[發明專利]一種基于威脅情報報告的APT攻擊聚類方法在審
| 申請號: | 202310262800.X | 申請日: | 2023-03-17 |
| 公開(公告)號: | CN116304044A | 公開(公告)日: | 2023-06-23 |
| 發明(設計)人: | 朱添田;袁淇萱;程雯睿;應杰;陳鐵明;呂明琪 | 申請(專利權)人: | 浙江工業大學 |
| 主分類號: | G06F16/35 | 分類號: | G06F16/35;G06F40/279;G06F40/151;G06F40/166 |
| 代理公司: | 杭州求是專利事務所有限公司 33200 | 代理人: | 忻明年 |
| 地址: | 310014 浙*** | 國省代碼: | 浙江;33 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 威脅 情報 報告 apt 攻擊 方法 | ||
1.一種基于威脅情報報告的APT攻擊聚類方法,其特征在于,所述基于威脅情報報告的APT攻擊聚類方法,包括:
步驟1、基于NLP技術對CTI報告清洗,得到標準化文本;
步驟1.1、對CTI報告進行過濾轉換得到與攻擊相關的規范化句子;
步驟1.2、對每一規范化句子進行IOC實體識別,并將匹配的實體替換為其屬性詞,然后對規范化句子進行詞語消解,得到包含威脅行為的標準化文本;
步驟2、提取所述標準化文本中的候選威脅行為,將候選威脅行為與預構建的攻擊行為模板庫匹配提取技術或戰術,根據CTI報告的文本語序,將提取的技術或戰術生成CTI報告的攻擊鏈;
步驟3、將所有CTI報告對應的攻擊鏈根據傳遞閉包思想聚類,根據聚類結果得出APT攻擊的不同類別。
2.如權利要求1所述的基于威脅情報報告的APT攻擊聚類方法,其特征在于,所述對CTI報告進行過濾轉換得到與攻擊相關的規范化句子,包括:
利用HAN模型過濾CTI報告中與攻擊無關的文本;
利用BiLSTM模型將CTI報告中句子的冗余單詞過濾;
對剩余的與攻擊相關的文本添加句子分隔符,將長句分解為短句,對于缺少主語的句子,為其添加先行名詞作為主語;
將所有為被動語態的句子轉換為主動語態,得到CTI報告中與攻擊相關的規范化句子。
3.如權利要求1所述的基于威脅情報報告的APT攻擊聚類方法,其特征在于,所述對規范化句子進行詞語消解,包括:
代詞消解:刪除規范化句子中的代詞,并將其替換為其指代的先行名詞;
實體消解:替換規范化句子內指代,并將動詞短語替換為動詞本身;
依賴動詞消解:將描述實體依賴的同義動詞替換為標準動詞。
4.如權利要求1所述的基于威脅情報報告的APT攻擊聚類方法,其特征在于,所述攻擊行為模板庫構建過程如下:
根據MITRE?ATTCK框架中對所有攻擊技術或子技術的描述,為每個技術或子技術構建攻擊行為模板T={c,Tb,i,p,te,ta},其中c為技術或子技術的現有狀態,Tb為技術或子技術的攻擊行為,i為技術或子技術使用的工具,p為技術或子技術的攻擊意圖,te為技術或子技術的威脅技術,ta為技術或子技術的威脅戰術;
其中,攻擊行為Tb={(a1,o1),…,(an,on)},其中ai為攻擊行為的攻擊動作,oi為攻擊行為的攻擊目標,1≤i≤n,(ai,oi)為原子攻擊行為;
聚合所有技術或子技術的攻擊行為模板作為攻擊行為模板庫。
5.如權利要求1所述的基于威脅情報報告的APT攻擊聚類方法,其特征在于,所述提取標準化文本中的候選威脅行為,包括:
利用Stanford?CoreNLP模型識別標準化文本中與威脅行為有關的三元組SVO(Subject+Verb+Object),其中Subject為惡意軟件或惡意用戶的名稱Cb、Verb為Subject執行的威脅動作Ca、Object為惡意威脅動作的執行目標Co,記候選威脅行為Cb=(Ca,Co)。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于浙江工業大學,未經浙江工業大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202310262800.X/1.html,轉載請聲明來源鉆瓜專利網。
