申请/专利权人：上海交通大学

申请日：2022-08-18

公开（公告）日：2024-06-25

公开（公告）号：CN115396169B

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.06.25#授权;2022.12.13#实质审查的生效;2022.11.25#公开

摘要：本发明提供了一种基于TTP的多步骤攻击检测与场景还原的方法及系统，包括如下步骤：离线训练步骤：在离线训练阶段，接收真实的多步骤攻击报告中提取出的攻击技术序列训练基于序列的分类模型；在线运行步骤：在在线运行阶段，接收来自终端检测和响应系统的安全告警事件，整理出安全告警事件中的攻击技术序列；将整理出的攻击技术序列进行处理后，输入训练后的基于序列的分类模型判断是否存在多步骤网络攻击。本发明通过对原始攻击技术进行子串抽取，达到了降低EDR工具产生的原始告警中误报数目的效果。

主权项：1.一种基于TTP的多步骤攻击检测与场景还原的方法，其特征在于，包括如下步骤：离线训练步骤：在离线训练阶段，接收真实的多步骤攻击报告中提取出的攻击技术序列训练基于序列的分类模型；在线运行步骤：在在线运行阶段，接收来自终端检测和响应系统的安全告警事件，整理出安全告警事件中的攻击技术序列；将整理出的攻击技术序列进行处理后，输入训练后的基于序列的分类模型判断是否存在多步骤网络攻击；所述离线训练步骤包括如下步骤：攻击技术提取步骤：通过审阅处理网络威胁情报报告，提取出网络威胁情报报告中的所有攻击技术；攻击战术查找步骤：查找每一个攻击技术所对应的攻击战术；攻击技术序列获取步骤：按照攻击战术预定义逻辑次序关系将攻击技术进行排列，得到网络威胁情报报告对应的攻击技术序列，攻击技术序列作为正样本存储于数据库中；负样本获取步骤：通过对正样本进行负采样获得负样本；分类模型获取步骤：获取预定数量的正样本和负样本后，通过编码技术将攻击技术映射至向量空间，此后将正样本和负样本输入基于序列的分类模型中进行训练，得到多步骤攻击分类模型；所述在线运行步骤包括如下步骤：原始攻击技术序列获取步骤：EDR工具在运行过程中产生日志记录，其中日志根据预定义规则被映射到攻击技术上，即为原始攻击技术，周期性将原始攻击技术按事件发生的先后顺序从原始日志中提取出来，形成原始攻击技术序列；攻击技术合并步骤：若原始攻击序列中存在相邻的相同的攻击技术，则合并为一个攻击技术；候选攻击序列确定步骤：多步骤攻击从攻击技术序列中的任意攻击技术开始，遍历原始攻击序列中所有攻击技术，并以当前攻击技术为起点抽取原始攻击序列中符合攻击战术次序的预定子序列，若预定子序列中攻击技术数目大于预设阈值τ1则预定子序列为候选攻击序列，则将候选攻击序列加入到候选攻击序列集合中；评分步骤：将候选攻击序列集合中的所有候选攻击序列向量化，并输入基于序列的分类模型中，为每一个被输入的候选攻击序列得到对应的多步骤攻击可能性评分；并找到预定评分的候选攻击技术序列；警报发出步骤：若预定评分的分值大于预设阈值τ2，则存在多步骤攻击，发出警报。

全文数据：

权利要求：

百度查询： 上海交通大学 基于TTP的多步骤攻击检测与场景还原的方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD