一种基于ATT_CK和有向警报图的真实威胁告警系统、方法和计算机可读存储介质

本发明涉及网络安全、图神经网络，具体涉及一种基于att_ck和有向警报图的真实威胁告警方法。

背景技术：

1、在各种网络攻击中，高级持续性威胁(apt)的攻击方法先进，持续时间长，破坏范围大，已成为用户和企业的主要防范对象之一。

2、现有技术使用端点检测和响应等技术对主机活动进行持续性检测，并制定威胁检测规则，当主机活动与威胁规则匹配时，发出威胁警报。att_ck是一个公开的面向网络威胁的ttp(tactics，techniques and procedures)知识库，可以帮助现有持续性检测技术了解攻击者的攻击方法，定义威胁检测规则。

3、但现有技术还存在误报数量多、预测精度低和保存数据量大等问题，尽管已有一些技术致力于改进基于edr的威胁检测技术，但往往无法完全解决上述问题。例如，公开号为cn114117432a[一种基于数据溯源图的apt攻击链还原系统，上海交通大学，cn114117432a.]的中国发明专利将系统溯源图作为原始输入，并将溯源图进行压缩成为无环图，并标记感染点，作为基点搜索匹配，得到完整的apt攻击链。但该方法中使用的某一时段的系统溯源图往往不完整，仅包含攻击链中的某几个步骤，使用深度优先搜索往往无法匹配得到完整的apt攻击链。公开号为cn115396169a[基于ttp的多步骤攻击检测与场景还原的方法及系统，上海交通大学，cn115396169a.]的中国发明专利使用处理序列化信息的bi-lstm神经网络模型处理从攻击报告中提取出的攻击技术序列，并利用训练好的模型对edr系统产生的告警进行关联，还原攻击场景。但该方法受制于攻击报告中得到的攻击序列种类，难以针对模型训练阶段不存在的攻击方式进行告警关联，且仅面向告警序列进行嵌入编码，忽略系统告警间的图结构信息，将降低嵌入效果，从而降低攻击检测准确率。公开号为cn115378670a[一种apt攻击识别方法、装置、电子设备及介质，北京永信至诚科技股份有限公司，cn115378670a.]的中国发明专利对apt攻击进行特征检测、行为检测和机器学习检测，提升检测效率并降低误报。但该方法需要使用长期系统日志支撑检测，这带来了巨大的日志存储成本。

技术实现思路

1、本发明通过在系统溯源图中对警报进行标记，并根据警报位置对溯源图进行剪枝，得到有向警报图。使用图注意力神经网络对有向警报图进行学习和处理，并结合网空杀伤链给出的7个攻击阶段，根据节点所属杀伤链阶段类别，动态调整每个节点的感受野和注意力权重，得到更好的节点嵌入表示，并预测节点是否为真实警报。相比于现有研究，本发明不依赖于模型训练阶段专家知识的完整性，同时能够充分利用系统溯源图的节点和结构信息，得到更好的节点嵌入表示，提高真实威胁检测效果。

2、一方面，本发明提出了一种基于att_ck和有向警报图的真实威胁告警系统，通过以下的技术方案实现：

3、一种基于att_ck和有向警报图的真实威胁告警系统，包括：包括日志处理模块、警报生成模块、警报处理模块和真实警报生成模块，所述日志处理模块与所述警报生成模块连接，所述警报生成模块与所述警报处理模块连接，所述警报处理模块与所述真实警报生成模块连接。

4、优选的，所述日志处理模块包括审计记录获取模块和溯源图生成模块，所述审计记录获取模块用于获取系统中的审计记录，如并对其中的非结构化审计记录进行处理变成结构化数据；所述溯源图生成模块用于提取出审计记录中的系统交互以及交互实体，以交互双方实体为图的节点，以交互为图的边，组合成反应系统信息的系统溯源图。

5、优选的，所述警报生成模块包括att_ck库维护模块、威胁检测规则生成模块、威胁检测规则库和威胁规则匹配模块，所述att_ck库维护模块用于存储并更新att_ck知识库；所述威胁检测规则生成模块用于从att_ck知识库中提取信息，并获得对应攻击方式的检测规则，威胁检测规则生成模块支持自动化规则提取和人工设置威胁检测规则；所述威胁检测规则库用于存储和维护攻击检测规则；所述威胁规则匹配模块用于根据攻击检测规则，在系统溯源图中进行搜索，并获取与威胁检测规则匹配的系统交互。

6、优选的，所述警报处理模块包括威胁告警获取模块、有向警报图生成模块、有向警报图存储模块和gat训练模块，所述威胁告警获取模块用于获取匹配到的全部威胁告警，并在溯源图中标注出威胁交互，所述有向警报图生成模块根据溯源图和警报位置，生成有向警报图；所述有向警报图存储模块用于存储已生成的有向警报图，并随系统交互的不断发生与系统警报的不断增加，使已存储的有向警报图不断增长，作为系统行为取证分析的数据来源；所述gat训练模块用于训练gat模型。

7、优选的，所述真实警报生成模块包括节点类型预测模块和真实威胁告警模块，所述节点类型预测模块用于系统交互更新时，使用已训练好的gat模型获取已更新的有向警报图中每个警报节点的嵌入，并预测每个节点的类别；所述真实威胁告警模块用于将预测类别为真实的告警节点作为真实威胁告警，输出给相关操作人员。

8、所述gat训练模块首先计算节点i和节点j的属性相似度eij：

9、eij＝t([1hi||1hj])

10、其中，w1是可训练的转换矩阵，hi表示节点i的属性向量，hj表示节点i的属性向量，α表示共享的可训练的注意力向量，t表示转置；转置后把拼接后的i和j的节点高维特征映射到一个实数eij上。

11、更优的，所述生成有向警报图的规则如下：

12、首先，根据每个警报发生位置与时间搜索找到所有警报，并删除其中与警报不相关的节点，使警报直接相连，完成溯源图预处理；其次，将相连警报组合成警报图，并按照时间顺序为每个边标注方向，组成有向警报图，完成有向警报图生成；一个有向警报图代表一个可能的apt攻击事件。

13、在本发明的另一方面，提供了一种基于att_ck和有向警报图的真实威胁告警方法，包括以下步骤：

14、s101：分析系统日志，生成系统溯源图；

15、s102：根据att_ck攻击技战术知识库制定设置系统警报规则，识别威胁事件，并在系统溯源图中进行标识；

16、s103：对系统溯源图进行预处理，删除其中与警报不直接相关的节点；

17、s104：进一步缩减系统溯源图，得到有向警报图；

18、s105：为有向警报图的节点标识杀伤链序号和感受野大小；

19、s106：训练gat模型；

20、s107：使用训练好的gat模型获得新的有向警报图中的节点嵌入；

21、s108：使用训练好的gat模型对节点进行分类；

22、s109：将分类预测的结果作为真实告警的警报节点反馈给相关操作人员。

23、本发明与现有技术相比，还存在以下优点：

24、1)减少误报：现有的基于ttp知识库的威胁警报系统往往会将常见的系统操作也归类为异常操作，并对相关操作人员进行告警，这带来了大量误报。本发明通过将大量虚假与真实告警混合的警报进行预处理，得到警报序列后组合成有向警报图，并结合杀伤链进行分析。由于绝大多数攻击流程符合杀伤链环节，通过分析过程能够过滤掉大多数虚假告警，提高真实告警比例，从而额减少误报，降低分析师的工作压力；

25、2)提高预测精度：现有安全分析方法要求分析师对一系列单独警报进行分析，发现具体网络攻击，过度依赖于分析师水平，且给分析师带来巨大分析压力。本发明在对警报进行预处理的过程中，构建了有向警报图，来连接系统溯源图上相关联的警报，并结合att_ck技战术库和杀伤链来进行自动化分析，从而挖掘出警报之间的隐性关联，获得更准确的图节点嵌入，提高对真实警报的预测精度；

26、3)降低存储成本：由于系统日志生成量很大，且apt攻击潜伏期长，对apt攻击进行检测和分析必须存储大量系统日志，这带来了巨大的存储成本。本发明通过将日志和警报转化为有向警报图进行分析和处理，不需要长时间存储大量原始日志，降低了系统存储成本。