(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211072451.7 (22)申请日 2022.09.02 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区玉泉山闵庄路3 号清华科技园 ·玉泉慧谷1号楼地上 一层西侧、 二层(地上两侧) (72)发明人 潘东东　孙洪伟　肖新光　 (74)专利代理 机构 北京格允知识产权代理有限 公司 11609 专利代理师 张沫 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于ATT&CK模型的安全防御方法、 装置、 电 子设备及存 储介质 (57)摘要 本说明书实施例涉及网络安全技术领域， 特 别涉及一种基于ATT&C K模型的安全防御方法、 装 置、 电子设备及存储介质。 其中， 基于ATT&C K模型 的安全防御方法包括： 对所述终端设备上的进程 启动情况进行监控， 确定所述终端设备当前进行 安全防御使用的规则库； 响应于监控到所述终端 设备上进程的启动， 确定所述进程开始启动后终 端设备上的硬件资源消耗情况、 以及所述进程与 所述规则库中规则的匹配情况； 基于所述硬件资 源消耗情况和所述匹配情况， 对 所述规则库进行 更新， 以使所述终端设备使用更新后的目标规则 库进行安全防御， 返回确定所述终端设备当前进 行安全防御使用的规则库的步骤。 本说明书提供 的技术方案解决ATT&CK模型不能够适配不同终 端设备的问题。 权利要求书2页 说明书10页 附图2页 CN 115459988 A 2022.12.09 CN 115459988 A 1.一种基于ATT&CK模型的安全防御方法， 其特征在于， 应用于终端设备， 所述终端设备 上预先安装有初始的规则库， 所述规则库是对已有的ATT&CK模型的规则按照预设方式进 行 提取得到的， 该 方法包括： 对所述终端设备上的进程启动情况进行监控， 确定所述终端设备当前进行安全防御使 用的规则库； 响应于监控到所述终端设备上进程的启动， 确定所述进程开始启动后终端设备上的硬 件资源消耗情况、 以及所述进程与所述 规则库中规则的匹配情况； 基于所述硬件资源消耗情况和所述匹配情况， 对所述规则库进行更新， 以使所述终端 设备使用更新后的目标规则库进 行安全防御， 返回确定所述 终端设备当前进 行安全防御使 用的规则库的步骤。 2.根据权利要求1所述的方法， 其特征在于， 所述规则库中的规则存储在按照指定算法 加密的XML文件中； 所述规则至少包括： 进程名、 启动参数和当前规则的默认操作， 所述默认操作包括拦截 和放行。 3.根据权利要求2所述的方法， 其特征在于， 所述规则还包括父进程和自定义参数， 所 述自定义 参数包括数字签名的验证结果， 和/或微软CAT签名的验证结果， 和/或厂 商信息。 4.根据权利要求2所述的方法， 其特征在于， 所述响应于监控到所述终端设备上进程的 启动， 确定所述进程开始启动后终端设备上 的硬件资源消 耗情况、 以及所述进程与所述规 则库中规则的匹配情况， 包括： 响应于监控到所述终端设备上进程的启动， 监控所述进程开始启动后所述终端设备上 的总CPU占用率和总内存占用率， 将所述总CPU占用率和所述总内存占用率作为所述 终端设 备上的硬件资源消耗情况； 和/或， 响应于监控到所述终端设备上进程的启动， 监控所述进程开始启动后所述进程对应的 CPU占用率和内存占用率， 将所述进程对应的CPU占用率和内存占用率作为所述 终端设备上 的硬件资源消耗情况； 将所述进程的进程名和启动参数与 所述规则库中的规则进行匹配， 得到所述进程与 所 述规则库中规则的匹配情况。 5.根据权利要求4所述的方法， 其特征在于， 所述基于所述硬件资源消耗情况和所述匹 配情况， 对所述 规则库进行 更新， 包括： 在第一指定时间内所述总CPU占用率高于第一预设阈值和/或所述总内存占用率高于 第二预设阈值的情况 下； 或者， 在第一指定时间内所述总CPU占用率不高于第一预设阈值且所述总内存占用率 不高于第二预设阈值， 但是在所述进程完全启动之后的第二指定时间内， 所述进程对应的 CPU占用率高于第三预设阈值和/或所述进程对应的内存占用率高于第四预设阈值的情况 下； 若未在所述规则库匹配到与 所述进程相对应的进程名和启动 参数， 则将与 所述进程相 对应的进程名和启动参数存 储到所述XML文件中； 其中， 所述进程的默认操作设定为 拦截； 若在所述规则库匹配到与所述进程相对应的进程名和启动参数， 则将所述XML文件中权　利　要　求　书 1/2 页 2 CN 115459988 A 2与所述进程相匹配的规则的默认操作修改为 拦截。 6.根据权利要求4所述的方法， 其特征在于， 所述基于所述硬件资源消耗情况和所述匹 配情况， 对所述 规则库进行 更新， 包括： 在所述进程未完全启动时， 所述进程对应的CPU占用率高于第五预设阈值和/或所述进 程对应的内存占用率高于第六 预设阈值的情况 下； 和/或， 在所述进程未完全启动时， 所述进程对应的CPU占用率升高的速率高于第七预 设阈值和/或所述进程对应的内存占用率升高的速率高于第八预设阈值的情况 下； 若未在所述规则库匹配到与 所述进程相对应的进程名和启动 参数， 则将与 所述进程相 对应的进程名和启动参数存 储到所述XML文件中； 其中， 所述进程的默认操作设定为 拦截； 若在所述规则库匹配到与所述进程相对应的进程名和启动参数， 则将所述XML文件中 与所述进程相匹配的规则的默认操作修改为 拦截。 7.根据权利要求1 ‑6中任一项所述的方法， 其特征在于， 所述规则库具有对外调用接 口， 所述对外调用接口用于对规则进行 添加、 删除和/或修改； 所述方法还 包括： 响应于检测到所述规则库的对外调用接口被调用， 将所述对外调用接口针对的进程与 所述规则库中的规则进行匹配； 获取所述对外调用接口返回的进程的匹配结果， 响应于接收到的用户基于所述匹配结 果发送的修改指令， 依据所述 修改指令对所述 规则库进行 更新。 8.一种基于ATT&CK模型的安全防御装置， 其特征在于， 应用于终端设备， 所述终端设备 上预先安装有初始的规则库， 所述规则库是对已有的ATT&CK模型的规则按照预设方式进 行 提取得到的， 该装置包括： 第一确定模块， 用于对所述终端设备上的进程启动情况进行监控， 确定所述终端设备 当前进行安全防御使用的规则库； 第二确定模块， 用于响应于监控到所述终端设备上进程的启动， 确定所述进程开始启 动后终端设备 上的硬件资源消耗情况、 以及所述进程与所述 规则库中规则的匹配情况； 更新模块， 用于基于所述硬件资源消耗情况和所述匹配情况， 对所述规则库进行更新， 以使所述终端设备使用更新后的目标规则库进行安全防御， 返回确定所述终端设备当前进 行安全防御使用的规则库的步骤。 9.一种电子设备， 包括存储器和处理器， 所述存储器中存储有计算机程序， 所述处理器 执行所述计算机程序时， 实现如权利要求1 ‑7中任一项所述的方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 当所述计算机程序在计算机中 执行时， 令计算机执 行权利要求1 ‑7中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115459988 A 3