(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211089178.9 (22)申请日 2022.09.07 (71)申请人 南京怡晟安全技 术研究院有限公司 地址 211100 江苏省南京市江宁区科建 路 29号有志大厦6层L6 029 (72)发明人 李峰　顾亮　 (74)专利代理 机构 南京苏创专利代理事务所 (普通合伙) 32273 专利代理师 张学彪 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/044(2022.01) H04L 41/0604(2022.01) H04L 41/0631(2022.01) H04L 41/16(2022.01) (54)发明名称 一种基于安全朔源图和攻击链关联技术的 态势感知方法 (57)摘要 本发明公开了一种基于安全朔源图和攻击 链关联技术的态势感知方法， 一种基于安全朔源 图和攻击链关联技术的态势感知方法， 其特征在 于， 包括以攻击组织为核心的本体结构和大数据 流式计算框架， 所述本体结构 包括上下文采集模 块和上下文推理模块， 所述上下文采集模块将非 实时的多源异构威胁情报和实时的沙箱样本分 析信息进行采集， 所述上下文推理模块对采集的 信息进行语义的过滤、 融合以及推理后储存至攻 击组织知识库本发明的有益效果： 通过设置的大 数据流式计算框架和攻击组织知识库可以对更 大时间跨度内的所有攻击事件进行监测和追踪， 从而获得更加全面和准确的攻击行为场景， 可以 快速的从海量的数据中发现AP T组织相关的高危 安全事件。 权利要求书1页 说明书4页 附图2页 CN 115189968 A 2022.10.14 CN 115189968 A 1.一种基于安全朔源图和攻击链关联技术的态势感知方法， 其特征在于， 包括以攻击 组织为核心的本体结构和大数据流式计算框架， 所述本体结构包括上下文采集模块和上下 文推理模块， 所述上下文采集模块将非实时的多源异构威胁情报和实时的沙箱样本 分析信 息进行采集， 所述上下文推理模块对采集的信息进行语义的过滤、 融合以及推理后储存至 攻击组织知识库； 所述攻击组织知识库基于攻击组织本体对范式化安全事件进行定义并生 成安全事件模板， 利用大数据流式计算框架下的流式处理引擎将海量多模态数据进行解 析， 以安全事件模板为基础生成范式化安全事件； 在范式化安全事件的基础上基于攻击链 模型将多个事件进 行关联， 生成包含多个事件的攻击链， 并按照事件的时间序列， 将某一时 间段内的所有针对同一目标IP的事件整合生 成序列攻击链； 所述攻击组织知识库根据安全 事件模板和大数据流式计算框架对序列攻击链的关联事件进 行细化分析， 最 终发现攻击组 织相关的高危事 件。 2.根据权利要求1所述的一种基于安全朔源图和攻击链关联技术的态势感知方法， 其 特征在于： 所述大数据流式计算框架包括调度层,runtime核心运行层,API调度接口层,应 用场景层， 所述调度层为最底层结构， 用于实时告警信息和多源威胁情报的调度以及原始 信息的获取， 所述runtime核心运行层为第二层结构， 由攻击组织知识库和序列攻击链构 成， 所述API调度接口层为第三层结构， 包括表和s ql接口的API网关层、 数据集和数据流API 接口、 攻击组织知识库API接口、 攻击事件库API接口和管理调度API接口， 所述应用场景层 根据业务需要构建业务场景和应用， 建立攻击链全景视图和匹配攻击链的现有业务场景的 攻击全景全流 程视图。 3.根据权利要求1所述的一种基于安全朔源图和攻击链关联技术的态势感知方法， 其 特征在于： 所述攻击链模型包括侦察目标、 制作工具、 传送工具、 触发工具、 安装木马、 建立 连接和执 行攻击七个阶段。 4.根据权利要求1所述的一种基于安全朔源图和攻击链关联技术的态势感知方法， 其 特征在于： 所述语义的过滤主要利用关键词过滤技术， 过滤其中的非正常业务信息， 具体采 用正则表达式过滤的方式， 所述融合具体是针对提取上述过滤后不同来源的信息要素情报 来源并根据时间维度进行关联融合， 所述推理主要是对有关联的信息进行AI逻辑推理判 断。 5.根据权利要求1所述的一种基于安全朔源图和攻击链关联技术的态势感知方法， 其 特征在于： 所述上下文采集模块所采集的信息还包括非实时的非结构化和半结构化的网 页、 公开性质的博客论坛、 结构化的开源威胁情报以及本地积累的攻击组织的威胁情报信 息。权　利　要　求　书 1/1 页 2 CN 115189968 A 2一种基于安全朔源 图和攻击链关联技术的态势感知方 法 技术领域 [0001]本发明涉及网络信息安全技术领域， 具体是一种基于安全朔源图和攻击链关联技 术的态势感知方法。 背景技术 [0002]2017年Shadow  Brokers泄露了NSA （美国国家安全局） 多个震惊世界的攻击武器工 具， 世界顶级APT组织的攻击水平由此可见一斑。 泄露的内容中除了各种0day漏洞利用工 具， 还有一款类似Metasploit的Exploit攻击框架， 调用多个模块进行武器的组装和攻击， 说明APT组织具备高水平的漏洞研究和定制武器开发能力。 未知攻击和定制武器的使用给 APT组织的归因溯源带来挑战。 [0003]目前单纯依靠人工研判或者依赖安全专家基于离线数据进行特征建模和 分析已 经很难有效满足大部分企业或组织对APT组织攻击事件进行实时分析的要求。 目前追踪和 发现APT组织内的攻击团伙的方法主要包括直接基于网络流量进 行特征建模和基于样 本代 码特征进 行建模， 但是由于原始 流量数据量往往过于巨大， 且噪声 特征占据非常大的比例， 导致直接基于原始 流量构建的特征模型的鲁棒性欠佳， 并且此类方法通常需要耗费较多的 人工分析成本， 某些情况下只能基于离线的历史数据进行分析， 无法满足实时分析和追踪 的需求。 [0004]为了有效从海量数据 中发现APT组织相关的高危安全事件， 我们提出一种基于上 下文感知计算框架的攻击组织追踪方法。 发明内容 [0005]本发明的目的在于提供一种基于安全朔源图和攻击链关联技术的态势感知方法， 以解决上述背景技 术中提出的问题。 [0006]为实现上述目的， 本发明提供如下技术方案： 一种基于安全朔源图和攻击链关联 技术的态势感知方法， 包括以攻击组织为核心的本体结构和大数据流式计算框架， 所述本 体结构包括上下文采集模块和上下文推理模块， 所述上下文采集模块将非实时的多源异构 威胁情报和实时的沙箱样本 分析信息进行采集， 所述上下文推理模块对采集的信息进 行语 义的过滤、 融合以及推理后储存至攻击组织知识库； 所述攻击组织知识库基于攻击组织本 体对范式化安全事件进行定义并生成安全事件模板， 利用大数据流式计算框架下的流式处 理引擎将海量多模态数据进行解析， 以安全事件模板为基础生成范式化安全事件； 在范式 化安全事件的基础上基于攻击链模型将多个事件进行关联， 生成包含多个事件的攻击链， 并按照事件的时间序列， 将某 一时间段内的所有针对同一目标IP的事件整合生成序列攻击 链； 所述攻击组织知识库根据安全事件模板和大数据流式计算框架对序列攻击链的关联事 件进行细化分析， 最终 发现攻击组织相关的高危事 件。 [0007]进一步的， 所述大数据流式计算框架包括调度层,runtime核心运行层,API调度接 口层,应用场景层， 所述调 度层为最底层结构， 用于实时告警信息和多源威胁情报的调 度以说　明　书 1/4 页 3 CN 115189968 A 3