[发明专利]一种基于人工智能的WEB高交互蜜罐系统及防攻击方法有效
| 申请号: | 202111483818.X | 申请日: | 2021-12-07 |
| 公开(公告)号: | CN114157498B | 公开(公告)日: | 2022-08-16 |
| 发明(设计)人: | 邹福泰;郭万达;任蕴东;吴越;李林森;易平 | 申请(专利权)人: | 上海交通大学 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;G06N20/00 |
| 代理公司: | 上海旭诚知识产权代理有限公司 31220 | 代理人: | 郑立 |
| 地址: | 200240 *** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 人工智能 web 交互 蜜罐 系统 攻击 方法 | ||
1.一种基于人工智能的WEB高交互蜜罐系统,其特征在于包括请求收集层、响应获取层、人工智能层、日志记录层四层与活跃端口数据库、请求-响应数据库、人工智能数据库与访问日志数据库;请求收集层通过监听WEB服务相关端口来收集攻击者的恶意请求;响应获取层通过转发收到的恶意请求到公网并收集响应报文的方式,学习到每种恶意请求对应的响应报文,最终将响应报文回复给攻击者;日志记录层记录这次攻击的内容到访问日志数据库中;人工智能层结合人工智能技术中的强化学习算法,从大量来自公网IP的响应报文中选取一个攻击者最为期待的响应报文,将其回复给攻击者,并在蜜罐系统日志中记录这次攻击的细节;
所述强化学习算法包括:
步骤108-1、人工智能层接收来自响应获取层的请求报文,从请求-响应数据库中查找得到对应于该请求报文的来自于公网的全部响应报文;
步骤108-2、在初始状态下,随机从这些响应报文中选取一条响应报文回复给攻击者,随后记录攻击者的下一步攻击动作,若无下一步动作,则记录连接关闭,重复该过程若干次;
步骤108-3、将请求报文、响应报文和攻击者的下一步操作,也即Q-Learning算法中的回报,进行分类、量化并存入人工智能数据库中,形成一张攻击者与蜜罐系统的会话表,也即Q-Learning算法中的Q表;
步骤108-4、人工智能层读取会话表并运行Q学习算法程序部分,以寻找能最大化攻击者与蜜罐系统交互轮数的响应报文,并存储该报文;
步骤108-5、人工智能层将选出的响应报文回复给攻击者。
2.根据权利要求1所述的一种基于人工智能的WEB高交互蜜罐系统,其特征在于,所述的
请求收集层:收集发送到蜜罐系统的恶意HTTP请求,并将其转发给响应获取层;
响应获取层:接收来自请求收集层的响应报文,在请求-响应数据库中查找包含该报文的元组;如果存在这样的元组,那么直接将该报文转发给人工智能层;否则将该请求报文转发给具有开放端口的公网IP,收集来自这些IP的响应报文,并将其存入请求-响应数据库中,最后将请求报文转发给人工智能层。
3.根据权利要求1所述的一种基于人工智能的WEB高交互蜜罐系统,其特征在于,所述的
人工智能层:运用强化学习算法——Q-Learning算法,选取请求报文对应的响应报文,并将其转发到日志记录层;
日志记录层:记录来自攻击这的请求报文与蜜罐系统对应的响应报文。
4.根据权利要求1所述的一种基于人工智能的WEB高交互蜜罐系统,其特征在于,所述的
活跃端口数据库:存储公网IP及其开放的端口,主要包括端口号和IP地址两个字段。
5.根据权利要求1所述的一种基于人工智能的WEB高交互蜜罐系统,其特征在于,所述的
请求-响应数据库:存储请求报文及其对应的响应报文,主要包括端口号、请求报文、响应报文等字段。
6.根据权利要求1所述的一种基于人工智能的WEB高交互蜜罐系统,其特征在于,所述的
人工智能数据库:存储人工智能层生成的Q表,主要包括请求报文、响应报文、响应回报、端口号等字段。
7.根据权利要求1所述的一种基于人工智能的WEB高交互蜜罐系统,其特征在于,所述的
访问日志数据库:记录对蜜罐系统的WEB攻击报文及蜜罐系统对应的响应报文,主要包括系统时间、请求报文、响应报文、端口号等字段。
8.一种基于人工智能的防攻击方法,其特征在于应用于权利要求1至权利要求7任意一项所述的基于人工智能的WEB高交互蜜罐系统,在收到恶意HTTP请求后,蜜罐系统的响应获取层借助公网IP获取响应报文,随后人工智能层在筛选响应报文之后,将获取到的响应报文转发给攻击者,蜜罐系统与攻击者的完整交互过程包括如下步骤:
步骤101、攻击者对蜜罐系统的开放端口尝试进行攻击,蜜罐系统保持与攻击者的TCP连接,并由请求收集层暂存来自攻击者的HTTP请求报文并转发到响应获取层;
步骤102、响应获取层尝试从请求-响应数据库中获取包括该请求报文的元组;
步骤103、如果响应获取层找到了这样的元组,直接跳过步骤104、步骤105和步骤106,从步骤107继续执行;
步骤104、如果响应获取层未找到包含该请求报文的元组,那么该层会在活跃端口数据库中查询对应端口开放的公网IP;
步骤105、响应获取层将请求报文转发到步骤104查询得到的公网IP对应端口,并在一定时间内等待并接收它们的响应报文;
步骤106、响应获取层将获取到的响应报文、请求报文与端口号一同存入请求-响应数据库中;
步骤107、响应获取层将请求报文转发到人工智能层;
步骤108、人工智能层使用Q-Learning算法从获取到的响应报文中筛选出一条最符合攻击者期待的响应报文,并将其发送给攻击者,最后将请求报文、选取得到的响应报文一同转发到日志记录层;
步骤109、日志记录层将这轮蜜罐系统的交互数据写入蜜罐日志;
所述基于人工智能的防攻击方法,使用一种基于强化学习的响应报文选取算法,人工智能层响应报文选取功能的训练过程包括如下步骤:
步骤108-1、人工智能层接收来自响应获取层的请求报文,从请求-响应数据库中查找得到对应于该请求报文的来自于公网的全部响应报文;
步骤108-2、在初始状态下,随机从这些响应报文中选取一条响应报文回复给攻击者,随后记录攻击者的下一步攻击动作,若无下一步动作,则记录连接关闭,重复该过程若干次;
步骤108-3、将请求报文、响应报文和攻击者的下一步操作,也即Q-Learning算法中的回报,进行分类、量化并存入人工智能数据库中,形成一张攻击者与蜜罐系统的会话表,也即Q-Learning算法中的Q表;
步骤108-4、人工智能层读取会话表并运行Q学习算法程序部分,以寻找能最大化攻击者与蜜罐系统交互轮数的响应报文,并存储该报文;
步骤108-5、人工智能层将选出的响应报文回复给攻击者。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于上海交通大学,未经上海交通大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111483818.X/1.html,转载请声明来源钻瓜专利网。
