[发明专利]一种TTP自动化提取与攻击团队聚类的方法

权利要求书

1.一种TTP自动化提取与攻击团队聚类的方法，其特征在于：应用于观察和预测个人甚至团队针对物联网设备的攻击，包括如下步骤：

步骤S1，即TTP自动化提取步骤：通过建立第一知识库与第二知识库将命令映射到相应的TTP，生成TTP特征组；

步骤S2，即攻击者行为描述步骤：生成IP特征组，URL特征组以及Time特征组，并与TTP特征组进行合并构成对攻击者行为的描述；

步骤S3，即团队聚类与攻击树生成步骤：应用攻击者行为描述的TTP、IP、URL、Time四个特征组到层次聚类算法中，聚类潜在的攻击者团队，并生成每个团队的攻击树。

2.根据权利要求1所述的TTP自动化提取与攻击团队聚类的方法，其中所述步骤S1具体包括：

（1）构建第一知识库，包含命令与其参数同ATTCK框架中定义的战术、技术之间的映射，第一知识库的条目由命令、技术、战术三元组构成，service iptables stop、DisablingSecurity Tools、Defense Evasion即为第一知识库一个条目，其中service iptablesstop为一个禁用防火墙的命令，Disabling Security Tools为该命令对应的技术，DefenseEvasion为该技术对应的战术；

（2）构建第二知识库，包含命令本身与ATTCK框架中定义的战术、技术之间的映射，第二知识库的条目也同样以命令、技术、战术三元组构成，tftp、Remote File Copy、LateralMovement即为第二知识库一个条目，其中tftp为一个传输文件的命令，它不同于第一知识库中的命令，因为其只包含了命令本身，不包含其他的参数，Remote File Copy为tftp所属的技术，Lateral Movement为所属技术对应的战术；

（3）解析物联网蜜罐中的所有访问日志，并利用正则表达式或者日志解析器抽取每次请求攻击日志中的有效攻击载荷，即日志中攻击者GET/POST请求中的内容；

（5）将每条有效载荷利用分号或者特定语法间隔符分割为命令序列，并利用对应的命令解析引擎抽象出命令序列中的每条命令，将分析结果通过语法树进行呈现，从而构建每条有效载荷的抽象语法树，最后通过遍历语法树获得命令序列中的对应的操作命令集合；

（7）利用第一知识库对整个命令进行初次映射，提取给定攻击者部分相应的技术、战术；

（8）利用第二知识库对命令本身进行映射，获取指定攻击者剩余的技术、战术；

（9）简单的合并步骤（7），（8）中生成的技术、战术即为给定攻击者最终的TTP特征组。