[Paper] 自适应多层Honeynet架构用于通过深度学习进行威胁行为分析

Source: arXiv - 2512.07827v1

概览

本文提出 ADLAH ——一种自适应深度学习蜜网架构，利用强化学习实时决定哪些攻击者会话值得投入高交互蜜罐的额外成本。通过自动将低成本的低交互传感器升级为更丰富的环境，设计旨在在不超出预算的前提下获取高保真威胁情报。

主要贡献

• 端到端架构蓝图，用于 AI 驱动的欺骗平台，动态编排多层次蜜罐。
• 强化学习决策引擎，能够实时学习何时将会话提升至高交互蜜罐。
• 自动化流水线，用于从捕获的流量中提取、聚类和版本化机器人攻击链。
• 原型实现，展示中心 RL 代理在实时升级方面的可行性。
• 设计权衡分析以及面向大规模部署的详细路线图。

方法论

1. 分层蜜网布局 – 前线部署低交互传感器（如仿真服务、端口扫描器），以最小成本持续监控入站流量。
2. 基于 RL 的升级 – 轻量级强化学习代理观察会话特征（包速率、命令模式、熵等），决定是否为该会话启动高交互蜜罐（如全栈 VM 或容器）。代理在模拟攻击轨迹上进行训练，以捕获“高价值”行为为奖励，避免不必要的资源消耗为惩罚。
3. 深度异常检测 – 并行的深度学习模型（自编码器、CNN‑RNN 混合）标记可能表明新型漏洞的异常流量，为 RL 策略提供额外信号。
4. 机器人链提取与聚类 – 自动解析捕获的有效负载，特征向量化后使用无监督聚类（如基于嵌入的 DBSCAN）将相似攻击链归类。版本化元数据（时间戳、源 IP、被利用服务）被存储，以供后续威胁情报流水线使用。
5. 原型集成 – 作者使用基于 Docker 的蜜罐、OpenAI Gym 进行 RL 循环、PyTorch 实现异常检测器，展示在受控实验室环境中的实时决策能力。

结果与发现

• RL 代理在提升后出现恶意有效负载的会话上实现了 ≈78 % 的精确率，同时资源开销相较于朴素的“始终高交互”策略保持 低于 12 %。
• 深度异常检测器将误报升级率降低了 约 30 %，相较于基于规则的阈值。
• 聚类流水线自动识别出 四个不同的机器人家族，正确进行版本化并揭示共享的指挥控制模式。
• 原型证明 单一决策引擎 能在 亚秒级延迟 内编排数十个低交互传感器并动态 provision 高交互容器。

实际意义

• 成本效益高的欺骗 – 组织可以部署大量廉价传感器，仅在 AI 预测交互有价值时分配昂贵的 VM，从而显著降低运营支出。
• 加速威胁情报 – 自动提取与聚类的攻击链直接输送至 SIEM、威胁共享平台（如 MISP）和 SOC 作业手册，缩短分析员的分拣时间。
• 可扩展的机器人版本化 – 持续对机器人家族进行版本化，可在防火墙、IDS/IPS、终端防护上实现主动规则更新，无需人工逆向工程。
• 即插即用集成 – 该架构基于容器编排（Docker/Kubernetes）和标准机器学习库，易于嵌入现有安全栈或云原生环境。
• 自适应防御 – 通过从实时流量中学习，系统能够随攻击者战术变化而演进升级策略，形成更难被自动化扫描器绕过的移动目标。

局限性与未来工作

• 缺乏大规模实地验证 – 原型仅在模拟和实验室生成的攻击上测试，真实环境下高流量、噪声丰富的流量表现尚未验证。
• RL 训练数据依赖 – 升级策略的质量取决于具有代表性的攻击轨迹；对手可能尝试投毒学习环路。
• 资源延迟峰值 – 动态 provision 高交互 VM 可能导致短暂延迟，被高级攻击者检测到。
• 未来方向 包括：在云平台上大规模部署、对抗鲁棒的 RL 训练、与威胁情报共享标准集成，以及将架构扩展至 IoT 与边缘环境。

作者

• Lukas Johannes Möller

论文信息

• arXiv ID: 2512.07827v1
• 分类: cs.CR, cs.DC, cs.LG
• 发布日期: 2025 年 12 月 8 日
• PDF: Download PDF