(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111623501.1 (22)申请日 2021.12.28 (71)申请人 南方电网数字电网研究院有限公司 地址 510700 广东省广州市黄埔区光谱中 路11号云升科 学园C栋 (72)发明人 明哲　冯国聪　余芸　陈海光　 胡朝辉　陈善锋　彭伯庄　罗强　 杨逸岳　胡钊　姜渭鹏　 (74)专利代理 机构 深圳市创富知识产权代理有 限公司 4 4367 代理人 梁嘉朗 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于Docker的ARP反制阻断方法及系统 (57)摘要 本发明公开了一种基于Docker的ARP反制阻 断方法及系统， 该方法包括： 采集机器的网络安 全数据并分析； 判断到存在异常网络行为， 设置 ARP阻断任务信息和阻断规则参数， 得到ARP阻断 任务； 将ARP阻断任务 分发至对应的机器并启动， 阻断机器网络通信。 该系统包括： ARP反制模块、 态势感知主站和采集装置。 通过使用本发明， 能 够对攻击或被攻击的资产设备进行精 准阻断， 实 现快速隔离， 从而提高机器的安全性。 本发明作 为一种基于Docker的ARP反制阻断方法及系 统， 可广泛应用于网络安全领域。 权利要求书2页 说明书5页 附图1页 CN 114374547 A 2022.04.19 CN 114374547 A 1.一种基于Docker的ARP反制阻断方法， 其特 征在于， 包括以下步骤： 采集机器的网络安全数据并分析； 判断到存在异常网络行为， 设置ARP阻断任务信息和阻断规则参数， 得到ARP阻断任务； 将ARP阻断任务分发至对应的机器并启动， 阻断机器网络通信。 2.根据权利要求1所述一种基于Docker的ARP反制阻断方法， 其特征在于， 所述采集机 器的网络安全数据并分析这 一步骤， 其具体包括： 采集机器的网络安全数据并通过 数据通道实时上送至主站； 对网络安全数据进行分析， 得到异常网络行为的判断结果。 3.根据权利要求2所述一种基于Docker的ARP反制阻断方法， 其特征在于， 所述异常网 络行为包括短时间内同个源IP对同个目的IP发起多个TCP连接 。 4.根据权利 要求3所述一种基于Docker的A RP反制阻断方法， 其特征在于， 所述设置ARP 阻断任务信息和阻断规则参数， 其具体包括： 生成装置名称、 创建时间的阻断任务信息； 根据通信五元组数据源设置对应的阻断规则参数； 所述通信五元组数据源包括IP、 源端口、 目的IP、 目的端口、 协议和装置IP、 站点名称、 分区、 被阻断MAC、 发包次数。 5.根据权利 要求4所述一种基于Docker的A RP反制阻断方法， 其特征在于， 所述将ARP阻 断任务分发至对应的机器并启动， 阻断机器网络通信这 一步骤， 其具体包括： 经过审批后将ARP阻断任务分发至对应的机器； 机器接收到ARP阻断任务和启动命令， 启动ARP反制应用利用ARP协议的原理打乱被阻 断机器和网络中其 他机器的IP ‑MAC地址对应表。 6.一种基于Docker的ARP反制阻断系统， 其特 征在于， 包括： ARP反制模块， 用于开发、 注 册和启动ARP反制应用； 态势感知主站， 用于管理ARP反制应用； 采集装置， 用于 接收网络安全数据报文并上传至态 势感知主站。 7.根据权利 要求6所述一种基于Docker的A RP反制阻断系统， 其特征在于， 所述ARP 反制 模块的工作步骤 还包括： 启动socket客户端， 通过地址连接 到采集装置的socket服 务， 开发ARP反制应用； 向采集装置发送 注册报文， 实现ARP反制应用程序注 册； 判断到ARP反制应用注册成功， 每隔预设时间向采集装置发送心跳报文维持长连接通 道； 接收到采集装置发送的阻断命令， 根据命令参数组装ARP欺骗报文向目标主站发送ARP 包阻断网络通信； 通过通道返回阻断任务启动情况至采集装置； 将ARP反制应用部署到docker容器中。 8.根据权利要求7所述一种基于Docker的ARP反制阻断系统， 其特征在于， 所述态势感 知主站的工作步骤 还包括： 基于手动方式管理ARP反制应用， 包括下发ARP反制应用、 控制ARP反制应用启动和停 止、 查询ARP反制应用和展示数据结果；权　利　要　求　书 1/2 页 2 CN 114374547 A 2基于自动方式管理ARP反制应用， 包括分析异常网络行为， 设置ARP阻断任务信息和阻 断规则参数， 将ARP阻断任务分发至对应的机器并启动， 阻断机器网络通信。 9.根据权利要求8所述一种基于Docker的ARP反制阻断系统， 其特征在于， 所述采集装 置的工作步骤 还包括： 接收态势感知主站下发的反制工具docker镜像， 并加载镜像； 接收态势感知主站下发的启动镜像命令和停止镜像命令对反制工具docker镜像进行 控制； 判断到反制工具docker镜像启动后， 连接装置的端口并进行反制工具docker镜像注册 和保活； 接收到态势感知主站控制通道命令的报文， 将报文转发到反制工具docker镜像中， 接 收到反制工具docker镜像上送的数据报文， 通过报文通道把报文转发至态 势感知主站。权　利　要　求　书 2/2 页 3 CN 114374547 A 3