[发明专利]一种基于TTP的网络安全威胁狩猎方法及网络设备

权利要求书

1.一种基于TTP的网络安全威胁狩猎方法，其特征在于，包括：

获取历史网络攻击事件信息，并对所述历史网络攻击事件信息进行分析处理，获得TTP规则模型，所述TTP规则模型用于判断网络安全威胁；

获取终端设备当前运行状态的相关数据，基于所述相关数据建立快照，获得快照模型，所述快照模型用于确定攻击事件的行为；所述相关数据包含：所述终端设备当前运行状态的进程列表和模块信息、内存数据、注册表信息、启动项信息、网络连接信息、计划任务信息、日志信息中的至少两种；

基于所述TTP规则模型对所述快照模型进行匹配处理，得到匹配结果，并基于所述匹配结果判断是否达到威胁标准，所述匹配结果包含所述快照模型的匹配分值；

若所述匹配分值大于或等于第一预设阈值，则确定达到威胁标准，输出告警信息，所述告警信息用于警示所述终端设备受到网络安全威胁；或者，

若所述匹配分值小于所述第一预设阈值，则确定未达到威胁标准，结束检测网络安全威胁；

其中，对所述历史网络攻击事件信息进行分析处理，获得TTP规则模型，包括：

针对多个攻击组织，对所述历史网络攻击事件信息包含的多个攻击事件进行筛选分类，获得多组攻击事件，所述多个攻击组织和所述多组攻击事件一一对应；

基于所述TTP规则模型的框架，提取所述多组攻击事件中的任一组攻击事件包含的各项信息，所述各项信息包括内存数据、攻击路径、注册表信息和启动项信息、文件实体、网络行为和进程自启动方式中的至少两种；

基于所述任一组攻击事件包含的各项信息，生成行为模型和确定所述任一组攻击事件所属的恶意家族；

基于所述任一组攻击事件所属的恶意家族，设置所述行为模型中的各个元素的权重，获得所述TTP规则模型；

其中，基于所述相关数据建立快照，获得快照模型，包括：

对所述相关数据包含的各项数据分别建立快照；

将建立快照后的各项数据划分为攻击事件的各个行为，获得所述快照模型。

2.如权利要求1所述的方法，其特征在于，基于所述TTP规则模型对所述快照模型进行匹配处理，得到匹配结果，包括：

将所述快照模型对应的文件实体、进程、网络连接进行关联，生成TTP图谱；

根据所述TTP规则模型对所述TTP图谱进行模式匹配，将命中攻击事件的各个行为中的行为划分为必选匹配行为，将所述各个行为中除去所述必选匹配行为之外的行为划分为可选匹配行为；

对所述必选匹配行为和所述可选匹配行为进行权重计数，得到所述快照模型的权重分数；

基于所述权重分数计算所述快照模型的匹配分值，获得所述匹配结果。

3.如权利要求1或2所述的方法，其特征在于，结束检测网络安全威胁之前，所述方法还包括：

确定所述匹配分值是否大于或等于第二预设阈值，所述第二预设阈值小于所述第一预设阈值；

若所述匹配分值大于或等于所述第二预设阈值，则输出第一提示信息，所述第一提示信息用于提示进行人工干预，由人工判断攻击者是否改动了攻击行为信息；或者，

若所述匹配分值小于所述第二预设阈值，则确定不存在网络安全威胁，或者输出第二提示信息，所述第二提示信息用于提示进行人工干预，由人工判断所述快照模型是否存在新的攻击组织的攻击行为信息。

4.如权利要求3所述的方法，其特征在于，输出第一提示信息之后，所述方法还包括：

接收第一操作指令信息，所述第一操作指令信息用于提示需要输出所述告警信息；基于所述第一操作指令信息，输出所述告警信息；

输出第二提示信息之后，所述方法还包括：

接收第二操作指令信息，所述第二操作指令信息用于提示需要更新所述TTP规则模型；基于所述第二操作指令信息，根据所述新的攻击组织的攻击行为信息更新所述TTP规则模型。

5.如权利要求4所述的方法，其特征在于，输出告警信息之后，所述方法还包括：

反馈当前的快照模型、当前的TTP规则模型和所述告警信息；

基于所述当前的快照模型、所述当前的TTP规则模型和所述告警信息，确定新的网络攻击事件信息；

基于所述新的网络攻击事件信息更新所述TTP规则模型。