[发明专利]拟态蜜罐演化方法、装置、设备和计算机可读存储介质

说明书

本申请公开了一种拟态蜜罐演化方法、装置、设备和计算机可读存储介质，首先根据蜜罐或服务器的网络环境信息和服务信息建立拟态服务特征库，在拟态服务特征库中形成具有服务特征和蜜罐特征的多种拟态服务，然后实时监测蜜罐或服务器的网络流量，在达到演化触发条件时，触发演化，对蜜罐或服务器进行基于拟态服务特征库的禁忌搜索服务演化，输出最优演化结果作为当前拟态服务，而本申请中提供的禁忌搜索服务演化，由于使用的是禁忌搜索算法，输入条件只需要一个初始可行解，通过禁忌算法的演化即可得到最优演化结果并不受制于遗传算法的种群规模要求，更无需进行选择交叉变异操作，能够节省运算时间，提高效率。

技术领域

本申请涉及网络蜜罐技术领域，尤其涉及一种拟态蜜罐演化方法、装置、设备和计算机可读存储介质

背景技术

随着互联网的飞速发展，黑客入侵事件频频发生，对社会经济造成的的损失也与日俱增。现有的防御措施如防火墙、入侵检测等显得过于被动，使得漏报、误报率很高，达不到理想的防护效果。

蜜罐技术作为一种主动网络防护手段，恰好弥补了现有防护措施的不足，越来越收到人们的关注，其基本思想是通过模拟脆弱的目标资源作为陷阱，使攻击者将这些网络陷阱作为攻击目标，达到拖延、迷惑攻击者对真正目标的攻击，从而保护真正有价值的资源。但是随着网络攻防的不断变化，攻击者开始意识到蜜罐给他们带来了极大的制约，反蜜罐技术应运而生。反蜜罐技术是一种蜜罐识别技术，是从攻击者角度针对蜜罐技术的攻击，即攻击者通过一定的检测方法或蜜罐留下的痕迹，发现目标网络中设置的蜜罐，从而绕过蜜罐的监控。而防御者为了应对攻击者的反蜜罐技术，研究出了伪蜜罐技术，利用蜜罐的一些特征和行为故意的制造一些线索来达到吓退攻击者的效果。在网络中部署大量的蜜罐耗费资源比较大，一般用户也无法为自己配置蜜罐，因此，一个正常的主机可以伪装成蜜罐能够吓退攻击者，从而提高系统的安全性。攻击者发现一个蜜罐，采取的措施可能是离开或继续，但攻击者认定是一个蜜罐，在情感上，对攻击利益带来的积极性会降低，因而正常主机伪装成蜜罐是有效的。

针对传统蜜罐存在的致命缺陷“即破即失效”，由于其本身只是一个静态、固定不动的网络陷阱，不但部署困难而且对于动态网络的自适应性较差，蜜罐灵活性和诱骗性较差。受生物种群斗争中拟态现象的启发，目前提出了拟态式蜜罐的概念，是一种“即破即演化”的动态防御技术，认为在传统蜜罐网络基础上，通过感知和仿真网络和服务内容，有效利用保护色、警戒色机制进行拟态特征构建个动态演化，即可达到迷惑和诱骗攻击者的目的，而现有的拟态蜜罐演化方法则是基于遗传算法的演化方法，基于遗传算法的拟态蜜罐演化方法虽然能够实现有效演化，但是其算法本身由于存在要求初始种群规模较大(一般要求在100个个体以上)，且需要进行选择交叉变异运算，因此运算花费时长较长，效率比较低。

发明内容

本申请提供了一种拟态蜜罐演化方法、装置、设备和计算机可读存储介质，用于解决现有的拟态蜜罐演化方法使用遗传算法演化存在的运算花费时长较长，效率比较低的技术问题。

有鉴于此，本申请第一方面提供了一种拟态蜜罐演化方法，包括以下步骤：

101、根据蜜罐或服务器的网络环境信息和服务信息，构建具有服务特征和蜜罐特征的拟态服务特征库；

102、检测当前所述蜜罐或所述服务器的网络流量，根据所述网络流量判断是否达到演化触发条件，若是，则执行步骤103；

103、基于所述拟态服务特征库进行禁忌搜索服务演化，输出最优演化结果作为当前拟态服务。

优选地，步骤103具体包括：

1031、根据所述拟态服务特征库对所述服务特征和所述蜜罐特征进行编码，得到服务特征编码向量和蜜罐特征编码向量；

1032、将所述服务特征编码向量或所述蜜罐特征编码向量作为禁忌搜索算法的输入，预置最大迭代次数；

1033、初始化服务解，并初始化禁忌表为空；