一种基于原子技术模板的高级持续威胁解释方法技术

本发明专利技术公开了一种基于原子技术模板的高级持续威胁解释方法，属于网络安全技术领域，方法包括：基于攻击命令行的攻击技术模板图构建；基于图对齐算法的攻击技术解释；基于APT攻击解释序列的真实攻击挖掘。本发明专利技术基于真实的APT攻击命令构建每种攻击技术的模板图，且对于各种攻击实体进行细粒度的种类划分，可获得更准确的技术描述；采用考虑了多跳等价语义的图对齐算法，能够提升攻击技术的匹配效果；对于EDR寻找到的POI生成的潜在攻击路径，对其进行人工研判耗费大量时间，通过原子技术的解释去除误报，减少人工成本。减少人工成本。减少人工成本。

【技术实现步骤摘要】
一种基于原子技术模板的高级持续威胁解释方法


[0001]本专利技术属于网络安全
，具体涉及一种基于原子技术模板的高级持续威胁解释方法。

技术介绍

[0002]高级持续威胁攻击是一种由复杂且具有丰富资源的攻击者发起，针对拥有特定高价值目标的组织对象而展开的持续性网络威胁活动，拥有针对性、隐蔽性、持续性、高级性等特点，且近年来高度流行。为了更及时地发现并响应组织内部的潜在威胁，各类端点检测与响应系统(EDR)被企业等组织部署并应用。
[0003]在EDR寻找到可疑节点(POI)后，会通过前后向搜索或机器学习的方法找到大量的“攻击路径”(潜在攻击路径)。然而这些潜在攻击路径中只有少部分真实攻击的路径，即对于高级持续威胁的检测总是存在误报，即使安全从业人员能结合专业知识人工分析每一条潜在的攻击路径是否是真实的攻击链，此类分析过程也会非常耗时，致使错过有效的响应时间。另一方面，目前基于统计行为特征、策略派发以及行为学习的自动化攻击检测策略不仅精度受限，而且缺乏检测结果的合理解释能力。MITRE公司的ATT&CK模型是描述高级本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于原子技术模板的高级持续威胁解释方法，其特征在于，所述基于原子技术模板的高级持续威胁解释方法，包括：步骤1、基于攻击命令行的攻击技术模板图构建；步骤1
‑
1、根据预定义的攻击实体类型和命令字映射关系，提取攻击命令行中的命令字和实体；步骤1
‑
2、根据提取的各攻击命令行的命令字和实体，基于命令字映射关系将原子技术模板中的原子技术转换为攻击技术模板图；步骤2、基于图对齐算法的攻击技术解释；步骤2
‑
1、在系统溯源图中寻找攻击技术模板图中所有节点对应的候选节点，形成每一节点对应的候选节点集；步骤2
‑
2、在节点对应的候选节点集中遍历候选节点的节点分数，取节点分数最高且大于阈值的候选节点作为该节点的固定节点；步骤2
‑
3、根据攻击技术模板图中的节点以及对应的位于系统溯源图中的固定节点计算攻击技术模板图和系统溯源图的图对齐分数，若图对齐分数大于阈值，则系统溯源图中存在攻击技术模板图，多次匹配得到存在于系统溯源图中的攻击链；步骤3、基于APT攻击解释序列的真实攻击挖掘：步骤3
‑
1、将攻击技术模板图与CTI报告构成的攻击实景图进行图匹配，并以攻击技术出现顺序组合为攻击链，形成攻击解释序列库；步骤3
‑
2、遍历系统溯源图与攻击解释序列库中攻击链的相似度，若存在相似度大于阈值的攻击链，则认为系统溯源图为真实攻击；否则为虚假攻击。2.如权利要求1所述的基于原子技术模板的高级持续威胁解释方法，其特征在于，所述预定义的攻击实体类型包括：hub进程、可执行文件进程、快捷指令进程、办公类应用软件进程、娱乐类应用软件进程、图形图像类应用软件进程、管理类应用软件进程、数据类应用软件进程、其他进程、系统配置敏感文件、用户配置敏感文件、应用程序配置敏感文件、日志敏感文件、库文件、可执行文件、其他文件、注册表和套接字。3.如权利要求1所述的基于原子技术模板的高级持续威胁解释方法，其特征在于，所述预定义的命令字映射关系包括：命令字call和start对应的实体依赖关系为exec，且该命令字操作的参数个数为1个；命令字del、delete、drop、clean、remove和pop对应的实体依赖关系为unlink，且该命令字操作的参数个数为1个；命令字echo、inject、push、mkond、dump、nc
–
l和mkdir对应的实体依赖关系为write，且该命令字操作的参数个数为1个；命令字cat、ls、net、ipconfig、tasklist、netstat、whoami、schtasks、query和wmic对应的实体依赖关系为read，且该命令字操作的参数个数为1个；命令字ping、mov和nc
‑
l对应的实体依赖关系为send，且该命令字操作的参数个数为1个；命令字ping对应的实体依赖关系为receive，且该命令字操作的参数个数为1个；命令字ping和wmic对应的实体依赖关系为connect，且该命令字操作的参数个数为1个；命令字git clone对应的实体依赖关系为load，且该命令字操作的参数个数为1个；命令字taskkill、kill和stop对应的实体依赖关系为exit，且该命令字操作的参数个数为1个；命令字cp和scp对应的实体依赖关系为copy，且该命令字操作的参数个数为2个。4.如权利要求1所述的基于原子技术模板的高级持续威胁解释方法，其特征在于，所述
提取攻击命令行中的命令字和实体，包括：在输入的攻击命令行文本中提取命令字；从一个命令字开始向后遍历攻击命令行文本直至到下一个命令字，删除遍历获取的内容中的无效信息，得到当前攻击命令行中的有效信息；根据预定义的攻击实体类型生成正则表达式和实体词典，并基于命令字映射关系中命令字操作参数个数，对有效信息进行目标实体匹配，并为匹配成功的实体标注实体类型。5.如权利要求1所述的基于原子技术模板的高级持续威胁解释方法，其特征在于，所述基于命令字映射关系将原子技术模板中的原子技术转换为攻击技术模板图，包括：创建命令字同名进程，根据命令字映射关系创建该同名进程到实体的实体依赖关系；创建初始进程mal作为攻击者的角色，mal作为hub process与命令字的同名进程之间存在fork关系；针对包含字符“|”的攻击命令行，将“|”左右的部分根据命令字分别创建进程，并设定左右侧创建的进程之间存在fork关系，至此获得代表攻击技术的攻击技术模板图。6.如权利要求1所述的基于原子技术模板的高级持续威...

【专利技术属性】
技术研发人员：袁淇萱，朱添田，应杰，程雯睿，陈铁明，吕明琪，
申请(专利权)人：浙江工业大学，
类型：发明
国别省市：