一种攻击场景重构方法及装置、电子设备制造方法及图纸

本申请提供一种攻击场景重构方法及装置、电子设备，应用于网络安全技术领域，其中，攻击场景重构方法包括：获取根据告警数据构建得到的告警事件关联图；其中，告警数据包括第一预设时间段内多个告警事件对应的数据，告警事件关联图以告警事件为节点且以告警事件之间的关联关系为边；从告警事件关联图中提取多条目标链路；将目标链路输入实体关系联合抽取模型中，得到实体关系联合抽取模型输出的攻击预测结果；基于攻击预测结果进行攻击场景重构，得到对应的攻击场景重构图。在上述方案中，通过上述实体关系联合抽取模型对告警事件进行实体关系的抽取，从而使得对属性字段部分缺失的告警也可以进行攻击场景重构。告警也可以进行攻击场景重构。告警也可以进行攻击场景重构。

【技术实现步骤摘要】
一种攻击场景重构方法及装置、电子设备


[0001]本申请涉及网络安全
，具体而言，涉及一种攻击场景重构方法及装置、电子设备。

技术介绍

[0002]攻击场景定义为由告警数据依据特定联系(例如：时间顺序、因果关系等)组成的序列，用来刻画一次完整的攻击入侵过程；而攻击场景重构就是从告警日志数据中还原攻击场景的过程。通过攻击场景重构，可以剖析出攻击者常使用的攻击方式及攻击意图，从而为安全管理员构建更安全的防护体系提供依据，进而保证网络空间的安全。
[0003]在现有的攻击场景重构方法中，如果告警事件属性信息中的因果关联字段信息(如杀伤链阶段等)缺失，则无法完成重构操作。

技术实现思路

[0004]本申请实施例的目的在于提供一种攻击场景重构方法及装置、电子设备，用以解决现有技术中如果告警事件属性信息中的因果关联字段信息缺失则无法完成重构操作的技术问题。
[0005]第一方面，本申请实施例提供一种攻击场景重构方法，包括：获取根据告警数据构建得到的告警事件关联图；其中，所述告警数据包括第一预设时间段内多个告警事件对应的数据，所述告警事件关联图以所述告警事件为节点且以所述告警事件之间的关联关系为边；从所述告警事件关联图中提取多条目标链路；将所述目标链路输入实体关系联合抽取模型中，得到所述实体关系联合抽取模型输出的攻击预测结果；基于所述攻击预测结果进行攻击场景重构，得到对应的攻击场景重构图。在上述方案中，在构建得到告警事件关联图后，可以从上述告警事件关联图中提取多条目标链路，并将上述目标链路作为模型输入，从而得到模型输出的攻击预测结果。其中，上述模型可以采用实体关系联合抽取模型，通过上述实体关系联合抽取模型对告警事件进行实体关系的抽取，从而使得对属性字段部分缺失的告警也可以进行攻击场景重构。
[0006]在可选的实施方式中，所述从所述告警事件关联图中提取多条目标链路，包括：基于所述告警事件关联图对所述告警事件进行聚类，得到聚类关联图；其中，所述聚类关联图中的节点数量小于所述告警事件关联图中的节点数量；从所述聚类关联图中提取所述目标链路。在上述方案中，在构建得到告警事件关联图后，可以对告警事件关联图中的告警事件进行聚类，从而降低模型的计算量，增强模型的检测效率。
[0007]在可选的实施方式中，利用局部社区发现算法对所述告警事件进行聚类。在上述方案中，可以采用局部社区发现算法对告警事件关联图中的告警事件进行聚类，从而降低模型的计算量，增强模型的检测效率。
[0008]在可选的实施方式中，所述获取根据告警数据构建得到的告警事件关联图，包括：获取初始数据；对所述初始数据进行格式化处理和/或去误报处理，得到所述告警数据；根
据所述告警数据构建所述告警事件关联图。在上述方案中，由于初始数据来源于不同的设备，因此初始数据的格式可能不同，可以通过对初始数据进行格式化处理，使得数据统一格式，方便下一步的数据处理；而由于初始数据中可能包括误告警，为了避免误告警对预测的影响，因此可以通过对初始数据进行去误报处理，提高预测的准确性。
[0009]在可选的实施方式中，对所述初始数据进行去误报处理，包括：根据所述初始数据对所述告警事件进行分组，得到多个告警组别；去除所述告警事件的数量大于预设数量或者所述告警事件的间隔小于预设时间的告警组别；和/或，根据所述初始数据计算所述告警事件对应的告警周期；去除所述告警周期对应的自相关系数大于预设系数的告警事件。在上述方案中，由于误告警具有规律性，因此可以基于误告警的高频性和/或周期性进行误报消除，从而提高预测的准确性。
[0010]在可选的实施方式中，在所述基于所述攻击预测结果进行攻击场景重构，得到对应的攻击场景重构图之后，所述方法还包括：根据所述攻击场景重构图确定最后一个杀伤链阶段节点；将与所述最后一个杀伤链阶段节点连接的主机确定为目标主机。在上述方案中，在得到攻击场景重构图后，可以基于上述攻击场景重构图确定下一步可能攻击的目标主机，从而可以制定相应的预防措施。
[0011]在可选的实施方式中，所述实体关系联合抽取模型通过如下过程进行训练：获取根据样本数据构建得到的样本事件关联图；其中，所述样本数据包括第二预设时间段内多个样本事件对应的数据，所述第二预设时间段大于所述第一预设时间段，所述样本事件关联图以所述样本事件为节点且以所述样本事件之间的关联关系为边；从所述样本事件关联图中提取多条样本链路，并对所述样本链路中的攻击链路以及非攻击链路进行标注，得到对应的标注数据；根据所述样本链路以及所述标注数据对所述实体关系联合抽取模型的参数进行更新。在上述方案中，在构建得到样本事件关联图后，可以从上述样本事件关联图中提取多条样本链路，并对上述样本链路进行标注，从而可以基于上述标注数据以及样本链路对实体关系联合抽取模型进行训练。其中，通过上述实体关系联合抽取模型对告警事件进行实体关系的抽取，从而使得对属性字段部分缺失的告警也可以进行攻击场景重构。
[0012]第二方面，本申请实施例提供一种攻击场景重构装置，包括：获取模块，用于获取根据告警数据构建得到的告警事件关联图；其中，所述告警数据包括第一预设时间段内多个告警事件对应的数据，所述告警事件关联图以所述告警事件为节点且以所述告警事件之间的关联关系为边；提取模块，用于从所述告警事件关联图中提取多条目标链路；预测模块，用于将所述目标链路输入实体关系联合抽取模型中，得到所述实体关系联合抽取模型输出的攻击预测结果；重构模块，用于基于所述攻击预测结果进行攻击场景重构，得到对应的攻击场景重构图。在上述方案中，在构建得到告警事件关联图后，可以从上述告警事件关联图中提取多条目标链路，并将上述目标链路作为模型输入，从而得到模型输出的攻击预测结果。其中，上述模型可以采用实体关系联合抽取模型，通过上述实体关系联合抽取模型对告警事件进行实体关系的抽取，从而使得对属性字段部分缺失的告警也可以进行攻击场景重构。
[0013]在可选的实施方式中，所述提取模块具体用于：基于所述告警事件关联图对所述告警事件进行聚类，得到聚类关联图；其中，所述聚类关联图中的节点数量小于所述告警事件关联图中的节点数量；从所述聚类关联图中提取所述目标链路。在上述方案中，在构建得
到告警事件关联图后，可以对告警事件关联图中的告警事件进行聚类，从而降低模型的计算量，增强模型的检测效率。
[0014]在可选的实施方式中，利用局部社区发现算法对所述告警事件进行聚类。在上述方案中，可以采用局部社区发现算法对告警事件关联图中的告警事件进行聚类，从而降低模型的计算量，增强模型的检测效率。
[0015]在可选的实施方式中，所述获取模块具体用于：获取初始数据；对所述初始数据进行格式化处理和/或去误报处理，得到所述告警数据；根据所述告警数据构建所述告警事件关联图。在上述方案中，由于初始数据来源于不同的设备，因此初始数据的格式可能不同，可以通过对初始数据进行格式化处理，使得数据统一格式，方便下一步的数据处理；而由于初始数据中可能包括误告警，为了避免误告警对预本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击场景重构方法，其特征在于，包括：获取根据告警数据构建得到的告警事件关联图；其中，所述告警数据包括第一预设时间段内多个告警事件对应的数据，所述告警事件关联图以所述告警事件为节点且以所述告警事件之间的关联关系为边；从所述告警事件关联图中提取多条目标链路；将所述目标链路输入实体关系联合抽取模型中，得到所述实体关系联合抽取模型输出的攻击预测结果；基于所述攻击预测结果进行攻击场景重构，得到对应的攻击场景重构图。2.根据权利要求1所述的攻击场景重构方法，其特征在于，所述从所述告警事件关联图中提取多条目标链路，包括：基于所述告警事件关联图对所述告警事件进行聚类，得到聚类关联图；其中，所述聚类关联图中的节点数量小于所述告警事件关联图中的节点数量；从所述聚类关联图中提取所述目标链路。3.根据权利要求2所述的攻击场景重构方法，其特征在于，利用局部社区发现算法对所述告警事件进行聚类。4.根据权利要求1所述的攻击场景重构方法，其特征在于，所述获取根据告警数据构建得到的告警事件关联图，包括：获取初始数据；对所述初始数据进行格式化处理和/或去误报处理，得到所述告警数据；根据所述告警数据构建所述告警事件关联图。5.根据权利要求4所述的攻击场景重构方法，其特征在于，对所述初始数据进行去误报处理，包括：根据所述初始数据对所述告警事件进行分组，得到多个告警组别；去除所述告警事件的数量大于预设数量或者所述告警事件的间隔小于预设时间的告警组别；和/或，根据所述初始数据计算所述告警事件对应的告警周期；去除所述告警周期对应的自相关系数大于预设系数的告警事件。6.根据权利要求1所述的攻击场景重构方法，其特征在于，在所述基于所述攻击预测结果进行攻击场景重构，得到对应的攻击场景重构图之后，所述方法还包括：根据所述攻击场景重构图确定最后一个杀伤链阶段节点；将与所述最后一个杀伤...

【专利技术属性】
技术研发人员：刘柱，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：