(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111456112.4 (22)申请日 2021.12.01 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区玉泉山闵庄路3 号清华科技园玉泉慧谷1号楼 (72)发明人 董晓齐　沈长伟　任洪伟　 (74)专利代理 机构 北京科衡知识产权代理有限 公司 11928 代理人 王淑静 (51)Int.Cl. H04L 9/40(2022.01) G06N 5/02(2006.01) G06F 16/903(2019.01) (54)发明名称 网络攻击分析方法、 装置、 电子设备及存储 介质 (57)摘要 本发明实施例公开一种网络攻击分析方法、 装置及电子设备， 涉及网络安全技术领域。 所述 方法包括： 从 网络安全设备上获取网络流量信息 及攻击载荷； 根据威胁情报检测规则特征库对所 述网络流量数据进行情报检测， 发现威胁事件， 形成结构化的事件信息库， 并自动提取威胁事件 的上下文特征信息； 根据威胁事件的上下文特征 信息与ATT&CK的上下文特征信息库进行比对， 确 定威胁事件采用的技战术 以及目前所处的攻击 阶段。 本发 明可以在一定程度上提高网络攻击分 析效率， 适用于网络攻击行为分析场景中。 权利要求书2页 说明书8页 附图3页 CN 114205128 A 2022.03.18 CN 114205128 A 1.一种网络攻击分析 方法， 其特 征在于， 所述方法包括 步骤： 获取网络流 量数据； 根据威胁 检测规则特 征库对所述网络流 量数据进行情 报检测， 得到威胁事 件； 根据所述威胁事件与ATT&CK知识库进行匹配， 确定所述威胁事件指示的网络攻击行为 信息。 2.根据权利 要求1所述的方法， 其特征在于， 所述根据所述威胁事件与ATT&CK知识库进 行匹配， 确定所述 威胁事件指示的网络攻击行为信息包括： 提取所述威胁事件的上下文信息； 根据所述威胁事件的上下文信息与战技术特征库进行匹配， 得到对应的威胁事件的 战、 技术及过程标签； 所述战技术特征库中维护有威胁事件的上下文信息与对应的威胁事 件的战、 技 术及过程标签之间的映射关系； 根据所述威胁事件 的战、 技术及过程标签查询匹配所述ATT&CK知识库， 确定所述威胁 事件指示的网络攻击行为信息 。 3.根据权利要求2所述的方法， 其特征在于， 所述上下文信 息包括： 威胁特征、 执行环境 特征、 攻击目标以及攻击方式。 4.根据权利要求3所述的方法， 其特征在于， 所述威胁特征包括： 威胁类型及对应的检 测规则； 所述执行环境特征用于指示威胁事件利用的攻击环境， 包括： 网络协议、 操作系统及内 存； 所述攻击目标用于指示威胁事件实施攻击所利用的目标载体， 包括： 资产、 文件及应用 软件； 所述攻击方式用于指示攻击者对攻击目标实施攻击采用的行为或手段， 包括： 主机登 录、 传输恶意文件、 释放恶意文件、 网络请求、 回传数据及清除数据。 5.根据权利要求1所述的方法， 其特征在于， 在所述获取网络流量数据之前， 所述方法 还包括： 获取历史威胁事 件样本及AT T&CK知识库中的战、 技 术及过程； 对所述历史威胁事件样本进行归纳分析， 建立所述历史威胁事件样本与所述战、 技术 及过程之间的映射关系， 并补充对应的历史威胁事 件的上下文信息， 形成战技 术特征库。 6.根据权利要求1所述的方法， 其特征在于， 在所述获取网络流量数据之前， 所述方法 还包括： 获取对应各种类型的威胁事件的威胁检测规则； 所述威胁检测规则中包含： 用于检 测是否为 威胁事件的检测特 征； 对所述威胁检测规则打标， 以建立 威胁检测规则特 征库。 7.一种网络攻击分析装置， 其特 征在于， 所述装置包括： 获取程序模块， 用于获取网络流 量数据； 检测程序模块， 用于根据威胁检测规则特征库对所述网络流量数据进行情报检测， 得 到威胁事 件； 分析程序模块， 用于根据所述威胁事件与ATT&CK知识库进行匹配， 确定所述威胁事件 指示的网络攻击行为信息 。 8.根据权利要求7 所述的装置， 其特 征在于， 所述分析程序模块包括： 提取程序单 元， 用于提取 所述威胁事件的上下文信息；权　利　要　求　书 1/2 页 2 CN 114205128 A 2匹配程序单元， 用于根据所述威胁事件的上下文信息与战技术特征库进行匹配， 得到 对应的威胁事件的战、 技术及过程标签； 所述战技术特征库中维护有威胁事件的上下文信 息与对应的威胁事 件的战、 技 术及过程标签之间的映射关系； 确定程序单元， 用于根据所述威胁事件 的战、 技术及过程标签查询匹配所述ATT&CK知 识库， 确定所述 威胁事件指示的网络攻击行为信息 。 9.根据权利要求8所述的装置， 其特征在于， 所述上下文信 息包括： 威胁特征、 执行环境 特征、 攻击目标以及攻击方式。 10.根据权利要求9所述的装置， 其特征在于， 所述威胁特征包括： 威胁类型及对应的检 测规则； 所述执行环境特征用于指示威胁事件利用的攻击环境， 包括： 网络协议、 操作系统及内 存； 所述攻击目标用于指示威胁事件实施攻击所利用的目标载体， 包括： 资产、 文件及应用 软件； 所述攻击方式用于指示攻击者对攻击目标实施攻击采用的行为或手段， 包括： 主机登 录、 传输恶意文件、 释放恶意文件、 网络请求、 回传数据及清除数据。 11.根据权利要求9所述的装置， 其特征在于， 所述装置还包括： 战技术特征库建立程序 模块， 用于： 在所述获取网络流量数据之前， 获取历史威胁事件样本及ATT&CK知识库中的战、 技术 及过程； 对所述历史威胁事件样本进行归纳分析， 建立所述历史威胁事件样本与所述战、 技术 及过程之间的映射关系， 并补充对应的历史威胁事 件的上下文信息， 形成战技 术特征库。 12.根据权利要求9所述的装置， 其特征在于， 所述装置还包括： 检测规则特征库建立程 序模块， 用于： 在所述获取网络流量数据之前， 获取对应各种类型的威胁事件的威胁检测规则； 所述 威胁检测规则中包 含： 用于检测是否为 威胁事件的检测特 征； 对所述威胁检测规则打标， 以建立 威胁检测规则特 征库。 13.一种电子设备， 其特征在于， 包括： 一个或者多个处理器； 存储器； 所述存储器中存 储有一个或者多个可执行程序， 所述一个或者多个处理器读取存储器中存储的可执行程序 代码， 来运行与可 执行程序代码对应的程序， 以用于执 行权利要求1至 6任一所述的方法。 14.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有一个或者 多个程序， 所述一个或者多个程序可被一个或者多个处理器执行， 以实现前述权利要求 1至 6任一所述的方法。权　利　要　求　书 2/2 页 3 CN 114205128 A 3