[发明专利]攻击路径还原方法、装置、设备及存储介质有效
申请号: | 202011305622.7 | 申请日: | 2020-11-19 |
公开(公告)号: | CN112422573B | 公开(公告)日: | 2022-02-25 |
发明(设计)人: | 鲍青波;周晓阳;万可 | 申请(专利权)人: | 北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司 |
主分类号: | H04L9/40 | 分类号: | H04L9/40;G06N7/00 |
代理公司: | 北京超凡宏宇专利代理事务所(特殊普通合伙) 11463 | 代理人: | 衡滔 |
地址: | 100000 北京*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 攻击 路径 还原 方法 装置 设备 存储 介质 | ||
1.一种攻击路径还原方法,其特征在于,所述方法包括:
获取目标系统上的安全事件数据;
根据ATTCK框架将所述安全事件数据进行抽象映射,并得到所述目标系统的状态信息;
根据所述状态信息构建部分可观察马尔可夫决策过程模型;
根据所述部分可观察马尔可夫决策过程模型计算得到攻击路径;
以及,所述根据所述部分可观察马尔可夫决策过程模型计算得到攻击路径,包括:
确定所述部分可观察马尔可夫决策过程模型的求解算法;
根据所述求解算法计算得到所述攻击路径。
2.如权利要求1所述的方法,其特征在于,所述根据所述状态信息构建部分可观察马尔可夫决策过程模型,包括:
根据所述状态信息确定所述部分可观察马尔可夫决策过程模型中的参数,所述部分可观察马尔可夫决策过程模型中的参数,包括:有限状态集、有限动作、状态转移矩阵、收益函数、观察结果集和条件观察概率。
3.如权利要求2所述的方法,其特征在于,所述有限状态集包括初始访问状态、执行状态、持久化状态、权限提升状态、防御逃逸状态、凭据访问状态、发现状态、横向移动状态、采集状态、命令与控制状态、数据渗漏状态和恶劣影响状态中的至少一种状态。
4.如权利要求2所述的方法,其特征在于,所述有限动作包括ping命令、端口扫描、安装木马,创建文件和启动程序中的至少一种。
5.如权利要求1所述的方法,其特征在于,在所述获取目标系统上的安全事件数据之后,所述根据ATTCK框架将所述安全事件数据进行抽象映射之前,所述方法还包括:
对所述安全事件数据进行标准化处理,以至少去除所述安全事件数据中的无效数据和对所述安全事件数据进行字段归一化处理。
6.如权利要求1所述的方法,其特征在于,所述部分可观察马尔可夫决策过程模型的求解算法为One-Pass算法、线性支持算法和蒙特卡罗搜索树算法中的一种。
7.一种攻击路径还原装置,其特征在于,所述装置包括:
获取模块,用于获取目标系统上的安全事件数据;
数据预处理模块,用于根据ATTCK框架将所述安全事件数据进行抽象映射,并得到所述目标系统的状态信息;
模型构建模块,用于根据所述状态信息构建部分可观察马尔可夫决策过程模型;
计算模块,用于根据所述部分可观察马尔可夫决策过程模型计算得到攻击路径;
以及,所述计算模块具体用于:
确定所述部分可观察马尔可夫决策过程模型的求解算法;
根据所述求解算法计算得到所述攻击路径。
8.一种攻击路径还原设备,其特征在于,所述设备包括:
处理器;
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如权利要求1-6任一项所述的攻击路径还原方法。
9.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如权利要求1-6任一项所述的攻击路径还原方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司,未经北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011305622.7/1.html,转载请声明来源钻瓜专利网。