本發明實施例公開了一種攻擊組織溯源分析的方法、裝置及存儲介質，涉及網絡安全技術領域，能夠發現已知攻擊組織的未知攻擊行動，或發現新的攻擊組織。所述方法包括：獲取已公開攻擊組織相關的攻擊事件數據；分析各攻擊事件數據并提取攻擊組織所使用的TTP信息；將攻擊組織相關的TTP信息映射到威脅框架中，形成TTP映射模型，匯集形成各攻擊組織相關的TTP映射模型庫；針對上報的異常事件，提取其多維特征向量形成待匹配TTP模型；將待匹配TTP模型與TTP映射模型庫進行相似性匹配，進而發現已知攻擊組織的未知攻擊行動，或發現新的攻擊組織。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種攻擊組織溯源分析的方法、裝置、電子設備及計算機可讀存儲介質。

背景技術

攻擊組織是網絡空間攻擊活動的來源，它們有不同的目的和動機，其能力也存在明顯的層級差異。根據作業動機、攻擊能力、掌控資源等角度，可將網絡空間攻擊組織劃分為七個層級，分別是業余黑客、黑產組織、網絡犯罪團伙或黑客組織、網絡恐怖組織、一般能力國家/地區行為體、高級能力國家/地區行為體、超高能力國家/地區行為體。

如今網絡空間的安全形勢日趨嚴峻，隨著商業軍火的泄露及其廣泛傳播，大大降低了網絡攻擊的難度和成本，使得缺少雄厚資金的攻擊組織也能借助商業攻擊平臺實施高水平的攻擊，加劇了攻擊組織進行網絡攻擊的頻率。此起彼伏的網絡攻擊事件表明，攻擊組織的規模、目標、動機都在發生轉變，給國家的網絡安全帶來嚴重威脅。因此，及時發現并對攻擊組織進行追溯分析，遏制其攻擊行動對于維護國家安全至關重要。

發明內容

有鑒于此，本發明實施例提供了一種攻擊組織溯源分析的方法、裝置及存儲介質，通過分析已知攻擊組織相關的攻擊事件數據，提取攻擊組織在特定攻擊活動中的TTP信息，并將其映射到威脅框架中建立TTP映射模型庫，基于異常事件形成待匹配TTP模型，將所述待匹配TTP模型與TTP映射模型庫進行相似性匹配，進而準確發現已知攻擊組織的未知攻擊行動或發現新的攻擊組織。

第一方面，本發明實施例提供一種攻擊組織溯源分析的方法，包括：

獲取已公開攻擊組織相關的攻擊事件數據；

分析各攻擊事件數據并提取攻擊組織所使用的TTP信息；

將攻擊組織相關的TTP信息映射到威脅框架中，形成TTP映射模型，匯集形成各攻擊組織相關的TTP映射模型庫；

針對上報的異常事件，提取其多維特征向量形成待匹配TTP模型；

將待匹配TTP模型與TTP映射模型庫進行相似性匹配，進而發現已知攻擊組織的未知攻擊事件或發現新的攻擊組織；

其中，所述TTP信息包括攻擊組織基本信息和攻擊行動信息；攻擊行動信息包括：行動基本信息、行動行為信息和行動指紋信息。

根據本發明實施例的一種具體實現方式，所述針對上報的異常事件，提取其多維特征向量形成待匹配TTP模型，具體包括：

接收客戶端上報的異常事件，并提取相關動靜態特征，進一步提取異常事件涉及的攻擊組織的TTP信息并映射到威脅框架，形成待匹配TTP模型；

其中，所述動靜態特征包括：惡意代碼傳播特征、判定特征、屬性特征、靜態結構特征、API調用特征、動態行為特征、反分析特征、網絡特征、漏洞利用特征或者切片特征。

根據本發明實施例的一種具體實現方式，還包括：對所述TTP信息進行規范化處理，形成標準且結構化的數據格式。

根據本發明實施例的一種具體實現方式，所述將待匹配TTP模型與TTP映射模型庫進行相似性匹配，進而發現已知攻擊組織的未知攻擊事件或發現新的攻擊組織，具體包括：

利用相似性匹配算法將待匹配TTP模型與TTP映射模型庫進行多階段相似性匹配；