本發明提供了一種基于服務角色變換的動態蜜罐防御方法，該方法通過競選機制使蜜罐服務器機群的變換控制偽隨機化，生成多種服務角色數量與位置的隨機變換信息，形成一種亦真亦假的動態蜜罐陷阱，迷惑攻擊者。內部變換種類數量隨主機數增加而呈現類似指數函數的趨勢，該數量空間保證了攻擊者無法獲取具體的變換信息，服務器將通過加密的方式傳輸真實服務信息至合法客戶端，從而使其建立與真實服務端口的有效連接，同時，利用sniffer監聽端口訪問流量，任何對蜜罐服務端口的訪問都將被標記為非法訪問，實現攻擊流量迅速識別，保護防御方資源，達到主動防御的目的。

技術領域

本發明為網絡安全領域，涉及一種基于服務角色變換的動態蜜罐防御方法，通過構建動態變換的蜜罐陣列，形成亦真亦假的攻擊誘騙陷阱，迅速識別攻擊請求，實現對服務器真實資源的主動防護。

背景技術

信息時代下的網絡安全問題尤為突出，其中，針對服務器端系統資源的各種攻擊手段層出不窮，傳統的網絡防御技術一直處于被動防護狀態，占據主動性的攻擊方利用各種漏洞發起攻擊，實施系統資源非法獲取或惡意破壞。而蜜罐作為一種具有誘騙性質的資源工具，協助防御方達到欺騙攻擊者、消耗攻擊資源的目的，因此，蜜罐是網絡安全領域內的一種主動防御技術。然而傳統的蜜罐技術較為單一，其誘騙特征易被敵手識別。

蜜罐系統誘騙與蜜罐攻擊識別形成了對立博弈關系，在防御方利用各種仿真工具或虛擬系統構建誘騙資源的同時，攻擊者也在嘗試學習蜜罐誘騙特征，并形成了反蜜罐技術體系，用于準確識別蜜罐系統，避開誘騙陷阱，從而破壞真實系統資源，達到某種攻擊目的。在攻擊者具備蜜罐識別能力的前提下進行真實系統防御成為防御者防護方案的基礎必要條件。

當前存在的多數蜜罐技術方案中，將攻擊者的識別技術作為一種防御對抗目標，利用各種手段提高偽裝誘騙性，如利用真實系統構建蜜罐誘騙環境、動態調整蜜罐系統內部參數等，這些方案降低了攻擊者的蜜罐識別度，然而被保護系統仍舊處于部署位置靜態不變的狀態，這種靜態性使防御方的價值性資源易受到攻擊損壞。

發明內容

本發明為解決靜態服務部署系統的弱防護問題，以提高受保護服務端的安全性，提出了一種基于服務角色變換的動態蜜罐防御方法，通過對多種服務角色的不斷變化，形成真假服務組合，迅速識別攻擊流量。由于多服務角色變換的存在，將對攻擊者形成一種迷惑，無法獲知真實資源與虛假資源的確定性信息，實施反向打擊。其特征在于以下步驟：

(1)在對外提供服務的服務器端部署n臺服務主機，即Ser_i∈{Ser₀,Ser₁,…,Ser_n-1}，構建P2P網絡拓撲結構，各個主機具有平等性，擔任服務器機群通信過程的信息發送方和接收方，同時作為通信的服務器與客戶端；

(2)于每臺服務主機中部署m種不同的服務，即Srv_j∈{Srv₀,Srv₁,…,Srv_m-1}，這些服務將對外開放，用以保障合法用戶的正常訪問和惡意請求識別；

(3)在n臺主機中偽隨機競選出某個主機Ser_i，生成下一T期間的服務變換信息；

(4)主機Ser_i將服務變換信息分別發送給其它n-1臺主機，在服務器主機集群內部進行一次服務變換，每個主機都將根據變換信息對服務實施開啟、關閉操作；

(5)向合法客戶端發送利用非對稱加密技術加密后的真實服務IP，保證合法用戶對真實資源的訪問請求，客戶端利用私鑰進行解密操作，并建立合法連接；

(6)在每臺主機內利用sniffer監聽端口訪問情況，對于訪問蜜罐服務端口的流量標記為惡意外部攻擊；

(7)下一T周期開始前，利用偽隨機策略競選出新的主機，進入新一輪的循環。