(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210034167.4 (22)申请日 2022.01.13 (66)本国优先权数据 202110938833.2 2021.08.16 CN (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450000 河南省郑州市高新区科 学大 道62号 (72)发明人 胡浩　孙澄　刘怀兴　张恒巍　 蔡镇　李炳龙　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 代理人 周艳巧 (51)Int.Cl. H04L 9/40(2022.01)H04L 41/142(2022.01) G06F 16/36(2019.01) (54)发明名称 面向攻击溯源的威胁情报智能分析方法及 系统 (57)摘要 本发明属于网络信息安全分析技术领域， 特 别涉及一种面向攻击溯源的威胁情报智能分析 方法及系统， 通过分析场景中脆弱性利用动作， 构建用于刻画攻击事件中攻击步骤类型的攻击 事件框架， 并以攻击事件为单位进行攻击告警关 联， 重构攻击场景； 提取攻击场景中威胁特征作 为指纹特征， 构建威胁指纹知识图谱； 通过比较 知识图谱中指纹特征相似性来挖掘攻击场景幕 后攻击者。 本发 明以脆弱性利用动作为核心构建 攻击事件框架， 以事件为单位实施告警关联重构 攻击场景； 利用威胁指纹知识图谱整合已公开威 胁情报知识， 抽取攻击场景中威胁指纹特征， 分 析两者相似性溯源攻击者， 充实攻击行为上下文 信息， 有效溯源攻击者， 提高威胁特征识别全面 性， 具有较好应用前 景。 权利要求书2页 说明书15页 附图4页 CN 114422224 A 2022.04.29 CN 114422224 A 1.一种面向攻击溯源的威胁情 报智能分析 方法， 其特 征在于， 包 含如下内容： 通过分析场景中脆弱性利用动作， 构建用于刻画攻击事件中攻击步骤类型的攻击事件 框架， 并以攻击事 件为单位进行攻击告警关联， 重构攻击场景； 提取攻击场景中威胁特征作为指纹特征， 构建威胁指纹知识图谱； 通过比较知识图谱 中指纹特 征相似性 来挖掘攻击场景幕后攻击者。 2.根据权利要求1所述的面向攻击溯源的威胁情报智能分析方法， 其特征在于， 基于杀 伤链模型构建用于作为攻击事件框架的单个攻击事件模板， 其中， 攻击事件中攻击步骤由 先至后依次表示为侦察、 攻击武器构 造、 攻击载荷投送、 脆弱性利用、 恶意程序安装、 命令控 制活动及目标 行动。 3.根据权利要求1或2所述的面向攻击溯源的威胁情报智能分析方法， 其特征在于， 重 构攻击场景中， 首先， 利用先验知识聚合攻击步骤 所引发的攻击告警， 生 成元告警； 然后， 以 脆弱性利用元告警为基点， 聚合攻击上下文告警， 识别攻击事件， 并添加至对应脆弱性利用 动作的列 表中； 以脆弱性利用前后依赖 关系及告警时序关系将识别的攻击事件前后关联为 攻击场景。 4.根据权利要求3所述的面向攻击溯源的威胁情报智能分析方法， 其特征在于， 识别攻 击事件中， 首先对多源告警信息进行预处理， 统一告警格式； 然后， 通过参数匹配方式从原 始告警中提取脆弱性利用引发的原始告警， 将符合预设具体条件的告警聚合为元告警； 以 脆弱性利用元告警为基点， 通过 预设时间窗口来聚合 攻击上下文告警。 5.根据权利要求3所述的面向攻击溯源的威胁情报智能分析方法， 其特征在于， 攻击事 件关联中， 假设一个场景中同一脆弱性利用仅存在一个对应的攻击事件， 通过聚合断点处 攻击上下文作为证据， 对相关攻击场景片段进行拼接 。 6.根据权利要求1所述的面向攻击溯源的威胁情报智能分析方法， 其特征在于， 以作为 威胁主体的攻击者作为分析对 象， 抽取威胁情报、 攻击场景中与攻击者身份相关的威胁要 素特征来构建威胁指纹知识图谱。 7.根据权利要求1或6所述的面向攻击溯源的威胁情报智能分析方法， 其特征在于， 威 胁指纹知识图谱表示为(TFO,TFI,T)， 其中， TFO代表用于描述威胁指纹概念层面知识的威 胁指纹知识本体， 且其表示为(C,R,P)， C为概念类集， R为概念间关系集， P为类属性集； TFI 表示概念知识实例集， T为TFI中实例与TFO中对应概念类型从属关系集 合。 8.根据权利要求1所述的面向攻击溯源的威胁情报智能分析方法， 其特征在于， 针对威 胁指纹知识图谱， 通过模型学习将知识图谱元素内容映射到低 维向量空间， 利用向量基本 运算表达元 素间具有的语义信息， 利用向量相似性得分来挖掘攻击场景幕后攻击者。 9.根据权利要求8所述的面向攻击溯源的威胁情报智能分析方法， 其特征在于， 模型学 习中， 假设不同攻击组织为攻击场景幕后攻击者， 通过指纹相似性损失函数对不同攻击组 织作为攻击者的可能性进行排名来识别攻击场景幕后攻击者， 其中， 指纹相似性损失函数 表示为： att表示攻击组织实体， domi表示att第i个指纹特征领域实 体， wi表示domi对应的影响程度权 重值， L(domi)表示domi领域层面的指纹相似性损失。 10.一种面向攻击溯源的威胁情报智能分析系统， 其特征在于， 包含： 场景重构模块和 攻击识别模块， 其中，权　利　要　求　书 1/2 页 2 CN 114422224 A 2场景重构模块， 用于通过分析场景中脆弱性利用动作， 构建用于刻画攻击事件中攻击 步骤类型的攻击事 件框架， 并以攻击事 件为单位进行攻击告警关联， 重构攻击场景； 攻击识别模块， 用于提取攻击场景中威胁特征作为指纹特征， 构建威胁指纹知识图谱； 通过比较知识图谱中指纹特 征相似性 来挖掘攻击场景幕后攻击者。权　利　要　求　书 2/2 页 3 CN 114422224 A 3