CN116707998A - 网络攻击的映射方法、计算机设备和存储介质 - Google Patents

网络攻击的映射方法、计算机设备和存储介质 Download PDF

Info

Publication number
CN116707998A
CN116707998A CN202310858115.3A CN202310858115A CN116707998A CN 116707998 A CN116707998 A CN 116707998A CN 202310858115 A CN202310858115 A CN 202310858115A CN 116707998 A CN116707998 A CN 116707998A
Authority
CN
China
Prior art keywords
vulnerability
mapped
network attack
descriptions
target network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310858115.3A
Other languages
English (en)
Inventor
钱方
陈强
刘昱康
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Super High Transmission Co of China South Electric Net Co Ltd
Original Assignee
Super High Transmission Co of China South Electric Net Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Super High Transmission Co of China South Electric Net Co Ltd filed Critical Super High Transmission Co of China South Electric Net Co Ltd
Priority to CN202310858115.3A priority Critical patent/CN116707998A/zh
Publication of CN116707998A publication Critical patent/CN116707998A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种网络攻击的映射方法、计算机设备和存储介质。所述方法包括:获取目标网络攻击的描述信息,将目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述;预先训练好的映射模型用于确定目标网络攻击的属性。上述方法在获取到目标网络攻击的描述信息后,基于预先训练好的映射模型确定与目标网络攻击对应的目标漏洞描述,也就是说,上述方法将静态的漏洞描述与实时的网络攻击进行了关联,能够实现将静态的漏洞描述与实时的网络攻击进行映射,从而能够在进行网络攻击分析时用静态的漏洞描述管理网络攻击,以更好的判断网络攻击行为的危害性和有效性。

Description

网络攻击的映射方法、计算机设备和存储介质
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网络攻击的映射方法、计算机设备和存储介质。
背景技术
公共漏洞和暴露(Common Vulnerabilities and Exposures,CVE)是信息安全界有关漏洞的一个标准,为漏洞提供标准化的描述信息。对抗性战术、技术以及公共知识库(Adversarial Tactics,Techniques,and Common Knowledge,ATT&CK)是一个网络攻击中涉及的绝大部分已知策略和技术的知识库,包含200多种攻击者可能会在攻击过程中使用的技术框架。
CVE通常属于资产固有的静态属性,而ATT&CK通常来源于实时安全事件日志中检测出的攻击技术。将CVE与ATT&CK进行关联映射后,即将资产静态的安全漏洞与实时的攻击行为进行了关联,可以更好地判断攻击行为的危害性和有效性。
因此,将CVE与ATT&CK进行关联映射成为当下网络技术中亟待解决的技术问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够将CVE与ATT&CK进行关联映射的网络攻击的映射方法、计算机设备和存储介质。
第一方面,本申请提供了一种网络攻击的映射方法。方法包括:
获取目标网络攻击的描述信息;
将目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述;预先训练好的映射模型用于确定目标网络攻击的属性。
在其中一个实施例中,映射模型包括估计模型,将目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述,包括:
获取多个待映射的漏洞描述;
将多个待映射的漏洞描述和目标网络攻击的描述信息输入至估计模型进行数值估计,得到各待映射的漏洞描述对应的估计结果;
通过对各待映射的漏洞描述对应的估计结果进行统计分析,从多个待映射的漏洞中筛选出与目标网络攻击对应的目标漏洞描述。
在其中一个实施例中,估计模型包括评分模型、概率预测模型,将多个待映射的漏洞描述和目标网络攻击的描述信息输入至估计模型进行数值估计,得到各待映射的漏洞描述对应的估计结果,包括:
将多个待映射的漏洞描述和目标网络攻击的描述信息输入至评分模型进行评分,得到各待映射的漏洞描述对应的评分结果;
将多个待映射的漏洞描述和目标网络攻击的描述信息输入至概率预测模型进行概率预测,得到各待映射的漏洞描述对应的概率预测结果;
根据各待映射的漏洞描述对应的评分结果和各待映射的漏洞描述对应的概率预测结果,确定各待映射的漏洞描述对应的估计结果。
在其中一个实施例中,通过对各待映射的漏洞描述对应的估计结果进行统计分析,从多个待映射的漏洞中筛选出与目标网络攻击对应的目标漏洞描述,包括:
根据各待映射的漏洞描述对应的评分结果对多个待映射的漏洞描述进行筛选,得到包括漏洞描述的第一集合;
根据各待映射的漏洞描述对应的概率预测结果对多个待映射的漏洞描述进行筛选,得到包括漏洞描述的第二集合;
将第一集合和第二集合之间的交集确定为目标集合;
将目标集合中包含的漏洞描述作为与目标网络攻击对应的目标漏洞描述。
在其中一个实施例中,映射模型还包括映射分类器,通过对各待映射的漏洞描述对应的估计结果进行统计分析,从多个待映射的漏洞中筛选出与目标网络攻击对应的目标漏洞描述,包括:
将各待映射的漏洞描述对应的估计结果,输入至映射分类器进行统计分析,得到与目标网络攻击对应的目标漏洞描述。
在其中一个实施例中,方法还包括:
对各待映射的漏洞描述进行第一向量化处理,得到向量化后的漏洞描述;
对目标网络攻击的描述信息进行第一向量化处理,得到向量化后的描述信息;
将多个待映射的漏洞描述和目标网络攻击的描述信息输入至估计模型进行数值估计,得到各待映射的漏洞描述对应的估计结果,包括:
将向量化后的漏洞描述和向量化后的描述信息输入至估计模型进行数值估计,得到各待映射的漏洞描述对应的估计结果。
在其中一个实施例中,方法还包括:对初始估计模型和初始概率预测模型进行训练;对初始估计模型进行训练的方法,包括:
获取多个漏洞描述的样本,以及网络攻击的样本;
对各漏洞描述的样本进行第一向量化处理,得到多个第一漏洞向量样本,并对各第一漏洞向量样本进行分值标注,得到对应的第一漏洞标签样本;
对网络攻击的样本进行第一向量化处理,得到第一攻击向量样本;
根据第一漏洞标签样本和第一攻击向量样本对初始估计模型进行训练,得到训练后的估计模型。
在其中一个实施例中,对初始概率预测模型进行训练的方法,包括:
获取多个漏洞描述的样本,以及网络攻击的样本;
对各漏洞描述的样本进行第二向量化处理,得到多个第二漏洞向量样本,并对各第二漏洞向量样本进行分值标注,得到对应的第一漏洞标签样本;
对网络攻击的样本进行第一向量化处理,得到第一攻击向量样本;
根据第二漏洞标签样本和第一攻击向量样本对初始概率预测模型进行训练,得到训练后的概率预测模型。
第二方面,本申请还提供了一种网络攻击的映射装置。所述装置包括:
获取模块,用于获取目标网络攻击的描述信息;
映射模块,用于将目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述;目标网络攻击与目标漏洞描述之间的映射关系用于确定目标网络攻击的属性。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取目标网络攻击的描述信息;
将所述目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述;预先训练好的映射模型用于确定目标网络攻击的属性。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取目标网络攻击的描述信息;
将所述目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述;预先训练好的映射模型用于确定目标网络攻击的属性。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
获取目标网络攻击的描述信息;
将所述目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述;预先训练好的映射模型用于确定目标网络攻击的属性。
上述网络攻击的映射方法、计算机设备和存储介质。所述方法包括:获取目标网络攻击的描述信息,将目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述;预先训练好的映射模型用于确定目标网络攻击的属性。上述方法在获取到目标网络攻击的描述信息后,基于预先训练好的映射模型确定与目标网络攻击对应的目标漏洞描述,也就是说,上述方法将静态的漏洞描述与实时的网络攻击进行了关联,能够实现将静态的漏洞描述与实时的网络攻击进行映射,从而能够在进行网络攻击分析时用静态的漏洞描述管理网络攻击,以更好的判断网络攻击行为的危害性和有效性。
附图说明
图1为一个实施例中网络攻击的映射方法的应用环境图;
图2为一个实施例中网络攻击的映射方法的流程示意图;
图3为图2实施例中S202步骤的流程示意图;
图4为图3实施例中S302步骤的流程示意图;
图5为图3实施例中S303步骤的流程示意图;
图6为图2实施例中S202步骤的另一个流程示意图;
图7为图2实施例中S202步骤中训练估计模型的流程示意图;
图8为图2实施例中S202步骤中训练概率预测模型的流程示意图;
图9为另一个实施例中网络攻击的映射方法的流程示意图;
图10为一个实施例中网络攻击的映射装置的结构框图;
图11为一个实施例中网络攻击的映射装置的结构框图;
图12为一个实施例中网络攻击的映射装置的结构框图;
图13为一个实施例中网络攻击的映射系统的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
公共漏洞和暴露(Common Vulnerabilities and Exposures,CVE)是信息安全界内有关漏洞的一个标准,为漏洞提供标准化的描述信息。对抗性战术、技术以及公共知识库(Adversarial Tactics,Techniques,and Common Knowledge,ATT&CK)是一个网络攻击中涉及的绝大部分已知策略和技术的知识库,包含200多种攻击者可能会在攻击过程中使用的技术框架。
CVE通常属于资产固有的静态属性,而ATT&CK通常来源于实时安全事件日志中检测出的攻击技术。将CVE与ATT&CK进行关联映射后,即将资产静态的安全漏洞与实时的攻击行为进行了关联,可以更好地判断攻击行为的危害性和有效性。因此,将CVE与ATT&CK进行关联映射成为当下网络技术中亟待解决的技术问题。本方案旨在解决该问题。
在上述介绍完本申请实施例提供的网络攻击的映射方法的背景技术之后,下面,将对本申请实施例提供的网络攻击的映射方法所涉及到的实施环境进行简要说明。本申请实施例提供的网络攻击的映射方法,可以应用于如图1所示的计算机设备中。该计算机设备包括通过系统总线连接的处理器、存储器,该存储器中存储有计算机程序,处理器执行该计算机程序时可以执行下述方法实施例的步骤。可选的,该计算机设备还可以包括输入/输出接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器,该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于与外部的终端通过网络连接通信。可选的,该计算机设备可以是服务器,可以是个人计算机,还可以是个人数字助理,还可以是其他的终端设备,例如平板电脑、手机等等,还可以是云端或者远程服务器,本申请实施例对计算机设备的具体形式并不做限定。
本领域技术人员可以理解,图1中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的终端可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
上述介绍了本申请实施例提供的网络攻击的映射方法的应用场景后,下面重点介绍本申请所述的网络攻击的映射方法。
在一个实施例中,如图2所示,提供了一种网络攻击的映射方法,以该方法应用于图1中的计算机设备为例进行说明,包括以下步骤:
S201、获取目标网络攻击的描述信息。
其中,目标网络攻击的描述信息包括目标网络攻击中关于战术、技术和过程的描述,或者攻击者在网络攻击中使用的战术、技术和过程的描述。
本申请实施例中,在对目标网络攻击进行分析之前,计算机设备需要获取目标网络攻击的描述信息;可选的,可以从互联网获取第三方平台的目标网络攻击的描述信息。
S202、将目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述。
其中,预先训练好的映射模型用于确定目标网络攻击的属性,预先训练好的映射模型中包括目标网络攻击与目标漏洞描述之间的映射关系。
其中,漏洞描述是信息安全界有关漏洞的一个标准,为漏洞提供标准化的描述信息;目标漏洞描述是目标网络攻击在漏洞描述中对应的一个标准化的描述信息。
本申请实施例中,在上述实施例获取到目标网络攻击的描述信息后,计算机设备将目标网络攻击的描述信息输入至预选训练好的映射模型中进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述;可选的,将目标网络攻击的描述信息输入至包括目标网络攻击与目标漏洞描述之间的映射关系的预先训练好的映射模型中进行目标网络攻击的映射处理,得到目标网络攻击对应的目标漏洞描述,该目标漏洞描述用于表征目标网络攻击的属性。
本申请实施例提供的网络攻击的映射方法,先获取目标网络攻击的描述信息,再将目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述;预先训练好的映射模型用于确定目标网络攻击的属性。上述方法在获取到目标网络攻击的描述信息后,基于预先训练好的映射模型确定与目标网络攻击对应的目标漏洞描述,也就是说,上述方法将静态的漏洞描述与实时的网络攻击进行了关联,能够实现将静态的漏洞描述与实时的网络攻击进行映射,从而能够在进行网络攻击分析时用静态的漏洞描述管理网络攻击,以更好的判断网络攻击行为的危害性和有效性。
在一个实施例中,在图2所示实施例的基础上,映射模型包括估计模型,可以对将目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述的过程进行描述,如图3所示,上述S202“将目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述”,包括:
S301、获取多个待映射的漏洞描述。
其中,多个待映射的漏洞描述为目标网络攻击的描述信息提供备选项;待映射的漏洞描述包括漏洞编号和漏洞描述信息,例如,一个待映射的漏洞描述可以表示为:cve_2019_15976:A vulnerability in the web management interface of Cisco AsyncOSSoftware for Cisco Web Security Appliance(WSA)could allow an authenticated,remote attacker to perform an unauthorized system reset on an affecteddevice.The vulnerability is due to improper authorization controls for aspecific URL in the web management interface.An attacker could exploit thisvulnerability by sending a crafted HTTP request to an affected device.Asuccessful exploit could have a twofold impact:the attacker could eitherchange the administrator password,gaining privileged access,or reset thenetwork configuration details,causing a denial of service(DoS)condition.Inboth scenarios,manual intervention is required to restore normal operations.
本申请实施例中,计算机设备可以从漏洞扫描系统中获取多个待映射的漏洞描述,也可以从互联网获取第三方平台的多个待映射的漏洞描述。
S302、将多个待映射的漏洞描述和目标网络攻击的描述信息输入至估计模型进行数值估计,得到各待映射的漏洞描述对应的估计结果。
其中,估计模型是预先训练好的用于估计目标网络攻击的描述信息分别与各待映射的漏洞描述的相似度的模型。
本申请实施例中,在上述获取到多个待映射的漏洞描述和目标网络攻击的描述信息后,可以将获取到的多个待映射的漏洞描述和目标网络攻击的描述信息输入至预先训练好的估计模型中,进行目标网络攻击的描述信息分别与各待映射的漏洞描述的相似度数值估计,得到各待映射的漏洞描述对应的估计结果。可选的,各待映射的漏洞描述对应的估计结果可以是目标网络攻击的描述信息分别与各待映射的漏洞描述的相似度,用百分比表示,例如,目标网络攻击的描述信息与待映射的漏洞描述1的相似度为30%,目标网络攻击的描述信息与待映射的漏洞描述2的相似度为50%,目标网络攻击的描述信息与待映射的漏洞描述3的相似度为20%。
下面提供一种将多个待映射的漏洞描述和目标网络攻击的描述信息输入至估计模型进行数值估计,得到各待映射的漏洞描述对应的估计结果的实施方式,估计模型包括评分模型和概率预测模型,如图4所示,即上述S302“将多个待映射的漏洞描述和目标网络攻击的描述信息输入至估计模型进行数值估计,得到各待映射的漏洞描述对应的估计结果”,包括:
S401、将多个待映射的漏洞描述和目标网络攻击的描述信息输入至评分模型进行评分,得到各待映射的漏洞描述对应的评分结果。
其中,评分模型是预先训练好的用于评估目标网络攻击的描述信息分别与各待映射的漏洞描述的相似度数值的模型。
本申请实施例中,在上述获取到多个待映射的漏洞描述和目标网络攻击的描述信息后,可以将获取到的多个待映射的漏洞描述和目标网络攻击的描述信息输入至预先训练好的评分模型中,进行目标网络攻击的描述信息分别与各待映射的漏洞描述的相似度数值的评分,得到各待映射的漏洞描述对应的评分结果。可选的,可以先将多个待映射的漏洞描述和目标网络攻击的描述信息映射到一个维度为预设字典长度的向量里,分别得到漏洞描述向量vector_cve和目标网络攻击向量vector_ttp,再基于余弦相似度算法分别对各漏洞描述向量vector_cve和目标网络攻击向量vector_ttp的相似度进行评分,进而得到各待映射的漏洞描述对应的评分结果。需要说明的是,预设字典长度为目标网络攻击的描述信息中重要度前20个词的长度。
S402、将多个待映射的漏洞描述和目标网络攻击的描述信息输入至概率预测模型进行概率预测,得到各待映射的漏洞描述对应的概率预测结果。
其中,概率预测模型是预先训练好的用于预测目标网络攻击的描述信息分别与各待映射的漏洞描述的相似度数值的模型。
本申请实施例中,在上述获取到多个待映射的漏洞描述和目标网络攻击的描述信息后,可以将获取到的多个待映射的漏洞描述和目标网络攻击的描述信息输入至预先训练好的概率预测模型中,进行目标网络攻击的描述信息分别与各待映射的漏洞描述的相似度概率预测,得到各待映射的漏洞描述对应的概率预测结果。可选的,可以先基于概率预测模型对多个待映射的漏洞描述和目标网络攻击的描述信息进行分类,得到各待映射的漏洞描述分别与目标网络攻击的描述信息的概率,即各待映射的漏洞描述对应的概率预测结果。
S403、根据各待映射的漏洞描述对应的评分结果和各待映射的漏洞描述对应的概率预测结果,确定各待映射的漏洞描述对应的估计结果。
本申请实施例中,在上述获取到各待映射的漏洞描述对应的评分结果和各待映射的漏洞描述对应的概率预测结果后,可以对各待映射的漏洞描述对应的评分结果和各待映射的漏洞描述对应的概率预测结果分别进行累积和处理,得到各待映射的漏洞描述对应的估计结果;可选的,可以根据预设权重模型一对各待映射的漏洞描述对应的评分结果进行处理,得到处理结果一,并根据预设权重模型二对各待映射的漏洞描述对应的概率预测结果,得到处理结果二,然后根据处理结果一和处理结果二得到各待映射的漏洞描述对应的估计结果。
S303、通过对各待映射的漏洞描述对应的估计结果进行统计分析,从多个待映射的漏洞中筛选出与目标网络攻击对应的目标漏洞描述。
本申请实施例中,在上述获取到各待映射的漏洞描述对应的估计结果后,计算机设备可以对各待映射的漏洞描述对应的估计结果进行数值统计分析,并从各待映射的漏洞描述对应的估计结果中根据预设的筛选规则筛选出与目标网络攻击相似度最高的目标漏洞描述。可选的,在获取到各待映射的漏洞描述对应的估计结果后,计算机设备可以对从各待映射的漏洞描述对应的估计结果中选择与目标网络攻击相似度最高的目标漏洞描述,例如,目标网络攻击的描述信息与待映射的漏洞描述1的相似度为30%,目标网络攻击的描述信息与待映射的漏洞描述2的相似度为50%,目标网络攻击的描述信息与待映射的漏洞描述3的相似度为20%,那么,与目标网络攻击相似度最高的目标漏洞描述为待映射的漏洞描述2。
下面提供两种通过对各待映射的漏洞描述对应的估计结果进行统计分析,从多个待映射的漏洞中筛选出与目标网络攻击对应的目标漏洞描述的实施方式:
实施例一、如图5所示,上述S303“通过对各待映射的漏洞描述对应的估计结果进行统计分析,从多个待映射的漏洞中筛选出与目标网络攻击对应的目标漏洞描述”,包括:
S501、根据各待映射的漏洞描述对应的评分结果对多个待映射的漏洞描述进行筛选,得到包括漏洞描述的第一集合。
本申请实施例中,在上述获取到各待映射的漏洞描述对应的评分结果后,根据各待映射的漏洞描述对应的评分结果对多个待映射的漏洞描述进行筛选,主要筛选评分结果较高的各待映射的漏洞描述,并将评分结果较高的各待映射的漏洞描述作为漏洞描述的第一集合。
S502、根据各待映射的漏洞描述对应的概率预测结果对多个待映射的漏洞描述进行筛选,得到包括漏洞描述的第二集合。
本申请实施例中,在上述获取到各待映射的漏洞描述对应的概率预测结果后,根据各待映射的漏洞描述对应的概率预测结果对多个待映射的漏洞描述进行筛选,主要筛选概率预测结果较高的各待映射的漏洞描述,并将概率预测结果较高的各待映射的漏洞描述作为漏洞描述的第二集合。
S503、将第一集合和第二集合之间的交集确定为目标集合。
本申请实施例中,在上述获取到漏洞描述的第一集合和漏洞描述的第二集合之后,将漏洞描述的第一集合和漏洞描述的第二集合的交集作为漏洞描述的目标集合。
S504、将目标集合中包含的漏洞描述作为与目标网络攻击对应的目标漏洞描述。
本申请实施例中,在上述获取到漏洞描述的目标集合之后,将目标集合中的漏洞描述作为与目标网络攻击对应的目标漏洞描述。例如,根据概率预测模型预测的分类结果,得到多个待映射的漏洞描述的标签集合一为[T1489,T1068,T1437.001],根据评分模型的评分结果,得到多个待映射的漏洞描述的标签集合二为[T1556,...,T1489,T1068,...,T1437.001,...],对标签集合一和标签集合二取交集,得到目标标签集合[T1489,T1068,T1437.001],并将目标标签集合对应的目标漏洞描述作为与目标网络攻击对应的目标漏洞描述。
实施例二、映射模型还包括映射分类器,上述S303“通过对各待映射的漏洞描述对应的估计结果进行统计分析,从多个待映射的漏洞中筛选出与目标网络攻击对应的目标漏洞描述”,包括:
将各待映射的漏洞描述对应的估计结果,输入至映射分类器进行统计分析,得到与目标网络攻击对应的目标漏洞描述。
其中,映射分类器用于对各所述待映射的漏洞描述对应的评分结果,以及各待映射的漏洞描述对应的概率预测结果进行综合评估,进而得到与目标网络攻击对应的目标漏洞描述。
本申请实施例中,在上述获取到各所述待映射的漏洞描述对应的评分结果和各待映射的漏洞描述对应的概率预测结果之后,可以将各所述待映射的漏洞描述对应的评分结果和各待映射的漏洞描述对应的概率预测结果输入至预设的映射分类器进行统计分析,得到与目标网络攻击对应的目标漏洞描述。例如,根据概率预测模型预测的分类结果,得到多个待映射的漏洞描述的标签集合一为[T1489,T1068,T1437.001],设定k1=0.5,k2=0.8,根据评分模型计算待映射的漏洞描述与多个目标网络攻击的描述信息的相似度,并将各相似度按照相似度值进行排序,得到序列[T1556,...,T1489,T1068,...,T1437.001,...],且P(T1556)>0.8,0.5<P(T1556)<0.8,0.5<P(T1489)<0.8,P(1437.001)<0.5,那么映射分类器的分类结果为[T1556,T1489,T1068]。
本申请实施例提供的网络攻击的映射方法,在获取到多个待映射的漏洞描述和目标网络攻击的描述信息后,基于估计模型对多个待映射的漏洞描述和目标网络攻击的描述信息进行数值估计,并对估计结果进行统计分析,进而使得可以从多个待映射的漏洞中筛选出与目标网络攻击对应的目标漏洞描述,进一步实现将静态的漏洞描述与实时的网络攻击进行映射,从而能够在进行网络攻击分析时用静态的漏洞描述管理网络攻击,以更好的判断网络攻击行为的危害性和有效性。
在一个实施例中,在图3所示实施例的基础上,如图6所示,上述方法还包括:
S304、对各待映射的漏洞描述进行第一向量化处理,得到向量化后的漏洞描述。
其中,第一向量化处理是先使用词频-逆文本频率(Term Frequency–InverseDocument Frequency,TF-IDF)算法计算各描述信息的TF-IDF值,再根据重要性程度选择前20个描述信息的TF-IDF值作为20维向量。
本申请实施例中,计算机设备上安装有对信息进行第一向量化处理的程序,在获取到各待映射的漏洞描述后,计算机设备会调用该第一向量化处理程序对获取到的各待映射的漏洞描述进行第一向量化处理,进而得到向量化后的漏洞描述。示例性的,计算机设备会调用第一向量化处理程序先使用词频-逆文本频率(Term Frequency–Inverse DocumentFrequency,TF-IDF)算法计算各漏洞描述的TF-IDF值,再根据重要性程度选择前20个漏洞描述信息的TF-IDF值作为20维向量,该20维向量即为向量化后的漏洞描述。
S305、对目标网络攻击的描述信息进行第一向量化处理,得到向量化后的描述信息。
本申请实施例中,计算机设备上安装有对信息进行第一向量化处理的程序,在获取到目标网络攻击的描述信息后,计算机设备会调用该第一向量化处理程序对获取到的目标网络攻击的描述信息进行第一向量化处理,进而得到向量化后的描述信息。示例性的,计算机设备会调用第一向量化处理程序先使用词频-逆文本频率(Term Frequency–InverseDocument Frequency,TF-IDF)算法计算各目标网络攻击的描述信息的TF-IDF值,再根据重要性程度选择前20个目标网络攻击的描述信息的TF-IDF值作为20维向量,该20维向量即为向量化后的描述信息。
进一步的,S302将多个待映射的漏洞描述和目标网络攻击的描述信息输入至估计模型进行数值估计,得到各待映射的漏洞描述对应的估计结果,包括:
S302、将向量化后的漏洞描述和向量化后的描述信息输入至估计模型进行数值估计,得到各待映射的漏洞描述对应的估计结果。
本申请实施例中,在上述获取到向量化后的漏洞描述和向量化后的描述信息后,可以将获取到的向量化后的漏洞描述和向量化后的描述信息输入至预先训练好的估计模型中,进行目标网络攻击的描述信息分别与各待映射的漏洞描述的相似度数值估计,得到各待映射的漏洞描述对应的估计结果。
本申请实施例提供的网络攻击的映射方法,下分别对各待映射的漏洞描述和目标网络攻击的描述信息进行向量化处理,再将向量化处理后的结果输入至估计模型进行数值估计,进而得到估计结果,由于分别对各待映射的漏洞描述和目标网络攻击的描述信息进行了向量化处理,从而使得估计结果更加准确,为最终确定出的与目标网络攻击对应的目标漏洞描述更加准确。
在一个实施例中,在图3所示实施例的基础上,上述方法还包括:对初始估计模型和初始概率预测模型进行训练;其中,如图7所示,对初始估计模型进行训练的方法,包括:
S601、获取多个漏洞描述的样本,以及网络攻击的样本。
其中,漏洞描述的样本为漏洞描述信息中带有TTPid标签的数据信息的样本,网络攻击的样本为网络攻击中关于战术、技术和过程描述的样本,或者攻击者在网络攻击中使用的战术、技术和过程描述的样本。
本申请实施例中,在对初始估计模型进行训练之前,计算机设备需要从漏洞扫描系统获取多个漏洞描述的样本,以及网络攻击的样本;或者,从互联网获取第三方平台获取多个漏洞描述的样本,以及网络攻击的样本。
S602、对各漏洞描述的样本进行第一向量化处理,得到多个第一漏洞向量样本,并对各第一漏洞向量样本进行分值标注,得到对应的第一漏洞标签样本。
本申请实施例中,计算机设备上安装有处理描述信息的第一向量化处理程序,在上述获取到各漏洞描述的样本后,计算机设备会调用第一向量化处理程序对获取到的各漏洞描述的样本进行第一向量化处理,进而得到多个第一漏洞向量样本,再对漏洞描述的样本中漏洞描述信息的TTPid标签以one-hot方式进行编码从而实现向量化,得到向量化后的标签,并使用向量化后的标签作为漏洞描述信息新的TTPid标签,即各漏洞描述的样本对应的第一漏洞标签样本。
S603、对网络攻击的样本进行第一向量化处理,得到第一攻击向量样本。
本申请实施例中,计算机设备上安装有对信息进行第一向量化处理的程序,在获取到网络攻击的样本后,计算机设备会调用该第一向量化处理程序对网络攻击的样本进行第一向量化处理,进而得到第一攻击向量样本。示例性的,计算机设备会调用第一向量化处理程序先使用词频-逆文本频率(Term Frequency–Inverse Document Frequency,TF-IDF)算法计算对网络攻击的样本的TF-IDF值,再根据重要性程度选择前20个网络攻击样本的TF-IDF值作为20维向量,该20维向量即第一攻击向量样本。
S604、根据第一漏洞标签样本和第一攻击向量样本对初始估计模型进行训练,得到训练后的估计模型。
本申请实施例中,计算机设备上安装有初始估计模型的程序,在上述获取到第一漏洞标签样本和第一攻击向量样本之后,计算机设备会调用其上安装的初始估计模型的程序对第一漏洞标签样本和第一攻击向量样本进行训练,在训练结果满足预设的条件后,得到训练后的估计模型。
本申请实施例提供的对初始估计模型进行训练的方法,先对漏洞描述的样本和网络攻击的样本进行向量化,再基于向量化后的样本和预设的初始估计模型,确定训练后的估计模型,这使得训练后的估计模型更加准确,从而为后续根据训练后的估计模型确定估计结果的准确度奠定基础。
在一个实施例中,在图7所示实施例的基础上,如图8所示,对初始概率预测模型进行训练的方法,包括:
S701、获取多个漏洞描述的样本,以及网络攻击的样本。
其中,漏洞描述的样本为漏洞描述信息中带有TTPid标签的数据信息的样本,网络攻击的样本为网络攻击中关于战术、技术和过程描述的样本,或者攻击者在网络攻击中使用的战术、技术和过程描述的样本。
本申请实施例中,在对初始估计模型进行训练之前,计算机设备需要从漏洞扫描系统获取多个漏洞描述的样本,以及网络攻击的样本;或者,从互联网获取第三方平台获取多个漏洞描述的样本,以及网络攻击的样本。
S702、对各漏洞描述的样本进行第二向量化处理,得到多个第二漏洞向量样本,并对各第二漏洞向量样本进行分值标注,得到对应的第一漏洞标签样本。
其中,第二向量化处理是使用通用模型(USE)算法将各漏洞描述的样本转换为512维的向量。
本申请实施例中,计算机设备上安装有处理描述信息的第二向量化处理程序,在上述获取到各漏洞描述的样本后,计算机设备会调用第二向量化处理程序对获取到的各漏洞描述的样本进行第二向量化处理,进而得到多个第二漏洞向量样本,再对漏洞描述的样本中漏洞描述信息的TTPid标签以one-hot方式进行编码从而实现向量化,得到向量化后的标签,并使用向量化后的标签作为漏洞描述信息新的TTPid标签,即各漏洞描述的样本对应的第一漏洞标签样本。
S703、对网络攻击的样本进行第一向量化处理,得到第一攻击向量样本。
本申请实施例中,计算机设备上安装有对信息进行第一向量化处理的程序,在获取到网络攻击的样本后,计算机设备会调用该第一向量化处理程序对网络攻击的样本进行第一向量化处理,进而得到第一攻击向量样本。示例性的,计算机设备会调用第一向量化处理程序先使用词频-逆文本频率(Term Frequency–Inverse Document Frequency,TF-IDF)算法计算对网络攻击的样本的TF-IDF值,再根据重要性程度选择前20个网络攻击样本的TF-IDF值作为20维向量,该20维向量即第一攻击向量样本。
S704、根据第二漏洞标签样本和第一攻击向量样本对初始概率预测模型进行训练,得到训练后的概率预测模型。
本申请实施例中,计算机设备上安装有初始估计模型的程序,在上述获取到第二漏洞标签样本和第一攻击向量样本之后,计算机设备会调用其上安装的初始估计模型的程序对第二漏洞标签样本和第一攻击向量样本进行训练,在训练结果满足预设的条件后,得到训练后的估计模型。
本申请实施例提供的对初始估计模型进行训练的方法,先对漏洞描述的样本和网络攻击的样本进行向量化,再基于向量化后的样本和预设的初始估计模型,确定训练后的估计模型,这使得训练后的估计模型更加准确,从而为后续根据训练后的估计模型确定估计结果的准确度奠定基础。
在一个综合实施例中,如图9所示,提供了一种完整的网络攻击的映射方法,包括:
S10、获取目标网络攻击的描述信息;
S11、获取多个待映射的漏洞描述;
S12、对各待映射的漏洞描述进行第一向量化处理,得到向量化后的漏洞描述;
S13、对目标网络攻击的描述信息进行第一向量化处理,得到向量化后的描述信息;
S14、将向量化后的漏洞描述和向量化后的描述信息输入至评分模型进行评分,得到各待映射的漏洞描述对应的评分结果;
S15、将向量化后的漏洞描述和向量化后的描述信息输入至概率预测模型进行概率预测,得到各待映射的漏洞描述对应的概率预测结果;
S16、根据各待映射的漏洞描述对应的评分结果对所述多个待映射的漏洞描述进行筛选,得到包括漏洞描述的第一集合;
S17、根据各所述待映射的漏洞描述对应的概率预测结果对所述多个待映射的漏洞描述进行筛选,得到包括漏洞描述的第二集合;
S18、将第一集合和第二集合之间的交集确定为目标集合;
S19、将目标集合中包含的漏洞描述作为与目标网络攻击对应的目标漏洞描述。
本申请实施例提供的网络攻击的映射方法,先获取目标网络攻击的描述信息,再将目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述;预先训练好的映射模型用于确定目标网络攻击的属性。上述方法在获取到目标网络攻击的描述信息后,基于预先训练好的映射模型确定与目标网络攻击对应的目标漏洞描述,也就是说,上述方法将静态的漏洞描述与实时的网络攻击进行了关联,能够实现将静态的漏洞描述与实时的网络攻击进行映射,从而能够在进行网络攻击分析时用静态的漏洞描述管理网络攻击,以更好的判断网络攻击行为的危害性和有效性。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的网络攻击的映射方法的网络攻击的映射装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个网络攻击的映射装置实施例中的具体限定可以参见上文中对于网络攻击的映射方法的限定,在此不再赘述。
在一个实施例中,如图10所示,提供了一种网络攻击的映射装置,包括:获取模块10、映射模块11,其中:
获取模块10,用于获取目标网络攻击的描述信息。
映射模块11,用于将目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与目标网络攻击对应的目标漏洞描述;预先训练好的映射模型用于确定目标网络攻击的属性。
在一个实施例中,上述映射模型包括估计模型,如图11所示,上述映射模块11,包括:获取单元110、输入单元111和分析单元112,其中:
获取单元110,具体用于获取多个待映射的漏洞描述;
输入单元111,具体用于将多个待映射的漏洞描述和目标网络攻击的描述信息输入至估计模型进行数值估计,得到各待映射的漏洞描述对应的估计结果;
分析单元112,具体用于通过对各待映射的漏洞描述对应的估计结果进行统计分析,从多个待映射的漏洞中筛选出与目标网络攻击对应的目标漏洞描述。
在一个实施例中,上述估计模型包括评分模型、概率预测模型,上述输入单元111,具体用于将多个待映射的漏洞描述和目标网络攻击的描述信息输入至评分模型进行评分,得到各待映射的漏洞描述对应的评分结果;将多个待映射的漏洞描述和目标网络攻击的描述信息输入至概率预测模型进行概率预测,得到各待映射的漏洞描述对应的概率预测结果;根据各待映射的漏洞描述对应的评分结果和各待映射的漏洞描述对应的概率预测结果,确定各待映射的漏洞描述对应的估计结果。
在一个实施例中,上述分析单元112,具体用于根据各待映射的漏洞描述对应的评分结果对多个待映射的漏洞描述进行筛选,得到包括漏洞描述的第一集合;根据各待映射的漏洞描述对应的概率预测结果对多个待映射的漏洞描述进行筛选,得到包括漏洞描述的第二集合;将第一集合和第二集合之间的交集确定为目标集合;将目标集合中包含的漏洞描述作为与目标网络攻击对应的目标漏洞描述。
在一个实施例中,上述映射模型还包括映射分类器,上述分析单元112,具体用于将各待映射的漏洞描述对应的估计结果,输入至映射分类器进行统计分析,得到与目标网络攻击对应的目标漏洞描述。
在一个实施例中,如图12所示,上述映射模块11,还包括:第一处理单元113和第二处理单元114,其中:
第一处理单元113,具体用于对各待映射的漏洞描述进行第一向量化处理,得到向量化后的漏洞描述;
第二处理单元114,具体用于对目标网络攻击的描述信息进行第一向量化处理,得到向量化后的描述信息;
输入单元111,具体同于将向量化后的漏洞描述和向量化后的描述信息输入至估计模型进行数值估计,得到各待映射的漏洞描述对应的估计结果。
在一个实施例中,上述映射模块11,还用于对初始估计模型和初始概率预测模型进行训练,其中,对初始估计模型进行训练的方法,包括:获取多个漏洞描述的样本,以及网络攻击的样本;对各漏洞描述的样本进行第一向量化处理,得到多个第一漏洞向量样本,并对各第一漏洞向量样本进行分值标注,得到对应的第一漏洞标签样本;对网络攻击的样本进行第一向量化处理,得到第一攻击向量样本;根据第一漏洞标签样本和第一攻击向量样本对初始估计模型进行训练,得到训练后的估计模型。
在一个实施例中,上述映射模块11,具体用于对初始估计模型和初始概率预测模型进行训练,其中,对初始概率预测模型进行训练的方法,包括:获取多个漏洞描述的样本,以及网络攻击的样本;对各漏洞描述的样本进行第二向量化处理,得到多个第二漏洞向量样本,并对各第二漏洞向量样本进行分值标注,得到对应的第一漏洞标签样本;对网络攻击的样本进行第一向量化处理,得到第一攻击向量样本;根据第二漏洞标签样本和第一攻击向量样本对初始概率预测模型进行训练,得到训练后的概率预测模型。
上述网络攻击的映射装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种网络攻击的映射系统,如图13所示,上述网络攻击的映射系统包括:采集模块、预处理模块、存储模块、向量化模块、概率预测模块、评分模块和映射分类器。其中,采集模块从漏洞扫描系统采集待映射的漏洞描述,或者从互联网获取第三方平台的待映射的漏洞描述;预处理模块用于对采集到的待映射的漏洞描述进行格式化处理,例如,提取漏洞编号、漏洞描述信息等;存储模块用于对采集到的待映射的漏洞描述,以及格式化处理后的待映射的漏洞描述进行存储;向量化模块用于对待映射的漏洞描述信息进行向量化,包括:对待映射的漏洞描述信息使用通用句子编码(USE)算法进行向量化,对待映射的漏洞描述信息使用词频-逆向文件频率算法进行向量化;概率预测模块用于对向量化后的待映射的漏洞描述进行预测处理;评分模块用于对向量化后的待映射的漏洞描述进行评分处理;映射分类器用于对预测处理结果和评分处理结果进行综合性评估,给出最终的映射结果。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图1所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)和通信接口。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储漏洞描述数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络攻击的映射方法。
本领域技术人员可以理解,图1中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种网络攻击的映射方法,其特征在于,所述方法包括:
获取目标网络攻击的描述信息;
将所述目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与所述目标网络攻击对应的目标漏洞描述;所述预先训练好的映射模型用于确定所述目标网络攻击的属性。
2.根据权利要求1所述的方法,其特征在于,所述映射模型包括估计模型,所述将所述目标网络攻击的描述信息输入至预先训练好的映射模型进行目标网络攻击的映射处理,得到与所述目标网络攻击对应的目标漏洞描述,包括:
获取多个待映射的漏洞描述;
将所述多个待映射的漏洞描述和所述目标网络攻击的描述信息输入至所述估计模型进行数值估计,得到各所述待映射的漏洞描述对应的估计结果;
通过对各所述待映射的漏洞描述对应的估计结果进行统计分析,从所述多个待映射的漏洞中筛选出与所述目标网络攻击对应的目标漏洞描述。
3.根据权利要求2所述的方法,其特征在于,所述估计模型包括评分模型、概率预测模型,所述将所述多个待映射的漏洞描述和所述目标网络攻击的描述信息输入至所述估计模型进行数值估计,得到各所述待映射的漏洞描述对应的估计结果,包括:
将所述多个待映射的漏洞描述和所述目标网络攻击的描述信息输入至所述评分模型进行评分,得到各所述待映射的漏洞描述对应的评分结果;
将所述多个待映射的漏洞描述和所述目标网络攻击的描述信息输入至所述概率预测模型进行概率预测,得到各所述待映射的漏洞描述对应的概率预测结果;
根据各所述待映射的漏洞描述对应的评分结果和各所述待映射的漏洞描述对应的概率预测结果,确定各所述待映射的漏洞描述对应的估计结果。
4.根据权利要求2所述的方法,其特征在于,所述通过对各所述待映射的漏洞描述对应的估计结果进行统计分析,从所述多个待映射的漏洞中筛选出与所述目标网络攻击对应的目标漏洞描述,包括:
根据各所述待映射的漏洞描述对应的评分结果对所述多个待映射的漏洞描述进行筛选,得到包括漏洞描述的第一集合;
根据各所述待映射的漏洞描述对应的概率预测结果对所述多个待映射的漏洞描述进行筛选,得到包括漏洞描述的第二集合;
将所述第一集合和所述第二集合之间的交集确定为目标集合;
将所述目标集合中包含的漏洞描述作为与所述目标网络攻击对应的目标漏洞描述。
5.根据权利要求2或3所述的方法,其特征在于,所述映射模型还包括映射分类器,所述通过对各所述待映射的漏洞描述对应的估计结果进行统计分析,从所述多个待映射的漏洞中筛选出与所述目标网络攻击对应的目标漏洞描述,包括:
将各所述待映射的漏洞描述对应的估计结果,输入至所述映射分类器进行统计分析,得到与所述目标网络攻击对应的目标漏洞描述。
6.根据权利要求2所述的方法,其特征在于,所述方法还包括:
对各所述待映射的漏洞描述进行第一向量化处理,得到向量化后的漏洞描述;
对所述目标网络攻击的描述信息进行所述第一向量化处理,得到向量化后的描述信息;
所述将所述多个待映射的漏洞描述和所述目标网络攻击的描述信息输入至所述估计模型进行数值估计,得到各所述待映射的漏洞描述对应的估计结果,包括:
将所述向量化后的漏洞描述和所述向量化后的描述信息输入至所述估计模型进行数值估计,得到各所述待映射的漏洞描述对应的估计结果。
7.根据权利要求2所述的方法,其特征在于,所述方法还包括:对初始估计模型和初始概率预测模型进行训练;所述对初始估计模型进行训练的方法,包括:
获取多个漏洞描述的样本,以及网络攻击的样本;
对各所述漏洞描述的样本进行第一向量化处理,得到多个第一漏洞向量样本,并对各所述第一漏洞向量样本进行分值标注,得到对应的第一漏洞标签样本;
对所述网络攻击的样本进行第一向量化处理,得到第一攻击向量样本;
根据所述第一漏洞标签样本和所述第一攻击向量样本对所述初始估计模型进行训练,得到训练后的估计模型。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:所述对初始概率预测模型进行训练的方法,包括:
获取多个漏洞描述的样本,以及网络攻击的样本;
对各所述漏洞描述的样本进行第二向量化处理,得到多个第二漏洞向量样本,并对各所述第二漏洞向量样本进行分值标注,得到对应的第一漏洞标签样本;
对所述网络攻击的样本进行第一向量化处理,得到第一攻击向量样本;
根据所述第二漏洞标签样本和所述第一攻击向量样本对所述初始概率预测模型进行训练,得到训练后的概率预测模型。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。
CN202310858115.3A 2023-07-12 2023-07-12 网络攻击的映射方法、计算机设备和存储介质 Pending CN116707998A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310858115.3A CN116707998A (zh) 2023-07-12 2023-07-12 网络攻击的映射方法、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310858115.3A CN116707998A (zh) 2023-07-12 2023-07-12 网络攻击的映射方法、计算机设备和存储介质

Publications (1)

Publication Number Publication Date
CN116707998A true CN116707998A (zh) 2023-09-05

Family

ID=87831256

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310858115.3A Pending CN116707998A (zh) 2023-07-12 2023-07-12 网络攻击的映射方法、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN116707998A (zh)

Similar Documents

Publication Publication Date Title
US20210019674A1 (en) Risk profiling and rating of extended relationships using ontological databases
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
MacDermott et al. Iot forensics: Challenges for the ioa era
Zhu et al. DroidDet: effective and robust detection of android malware using static analysis along with rotation forest model
KR20190109427A (ko) 침입 탐지를 위한 지속적인 학습
US10944791B2 (en) Increasing security of network resources utilizing virtual honeypots
US11503059B2 (en) Predicting a next alert in a pattern of alerts to identify a security incident
CN112863683A (zh) 基于人工智能的病历质控方法、装置、计算机设备及存储介质
US20210136120A1 (en) Universal computing asset registry
CN117061254B (zh) 异常流量检测方法、装置和计算机设备
US20200004905A1 (en) System and methods for complex it process annotation, tracing, analysis, and simulation
CN112099870B (zh) 文档处理方法、装置、电子设备及计算机可读存储介质
Krstić et al. Machine learning applications in computer emergency response team operations
Wang et al. Application research of file fingerprint identification detection based on a network security protection system
CN116707998A (zh) 网络攻击的映射方法、计算机设备和存储介质
US11489877B2 (en) Cybersecurity maturity determination
Kamdem et al. Cyber-risk forecasting using machine learning models and generalized extreme value distributions
Bartoli et al. How phishing pages look like?
Wang et al. Security situational awareness of power information networks based on machine learning algorithms
KR102471731B1 (ko) 사용자를 위한 네트워크 보안 관리 방법
CN115758368B (zh) 恶意破解软件的预测方法、装置、电子设备和存储介质
JP2020119201A (ja) 判定装置、判定方法及び判定プログラム
Robinson Statistical language analysis for automatic exfiltration event detection
CN114816964B (zh) 风险模型构建方法、风险检测方法、装置、计算机设备
Alhindi et al. Preventing Data Loss by Harnessing Semantic Similarity and Relevance.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination