本发明专利技术提出了一种行为预测方法及装置、电子设备和计算机可读存储介质,应用于网络安全技术领域,该方法包括:从网络信息中提取攻击威胁信息;根据所述攻击威胁信息,确定当前攻击行为链路;基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为;根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度;将置信度最大的所述预测攻击行为确定为目标攻击行为。本发明专利技术的技术方案,利用APT攻击中难以更改自身的攻击路径的特征,在攻击路径这一层面上,基于预设链路模型来预测可能出现的攻击行为,能够有效提升APT攻击防护的有效性,保护网络安全。安全。安全。
【技术实现步骤摘要】
行为预测方法及装置、电子设备和计算机可读存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种行为预测方法及装置、电子设备和计算机可读存储介质。
技术介绍
[0002]随着网络攻击手段和渠道的多元化发展,APT攻击已经成为网络安全行业面临的主要威胁之一。近年来,APT攻击事件频发,给网络安全带来严重威胁。传统的网络安全防护手段本质上是一种被动防御机制,而目前具有高针对性、持续性、隐蔽性的APT攻击活动,已可规避现有的网络安全防护手段,导致防护手段失效。
[0003]因此,如何提升应对APT攻击的有效性,成为目前亟待解决的技术问题。
技术实现思路
[0004]本专利技术实施例提供了一种行为预测方法及装置、电子设备和计算机可读存储介质,旨在解决相关技术中针对APT攻击的防护措施有效性不足的技术问题。
[0005]第一方面,本专利技术实施例提供了一种行为预测方法,包括:从网络信息中提取攻击威胁信息;根据所述攻击威胁信息,确定当前攻击行为链路;基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为;根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度;将置信度最大的所述预测攻击行为确定为目标攻击行为。
[0006]在本专利技术上述实施例中,可选地,所述根据所述攻击威胁信息,确定当前攻击行为链路的步骤,包括:按照预定的匹配规则,在攻击行为数据库中为所述攻击威胁信息匹配对应的攻击战术信息、攻击技术信息和子技术信息,并以匹配结果生成为所述当前攻击行为链路。
[0007]在本专利技术上述实施例中,可选地,若所述当前攻击行为链路是所述已知攻击行为链路中的部分链路,则将所述已知攻击行为链路确定为目标攻击行为链路,将所述目标攻击行为链路中位于所述当前攻击行为链路后的首个攻击行为确定为预测攻击行为。
[0008]在本专利技术上述实施例中,可选地,所述根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度的步骤,包括:对于每个所述预测攻击行为,获取所述预测攻击行为在多个所述预定设备中发生的概率;对多个所述预定设备各自对应的概率加权求平均值,得到所述预测攻击行为的置信度。
[0009]在本专利技术上述实施例中,可选地,在所述基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为之前,还包括:基于攻击行为数据库,确定所述当前攻击行为链路的攻击意图;在多个类型的预设链路模型中选择与所述当前攻击行为链路的攻击意图类型相匹配的所述预设链路模型。
[0010]在本专利技术上述实施例中,可选地,所述预设链路模型的类型,包括:窃密型预设链路模型、获利型预设链路模型、破坏型预设链路模型。
[0011]第二方面,本专利技术实施例提供了一种行为预测装置,包括:攻击威胁信息获取单元,用于从网络信息中提取攻击威胁信息;攻击行为链路确定单元,用于根据所述攻击威胁信息,确定当前攻击行为链路;预测攻击行为确定单元,用于基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为;置信度计算单元,用于根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度;目标攻击行为确定单元,用于将置信度最大的所述预测攻击行为确定为目标攻击行为。
[0012]在本专利技术上述实施例中,可选地,所述攻击行为链路确定单元用于:按照预定的匹配规则,在攻击行为数据库中为所述攻击威胁信息匹配对应的攻击战术信息、攻击技术信息和子技术信息,并以匹配结果生成为所述当前攻击行为链路。
[0013]在本专利技术上述实施例中,可选地,所述预设链路模型中设置有多种已知攻击行为链路;所述预测攻击行为确定单元用于:若所述当前攻击行为链路是所述已知攻击行为链路中的部分链路,则将所述已知攻击行为链路确定为目标攻击行为链路,将所述目标攻击行为链路中位于所述当前攻击行为链路后的首个攻击行为确定为预测攻击行为。
[0014]在本专利技术上述实施例中,可选地,所述置信度计算单元用于:对于每个所述预测攻击行为,获取所述预测攻击行为在多个所述预定设备中发生的概率;对多个所述预定设备各自对应的概率加权求平均值,得到所述预测攻击行为的置信度。
[0015]在本专利技术上述实施例中,可选地,所述预测攻击行为确定单元用于:基于攻击行为数据库,确定所述当前攻击行为链路的攻击意图;在多个类型的预设链路模型中选择与所述当前攻击行为链路的攻击意图类型相匹配的所述预设链路模型。
[0016]在本专利技术上述实施例中,可选地,所述预设链路模型的类型,包括:窃密型预设链路模型、获利型预设链路模型、破坏型预设链路模型。
[0017]第三方面,本专利技术实施例提供了一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行上述第一方面中任一项所述的方法。
[0018]第四方面,本专利技术实施例提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述第一方面中任一项所述的方法流程。
[0019]以上技术方案,针对相关技术中针对APT攻击的防护措施有效性不足的技术问题,利用APT攻击中难以更改自身的攻击路径的特征,在攻击路径这一层面上,基于预设链路模型来预测可能出现的攻击行为,能够有效提升APT攻击防护的有效性,保护网络安全。
【附图说明】
[0020]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0021]图1示出了根据本专利技术的一个实施例的行为预测方法的流程图;
[0022]图2示出了根据本专利技术的一个实施例的行为预测装置的框图;
[0023]图3示出了根据本专利技术的一个实施例的电子设备的框图。
【具体实施方式】
[0024]为了更好的理解本专利技术的技术方案,下面结合附图对本专利技术实施例进行详细描述。
[0025]应当明确,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。
[0026]在本专利技术实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本专利技术。在本专利技术实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
[0027]图1示出了根据本专利技术的一个实施例的行为预测方法的流程图。
[0028]如图1所示,根据本专利技术的一个实施例的行为预测方法的流程包括:
[0029]步骤102,从网络信息中提取攻击威胁信息。
[0030]其中,网络信息包括但不限于网络设备、网络安全设备、终端设备等各种本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种行为预测方法,其特征在于,包括:从网络信息中提取攻击威胁信息;根据所述攻击威胁信息,确定当前攻击行为链路;基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为;根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度;将置信度最大的所述预测攻击行为确定为目标攻击行为。2.根据权利要求1所述的行为预测方法,其特征在于,所述根据所述攻击威胁信息,确定当前攻击行为链路的步骤,包括:按照预定的匹配规则,在攻击行为数据库中为所述攻击威胁信息匹配对应的攻击战术信息、攻击技术信息和子技术信息,并以匹配结果生成所述当前攻击行为链路。3.根据权利要求1所述的行为预测方法,其特征在于,所述预设链路模型中设置有多种已知攻击行为链路;所述基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为的步骤,包括:若所述当前攻击行为链路是所述已知攻击行为链路中的部分链路,则将所述已知攻击行为链路确定为目标攻击行为链路,将所述目标攻击行为链路中位于所述当前攻击行为链路后的首个攻击行为确定为预测攻击行为。4.根据权利要求1至3中任一项所述的行为预测方法,其特征在于,所述根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度的步骤,包括:对于每个所述预测攻击行为,获取所述预测攻击行为在多个所述预定设备中发生的概率;对多个所述预定设备各自对应的概率加权求平均值,得到所述预测攻击行为...
【专利技术属性】
技术研发人员:赵玉迎,任洪伟,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。