[发明专利]一种安全事件预测方法及装置

权利要求书

1.一种安全事件预测方法，其特征在于，包括：

从接入网络中的资产的安全事件日志中提取入侵行为序列、横向渗透行为序列和攻击路径，其中所述入侵行为序列由所述安全事件日志中具有相同目的IP地址的安全事件按时间顺序构成的序列，所述横向渗透行为序列由所述安全事件日志中具有相同源IP地址的安全事件按时间顺序构成的序列，所述攻击路径由所述源IP地址指向所述目的IP地址的安全事件构成的序列；

利用预先训练的行为预测模型对所述入侵行为序列、所述横向渗透行为序列和所述攻击路径进行处理，预测所述资产的下一入侵行为、下一横向渗透行为和所述攻击路径的下一攻击行为；

根据预测得到的下一入侵行为、下一横向渗透行为和所述攻击路径的下一攻击行为，预估下一安全事件。

2.根据权利要求1所述的方法，其特征在于，所述行为预测模型包括入侵行为预测模型、横向渗透行为预测模型和攻击路径预测模型；则

利用预先训练的行为预测模型对所述入侵行为序列、所述横向渗透行为序列和所述攻击路径进行处理，预测下一入侵行为、下一横向渗透行为和所述攻击路径的下一攻击行为，包括：

将所述入侵行为序列输入至所述入侵行为预测模型中，输出所述资产的下一入侵行为；

将所述横向渗透行为输入至所述横向渗透行为预测模型中，输出所述资产的下一横向渗透行为；

将所述攻击路径输入至所述攻击路径预测模型中，输出所述攻击路径的下一攻击行为。

3.根据权利要求1所述的方法，其特征在于，所述下一攻击行为用攻击类型和发生概率表征；所述下一横向渗透行为用攻击类型和发生概率表征；所述下一入侵行为用攻击类型和发生概率表征；

根据预测得到的下一入侵行为、下一横向渗透行为和所述攻击路径的下一攻击行为，预估下一安全事件，包括：

筛选出攻击类型相同的至少一个目标攻击行为，每个目标攻击行为包括所述横向渗透行为和所述下一攻击行为中的一个，以及所述下一入侵行为；

将每个目标攻击行为所包括的行为的发生概率的乘积，确定为该目标攻击行为对应的安全事件的发生概率；

根据各个目标攻击行为对应的安全事件的发生概率，预估所述下一安全事件。

4.根据权利要求2所述的方法，其特征在于，

所述入侵行为预测模型为基于入侵行为序列训练集训练得到的，所述入侵行为序列训练集为所述网络中已发生的各个安全事件的安全事件日志中分别提取的入侵行为序列构成的；

所述横向渗透行为预测模型为基于横向渗透行为序列训练集训练得到的，所述横向渗透行为序列训练集为所述网络中已发生的各个安全事件的安全事件日志中分别提取的横向渗透行为序列构成的；

所述攻击路径预测模型为基于攻击路径训练集训练得到的，所述攻击路径训练集为所述网络中已发生的各个安全事件的安全事件日志中分别提取的攻击路径构成的。

5.根据权利要求1所述的方法，其特征在于，所述行为预测模型为基于入侵行为序列训练集、横向渗透行为序列训练集和攻击路径训练集训练得到的，所述入侵行为序列训练集为所述网络中已发生的各个安全事件的安全事件日志中分别提取的入侵行为序列构成的，所述横向渗透行为序列训练集为所述网络中已发生的各个安全事件的安全事件日志中分别提取的横向渗透行为序列构成的，所述攻击路径训练集为所述网络中已发生的各个安全事件的安全事件日志中分别提取的攻击路径构成的。