一种基于图注意力机制的威胁情报归因方法技术

本发明专利技术公开了一种基于图注意力机制的威胁情报归因方法。本方法步骤如下：1、整理APT攻击组织的别名列表；2、根据别名列表，设计爬虫代码，并结合开源威胁情报存储库，采集公开威胁情报报告；3、自底向上进行APT攻击组织建模，设计威胁情报知识图谱结构；4、将威胁情报报告进行统一格式转化并存储，对非结构化威胁情报进行信息抽取及扩线，并用图数据库存储；5、对节点进行特征向量初始化；6、将异构网络映射为同构网络，并基于图注意力机制训练多分类模型对威胁情报报告节点分类；7、使用分类模型对待测试报告进行分类。通过以上步骤，本发明专利技术达到了以较高的准确率识别威胁情报报告类别，能有效为专家研判提供依据，减少安全分析人员压力。力。力。

【技术实现步骤摘要】
一种基于图注意力机制的威胁情报归因方法


[0001]本专利技术属于网络安全
，具体涉及一种基于图注意力机制的威胁情报归因方法。

技术介绍

[0002]当前，网络空间安全态势日趋严俊，高级可持续威胁(APT)新型攻击越来越复杂，传统的APT组织识别依赖恶意样本的特征，而被广泛使用的样本和攻击武器无疑给APT组织溯源提出难题。威胁情报具有数据内容丰富、准确性高、可自动化处理等特点，将其应用于APT组织攻击溯源成为当前有效的手段。
[0003]由于APT攻击的复杂和隐蔽，人们更多的关注人读的威胁情报，即拥有更多的上下文、背景信息及攻击细节的非结构化APT组织分析报告，该类情报包含了大量的人工分析结果，将其按照攻击组织分类整理起来，可以减少网络安全分析人员的压力，对后续威胁情报分析产生极大好处。目前存在的主要问题是，威胁情报数据分布散乱，情报共享技术有限，各种不同安全厂商会对同一APT组织产生不同的命名方式，导致APT组织别名层出不穷，为攻击溯源带来了巨大挑战。
[0004]当前网络安全平台主要提供一些简单的技术威胁情报，在信息分析方面，仅仅只给出简单的关联，缺少更深层次的分析。纵观各国的研究，安全领域缺乏一种能将威胁情报分析报告映射到其所属攻击组织的方法。
[0005]有鉴于上述现有的技术存在的缺陷，本专利技术经过不断的研究、设计，并经反复试作及改进后，终于创设出确具实用价值的本专利技术。

技术实现思路

[0006]本专利技术的主要目的在于，克服现有的技术存在的缺陷，而提供一种新的一种基于图注意力机制的威胁情报归因方法，所要解决的技术问题是使其通过收集并分析真实的威胁情报数据，自底向上构建威胁情报知识图谱，并基于图注意力机制对非结构化的威胁情报进行组织分类，实现有效的威胁情报分类引擎，非常适于实用。
[0007]本专利技术的另一目的在于，提供一种新的一种基于图注意力机制的威胁情报归因方法，所要解决的技术问题是使其将威胁情报分析报告映射到其所属攻击组织的方法，从而能进行更深层次的分析更加适于实用。
[0008]本专利技术的还一目的在于，提供一种新的一种基于图注意力机制的威胁情报归因方法，所要解决的技术问题是使其通过结构、属性等维度的学习方法，学习并得到知识图谱关键要素的向量化表示，可用于节点分类、聚类、知识推理等类型的技术实现，从而更加适于实用。
[0009]本专利技术的再一目的在于，提供一种新的一种基于图注意力机制的威胁情报归因方法，所要解决的技术问题是维护APT组织别名库，并通过自动化对威胁情报报告分类，而不断更新别名列表，从而实现对未知攻击组织的实时监测，从而更加适于实用，且具有产业上
的利用价值。
[0010]本专利技术的目的及解决其技术问题是采用以下技术方案来实现的。依据本专利技术提出的一种基于图注意力机制的威胁情报归因方法，其步骤如下：
[0011]步骤101：参考国际常用的APT组织命名方式，并结合各国安全厂商对APT组织的中文命名方式，整理APT攻击组织的别名列表；
[0012]步骤102：根据步骤101的别名列表，设计爬虫代码，采集各国安全厂商的公开威胁情报报告，并结合开源威胁情报存储库，提取所关注APT组织的威胁情报报告；
[0013]步骤103：参考国内外各大安权厂商对威胁情报本体图的设计方案，并结合真实数据分析经验，进行APT攻击组织建模，设计威胁情报知识图谱结构；
[0014]步骤104：将步骤102得到的威胁情报报告进行统一格式转化并存储，根据步骤103得到的威胁情报知识图谱结构，对非结构化威胁情报进行信息抽取及扩线，并将得到的实体关系及属性用图数据库存储；
[0015]步骤105：在步骤104后，得到威胁情报异构网络图，在此基础上进行特征向量初始化，旨在尽可能保留不同的节点的属性信息，使其向量表示具有实际意义；
[0016]步骤106：将异构网路图映射为同构图，并基于图注意力网络(GAT)结合交叉熵损失函数及梯度下降法训练节点分类模型；
[0017]步骤107：使用步骤106分类模型对待测试报告进行分类。
[0018]通过以上步骤，本专利技术实现了一种基于图注意力机制的的威胁情报归因方法，达到了以较高的准确率识别威胁情报报告类别，弥补了现有研究缺乏一种能将威胁情报分析报告映射到其所属攻击组织的方法，能有效为专家研判提供依据，减少安全分析人员压力。
[0019]进一步，在步骤102中所述的“威胁情报报告”，在一定程度保证数据的及时和有效性，同时为避免组织归因不明，过滤掉没有明确归属威胁情报报告。
[0020]进一步，在步骤103中所述的APT攻击组织建模是指对步骤102收集到的APT组织分析报告进行深入挖掘，设计威胁情报实体从多角度对APT组织进行刻画，共分为两类情报，9类实体，9类实体包括：
[0021]战术情报：Techniques(技术)、Tactics(战术)；
[0022]技术情报：IP、Domain(域名)、Malware(恶意代码)、URL(统一资源定位符)、CVE(漏洞编号)、Register(注册表)、FilePath(主机路径)。
[0023]在步骤103中所述的设计威胁情报知识图谱结构是参考国内外各大威胁情报平台，并结合真实攻击场景，对威胁实体进行重要属性挖掘和关系分析，最终建立具有实用性的威胁情报知识图谱。
[0024]进一步，在步骤104中所述的“统一格式转化并存储”是将收集到的多样报告格式，同一转换为文本格式，以便后续信息抽取，且将原始文件和转换后的文件路径分别存储。
[0025]进一步，在步骤105中所述的“特征向量初始化”旨在使威胁情报实体尽可能保留其语义特征，但在威胁情报知识图谱中，实体节点往往不具有实际含义，通常为数字和标点的组合，这些实体的向量初始化往往为随机初始化，这极大降低了其表示能力，通过融合实体属性信息，来增强其表示能力，具体做法如下：
[0026]步骤105
‑
1：根据步骤104，IP、Domain、Malware、Techniques、Tactics五类实体具有丰富属性，通过word2vec生成实体属性向量，进一步取平均值得到实体向量表示；
[0027]步骤105
‑
2：URL、CVE、Register、FilePath四类实体，根据one
‑
hot编码方式生成随机向量；
[0028]步骤105
‑
3：Reoprt实体向量表示与其直接相连的实体向量加和。
[0029]进一步，在步骤106中所述的“将异构图映射为同构图”，是将不同威胁情报报告通过共同关联的威胁要素建立邻居关系，最终建立只有威胁情报报告节点的同构信息网络。
[0030]其中，在步骤106中所述的“基于图注意力机制，”是在得到威胁情报报告同构网络上训练同构图注意力模型，得到节点向量表示后，训练交叉熵损失函数进行节点分类。
[0031]进一本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于图注意力机制的威胁情报归因方法，其特征在于：其步骤如下：步骤101：参考国际常用的APT组织命名方式，并结合各国安全厂商对APT组织的中文命名方式，整理APT攻击组织的别名列表；步骤102：根据步骤101的别名列表，设计爬虫代码，采集各国安全厂商的公开威胁情报报告，并结合开源威胁情报存储库，提取所关注APT组织的威胁情报报告；步骤103：参考国内外各大安权厂商对威胁情报本体图的设计方案，并结合真实数据分析经验，进行APT攻击组织建模，设计威胁情报知识图谱结构；步骤104：将步骤102得到的威胁情报报告进行统一格式转化并存储，根据步骤103得到的威胁情报知识图谱结构，对非结构化威胁情报进行信息抽取及扩线，并将得到的实体关系及属性用图数据库存储；步骤105：在步骤104后，得到威胁情报异构网络图，在此基础上进行特征向量初始化，旨在尽可能保留不同的节点的属性信息，使其向量表示具有实际意义；步骤106：将异构网路图映射为同构图，并基于图注意力网络即GAT结合交叉熵损失函数及梯度下降法训练节点分类模型；步骤107：使用步骤106分类模型对待测试报告进行分类。2.根据权利要求1所述的一种基于图注意力机制的威胁情报归因方法，其特征在于：在过滤掉在步骤102中所述的“威胁情报报告”中没有明确归属威胁情报报告。3.根据权利要求1所述的一种基于图注意力机制的威胁情报归因方法，其特征在于：在步骤103中所述的APT攻击组织建模是指对步骤102收集到的APT组织分析报告进行深入挖掘，设计威胁情报实体从多角度对APT组织进行刻画，共分为两类情报，9类实体，9类实体包括：战术情报：Techniques即技术、Tactics即战术；技术情报：IP、Domain即域名、Malware即恶意代码、URL、CVE即漏洞编号、Register即注册表、FilePath即主机路径。在步骤103中所述的设计威胁情报知识图谱结构是参考国内外各大威胁情报平台，并结合真实攻击场景，对威胁实体进行重要属性挖掘和关系分析，最终建立具有实用性的威胁情报知识图谱。4.根据权利要求1所述的一种基于图注意力机制的威胁情报归因方法，其特征在于：在步骤104中所述的“统一格式转化并存储”是将收集到的多样报告格式，同一转换为文本格式，以便后续信息抽取，且将原始文件和转换后的文件路径分别存储。5.根据权利要求1所述的一种基于图注意力机制的威胁情报归因方法...

【专利技术属性】
技术研发人员：严寒冰，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：