基于ATT&CK知识图谱的攻击链生成方法和装置制造方法及图纸

技术编号：41208135 阅读：3 留言：0更新日期：2024-05-09 23:29

本发明专利技术涉及工业网络安全技术领域，特别涉及一种基于ATT&CK知识图谱的攻击链生成方法和装置。方法包括：按照预设窗口规则，将源数据以会话形式输入至标注工具；其中，源数据包括网络流量数据和日志数据；针对每一个会话，均执行：利用标注工具基于ATT&CK知识图谱，对当前会话中的数据进行技术标注；将当前会话标注的技术与预先获取的攻击链模型进行匹配，将匹配成功的攻击链模型输出。本方案自动生成攻击链，可以帮助解决网络安全领域中的可视化、路径分析、防御策略制定和攻击溯源等问题，提高对网络攻击的理解和应对能力。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术实施例涉及工业网络安全，特别涉及一种基于att&ck知识图谱的攻击链生成方法和装置。

技术介绍

1、基于att&ck图谱的网络攻击链生成技术是网络安全领域中的一项关键技术。att&ck(adversarial tactics,techniques,and common knowledge)图谱是由mitre公司开发的一种网络攻击知识库，它提供了一种结构化的方式来描述和组织各种攻击者使用的战术、技术和常见的攻击方法。

2、网络攻击链是指攻击者在实施网络攻击时所使用的一系列技术和方法的组合。att&ck框架包含14项战术，包括侦查、资源开发、初始访问、执行、持久化、权限提升、防御绕过、凭证访问、发现、横向移动、收集、命令与控制、数据窃取和危害14项战术，且每种战术含有很多种技术。攻击链通常由其中的几项战术构成，且攻击链中含有这几项战术中的某一种或几种技术。基于att&ck图谱的网络攻击链生成技术旨在通过分析att&ck图谱中的攻击技术和方法，以及它们之间的关联关系，自动生成网络攻击链。随着网络攻击的复杂性和威胁的不断增加，传统的防御手段已经不再足够应对各种高级威胁。

3、因此，为了帮助安全专家更好地理解攻击者的行为模式和攻击过程，并据此制定更有效的防御策略，更好地了解和应对网络攻击，亟需一种基于att&ck知识图谱的攻击链生成方法。

技术实现思路

1、为了解决传统的防御手段不能够应对各种高级威胁的

2、第一方面，本专利技术实施例提供了一种基于att&ck知识图谱的攻击链生成方法，方法包括：

3、按照预设窗口规则，将源数据以会话形式输入至标注工具；其中，所述源数据包括网络流量数据和日志数据；

4、针对每一个会话，均执行：

5、利用所述标注工具基于att&ck知识图谱，对当前会话中的数据进行技术标注；

6、将当前会话标注的技术与预先获取的攻击链模型进行匹配，将匹配成功的攻击链模型输出。

7、第二方面，本专利技术实施例还提供了一种基于att&ck知识图谱的攻击链生成装置，装置包括：

8、输入单元，用于按照预设窗口规则，将源数据以会话形式输入至标注工具；其中，所述源数据包括网络流量数据和日志数据；

9、标注单元，用于针对每一个会话，均执行：利用所述标注工具基于att&ck知识图谱，对当前会话中的数据进行技术标注；

10、匹配单元，用于将当前会话标注的技术与预先获取的攻击链模型进行匹配，将匹配成功的攻击链模型输出。

11、第三方面，本专利技术实施例还提供了一种计算设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的方法。

12、第四方面，本专利技术实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的方法。

13、本专利技术实施例提供了一种基于att&ck知识图谱的攻击链生成方法和装置，通过采用流式数据按照会话窗口进行数据分析，利用att&ck知识图谱，对会话中的数据进行att&ck技术标注，通过将每一个会话的标注技术与攻击链模型进行匹配，将匹配成功的攻击链模型输出。因此，本方案可以自动生成攻击链，可以帮助解决网络安全领域中的可视化、路径分析、防御策略制定和攻击溯源等问题，提高对网络攻击的理解和应对能力。

本文档来自技高网...

【技术保护点】

1.一种基于ATT&CK知识图谱的攻击链生成方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述预设窗口规则，包括：

3.根据权利要求1所述的方法，其特征在于，所述预设窗口规则，包括：

4.根据权利要求1所述的方法，其特征在于，所述标注工具包括用于对所述网络流量数据进行技术标注的Suricata威胁检测工具、用于对所述日志数据进行技术标注的Sigma标注工具、用于基于所述网络流量数据和所述日志数据中各实体之间的关系进行技术标注的关系抽取标注工具。

5.根据权利要求4所述的方法，其特征在于，所述Suricata威胁检测工具通过如下方式进行技术标注：

6.根据权利要求4所述的方法，其特征在于，所述Sigma标注工具通过如下方式进行技术标注：

7.根据权利要求1所述的方法，其特征在于，所述将当前会话标注的技术与预先获取的攻击链模型进行匹配，将匹配成功的攻击链模型输出，包括：

8.一种基于ATT&CK知识图谱的攻击链生成装置，其特征在于，包括：

9.一种计算

10.一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-7中任一项所述的方法。

...

【技术特征摘要】

1.一种基于att&ck知识图谱的攻击链生成方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述预设窗口规则，包括：

3.根据权利要求1所述的方法，其特征在于，所述预设窗口规则，包括：

4.根据权利要求1所述的方法，其特征在于，所述标注工具包括用于对所述网络流量数据进行技术标注的suricata威胁检测工具、用于对所述日志数据进行技术标注的sigma标注工具、用于基于所述网络流量数据和所述日志数据中各实体之间的关系进行技术标注的关系抽取标注工具。

5.根据权利要求4所述的方法，其特征在于，所述suricata威胁检测工具通过如下方式进行技术标注：

【专利技术属性】
技术研发人员：闫印强，孙俊虎，穆洪涛，姜海昆，范宇，
申请(专利权)人：长扬科技北京股份有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人