本發明公開了一種基于威脅情報報告的APT攻擊聚類方法，包括：基于NLP技術對CTI報告清洗，得到標準化文本；提取標準化文本中的候選威脅行為，將候選威脅行為與預構建的攻擊行為模板庫匹配提取技術或戰術，根據CTI報告的文本語序，將提取的技術或戰術生成CTI報告的攻擊鏈；將所有CTI報告對應的攻擊鏈根據傳遞閉包思想聚類，根據聚類結果得出APT攻擊的不同類別。本發明實現基于CTI報告的APT攻擊進行聚類。

技術領域

本發明屬于網絡安全和人工智能技術領域，具體涉及一種基于威脅情報報告的APT攻擊聚類方法。

背景技術

網絡威脅情報(Cyber?Threat?Intelligence，CTI)是為了解威脅行為者的動機、目標和攻擊行為而被收集、處理和分析的數據，它結合內外部情報，為防御部門提供了與APT網絡威脅相關的描述信息。CTI報告(CTI?Report)則是網絡安全廠商提供的，描述網絡威脅行為上下文的非結構化文本。根據攻擊手法的不同將CTI報告分為不同的類別，可以歸納總結不同的攻擊模式，便于分析人員確定某類攻擊的流程、技術和工具，并根據這些已有信息制定防御策略。

CTI報告具有多源異構、風格迥異且數量龐大的特點，人工對其分析需要花費大量的時間。對此，機器學習技術可以根據文本特征自動化地將CTI報告聚類為不同的簇，每個簇代表一種攻擊模式，以實現在特定攻擊模式下的分析。常用于文本聚類的機器學習模型包括K-means、GMM(高斯混合模型聚類)、Agglomerative、DBSCAN等。然而上述方法沒有從攻防知識的視角出發、結合攻擊技術或戰術還原出報告所代表的攻擊模式。僅考慮文本特征對CTI報告聚類，會產生因缺乏領域知識而影響結果準確性和可解釋性的情況。

因此，如何提取攻擊戰術和技術作為攻擊樣本特征，在此基礎上還原攻擊流程并進一步對基于CTI報告的APT攻擊進行聚類，是亟待解決的一個問題。

發明內容

本發明的目的在于提供一種基于威脅情報報告的APT攻擊聚類方法，實現基于CTI報告的APT攻擊進行聚類。

為實現上述目的，本發明所采取的技術方案為：

一種基于威脅情報報告的APT攻擊聚類方法，所述基于威脅情報報告的APT攻擊聚類方法，包括：

步驟1、基于NLP技術對CTI報告清洗，得到標準化文本；

步驟1.1、對CTI報告進行過濾轉換得到與攻擊相關的規范化句子；

步驟1.2、對每一規范化句子進行IOC實體識別，并將匹配的實體替換為其屬性詞，然后對規范化句子進行詞語消解，得到包含威脅行為的標準化文本；

步驟2、提取所述標準化文本中的候選威脅行為，將候選威脅行為與預構建的攻擊行為模板庫匹配提取技術或戰術，根據CTI報告的文本語序，將提取的技術或戰術生成CTI報告的攻擊鏈；

步驟3、將所有CTI報告對應的攻擊鏈根據傳遞閉包思想聚類，根據聚類結果得出APT攻擊的不同類別。

以下還提供了若干可選方式，但并不作為對上述總體方案的額外限定，僅僅是進一步的增補或優選，在沒有技術或邏輯矛盾的前提下，各可選方式可單獨針對上述總體方案進行組合，還可以是多個可選方式之間進行組合。

作為優選，所述對CTI報告進行過濾轉換得到與攻擊相關的規范化句子，包括：

利用HAN模型過濾CTI報告中與攻擊無關的文本；

利用BiLSTM模型將CTI報告中句子的冗余單詞過濾；

對剩余的與攻擊相關的文本添加句子分隔符，將長句分解為短句，對于缺少主語的句子，為其添加先行名詞作為主語；

將所有為被動語態的句子轉換為主動語態，得到CTI報告中與攻擊相關的規范化句子。