基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统技术方案

本发明专利技术公开了一种基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统，其中该蜜罐主动防御方法包括：根据攻击者的攻击信息对攻击行为类型进行鉴定，并根据鉴定结果生成相应的调度指令；根据调度指令从镜像仓库中选择与攻击行为类型对应的攻击处理函数的容器镜像并进行实例化，以创建出能够运行攻击处理函数的容器，并利用容器对攻击信息进行处理，生成回应信息；接收回应信息，并将其发送至攻击者。本发明专利技术的技术方案够快速应对不同类型的攻击；此外，“蜜罐”采用容器来实现，具有较佳的环境隔离效果，可最大程度上防止攻击者通过蜜罐环境威胁整个所在网络环境。

Honeypot active defense method and honeypot active defense system based on Serverless architecture

The invention discloses a Serverless structure of the honeypot active defense method and active defense system based on honeypot, including the honeypot active defense method: according to the identification of attack attack information, and generates the corresponding scheduling instruction according to the identification results; according to the dispatch instructions from the mirror in the warehouse selection and corresponding types of attacks the container image processing function attack and instantiated, to create the container operation to attack process function, and to dispose the attack information using the container generating response information; receiving a response message, and transmits it to the attacker. The technical scheme of the invention is fast enough to deal with different types of attacks. Besides, honeypot is implemented by containers, which has better environmental isolation effect and can prevent attackers from threatening the whole network environment to a maximum extent.

【技术实现步骤摘要】
基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统
本专利技术涉及网络
，特别涉及一种基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统。
技术介绍
随着互联网的发展，网络安全已经受到了广泛的重视，目前的网络安全技术主要分为被动防御技术和主动防御技术。其中，被动防御技术对外防止黑客入侵，对内进行访问控制，主要是通过防火墙等设备进行安全策略配置，力求在攻击发生前进行防御策略的制定，从而进行阻断。主动防御技术主要包括入侵检测、蜜罐等技术，力求在攻击行为发生时进行感知，从而进行防御部署。其中，蜜罐技术通过在生产网络中部署一台或多台具有弱点的主机，吸引攻击者的注意力，并捕获攻击者的具体攻击行为，从而针对这些攻击行为进行相应的防御部署，进一步对网络的安全进行加固。但是现有的蜜罐系统都是部署在资源有限的、真实的系统环境和网络中，对于目前越来越多的资源耗尽型的拒绝服务(DenialOfService，简称DOS)攻击，无法做到快速响应。此外，现有的蜜罐系统能够应对的攻击种类单一，极其容易被攻陷；与此同时，由于蜜罐系统部署于真实系统环境中，一旦其被攻击者发现并攻陷，可以被当做跳板机从而威胁所在的整个网络环境。
技术实现思路
本专利技术旨在至少解决现有技术中存在的技术问题之一，提出了一种基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统。为实现上述目的，本专利技术提供了一种基于Serverless架构的蜜罐主动防御方法，包括：根据攻击者的攻击信息对攻击行为类型进行鉴定，并根据鉴定结果生成相应的调度指令；根据所述调度指令从镜像仓库中选择与所述攻击行为类型对应的攻击处理函数的容器镜像并进行实例化，以创建出能够运行攻击处理函数的容器，并利用所述容器对所述攻击信息进行处理，生成回应信息；接收所述回应信息，并将其发送至所述攻击者。可选地，还包括：记录所述攻击者的攻击信息。可选地，所述容器对所述攻击信息进行处理的步骤之后还包括：回收所述容器。可选地，所述攻击行为类型包括：端口探测攻击、SQL注入攻击、溢出攻击、拒绝服务攻击、加密攻击、口令探测攻击、泛洪攻击、未知类型攻击中的至少一种。可选地，所述攻击处理函数包括：端口探测处理函数、数据库请求处理函数、溢出攻击处理函数、拒绝服务攻击处理函数、加密攻击处理函数、口令探测处理函数、泛洪攻击处理函数、未知攻击处理函数中的至少一种；其中，所述端口探测处理函数与所述端口探测攻击对应；所述数据库请求处理函数与所述SQL注入攻击对应；所述溢出攻击处理函数与所述溢出攻击对应；所述拒绝服务攻击处理函数与所述拒绝服务攻击对应；所述加密攻击处理函数与所述加密攻击对应；所述加密攻击处理函数与所述加密攻击对应；所述口令探测处理函数与所述口令探测攻击对应；所述泛洪攻击处理函数与所述泛洪攻击对应；所述未知攻击处理函数与所述未知类型攻击对应。为实现上述目的，本专利技术还提供了一种基于Serverless架构的蜜罐主动防御系统，包括：攻击鉴定路由模块，用于根据攻击者的攻击信息对攻击行为类型进行鉴定，并根据鉴定结果生成相应的调度指令；容器集群管理模块，用于根据所述调度指令从镜像仓库中选择与所述攻击行为类型对应的攻击处理函数的容器镜像并进行实例化，以创建出能够运行攻击处理函数的容器，并利用所述容器对所述攻击信息进行处理，生成回应信息；回应结果处理模块，用于接收所述回应信息，并将其发送至所述攻击者。可选地，还包括：日志收集模块，用于记录所述攻击者的攻击信息。可选地，所述容器集群管理模块还用于在所述容器对所述攻击信息进行处理的之后回收所述容器。可选地，所述攻击行为类型包括：端口探测攻击、SQL注入攻击、溢出攻击、拒绝服务攻击、加密攻击、口令探测攻击、泛洪攻击、未知类型攻击中的至少一种。可选地，所述攻击处理函数包括：端口探测处理函数、数据库请求处理函数、溢出攻击处理函数、拒绝服务攻击处理函数、加密攻击处理函数、口令探测处理函数、泛洪攻击处理函数、未知攻击处理函数中的至少一种；其中，所述端口探测处理函数与所述端口探测攻击对应；所述数据库请求处理函数与所述SQL注入攻击对应；所述溢出攻击处理函数与所述溢出攻击对应；所述拒绝服务攻击处理函数与所述拒绝服务攻击对应；所述加密攻击处理函数与所述加密攻击对应；所述加密攻击处理函数与所述加密攻击对应；所述口令探测处理函数与所述口令探测攻击对应；所述泛洪攻击处理函数与所述泛洪攻击对应；所述未知攻击处理函数与所述未知类型攻击对应。本专利技术具有以下有益效果：本专利技术提供了一种基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统，其中该蜜罐主动防御方法包括：根据攻击者的攻击信息对攻击行为类型进行鉴定，并根据鉴定结果生成相应的调度指令；根据调度指令从镜像仓库中选择与攻击行为类型对应的攻击处理函数的容器镜像并进行实例化，以创建出能够运行攻击处理函数的容器，并利用容器对攻击信息进行处理，生成回应信息；接收回应信息，并将其发送至攻击者。本专利技术的技术方案够快速应对不同类型的攻击；此外，“蜜罐”采用容器来实现，具有较佳的环境隔离效果，可最大程度上防止攻击者通过蜜罐环境威胁整个所在网络环境。附图说明图1为本专利技术实施例一提供的一种基于Serverless架构的蜜罐主动防御系统的结构示意图；图2为本专利技术实施例二提供的一种基于Serverless架构的蜜罐主动防御方法的流程图。具体实施方式为使本领域的技术人员更好地理解本专利技术的技术方案，下面结合附图对本专利技术提供的一种基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统进行详细描述。Serverless架构又称无服务器架构，是最新兴起的架构模式之一，其实际意义是：在没有任何基础设施干预下的软件部署的能力。Serverless平台自动化了整个过程中的建立、部署和按需启动服务，用户只需注册各种所需要的业务功能和其资源的需求。与传统构架不同在于，服务端逻辑运行于无状态的计算容器中，它由事件触发，完全被第三方管理，其业务层面的状态则被开发者使用的数据库和存储资源所记录。Serverless架构具体如下特点：1)快速启动：需要对事件请求快速响应，能够在亚秒级完成启动。2)弹性扩展：可以按照应用需求，自动在群集上分配资源，按需伸缩，无需人工干预。3)良好的隔离性：不同应用之间不相互干扰。4)健壮性：应用逻辑执行失败后，可以快速调度并重新执行。基于Serverless架构的上述特点，本专利技术提供了一种具有较佳防御功能的蜜罐主动防御方法和蜜罐主动防御系统。图1为本专利技术实施例一提供的一种基于Serverless架构的蜜罐主动防御系统的结构示意图，如图1所示，该系统包括：攻击鉴定路由模块1、容器集群管理模块2和回应结果处理模块3。其中，攻击鉴定路由模块1用于根据攻击者的攻击信息对攻击行为类型进行鉴定，并根据鉴定结果生成相应的调度指令。容器集群管理模块2用于根据调度指令从镜像仓库中选择与攻击行为类型对应的攻击处理函数的容器镜像并进行实例化，以创建出能够运行攻击处理函数的容器，并利用容器对攻击信息进行处理，生成回应信息。回应结果处理模块3用于接收回应信息，并将其发送至攻击者，以达到迷惑攻击者的目的。在本专利技术中，可根据实际经验来对攻击鉴定本文档来自技高网...

【技术保护点】
一种基于Serverless架构的蜜罐主动防御方法，其特征在于，包括：根据攻击者的攻击信息对攻击行为类型进行鉴定，并根据鉴定结果生成相应的调度指令；根据所述调度指令从镜像仓库中选择与所述攻击行为类型对应的攻击处理函数的容器镜像并进行实例化，以创建出能够运行攻击处理函数的容器，并利用所述容器对所述攻击信息进行处理，生成回应信息；接收所述回应信息，并将其发送至所述攻击者。

【技术特征摘要】
1.一种基于Serverless架构的蜜罐主动防御方法，其特征在于，包括：根据攻击者的攻击信息对攻击行为类型进行鉴定，并根据鉴定结果生成相应的调度指令；根据所述调度指令从镜像仓库中选择与所述攻击行为类型对应的攻击处理函数的容器镜像并进行实例化，以创建出能够运行攻击处理函数的容器，并利用所述容器对所述攻击信息进行处理，生成回应信息；接收所述回应信息，并将其发送至所述攻击者。2.根据权利要求1所述的蜜罐主动防御方法，其特征在于，还包括：记录所述攻击者的攻击信息。3.根据权利要求1所述的蜜罐主动防御方法，其特征在于，所述容器对所述攻击信息进行处理的步骤之后还包括：回收所述容器。4.根据权利要求1所述的蜜罐主动防御方法，其特征在于，所述攻击行为类型包括：端口探测攻击、SQL注入攻击、溢出攻击、拒绝服务攻击、加密攻击、口令探测攻击、泛洪攻击、未知类型攻击中的至少一种。5.根据权利要求4所述的蜜罐主动防御方法，其特征在于，所述攻击处理函数包括：端口探测处理函数、数据库请求处理函数、溢出攻击处理函数、拒绝服务攻击处理函数、加密攻击处理函数、口令探测处理函数、泛洪攻击处理函数、未知攻击处理函数中的至少一种；其中，所述端口探测处理函数与所述端口探测攻击对应；所述数据库请求处理函数与所述SQL注入攻击对应；所述溢出攻击处理函数与所述溢出攻击对应；所述拒绝服务攻击处理函数与所述拒绝服务攻击对应；所述加密攻击处理函数与所述加密攻击对应；所述加密攻击处理函数与所述加密攻击对应；所述口令探测处理函数与所述口令探测攻击对应；所述泛洪攻击处理函数与所述泛洪攻击对应；所述未知攻击处理函数与所述未知类型攻击对应。6.一种基于Serverless架构的蜜罐主动防御...

【专利技术属性】
技术研发人员：刘畅，毋涛，王智明，贾智宇，卢莹，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：北京,11