[发明专利]模拟攻击杀伤链的方法、装置、存储介质及电子设备

说明书

本发明提供了一种模拟攻击杀伤链的方法、装置、存储介质及电子设备，所述方法包括：获取历史攻击事件，并以图数据的形式表示，构建初始图表示学习模型；获取企业目标资产信息，输入至所述初始图表示学习模型进行训练，生成杀伤链路径模型，所述杀伤链路径模型用于输入至入侵者模拟系统评估企业安全性。根据本发明实施例，该方法其通过知识图谱计算企业环境中的模拟攻击杀伤链，自适应不同企业环境或者自适应同一企业环境中日益不断变化的资产信息。

技术领域

本发明涉及安全性检测技术领域，尤其涉及一种模拟攻击杀伤链的方法、装置、存储介质及电子设备。

背景技术

目前企业环境安全检测和安全设备能力评估基本分为人工渗透测试、自动化入侵和攻击模拟(BAS)两种方式。其中，人工渗透测试方式虽能达到企业短期的检测需求，但企业环境熟悉、后期交付、工作效率、标准化程度、行为及数据可控性都有非常多的不足。自动化入侵和攻击模拟(BAS)可以对目标环境进行全量漏洞探测、全量TTP内容库及设定好的场景进行自动化模拟攻击，但即使针对用户环境做过相关资产测绘，该方法依然存有自身的局限性和弊端，比如主要基于单点的资产攻击行为，无法根据资产间的关联度从而模拟出符合企业真实环境中的攻击杀伤链。

发明内容

本发明实施例的目的是提供一种模拟攻击杀伤链的方法、装置、存储介质及电子设备，其通过知识图谱计算企业环境中的模拟攻击杀伤链，自适应不同企业环境或者自适应同一企业环境中日益不断变化的资产信息。

为了实现上述目的，本发明一方面提供一种模拟攻击杀伤链的方法，包括：

获取历史攻击事件，并以图数据的形式表示，构建初始图表示学习模型；

获取企业目标资产信息，输入至所述初始图表示学习模型进行训练，生成杀伤链路径模型，

所述杀伤链路径模型用于输入至入侵者模拟系统评估企业安全性。

可选的，所述将所述历史攻击事件以图数据的形式表示，构建初始图表示学习模型，包括：

从所述历史攻击事件中抽取攻击知识，并与杀伤链关联；

将与杀伤链关联后的所述历史攻击事件以图数据的形式表示，构建初始图表示学习模型。

可选的，所述从所述历史攻击事件中抽取攻击知识，并与杀伤链关联，包括：

对所述历史攻击事件进行训练语义分析，提取攻击知识，作为数据集语料库；

将所述攻击知识中关于TTP信息、所述企业目标资产信息作为实体，作为训练集语料库，与杀伤链建立关系。

可选的，所述对所述历史攻击事件进行训练语义分析，提取攻击知识，作为数据集语料库，包括：

对所述历史攻击事件进行文本预处理以及文本深层次断句；

通过自然语言处理技术，对经过文本深层次断句后的所述历史攻击事件进行语句语义依存分析；

对经过语句语义依存分析后的所述历史攻击事件制作数据集语料库，提取攻击知识。

可选的，所述获取企业目标资产信息，输入至所述初始图表示学习模型进行训练，生成杀伤链路径模型，包括：

获取所述企业目标资产信息，并将其映射到所述初始图表示学习模型中表征所述企业目标资产信息的实体；

通过知识计算中对所述初始图表示学习模型中表征所述TTP信息的实体及其所在的杀伤链范围做时序分析，生成所述杀伤链路径模型。

可选的，所述企业目标资产信息包括企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息；