一种基于ATT&CK框架的网络攻击预测方法技术

本发明专利技术涉及网络安全领域，特别涉及一种基于ATT&CK框架的网络攻击预测方法。包括根据ATT&CK威胁框架，确定出目标攻击事件的已用特征序列。将已用特征序列与历史事件特征库中的每一历史特征序列进行相似度处理，生成每一历史技战术与已用特征序列的相似度。将对应相似度大于预测阈值的历史特征序列，确定为目标预测特征序列。根据目标预测特征序列中的攻击特征，生成目标攻击事件在未来时刻发生的攻击信息。本发明专利技术利用历史事件特征库与尚未完成实施的攻击事件进行相似性计算，来预测下一步可能会发生的攻击行为，从而快速预测攻击事件的攻击意图以及攻击范围。可减少防御措施的滞后性，对攻击行为进行有效制止，提高防御能力。提高防御能力。提高防御能力。

【技术实现步骤摘要】
一种基于ATT＆CK框架的网络攻击预测方法


[0001]本专利技术涉及网络安全领域，特别是涉及一种基于ATT&CK框架的网络攻击预测方法。

技术介绍

[0002]网络的高速发展导致对网络安全要求提高，网络攻击的深入分析又是一个非常复杂的研究领域，如何通过已知的攻击事件去预判未来可能发生的威胁是当前安全研究的重点方向之一。
[0003][0004]网络攻击通过单步的攻击行为就能对攻击目标构成威胁的可能性很小，大多数攻击者都是通过一系列的步骤和组合协调攻击来实现有具体目标的行动计划，这使得网络面临的安全问题日益严重，网络安全呈现出易攻难守的局面。
[0005]现有技术中，多是使用被动辅助防御的策略，对已经出现的攻击行为进行阻止及防御。也即均是在攻击已经成功后，才能采取对应的防御措施。由此，使得现有技术中的防御措施较为滞后，无法更加及时的对攻击行为进行有效制止，防御能力较低。

技术实现思路

[0006]针对上述防御措施较为滞后，无法更加及时的对攻击行为进行有效制止，防御能力较低的技术问题，本专利技术采用的技术方案为：
[0007]根据本专利技术的一个方面，提供了一种基于ATT&CK框架的网络攻击预测方法，该方法包括如下步骤：
[0008]根据ATT&CK威胁框架，确定出目标攻击事件的已用特征序列；已用特征序列为目标攻击事件在当前时间时已具有的所有攻击特征的序列；
[0009]将已用特征序列与历史事件特征库中的每一历史特征序列进行相似度处理，生成每一历史技战术与已用特征序列的相似度；历史特征序列为历史攻击事件中具有的所有攻击特征的序列；
[0010]将对应相似度大于预测阈值的历史特征序列，确定为目标预测特征序列；
[0011]根据目标预测特征序列中在已用特征序列之后对应的攻击特征，生成目标攻击事件在未来时刻发生的攻击信息。
[0012]在本专利技术中，进一步的，攻击特征包括攻击技战术特征，相似度处理包括：
[0013]对已用特征序列与每一历史特征序列进行路径特征相似度处理，生成每一历史特征序列对应的第一相似度；
[0014]对已用特征序列与每一历史特征序列进行特征时序相似度处理，生成每一历史特征序列对应的第二相似度。
[0015]在本专利技术中，进一步的，第一相似度对应第一权重；第二相似度对应第二权重；
[0016]将对应相似度大于预测阈值的历史特征序列，确定为目标预测特征序列，包括：
[0017]根据第一相似度、第二相似度、第一权重及第二权重，生成每一历史特征序列对应的第一混合相似度；
[0018]将第一混合相似度大于预测阈值的历史特征序列，确定为目标预测特征序列。
[0019]在本专利技术中，进一步的，攻击特征还包括攻击行为特征，相似度处理还包括：
[0020]对已用特征序列与每一历史特征序列进行攻击行为相似度处理，生成每一历史特征序列对应的第三相似度。
[0021]在本专利技术中，进一步的，第一相似度对应第一权重；第二相似度对应第二权重；第三相似度对应第三权重；
[0022]将对应相似度大于预测阈值的历史特征序列，确定为目标预测特征序列，包括：
[0023]根据第一相似度、第二相似度、第三相似度、第一权重、第二权重及第三权重，生成每一历史特征序列对应的第二混合相似度；
[0024]将第二混合相似度大于预测阈值的历史特征序列，确定为目标预测特征序列。
[0025]在本专利技术中，进一步的，历史事件特征库中包括多个攻击类型，每一攻击类型对应至少一个技战术序列，每一技战术序列对应至少一个攻击行为序列。
[0026]在本专利技术中，进一步的，生成目标攻击事件在未来时刻发生的攻击信息，包括：
[0027]生成目标攻击事件在未来时刻发生的攻击技战术信息和/或攻击行为信息。
[0028]根据本专利技术的第二个方面，提供了一种基于ATT&CK框架的网络攻击预测装置，包括：
[0029]序列确定模块，用于根据ATT&CK威胁框架，确定出目标攻击事件的已用特征序列；已用特征序列为目标攻击事件在当前时间时已具有的所有攻击特征的序列；
[0030]相似度处理模块，用于将已用特征序列与历史事件特征库中的每一历史特征序列进行相似度处理，生成每一历史技战术与已用特征序列的相似度；历史特征序列为历史攻击事件中具有的所有攻击特征的序列；
[0031]序列预测模块，用于将对应相似度大于预测阈值的历史特征序列，确定为目标预测特征序列；
[0032]预测信息生成模块，用于根据目标预测特征序列中在已用特征序列之后对应的攻击特征，生成目标攻击事件在未来时刻发生的攻击信息。
[0033]根据本专利技术的第三个方面，提供了一种非瞬时性计算机可读存储介质，非瞬时性计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述的一种基于ATT&CK框架的网络攻击预测方法。
[0034]根据本专利技术的第四个方面，提供了一种电子设备，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述的一种基于ATT&CK框架的网络攻击预测方法。
[0035]本专利技术至少具有以下有益效果：
[0036]本专利技术使用ATT&CK框架，来对网络攻击时所采用的技战术及行为进行确定。由此，可以形成对应的已用特征序列。同时，很多攻击团伙及组织都采用相同的技术，对攻击目标实施攻击，可以理解为攻击团伙自己的技战术手册。所以现有的攻击手段大多是使用已有的攻击手段或稍加改进之后得到。由此，现有的攻击手段与历史中已发生过的攻击手段存在一定的相似度。本专利技术中利用对历史攻击事件的分析成果，形成攻击事件的攻击目标、攻
击意图、使用技战术等历史事件特征库。利用历史事件特征库与尚未完成实施阶段的攻击事件的已用特征序列进行相似性计算，获取特征序列相似的攻击事件，结合历史相似攻击事件的供给特征，来预测下一步可能会发生的攻击行为，从而快速预测攻击事件的攻击意图以及攻击范围。
[0037]在攻击事件尚未成功实施前，通过自动化的方法对攻击事件的下一步攻击行为进行预测，进而感知攻击者的攻击意图以及攻击范围，提前对自身的资产及网络进行安全加固，并制定反制措施。由此，可以减少防御措施的滞后性，进而可以更加及时的对攻击行为进行有效制止，提高防御能力。
附图说明
[0038]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0039]图1为本专利技术实施例提供的一种基于ATT&CK框架的网络攻击预测方法的流程图。
[0040]图2本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于ATT&CK框架的网络攻击预测方法，其特征在于，所述方法包括如下步骤：根据ATT&CK威胁框架，确定出目标攻击事件的已用特征序列；所述已用特征序列为所述目标攻击事件在当前时间时已具有的所有攻击特征的序列；将所述已用特征序列与历史事件特征库中的每一历史特征序列进行相似度处理，生成每一历史技战术与所述已用特征序列的相似度；所述历史特征序列为历史攻击事件中具有的所有攻击特征的序列；将对应相似度大于预测阈值的历史特征序列，确定为目标预测特征序列；根据所述目标预测特征序列中在所述已用特征序列之后对应的攻击特征，生成所述目标攻击事件在未来时刻发生的攻击信息。2.根据权利要求1所述的方法，其特征在于，所述攻击特征包括攻击技战术特征，所述相似度处理包括：对所述已用特征序列与每一所述历史特征序列进行路径特征相似度处理，生成每一所述历史特征序列对应的第一相似度；对所述已用特征序列与每一所述历史特征序列进行特征时序相似度处理，生成每一所述历史特征序列对应的第二相似度。3.根据权利要求2所述的方法，其特征在于，所述第一相似度对应第一权重；所述第二相似度对应第二权重；将对应相似度大于预测阈值的历史特征序列，确定为目标预测特征序列，包括：根据第一相似度、第二相似度、第一权重及第二权重，生成每一所述历史特征序列对应的第一混合相似度；将所述第一混合相似度大于预测阈值的历史特征序列，确定为目标预测特征序列。4.根据权利要求2所述的方法，其特征在于，所述攻击特征还包括攻击行为特征，所述相似度处理还包括：对所述已用特征序列与每一所述历史特征序列进行攻击行为相似度处理，生成每一所述历史特征序列对应的第三相似度。5.根据权利要求4所述的方法，其特征在于，所述第一相似度对应第一权重；所述第二相似度对应第二权重；所述第三相似度对应第三权重；将对应相似度大于预测阈值的历史特征序列，确定为目标预测特征序列，包括：根据...

【专利技术属性】
技术研发人员：董晓齐，沈长伟，
申请(专利权)人：安天科技集团股份有限公司，
类型：发明
国别省市：