(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111580596.3 (22)申请日 2021.12.2 2 (71)申请人 北京未来智安科技有限公司 地址 100080 北京市海淀区海淀街道海淀 大街31号中关村创业大街6号楼b1层 (72)发明人 梁宏宇　陈毓端　唐伽佳　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 代理人 周永君　崔博 (51)Int.Cl. H04L 9/40(2022.01) G06N 5/02(2006.01) (54)发明名称 一种基于ATT&CK威胁检测的方法及装置 (57)摘要 本发明提供一种基于ATT&CK威胁检测的方 法及装置， 所述方法包括： 获取当前正在运行的 进程； 根据当前正在运行的进程以及威胁库， 获 得潜在威胁攻击集合； 其中， 所述威胁库包括多 个威胁攻击以及每个威胁攻击的匹配规则； 所述 威胁库以及每个威胁攻击的匹配规则是预设的； 根据新进程以及所述潜在威胁攻击集合， 识别攻 击行为。 所述装置用于执行上述方法。 本发明实 施例提供的基于ATT&C K威胁检测的方法及装置， 提高了系统的安全性。 权利要求书2页 说明书9页 附图4页 CN 114338118 A 2022.04.12 CN 114338118 A 1.一种基于AT T&CK威胁检测的方法， 其特 征在于， 包括： 获取当前正在运行的进程； 根据当前正在运行的进程以及威胁库， 获得潜在威胁攻击集合； 其中， 所述威胁库包括 多个威胁攻击以及每个威胁攻击的匹配规则； 所述威胁库以及每个威胁攻击的匹配规则是 预设的； 根据新进程以及所述潜在威胁攻击集 合， 识别攻击行为。 2.根据权利要求1所述的方法， 其特征在于， 所述根据当前正在运行的进程以及威胁 库， 获得潜在威胁攻击集 合包括： 将当前正在运行的进程中的每 个进程与所述 威胁库中的每 个威胁攻击进行匹配； 若根据所述威胁攻击的匹配规则判断获知当前正在运行的进程中的一个进程与所述 威胁攻击的第一个攻击步骤匹配， 则将所述 威胁攻击归属到所述潜在威胁攻击集 合。 3.根据权利要求1所述的方法， 其特征在于， 所述根据新进程以及所述潜在威胁攻击集 合， 识别攻击行为包括： 重复将新进程中的每个进程与所述潜在威胁攻击集合中的每个潜在威胁攻击进行匹 配， 以更新所述潜在威胁攻击集 合的步骤， 直到所述潜在威胁攻击集 合为空； 若根据所述潜在威胁攻击的匹配规则判断获知新进程中的一个进程与所述潜在威胁 攻击的最后一个攻击步骤匹配， 则将所述潜在威胁攻击识别为攻击行为并将所述潜在威胁 攻击从所述潜在威胁攻击集 合中去除。 4.根据权利要求3所述的方法， 其特征在于， 所述将新进程中的每个进程与 所述潜在威 胁攻击集 合中的每 个潜在威胁攻击进行匹配， 以更新所述潜在威胁攻击集 合包括： 若根据所述潜在威胁攻击的匹配规则判断获知新进程中的一个进程与所述潜在威胁 攻击的当前攻击步骤匹配且所述当前攻击步骤不是所述潜在威胁攻击的最后一个攻击步 骤， 则将所述潜在威胁攻击保留在所述潜在威胁攻击集 合中。 5.根据权利要求3所述的方法， 其特征在于， 所述将新进程中的每个进程与 所述潜在威 胁攻击集 合中的每 个潜在威胁攻击进行匹配， 以更新所述潜在威胁攻击集 合包括： 若根据所述潜在威胁攻击的匹配规则判断获知新进程中的所有进程与所述潜在威胁 攻击的当前攻击步骤不匹配且所述潜在威胁攻击在所述潜在威胁攻击集合中的存在时间 超过预设时长， 则将所述潜在威胁攻击从所述潜在威胁攻击集 合中去除。 6.根据权利要求1至 5任一项所述的方法， 其特 征在于， 还 包括： 将新进程中的每 个进程与所述 威胁库中的每 个威胁攻击进行匹配； 若根据所述威胁攻击的匹配规则判断获知新进程中的一个进程与所述威胁攻击的第 一个攻击步骤匹配， 则将所述 威胁攻击归属到所述潜在威胁攻击集 合。 7.一种基于AT T&CK威胁检测的装置， 其特 征在于， 包括： 获取单元， 用于获取当前正在运行的进程； 检测单元， 用于根据当前正在运行的进程以及威胁库， 获得潜在威胁攻击集合； 其中， 所述威胁库包括多个威胁攻击以及每个威胁攻击的匹配规则； 所述威胁库以及每个威胁攻 击的匹配规则是 预设的； 识别单元， 用于根据新进程以及所述潜在威胁攻击集 合， 识别攻击行为。 8.根据权利要求7 所述的装置， 其特 征在于， 所述检测单 元包括：权　利　要　求　书 1/2 页 2 CN 114338118 A 2匹配子单元， 用于将当前正在运行的进程中的每个进程与所述威胁库中的每个威胁攻 击进行匹配； 归属子单元， 用于在根据所述威胁攻击的匹配规则判断获知当前正在运行的进程中的 一个进程与所述威胁攻击的第一个攻击步骤匹配之后， 将所述威胁攻击归属到所述潜在威 胁攻击集 合。 9.根据权利要求7 所述的装置， 其特 征在于， 所述识别单 元包括： 重复执行子单元， 重复将新进程中的每个进程与 所述潜在威胁攻击集合中的每个潜在 威胁攻击进行匹配， 以更新所述潜在威胁攻击集合的步骤， 直到所述潜在威胁攻击集合为 空； 识别子单元， 用于在根据所述潜在威胁攻击的匹配规则判断获知新进程中的一个进程 与所述潜在威胁攻击的最后一个攻击步骤匹配之后， 将所述潜在威胁攻击识别为攻击行为 并将所述潜在威胁攻击从所述潜在威胁攻击集 合中去除。 10.根据权利要求9所述的装置， 其特 征在于， 所述重复执 行子单元具体用于： 若根据所述潜在威胁攻击的匹配规则判断获知新进程中的一个进程与所述潜在威胁 攻击的当前攻击步骤匹配且所述当前攻击步骤不是所述潜在威胁攻击的最后一个攻击步 骤， 则将所述潜在威胁攻击保留在所述潜在威胁攻击集 合中。 11.根据权利要求9所述的装置， 其特 征在于， 所述重复执 行子单元具体用于： 若根据所述潜在威胁攻击的匹配规则判断获知新进程中的所有进程与所述潜在威胁 攻击的当前攻击步骤不匹配且所述潜在威胁攻击在所述潜在威胁攻击集合中的存在时间 超过预设时长， 则将所述潜在威胁攻击从所述潜在威胁攻击集 合中去除。 12.根据权利要求7至1 1任一项所述的装置， 其特 征在于， 还 包括： 匹配单元， 用于将新进程中的每 个进程与所述 威胁库中的每 个威胁攻击进行匹配； 归属单元， 用于在根据 所述威胁攻击的匹配规则判断获知新进程中的一个进程与 所述 威胁攻击的第一个攻击步骤匹配之后， 将所述 威胁攻击归属到所述潜在威胁攻击集 合。 13.一种电子设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至6任一项所述方 法的步骤。 14.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至 6任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 114338118 A 3