攻击链补全方法、装置、电子设备及存储介质与流程

本技术涉及网络安全，尤其涉及一种攻击链补全方法、装置、电子设备及存储介质。

背景技术：

1、网络安全技术旨在保障计算机系统及网络的正常运行，关乎国家安全与国计民生。高级持续性威胁作为一种新型的攻击手段开始在全球范围内制造安全事故，通过综合利用多种先进的攻击技术，来对目标资产进行长期且持续的控制。

2、相关技术中，可以通过攻击溯源进行网络安全防御，可以有效应对高级持续性威胁。攻击溯源通过采集主机系统的审计日志等信息来记录系统事件，可以检测和还原高级持续性威胁入侵主机系统的过程。

3、然而，由于数据的不完整性、攻击溯源的策略等原因，使得初步还原结果存在攻击链缺失的问题，无法完整地再现攻击流程，不利于安全运营人员审阅，且影响后续的攻击处置流程。

技术实现思路

1、为了解决上述技术问题，本技术提供了一种攻击链补全方法、装置、电子设备及存储介质。

2、根据本技术的第一方面，提供了一种攻击链补全方法，包括：

3、获取预先构建的基于主机系统审计日志的安全知识图谱，以及所述安全知识图谱中的异常边，其中，所述安全知识图谱中的节点和边分别为所述主机系统审计日志中的实体和实体间的交互关系；

4、根据所述安全知识图谱，确定所述安全知识图谱中的多个依赖路径，并对所述多个依赖路径进行聚类，得到多个类簇和每个类簇对应的主机行为类别；

5、从每个异常边所属的依赖路径中选取目标依赖路径，并将所有异常边对应的目标依赖路径中具有相同实体和主机行为类别的目标依赖路径进行合并，得到多个局部攻击链；

6、针对每个类簇内的每个局部攻击链，对该局部攻击链中的实体与该类簇内该局部攻击链对应的时间戳之前的其他局部攻击链中的实体进行链路预测，得到该局部攻击链中的实体与其他局部攻击链中的实体之间的连接概率；

7、选取具有最大连接概率的、位于该局部攻击链中的第一目标实体和位于所述其他局部攻击链中的第二目标实体，并建立所述第二目标实体与所述第一目标实体之间的连接；

8、获取每个类簇中各局部攻击链路对应的时间戳中的最早时间戳，将所述最早时间戳作为所述类簇对应的时间戳；

9、对每个类簇中的实体与该类簇对应的时间戳之前的其他类簇中的实体进行链路预测，得到每个类簇中的实体与所述其他类簇中的实体之间的连接概率；

10、选取具有最大连接概率的、位于该类簇中的第三目标实体和位于所述其他类簇中的第四目标实体，并建立所述第四目标实体与所述第三目标实体之间的连接。

11、可选地，所述根据所述安全知识图谱，确定所述安全知识图谱中的多个依赖路径，包括：

12、从所述安全知识图谱选取入口顶点，其中，所述入口顶点的出度大于0，或者，当所述入口顶点为文件实体或通信实体时，所述入口顶点的入度和出度之和小于等于第一阈值，或者，所述入口顶点的入度和出度之和小于等于第二阈值；所述第一阈值小于第二阈值；

13、根据基于深度优先搜索的图遍历算法，从所述入口顶点进行遍历，确定所述安全知识图谱中的多个候选路径，所述候选路径中顶点的时间戳随边的方向递增；

14、根据所述多个候选路径，确定多个依赖路径。

15、可选地，所述根据所述多个候选路径，确定多个依赖路径，包括：

16、将每个候选路径作为依赖路径；或者，

17、如果所述多个候选路径中任一候选路径为其他候选路径的子路径，且其他候选路径的数量小于预设数量，将除所述候选路径之外的候选路径作为依赖路径。

18、可选地，所述对所述多个依赖路径进行聚类，得到多个类簇和每个类簇对应的主机行为类别，包括：

19、通过嵌入模型transr将每个依赖路径中的实体和交互关系映射为嵌入向量，根据实体与交互关系的嵌入向量，得到每个依赖路径的嵌入向量；

20、通过聚类算法对所述多个依赖路径的嵌入向量进行聚类，得到多个类簇和每个类簇对应的主机行为类别。

21、可选地，对该局部攻击链中的实体与其他局部攻击链中的实体进行链路预测，得到该局部攻击链中的实体与其他局部攻击链中的实体之间的连接概率，包括：

22、将该局部攻击链中的实体与其他局部攻击链中的实体输入预先建立的链路预测模型，得到该局部攻击链中的实体与其他局部攻击链中的实体之间的连接概率；

23、对每个类簇中的实体与所述其他类簇中的实体进行链路预测，得到每个类簇中的实体与所述其他类簇中的实体之间的连接概率，包括：

24、将每个类簇中的实体与所述其他类簇中的实体输入所述链路预测模型，得到每个类簇中的实体与所述其他类簇中的实体之间的连接概率。

25、可选地，所述从每个异常边所属的依赖路径中选取目标依赖路径，包括：

26、根据以下公式：

27、

28、计算所述异常边所属的第i个依赖路径pi的价值评分score(pi)，选取价值评分最高的依赖路径作为目标依赖路径；

29、其中，ε表示依赖路径pi中包含的异常边的数量，∈表示依赖路径中包含的边的数量，v表示依赖路径pi中包含的实体数量，τ表示依赖路径pi的主机行为类别的稀少性排名。

30、可选地，在所述获取预先构建的基于主机系统审计日志的安全知识图谱之前，所述方法还包括：

31、获取主机系统审计日志，从所述主机系统设计日志中提取实体，以及实体与实体之间的调用关系；

32、根据所述实体之间的调用关系，生成链路，并构建链路中非相邻实体之间的间接交互关系；

33、将所述实体作为安全知识图谱的节点，将实体与实体之间的调用关系和链路中非相邻实体之间的间接交互关系作为安全知识图谱的边。

34、根据本技术的第二方面，提供了一种攻击链补全装置，包括：

35、知识图谱获取模块，用于获取预先构建的基于主机系统审计日志的安全知识图谱，以及所述安全知识图谱中的异常边，其中，所述安全知识图谱中的节点和边分别为所述主机系统审计日志中的实体和实体间的交互关系；

36、依赖路径确定模块，用于根据所述安全知识图谱，确定所述安全知识图谱中的多个依赖路径；

37、依赖路径聚类模块，用于对所述多个依赖路径进行聚类，得到多个类簇和每个类簇对应的主机行为类别；

38、目标依赖路径确定模块，用于从每个异常边所属的依赖路径中选取目标依赖路径；

39、局部攻击链确定模块，用于将所有异常边对应的目标依赖路径中具有相同实体和主机行为类别的目标依赖路径进行合并，得到多个局部攻击链；

40、第一连接概率确定模块，用于针对每个类簇内的每个局部攻击链，对该局部攻击链中的实体与该类簇内该局部攻击链对应的时间戳之前的其他局部攻击链中的实体进行链路预测，得到该局部攻击链中的实体与其他局部攻击链中的实体之间的连接概率；

41、簇内链接建立模块，用于选取具有最大连接概率的、位于该局部攻击链中的第一目标实体和位于所述其他局部攻击链中的第二目标实体，并建立所述第二目标实体与所述第一目标实体之间的连接；

42、时间戳确定模块，用于获取每个类簇中各局部攻击链路对应的时间戳中的最早时间戳，将所述最早时间戳作为所述类簇对应的时间戳；

43、第二连接概率确定模块，用于对每个类簇中的实体与该类簇对应的时间戳之前的其他类簇中的实体进行链路预测，得到每个类簇中的实体与所述其他类簇中的实体之间的连接概率；

44、簇间链接建立模块，用于选取具有最大连接概率的、位于该类簇中的第三目标实体和位于所述其他类簇中的第四目标实体，并建立所述第四目标实体与所述第三目标实体之间的连接。

45、可选地，依赖路径确定模块，具体用于从所述安全知识图谱选取入口顶点，其中，所述入口顶点的出度大于0，或者，当所述入口顶点为文件实体或通信实体时，所述入口顶点的入度和出度之和小于等于第一阈值，或者，所述入口顶点的入度和出度之和小于等于第二阈值；所述第一阈值小于第二阈值；根据基于深度优先搜索的图遍历算法，从所述入口顶点进行遍历，确定所述安全知识图谱中的多个候选路径，所述候选路径中顶点的时间戳随边的方向递增；根据所述多个候选路径，确定多个依赖路径。

46、可选地，依赖路径确定模块，具体用于通过下述步骤实现根据所述多个候选路径，确定多个依赖路径：

47、将每个候选路径作为依赖路径；或者，

48、如果所述多个候选路径中任一候选路径为其他候选路径的子路径，且其他候选路径的数量小于预设数量，将除所述候选路径之外的候选路径作为依赖路径。

49、可选地，所述依赖路径聚类模块，具体用于通过嵌入模型transr将每个依赖路径中的实体和交互关系映射为嵌入向量，根据实体与交互关系的嵌入向量，得到每个依赖路径的嵌入向量；通过聚类算法对所述多个依赖路径的嵌入向量进行聚类，得到多个类簇和每个类簇对应的主机行为类别。

50、可选地，所述第一连接概率确定模块，具体用于针对每个类簇内的每个局部攻击链，将该局部攻击链中的实体与其他局部攻击链中的实体输入预先建立的链路预测模型，得到该局部攻击链中的实体与其他局部攻击链中的实体之间的连接概率；

51、所述第二连接概率确定模块，具体用于将每个类簇中的实体与所述其他类簇中的实体输入所述链路预测模型，得到每个类簇中的实体与所述其他类簇中的实体之间的连接概率。

52、可选地，所述目标依赖路径确定模块，具体用于根据以下公式：

53、

54、计算所述异常边所属的第i个依赖路径pi的价值评分score(pi)，选取价值评分最高的依赖路径作为目标依赖路径；

55、其中，ε表示依赖路径pi中包含的异常边的数量，∈表示依赖路径中包含的边的数量，v表示依赖路径pi中包含的实体数量，τ表示依赖路径pi的主机行为类别的稀少性排名。

56、可选地，所述攻击链补全装置还包括：

57、主机系统审计日志获取模块，用于获取主机系统审计日志；

58、实体及调用关系提取模块，用于从所述主机系统设计日志中提取实体，以及实体与实体之间的调用关系；

59、交互关系构建模块，用于根据所述实体之间的调用关系，生成链路，并构建链路中非相邻实体之间的间接交互关系；

60、安全知识图谱构建模块，用于将所述实体作为安全知识图谱的节点，将实体与实体之间的调用关系和链路中非相邻实体之间的间接交互关系作为安全知识图谱的边。

61、根据本技术的第三方面，提供了一种电子设备，包括：处理器，所述处理器用于执行存储于存储器的计算机程序，所述计算机程序被处理器执行时实现第一方面所述的方法。

62、根据本技术的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面所述的方法。

63、根据本技术的第五方面，提供了一种计算机程序产品，当所述计算机程序产品在计算机上运行时，使得所述计算机执行第一方面所述的方法。

64、本技术实施例提供的技术方案与现有技术相比具有如下优点：

65、通过获取预先构建的安全知识图谱，确定安全知识图谱中的多个依赖路径，聚类图谱中语义相近的依赖路径，得到多个类簇和每个类簇对应的主机行为类别。获取安全知识图谱中的异常边，从每个异常边所属的依赖路径中选取目标依赖路径，并将所有异常边对应的目标依赖路径中具有相同实体和主机行为类别的目标依赖路径进行合并，剩下的多条局部攻击链，其间的不连通性可以被定位为攻击链出现缺失。将攻击链补全的任务转换为安全知识图谱上的链路预测任务，链路预测即预测安全知识图谱中两个实体存在连接的概率。通过预测类簇内两个局部攻击链(每个局部攻击链与该局部攻击链对应的时间戳之前的局部攻击链)中实体对的连接概率，得到两个局部攻击链路中最有可能存在连接的实体对，并建立类簇内实体对之间的连接。类似地，预测两个类簇中的局部攻击链中实体对的连接概率，得到两个类簇中的局部攻击链路中最有可能存在连接的实体对，从而建立类簇间实体对的连接。这样，通过链路补全可以得到完整还原的攻击链，提高链路还原的完整性。该完整还原的攻击链将展示给安全事件运营人员并作为主机入侵事件的溯源分析结果，提高攻击溯源结果的可解释性与准确率。