本申請提供一種攻擊路徑還原方法、裝置、設備及存儲介質，其中，攻擊路徑還原方法包括獲取目標系統上的安全事件數據；根據ATTCK框架將所述安全事件數據進行抽象映射，并得到所述目標系統的狀態信息；根據所述狀態信息構建部分可觀察馬爾可夫決策過程模型；根據所述部分可觀察馬爾可夫決策過程模型計算得到攻擊路徑。本申請具有更優的泛化適應能力和分析效率。

技術領域

本申請涉及攻擊意圖分析及深度學習領域，具體而言，涉及一種攻擊路徑還原方法、裝置、設備及存儲介質。

背景技術

在對一起安全事件進行攻擊分析的過程中，常常期望對攻擊者的攻擊路徑進行還原，進而分析其攻擊意圖、擴散方式及命令控制途徑等。

目前，現有的攻擊路徑進行還原方式主要是一種基于貝葉斯網絡推理的意圖識別方法，該方法能夠在計算機網絡自組織對抗環境中，讓情報系統根據已給定的主機漏洞信息、網絡拓撲信息和攻擊知識庫，利用IDS報警信息識別攻擊者的攻擊意圖并提供給決策系統作為決策的依據。攻擊意圖識別過程為攻擊場景生成，IDS報警信息聚合匹配，更新攻擊行為對的條件概率分布，利用貝葉斯網絡推理中團樹傳播算法計算攻擊意圖節點概率，進行貝葉斯網絡參數和IDS檢測能力的更新。并根據計算結果和歷史信息更新計算參數，使計算結果更加準確。這一方法需要大量的先驗知識，但往往攻擊者的攻擊手段是經常變化的，部分先驗知識的應用效果沒有普適性。

發明內容

本申請實施例的目的在于提供一種攻擊路徑還原方法、裝置、設備及存儲介質，用以對攻擊路徑進行還原，與現有技術相比，本申請實施例具有更優的泛化適應能力和分析效率。

為此，本申請第一方面公開一種攻擊路徑還原方法，所述方法包括：

獲取目標系統上的安全事件數據；

根據ATTCK框架將所述安全事件數據進行抽象映射，并得到所述目標系統的狀態信息；

根據所述狀態信息構建部分可觀察馬爾可夫決策過程模型；

根據所述部分可觀察馬爾可夫決策過程模型計算得到攻擊路徑。

本申請第一方面的方法能夠從實際安全告警事件數據開始，利用ATTCK框架對系統所處狀態及攻擊執行動作進行抽象以形成部分可觀察馬爾可夫決策過程模型，以將攻擊者帶有明確意圖但攻擊過程復雜的假設條件下的攻擊過程進行統一建模，然而基于部分可觀察馬爾可夫決策過程模型，運用各階段狀態及收益計算方法確定攻擊的攻擊路徑，這一過程不需要大量的先驗知識，從而能夠具有更優的泛化適應能力和更優的攻擊路徑還原分析的效率。

在本申請第一方面中，作為一種可選的實施方式，所述根據所述狀態信息構建部分可觀察馬爾可夫決策過程模型，包括：

根據所述狀態信息確定所述部分可觀察馬爾可夫決策過程模型中的參數，所述部分可觀察馬爾可夫決策過程模型中的參數，包括：有限狀態集、有限動作、狀態轉移矩陣、收益函數、觀察結果集、條件觀察概率。

在本可選的實施方式中，根據所述狀態信息能夠確定所述部分可觀察馬爾可夫決策過程模型中的參數。

在本申請第一方面中，作為一種可選的實施方式，所述有限狀態集至少包括初始訪問狀態、執行狀態、持久化狀態、權限提升狀態、防御逃逸狀態、憑據訪問狀態、發現狀態、橫向移動狀態、采集狀態、命令與控制狀態、數據滲漏狀態、惡劣影響狀態中的一種。

在本可選的實施方式中，通過ATTCK框架的戰術階段能夠將目標系統的安全事件數據抽象映射為初始訪問狀態、執行狀態、持久化狀態、權限提升狀態、防御逃逸狀態、憑據訪問狀態、發現狀態、橫向移動狀態、采集狀態、命令與控制狀態、數據滲漏狀態、惡劣影響狀態中的一種或多種，進而構建POMDP模型。

在本申請第一方面中，作為一種可選的實施方式，所述有限動作至少包括ping命令、端口掃描、安裝木馬，創建文件，啟動程序中的一種。