本發明提供一種基于機器學習的智能Web攻擊捕獲方法及電子裝置，包括截獲一攻擊流量，檢索該攻擊流量的源IP信息是否在IP?目標映射表中及相應的IP?目標映射表權重與實時流量分類表權重；根據IP?目標映射表權重與實時流量分類表權重相互大小，分別通過IP?目標映射表或實時攻擊流量分類模型中得到該攻擊流量對應的目標應用類型，并引導至相應的應用蜜罐中。本發明實現對攻擊者的高效準確引導，并通過反饋調節機制讓蜜罐系統實現對于攻擊者行為和目標的不斷學習，持續提升攻擊引導和捕獲的能力。

技術領域

本發明屬于網絡安全技術領域，尤其涉及一種基于機器學習的智能Web攻擊捕獲方法及電子裝置。

背景技術

隨著網絡技術的高速發展和廣泛應用，網絡已經成為了人們日常生活和工作的重要工具，然而，在網絡技術蓬勃發展的同時，網絡攻擊和惡意代碼的威脅也在與日俱增。通過對國家互聯網應急響應中心在2013年至2018年的漏洞數據統計報告的分析，可以明顯地發現，漏洞的總數量和威脅程度在逐年攀升，這五年間漏洞數量的平均增長率高于10％，年平均增長的漏洞數量也達到了10000個以上，其中更不乏一些惡意軟件的變種或者新型高危攻擊出現，如近年來危害十分廣泛的勒索軟件病毒，對全球范圍內，包括政府、教育、醫院、能源、通信、制造業在內，諸多科技民生相關領域的網絡信息基礎設備設施造成了難以估量的損失，而正是這類攻擊的出現讓傳統的防御手段難以在第一時間做出針對性的防控，因此如何能夠針對當前網絡攻擊進行有效防御是一個亟待解決的問題。

通過對當前網絡現狀的分析，會發現在傳統的攻防對抗領域，攻擊方與防御方之間正在進行著一場不對稱的技術博弈，攻擊方在工作量、獲取信息面、承擔后果等方面較防御方都占據著極大的優勢，攻擊方只需要承擔極小的風險就有一定概率獲取巨大的回報，而防御方則需要對系統的方方面面進行完備的防護才能夠保證系統不被攻破。

安全防御技術一般可以分為被動防御技術和主動防御技術。被動防御技術是指基于病毒特征碼掃描或者病毒特征庫來對惡意軟件或攻擊進行識別和防護的手段，如傳統的防火墻、入侵檢測系統等等，主要利用已有的病毒特征庫對來訪流量等進行檢測。目前被動防御技術最主要的缺點是對特征庫有強依賴關系，導致了這類技術在遇到惡意代碼變種或是新型惡意代碼時，往往無法第一時間對其進行判別，從而使得系統暴露在風險之中。主動防御技術是指入侵行為對信息系統發生影響之前，能夠及時精準預警，實時構建彈性防御體系，避免、轉移、降低信息系統面臨的風險的一種安全防護技術，當前主動防御技術中已有多種實施方案和研究成果，而其中最值得關注的技術即為蜜罐技術。

蜜罐技術在1989年作為一種主動防御技術被提出，它是網絡欺騙技術中的核心技術之一，作為安全資源的一種，蜜罐本身并不提供真實的業務服務，它通過模擬或仿真的手段去復刻一些系統中的應用或服務，從而誘導攻擊者對其進行攻擊操作，與此同時，蜜罐通過自身設置的監控機制對攻擊者的行為進行實時地監控、捕獲和分析，以此來獲悉攻擊者使用的工具、攻擊的方法等等，并進一步預測攻擊者意圖，來及時調整系統的安全控制策略，達到系統防護的目的。

當前蜜罐技術的發展主要包含兩個方向。一是提升蜜罐系統動態部署能力，結合多項技術使得蜜罐系統按照一定的策略或者規則變化自身的網絡拓撲結構，應用蜜罐類型等，這在一定程度上讓攻擊者難以有效識別其為蜜罐系統；二是提升蜜罐系統交互能力，結合多項技術使得蜜罐系統按照一定的策略或者規則與攻擊者進行更加有效的交互操作，讓攻擊者難以意識到自己在與虛假的服務或系統進行交互操作。但在當前這兩個研究方向中，存在著如下一些問題，當前蜜罐系統大多僅包含單個同類應用，攻擊者所利用的漏洞不被蜜罐系統包含時，該蜜罐系統則無法捕獲該次攻擊，而在支持多應用的蜜罐系統中，蜜罐引導算法缺失了對于先驗知識的參考，導致蜜罐系統在進行攻擊引導時的低效，在應對多步攻擊和新型攻擊時則缺乏調節能力，導致蜜罐系統引導的失效。