针对网络攻击的技战术信息语义匹配方法组成比例

本发明专利技术公开了一种针对网络攻击的技战术信息语义匹配方法、系统和设备。方法方法包括威胁情报语料库收集整理、语义模型训练、规则收集与筛选、技战术匹配、映射关系保存等步骤。首先，方法以ATT&CK知识库矩阵作为威胁情报收集和整理的标准，使用矩阵中的TTP信息对情报信息进行分类，构建基于ATT&CK矩阵的技战术语料库；通然后基于Sentence‑BERT(SBERT)调整训练语义相似度计算模型，用于警报数据的语义匹配；通过对警报和规则的特征分析，预处理筛选存在语义信息的警报和规则；通过计算语义相似度和使用技战术匹配算法映射到战术(Tactics)和技术(Technique)阶段信息，使得方法可以高效准确地挖掘警报中蕴含的语义知识。

【技术实现步骤摘要】

本专利技术属于网络空间安全，具体为一种针对网络攻击的技战术信息语义匹配方法。

技术介绍

1、为应对日新月异的网络攻击技术，人们提出了各种形式的攻击检测方法和系统来检测各式各样的网络攻击行为，分析攻击介质并还原攻击过程。目前基于特征的网络入侵检测系统(ids)被防范应用于各行各业中的网络安全防护，其基于特征分析和先验知识总结而成的检测规则对网络中的异常行为进行分析和报警，用于及时发现网络中实时出现的网络攻击行为。然而，由于基于具体的规则进行匹配和检测，nids自爱细粒度的检测攻击行为的同时，并不能通过攻击行为发现其蕴含的语义信息。

2、mitreatt&ck(adversarial tactics,techniques,and common knowledge)是一个攻击行为知识库和模型，主要应用于评估攻防能力覆盖、apt情报分析、威胁狩猎及攻击模拟等领域。att&ck模型主要围绕战术(tactics)和技术(techniques)展开，并对网络攻击行为进行了中等层次的抽象，使得其能够更好地寻找到每次攻击行为之间的联系和连续的攻击本文档来自技高网...

【技术保护点】

1.一种针对网络攻击的技战术信息语义匹配方法，其特征在于，包括：

2.根据权利要求1所述的针对网络攻击的技战术信息语义匹配方法，其特征在于，所述网络威胁情报包括三类，分别为：入侵检测引擎中的检测规则、开源的安全分析报告以及ATT&CK矩阵中技战术信息。

3.根据权利要求2所述的针对网络攻击的技战术信息语义匹配方法，其特征在于，从网络威胁情报中提取威胁情报信息并根据威胁情报信息构建技战术情报语料库的具体方法为：

4.根据权利要求1所述的针对网络攻击的技战术信息语义匹配方法，其特征在于，利用技战术情报语料库中的数据，构建训练数据样本的具体方法为：<...

【技术特征摘要】

1.一种针对网络攻击的技战术信息语义匹配方法，其特征在于，包括：

2.根据权利要求1所述的针对网络攻击的技战术信息语义匹配方法，其特征在于，所述网络威胁情报包括三类，分别为：入侵检测引擎中的检测规则、开源的安全分析报告以及att&ck矩阵中技战术信息。

3.根据权利要求2所述的针对网络攻击的技战术信息语义匹配方法，其特征在于，从网络威胁情报中提取威胁情报信息并根据威胁情报信息构建技战术情报语料库的具体方法为：

4.根据权利要求1所述的针对网络攻击的技战术信息语义匹配方法，其特征在于，利用技战术情报语料库中的数据，构建训练数据样本的具体方法为：

5.根据权利要求2所述的针对网络攻击的技战术信息语义匹配方法，其特征在于，对技战术语料库中的语句离线计算句子表现，并将句子表现持...

【专利技术属性】
技术研发人员：付安民，路广平，况博裕，苏铓，俞研，
申请(专利权)人：南京理工大学，
类型：发明
国别省市：