摘要
本发明公开了一种基于蜜罐的APT攻击捕获和检测方法、装置及介质。通过物联网蜜罐收集物联网设备网络层操作系统指纹数据、应用层HTTP响应数据,捕获应用层HTTP请求数据;利用个性化引擎模拟物联网设备操作系统指纹,使物联网蜜罐在网络层表现为真实物联网设备;物联网蜜罐与攻击者的HTTP交互过程被建模为马尔可夫决策过程,利用强化学习无模型SARSA算法,物联网蜜罐在线学习对攻击者的响应策略;利用物联网蜜罐记录的攻击日志生成溯源图,使用开源威胁情报数据生成查询图,通过图匹配技术获取APT攻击溯源图,实现对APT攻击行为的检测。本发明方法能够低成本模拟物联网深度诱捕环境,实现APT攻击行为的捕获,并快速检测到具有高度组织性、隐蔽性的APT攻击行为。
