本申請公開了一種威脅報告攻擊行為提取方法、裝置、設備及存儲介質，包括：獲取待提取威脅報告，并通過自然語言處理方式對所述待提取威脅報告進行預處理，以得到所述待提取威脅報告中與攻擊行為相關的目標語句；利用語義角色標注工具對所述目標語句進行語義分析，得到與所述目標語句對應的帶有語義標簽的各個實體、各個所述實體之間的因果關系及信息流向；根據各個所述實體、各個所述實體之間的所述因果關系及所述信息流向生成與所述待提取威脅報告對應的表征所述攻擊行為的攻擊溯源圖。本申請通過語義標注從目標語句中自動提取實體及其之間的因果關系、信息流向并生成溯源圖，能有效去除威脅報告中的冗余信息，簡便快速提取攻擊行為。

技術領域

本發明涉及數據處理技術領域，特別涉及一種威脅報告攻擊行為提取方法、裝置、設備及存儲介質。

背景技術

網絡威脅報告(CTI)是對網絡威脅進行識別和響應的重要依據，其通常包含在技術報告等文本中，這些文本通常包含攻擊行為、對系統造成的影響等信息的自然語言。然而，網絡威脅報告通常含有大量的無關的文本，安全人員很難從大量的文本中提取出真正有效的信息。

現有技術使用自然語言處理(NLP)技術成功地從網絡威脅報告中以威脅指標(Indicator of Compromise,IOC)的方式提取了與攻擊行為有關的信息，但是這種方式忽視了IOC之間聯系的重要性，沒有完整地復原網絡攻擊行為。主要是由于在網絡威脅報告中與攻擊行為相關的描述可能只占很小一部分，其它部分充斥著大量無關信息，且網絡威脅報告中使用的語句結構與日常生活中使用語言具有較大的差異，使得傳統的自然語言處理工具難以對網絡威脅報告進行處理，再者，對網絡威脅報告中的全局信息進行提取需要理解攻擊行為之間的關系。

因此，如何高效、全面的地從復雜的網絡威脅報告中提取出有效攻擊行為是本領域技術人員亟待解決的技術問題。

發明內容

有鑒于此，本發明的目的在于提供一種威脅報告攻擊行為提取方法、裝置、設備及存儲介質，能有效去除威脅報告中的冗余信息，簡便快速提取攻擊行為。其具體方案如下：

本申請的第一方面提供了一種威脅報告攻擊行為提取方法，包括：

獲取待提取威脅報告，并通過自然語言處理方式對所述待提取威脅報告進行預處理，以得到所述待提取威脅報告中與攻擊行為相關的目標語句；

利用語義角色標注工具對所述目標語句進行語義分析，得到與所述目標語句對應的帶有語義標簽的各個實體、各個所述實體之間的因果關系及信息流向；

根據各個所述實體、各個所述實體之間的所述因果關系及所述信息流向生成與所述待提取威脅報告對應的表征所述攻擊行為的攻擊溯源圖。

可選的，所述通過自然語言處理方式對所述待提取威脅報告進行預處理，包括：

對所述待提取威脅報告進行語句切分，以將所述待提取威脅報告中的長語句切分為短語句；

將切分后語句中的同一類同義詞轉化為與該類對應的一個預設詞語；

將同義詞轉化后的全部被動語態的語句轉換為主動語態。

可選的，所述將同義詞轉化后的全部被動語態的語句轉換為主動語態之后，還包括：

確定語態轉換后的語句中的主語省略句并對所述主語省略句進行主語恢復操作，以使全部語句具備主語；

利用與各個代詞對應的指代實體對具備主語的全部語句中的所述代詞進行替換；

對替換后語句中的相似句式語句進行統一化表述，得到句式規范的語句。

可選的，所述對所述主語省略句進行主語恢復操作，以使全部語句具備主語，包括：

對所述主語省略句進行詞性標注及動態規劃后根據字典系統確定出與所述主語省略句對應的主語候選詞列表；