基于攻击画像的网络攻击预测方法及系统

本发明涉及网络信息安全，特别涉及一种基于攻击画像的网络攻击预测方法及系统。

背景技术：

1、预防网络攻击是网络安全研究和实践的核心。在攻击检测和网络攻击后的协作防御方面已经取得了巨大的成功，如入侵检测系统(intrusion detection systems,ids)、蜜罐和mitre d3fend。然而，检测方法不能避免网络攻击发生时已经造成的损失，因此具备准确预测网络攻击的能力是研究人员所期望的。攻击的预测长期以来一直是一个开放的问题，而最近机器学习的进步使得网络攻击的预测可能性大大加强。最早预测案例包括攻击预测和攻击意图识别，这两种方法与入侵检测紧密相连，任务是预测攻击者(在观察到的攻击中)的下一步行动和他/她的最终目标。在实践中，类似的方法可以互换地应用于这两项任务。最近攻击预测依赖于数据挖掘，通过在ids警报序列中自动生成攻击模式以预测攻击，而递归神经网络应用于探索网络攻击预测的可能性。需要注意的是，现有的工作大多集中在对攻击模式的分析上，而如何适应复杂和智能的攻击，几乎没有人关注。随后，攻击预测技术发展为入侵预测，不需要对前面的活动进行观察，其目的是在实际发生之前预测一次攻击，而不关注观察到的一系列事件的延续性。hidden markov模型、bayesian网络和机器学习等方法的出现和发展使对潜在安全威胁(以及可能的对策)的预测成为可能。在这种情况下，不需要足够的先验信息就可以推断出潜在的事件知识，根据给定的来源推断未来攻击的可能性。然而，如何预测具体的攻击类型仍然不清楚，尽管这种能力对防御战略部署至关重要。最近，在网络态势感知(cyberspace situation awareness,csa)或网络安全态势感知(network security situation awareness,nssa)的场景中，网络安全态势预测已经成为主导。它预测的是网络的整体安全状况(宏观视角)，即网络中攻击或漏洞数量的可能变化，而不是单个潜在攻击(微观视角)。这种情况下，定量分析通常适用于描述某个时间点上的网络安全状况，并将结果值预测到未来，其技术重点是在未来的时间区间内检测到的攻击的预期数量，而没有关于未来攻击的确切性质信息。

2、为此，在现有网络攻击预测方面仍然存在如下问题：(1)无法从攻击者过去的行为中清楚地描绘出他/她的战术路径；(2)无法预测攻击者接下来要采取的具体攻击技术，以指导防御战略部署。

技术实现思路

1、为此，本发明提供一种基于攻击画像的网络攻击预测方法及系统，解决现有技术中无法从攻击者过去的行为中清楚描绘战术路径、无法预测攻击者接下来要采取的具体攻击技术的情形，通过对攻击画像来预测攻击者下一步攻击策略，以指导防御的部署实施。

2、按照本发明所提供的设计方案，提供一种基于攻击画像的网络攻击预测方法，包含：

3、解析系统日志，依据系统日志构建用于描述威胁攻击行为相关实体、关系和时间信息的时序攻击知识图谱；

4、基于时序攻击知识图谱并依据攻防双方行为逻辑生成攻击画像，其中，所述攻击画像用于描述攻击方采取的战术攻击链及攻击步骤；

5、根据攻击画像获取攻击者最可能攻击轨迹，并根据历史战术序列预测攻击者接下来的攻击战术和具体攻击行为，以指导防御方部署防御行为。

6、作为本发明基于攻击画像的网络攻击预测方法，进一步地，依据系统日志中威胁攻击行为相关的实体、关系和时间信息来构建时序攻击知识图谱，包含：

7、首先，利用日志分析工具解析系统日志，并获取系统日志中用于构建知识图谱的元信息，所述元信息包括：记录事件，事件数量，被标记为恶意软件类型的目标文件，目标文件所含进程数，及每个进程的进程名称、进程id和进程对应事件列表，其中，每个事件还包含时间属性、事件id属性、字符串id属性、行动属性及目标属性；

8、然后，依据元信息构建时序攻击知识图谱。

9、作为本发明基于攻击画像的网络攻击预测方法，进一步地，基于时序攻击知识图谱并依据攻防双方行为逻辑生成攻击画像，包含：

10、首先，利用预先训练的bert模型将时序攻击知识图谱中威胁攻击行为实体映射到预先设置的公开对抗战术技术知识库中的攻击战术上，为知识图谱中每个威胁攻击行为实体分配攻击战术标签；

11、然后，利用攻击战术筛选攻击方攻击轨迹，并按照攻击战术中攻击轨迹的逻辑关系构建攻击画像。

12、作为本发明基于攻击画像的网络攻击预测方法，进一步地，时序攻击知识图谱中映射到预先设置的公开对抗战术技术知识库中攻击战术上的威胁攻击行为实体，包含：目标对象威胁行为、程序代码执行的软硬件威胁平台和目标对象家族名称。

13、作为本发明基于攻击画像的网络攻击预测方法，进一步地，根据攻击画像获取攻击者最可能攻击轨迹，包含：

14、首先，基于攻击画像并利用sac算法构建包含攻击行动空间、状态空间和奖励函数的问题空间，其中，攻击行动空间为依据攻击画像从当前节点确定攻击者执行的所有可能攻击行动，状态空间表示攻击画像中攻击轨迹执行位置，奖励函数用于对攻击者行动进行评估以确定攻击轨迹；

15、然后，基于预设的目标函数通过最大化攻击收益来迭代求解问题空间，依据求解结果获取攻击者最可能的攻击轨迹。

16、作为本发明基于攻击画像的网络攻击预测方法，进一步地，基于预设的目标函数通过最大化攻击收益来迭代求解问题空间，包含：首先，从攻击者攻击轨迹候选策略中取样当前时间点t的行动，将行动环境状态由st转接为st+1，并将转接中的过渡经验存储在重放缓冲器中；然后，在每个迭代梯度，更新预设目标函数中参数θ、策略权重φ和温度α，以通过最大化攻击收益来获取攻击者攻击轨迹的最佳策略。

17、作为本发明基于攻击画像的网络攻击预测方法，进一步地，预设目标函数表示为：其中，π为攻击者攻击轨迹候选策略，π*为待求解最佳策略，r()为奖励函数，γ为折扣率，st为时间点t的状态，at为时间点t的行动；tπ为候选策略π引起的轨迹分布，α为用于决定熵项与奖励相对重要性的温度网络参数，h(π(.|st))为策略π在状态st的熵值。

18、作为本发明基于攻击画像的网络攻击预测方法，进一步地，根据历史战术序列预测攻击者接下来的攻击战术和具体攻击行为，包含：

19、首先，获取攻击者最可能攻击轨迹中日志威胁序列；

20、然后，将日志威胁序列输入至预训练的transformer模型中，利用transformer模型来预测攻击者接下来下一步的攻击战术和具体攻击行为。

21、作为本发明基于攻击画像的网络攻击预测方法，进一步地，利用transformer模型来预测攻击者接下来下一步的攻击战术和具体攻击行为，包含：利用模型嵌入层对日志威胁序列含义进行编码，利用位置编码层对序列中表征时间序列的顺序信息进行位置编码，将含义编码结果和位置编码结果进行相加并输入模型编码器层，利用模型编码器层将序列关键信息压缩为固定长度向量，并通过模型解码器层将固定长度向量转换为模型输出，其中，模型编码器层由m个相同结构的编码器堆叠而成，每个编码器利用多头注意力机制来关注不同表征序列子空间信息并通过全连接层将子空间信息进行维度变换，且在模型解码器层设置两个多头注意力机制，以在预测时候融合历史战术序列。

22、进一步地，本发明还提供一种基于攻击画像的网络攻击预测系统，包含：图谱构建模块、画像生成模块和攻击预测模块，其中，

23、图谱构建模块，用于解析系统日志，依据系统日志构建用于描述威胁攻击行为相关实体、关系和时间信息的时序攻击知识图谱；

24、画像生成模块，用于基于时序攻击知识图谱并依据攻防双方行为逻辑生成攻击画像，其中，所述攻击画像用于描述攻击方采取的战术攻击链及攻击步骤；

25、攻击预测模块，用于根据攻击画像获取攻击者最可能攻击轨迹，并根据历史战术序列预测攻击者接下来的攻击战术和具体攻击行为，以指导防御方部署防御行为。

26、本发明的有益效果：

27、本发明从操作系统和用户的详细活动的实时系统日志记录中构建时序攻击知识图谱(temporal attack knowledge graph,takg)，利用时序攻击知识图谱takg制定与攻击有关的实体和关系，同时整合来自日志的时间信息；利用攻击战术之间的逻辑关系并基于战术网络杀伤链(tactic-based cyber kill chain,tckc)来生成攻击画像；基于攻击画像来获取攻击这最有可能的攻击轨迹，并根据历史战术序列预测攻击者接下来的攻击战术和具体的攻击行为，以指导防御行为。并进一步结合各种机器学习模型增强从系统日志中构建时序攻击知识图的能力，考虑现实攻击活动战术来预测并判断相关攻击者下一步攻击事件的发生，以根据预测结果指导防御行为部署实施，提升网络信息安全。