[发明专利]一种基于服务角色变换的动态蜜罐防御方法

说明书

本发明提供了一种基于服务角色变换的动态蜜罐防御方法，该方法通过竞选机制使蜜罐服务器机群的变换控制伪随机化，生成多种服务角色数量与位置的随机变换信息，形成一种亦真亦假的动态蜜罐陷阱，迷惑攻击者。内部变换种类数量随主机数增加而呈现类似指数函数的趋势，该数量空间保证了攻击者无法获取具体的变换信息，服务器将通过加密的方式传输真实服务信息至合法客户端，从而使其建立与真实服务端口的有效连接，同时，利用sniffer监听端口访问流量，任何对蜜罐服务端口的访问都将被标记为非法访问，实现攻击流量迅速识别，保护防御方资源，达到主动防御的目的。

技术领域

本发明为网络安全领域，涉及一种基于服务角色变换的动态蜜罐防御方法，通过构建动态变换的蜜罐阵列，形成亦真亦假的攻击诱骗陷阱，迅速识别攻击请求，实现对服务器真实资源的主动防护。

背景技术

信息时代下的网络安全问题尤为突出，其中，针对服务器端系统资源的各种攻击手段层出不穷，传统的网络防御技术一直处于被动防护状态，占据主动性的攻击方利用各种漏洞发起攻击，实施系统资源非法获取或恶意破坏。而蜜罐作为一种具有诱骗性质的资源工具，协助防御方达到欺骗攻击者、消耗攻击资源的目的，因此，蜜罐是网络安全领域内的一种主动防御技术。然而传统的蜜罐技术较为单一，其诱骗特征易被敌手识别。

蜜罐系统诱骗与蜜罐攻击识别形成了对立博弈关系，在防御方利用各种仿真工具或虚拟系统构建诱骗资源的同时，攻击者也在尝试学习蜜罐诱骗特征，并形成了反蜜罐技术体系，用于准确识别蜜罐系统，避开诱骗陷阱，从而破坏真实系统资源，达到某种攻击目的。在攻击者具备蜜罐识别能力的前提下进行真实系统防御成为防御者防护方案的基础必要条件。

当前存在的多数蜜罐技术方案中，将攻击者的识别技术作为一种防御对抗目标，利用各种手段提高伪装诱骗性，如利用真实系统构建蜜罐诱骗环境、动态调整蜜罐系统内部参数等，这些方案降低了攻击者的蜜罐识别度，然而被保护系统仍旧处于部署位置静态不变的状态，这种静态性使防御方的价值性资源易受到攻击损坏。

发明内容

本发明为解决静态服务部署系统的弱防护问题，以提高受保护服务端的安全性，提出了一种基于服务角色变换的动态蜜罐防御方法，通过对多种服务角色的不断变化，形成真假服务组合，迅速识别攻击流量。由于多服务角色变换的存在，将对攻击者形成一种迷惑，无法获知真实资源与虚假资源的确定性信息，实施反向打击。其特征在于以下步骤：

(1)在对外提供服务的服务器端部署n台服务主机，即Ser_i∈{Ser₀,Ser₁,…,Ser_n-1}，构建P2P网络拓扑结构，各个主机具有平等性，担任服务器机群通信过程的信息发送方和接收方，同时作为通信的服务器与客户端；

(2)于每台服务主机中部署m种不同的服务，即Srv_j∈{Srv₀,Srv₁,…,Srv_m-1}，这些服务将对外开放，用以保障合法用户的正常访问和恶意请求识别；

(3)在n台主机中伪随机竞选出某个主机Ser_i，生成下一T期间的服务变换信息；

(4)主机Ser_i将服务变换信息分别发送给其它n-1台主机，在服务器主机集群内部进行一次服务变换，每个主机都将根据变换信息对服务实施开启、关闭操作；

(5)向合法客户端发送利用非对称加密技术加密后的真实服务IP，保证合法用户对真实资源的访问请求，客户端利用私钥进行解密操作，并建立合法连接；

(6)在每台主机内利用sniffer监听端口访问情况，对于访问蜜罐服务端口的流量标记为恶意外部攻击；

(7)下一T周期开始前，利用伪随机策略竞选出新的主机，进入新一轮的循环。