本发明公开了一种基于蜜罐的APT攻击捕获和检测方法、装置及介质。通过物联网蜜罐收集物联网设备网络层操作系统指纹数据、应用层HTTP响应数据，捕获应用层HTTP请求数据；利用个性化引擎模拟物联网设备操作系统指纹，使物联网蜜罐在网络层表现为真实物联网设备；物联网蜜罐与攻击者的HTTP交互过程被建模为马尔可夫决策过程，利用强化学习无模型SARSA算法，物联网蜜罐在线学习对攻击者的响应策略；利用物联网蜜罐记录的攻击日志生成溯源图，使用开源威胁情报数据生成查询图，通过图匹配技术获取APT攻击溯源图，实现对APT攻击行为的检测。本发明方法能够低成本模拟物联网深度诱捕环境，实现APT攻击行为的捕获，并快速检测到具有高度组织性、隐蔽性的APT攻击行为。