CN116015913A - 一种基于att&ck框架的网络攻击预测方法 - Google Patents
一种基于att&ck框架的网络攻击预测方法 Download PDFInfo
- Publication number
- CN116015913A CN116015913A CN202211713258.7A CN202211713258A CN116015913A CN 116015913 A CN116015913 A CN 116015913A CN 202211713258 A CN202211713258 A CN 202211713258A CN 116015913 A CN116015913 A CN 116015913A
- Authority
- CN
- China
- Prior art keywords
- attack
- sequence
- similarity
- historical
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及网络安全领域,特别涉及一种基于ATT&CK框架的网络攻击预测方法。包括根据ATT&CK威胁框架,确定出目标攻击事件的已用特征序列。将已用特征序列与历史事件特征库中的每一历史特征序列进行相似度处理,生成每一历史技战术与已用特征序列的相似度。将对应相似度大于预测阈值的历史特征序列,确定为目标预测特征序列。根据目标预测特征序列中的攻击特征,生成目标攻击事件在未来时刻发生的攻击信息。本发明利用历史事件特征库与尚未完成实施的攻击事件进行相似性计算,来预测下一步可能会发生的攻击行为,从而快速预测攻击事件的攻击意图以及攻击范围。可减少防御措施的滞后性,对攻击行为进行有效制止,提高防御能力。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种基于ATT&CK框架的网络攻击预测方法。
背景技术
网络的高速发展导致对网络安全要求提高,网络攻击的深入分析又是一个非常复杂的研究领域,如何通过已知的攻击事件去预判未来可能发生的威胁是当前安全研究的重点方向之一。
网络攻击通过单步的攻击行为就能对攻击目标构成威胁的可能性很小,大多数攻击者都是通过一系列的步骤和组合协调攻击来实现有具体目标的行动计划,这使得网络面临的安全问题日益严重,网络安全呈现出易攻难守的局面。
现有技术中,多是使用被动辅助防御的策略,对已经出现的攻击行为进行阻止及防御。也即均是在攻击已经成功后,才能采取对应的防御措施。由此,使得现有技术中的防御措施较为滞后,无法更加及时的对攻击行为进行有效制止,防御能力较低。
发明内容
针对上述防御措施较为滞后,无法更加及时的对攻击行为进行有效制止,防御能力较低的技术问题,本发明采用的技术方案为:
根据本发明的一个方面,提供了一种基于ATT&CK框架的网络攻击预测方法,该方法包括如下步骤:
根据ATT&CK威胁框架,确定出目标攻击事件的已用特征序列;已用特征序列为目标攻击事件在当前时间时已具有的所有攻击特征的序列;
将已用特征序列与历史事件特征库中的每一历史特征序列进行相似度处理,生成每一历史技战术与已用特征序列的相似度;历史特征序列为历史攻击事件中具有的所有攻击特征的序列;
将对应相似度大于预测阈值的历史特征序列,确定为目标预测特征序列;
根据目标预测特征序列中在已用特征序列之后对应的攻击特征,生成目标攻击事件在未来时刻发生的攻击信息。
在本发明中,进一步的,攻击特征包括攻击技战术特征,相似度处理包括:
对已用特征序列与每一历史特征序列进行路径特征相似度处理,生成每一历史特征序列对应的第一相似度;
对已用特征序列与每一历史特征序列进行特征时序相似度处理,生成每一历史特征序列对应的第二相似度。
在本发明中,进一步的,第一相似度对应第一权重;第二相似度对应第二权重;
将对应相似度大于预测阈值的历史特征序列,确定为目标预测特征序列,包括:
根据第一相似度、第二相似度、第一权重及第二权重,生成每一历史特征序列对应的第一混合相似度;
将第一混合相似度大于预测阈值的历史特征序列,确定为目标预测特征序列。
在本发明中,进一步的,攻击特征还包括攻击行为特征,相似度处理还包括:
对已用特征序列与每一历史特征序列进行攻击行为相似度处理,生成每一历史特征序列对应的第三相似度。
在本发明中,进一步的,第一相似度对应第一权重;第二相似度对应第二权重;第三相似度对应第三权重;
将对应相似度大于预测阈值的历史特征序列,确定为目标预测特征序列,包括:
根据第一相似度、第二相似度、第三相似度、第一权重、第二权重及第三权重,生成每一历史特征序列对应的第二混合相似度;
将第二混合相似度大于预测阈值的历史特征序列,确定为目标预测特征序列。
在本发明中,进一步的,历史事件特征库中包括多个攻击类型,每一攻击类型对应至少一个技战术序列,每一技战术序列对应至少一个攻击行为序列。
在本发明中,进一步的,生成目标攻击事件在未来时刻发生的攻击信息,包括:
生成目标攻击事件在未来时刻发生的攻击技战术信息和/或攻击行为信息。
根据本发明的第二个方面,提供了一种基于ATT&CK框架的网络攻击预测装置,包括:
序列确定模块,用于根据ATT&CK威胁框架,确定出目标攻击事件的已用特征序列;已用特征序列为目标攻击事件在当前时间时已具有的所有攻击特征的序列;
相似度处理模块,用于将已用特征序列与历史事件特征库中的每一历史特征序列进行相似度处理,生成每一历史技战术与已用特征序列的相似度;历史特征序列为历史攻击事件中具有的所有攻击特征的序列;
序列预测模块,用于将对应相似度大于预测阈值的历史特征序列,确定为目标预测特征序列;
预测信息生成模块,用于根据目标预测特征序列中在已用特征序列之后对应的攻击特征,生成目标攻击事件在未来时刻发生的攻击信息。
根据本发明的第三个方面,提供了一种非瞬时性计算机可读存储介质,非瞬时性计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述的一种基于ATT&CK框架的网络攻击预测方法。
根据本发明的第四个方面,提供了一种电子设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的一种基于ATT&CK框架的网络攻击预测方法。
本发明至少具有以下有益效果:
本发明使用ATT&CK框架,来对网络攻击时所采用的技战术及行为进行确定。由此,可以形成对应的已用特征序列。同时,很多攻击团伙及组织都采用相同的技术,对攻击目标实施攻击,可以理解为攻击团伙自己的技战术手册。所以现有的攻击手段大多是使用已有的攻击手段或稍加改进之后得到。由此,现有的攻击手段与历史中已发生过的攻击手段存在一定的相似度。本发明中利用对历史攻击事件的分析成果,形成攻击事件的攻击目标、攻击意图、使用技战术等历史事件特征库。利用历史事件特征库与尚未完成实施阶段的攻击事件的已用特征序列进行相似性计算,获取特征序列相似的攻击事件,结合历史相似攻击事件的供给特征,来预测下一步可能会发生的攻击行为,从而快速预测攻击事件的攻击意图以及攻击范围。
在攻击事件尚未成功实施前,通过自动化的方法对攻击事件的下一步攻击行为进行预测,进而感知攻击者的攻击意图以及攻击范围,提前对自身的资产及网络进行安全加固,并制定反制措施。由此,可以减少防御措施的滞后性,进而可以更加及时的对攻击行为进行有效制止,提高防御能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于ATT&CK框架的网络攻击预测方法的流程图。
图2为本发明实施例提供的一种基于ATT&CK框架的网络攻击预测装置的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的一个方面,如图1所示,提供了一种基于ATT&CK框架的网络攻击预测方法,该方法包括如下步骤:
S100:根据ATT&CK威胁框架,确定出目标攻击事件的已用特征序列。已用特征序列为目标攻击事件在当前时间时已具有的所有攻击特征的序列。
ATT&CK是MITRE提供的“对抗战术、技术和常识”框架,是由攻击者在攻击企业时会利用的12种战术和244种企业技术组成的精选知识库。ATT&CK框架中所有战术、技术和流程(TTP)都基于现实世界中观察到的真实攻击团伙所为,进而全面地呈现了攻击者在攻击网络时所采用的行为。ATT&CK将已知攻击者行为转换为结构化列表,在将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。因此ATT&CK对于各种进攻性和防御性度量、表示和其他机制都非常有用。
基于ATT&CK威胁框架的攻击阶段及行为的映射,可以将每一次的网络攻击中使用的技战术及攻击行为等攻击特征,进行规范定义,进而形成对应的目标攻击事件的技战术序列及攻击行为序列。技战术序列可以包括使用的技战术的种类以及对应的使用顺序。
分析人员结合现有的威胁情报库及获取到的当前的目标攻击事件的信息,确定出目标攻击事件已使用的攻击行为,再根据ATT&CK威胁框架中各攻击行为与技战术之间的对应关系,确定出目标攻击事件当前对应的技战术特征序列。如:TA0043/T1592/T1592.004、TA0001/T1566/T1566.003、TA0002/T1559/T1559.001、TA0004/T1037/T1037.002、TA0006/T1606/T1606.001、TA0008/T1563/T1563.002、TA0009/T1573/T1573.001。
S200:将已用特征序列与历史事件特征库中的每一历史特征序列进行相似度处理,生成每一历史技战术与已用特征序列的相似度。历史特征序列为历史攻击事件中具有的所有攻击特征的序列。
历史事件特征库为技术人员对已发生过的网络攻击事件进行分析,并结合ATT&CK威胁框架,来提取出每一次网络攻击事件对应的攻击技战术、攻击行为及攻击目标等攻击特征,并根据上述攻击特征,来构成该次网络攻击对应的历史特征序列。该历史特征序列可以包括攻击技战术序列、攻击行为序列及对应的攻击目标序列。
由于,很多攻击团伙及组织都采用相同的技术,对攻击目标实施攻击,可以理解为攻击团伙自己的技战术手册。所以现有的攻击手段大多是使用已有的攻击手段或稍加改进之后得到。由此,现有的攻击手段与历史中已发生过的攻击手段存在一定的相似度。本发明中利用对历史攻击事件的分析成果,形成攻击事件的攻击目标、攻击意图、使用技战术等历史事件特征库。利用历史事件特征库与尚未完成实施阶段的攻击事件的已用特征序列进行相似性计算,获取特征序列相似的攻击事件,结合历史相似攻击事件的供给特征,来预测下一步可能会发生的攻击行为,从而快速预测攻击事件的攻击意图以及攻击范围。
为了便于相似度计算,可以使用现有技术对ATT&CK威胁框架中的各个技战术及攻击行为进行编码。由此,已用特征序列与历史特征序列便可以通过一个对应的多维向量进行表示。然后,再通过现有的余弦相似度、皮尔森相关系数、欧氏距离及曼哈顿距离等方式来计算相似度。
为了进一步提高历史事件特征库中含有的信息对当前攻击的预测的帮助。优选的,历史事件特征库中包括多个攻击类型,每一攻击类型对应至少一个技战术序列,每一技战术序列对应至少一个攻击行为序列。也即,在构建历史事件特征库时,需要将经过分析获得的大量的技战术序列及攻击行为序列进行分类,并为每一类型的攻击特征赋予对应的攻击事件类别。如将攻击事件类别设置为勒索攻击,并将获得的属于勒索攻击的技战术序列及攻击行为序列均归属在该事件类型下。同时由于一种技战术序列可以通过多种攻击行为序列来实现,由此每一技战术序列下同样会对应多个攻击行为序列。
另外,每一技战术序列及攻击行为序列,均会对应一个攻击事件类型,由此在进行最终的攻击信息输出时,同样可以将该攻击事件类别进行输出,以便于分析人员根据该预测的攻击事件类别,设置对应的防御手段及策略。
具体的,历史事件特征库中包含的信息可以如下述形式:
事件类型1/[技战术序列11]/[攻击行为序列111]、事件类型1/[技战术序列11]/[攻击行为序列112]、事件类型1/[技战术序列11]/[攻击行为序列113]。
事件类型1/[技战术序列12]/[攻击行为序列121]、事件类型1/[技战术序列12]/[攻击行为序列122]、事件类型1/[技战术序列12]/[攻击行为序列123]。
事件类型2/[技战术序列21]/[攻击行为序列211]、事件类型2/[技战术序列21]/[攻击行为序列212]、事件类型2/[技战术序列21]/[攻击行为序列213]。
S300:将对应相似度大于预测阈值的历史特征序列,确定为目标预测特征序列。
通过计算相似度,可以将当前发生的攻击事件与历史攻击事件进行匹配,并将匹配度较高的历史攻击事件作为对应的预测事件。具体的,本实施例中的预测阈值可以根据实际使用5情况进行确定,其取值范围可以为60%-100%。
S400:根据目标预测特征序列中在已用特征序列之后对应的攻击特征,生成目标攻击事件在未来时刻发生的攻击信息。
优选的,生成目标攻击事件在未来时刻发生的攻击信息,包括:生成目标攻击事件在未来时刻发生的攻击技战术信息和/或攻击行为信息。
0具体的,将目标预测特征序列中位于已用特征序列之后对应的攻击特征,作为预测信息进行输出,以便于分析人员根据预测信息设置对应的防御措施。
由于,本实施例是通过相似度来进行的预测,所以最终输出的结果可能有多个。如通过相似度计算,已用特征序列对应的当前技战术序列与历史特征序列中勒索事件类型下的两个
历史技战术序列具有较高的相似度,则最终会输出两个预测的技战术特征。同时为了进一步5提高预测的实用性,还可以使用同样的方法确定出多个历史攻击行为序列,并输出对应的攻击行为特征作为预测信息。
本发明从海量历史攻击数据中判别出攻击事件可能攻击的目标和攻击行为,从而提前对这些目标进行安全加固或采取其他的安全措施,将损失降到最低,同时基于同类攻击事件的
链路与行为的分析,辅助安全分析人员快速还原攻击过程、发现高危事件,对攻击者的攻击0行为以及攻击范围进行预判,减少安全分析成本,了解可能带来的安全风险,制定防御策略与反制措施。同时,本发明还可以根据预测结果帮助用户发现潜在威胁或高级威胁。并通过快速定位攻击目标以及可能发生的攻击行为,及时采取安全措施,或采取反制手段。对已发现的威胁活动迅速进行评估,了解其对于业务的影响,快速止损。对事件进行定性,实施相关缓解措施以降低并最终消除由此给业务带来的风险。
5作为本发明一种可能的实施例,攻击特征包括攻击技战术特征,相似度处理包括:
S201:对已用特征序列与每一历史特征序列进行路径特征相似度处理,生成每一历史特征序列对应的第一相似度。
S202:对已用特征序列与每一历史特征序列进行特征时序相似度处理,生成每一历史特征序列对应的第二相似度。
由于,当前攻击事件中的攻击手段大多是对已有的攻击手段稍加改进之后得到的。由此,已用特征序列中使用的技战术以及各种技战术的使用顺序,会与对应的历史特征序列中使用的技战术以及各种技战术的使用顺序存在一定的区别。本实施例中,将攻击路径中的路径特征(使用的技战术)及特征时序(技战术的使用顺序),分别进行相似度计算,可以分别得到第一相似度及第二相似度。由此,可以对第一相似度及第二相似度分别设置对应各预测阈值,更加灵活。
由于,在基于现有的攻击手法改进的攻击手段中,一些类型的攻击改进中,主要是对某些技战术的使用顺序进行变化的,所以在该情况下其对应的第二相似度就会低一些。同理,在另一些类型的攻击改进中,主要是对使用的某些技战术进行的改动,所以在该情况下其对应的第一相似度就会低一些。
由此,可以根据某一使用场景中的通常更加容易出现的攻击类型,或者需要更加关注的攻击类型,所对应的第一相似度及第二相似度的情况,设置对应的预测阈值,由此可以进一步提高各个场景中预测结果的准确性。
作为本发明一种可能的实施例,第一相似度对应第一权重。第二相似度对应第二权重。
S300:将对应相似度大于预测阈值的历史特征序列,确定为目标预测特征序列,包括:
S301:根据第一相似度、第二相似度、第一权重及第二权重,生成每一历史特征序列对应的第一混合相似度。
由于,不同类型的项对两个攻击事件的相似性的贡献程度并不相同,所以,需要设置对应的权重,来对各个项的相似度进行加权求和,以使最终的结果更加精准。如,在本实施例中时序特征的相似度贡献小于路径特征的相似度贡献,由此,对应的第一权重大于第二权重。具体的,第一权重A=0.7,第二权重B=0.3。第一混合相似度W1满足如下条件:W1=A*X1+B*X2。
其中,X1为第一相似度;X2为第二相似度。
S302:将第一混合相似度大于预测阈值的历史特征序列,确定为目标预测特征序列。
本实施例中,最终获得的第一混合相似度为通过对第一相似度及第二相似度按照对应的权重进行加权求和得到的。其更能表示当前的已用特征序列与历史特征序列之前的相似度的高低。进而可以更加准确的从多个历史特征序列中,确定出目标预测特征序列。
作为本发明一种可能的实施例,攻击特征还包括攻击行为特征,相似度处理还包括:
S203:对已用特征序列与每一历史特征序列进行攻击行为相似度处理,生成每一历史特征序列对应的第三相似度。
上述实施例是对于当前攻击事件在未来时刻,会使用的技战术序列的预测,该预测信息虽然能够帮助分析人员根据技战术特征预测攻击事件的攻击意图以及攻击范围。但是,其预测出来的范围较大,还不能够更加准确的预测出攻击行为,进而不能够更加有针对性的对攻击进行防御。
本实施例中,对攻击行为进行进一步的预测。由于,每一技战术序列之下,还会对应多个不同的攻击行为序列。由此,使用同样的相似度计算方法可以获取到与当前攻击行为序列对应的历史攻击行为序列。通常,获得的多个攻击行为预测序列,均对应同一技战术特征预测序列。由此,可以将历史攻击行为序列中,在当前攻击行为序列之后发生的攻击行为,作为预测信息进行输出。其中,攻击行为序列包括具体的攻击手段及对应的攻击目标。
本实施例可以通过对攻击行为特征进行相似度计算,来从历史攻击事件中获取对应的攻击行为序列。进而可以对未来时刻会出现的攻击行为进行预测。由此,对当前攻击事件的预测会更加细致,且有更高的针对性,以便于分析人员根据这些分析信息,做出更加有效的防御措施。
作为本发明一种可能的实施例,第一相似度对应的第一权重。第二相似度对应的第二权重。第三相似度对应的第三权重。
S300:将对应相似度大于预测阈值的历史特征序列,确定为目标预测特征序列,包括:
S303:根据第一相似度、第二相似度、第三相似度、第一权重、第二权重及第三权重,生成每一历史特征序列对应的第二混合相似度。
S304:将第二混合相似度大于预测阈值的历史特征序列,确定为目标预测特征序列。
本实施例同样为对各个相似度的参考项进行加权计算,以生成更加精准的第二混合相似度。具体的,本实施例中时序特征的相似度贡献小于攻击行为的相似度贡献,攻击行为的相似度贡献小于路径特征的相似度贡献。由此,对应的第一权重大于第三权重大于第二权重。具体的,第一权重A=0.5,第三权重C=0.3,第二权重B=0.2。第二混合相似度W2满足如下条件:W2=A*X1+B*X2+C*X3。
其中,X1为第一相似度;X2为第二相似度;X3为第三相似度。
由此,本实施例可以在攻击事件尚未成功实施前,通过自动化的方法对攻击事件的下一步攻击行为进行更加准确的预测,进而感知攻击者的攻击意图以及攻击范围,提前对自身的资产及网络进行安全加固,并制定反制措施。
根据本发明的第二个方面,提供了一种基于ATT&CK框架的网络攻击预测装置,包括:
序列确定模块,用于根据ATT&CK威胁框架,确定出目标攻击事件的已用特征序列。已用特征序列为目标攻击事件在当前时间时已具有的所有攻击特征的序列。
相似度处理模块,用于将已用特征序列与历史事件特征库中的每一历史特征序列进行相似度处理,生成每一历史技战术与已用特征序列的相似度。历史特征序列为历史攻击事件中具有的所有攻击特征的序列。
序列预测模块,用于将对应相似度大于预测阈值的历史特征序列,确定为目标预测特征序列。
预测信息生成模块,用于根据目标预测特征序列中在已用特征序列之后对应的攻击特征,生成目标攻击事件在未来时刻发生的攻击信息。
本发明使用ATT&CK框架,来对网络攻击时所采用的技战术及行为进行确定。由此,可以形成对应的已用特征序列。同时,很多攻击团伙及组织都采用相同的技术,对攻击目标实施攻击,可以理解为攻击团伙自己的技战术手册。所以现有的攻击手段大多是使用已有的攻击手段或稍加改进之后得到。由此,现有的攻击手段与历史中已发生过的攻击手段存在一定的相似度。本发明中利用对历史攻击事件的分析成果,形成攻击事件的攻击目标、攻击意图、使用技战术等历史事件特征库。利用历史事件特征库与尚未完成实施阶段的攻击事件的已用特征序列进行相似性计算,获取特征序列相似的攻击事件,结合历史相似攻击事件的供给特征,来预测下一步可能会发生的攻击行为,从而快速预测攻击事件的攻击意图以及攻击范围。
在攻击事件尚未成功实施前,通过自动化的方法对攻击事件的下一步攻击行为进行预测,进而感知攻击者的攻击意图以及攻击范围,提前对自身的资产及网络进行安全加固,并制定反制措施。由此,可以减少防御措施的滞后性,进而可以更加及时的对攻击行为进行有效制止,提高防御能力。
本发明的实施例还提供了一种非瞬时性计算机可读存储介质,该存储介质可设置于电子设备之中以保存用于实现方法实施例中一种方法相关的至少一条指令或至少一段程序,该至少一条指令或该至少一段程序由该处理器加载并执行以实现上述实施例提供的方法。
本发明的实施例还提供了一种电子设备,包括处理器和前述的非瞬时性计算机可读存储介质。
本发明的实施例还提供一种计算机程序产品,其包括程序代码,当程序产品在电子设备上运行时,程序代码用于使该电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的方法中的步骤。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员还应理解,可以对实施例进行多种修改而不脱离本发明的范围和精神。本发明开的范围由所附权利要求来限定。
Claims (10)
1.一种基于ATT&CK框架的网络攻击预测方法,其特征在于,所述方法包括如下步骤:
根据ATT&CK威胁框架,确定出目标攻击事件的已用特征序列;所述已用特征序列为所述目标攻击事件在当前时间时已具有的所有攻击特征的序列;
将所述已用特征序列与历史事件特征库中的每一历史特征序列进行相似度处理,生成每一历史技战术与所述已用特征序列的相似度;所述历史特征序列为历史攻击事件中具有的所有攻击特征的序列;
将对应相似度大于预测阈值的历史特征序列,确定为目标预测特征序列;
根据所述目标预测特征序列中在所述已用特征序列之后对应的攻击特征,生成所述目标攻击事件在未来时刻发生的攻击信息。
2.根据权利要求1所述的方法,其特征在于,所述攻击特征包括攻击技战术特征,所述相似度处理包括:
对所述已用特征序列与每一所述历史特征序列进行路径特征相似度处理,生成每一所述历史特征序列对应的第一相似度;
对所述已用特征序列与每一所述历史特征序列进行特征时序相似度处理,生成每一所述历史特征序列对应的第二相似度。
3.根据权利要求2所述的方法,其特征在于,所述第一相似度对应第一权重;所述第二相似度对应第二权重;
将对应相似度大于预测阈值的历史特征序列,确定为目标预测特征序列,包括:
根据第一相似度、第二相似度、第一权重及第二权重,生成每一所述历史特征序列对应的第一混合相似度;
将所述第一混合相似度大于预测阈值的历史特征序列,确定为目标预测特征序列。
4.根据权利要求2所述的方法,其特征在于,所述攻击特征还包括攻击行为特征,所述相似度处理还包括:
对所述已用特征序列与每一所述历史特征序列进行攻击行为相似度处理,生成每一所述历史特征序列对应的第三相似度。
5.根据权利要求4所述的方法,其特征在于,所述第一相似度对应第一权重;所述第二相似度对应第二权重;所述第三相似度对应第三权重;
将对应相似度大于预测阈值的历史特征序列,确定为目标预测特征序列,包括:
根据第一相似度、第二相似度、第三相似度、第一权重、第二权重及第三权重,生成每一所述历史特征序列对应的第二混合相似度;
将所述第二混合相似度大于预测阈值的历史特征序列,确定为目标预测特征序列。
6.根据权利要求1所述的方法,其特征在于,所述历史事件特征库中包括多个攻击类型,每一攻击类型对应至少一个技战术序列,每一所述技战术序列对应至少一个攻击行为序列。
7.根据权利要求1所述的方法,其特征在于,生成所述目标攻击事件在未来时刻发生的攻击信息,包括:
生成所述目标攻击事件在未来时刻发生的攻击技战术信息和/或攻击行为信息。
8.一种基于ATT&CK框架的网络攻击预测装置,其特征在于,包括:
序列确定模块,用于根据ATT&CK威胁框架,确定出目标攻击事件的已用特征序列;所述已用特征序列为所述目标攻击事件在当前时间时已具有的所有攻击特征的序列;
相似度处理模块,用于将所述已用特征序列与历史事件特征库中的每一历史特征序列进行相似度处理,生成每一历史技战术与所述已用特征序列的相似度;所述历史特征序列为历史攻击事件中具有的所有攻击特征的序列;
序列预测模块,用于将对应相似度大于预测阈值的历史特征序列,确定为目标预测特征序列;
预测信息生成模块,用于根据所述目标预测特征序列中在所述已用特征序列之后对应的攻击特征,生成所述目标攻击事件在未来时刻发生的攻击信息。
9.一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的一种基于ATT&CK框架的网络攻击预测方法。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的一种基于ATT&CK框架的网络攻击预测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211713258.7A CN116015913A (zh) | 2022-12-29 | 2022-12-29 | 一种基于att&ck框架的网络攻击预测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211713258.7A CN116015913A (zh) | 2022-12-29 | 2022-12-29 | 一种基于att&ck框架的网络攻击预测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116015913A true CN116015913A (zh) | 2023-04-25 |
Family
ID=86026359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211713258.7A Pending CN116015913A (zh) | 2022-12-29 | 2022-12-29 | 一种基于att&ck框架的网络攻击预测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116015913A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116633682A (zh) * | 2023-07-14 | 2023-08-22 | 深圳齐杉科技有限公司 | 一种基于安全产品风险威胁的智能识别方法及系统 |
| CN116743502A (zh) * | 2023-08-11 | 2023-09-12 | 四川新立高科科技有限公司 | 电力系统网络攻击检测方法、装置、电子设备及存储介质 |
-
2022
- 2022-12-29 CN CN202211713258.7A patent/CN116015913A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116633682A (zh) * | 2023-07-14 | 2023-08-22 | 深圳齐杉科技有限公司 | 一种基于安全产品风险威胁的智能识别方法及系统 |
| CN116633682B (zh) * | 2023-07-14 | 2023-10-17 | 深圳齐杉科技有限公司 | 一种基于安全产品风险威胁的智能识别方法及系统 |
| CN116743502A (zh) * | 2023-08-11 | 2023-09-12 | 四川新立高科科技有限公司 | 电力系统网络攻击检测方法、装置、电子设备及存储介质 |
| CN116743502B (zh) * | 2023-08-11 | 2023-11-14 | 四川新立高科科技有限公司 | 电力系统网络攻击检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116015913A (zh) | 一种基于att&ck框架的网络攻击预测方法 | |
| Abdullah et al. | Enhanced intrusion detection system using feature selection method and ensemble learning algorithms | |
| Gao et al. | Privacy-preserving collaborative learning with automatic transformation search | |
| CN107220549A (zh) | 基于cvss的漏洞风险基础评估方法 | |
| CN111368302A (zh) | 基于攻击者攻击策略生成的自动威胁检测方法 | |
| Lucas | The stochastic versus deterministic argument for combat simulations: Tales of when the average won't do | |
| CN112464245A (zh) | 一种面向深度学习图像分类模型的泛化的安全性评估方法 | |
| CN114491541B (zh) | 基于知识图谱路径分析的安全运营剧本自动化编排方法 | |
| Jakóbik | Stackelberg game modeling of cloud security defending strategy in the case of information leaks and corruption | |
| CN117272306A (zh) | 基于交替最小化的联邦学习半目标投毒攻击方法及系统 | |
| Sree et al. | Artificial intelligence based predictive threat hunting in the field of cyber security | |
| CN115065545A (zh) | 基于大数据威胁感知的安全防护构建方法及ai防护系统 | |
| CN113364786A (zh) | 基于安全云服务大数据的组件配置方法及ai云服务系统 | |
| Khan et al. | Offensive ai: unification of email generation through GPT-2 model with a game-theoretic approach for spear-phishing attacks | |
| CN116737850A (zh) | Apt实体关系预测的图神经网络模型训练方法 | |
| Bahareth et al. | Constructing attack scenario using sequential pattern mining with correlated candidate sequences | |
| CN113329026B (zh) | 一种基于网络靶场漏洞演练的攻击能力确定方法及系统 | |
| Das et al. | Think smart, play dumb: Analyzing deception in hardware trojan detection using game theory | |
| CN112884361B (zh) | 多场景的装备组合方法、系统、计算机设备和存储介质 | |
| Alvar et al. | Membership privacy protection for image translation models via adversarial knowledge distillation | |
| Guan et al. | A Bayesian Improved Defense Model for Deceptive Attack in Honeypot-Enabled Networks | |
| Mishra | Prediction Approach against DDoS Attack based on Machine Learning Multiclassfier | |
| Gunasekaran | Breaking classification algorithms: A black-box adversarial attack for data poisoning | |
| Wang et al. | Optimal network defense strategy selection based on Bayesian game | |
| Singh et al. | BiLSTM Classifier: A New Approach for Detecting Cyber-Attacks in MITRE ATTACK Framework |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |