[发明专利]一种安全事件预测方法及装置

说明书

本申请提供了一种安全事件预测方法及装置，该方法为：从接入网络中的资产的安全事件日志中提取入侵行为序列、横向渗透行为序列和攻击路径；利用预先训练的行为预测模型对所述入侵行为序列、所述横向渗透行为序列和所述攻击路径进行处理，预测所述资产的下一入侵行为、下一横向渗透行为和所述攻击路径的下一攻击行为；根据预测得到的下一入侵行为、下一横向渗透行为和所述攻击路径的下一攻击行为，预估下一安全事件。由此提高了安全事件预测结果的准确性和合理性。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种安全事件预测方法及装置。

背景技术

随着网络技术的发展，网络攻击的种类和数量也在不断增多。防火墙、入侵防御系统(Intrusion Prevention System，IPS)端点检测与响应(Endpoint DetectionResponse，EDR)、网络流量分析(Network Traffic Analysis，NTA)等网络安全设备以纵深防御的方式部署在网络的各个环节，对网络中的安全事件进行监测和识别。网络安全设备的告警日志蕴含着攻击者的经验和攻击模式，通过对安全事件的告警日志进行分析，可以对网络中未来可能发生的安全事件进行有效的预测。当收集到大量的安全事件告警日志时，可以对攻击者的攻击模式和手法进行建模，从而对网络空间的安全事件进行准确而实时地预测。

现有技术在对网络中的安全事件进行预测时，是以主机为对象，收集大量的主机安全事件并利用主机上的安全事件进行建模进而进行预测。然而一个网络攻击事件既有发起端和目标端，还有攻击路径。现有技术并未考虑攻击路径这一因素，从而导致建模的粒度比较粗，从而影响安全事件的预测结果的准确性及合理性。

因此，如何准确地预测安全事件是值得考虑的技术问题之一。

发明内容

有鉴于此，本申请提供一种安全事件预测方法及装置，用以准确地预测安全事件。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种安全事件预测方法，包括：

从接入网络中的资产的安全事件日志中提取入侵行为序列、横向渗透行为序列和攻击路径，其中所述入侵行为序列由所述安全事件日志中具有相同目的IP地址的安全事件按时间顺序构成的序列，所述横向渗透行为序列由所述安全事件日志中具有相同源IP地址的安全事件按时间顺序构成的序列，所述攻击路径由所述源IP地址指向所述目的IP地址的安全事件构成的序列；

利用预先训练的行为预测模型对所述入侵行为序列、所述横向渗透行为序列和所述攻击路径进行处理，预测所述资产的下一入侵行为、下一横向渗透行为和所述攻击路径的下一攻击行为；

根据预测得到的下一入侵行为、下一横向渗透行为和所述攻击路径的下一攻击行为，预估下一安全事件。

可选地，上述行为预测模型包括入侵行为预测模型、横向渗透行为预测模型和攻击路径预测模型；则

利用预先训练的行为预测模型对所述入侵行为序列、所述横向渗透行为序列和所述攻击路径进行处理，预测下一入侵行为、下一横向渗透行为和所述攻击路径的下一攻击行为，包括：

将所述入侵行为序列输入至所述入侵行为预测模型中，输出所述资产的下一入侵行为；

将所述横向渗透行为输入至所述横向渗透行为预测模型中，输出所述资产的下一横向渗透行为；

将所述攻击路径输入至所述攻击路径预测模型中，输出所述攻击路径的下一攻击行为。

可选地，上述下一攻击行为用攻击类型和发生概率表征；所述下一横向渗透行为用攻击类型和发生概率表征；所述下一入侵行为用攻击类型和发生概率表征；

根据预测得到的下一入侵行为、下一横向渗透行为和所述攻击路径的下一攻击行为，预估下一安全事件，包括：