(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111578783.8 (22)申请日 2021.12.2 2 (71)申请人 南京中孚信息技 术有限公司 地址 210000 江苏省南京市浦口区江浦街 道仁山路1号园区2号楼办公室东侧 ER202室 申请人 中孚安全技 术有限公司 　 中孚信息股份有限公司 　 北京中孚泰和科技发展股份有限公 司 (72)发明人 刘志远　苗功勋　徐留杰　孙强　 曲志峰　张海文　蔡力兵　赖成宾　 (74)专利代理 机构 北京哌智科创知识产权代理 事务所(普通 合伙) 11745 专利代理师 陈培生(51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于多特征的APT攻击事 件关联方法 (57)摘要 本发明公开了威胁情报共享平台技术领域 的一种基于多特征的APT攻击事件关联方法， 包 括获取攻击事件报告特征； 通过计算TF ‑IDF的值 得出报告文本相似度； 通过计算得出攻击事件 TTP相似度； 调用在线沙箱技术对恶意I OC进行行 为分析， 提取攻击链路； 设计链路相似度计算方 法得到攻击链路相似度； 将得到的文本相似度、 TTP相似度和攻击链路相似度进行权重的分配得 到综合相似度， 本发明针对攻击事件报告的不同 特征， 采用不同的相似度计算方法， 进而能够从 多方面关联攻击事件， 便于整合攻击情报、 溯源 攻击手段、 反馈应对方案， 大大提高了主动防御 能力， 在第一时间对恶意攻击事件提出响应参考 措施。 权利要求书2页 说明书6页 附图1页 CN 114793164 A 2022.07.26 CN 114793164 A 1.一种基于多特 征的APT攻击事 件关联方法， 其特 征在于， 包括以下步骤： S1:获取攻击事件报告特征， 事件报告特征包括攻击手段、 恶意工具、 攻击目标、 使用语 言、 漏洞利用、 指示器、 TF ‑IDF值和恶意 IOC； S2:通过计算TF ‑IDF的值得 出报告文本相似度； S3:通过计算攻击手段、 恶意工具、 攻击目标、 使用语言、 漏洞利用、 指示器的jaccard系 数得出攻击事 件TTP相似度； S4:调用在线沙箱技 术对恶意 IOC进行行为分析， 提取攻击链路； S5:设计链路相似度计算方法得到攻击链路相似度； S6:将得到的文本相似度、 TTP相似度和攻击链路相似度进行权重的分配得到综合相似 度。 2.根据权利要求1所述的一种基于多特征的APT攻击事件关联方法， 其特征在于： 所述 S2中报告 文本相似度的计算 步骤具体如下： S21： 设置分词器； S22： 设置词频统计装置； S23： 设置相似度计算方法， 相似度的判定依据相似系数， 相似系数为词汇列表交集个 数除以词汇列表总个数。 3.根据权利要求2所述的一种基于多特征的APT攻击事件关联方法， 其特征在于： 所述 S21中设置的分词器针对中文使用jieba分词算法， 英文则使用nltk.tokenize模块进行分 词， 同时设置停用词汇和专有词汇生成词汇列表。 4.根据权利要求2所述的一种基于多特征的APT攻击事件关联方法， 其特征在于： 所述 S22中设置的词频统计装置利用TF ‑IDF算法得到S1中生成的词汇列表中TF ‑IDF值。 5.根据权利要求1所述的一种基于多特征的APT攻击事件关联方法， 其特征在于： 所述 S3中TTP相似度计算 步骤具体如下： S31： 设置专有标签提取装置， 通过关键词匹配的方法， 从报告文本中提取攻击手段和 恶意工具； S32： 设置漏洞匹配装置， 通过正则匹配的方法提取利用的漏洞 信息； S33： 设置实体提取装置， 对提取出来的句子进一步地用关键词匹配的方法提取攻击目 标和使用语言； S34： 设置相似度计算方法， 将S31、 S32和S33中得到 的特征的值合并成一个集合， 计算 jaccard系数， 根据jac card系数判断相似度。 6.根据权利要求5所述的一种基于多特征的APT攻击事件关联方法， 其特征在于： 所述 S31中攻击手段词汇为主要从ATT&CK官网获取攻击方法专业词汇， 所述恶意工具包括漏洞 攻击工具、 信息收集工具、 密码破解工具、 远程访问工具、 漏洞扫描工具等， 恶意工具的词汇 分别从安全网站公开整理的工具列表中获取， 以及平时在威胁分析时整理得到 。 7.根据权利要求1所述的一种基于多特征的APT攻击事件关联方法， 其特征在于： 所述 S5中攻击链路相似度计算 步骤如下： S51： 设置IOC匹配装置； S52： 设置攻击链路分析装置； S53： 针对攻击链路设置相似度 计算方法， 通过jaccard系数或莱文斯坦(Levenshtein)权　利　要　求　书 1/2 页 2 CN 114793164 A 2距离做攻击链路相似度计算。 8.根据权利要求7所述的一种基于多特征的APT攻击事件关联方法， 其特征在于： 所述 S51中设置IOC匹配装置具体为采用正则匹配和html解析的方法提取IOC， 分别对应文本中 随机引用和固定位置罗列， 利用正则表达式对不同类型IOC： ip、 域名、 hash、 ur l等进行正则 提取， 同时针对固定位置的IOC则采用html 解析筛选获取。 9.根据权利要求8所述的一种基于多特征的APT攻击事件关联方法， 其特征在于： 所述 S52中攻击链路分析主要是针对恶意的PE(Portable  Executable)文件， 搭建沙箱环境， 将 恶意文件在沙箱 环境中执 行， 然后得 出该文件的执 行日志。 10.根据权利要求9所述的一种基于多特征的APT攻击事件关联方法， 其特征在于： 所述 S53中攻击链路为通过沙箱得到运行日志， 进一步地对日志进行解析得出关键链路， 提取 shell文件的文件名、 访问链接的链接地址、 下 载文件的文件名、 配置目录等信息而生成。权　利　要　求　书 2/2 页 3 CN 114793164 A 3