基于知识图谱的APT攻击检测方法及装置制造方法及图纸

本申请涉及一种基于知识图谱的APT攻击检测方法及装置，该方法包括：构建APT知识图谱，其中，所述APT知识图谱所包含的实体至少包括APT组织的属性信息、攻击技术以及防御技术；基于构建的所述APT知识图谱，构建网络安全日志的针对APT组织的APT检测模型；获取第一网络安全日志，将所述第一网络安全日志输入所述APT检测模型中，得到所述第一网络安全日志的APT检测结果。本申请能够综合考虑APT攻击的各个方面，通过知识图谱方式扩展APT组织的画像维度，对APT攻击进行快速、全面、准确的检测，提高APT攻击检测率和检测准确率，极大的减少了对于APT组织的误报和漏报问题，并实现APT组织攻击的动态跟踪。击的动态跟踪。击的动态跟踪。

【技术实现步骤摘要】
基于知识图谱的APT攻击检测方法及装置


[0001]本申请涉及网络安全
，具体涉及一种基于知识图谱的APT攻击检测方法及装置。

技术介绍

[0002]APT攻击(Advanced Persistent Threat，高级持续性威胁)是集合了多种攻击方式的综合攻击，是当前世界最严重的攻击形式，相较于其他网络攻击，其具有攻击手段多样、潜伏深、时间长、攻击目标明确，攻击者有组织性等多种特点。因此，APT攻击检测需要综合各种安全知识形成对于APT组织的综合认识，同时又由于多维知识具有相互关联性，可以在实际网络数据采集检测中，通过各种信息的相互关联与相互印证。
[0003]当前APT攻击的检测技术多集中于流量规则特征(异常流量检测)、样本特征、用户行为特征等方面，但是，APT攻击作为一种有组织的攻击形式，实际上每个APT攻击的背后都是一个工作分工严密的组织在工作，现有的检测手段中，每种检测手段多对应APT攻击的一个部分，无法对APT攻击进行全面检测，检测率和检测的准确率较低，对网络安全造成威胁。

技术实现思路

[0004]鉴于现有技术存在的上述问题，本申请的目的在于提供一种基于知识图谱的APT攻击检测方法及装置，能够综合考虑APT攻击的各个方面，通过知识图谱方式扩展APT组织的画像维度，提高APT攻击的检测率和检测的准确率，且能够动态跟踪APT攻击的变化。
[0005]为了实现上述目的，本申请实施例提供一种基于知识图谱的APT攻击检测方法，包括：
[0006]构建APT知识图谱，其中，所述APT知识图谱所包含的实体至少包括APT组织的属性信息、攻击技术以及防御技术；
[0007]基于构建的所述APT知识图谱，构建网络安全日志的针对APT组织的APT检测模型；
[0008]获取第一网络安全日志，将所述第一网络安全日志输入所述APT检测模型中，得到所述第一网络安全日志的APT检测结果。
[0009]在一些实施例中，所述APT组织的属性信息包括所述APT组织的组织名称、特定的字段、地域、域名、IP地址、攻击目标中的至少一种；所述APT组织的攻击技术包括攻击工具、攻击方式以及攻击规则中的至少一种；所述APT组织的防御技术包括防御工具、防御方式以及防御规则中的至少一种。
[0010]在一些实施例中，将所述第一网络安全日志输入所述APT检测模型中，得到所述第一网络安全日志的APT检测结果，包括：
[0011]将所述第一网络安全日志与所述APT检测模型进行匹配；
[0012]判断所述第一网络安全日志与所述APT检测模型是否满足预设匹配条件；
[0013]若是，确定所述第一网络安全日志存在APT攻击。
[0014]在一些实施例中，所述方法还包括：
[0015]在检测到存在所述APT攻击时，确定所述第一网络安全日志对应的APT组织；
[0016]基于所述第一网络安全日志对应的APT组织，生成对应的第一APT画像；
[0017]根据所述第一APT画像生成对应的处置方案。
[0018]在一些实施例中，基于构建的所述APT知识图谱，构建网络安全日志的针对APT组织的APT检测模型，包括：
[0019]对所述APT知识图谱进行自然语言处理，提取所述APT知识图谱中的关键信息，得到第一分词；
[0020]获取预设数量的网络安全日志训练集，对所述网络安全日志训练集进行自然语言处理，提取所述网络安全日志训练集中的关键信息，得到第二分词；
[0021]获取所述第一分词和所述第二分词的分词交集；
[0022]基于所述分词交集训练得到所述APT检测模型。
[0023]在一些实施例中，对所述APT知识图谱进行自然语言处理，提取所述APT知识图谱中的关键信息，得到第一分词，包括：
[0024]对所述APT知识图谱中的内容信息进行分词处理得到多个分词；
[0025]计算多个所述分词的TF
‑
IDF值，基于所述TF
‑
IDF值的大小对所述多个分词进行排序；
[0026]将排序靠前的预设数量的所述分词确定所述关键信息，得到所述第一分词。
[0027]在一些实施例中，基于所述分词交集训练得到所述APT检测模型，包括：
[0028]基于所述APT知识图谱对所述分词交集进行分类处理，确定所述分词交集对应的APT组织的实体类别，构建所述APT知识图谱的实体匹配表；
[0029]基于所述分词交集对所述网络安全日志训练集进行算法训练，确定与所述实体类别对应的分词组以及所述分词组对应的APT组织的概率表；
[0030]基于所述APT知识图谱的实体匹配表和所述APT组织的概率表，训练得到所述APT检测模型。
[0031]在一些实施例中，构建APT知识图谱，包括：
[0032]基于预设的网络安全知识库，构建初步APT知识图谱；
[0033]对所述初步APT知识图谱进行推理，确定所述初步APT知识图谱中的隐含关系；
[0034]基于所述隐含关系构建最终的所述APT知识图谱。
[0035]在一些实施例中，获取第一网络安全日志，包括：
[0036]通过流量分析获取所述第一网络安全日志；和/或
[0037]通过攻击入侵检测获取所述第一网络安全日志；和/或
[0038]通过威胁情报检测获取所述第一网络安全日志。
[0039]本申请实施例还提供一种基于知识图谱的APT攻击检测装置，包括：
[0040]第一构建模块，配置为构建APT知识图谱，其中，所述APT知识图谱所包含的实体至少包括APT组织的属性信息、攻击技术以及防御技术；
[0041]第二构建模块，配置为基于构建的所述APT知识图谱构建网络安全日志的针对APT组织的APT检测模型；
[0042]检测模块，配置为获取第一网络安全日志，将所述第一网络安全日志输入所述APT检测模型中，得到所述第一网络安全日志的APT检测结果。
[0043]与现有技术相比较，本申请实施例提供的基于知识图谱的APT攻击检测方法及装置综合多方面的网络安全知识，构建更加全面的APT知识图谱，对APT组织进行更加完善的知识描述，并构建网络安全日志的针对APT组织的APT检测模型，可以对APT攻击进行快速、全面、准确的检测，提高APT攻击检测率和检测准确率，极大的减少了对于APT组织的误报和漏报问题。另外，由于APT知识图谱包含攻击技术手段等变化的内容，因此可以及时发现APT攻击的变化(例如APT组织的变化)，实现APT组织攻击的动态跟踪；同时也可以针对APT组织的技术手段提供主动防御和溯源分析支持。
附图说明
[0044]在不一定按比例绘制的附图中，相同的附图标记可以在不同的视图中描述相似的部件。具有字母后缀或不同字母后缀的相同附图标记可以表示相似部件的不同实例。附图大体上通过举例而不是限制的方式示出各种实施例，并且与说明书本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于知识图谱的APT攻击检测方法，其特征在于，包括：构建APT知识图谱，其中，所述APT知识图谱所包含的实体至少包括APT组织的属性信息、攻击技术以及防御技术；基于构建的所述APT知识图谱，构建网络安全日志的针对APT组织的APT检测模型；获取第一网络安全日志，将所述第一网络安全日志输入所述APT检测模型中，得到所述第一网络安全日志的APT检测结果。2.根据权利要求1所述的方法，其特征在于，所述APT组织的属性信息包括所述APT组织的组织名称、特定的字段、地域、域名、IP地址、攻击目标中的至少一种；所述APT组织的攻击技术包括攻击工具、攻击方式以及攻击规则中的至少一种；所述APT组织的防御技术包括防御工具、防御方式以及防御规则中的至少一种。3.根据权利要求1所述的方法，其特征在于，将所述第一网络安全日志输入所述APT检测模型中，得到所述第一网络安全日志的APT检测结果，包括：将所述第一网络安全日志与所述APT检测模型进行匹配；判断所述第一网络安全日志与所述APT检测模型是否满足预设匹配条件；若是，确定所述第一网络安全日志存在APT攻击。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：在检测到存在所述APT攻击时，确定所述第一网络安全日志对应的APT组织；基于所述第一网络安全日志对应的APT组织，生成对应的第一APT画像；根据所述第一APT画像生成对应的处置方案。5.根据权利要求1所述的方法，其特征在于，基于构建的所述APT知识图谱，构建网络安全日志的针对APT组织的APT检测模型，包括：对所述APT知识图谱进行自然语言处理，提取所述APT知识图谱中的关键信息，得到第一分词；获取预设数量的网络安全日志训练集，对所述网络安全日志训练集进行自然语言处理，提取所述网络安全日志训练集中的关键信息，得到第二分词；获取所述第一分词和所述第二分词的分词交集；基于所述分词交集训练得到所述APT检测模型。6.根据权利要求5所述的方法，其特征在于，对所述APT知...

【专利技术属性】
技术研发人员：李岩，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：