[发明专利]一种基于人工智能的WEB高交互蜜罐系统及防攻击方法

说明书

本发明涉及计算机网络安全领域，公开了一种基于人工智能的WEB高交互蜜罐系统及防攻击方法，所述系统包括请求收集层、响应获取层、人工智能层、日志记录层四层设计与活跃端口数据库、请求‑响应数据库、人工智能数据库与访问日志数据库四个数据库。本发明的系统通过监听WEB服务相关端口来收集攻击者的恶意请求，通过转发收到的恶意请求到公网并收集响应报文的方式，学习到每种恶意请求对应的响应报文，最终将响应报文回复给攻击者，并记录这次攻击的内容到访问日志数据库中。本发明将低交互蜜罐占用资源少、部署简单的优点和高交互蜜罐伪装程度高、交互能力强的优点有机结合；并利用人工智能技术，进一步地提升了蜜罐系统的交互性能。

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种基于人工智能的WEB高交互蜜罐系统。

背景技术

蜜罐(英语：honeypot)是一个电脑术语，专指用来侦测或抵御未经授权操作或者是黑客攻击的陷阱，因原理类似诱捕昆虫的蜜罐因而得名。蜜罐通常伪装成看似有利用价值的网络、资料、电脑系统，并故意设置了bug，用来吸引黑客攻击。由于蜜罐事实上并未对网络提供任何有价值的服务，所以任何对蜜罐的尝试都是可疑的。蜜罐中还可能装有监控软件，用以监控黑客入侵后的举动。

强化学习是人工智能的重要研究方向——机器学习技术中除监督学习和无监督学习的第三大分支。强化学习与另两个分支的主要区别是，增加了奖励机制，而且不受数据集的“监督”或结构关系限制；同时，强化学习的数据集不是各自独立的，因为强化学习的状态之间是有紧密的转移、依赖关系的。也就是说，强化学习不需要明确的指导信号，而且适用的范围扩展到了多任务、多样化场景。

Q-Learning(Q学习)算法是强化学习的经典算法之一，是基于马尔科夫决策过程实现的一种累计最优策略的选取算法。Q学习旨在通过Bellman方程，采用时序差分的方式进行迭代更新状态-动作价值函数Q，使Q函数逼近至真实值Q*，从而最终得到累积的最优策略。

根据交互性能分类，蜜罐可以分为低交互蜜罐和高交互蜜罐两类。低交互蜜罐往往只模拟某一种特定的服务、一种协议或一个真实场景的小部分。它们通过对网络流量的捕捉和分析，获取攻击者的源IP地址、网络请求信息与载荷信息等流量数据的基本信息。低交互蜜罐最重要的优点是规模较小、部署的难度较小，这使得目前低交互蜜罐成为了网络安全领域常用的攻击数据收集工具。但与此同时，其轻量级的特点也带来了一些难以避免的缺点。其中最为关键的一点是，低交互蜜罐往往受到其规模限制，伪装程度较差，容易被攻击者发现其蜜罐的真实身份。另一类蜜罐则是高交互蜜罐。通常情况下，高交互蜜罐会对真实场景中的设备和服务进行全方位的模拟，尤其是会对操作环境进行全方位的模拟，以更好地迷惑技术能力较强的攻击者。这些蜜罐往往与攻击者有长时间、多次的交互过程，达到对真实系统环境的高度仿真，故称为高交互蜜罐。高交互蜜罐最主要的优点是交互能力强、模拟程度高，让攻击者难以分辨；但同时，其最主要的缺点是部署规模较大，资源需求也较大，导致其部署成本较高、难度较大。另一个缺点是，如果高交互蜜罐被攻陷，那么攻击者可能会将该蜜罐作为跳板，对其他系统进行攻击。总之，低交互蜜罐和高交互蜜罐各自具有明显的优缺点。前者虽然规模小、易于部署和维护，但是仿真度低、容易被攻击者识别出蜜罐身份；后者虽然仿真度高、交互性强，但是往往需要大量软硬件资源来部署、运行和维护。

同时，现有的蜜罐大多都在辨认出对蜜罐的攻击之后就即刻关闭与攻击者之间的连接。这样虽然能最小化蜜罐系统被彻底攻陷的风险，也收集到了一些初步的攻击数据，但是让研究者丧失了获取攻击者的进一步攻击操作的机会。本发明的目标是，对这两类蜜罐系统取长补短，设计出一种轻量级、交互性强、引诱攻击者进行连续交互攻击的高交互蜜罐系统。本发明设计的蜜罐系统在初始状态下不能对攻击者做出即时的响应，但可以在受到攻击时将攻击请求转发到公网上，来获取并存储实际的脆弱设备对该请求的响应，最后将其转发给攻击者，使得攻击者误以为侵入了实际的设备，以此吸引攻击者进行进一步的攻击操作。在设计实现蜜罐系统的同时，结合目前热门的强化学习技术的经典算法——Q-Learning算法，提升蜜罐交互性能，提升蜜罐从海量的响应数据中选取发送给攻击者的响应的能力。

发明内容