[发明专利]拟态蜜罐演化方法、装置、设备和计算机可读存储介质

权利要求书

1.一种拟态蜜罐演化方法，其特征在于，包括以下步骤：

101、根据蜜罐或服务器的网络环境信息和服务信息，构建具有服务特征和蜜罐特征的拟态服务特征库；

102、检测当前所述蜜罐或所述服务器的网络流量，根据所述网络流量判断是否达到演化触发条件，若是，则执行步骤103；

103、基于所述拟态服务特征库进行禁忌搜索服务演化，输出最优演化结果作为当前拟态服务。

2.根据权利要求1所述的拟态蜜罐演化方法，其特征在于，步骤103具体包括：

1031、根据所述拟态服务特征库对所述服务特征和所述蜜罐特征进行编码，得到服务特征编码向量和蜜罐特征编码向量；

1032、将所述服务特征编码向量或所述蜜罐特征编码向量作为禁忌搜索算法的输入，预置最大迭代次数；

1033、初始化服务解，并初始化禁忌表为空；

1034、判断迭代次数是否达到最大迭代次数，若是，则输出当前解作为最优服务解，否则，执行步骤1035；

1035、生成当前解的候选解集，根据预置目标函数计算目标函数值；

1036、在所述候选解集中，判断是否存在一个候选解的所述目标函数值大于历史最优解的所述目标函数值，若是，则将该所述候选解更新为当前解，并更新所述历史最优解和所述禁忌表，返回步骤1034，否则，将不被禁忌的最优候选解更新为当前解，并更新所述禁忌表，返回步骤1034。

3.根据权利要求2所述的拟态蜜罐演化方法，其特征在于，所述目标函数为：

Hi(t+T_h)＝λln(Q_i(t))+(1-λ)ln(Pi(t))-α

或

其中，λ为经验值，α为蜜罐服务代价因子，T_h为蜜罐服务的时间段，Q_i为攻击者在t～t+T_h时段对服务i的攻击频率，Pi为在t～t+T_h时段客户访问服务i的频率，ΔN是攻击者在T_s时段内的攻击增量，β为由于伪蜜罐带来的服务器内存、时间等其他消耗。

4.根据权利要求2所述的拟态蜜罐演化方法，其特征在于，所述服务特征和所述蜜罐特征的编码方式为二进制编码方式。

5.根据权利要求1所述的拟态蜜罐演化方法，其特征在于，所述演化触发条件具体为：

w＞F_H；

其中，w为负载增量，F_H为攻击增量阈值。

6.一种拟态蜜罐演化装置，其特征在于，包括以下模块：

特征库模块，用于根据蜜罐或服务器的网络环境信息和服务信息，构建具有服务特征和蜜罐特征的拟态服务特征库；

触发模块，用于检测当前所述蜜罐或所述服务器的网络流量，根据所述网络流量判断是否达到演化触发条件，若是，则触发演化模块；

所述演化模块，用于基于所述拟态服务特征库进行禁忌搜索服务演化，输出最优演化结果作为当前拟态服务。

7.根据权利要求6所述拟态蜜罐演化装置，其特征在于，所述演化模块具体包括：

编码子单元，用于根据所述拟态服务特征库对所述服务特征和所述蜜罐特征进行编码，得到服务特征编码向量和蜜罐特征编码向量；

输入子单元，用于将所述服务特征编码向量或所述蜜罐特征编码向量作为禁忌搜索算法的输入，预置最大迭代次数；

初始化子单元，用于初始化服务解，并初始化禁忌表为空；

迭代输出子单元，用于判断迭代次数是否达到最大迭代次数，若是，则输出当前解作为最优服务解，否则，触发计算子单元；

所述计算子单元，用于生成当前解的候选解集，根据预置目标函数计算目标函数值；

判断更新子单元，用于在所述候选解集中，判断是否存在一个候选解的所述目标函数值大于历史最优解的所述目标函数值，若是，则将该所述候选解更新为当前解，并更新所述历史最优解和所述禁忌表，触发所述迭代输出子单元，否则，将不被禁忌的最优候选解更新为当前解，并更新所述禁忌表，触发所述迭代输出子单元。