买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:浙江大学
摘要:本发明公开了一种基于蜜罐的APT攻击捕获和检测方法、装置及介质。通过物联网蜜罐收集物联网设备网络层操作系统指纹数据、应用层HTTP响应数据,捕获应用层HTTP请求数据;利用个性化引擎模拟物联网设备操作系统指纹,使物联网蜜罐在网络层表现为真实物联网设备;物联网蜜罐与攻击者的HTTP交互过程被建模为马尔可夫决策过程,利用强化学习无模型SARSA算法,物联网蜜罐在线学习对攻击者的响应策略;利用物联网蜜罐记录的攻击日志生成溯源图,使用开源威胁情报数据生成查询图,通过图匹配技术获取APT攻击溯源图,实现对APT攻击行为的检测。本发明方法能够低成本模拟物联网深度诱捕环境,实现APT攻击行为的捕获,并快速检测到具有高度组织性、隐蔽性的APT攻击行为。
主权项:1.一种基于蜜罐的APT攻击捕获和检测方法,其特征在于,包括以下步骤:1在云服务器部署物联网蜜罐,用于收集连接至公网的真实物联网设备的网络层操作系统指纹数据、应用层HTTP响应数据,并捕获来自网络攻击者的应用层HTTP请求数据;2基于步骤1收集的真实物联网设备网络层操作系统指纹数据,物联网蜜罐自动检测TCPSYN扫描数据包,利用Honeyd的个性化引擎修改云服务器操作系统的指纹数据,以模拟真实物联网设备的操作系统;3基于步骤1收集的应用层HTTP响应数据,将物联网蜜罐与网络攻击者的应用层HTTP交互过程建模为一个马尔可夫决策过程;4基于步骤3建模的马尔可夫决策过程,物联网蜜罐采用强化学习无模型SARSA算法,在线学习对网络攻击者的响应策略,使物联网蜜罐能够自适应返回最佳HTTP响应给攻击者;将在线交互过程中所有捕获的攻击行为保存在攻击日志中;5基于步骤4保存的攻击日志构建溯源图,所述溯源图由节点和有向边组成,其中节点代表攻击日志中记录的系统实体,有向边记录节点之间的因果关系;6基于开源威胁情报数据集构建查询图,所述查询图由节点和有向边组成,其中节点代表威胁情报数据集中记录的真实攻击过程中的系统实体,有向边记录节点之间的因果关系;7基于步骤5构建的溯源图和步骤6构建的查询图,利用图匹配技术对齐溯源图与查询图中的节点,以匹配与查询图相似的多个溯源子图;8基于步骤7匹配的多个溯源子图,引入路径评分函数计算与查询图匹配度最高的溯源子图,以得到最终的ATP攻击溯源图。
全文数据:
权利要求:
百度查询: 浙江大学 基于蜜罐的APT攻击捕获和检测方法、装置、介质
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。