[发明专利]一种基于服务角色变换的动态蜜罐防御方法

权利要求书

1.一种基于服务角色变换的动态蜜罐防御方法，其特征在于包含以下步骤：

a.在对外提供服务的服务器端部署n台服务主机，即Ser_i∈{Ser₀,Ser₁,…,Ser_n-1}，其中Ser_i表示第i台服务主机，Ser₀表示第0台服务主机，Ser₁表示第1台服务主机，Ser_n-1表示第n-1台服务主机，n台主机共同构建P2P网络拓扑结构，各个主机具有平等性，每台服务主机既担任服务器机群通信过程的信息发送方和接收方，同时还作为通信的服务器与客户端；

b.于每台服务主机中部署m种不同的服务，即Srv_j∈{Srv₀,Srv₁,…,Srv_m-1}，其中Srv_j表示第j种服务，Srv₀表示第0种服务，Srv₁表示第1种服务，Srv_m-1表示第m-1种服务，这些服务将对外开放，通过伪随机的服务变换，在保证合法用户正常连接的情况下，迅速识别蜜罐恶意访问，使攻击者无法在多变的真假服务中实现针对性资源攻击，用以保障合法用户的正常访问和恶意请求识别；

c.在n台主机中伪随机竞选出第i台服务主机Ser_i，生成下一T期间的服务变换信息，变换信息首行是由服务编号SerNo与二进制01编码组成，接收方在解密信息之后，将编号1-n与01编码按位比对，1编码表示开启该编号对应服务，0编码表示关闭该编号对应服务；

d.主机Ser_i根据P2P网络中的IP列表，将服务变换加密信息分别发送给其它n-1台主机，其中，变换信息首行是由服务编号SerNo与二进制01编码组成，接收方在解密信息之后，将编号1-n与01编码按位比对，1编码表示开启该编号对应服务，0编码表示关闭该编号对应服务，获取具体开关服务信息SerNo′，判断SerNo与SerNo′是否相等，相等则表示接收了正确的变换信息，接收方将根据此信息对服务实施开启、关闭操作，在服务器主机集群内部进行一次服务变换；

e.向合法客户端发送利用非对称加密技术加密后的真实服务IP，保证合法用户对真实资源的访问请求，客户端利用私钥进行解密操作，并建立合法连接；

f.在每台主机内利用sniffer监听端口访问情况，对于访问蜜罐服务端口的流量标记为恶意外部攻击；

g.下一T周期开始前，利用伪随机策略竞选出新的主机，进入新一轮的循环。

2.根据权利要求1所述的一种基于服务角色变换的动态蜜罐防御方法，其特征在于：

所述步骤b中对于单个服务主机提供多服务的情况，各个主机具有2^m-1种服务变换选择，即其中Type_k表示第k种服务类型，Type₀表示第0种服务类型，Type₁表示第1种服务类型，表示第2^m-2种服务类型，在这种情况下，具有种(服务器，服务类型)组合，为保证对合法用户提供全部m种服务，需剔除每行Type′₀∪Type′₁∪…∪Type′_n-1中服务总数小于m的情况，数量为extrNum，其中Type′₀表示第0行中被选中的服务类型，Type′₁表示第1行中被选中的服务类型，Type′_n-1表示第n-1行中被选中的服务类型。

3.根据权利要求1所述的一种基于服务角色变换的动态蜜罐防御方法，其特征在于：

所述步骤f中，由于服务器端将每次变换之后的真实服务IP发送至合法客户端，保证了合法用户与真实服务资源的同步，即合法用户将访问真实服务而非蜜罐服务，其中变换种类的数量为(2^m-1)ⁿ-extrNum种，随服务主机数量的增加而呈现类似指数级的增长，数量空间大，加之存在伪随机变换，攻击者无法获知具体变换信息，因此，任何访问蜜罐服务端口的流量将被标记为恶意外部攻击，实现了外部攻击流量的快速识别。