(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210960193.X (22)申请日 2022.08.11 (71)申请人 南京赛宁信息技 术有限公司 地址 211100 江苏省南京市江宁区秣周东 路12号 (72)发明人 高庆官　张博　付安民　王国伟　 杨劲松　 (74)专利代理 机构 南京苏高专利商标事务所 (普通合伙) 32204 专利代理师 孟红梅 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) (54)发明名称 一种基于APT攻击图的威胁检测方法、 装置 与设备 (57)摘要 本发明公开了一种基于APT攻击图的威胁检 测方法、 装置与设备。 本发明方法包括APT 攻击图 生成、 入侵警报收集、 攻击路径识别、 APT攻击检 测、 证据链重构等步骤。 本发明通过设计AP T攻击 图， 根据网络和系统信息预先分析攻击行动， 降 低了实时攻击分析开销； 从危害性、 必要性等多 角度评估攻击， 保证了威胁检测的全面性， 并设 计攻击路径评分方法， 实现了全局攻击分析； 关 联攻击行为痕迹形成证据链， 并利用灰名单关联 多攻击实体， 实现对攻击影响范围的准确定位。 通过结合AP T攻击预测、 检测和监测三方面能力， 有效打击了威胁警报疲劳问题， 并提高零日漏洞 利用检测的健壮性， 使 得本发明能够高效准确地 检测APT攻击 。 权利要求书2页 说明书8页 附图3页 CN 115484062 A 2022.12.16 CN 115484062 A 1.一种基于APT攻击图的威胁 检测方法， 其特 征在于， 包括如下步骤： 基于收集的网络与待保护系统信息生成APT攻击图， 并通过部署的入侵检测系统， 收集 恶意行为入侵警报； 所述APT攻击图中的攻击行为节点包括 攻击技术和APT阶段信息； 将入侵警报与APT攻击图中攻击技术进行匹配， 获取与入侵警报相关联的攻击路径， 攻 击路径上包括至少一个匹配到入侵警报的攻击行为节点； 从攻击行为常见度、 严重性和必要性出发对攻击路径上各攻击行为节点进行量化分 析， 分别得到常见度评分Sc、 严重性评分Ss和必要性评分Sn， 将 作 为APT攻击行为综合评分， 其中A为常见度和严重性评分的最高值， α、 β为大于0小于1的权 值， α +β ＝1， Sn取值为0或1， 若攻击行为是APT攻击必要阶段的行为， 则必要性取值为1； 将整 条攻击路径上所有匹配到入侵警报的攻击行为节点的综合评分累加， 作为路径评分， 基于 路径评分识别APT攻击； 对检测到APT攻击的攻击路径进行证据链重构， 显示攻击者行动和待保护系统中风险 实体之间的交 互。 2.根据权利 要求1所述的基于APT攻击图的威胁检测方法， 其特征在于， 生成APT攻击图 时， 利用Mulval框架对收集的信息进行推理分析， 先推理出可能的攻击行为， 再分析攻击行 为对应的APT阶段； 从攻击阶段为侦察、 资源开发或初始访问的攻击初期节点出发， 沿着边 的指向进行推理； 若攻击图中存在一条由节点A指向节点B的有向边， 定义节点A为节点B的 前置节点， 节点B为节点A的后置节点； 推理规则如下： (1)后置节点的对应阶段是前置节点 的后续阶段， 后续阶段是前置节点的APT阶段的下一个阶段或者与前置节点的APT阶段相 同； (2)若节 点存在多个后续阶段， 分别基于每个阶段向后分析； (3)若后置节 点无法满足攻 击阶段关系要求则路径不成立； (4)最终攻击图中包 含推理得到的全部攻击阶段路径。 3.根据权利要求1所述的基于APT攻击 图的威胁检测方法， 其特征在于， 在攻击行为量 化分析过程中， 基于ATT&CK模型将攻击行为的常见度和严重性划分等级， 攻击行为越常见， 则常见度分数越高， 攻击行为越严重， 则严重性分数越高。 4.根据权利要求1所述的基于APT攻击 图的威胁检测方法， 其特征在于， 将收集到的入 侵警报根据警报特征之 间的相似度进 行聚合， 合并由同一攻击行为引起的多个警报到一个 警报组， 缩 减警报规模。 5.根据权利要求1所述的基于APT攻击 图的威胁检测方法， 其特征在于， 在将入侵警报 与攻击图进行匹配时， 若存在未被匹配到攻击图中任一攻击行为节点的警报， 则作为独立 警报保存； 若独立警报存在相似警报， 则将独立警报加入相似警报所匹配的攻击行为节点。 6.根据权利要求1所述的基于APT攻击图的威胁检测方法， 其特征在于， 证据链重构时， 首先关联APT攻击路径上的警报实体， 根据警报间关联生成初始证据 链； 然后基于事件发生 频率缩减证据链方法， 以及基于灰名单 的多攻击实体关联机制， 在入侵警报信息基础上进 行系统实体筛 选。 7.根据权利要求6所述的基于APT攻击 图的威胁检测方法， 其特征在于， 所述基于灰名 单的多攻击实体关联机制是： 将基于事件发生频率排除掉的系统实体加入监测灰名单， 对 灰名单实体进 行可信程度评价， 0级 可信程度最低； 若异常得分低于 设定阈值的事件关联的 实体初次在攻击中出现， 不显示为攻击证据并在灰名单中记录， 可信程度置1； 若可信程度权　利　要　求　书 1/2 页 2 CN 115484062 A 2为1的实体与其他攻击发生关联， 则将其可信程度置为0并进行检查； 若实体检查结果为安 全则将可信程度置2； 可信程度为2的实体经过设定时间窗口后予以删除； 其中事件异常得 分＝1‑事件频率得分， 事 件频率得分归一 化到[0,1]的区间。 8.一种基于APT攻击图的威胁 检测装置， 其特 征在于， 包括： APT攻击图生成模块， 用于基于收集的网络与待保护系统信息生成APT攻击图， APT攻击 图中的攻击行为节点包括 攻击技术和APT阶段信息； 警报收集模块， 用于通过部署的入侵检测系统， 收集恶意行为入侵警报； 攻击路径识别 模块， 用于将入侵警报与APT攻击图中攻击技术进行匹配， 获取与入侵警 报相关联的攻击路径， 攻击路径上包括至少一个匹配到入侵警报的攻击行为节点； APT攻击检测模块， 用于从攻击行为常见度、 严重性和必要性出发对攻击路径上各攻击 行为节点进行量化分析， 分别得到常见度评分Sc、 严重性评分Ss和必要性评分Sn， 将 作为APT攻击行为综合评分， 其中A为常见度和严重性评分的最 高值， α、 β 为大于0小于1的权值， α +β ＝1， Sn取值为0或1， 若攻击行为是APT攻击必要阶段 的 行为， 则必 要性取值为 1； 将整条攻击路径上所有匹配到入侵警报的攻击行为节点的综合评 分累加， 作为路径评分， 基于路径评分识别APT攻击； 以及证据链还原模块， 用于对检测到APT攻击的攻击路径进行证据链重构， 显示攻击者 行动和待保护系统中风险实体之间的交 互。 9.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述计算机程序被加载至处理器时实现根据权利要求 1‑7任一项所 述的基于APT攻击图的威胁 检测方法的步骤。 10.一种计算机可读存储介质， 所述计算机可读存储介质存储有计算机程序， 其特征在 于， 所述计算机程序被处理器执行时实现根据权利要求 1‑7任一项所述的基于APT攻击图的 威胁检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 115484062 A 3