用于对网络攻击进行预测的方法、装置、设备及存储介质制造方法及图纸

本披露公开了一种用于对网络攻击进行预测的方法、装置、设备及存储介质。该方法包括：根据当前攻击目标确定当前攻击手段和多个潜在攻击目标；利用攻击预测模型处理当前攻击手段，以得到潜在攻击手段及其发生概率；获取每一潜在攻击目标的静态检测结果；根据潜在攻击手段及其发生概率、每一潜在攻击目标的静态检测结果以及在静态检测结果下发生攻击手段的条件概率，计算每一潜在攻击目标受到潜在攻击手段的受攻击风险值；以及确定受攻击风险值最大的潜在攻击目标为预测攻击目标。本披露实施例的方法能够利用受攻击风险值筛选出最有可能遭受攻击的预测攻击目标，高效准确完成下一阶段的攻击目标的预测，提高预测准确性。提高预测准确性。提高预测准确性。

【技术实现步骤摘要】
用于对网络攻击进行预测的方法、装置、设备及存储介质


[0001]本披露一般涉及网络安全
更具体地，本披露涉及一种用于对网络攻击进行预测的方法、装置、电子设备及计算机可读存储介质。

技术介绍

[0002]网络安全技术通常都是对网络安全态势进行预测，从而在网络攻击事件发生前掌握网络的安全状态，由此及时采取相应的防护措施，避免遭受不必要的攻击和损失。
[0003]在已知的网络攻击威胁中，存在一类被称为高级持续性威胁（APT，Advanced Persistent Threat）的攻击，因其有组织、有特定目标、持续时间极长的攻击特性，成为了金融、能源、交通、政府、军工和电信等重要信息系统的重大威胁。由于APT的攻击渠道多样化、隐蔽时间长且攻击特征难以提取，使得攻击链下一步攻击手段难以预测，造成了极大的安全威胁。
[0004]现有技术所提供的网络攻击预测方法根据已公开的网络攻击事件确定多条攻击链，并根据目标主机当前遭受的网络攻击确定当前攻击阶段，参照攻击链上攻击阶段的排序预测出下一个攻击阶段，但其无法预测出攻击目标，无法为网络安全态势预测过程提供更精准的预测信息。
[0005]有鉴于此，亟需提供一种网络攻击预测方案，以便高效准确地预测出下一阶段的攻击目标，提高预测准确性。

技术实现思路

[0006]为了至少解决如上所提到的一个或多个技术问题，本披露在多个方面中提出了网络攻击预测方案。
[0007]在第一方面中，本披露提供一种用于对网络攻击进行预测的方法包括：根据当前攻击目标确定当前攻击手段和多个潜在攻击目标；利用攻击预测模型处理当前攻击手段，以得到潜在攻击手段及其发生概率；获取每一潜在攻击目标的静态检测结果；根据潜在攻击手段及其发生概率、每一潜在攻击目标的静态检测结果以及在静态检测结果下发生攻击手段的条件概率，计算每一潜在攻击目标受到潜在攻击手段的受攻击风险值；以及确定受攻击风险值最大的潜在攻击目标为预测攻击目标。
[0008]在一些实施例中，其中计算每一潜在攻击目标的受攻击风险值包括：根据潜在攻击手段及其发生概率、每一潜在攻击目标的静态检测结果以及在静态检测结果下发生攻击手段的条件概率，计算每一潜在攻击目标受到潜在攻击手段的受攻击概率；确定每一潜在攻击目标的预设目标价值；以及以每一潜在攻击目标的受攻击概率与预设目标价值的乘积作为每一潜在攻击目标的受攻击风险值。
[0009]在一些实施例中，其中在确定预测攻击目标之后，该方法还包括：针对预测攻击目标，根据潜在攻击手段及其发生概率、预测攻击目标的静态检测结果以及在静态检测结果下发生攻击手段的条件概率，计算每一潜在攻击手段的攻击概率；以及确定攻击概率最大
的潜在攻击手段为预测攻击手段。
[0010]在一些实施例中，每一潜在攻击目标的静态检测结果包括潜在攻击目标具有的安全特征，其中计算每一潜在攻击目标的受攻击概率包括：根据每一潜在攻击目标的静态检测结果，生成每一潜在攻击目标针对每一安全特征的Has函数；根据在静态检测结果下发生攻击手段的条件概率，生成每一潜在攻击手段针对每一安全特征的概率函数；以及根据Has函数、概率函数和每一潜在攻击手段的发生概率计算每一潜在攻击目标的受攻击概率。
[0011]在一些实施例中，其中根据Has函数、概率函数和每一潜在攻击手段的发生概率计算每一潜在攻击目标的受攻击概率包括：根据计算潜在攻击目标的受攻击概率；其中，P(b)表示潜在攻击目标b的受攻击概率，T表示潜在攻击手段的集合，表示潜在攻击手段，f表示潜在攻击目标b具有的安全特征，F表示潜在攻击目标b具有的安全特征的集合，表示潜在攻击手段的发生概率，表示每一潜在攻击手段针对每一安全特征f的概率函数，has(b,f)表示每一潜在攻击目标针对每一安全特征的Has函数。
[0012]在一些实施例中，其中针对预测攻击目标，计算每一潜在攻击手段的攻击概率包括：针对预测攻击目标b，根据计算每一潜在攻击手段的攻击概率；其中，攻击概率表示预测攻击目标b受到潜在攻击手段的概率，f表示潜在攻击目标b具有的安全特征，F表示潜在攻击目标b具有的安全特征的集合，表示潜在攻击手段的发生概率，表示每一潜在攻击手段相对于每一安全特征f的概率函数，反映了在静态检测结果下发生潜在攻击手段的条件概率，has(b,f)表示每一潜在攻击目标针对每一安全特征的Has函数，has(b,f)反映了潜在攻击目标b的静态检测结果。
[0013]在一些实施例中，其中生成每一潜在攻击目标针对每一安全特征的Has函数包括：若潜在攻击目标b具有安全特征f，则潜在攻击目标b针对安全特征f的Has函数has(b,f)的取值为1；以及若潜在攻击目标b不具有安全特征f，则潜在攻击目标b针对安全特征f的Has函数has(b,f)的取值为0。
[0014]在一些实施例中，其中生成每一潜在攻击手段针对每一安全特征的概率函数包括：根据历史静态检测结果及其关联的历史攻击手段进行数值统计，以得到每一攻击手段针对每一安全特征的概率函数rel(t,f)；以及基于概率函数rel(t,f)和潜在攻击手段得到每一潜在攻击手段针对每一安全特征的概率函数；其中，rel(t,f)∈[0,1]，t表示攻击手段，∈[0,1]，表示攻击手段，f表示安全特征。
[0015]在一些实施例中，其中在确定预测攻击手段之后，该方法还包括：对预测攻击目标采用针对预测攻击手段的攻击消减手段。
[0016]在一些实施例中，其中根据当前攻击目标确定当前攻击手段包括：对当前攻击目标进行动态监测，以得到当前攻击目标的动态监测日志；根据预设规则处理动态监测日志，以生成安全告警；以及根据安全告警确定当前攻击目标的当前攻击手段。
[0017]在一些实施例中，其中根据当前攻击目标确定潜在攻击目标包括：采集本地网络拓扑结构和网络连通性信息；以及将满足预设条件的目标和当前攻击目标作为潜在攻击目
标；预设条件包括在本地网络拓扑结构中，目标与当前攻击目标处于同一链路，且链路的网络连通性信息为连通。
[0018]在一些实施例中，其中在利用攻击预测模型处理当前攻击手段之前，该方法还包括：获取历史攻击数据；根据历史攻击数据截取历史攻击链；对历史攻击链进行特征提取，以得到训练样本；以及利用训练样本进行模型训练，以得到攻击预测模型。
[0019]在一些实施例中，历史攻击数据为历史攻击手段所构成的有序序列，历史攻击链为有序序列的子序列。
[0020]在第二方面中，本披露提供一种用于对网络攻击进行预测的装置包括：静态检测模块，其用于对潜在攻击目标进行静态检测；以及攻击预测模块，其与静态检测模块通信连接并且配合操作，以用于执行第一方面的方法。
[0021]在一些实施例中，该装置还包括：网络信息采集模块，其用于采集本地网络拓扑结构和网络连通性信息，以供攻击预测模块确定潜在攻击目标；以及动态监测模块，其用于对当前攻击目标进行动态监测，以供攻击预测模块确定当前攻击手段。
[0022]在第三方面中，本披露提供本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于对网络攻击进行预测的方法，其特征在于，包括：根据当前攻击目标确定当前攻击手段和多个潜在攻击目标；利用攻击预测模型处理当前攻击手段，以得到潜在攻击手段及其发生概率；获取每一潜在攻击目标的静态检测结果；根据所述潜在攻击手段及其发生概率、每一潜在攻击目标的静态检测结果以及在静态检测结果下发生攻击手段的条件概率，计算每一潜在攻击目标受到潜在攻击手段的受攻击风险值；以及确定受攻击风险值最大的潜在攻击目标为预测攻击目标。2.根据权利要求1所述的方法，其特征在于，其中计算每一潜在攻击目标的受攻击风险值包括：根据所述潜在攻击手段及其发生概率、每一潜在攻击目标的静态检测结果以及在静态检测结果下发生攻击手段的条件概率，计算每一潜在攻击目标受到潜在攻击手段的受攻击概率；确定每一潜在攻击目标的预设目标价值；以及以每一潜在攻击目标的受攻击概率与预设目标价值的乘积作为每一潜在攻击目标的受攻击风险值。3.根据权利要求1所述的方法，其特征在于，其中在确定预测攻击目标之后，所述方法还包括：针对所述预测攻击目标，根据所述潜在攻击手段及其发生概率、所述预测攻击目标的静态检测结果以及所述在静态检测结果下发生攻击手段的条件概率，计算每一潜在攻击手段的攻击概率；以及确定攻击概率最大的潜在攻击手段为预测攻击手段。4.根据权利要求2所述的方法，其特征在于，每一潜在攻击目标的静态检测结果包括所述潜在攻击目标具有的安全特征，其中计算每一潜在攻击目标的受攻击概率包括：根据每一潜在攻击目标的静态检测结果，生成每一潜在攻击目标针对每一安全特征的Has函数；根据所述在静态检测结果下发生攻击手段的条件概率，生成每一潜在攻击手段针对每一安全特征的概率函数；以及根据所述Has函数、所述概率函数和每一潜在攻击手段的发生概率计算每一潜在攻击目标的受攻击概率。5.根据权利要求4所述的方法，其特征在于，其中根据所述Has函数、所述概率函数和每一潜在攻击手段的发生概率计算每一潜在攻击目标的受攻击概率包括：根据计算潜在攻击目标的受攻击概率；其中，P(b)表示潜在攻击目标b的受攻击概率，T表示潜在攻击手段的集合，表示潜在攻击手段，f表示潜在攻击目标b具有的安全特征，F表示潜在攻击目标b具有的安全特征的集合，表示潜在攻击手段的发生概率，表示每一潜在攻击手段针对每一安全特征f的概率函数，has(b,f)表示每一潜在攻击目标针对每一安全特征的Has函数。6.根据权利要求3所述的方法，其特征在于，其中针对所述预测攻击目标，计算每一潜
在攻击手段的攻击概率包括：针对预测攻击目标b，根据计算每一潜在攻击手段的攻击概率；其中，攻击概率表示预测攻击目标b受到潜在攻击手段的概率，f表示潜在攻击目标b具有的安全特征，F表示潜在攻击目标b具有的安全特征的集合，表示潜在攻击手段的发生概率，表示每一潜在攻击手段相对于每一安全特征f的概率函数，反映了所述在静态检测结果下发生潜在攻击手段的条件概率，has(b,f)表示每一潜在攻击目标针对每一安全特征的Has函数，has(b,f)反映了潜在攻击目标b的静态检测结果。7.根据权利要求4或5所述的方法，其特征在于，其中生成每一潜在攻...

【专利技术属性】
技术研发人员：张文琴，李震宇，黄凯，
申请(专利权)人：杭州明实科技有限公司，
类型：发明
国别省市：