【技术实现步骤摘要】
本专利技术属于网络安全和深度学习,具体涉及一种基于网络威胁情报报告的攻击场景图重建方法。
技术介绍
1、当前,全球网络威胁事件呈现出高危高发态势,并且随着技术的不断进步,网络攻击逐渐由传统单一手段向着复杂多样的高级持续威胁演变。攻击者为了达到其目的,往往采用多层次的战术策略来达到攻击目的。正所谓“知己知彼,百战不殆”,充分揭露攻击者的战术意图和作战手法对实施攻击检测与响应至关重要。攻击起源图刻画了底层系统实体之间的交互信息和因果关系,有效记录了攻击事件的发展和演化过程,能够从多个维度对攻击场景进行重建,有效表达威胁事件的起因、攻击路径和攻击影响,提供攻击的上下文信息。因此,构建一张带有攻击路径、攻击目标和攻击时间线的攻击场景图(也可以叫做攻击起源图)不仅可以帮助威胁分析人员建立威胁模型,也可以提供对攻击方式更深入的洞察,以识别和理解已知的攻击模式或潜在的新型威胁,并采取相应的响应措施。
2、网络威胁情报(cyber threat intelligence,cti)报告是安全分析人员通过对威胁事件的观察或自身对攻击的实践而记录的事实,其提供了攻击者的入侵指标(indicatorof compromise,ioc)以及有关攻击者行为的事实数据和攻击的上下文,能够为构建攻击实景图提供关键知识信息。因此,结合cti报告自动化构建海量攻击实景图不仅有助于分析人员理解攻击事件并对其进行建模,还可以有效填补att&ck框架中对攻击过程描述的空白。然而,现有从cti报告构建图的工作存在自然语言处理能力弱、图离散割裂和攻击语义
3、针对上述问题,如何通用、自动、准确地借助cti报告重建合理、连通、有效的攻击实景图,是亟待解决的一个问题。
技术实现思路
1、本专利技术的目的在于提供一种基于网络威胁情报报告的攻击场景图重建方法,实现用、自动、准确地借助cti报告重建合理、连通、有效的攻击实景图。
2、为实现上述目的,本专利技术所采取的技术方案为:
3、一种基于网络威胁情报报告的攻击场景图重建方法,所述基于网络威胁情报报告的攻击场景图重建方法,包括:
4、利用预训练的去冗余模型对cti报告进行非攻击相关语句过滤,利用实体识别模型和关系抽取模型对过滤后的cti报告进行实体和交互关系的抽取,并根据抽取的实体和交互关系构建初步攻击图;
5、从攻击技术/战术层面构造att&ck框架的四个攻击阶段,并设定每个攻击阶段中的动作规范,利用每个攻击阶段中的动作规范验证所述初步攻击图的合理性,若四个攻击阶段均验证通过则初步攻击图满足合理性,将初步攻击图作为攻击场景图输出并结束;否则初步攻击图不满足合理性并继续执行;
6、基于序列化图生成模型对初步攻击图进行关系修复和阶段补充,直至验证满足合理性后,将关系修复和阶段补充后的初步攻击图作为攻击场景图输出并结束。
7、以下还提供了若干可选方式,但并不作为对上述总体方案的额外限定,仅仅是进一步的增补或优选,在没有技术或逻辑矛盾的前提下,各可选方式可单独针对上述总体方案进行组合,还可以是多个可选方式之间进行组合。
8、作为优选,所述去冗余模型的预训练过程如下:
9、构建正则表达式捕获cti报告中不同类型的ioc实体,并在捕获后使用该ioc实体所对应的类型词来替换并记录ioc实体在句子中所处的位置;
10、采用自然语言处理工具包对替换后的cti报告进行句子分割;
11、对句子分割后的cti报告进行ioc实体的还原,并进行攻击相关语句和非相关语句的标注以建立模型训练所需的数据集;
12、搭建深度双向语言表征模型,利用数据集对所述深度双向语言表征模型进行训练,将训练完成后的深度双向语言表征模型作为去冗余模型输出。
13、作为优选,所述实体识别模型的操作如下:
14、使用正则表达式捕获过滤后的cti报告中的ioc实体,并标记每个ioc实体的类型;
15、利用预训练语言模型获得cti报告中每个单词的上下文表征,给定一个跨度sa∈s,s为跨度集合,该跨度的首尾位置分别定义为ba、ea,利用以下公式得到该跨度的表征:
16、
17、式中,xh(sa)为第a个跨度sa的表征,为预训练语言模型对单词ba获得的上下文表征,为预训练语言模型对单词ea获得的上下文表征,为跨度sa的宽度特征;
18、将跨度sa的表征xh(sa)送入两层前馈神经网络进行实体类型的预测,得到该跨度中每一非ioc实体的类型。
19、作为优选,所述关系抽取模型的操作如下:
20、对于实体对(es,eo),计算主体es的上下文增强表征zs以及客体eo的上下文增强表征zo如下:
21、
22、
23、式中,tanh()表示tanh函数,ws为实体es的表征的权重,wo为实体eo的表征的权重,为文档嵌入中实体es的表征,为文档嵌入中实体eo的表征,wc为实体对的上下文向量的权重,c(s,o)表示实体对(es,eo)之间的上下文向量,即将两个实体的表征进行拼接;
24、将上下文增强表征zs拆分为大小相等的k组,使得将上下文增强表征zo拆分为大小相等的k组,使得
25、计算实体对表征g(s,o)如下:
26、
27、
28、式中,为实体对在维度i中的表征,表示zs拆分后的第j组表征,表示zo拆分后的第j组表征,是维度i的权重矩阵,bi为维度i的偏置,d为维度总数,i∈[1,d];
29、使用卷积神经网络对实体对表征g(s,o)编码得到实体对(es,eo)的交互关系。
30、作为优选,所述根据抽取的实体和交互关系构建初步攻击图,包括:
31、将实体作为节点,将交互关系作为边,形成三元组形式;
32、合并共指节点,然后通过主体和客体的相对位置为边添上时序信息,即对三元组中主体和客体在cti报告出现的顺序进行编号,按照主体和客体的编号之和为边进行排序并添加对应的时序,最终生成一个初步攻击图。
33、作为优选,所述四个攻击阶段为初始入侵阶段、恶意代码执行阶段、突破访问控制阶段和泄露破坏阶段。
34、作为优选,所述序列化图生成模型中将预测节点类型的函数称为nodemlp,将预测节点与前k个前置节点之间关系的函数称为edgemlp;
35、对于图g=(v,e,t,a),其中节点集合定义为v={v1,v2,…,vn},n为图g中的节点个数,vn表示第n个节点,有向边的集合定义为e={(vi,vj)|vi,vj∈v},i,j∈[1,n],时序集合定义为t={t(e1),t(e2),…,t(em)},m为图g中边的数量,em为第m条边,t(em)为边em的时序,异构本文档来自技高网...
【技术保护点】
1.一种基于网络威胁情报报告的攻击场景图重建方法,其特征在于,所述基于网络威胁情报报告的攻击场景图重建方法,包括:
2.根据权利要求1所述的基于网络威胁情报报告的攻击场景图重建方法,其特征在于,所述去冗余模型的预训练过程如下:
3.根据权利要求1所述的基于网络威胁情报报告的攻击场景图重建方法,其特征在于,所述实体识别模型的操作如下:
4.根据权利要求1所述的基于网络威胁情报报告的攻击场景图重建方法,其特征在于,所述关系抽取模型的操作如下:
5.根据权利要求1所述的基于网络威胁情报报告的攻击场景图重建方法,其特征在于,所述根据抽取的实体和交互关系构建初步攻击图,包括:
6.根据权利要求1所述的基于网络威胁情报报告的攻击场景图重建方法,其特征在于,所述四个攻击阶段为初始入侵阶段、恶意代码执行阶段、突破访问控制阶段和泄露破坏阶段。
7.根据权利要求1所述的基于网络威胁情报报告的攻击场景图重建方法,其特征在于,所述序列化图生成模型中将预测节点类型的函数称为NodeMLP,将预测节点与前k个前置节点之间关系的函数称为E
8.根据权利要求7所述的基于网络威胁情报报告的攻击场景图重建方法,其特征在于,基于序列化图生成模型对初步攻击图进行关系修复和阶段补充,直至验证满足合理性后,将关系修复和阶段补充后的初步攻击图作为攻击场景图输出并结束,包括:
...【技术特征摘要】
1.一种基于网络威胁情报报告的攻击场景图重建方法,其特征在于,所述基于网络威胁情报报告的攻击场景图重建方法,包括:
2.根据权利要求1所述的基于网络威胁情报报告的攻击场景图重建方法,其特征在于,所述去冗余模型的预训练过程如下:
3.根据权利要求1所述的基于网络威胁情报报告的攻击场景图重建方法,其特征在于,所述实体识别模型的操作如下:
4.根据权利要求1所述的基于网络威胁情报报告的攻击场景图重建方法,其特征在于,所述关系抽取模型的操作如下:
5.根据权利要求1所述的基于网络威胁情报报告的攻击场景图重建方法,其特征在于,所述根据抽取的实体和交互关系构建初步攻击图,包括:<...
【专利技术属性】
技术研发人员:朱添田,程雯睿,陈铁明,吕明琪,
申请(专利权)人:浙江工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。