申请/专利权人：中国电子科技集团公司第十五研究所

申请日：2023-09-29

公开（公告）日：2024-07-05

公开（公告）号：CN117201165B

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.07.05#授权;2023.12.26#实质审查的生效;2023.12.08#公开

摘要：本发明公开了一种基于网络威胁信息的威胁告警关联分析方法，包括：获取网络威胁信息；利用所述网络威胁信息，构建得到威胁告警关联分析模型；所述网络威胁信息，包括网络威胁事件报告库、网络对抗战术技术及通用知识文档和告警日志；所述威胁告警关联分析模型，包括威胁语义词典、告警类型映射词典和技术编号对；利用所述威胁告警关联分析模型，对所述网络威胁信息进行分析处理，得到威胁告警关联分析结果。本发明在基于威胁情报驱动的关联识别的基础上，利用规则集发现告警之间的“内在关联”构建告警关联图，提供对一次入侵攻击场景的完整刻画描述，提升了威胁告警的准确率。

主权项：1.一种基于网络威胁信息的威胁告警关联分析方法，其特征在于，包括：S1，获取网络威胁信息；S2，利用所述网络威胁信息，构建得到威胁告警关联分析模型；所述威胁告警关联分析模型，包括威胁语义词典、告警类型映射词典和技术编号对；所述利用所述网络威胁信息，构建得到威胁告警关联分析模型，包括：S21，利用所述网络威胁事件报告库和网络对抗战术技术及通用知识文档，构建得到第一攻击行为技术链库和威胁语义词典；S22，利用所述威胁语义词典和第一攻击行为技术链库，构建得到第二攻击行为技术链库和告警类型映射词典；S23，利用所述第二攻击行为技术链库，构建得到技术链对库；所述利用所述网络威胁事件报告库和网络对抗战术技术及通用知识文档，构建得到第一攻击行为技术链库和威胁语义词典，包括：S211，对每个网络威胁事件报告，分别进行提取操作，得到对应的攻击行为的描述语句；S212，对每个网络威胁事件报告所提取得到的攻击行为的描述语句，按照所述描述语句的出现时间先后进行排序，得到所述网络威胁事件报告的第一攻击行为技术链；所述第一攻击行为技术链，为攻击行为的描述语句的有向序列；S213，对所有网络威胁事件报告的第一攻击行为技术链进行整合，得到第一攻击行为技术链库；S214，对所述网络对抗战术技术及通用知识文档进行提取操作，得到攻击技术文档；所述攻击技术文档，包括攻击告警类型、攻击技术描述语句和对应的技术编号；S215，对所述第一攻击行为技术链的攻击行为的描述语句，与所述攻击技术文档的攻击技术描述语句，进行语义相似度计算，得到攻击技术相似度值；S216，判别所述攻击技术相似度是否大于设定相似度阈值，若大于设定相似度阈值，建立所述攻击技术文档中的攻击技术描述语句与所述第一攻击行为技术链的攻击行为的描述语句对应的攻击行为之间的映射关系；S217，利用所建立的所有映射关系，构建得到威胁语义词典；所述利用所述威胁语义词典和第一攻击行为技术链库，构建得到第二攻击行为技术链库和告警类型映射词典，包括：S221，利用威胁语义词典的映射关系，对每个第一攻击行为技术链的攻击行为的描述语句，映射为所述攻击技术描述语句；当对所述第一攻击行为技术链的所有攻击行为的描述语句完成映射操作后，确定完成映射后的第一攻击行为技术链，为对应的第二攻击行为技术链；S222，对所有的第二攻击行为技术链进行整合，得到第二攻击行为技术链库；S223，利用目标IP对告警日志进行分组，得到若干个告警日志集合；一个告警日志集合，包括若干个具有相同目标IP的告警日志；S224，对所述攻击技术文档中的攻击告警类型和技术编号的同时出现次数进行统计分析，得到攻击告警类型和技术编号的对应关系；利用所述攻击告警类型和技术编号的对应关系，构建得到告警类型映射词典；所述利用所述第二攻击行为技术链库，构建得到技术链对库，包括：S231，对所述第二攻击行为技术链库中的每个第二攻击行为技术链，利用其所包含的前后相邻的攻击技术描述语句的技术编号，构建得到技术编号对；S232，利用所有第二攻击行为技术链所构建得到的技术编号对，构建得到技术链对库；S3，利用所述威胁告警关联分析模型，对所述网络威胁信息进行分析处理，得到威胁告警关联分析结果；所述威胁告警关联分析结果，用于表征网络威胁信息的威胁告警的关联信息；所述利用所述威胁告警关联分析模型，对所述网络威胁信息进行分析处理，得到威胁告警关联分析结果，包括：S31，对每个告警日志集合中的所有告警日志，按照其时间先后进行排序，得到对应的告警日志序列；S32，对每个告警日志序列，对所述告警日志序列中每两个前后相邻的告警日志，进行二元关联判别，得到所述告警日志序列的二元关联关系信息；S33，对所述告警日志序列的二元关联关系信息，进行告警链识别操作，得到所述告警日志序列的告警威胁链；S34，对所有告警日志序列的告警威胁链进行整合，得到告警威胁链库；S35，对每两个告警日志集合之间，进行关联关系判别，得到所述两个告警日志集合的告警日志之间的攻击关联关系；S36，确定所述告警日志集合中的告警日志为点，确定不同告警日志之间的攻击关联关系和二元关联关系为边；利用所述点和边，构建得到告警关联图；所述告警关联图中，具有攻击关联关系和二元关联关系的告警日志对应的点之间用边进行连接，没有攻击关联关系和二元关联关系的告警日志对应的点之间不进行连接；S37，利用所述告警威胁链库和告警关联图，构建得到威胁告警关联分析结果。

全文数据：

权利要求：

百度查询： 中国电子科技集团公司第十五研究所 基于网络威胁信息的威胁告警关联分析方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD