CN117714129A

CN117714129A - 基于攻击树和时序图聚类的最大攻击路径生成方法及装置

Info

Publication number: CN117714129A
Application number: CN202311695436.2A
Authority: CN
Inventors: 陈璐; 陈牧; 李尼格; 王胜; 马媛媛; 周启航; 李勇; 张涛; 戴造建; 方文高; 王腾岩; 卢子昂
Original assignee: State Grid Smart Grid Research Institute Co ltd; State Grid Corp of China SGCC; Electric Power Research Institute of State Grid Sichuan Electric Power Co Ltd; State Grid Beijing Electric Power Co Ltd
Current assignee: State Grid Smart Grid Research Institute Co ltd; State Grid Corp of China SGCC; Electric Power Research Institute of State Grid Sichuan Electric Power Co Ltd; State Grid Beijing Electric Power Co Ltd
Priority date: 2023-12-11
Filing date: 2023-12-11
Publication date: 2024-03-15

Abstract

本发明涉及网络安全技术领域，公开了基于攻击树和时序图聚类的最大攻击路径生成方法及装置，该方法包括：获取原子攻击行为和漏洞的映射表、原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合；根据原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合生成资源导向攻击树；根据映射表以及预设攻击成功概率计算公式确定资源导向攻击树中根节点的攻击概率；根据映射表以及根节点的攻击概率将资源导向攻击树转换成攻击时序图；利用自编码器和自组织映射算法对攻击时序图进行聚类，得到最大攻击路径。本发明解决了攻击路径的生成缺少时序性分析的问题。

Description

基于攻击树和时序图聚类的最大攻击路径生成方法及装置

技术领域

本发明涉及网络安全技术领域，具体涉及基于攻击树和时序图聚类的最大攻击路径生成方法及装置。

背景技术

电力系统源网荷储、智慧能源服务平台、虚拟电厂等新兴业务的发展，提升了电力领域的效率和可持续性，但也扩大了电力系统的网络攻击面。现有技术中，使用攻击树分析潜在攻击路径、对漏洞信息进行聚类和分类构造静态攻击图分析攻击路径等方法没有充分利用漏洞的时序信息，对异常行为的辨识存在一定的滞后性，导致威胁有更多时间潜伏和发展，难以保证电力系统的可靠运行。因此，现有技术中存在攻击路径的生成缺少时序性分析的问题。

发明内容

有鉴于此，本发明提供了基于攻击树和时序图聚类的最大攻击路径生成方法及装置，以解决技术中存在攻击路径的生成缺少时序性分析的问题。

第一方面，本发明提供了一种基于攻击树和时序图聚类的最大攻击路径生成方法，包括：获取原子攻击行为和漏洞的映射表、原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合；根据原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合生成资源导向攻击树；根据映射表以及预设攻击成功概率计算公式确定资源导向攻击树中根节点的攻击概率；根据映射表以及根节点的攻击概率将资源导向攻击树转换成攻击时序图；利用自编码器和自组织映射算法对攻击时序图进行聚类，得到最大攻击路径。

在本发明实施例中，通过构建资源导向攻击树，计算资源导向攻击树中根节点的攻击概率，根据攻击概率以及原子攻击行为和漏洞的映射表将资源导向攻击树转换成攻击时序图，然后利用自编码器和自组织映射算法对攻击时序图进行聚类得到最大攻击路径，实现了考虑原子攻击行为以及漏洞的时序信息的目的，达到了全面理解威胁、优化防御策略的效果，解决了攻击路径的生成缺少时序性分析的问题，有利于为网络安全提供更好的安全决策支持，降低潜在攻击的风险，提高网络安全性以及确保关键基础设施的连续性和可靠性。

在一种可选的实施方式中，原子攻击节点、先决条件集合以及后续操作集合包括资源节点以及原子攻击行为节点，资源节点以及原子攻击行为节点用于区分原子攻击是否涉及资源获取，先决条件集合以及后续操作集合包括集合中节点与原子攻击节点间的顺序关系，根据原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合生成资源导向攻击树，包括：根据原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合构建原子攻击链；基于预设资源节点根据原子攻击链以及顺序关系生成资源导向攻击树。

在本发明实施例中，利用原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合，实现了对原子攻击行为的时序性表示，按照是否涉及资源获取将节点划分为资源节点以及原子攻击行为节点，实现了对节点的分类，从而实现了构建资源导向攻击树的目的

在一种可选的实施方式中，根据映射表以及根节点的攻击概率将资源导向攻击树转换成攻击时序图，包括：利用通用漏洞评分系统根据映射表确定资源导向攻击树中节点的攻击成本；基于预设优化目标及约束条件根据攻击成本、根节点的攻击概率计算资源导向攻击树中资源节点的最优转移概率；根据最优转移概率以及映射表将攻击概率大于预设阈值的资源导向攻击树转换成攻击时序图。

在本发明实施例中，根据攻击概率将资源导向攻击树转换成攻击时序图，实现了对资源导向攻击树的筛选，为后续的聚类操作提供了数据基础。

在一种可选的实施方式中，攻击时序图包括：节点以及连接边，根据最优转移概率以及映射表将攻击概率大于预设阈值的资源导向攻击树转换成攻击时序图，包括：获取映射表中漏洞的时序评分；根据时序评分以及最优转移概率确定连接边的权重；根据连接边的权重生成攻击概率大于预设阈值的攻击时序图对应的邻接矩阵。

在本发明实施例中，利用漏洞的时序评分以及最优转移概率确定攻击时序图的邻接矩阵，实现了对漏洞信息的时序性分析，达到了提高攻击路径生成准确性的效果。

在一种可选的实施方式中，利用自编码器和自组织映射算法对攻击时序图进行聚类，得到最大攻击路径，包括：基于图神经网络以及长短期记忆网络构建自编码器；利用自编码器对邻接矩阵进行降维处理，得到攻击时序图中节点的低维向量表示；将低维向量表示转换成时序三元组；利用自组织映射算法根据时序三元组以及预设距离公式确定攻击时序图中的关键节点，预设距离公式由Canopy聚类算法以及杰卡德距离确定；根据关键节点以及连接边的权重确定最大攻击路径。

在本发明实施例中，利用自编码器和改进的三维SOM自组织映射算法达到了对邻接矩阵进行降维以及聚类的效果，实现了确定关键节点从而生成最大攻击路径的目的。

在一种可选的实施方式中，获取映射表中漏洞的时序评分，包括：获取漏洞公开度、漏洞信息流异常得分以及漏洞基础评分；根据漏洞公开度、漏洞信息流异常得分以及漏洞基础评分的乘积确定漏洞的时序评分。

在本发明实施例中，从漏洞公开度、信息流异常得分以及基础评分多个方面确定漏洞的时序评分，实现了提高漏洞评分可靠性和准确性的目的，达到了提高对异常行为辨识及时性的效果。

在一种可选的实施方式中，获取漏洞公开度、漏洞信息流异常得分以及漏洞基础评分，包括：获取漏洞从发现到公开对应的时间间隔；根据时间间隔、漏洞公开途径影响因子以及漏洞公开详细程度影响因子确定漏洞公开度；从多个特征维度采用孤立森林算法确定漏洞信息流异常得分；基于通用漏洞评分系统确定漏洞基础评分。

在本发明实施例中，从影响方面共同确定漏洞公开度、漏洞信息流异常得分以及漏洞基础评分，达到了进一步提高漏洞时序评分可靠性和准确性的效果。

第二方面，本发明提供了一种基于攻击树和时序图聚类的最大攻击路径生成装置，包括：获取模块，用于获取原子攻击行为和漏洞的映射表、原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合；攻击树生成模块，用于根据原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合生成资源导向攻击树；攻击概率确定模块，用于根据映射表以及预设攻击成功概率计算公式确定资源导向攻击树中根节点的攻击概率；时序图生成模块，用于根据映射表以及根节点的攻击概率将资源导向攻击树转换成攻击时序图；攻击路径得到模块，用于利用自编码器和自组织映射算法对攻击时序图进行聚类，得到最大攻击路径。

在一种可选的实施方式中，原子攻击节点、先决条件集合以及后续操作集合包括资源节点以及原子攻击行为节点，资源节点以及原子攻击行为节点用于区分原子攻击是否涉及资源获取，先决条件集合以及后续操作集合包括集合中节点与原子攻击节点间的顺序关系，攻击树生成模块包括：攻击链构建单元，用于根据原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合构建原子攻击链；攻击树生成单元，用于基于预设资源节点根据原子攻击链以及顺序关系生成资源导向攻击树。

在一种可选的实施方式中，时序图生成模块包括：攻击成本确定单元，用于利用通用漏洞评分系统根据映射表确定资源导向攻击树中节点的攻击成本；转移概率计算单元，用于基于预设优化目标及约束条件根据攻击成本、根节点的攻击概率计算资源导向攻击树中资源节点的最优转移概率；转换单元，用于根据最优转移概率以及映射表将攻击概率大于预设阈值的资源导向攻击树转换成攻击时序图。

在一种可选的实施方式中，攻击时序图包括：节点以及连接边，转换单元包括：获取子单元，用于获取映射表中漏洞的时序评分；权重确定子单元，用于根据时序评分以及最优转移概率确定连接边的权重；领接矩阵生成子单元，用于根据连接边的权重生成攻击概率大于预设阈值的攻击时序图对应的邻接矩阵。

在一种可选的实施方式中，攻击路径得到模块包括：自编码器构建单元，用于基于图神经网络以及长短期记忆网络构建自编码器；降维单元，用于利用自编码器对邻接矩阵进行降维处理，得到攻击时序图中节点的低维向量表示；三元组转换单元，用于将低维向量表示转换成时序三元组；关键节点确定单元，用于利用自组织映射算法根据时序三元组以及预设距离公式确定攻击时序图中的关键节点，预设距离公式由Canopy聚类算法以及杰卡德距离确定；攻击路径确定单元，用于根据关键节点以及连接边的权重确定最大攻击路径。

在一种可选的实施方式中，获取子单元包括：评分获取子模块，用于获取漏洞公开度、漏洞信息流异常得分以及漏洞基础评分；时序评分确定子模块，用于根据漏洞公开度、漏洞信息流异常得分以及漏洞基础评分的乘积确定漏洞的时序评分。

在一种可选的实施方式中，评分获取子模块具体用于：获取漏洞从发现到公开对应的时间间隔；根据时间间隔、漏洞公开途径影响因子以及漏洞公开详细程度影响因子确定漏洞公开度；从多个特征维度采用孤立森林算法确定漏洞信息流异常得分；基于通用漏洞评分系统确定漏洞基础评分。

第三方面，本发明提供了一种计算机设备，包括：存储器和处理器，存储器和处理器之间互相通信连接，存储器中存储有计算机指令，处理器通过执行计算机指令，从而执行上述第一方面或其对应的任一实施方式的基于攻击树和时序图聚类的最大攻击路径生成方法。

第四方面，本发明提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机指令，计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的基于攻击树和时序图聚类的最大攻击路径生成方法。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的基于攻击树和时序图聚类的最大攻击路径生成方法的流程示意图；

图2是根据本发明实施例的另一基于攻击树和时序图聚类的最大攻击路径生成方法的流程示意图；

图3是根据本发明实施例的又一基于攻击树和时序图聚类的最大攻击路径生成方法的流程示意图；

图4是根据本发明实施例的基于攻击树和时序图聚类的最大攻击路径生成方法的整体框架示意图；

图5是根据本发明实施例的基于攻击树和时序图聚类的最大攻击路径生成装置的结构框图；

图6是本发明实施例的计算机设备的硬件结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在本发明的描述中，术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，还可以是两个元件内部的连通，可以是无线连接，也可以是有线连接。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

另外，若本发明中出现“和/或”的含义，包括三个并列的方案，以“A和/或B”为例，包括A方案、或B方案、或A和B同时满足的方案。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本发明要求的保护范围之内。

目前电力系统正迎来重大变革，源网荷储、智慧能源服务平台、分布式光伏、营销负荷管理、虚拟电厂等新兴业务发展迅速，一方面提高了电力领域发展的效率和可持续性，另一方面新兴电力系统涉及更多的网络连接和通信，扩大了网络攻击面，虚拟电厂和分布式能源资源的整合增加了系统的复杂性，大规模数据收集和处理也引发了数据隐私以及数据合规性等问题。漏洞信息直接影响着电力系统的脆弱性和威胁暴露程度，对漏洞信息进行时序性分析可以帮助实时监测漏洞的利用情况和攻击趋势，结合系统信息流监测分析使电力系统管理者能够更早地察觉威胁并采取即时的反应措施。攻击树能够细致、全面地分析潜在攻击路径，但是静态树结构缺乏时序性分析，可能导致对异常行为的辨识存在延迟，使潜在威胁有更多时间潜伏和发展。

相关技术根据网络节点图中节点占据情况，利用攻击熵优化算法对子攻击路径进行成本收益分析，从而消除冗余路径，通过对攻击过程进行合理的推演，将精确推理的联结树算法应用到时序网络攻击图中，实时得到任意时刻攻击图的节点置信度。该方法假设攻击者的目标是占据所有资源节点，且没有考虑攻击资源节点之前的其他攻击行为。另一相关技术仅采用后序阶段匹配进行攻击预测，对链尾攻击超过预设阶段的攻击链基于待预测攻击链和相匹配的历史攻击链计算共现矩阵挖掘下一步最有可能实现的攻击，该方法极度依赖攻击链构建可靠性，难以抵抗未知攻击，并且没有对漏洞信息进行充分利用。又一相关技术基于日常系统监测行为构建攻击子树，并进行攻击子树合并，对攻击树中的安全威胁进行定量分析以分析得出最短路径。该方法利用攻击树结构进行安全分析，但是攻击树的静态结构容易造成实时变化、复杂度高的网络系统对异常行为的辨识延迟。再一相关技术根据现有的原始攻击案例文档生成漏洞攻击预样本，进行聚类和分类形成攻击样本，结合系统组件信息和状态信息，基于单调性假设构造静态攻击图，在攻击图结构上进行攻击路径的分析评估。该方法降低了攻击图的复杂度，避免环路出现，但是该方法没有充分利用系统状态时序信息，基于文本挖掘的脆弱性描述得出的漏洞威胁信息有一定的滞后性。综上所述，目前的技术方案存在缺少对漏洞信息的时序性分析以及对攻击方式的关联性挖掘等问题。

根据本发明实施例，提供了一种基于攻击树和时序图聚类的最大攻击路径生成方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

在本实施例中提供了一种基于攻击树和时序图聚类的最大攻击路径生成方法，可用于上述的移动终端，如中央处理单元、服务器等，图1是根据本发明实施例的基于攻击树和时序图聚类的最大攻击路径生成方法的流程示意图，如图1所示，该流程包括如下步骤：

步骤S101，获取原子攻击行为和漏洞的映射表、原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合。可选地，使用如下方式表示任一原子攻击节点其中，分别表示原子攻击节点对应的先决条件集合和后续操作集合，即与有关联关系的节点；原子攻击行为和漏洞的映射表即一个原子攻击涉及的漏洞集合，包括漏洞的时序评分，将该映射表记作

步骤S102，根据原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合生成资源导向攻击树。可选地，采用步骤S101中的表示方式表示所有的原子攻击节点，根据原子攻击节点间的关联关系生成资源导向攻击树。

步骤S103，根据映射表以及预设攻击成功概率计算公式确定资源导向攻击树中根节点的攻击概率。可选地，资源导向攻击树有多棵，根节点的攻击概率在一定程度上代表了资源导向攻击树被攻击的概率，攻击概率可利用预设攻击成功概率计算公式根据步骤S101中的映射表进行计算。

步骤S104，根据映射表以及根节点的攻击概率将资源导向攻击树转换成攻击时序图。可选地，选取被攻击概率大的资源导向攻击树，根据步骤S101中的映射表计算对应的邻接矩阵，邻接矩阵即表示顶点之间相邻关系的矩阵，从而将资源导向攻击树转化为攻击时序图。

步骤S105，利用自编码器和自组织映射算法对攻击时序图进行聚类，得到最大攻击路径。可选地，自编码器由神经网络模型构成，用于对时序图(邻接矩阵)进行降维处理，然后使用自组织映射算法对降维后的邻接矩阵进行聚类操作，挖掘时序图中的关键节点，从而确定最大攻击路径。

在本实施例中提供了一种基于攻击树和时序图聚类的最大攻击路径生成方法，可用于上述的移动终端，如中央处理单元、服务器等，图2是根据本发明实施例的另一基于攻击树和时序图聚类的最大攻击路径生成方法的流程示意图，如图2所示，该流程包括如下步骤：

步骤S201，获取原子攻击行为和漏洞的映射表、原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合。可选地，原子攻击节点、先决条件集合以及后续操作集合包括资源节点以及原子攻击行为节点，资源节点以及原子攻击行为节点用于区分原子攻击是否涉及资源获取，先决条件集合以及后续操作集合包括集合中节点与原子攻击节点间的顺序关系。具体的，原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合按照是否涉及资源获取分为资源节点以及原子攻击行为节点和还可以包括空节点。和集合中单个节点的表示方式为：其中Se∈{pre,post}，pre,post分别表示与的前后关系，Re∈{and,or,sand}，and,or,sand分别表示在Se关系下，与之间的顺序关系，具体的，sand代表顺序与，指必须由前一个节点才能到后一个节点；and代表和关系，和关系的前置节点集合不强调先后顺序，但是节点集中的节点必须都存在；or代表或关系，或关系的节点集合中有一个即可。

步骤S202，根据原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合生成资源导向攻击树。在一种可选的实施方式中，上述步骤S202包括：

步骤S2021，根据原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合构建原子攻击链。可选地，原子攻击节点按照是否涉及资源获取分为资源节点和原子攻击行为节点(行为节点)资源节点通常表示该原子攻击可以直接导致数据库、服务器、文件实际资源等被访问、获取、修改或破坏，而原子攻击行为节点用于表示不涉及实际资源的攻击行为如端口扫描、系统探测等，据此构建原子攻击链(攻击链)，需要说明的是，攻击链中两个资源节点之间至少包含一个原子攻击行为节点攻击链的构成首先是按照攻击事件时间顺序梳理出来的，后续需要按照理论逻辑的顺序对节点的关系进行梳理。

步骤S2022，基于预设资源节点根据原子攻击链以及顺序关系生成资源导向攻击树。可选地，顺序关系指步骤S201中的Se以及Re，生成资源导向攻击树(攻击树)的具体步骤如下：将涉及关键业务、敏感数据的资源节点作为资源导向攻击树的根节点在攻击链中向前检索出Se＝pre且Re＝sand的节点直至原子攻击行为节点的先决条件集合为空集，需要说明的是，连续原子攻击行为节点不生成新的树节点，仅当遇到为资源节点时生成新的树节点，据此构建资源导向攻击树。

步骤S203，根据映射表以及预设攻击成功概率计算公式确定资源导向攻击树中根节点的攻击概率。可选地，对于资源导向攻击树的叶子节点，采用如下公式(1)基于实时日志告警历史数据分析计算叶子节点(资源节点)对应的攻击成功概率

其中，n_sum为该资源节点在t时刻受到的攻击总次数，n_suc为该资源节点被攻击成功次数。由于攻击树中同级节点间仅存在and和or关系，预设攻击成功概率计算公式包括and和or顺序关系下的攻击成功概率计算公式，在and关系下子节点i的父节点攻击成功概率如公式(2)所示：

在or关系下子节点i的父节点攻击成功概率如公式(3)所示：

其中，P^t(h_i-1)代表t时刻下i节点的父节点的攻击成功概率，上角标and和or代表对应的顺序关系，表示在攻击树中同一个深度且拥有同一个父节点的节点集合，代表t时刻下k节点被攻击成功的概率，代表t时刻下节点k的父节点被攻击成功的概率，需要从叶子节点向上依次计算得出，即当前的父节点向上计算时会转变成同级节点。可以理解的是，从叶子节点开始向根节点搜索，记录不同攻击树中子节点i向父节点的转移概率，在没有其他兄弟节点的情况下子节点i向父节点的转移概率如公式(4)所示：

其中，P^t(h_i-1)代表t时刻下i节点的父节点的攻击成功概率，代表t时刻下i节点被攻击成功的概率，代表t时刻下节点i的父节点被攻击成功的概率。可以理解的是，t时刻资源导向攻击树tr根节点的攻击概率可由子节点根据and或or关系下对应的公式计算得出。

步骤S204，根据映射表以及根节点的攻击概率将资源导向攻击树转换成攻击时序图。可选地，攻击时序图可根据不同时刻资源导向攻击树中的边结构，仅保留最优转移概率边从而转换为图模型，并将图结构中两个资源节点间的边进行原子攻击行为节点展开，即在两个资源节点间的边加入对应的原子攻击行为节点。具体地，上述步骤S204包括：

步骤S2041，利用通用漏洞评分系统根据映射表确定资源导向攻击树中节点的攻击成本。可选地，一个资源节点可能出现在多个资源导向攻击树中，在同一棵资源导向攻击树中也有可能出现在不同位置上，记t时刻资源节点向原子攻击行为节点的后续操作集合中Re＝sand节点的转移概率为攻击树中子节点向父节点转移涉及一条全部由原子攻击行为节点构成的攻击子链，依据映射表搜集攻击子链涉及的漏洞集合记为由资源子节点i向资源父节点j的攻击成本如公式(5)所示：

其中，AV_v、AC_v、AU_v分别为漏洞集合中漏洞v在CVSS(Common VulnerabilityScoring System，通用漏洞评分系统)中对应的攻击途径、攻击复杂度和认证要素评分值。

步骤S2042，基于预设优化目标及约束条件根据攻击成本、根节点的攻击概率计算资源导向攻击树中资源节点的最优转移概率。可选地，基于公式(6)所示的预设优化目标及约束条件求取所有资源节点的最优转移概率

其中，cost_i,j为资源子节点i向资源父节点j的攻击成本，为资源子节点i向资源父节点j的最优转移概率，ed_tr表示攻击树中所有的边构成的集合，tr为任一条边，指t时刻攻击树tr根节点攻击概率，为原子攻击行为节点的后续操作集合。

步骤S2043，根据最优转移概率以及映射表将攻击概率大于预设阈值的资源导向攻击树转换成攻击时序图。其中，攻击时序图包括：节点以及连接边，攻击时序图在不同时刻下边的权重动态变化，节点和边的结构保持不变。具体地，上述步骤S2043包括：

步骤a1，获取映射表中漏洞的时序评分。具体地，漏洞的时序评分包括漏洞公开度、漏洞信息流异常得分以及漏洞基础评分等多个方面，步骤a1包括：

步骤a11，获取漏洞公开度、漏洞信息流异常得分以及漏洞基础评分。获取漏洞公开度包括：获取漏洞从发现到公开对应的时间间隔；根据时间间隔、漏洞公开途径影响因子以及漏洞公开详细程度影响因子确定漏洞公开度。作为一种示例，采用公式(7)计算漏洞公开度P^t：

P^t＝e^-β*t°×c×d (7)

其中，c表示漏洞公开途径影响因子，d表示漏洞公开详细程度影响因子，β为预设参数，β>0，t°表示漏洞从发现到公开的时间间隔，以24小时为一个间隔单位，当漏洞被迅速公开时，e^-β*t°趋近于1，反之趋近于0。

在一种可选的实施方式中，漏洞公开途径影响因子c以及漏洞公开详细程度影响因子d的具体设置方式分别如表1以及表2所示：

表1.漏洞公开途径影响因子表

漏洞报告者公开	0.9
		厂商主动公开	0.8
安全研究人员公开	0.6
		社区公开	0.4

表2.漏洞公开详细程度影响因子表

获取漏洞信息流异常得分包括：从多个特征维度采用孤立森林算法确定漏洞信息流异常得分。即基于孤立森林算法计算t时刻每个漏洞在子系统的Sys_i异常得分基于漏洞扫描工具建立子系统Sys_i存在的漏洞集合针对每个子系统Sys_i计算在t时刻其信息流异常时序得分需要说明的是，由于整个系统的漏洞可能非常复杂，将其分割为多个子系统可以降低问题的复杂性，使得管理及异常检测更加容易，有利于在特定的上下文中检测特定的漏洞，从而提高检测的准确性，且孤立森林需要将正常数据隔离出来检测异常，将系统分割为子系统可以更好地隔离噪声，提高异常检测的效率。具体地，多个特征维度包括：数据流量、控制流量、接口交互以及安全特征，收集上述多个特征维度不同周期的信息，比如数据流量包括但不限于子系统中每秒数据包数量、每秒传输数据量、数据包大小平均值、数据包大小标准差等特征；控制流量涉及系统的控制指令、策略配置等，包括指令的发送者、接收者、指令类型等；接口交互涉及系统与其他系统之间的接口交互，包括接口的数量、频率、数据格式等；安全特征涉及信息流的安全属性，如加密、身份验证、权限控制以及信息流的传输模式延迟和响应时间等。将以上特征作为样本点进行评分，评分的具体过程如下：

首先，从数据流量、控制流量、接口交互以及安全特征四个方面分别建立孤立森林，依据熵权法在当前节点数据集(多个样本点)上计算特征权重，选取权重最大的并随机选择该特征上的一个分割点分割数据集，即在特征对应的所有特征值中随机选取一个值(分割点)作为分界线分割数据集。

其次，按照上述步骤递归地将数据集分成两个子集，直至数据集不能再分。

再次，计算样本点x在树中的路径长度h(x)。

从次，子系统Sys_i被孤立森林算法划分到一个树的叶节点，而其异常得分可以通过计算该子系统在所有树中的平均路径长度来得到，采用如下公式计算样本点的异常得分其中，为t时刻样本点i在第k个特征维度的异常得分，E(h(x))是子系统在所有树中的平均路径长度，c(n)为给定样本数n时路径长度的平均值。

最后，对t时刻样本点i在第多个特征维度的异常得分加权聚合得到漏洞集合中每个漏洞在子系统Sys_i的异常得分其中，w_k为第k个特征维度对应的权重，可根据实际Sys_i信息流特征和安全防护需求进行调整。漏洞集合中每个漏洞的信息流异常得分为其中，i为子系统编号。

步骤a12，根据漏洞公开度、漏洞信息流异常得分以及漏洞基础评分的乘积确定漏洞的时序评分。具体地，系统内部单个漏洞的时序评分采用如下公式(8)计算：

S^t＝A^t×P^t×BS (8)

其中，S^t为t时刻系统内部单个漏洞的时序评分，A^t为单个漏洞的信息流异常得分，BS为漏洞基础评分，可通过CVSS评分系统确定。

步骤a2，根据时序评分以及最优转移概率确定连接边的权重。可选地，攻击时序图中由一个或者多个攻击行为节点再加上两端的资源节点构成的攻击链记表示为：

其中，和分别为两端的资源节点，根据公式(9)计算向的转移概率

其中，是在映射表中对应的漏洞集中所有单个漏洞节点在时刻τ的时序评分总和，T为预设周期，是截至时刻t的所有时序数据(时序评分)的标准差，为资源节点对应的最优转移概率，具体计算方法请参见图2所示实施例的步骤S2042。

步骤a3，根据连接边的权重生成攻击概率大于预设阈值的攻击时序图对应的邻接矩阵。具体地，将作为时刻t下指向对应的连接边(有向边)的权重，将和所有攻击节点进行映射，得出的节点数量为N，据此构建攻击时序图的邻接矩阵不存在连接边的权重置为0，据此得到攻击概率大于预设阈值的攻击时序图对应的邻接矩阵

步骤S205，利用自编码器和自组织映射算法对攻击时序图进行聚类，得到最大攻击路径。详细请参见图1所示实施例的步骤S105，在此不再赘述。

在本实施例中提供了一种基于攻击树和时序图聚类的最大攻击路径生成方法，可用于上述的移动终端，如中央处理单元、服务器等，图3是根据本发明实施例的又一基于攻击树和时序图聚类的最大攻击路径生成方法的流程示意图，如图3所示，该流程包括如下步骤：

步骤S301，获取原子攻击行为和漏洞的映射表、原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合。详细请参见图2所示实施例的步骤S201，在此不再赘述。

步骤S302，根据原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合生成资源导向攻击树。详细请参见图2所示实施例的步骤S202，在此不再赘述。

步骤S303，根据映射表以及预设攻击成功概率计算公式确定资源导向攻击树中根节点的攻击概率。详细请参见图2所示实施例的步骤S203，在此不再赘述。

步骤S304，根据映射表以及根节点的攻击概率将资源导向攻击树转换成攻击时序图。详细请参见图2所示实施例的步骤S204，在此不再赘述。

步骤S305，利用自编码器和自组织映射算法对攻击时序图进行聚类，得到最大攻击路径。在一种可选的实施方式中，上述步骤S305包括：

步骤S3051，基于图神经网络以及长短期记忆网络构建自编码器。可选地，采用GCN-LSTM(Graph convolution Network-Long Short-Term Memory Network，图卷积网络-长短期记忆网络)自编码器实现对攻击时序图邻接矩阵不同时刻的低维表示，具体地，步骤S3051包括：

步骤b1，设计编码器求取不同时刻邻接矩阵的降维编码表示为：

其中，σ(·)为sigmoid激活函数，j为节点i的邻居节点，Neigh(·)代表求输入节点的邻居节点集合，为待学习的D_out×N维权重矩阵，D_out为设置的输出降维编码向量的维度。

步骤b2，使用LSTM作为解码器，解码过程如步骤b21至步骤b24所示：

步骤b21，初始化LSTM解码器初始隐藏状态h₀和细胞状态c₀。

步骤b22，LSTM的前向传播按照如下公式进行遗忘门f_t、输入门in_t、输出门out_t的计算，细胞状态c₀和隐藏状态h₀的更新：

其中，W_f、W_in、W_out分别为遗忘门f_t、输入门in_t、输出门out_t对应的待学习的权重矩阵，b_f、b_in、b_out是对应的偏置向量，为输入参数，为不同时刻邻接矩阵的降维编码表示，h_t-1为t-1时刻的隐藏状态。采用如下公式(13)计算候选细胞状态

其中，W_c是细胞状态更新对应的待学习权重矩阵，b_c是对应的偏置向量，tanh是双曲正切函数。采用如下公式(14)更新细胞状态c_t：

其中，f_t为遗忘门，c_t-1为t-1时刻的细胞状态，in_t为输入门，⊙表示逐元素相乘。采用如下公式(15)更新隐藏状态h_t：

h_t＝out_t⊙tanh(c_t) (15)

其中，out_t为输出门，⊙表示逐元素相乘，tanh是双曲正切函数，c_t为细胞状态。

步骤b23，计算输出值R_t＝W_r·h_t+b_r，其中，W_r是总的待学习权重，b_r是总的偏置向量。

步骤b24，LSTM反向传播参数更新，使用随机梯度下降法基于如下损失函数对编码器和解码器中的待学习参数进行更新，为t时刻邻接矩阵第i行第j列元素，为t时刻邻接矩阵第i行第j列元素对应的输出值，N为邻接矩阵的中元素数量。

步骤S3052，利用自编码器对邻接矩阵进行降维处理，得到攻击时序图中节点的低维向量表示。循环上述步骤b21至步骤b24训练自编码器至自编码器收敛，得到时序攻击图中每个节点的低维表示使用进行基于SOM(Self-Organizing Map，自组织映射算法)的时序聚类。

步骤S3053，将低维向量表示转换成时序三元组。具体地，t时刻攻击时序图中单个节点的低维表示是一个D_out×1的向量，将每个节点在不同时刻不同维度的矩阵中的数值数据经过归一化处理表示为：其中，t^Δ＝1,2...T-1，对时刻t^Δ而言，针对不同维度f^Z的基于欧式距离进行Canopy聚类选取预设参数T₁,T₂进行快速聚类，不同低维表达维度的分别得到个聚类簇数，记聚类中心为计算不同低维表达维度下所有数据点到各簇聚类中心的欧氏距离得到t^Δ时刻下不同的节点i、j之间的Canopy-Jaccard距离计算公式如公式(16)所示：

其中，为聚类簇数，f^Z为的维度，分别为节点i、j到聚类中心的欧氏距离。将进一步按照不同前后时序数值差处理为三元组形式，记作：

其中，

步骤S3054，利用自组织映射算法根据时序三元组以及预设距离公式确定攻击时序图中的关键节点，预设距离公式由Canopy聚类算法以及杰卡德距离确定。可选地，三维自组织映射算法的竞争层使用初始canopy聚类结果确定的多元时序数据聚类数目作为SOM竞争层的第一个维度，使用多元时序数据的特征维数和时序长度作为SOM竞争层的第二和第三个维度。具体地，步骤S3054包括：

步骤c1，初始竞争层构建，将视作元胞数据构成N×D_out×(T-1)的三维矩阵作为SOM的输入数据，记不同时刻t^Δ不同f^Z维度下不同类簇的聚类中心为以进行Canopy-Jaccard距离计算，计算不同时刻t^Δ不同f^Z维度下聚类簇数的均值设置竞争层为计算每个节点在不同时刻t^Δ不同f^Z维度下距离其所属聚类中心的和，记为其中，指在t^Δ时刻f^Z维度下节点i所属类簇的聚类中心，筛选出dft_i最小的个节点对应的数据作为初始竞争层。

步骤c2，输入节点数据时刻维度v，按照Canopy-Jaccard距离寻找优胜神经元采用如下公式确定优胜邻域半径：

其中，g为迭代次数，获胜神经元邻域内的神经元r'的学习率更新如公式(19)所示：

步骤c3，按照步骤c2中的更新竞争层神经元组中的并对竞争层权重矩阵进行前后向校正。具体地，每个数据的更新涉及其本身以及其所在时间序列的前后K_w个数据元，若t′＝0，权重矩阵的更新涉及其本身以及其所在时间序列的后K_w个数据元，对于当前t′，更新公式如下所示：

对于时刻t′+k，k＝±1、±2…±K_w，更新公式如下所示：

步骤c4，迭代结束或者算法收敛后，将竞争层的神经元与实际节点按照Canopy-Jaccard距离进行映射，将每个神经元看作一个聚类中心，攻击时序图中的节点被划分到最近的一个聚类中心代表的类簇中，将距离神经元最近的一个节点视作该类的聚类中心，重新计算Canopy-Jaccard距离和将dft_i最小的节点作为关键节点。

步骤S3055，根据关键节点以及连接边的权重确定最大攻击路径。可选地，根据最新时刻的邻接矩阵，将指向关键节点的邻居节点中边权重最大的节点作为前驱节点，依次向前检索直到边权重小于整体边权重的下四分位数，将关键节点指向的邻居节点中边权重最大的节点作为后续节点，依次向后检索直到边权重小于整体边权重的下四分位数，据此生成最大攻击路径。

在一种可选的实施方式中，图4是根据本发明实施例的基于攻击树和时序图聚类的最大攻击路径生成方法的整体框架示意图。如图4所示，首先，获取漏洞公开度、漏洞威胁等级CVSS基本评分(漏洞基础评分)以及系统信息流时序评分(漏洞信息流异常得分)，其中，系统信息流时序评分由日志统计数据以及漏洞影响范围(包括漏洞位置、漏洞涉及系统安全性度量)共同确定。根据上述信息对系统内部漏洞单个节点评分，即根据漏洞公开度、漏洞信息流异常得分以及漏洞基础评分的乘积确定漏洞的时序评分，详细请参见图2所示实施例的步骤a1，在此不再赘述。然后进行资源导向攻击树构建，包括原子攻击链构建、资源节点转移概率计算以及资源导向攻击树生成，详细请参见图2所示实施例的步骤202，在此不再赘述。接着，执行资源导向攻击树-攻击图转换，包括资源导向攻击树筛选，攻击行为节点展开以及时序攻击图构建，详细请参见图2所示实施例的步骤204，在此不再赘述。最后，进行基于时序攻击图聚类的关键节点挖掘，包括基于单层GCN-LSTM自编码器的节点降维编码，节点降维编码数据canopy-Jaccard距离计算，三维SOM竞争层构建以及基于三维SOM的竞争层更新，详细请参见图2所示实施例的步骤205，在此不再赘述。

本实施例对漏洞信息进行时序性采集和分析，结合原子攻击链、资源导向攻击树和时序攻击图，利用自编码器和改进的三维自组织映射算法(Self-organizing map，SOM)通过学习输入空间中的数据，生成一个低维、离散的映射，达到降维的效果。对SOM竞争层进行聚类分析，实现了全面理解威胁、优化防御策略、检测高级威胁、可视化攻击行为、满足合规性和监管需求以及提供更好的安全决策支持的目的，达到了提高网络安全性、降低潜在攻击的风险以及确保关键基础设施的连续性和可靠性的效果。

在本实施例中还提供了一种基于攻击树和时序图聚类的最大攻击路径生成装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

本实施例提供一种基于攻击树和时序图聚类的最大攻击路径生成装置，如图5所示，包括：获取模块501，用于获取原子攻击行为和漏洞的映射表、原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合；攻击树生成模块502，用于根据原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合生成资源导向攻击树；攻击概率确定模块503，用于根据映射表以及预设攻击成功概率计算公式确定资源导向攻击树中根节点的攻击概率；时序图生成模块504，用于根据映射表以及根节点的攻击概率将资源导向攻击树转换成攻击时序图；攻击路径得到模块505，用于利用自编码器和自组织映射算法对攻击时序图进行聚类，得到最大攻击路径。

上述各个模块和单元的更进一步的功能描述与上述对应实施例相同，在此不再赘述。

本实施例中的基于攻击树和时序图聚类的最大攻击路径生成装置是以功能单元的形式来呈现，这里的单元是指ASIC(Application Specific Integrated Circuit，专用集成电路)电路，执行一个或多个软件或固定程序的处理器和存储器，和/或其他可以提供上述功能的器件。

本发明实施例还提供一种计算机设备，具有上述图5所示的基于攻击树和时序图聚类的最大攻击路径生成装置。

请参阅图6，图6是本发明可选实施例提供的一种计算机设备的结构示意图，如图6所示，该计算机设备包括：一个或多个处理器10、存储器20，以及用于连接各部件的接口，包括高速接口和低速接口。各个部件利用不同的总线互相通信连接，并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在计算机设备内执行的指令进行处理，包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如，耦合至接口的显示设备)上显示GUI的图形信息的指令。在一些可选的实施方式中，若需要，可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样，可以连接多个计算机设备，各个设备提供部分必要的操作(例如，作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图6中以一个处理器10为例。

处理器10可以是中央处理器，网络处理器或其组合。其中，处理器10还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路，可编程逻辑器件或其组合。上述可编程逻辑器件可以是复杂可编程逻辑器件，现场可编程逻辑门阵列，通用阵列逻辑或其任意组合。

其中，存储器20存储有可由至少一个处理器10执行的指令，以使至少一个处理器10执行实现上述实施例示出的方法。

存储器20可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据计算机设备的使用所创建的数据等。此外，存储器20可以包括高速随机存取存储器，还可以包括非瞬时存储器，例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些可选的实施方式中，存储器20可选包括相对于处理器10远程设置的存储器，这些远程存储器可以通过网络连接至该计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

存储器20可以包括易失性存储器，例如，随机存取存储器；存储器也可以包括非易失性存储器，例如，快闪存储器，硬盘或固态硬盘；存储器20还可以包括上述种类的存储器的组合。

该计算机设备还包括通信接口30，用于该计算机设备与其他设备或通信网络通信。

本发明实施例还提供了一种计算机可读存储介质，上述根据本发明实施例的方法可在硬件、固件中实现，或者被实现为可记录在存储介质，或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码，从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中，存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等；进一步地，存储介质还可以包括上述种类的存储器的组合。可以理解，计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件，当软件或计算机代码被计算机、处理器或硬件访问且执行时，实现上述实施例示出的方法。

虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims

1.一种基于攻击树和时序图聚类的最大攻击路径生成方法，其特征在于，所述方法包括：

获取原子攻击行为和漏洞的映射表、原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合；

根据所述原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合生成资源导向攻击树；

根据所述映射表以及预设攻击成功概率计算公式确定所述资源导向攻击树中根节点的攻击概率；

根据所述映射表以及所述根节点的攻击概率将资源导向攻击树转换成攻击时序图；

利用自编码器和自组织映射算法对所述攻击时序图进行聚类，得到最大攻击路径。

2.根据权利要求1所述的基于攻击树和时序图聚类的最大攻击路径生成方法，其特征在于，所述原子攻击节点、所述先决条件集合以及所述后续操作集合包括资源节点以及原子攻击行为节点，所述资源节点以及原子攻击行为节点用于区分原子攻击是否涉及资源获取，所述先决条件集合以及所述后续操作集合包括集合中节点与所述原子攻击节点间的顺序关系，所述根据所述原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合生成资源导向攻击树，包括：

根据所述原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合构建原子攻击链；

基于预设资源节点根据所述原子攻击链以及所述顺序关系生成资源导向攻击树。

3.根据权利要求2所述的基于攻击树和时序图聚类的最大攻击路径生成方法，其特征在于，所述根据所述映射表以及所述根节点的攻击概率将资源导向攻击树转换成攻击时序图，包括：

利用通用漏洞评分系统根据映射表确定资源导向攻击树中节点的攻击成本；

基于预设优化目标及约束条件根据所述攻击成本、根节点的攻击概率计算资源导向攻击树中资源节点的最优转移概率；

根据所述最优转移概率以及映射表将攻击概率大于预设阈值的资源导向攻击树转换成攻击时序图。

4.根据权利要求3所述的基于攻击树和时序图聚类的最大攻击路径生成方法，其特征在于，攻击时序图包括：节点以及连接边，所述根据所述最优转移概率以及映射表将攻击概率大于预设阈值的资源导向攻击树转换成攻击时序图，包括：

获取映射表中漏洞的时序评分；

根据所述时序评分以及最优转移概率确定连接边的权重；

根据所述连接边的权重生成攻击概率大于预设阈值的攻击时序图对应的邻接矩阵。

5.根据权利要求4所述的基于攻击树和时序图聚类的最大攻击路径生成方法，其特征在于，所述利用自编码器和自组织映射算法对所述攻击时序图进行聚类，得到最大攻击路径，包括：

基于图神经网络以及长短期记忆网络构建自编码器；

利用所述自编码器对邻接矩阵进行降维处理，得到攻击时序图中节点的低维向量表示；

将所述低维向量表示转换成时序三元组；

利用自组织映射算法根据所述时序三元组以及预设距离公式确定攻击时序图中的关键节点，所述预设距离公式由Canopy聚类算法以及杰卡德距离确定；

根据所述关键节点以及连接边的权重确定最大攻击路径。

6.根据权利要求4所述的基于攻击树和时序图聚类的最大攻击路径生成方法，其特征在于，获取映射表中漏洞的时序评分，包括：

获取漏洞公开度、漏洞信息流异常得分以及漏洞基础评分；

根据所述漏洞公开度、漏洞信息流异常得分以及漏洞基础评分的乘积确定漏洞的时序评分。

7.根据权利要求6所述的基于攻击树和时序图聚类的最大攻击路径生成方法，其特征在于，所述获取漏洞公开度、漏洞信息流异常得分以及漏洞基础评分，包括：

获取漏洞从发现到公开对应的时间间隔；

根据所述时间间隔、漏洞公开途径影响因子以及漏洞公开详细程度影响因子确定漏洞公开度；

从多个特征维度采用孤立森林算法确定漏洞信息流异常得分；

基于通用漏洞评分系统确定漏洞基础评分。

8.一种基于攻击树和时序图聚类的最大攻击路径生成装置，其特征在于，所述装置包括：

获取模块，用于获取原子攻击行为和漏洞的映射表、原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合；

攻击树生成模块，用于根据所述原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合生成资源导向攻击树；

攻击概率确定模块，用于根据所述映射表以及预设攻击成功概率计算公式确定所述资源导向攻击树中根节点的攻击概率；

时序图生成模块，用于根据所述映射表以及所述根节点的攻击概率将资源导向攻击树转换成攻击时序图；

攻击路径得到模块，用于利用自编码器和自组织映射算法对所述攻击时序图进行聚类，得到最大攻击路径。

9.根据权利要求8所述的基于攻击树和时序图聚类的最大攻击路径生成装置，其特征在于，所述原子攻击节点、所述先决条件集合以及所述后续操作集合包括资源节点以及原子攻击行为节点，所述资源节点以及原子攻击行为节点用于区分原子攻击是否涉及资源获取，所述先决条件集合以及所述后续操作集合包括集合中节点与所述原子攻击节点间的顺序关系，所述攻击树生成模块包括：

攻击链构建单元，用于根据所述原子攻击节点以及原子攻击节点对应的先决条件集合和后续操作集合构建原子攻击链；

攻击树生成单元，用于基于预设资源节点根据所述原子攻击链以及所述顺序关系生成资源导向攻击树。

10.根据权利要求9所述的基于攻击树和时序图聚类的最大攻击路径生成装置，其特征在于，所述时序图生成模块包括：

攻击成本确定单元，用于利用通用漏洞评分系统根据映射表确定资源导向攻击树中节点的攻击成本；

转移概率计算单元，用于基于预设优化目标及约束条件根据所述攻击成本、根节点的攻击概率计算资源导向攻击树中资源节点的最优转移概率；

转换单元，用于根据所述最优转移概率以及映射表将攻击概率大于预设阈值的资源导向攻击树转换成攻击时序图。

11.根据权利要求10所述的基于攻击树和时序图聚类的最大攻击路径生成装置，其特征在于，攻击时序图包括：节点以及连接边，所述转换单元包括：

获取子单元，用于获取映射表中漏洞的时序评分；

权重确定子单元，用于根据所述时序评分以及最优转移概率确定连接边的权重；

领接矩阵生成子单元，用于根据所述连接边的权重生成攻击概率大于预设阈值的攻击时序图对应的邻接矩阵。

12.根据权利要求11所述的基于攻击树和时序图聚类的最大攻击路径生成装置，其特征在于，所述攻击路径得到模块包括：

自编码器构建单元，用于基于图神经网络以及长短期记忆网络构建自编码器；

降维单元，用于利用所述自编码器对邻接矩阵进行降维处理，得到攻击时序图中节点的低维向量表示；

三元组转换单元，用于将所述低维向量表示转换成时序三元组；

关键节点确定单元，用于利用自组织映射算法根据所述时序三元组以及预设距离公式确定攻击时序图中的关键节点，所述预设距离公式由Canopy聚类算法以及杰卡德距离确定；

攻击路径确定单元，用于根据所述关键节点以及连接边的权重确定最大攻击路径。

13.根据权利要求11所述的基于攻击树和时序图聚类的最大攻击路径生成装置，其特征在于，获取子单元包括：

评分获取子模块，用于获取漏洞公开度、漏洞信息流异常得分以及漏洞基础评分；

时序评分确定子模块，用于根据所述漏洞公开度、漏洞信息流异常得分以及漏洞基础评分的乘积确定漏洞的时序评分。

14.根据权利要求13所述的基于攻击树和时序图聚类的最大攻击路径生成装置，其特征在于，所述评分获取子模块具体用于：

获取漏洞从发现到公开对应的时间间隔；

基于通用漏洞评分系统确定漏洞基础评分。

15.一种计算机设备，其特征在于，包括：

存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行权利要求1至7中任一项所述的基于攻击树和时序图聚类的最大攻击路径生成方法。

16.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机指令，所述计算机指令用于使计算机执行权利要求1至7中任一项所述的基于攻击树和时序图聚类的最大攻击路径生成方法。