(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111483818.X (22)申请日 2021.12.07 (65)同一申请的已公布的文献号 申请公布号 CN 114157498 A (43)申请公布日 2022.03.08 (73)专利权人 上海交通大 学 地址 200240 上海市闵行区东川路80 0号 (72)发明人 邹福泰　郭万达　任蕴东　吴越　 李林森　易平　 (74)专利代理 机构 上海旭诚知识产权代理有限 公司 312 20 专利代理师 郑立 (51)Int.Cl. H04L 9/40(2022.01) G06N 20/00(2019.01)(56)对比文件 CN 106850690 A,2017.0 6.13 CN 113206850 A,2021.08.0 3 CN 112182564 A,2021.01.0 5 US 20180415 38 A1,2018.02.08 孙宁. 《基 于蜜罐的网络攻击防御技 术研究 及应用》 . 《万方学位 论文库》 .2019,全 文. 秦玉杰.一种基 于分布式蜜罐技 术的勒索蠕 虫病毒监测方法. 《信息技 术与网络安全》 .2018, (第09期),全 文. 审查员 马旗超 (54)发明名称 一种基于人工智能的WEB高交互蜜罐系统及 防攻击方法 (57)摘要 本发明涉及计算机网络安全 领域， 公开了一 种基于人工智能的WEB高交互蜜罐系统及防攻击 方法， 所述系统包括请求收集层、 响应获取层、 人 工智能层、 日志记录层四层设计与活跃端口数据 库、 请求‑响应数据库、 人工智能数据库与访问日 志数据库四个数据库。 本发明的系统通过监听 WEB服务相关端口来收集攻击者的恶意请求， 通 过转发收到的恶意请求到公网并收集响应报文 的方式， 学习到每种恶意请求对应的响应报文， 最终将响应报文回复给攻击者， 并记录这次攻击 的内容到访问日志数据库中。 本发 明将低交互蜜 罐占用资源少、 部署简单的优点和高交互蜜罐伪 装程度高、 交互能力强的优点有机结合； 并利用 人工智能技术， 进一步地提升了蜜罐系统的交互 性能。 权利要求书3页 说明书6页 附图2页 CN 114157498 B 2022.08.16 CN 114157498 B 1.一种基于人工智能的WEB高交互蜜罐系统， 其特征在于包括请求收集层、 响应获取 层、 人工智能层、 日志记录层四层与活跃端口数据库、 请求 ‑响应数据库、 人工智能数据库与 访问日志数据库； 请求收集层通过监听WEB服务相关端口来收集攻击者的恶意请求； 响应获 取层通过转 发收到的恶意请求到公网并收集响应报文的方式， 学习到每种恶意请求对应的 响应报文， 最终将响应报文回复给攻击者； 日志记录层记录这次攻击的内容到访问日志数 据库中； 人工智能层结合人工智能技术中的强化学习算法， 从大量来自公网IP的响应报文 中选取一个攻击者最为期待的响应报文， 将其回复给攻击者， 并在蜜罐系统日志中记录这 次攻击的细节； 所述强化学习算法包括： 步骤108‑1、 人工智能层接收来自响应获取层的请求报文， 从请求 ‑响应数据库中查找 得到对应于该请求报文的来自于公网的全部响应报文； 步骤108‑2、 在初始状态下， 随机从这些响应报文中选取一条响应报文回复给攻击者， 随后记录攻击者的下一步攻击动作， 若无下一步动作， 则记录连接关闭， 重复该过程若干 次； 步骤108‑3、 将请求报文、 响应报文和攻击者的下一步操作， 也即Q ‑Learning算法中的 回报， 进行分类、 量化并存入人工智能数据库中， 形成一张攻击者与蜜罐系统的会话表， 也 即Q‑Learning算法中的Q表； 步骤108‑4、 人工智能层读取会话表并运行Q学习算法程序部分， 以寻找能最大化攻击 者与蜜罐系统 交互轮数的响应报文， 并存 储该报文； 步骤108‑5、 人工智能层将选出的响应报文回复给攻击者。 2.根据权利要求1所述的一种基于人工智能的WEB高交互蜜罐系统， 其特征在于， 所述 的 请求收集层： 收集发送到蜜罐系统的恶意HT TP请求， 并将其 转发给响应获取层； 响应获取层： 接收来自请求收集层的响应报文， 在请求 ‑响应数据库中查找包含该报文 的元组； 如果存在这样的元组， 那么直接将该报文转 发给人工智能层； 否则将该请求报文转 发给具有开放端口的公网IP， 收集来自这些IP的响应报文， 并将其存入请求 ‑响应数据库 中， 最后将 请求报文转发给 人工智能层。 3.根据权利要求1所述的一种基于人工智能的WEB高交互蜜罐系统， 其特征在于， 所述 的 人工智能层： 运用强化学习算法——Q ‑Learning算法， 选取请求报文对应的响应报文， 并将其转发到日志 记录层； 日志记录层： 记录来自攻击这的请求报文与蜜罐系统对应的响应报文。 4.根据权利要求1所述的一种基于人工智能的WEB高交互蜜罐系统， 其特征在于， 所述 的 活跃端口数据库： 存 储公网IP及其 开放的端口， 主 要包括端口号和IP地址 两个字段。 5.根据权利要求1所述的一种基于人工智能的WEB高交互蜜罐系统， 其特征在于， 所述 的 请求‑响应数据库： 存储请求报文及其对应的响应报文， 主要包括端口号、 请求报文、 响 应报文等字段。权　利　要　求　书 1/3 页 2 CN 114157498 B 26.根据权利要求1所述的一种基于人工智能的WEB高交互蜜罐系统， 其特征在于， 所述 的 人工智能数据库： 存储人工智能层生成的Q表， 主要包括请求报文、 响应报文、 响应回 报、 端口号 等字段。 7.根据权利要求1所述的一种基于人工智能的WEB高交互蜜罐系统， 其特征在于， 所述 的 访问日志数据库： 记录对蜜罐系统 的WEB攻击报文及蜜罐系统对应的响应报文， 主要包 括系统时间、 请求报文、 响应报文、 端口号 等字段。 8.一种基于人工智能的防攻击方法， 其特征在于应用于权利要求1至权利要求7任意一 项所述的基于人工智能的WEB高交互蜜罐系统， 在收到恶意HTTP请求后， 蜜 罐系统的响应获 取层借助公网IP获取响应报文， 随后人工智能层在筛选响应报文之后， 将获取到的响应报 文转发给攻击者， 蜜罐系统与攻击者的完整交 互过程包括如下步骤： 步骤101、 攻击者对蜜罐系 统的开放端 口尝试进行攻击， 蜜罐系 统保持与攻击者的TCP 连接， 并由请求收集层暂存来自攻击者的HT TP请求报文并转发到响应获取层； 步骤102、 响应获取层尝试从请求 ‑响应数据库中获取包括该请求报文的元组； 步骤103、 如果响应获取层找到了这样的元组， 直接跳过步骤104、 步骤105和步骤106， 从步骤107继续执 行； 步骤104、 如果响应获取层未找到包含该请求报文的元组， 那么该层会在活跃端口数据 库中查询对应端口开 放的公网IP； 步骤105、 响应获取层将请求报文转发到步骤104查询得到的公网IP对应端口， 并在一 定时间内等待并接收它 们的响应报文； 步骤106、 响应获取层将获取到的响应报文、 请求报文与端口号一同存入请求 ‑响应数 据库中； 步骤107、 响应获取层将 请求报文转发到人工智能层； 步骤108、 人工智能层使用Q ‑Learning算法从获取到 的响应报文中筛选出一条最符合 攻击者期待的响应报文， 并将其 发送给攻击者， 最后将请求报文、 选取得到的响应报文一同 转发到日志 记录层； 步骤109、 日志 记录层将这轮蜜罐系统的交 互数据写入蜜罐日志； 所述基于人工智能的防攻击方法， 使用一种基于强化学习的响应报文选取算法， 人工 智能层响应报文选取功能的训练过程包括如下步骤： 步骤108‑1、 人工智能层接收来自响应获取层的请求报文， 从请求 ‑响应数据库中查找 得到对应于该请求报文的来自于公网的全部响应报文； 步骤108‑2、 在初始状态下， 随机从这些响应报文中选取一条响应报文回复给攻击者， 随后记录攻击者的下一步攻击动作， 若无下一步动作， 则记录连接关闭， 重复该过程若干 次； 步骤108‑3、 将请求报文、 响应报文和攻击者的下一步操作， 也即Q ‑Learning算法中的 回报， 进行分类、 量化并存入人工智能数据库中， 形成一张攻击者与蜜罐系统的会话表， 也 即Q‑Learning算法中的Q表； 步骤108‑4、 人工智能层读取会话表并运行Q学习算法程序部分， 以寻找能最大化攻击权　利　要　求　书 2/3 页 3 CN 114157498 B 3