[發(fā)明專利]攻擊路徑還原方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)有效

申請(qǐng)?zhí)枺?/td>	202011305622.7	申請(qǐng)日：	2020-11-19
公開(kāi)（公告）號(hào)：	CN112422573B	公開(kāi)（公告）日：	2022-02-25
發(fā)明（設(shè)計(jì)）人：	鮑青波;周曉陽(yáng);萬(wàn)可	申請(qǐng)（專利權(quán)）人：	北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信科技有限公司;北京天融信軟件有限公司
主分類號(hào)：	H04L9/40	分類號(hào)：	H04L9/40;G06N7/00
代理公司：	北京超凡宏宇專利代理事務(wù)所(特殊普通合伙) 11463	代理人：	衡滔
地址：	100000 北京***	國(guó)省代碼：	北京;11
權(quán)利要求書：	查看更多	說(shuō)明書：	查看更多
摘要：
搜索關(guān)鍵詞：	攻擊路徑還原方法裝置設(shè)備存儲(chǔ) 介質(zhì)
鉆瓜網(wǎng) 技術(shù)展會(huì) 專利詞庫(kù) 專利權(quán)人專利榜在售專利公布日期熱門專利

【權(quán)利要求書】：

1.一種攻擊路徑還原方法，其特征在于，所述方法包括：

獲取目標(biāo)系統(tǒng)上的安全事件數(shù)據(jù)；

根據(jù)ATTCK框架將所述安全事件數(shù)據(jù)進(jìn)行抽象映射，并得到所述目標(biāo)系統(tǒng)的狀態(tài)信息；

根據(jù)所述狀態(tài)信息構(gòu)建部分可觀察馬爾可夫決策過(guò)程模型；

根據(jù)所述部分可觀察馬爾可夫決策過(guò)程模型計(jì)算得到攻擊路徑；

以及，所述根據(jù)所述部分可觀察馬爾可夫決策過(guò)程模型計(jì)算得到攻擊路徑，包括：

確定所述部分可觀察馬爾可夫決策過(guò)程模型的求解算法；

根據(jù)所述求解算法計(jì)算得到所述攻擊路徑。

2.如權(quán)利要求1所述的方法，其特征在于，所述根據(jù)所述狀態(tài)信息構(gòu)建部分可觀察馬爾可夫決策過(guò)程模型，包括：

根據(jù)所述狀態(tài)信息確定所述部分可觀察馬爾可夫決策過(guò)程模型中的參數(shù)，所述部分可觀察馬爾可夫決策過(guò)程模型中的參數(shù)，包括：有限狀態(tài)集、有限動(dòng)作、狀態(tài)轉(zhuǎn)移矩陣、收益函數(shù)、觀察結(jié)果集和條件觀察概率。

3.如權(quán)利要求2所述的方法，其特征在于，所述有限狀態(tài)集包括初始訪問(wèn)狀態(tài)、執(zhí)行狀態(tài)、持久化狀態(tài)、權(quán)限提升狀態(tài)、防御逃逸狀態(tài)、憑據(jù)訪問(wèn)狀態(tài)、發(fā)現(xiàn)狀態(tài)、橫向移動(dòng)狀態(tài)、采集狀態(tài)、命令與控制狀態(tài)、數(shù)據(jù)滲漏狀態(tài)和惡劣影響狀態(tài)中的至少一種狀態(tài)。

4.如權(quán)利要求2所述的方法，其特征在于，所述有限動(dòng)作包括ping命令、端口掃描、安裝木馬，創(chuàng)建文件和啟動(dòng)程序中的至少一種。

5.如權(quán)利要求1所述的方法，其特征在于，在所述獲取目標(biāo)系統(tǒng)上的安全事件數(shù)據(jù)之后，所述根據(jù)ATTCK框架將所述安全事件數(shù)據(jù)進(jìn)行抽象映射之前，所述方法還包括：

對(duì)所述安全事件數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理，以至少去除所述安全事件數(shù)據(jù)中的無(wú)效數(shù)據(jù)和對(duì)所述安全事件數(shù)據(jù)進(jìn)行字段歸一化處理。

6.如權(quán)利要求1所述的方法，其特征在于，所述部分可觀察馬爾可夫決策過(guò)程模型的求解算法為One-Pass算法、線性支持算法和蒙特卡羅搜索樹(shù)算法中的一種。

7.一種攻擊路徑還原裝置，其特征在于，所述裝置包括：

獲取模塊，用于獲取目標(biāo)系統(tǒng)上的安全事件數(shù)據(jù)；

數(shù)據(jù)預(yù)處理模塊，用于根據(jù)ATTCK框架將所述安全事件數(shù)據(jù)進(jìn)行抽象映射，并得到所述目標(biāo)系統(tǒng)的狀態(tài)信息；

模型構(gòu)建模塊，用于根據(jù)所述狀態(tài)信息構(gòu)建部分可觀察馬爾可夫決策過(guò)程模型；

計(jì)算模塊，用于根據(jù)所述部分可觀察馬爾可夫決策過(guò)程模型計(jì)算得到攻擊路徑；

以及，所述計(jì)算模塊具體用于：

確定所述部分可觀察馬爾可夫決策過(guò)程模型的求解算法；

根據(jù)所述求解算法計(jì)算得到所述攻擊路徑。

8.一種攻擊路徑還原設(shè)備，其特征在于，所述設(shè)備包括：

處理器；

存儲(chǔ)器，配置用于存儲(chǔ)機(jī)器可讀指令，所述指令在由所述處理器執(zhí)行時(shí)，執(zhí)行如權(quán)利要求1-6任一項(xiàng)所述的攻擊路徑還原方法。

9.一種存儲(chǔ)介質(zhì)，其特征在于，所述存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行如權(quán)利要求1-6任一項(xiàng)所述的攻擊路徑還原方法。

下載完整專利技術(shù)內(nèi)容需要扣除積分，VIP會(huì)員可以免費(fèi)下載。

免登錄下載普通用戶下載升級(jí)VIP會(huì)員，免費(fèi)下載

該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信科技有限公司;北京天融信軟件有限公司，未經(jīng)北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信科技有限公司;北京天融信軟件有限公司許可，擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作，請(qǐng)聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202011305622.7/1.html，轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。