引擎docker,运...
【专利技术属性】
技术研发人员:裴庆祺,孔德恺,
申请(专利权)人:西安电子科技大学,西安西电链融科技有限公司,
类型:发明
国别省市:陕西,61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。