(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210994619.3 (22)申请日 2022.08.18 (71)申请人 上海交通大 学 地址 200240 上海市闵行区东川路80 0号 (72)发明人 赖柏希　陈秀真　马颖华　马进　 周志洪　裘炜程　 (74)专利代理 机构 上海汉声知识产权代理有限 公司 3123 6 专利代理师 胡晶 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于TTP的多步骤攻击检测与场景还原的方 法及系统 (57)摘要 本发明提供了一种基于TTP的多步骤攻击检 测与场景还原的方法及系统， 包括如下步骤： 离 线训练步骤： 在离线训练阶段， 接收真实的多步 骤攻击报告中提取出的攻击技术序列训练基于 序列的分类模型； 在线运行步骤： 在在线运行阶 段， 接收来自终端检测和响应系统的安全告警事 件， 整理出安全告警事件中的攻击技术序列； 将 整理出的攻击技术序列进行处理后， 输入训练后 的基于序列的分类模型判断是否存在多步骤网 络攻击。 本发 明通过对原始攻击技术进行子串抽 取， 达到了降低EDR工具产生的原始告警中误报 数目的效果。 权利要求书3页 说明书12页 附图5页 CN 115396169 A 2022.11.25 CN 115396169 A 1.一种基于T TP的多步骤攻击检测与场景还原的方法， 其特 征在于， 包括如下步骤： 离线训练步骤： 在离线训练阶段， 接收真实的多步骤攻击报告中提取出的攻击技术序 列训练基于序列的分类模型； 在线运行步骤： 在在线运行阶段， 接收来自终端检测和响应系统 的安全告警事件， 整理 出安全告警事件中的攻击技术序列； 将整理出 的攻击技术序列进行处理后， 输入训练后的 基于序列的分类模型判断是否存在多步骤网络攻击 。 2.根据权利要求1所述的基于TTP的多步骤攻击检测与场景还原 的方法， 其特征在于， 所述离线训练步骤 包括如下步骤： 攻击技术提取步骤： 通过审阅处理网络威胁情报报告， 提取出网络威胁情报报告中的 所有攻击技 术； 攻击战术 查找步骤： 查找每一个攻击技 术所对应的攻击战术； 攻击技术序列获取步骤： 按照攻击战术预定义逻辑次序关系将攻击技术进行排列， 得 到网络威胁情 报报告对应的攻击技 术序列， 攻击技 术序列作为正样本存 储于数据库中； 负样本获取步骤： 通过对正样本进行负采样获得负 样本； 分类模型获取步骤： 获取预定数量的正样本和负样本后， 通过编码技术将攻击技术映 射至向量空间， 此后将正样本和负样本输入基于序列的分类模型中进行训练， 得到多步骤 攻击分类模型。 3.根据权利要求1所述的基于TTP的多步骤攻击检测与场景还原 的方法， 其特征在于， 所述在线运行步骤 包括如下步骤： 原始攻击技术序列获取步骤： EDR工具在运行过程中产生日志记录， 其中日志根据 预定 义规则被映射到攻击技术上， 即为原始攻击技术， 周期性将原始攻击技术按事件发生的先 后顺序从原 始日志中提取 出来， 形成原 始攻击技 术序列； 攻击技术合并步骤： 若原始攻击序列中存在相邻的相同的攻击技术， 则合并为一个攻 击技术； 候选攻击序列确定步骤： 多步骤攻击从攻击技术序列中的任意攻击技术开始， 遍历原 始攻击序列中所有攻击技术， 并以当前攻击技术为起点抽取原始攻击序列中符合攻击战术 次序的预定子序列， 若预定子序列中攻击技术数目大于预设阈值τ1则预定子序列为候选攻 击序列， 则将候选攻击序列加入到候选攻击序列集 合中； 评分步骤： 将候选攻击序列集合中的所有候选攻击序列向量化， 并输入基于序列的分 类模型中， 为每一个被输入的候选攻击序列得到对应的多步骤攻击可能性评分； 并找到预 定评分的候选攻击技 术序列； 警报发出步骤： 若预定 评分的分值大于预设阈值 τ2， 则存在多步骤攻击， 发出警报。 4.根据权利要求1所述的基于TTP的多步骤攻击检测与场景还原 的方法， 其特征在于， 该方法还包括呈现步骤： 将构成多步骤网络攻击的攻击技术序列呈现至安全专家， 做进一 步分析。 5.根据权利要求2所述的基于TTP的多步骤攻击检测与场景还原 的方法， 其特征在于， 在所述攻击 战术查找步骤中， 在进行攻击技术序列生成时， 存在某些攻击技术对应多种攻 击战术， 攻击技 术映射至攻击战术的规则为： 当某攻击技术T可以同时被映射至n种不同的攻击战术{TA1,TA2,...,TAn}时， 若存在第权　利　要　求　书 1/3 页 2 CN 115396169 A 2i个攻击战术TAi包含唯一的攻击技术T， 那么将攻击技术T映射至TAi； 若存在多种攻击战术 均包含唯一的攻击技术T， 那么将攻击技术T映射至攻击战术中逻辑次序最靠前的攻击战 术； 若所有的攻击战术均包含不止一种攻击技术， 将攻击技术T映射至在逻辑次序中最靠前 的攻击战术， 即TA1； 其中， TAn表示第n个攻击战术。 6.一种基于T TP的多步骤攻击检测与场景还原的系统， 其特 征在于， 包括如下模块： 离线训练模块： 在离线训练阶段， 接收真实的多步骤攻击报告中提取出的攻击技术序 列训练基于序列的分类模型； 在线运行模块： 在在线运行阶段， 接收来自终端检测和响应系统 的安全告警事件， 整理 出安全告警事件中的攻击技术序列； 将整理出 的攻击技术序列进行处理后， 输入训练后的 基于序列的分类模型判断是否存在多步骤网络攻击 。 7.根据权利要求6所述的基于TTP的多步骤攻击检测与场景还原 的系统， 其特征在于， 所述离线训练模块包括如下模块： 攻击技术提取模块： 通过审阅处理网络威胁情报报告， 提取出网络威胁情报报告中的 所有攻击技 术； 攻击战术 查找模块： 查找每一个攻击技 术所对应的攻击战术； 攻击技术序列获取模块： 按照攻击战术预定义逻辑次序关系将攻击技术进行排列， 得 到网络威胁情 报报告对应的攻击技 术序列， 攻击技 术序列作为正样本存 储于数据库中； 负样本获取模块： 通过对正样本进行负采样获得负 样本； 分类模型获取模块： 获取预定数量的正样本和负样本后， 通过编码技术将攻击技术映 射至向量空间， 此后将正样本和负样本输入基于序列的分类模型中进行训练， 得到多步骤 攻击分类模型。 8.根据权利要求6所述的基于TTP的多步骤攻击检测与场景还原 的系统， 其特征在于， 所述在线运行模块包括如下模块： 原始攻击技术序列获取模块： EDR工具在运行过程中产生日志记录， 其中日志根据 预定 义规则被映射到攻击技术上， 即为原始攻击技术， 周期性将原始攻击技术按事件发生的先 后顺序从原 始日志中提取 出来， 形成原 始攻击技 术序列； 攻击技术合并模块： 若原始攻击序列中存在相邻的相同的攻击技术， 则合并为一个攻 击技术； 候选攻击序列确定模块： 多步骤攻击从攻击技术序列中的任意攻击技术开始， 遍历原 始攻击序列中所有攻击技术， 并以当前攻击技术为起点抽取原始攻击序列中符合攻击战术 次序的预定子序列， 若预定子序列中攻击技术数目大于预设阈值τ1则预定子序列为候选攻 击序列， 则将候选攻击序列加入到候选攻击序列集 合中； 评分模块： 将候选攻击序列集合中的所有候选攻击序列向量化， 并输入基于序列的分 类模型中， 为每一个被输入的候选攻击序列得到对应的多步骤攻击可能性评分； 并找到预 定评分的候选攻击技 术序列； 警报发出模块： 若预定 评分的分值大于预设阈值 τ2， 则存在多步骤攻击， 发出警报。 9.根据权利要求6所述的基于TTP的多步骤攻击检测与场景还原 的系统， 其特征在于， 该系统还包括呈现模块： 将构成多步骤网络攻击的攻击技术序列呈现至安全专家， 做进一 步分析。权　利　要　求　书 2/3 页 3 CN 115396169 A 3