买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：浙江大学

摘要：本发明公开了一种基于蜜罐的APT攻击捕获和检测方法、装置及介质。通过物联网蜜罐收集物联网设备网络层操作系统指纹数据、应用层HTTP响应数据，捕获应用层HTTP请求数据；利用个性化引擎模拟物联网设备操作系统指纹，使物联网蜜罐在网络层表现为真实物联网设备；物联网蜜罐与攻击者的HTTP交互过程被建模为马尔可夫决策过程，利用强化学习无模型SARSA算法，物联网蜜罐在线学习对攻击者的响应策略；利用物联网蜜罐记录的攻击日志生成溯源图，使用开源威胁情报数据生成查询图，通过图匹配技术获取APT攻击溯源图，实现对APT攻击行为的检测。本发明方法能够低成本模拟物联网深度诱捕环境，实现APT攻击行为的捕获，并快速检测到具有高度组织性、隐蔽性的APT攻击行为。

主权项：1.一种基于蜜罐的APT攻击捕获和检测方法，其特征在于，包括以下步骤：1在云服务器部署物联网蜜罐，用于收集连接至公网的真实物联网设备的网络层操作系统指纹数据、应用层HTTP响应数据，并捕获来自网络攻击者的应用层HTTP请求数据；2基于步骤1收集的真实物联网设备网络层操作系统指纹数据，物联网蜜罐自动检测TCPSYN扫描数据包，利用Honeyd的个性化引擎修改云服务器操作系统的指纹数据，以模拟真实物联网设备的操作系统；3基于步骤1收集的应用层HTTP响应数据，将物联网蜜罐与网络攻击者的应用层HTTP交互过程建模为一个马尔可夫决策过程；4基于步骤3建模的马尔可夫决策过程，物联网蜜罐采用强化学习无模型SARSA算法，在线学习对网络攻击者的响应策略，使物联网蜜罐能够自适应返回最佳HTTP响应给攻击者；将在线交互过程中所有捕获的攻击行为保存在攻击日志中；5基于步骤4保存的攻击日志构建溯源图，所述溯源图由节点和有向边组成，其中节点代表攻击日志中记录的系统实体，有向边记录节点之间的因果关系；6基于开源威胁情报数据集构建查询图，所述查询图由节点和有向边组成，其中节点代表威胁情报数据集中记录的真实攻击过程中的系统实体，有向边记录节点之间的因果关系；7基于步骤5构建的溯源图和步骤6构建的查询图，利用图匹配技术对齐溯源图与查询图中的节点，以匹配与查询图相似的多个溯源子图；8基于步骤7匹配的多个溯源子图，引入路径评分函数计算与查询图匹配度最高的溯源子图，以得到最终的ATP攻击溯源图。

全文数据：

权利要求：

百度查询： 浙江大学 基于蜜罐的APT攻击捕获和检测方法、装置、介质