CN118199952B 基于机器学习的攻击脚本库自动更新方法、系统及设备 （国网湖北省电力有限公司信息通信公司）

基于机器学习的攻击脚本库自动更新方法、一种基于机器学习的攻击脚本库自动更新后基于攻击流程识别其是否为攻击知识库中未该新型攻击手段对应的防御策略添加至防御知用网络威助情报的TTPs分析还原攻击事件的整2S4、利用网络威助情报的TTPs分析还原攻击事件S41、从网络威助情报中抽取关键IOC证据或人工分所述流程提炼模块用于捕获攻击数据，并基于ATT&CK模型框架识别攻击所述知识库更新和链路规划模块用于基于攻击流程识别其是否为攻击知识库中未知所述攻击模拟模块用于采用入侵和攻击模拟技术模拟自动攻击，包括信息收集单元、3所述攻击路径模拟单元用于把利用更新后的知识图谱模拟攻击者采取的路径所述攻击代码或脚本生成单元用于根据模拟得到的攻击路径生成攻击所述模拟攻击审计单元用于在安全的测试环境中执行模拟攻击，监测所述分析还原模块用于利用网络威助情报的TTPs分析还原攻击事件的所述特征定位单元用于从网络威助情报中抽取关键IOC证据或人工分析人员表达方所述行为识别单元用于从行为特征中关联同源性的条件，从技术所述知识库更新和链路规划模块为配置有攻击算法的AI引擎，其内部所述攻击知识库中加入有实时网络环境监测单元，该单元用于实所述自动标注和反馈模块用于对模拟攻击是否成功的结果进行自动所述数据融合模块用于在还原攻击事件的整个过程融合多源数据，所述威胁情报集成模块用于基于外部的威胁情报平台实时获取最新的攻击手法和漏所述处理器用于根据所述计算机程序代码中的指令执行如权利要求1_2所述的基于机45[0026]所述知识库更新和链路规划模块用于基于攻击流程识别其是否为攻击知识库中[0028]所述分析还原模块用于利用网络威助情报的TTPs分析还并根据攻击事件的整个过程对攻击知识库和防御知识[0033]所述攻击代码或脚本生成单元用于根据模拟得到的攻击路径生成攻击代码或脚[0036]所述特征定位单元用于从网络威助情报中抽取关键IOC证据或人工分析人员表达6[0044]所述威胁情报集成模块用于基于外部的威胁情报平台实时获取最新的攻击手法[0047]所述处理器用于根据所述计算机程序代码中的指令执行前述的基于机器学习的[0051]3、本发明所述系统通过在AI引擎内部设置自适应学习单元对攻击模拟模块得到7[0065]4、全面的模拟攻击效果：通过增强的数据融合技术和自动化的威胁情报集成机8[0071]ATT&CK模型框架作为一个综合性知识库，通过对攻击生命周期各阶段的实际观[0073]该模型框架的应用提供了一种理解和分类攻击者行为的方法，包括各APT组织的9[0128]3、基于配置有攻击算法(可以是黑客攻击算法)的AI引擎识别其是否为攻击知识御策略添加至防御知识库中以更新防御知识库，当新型攻击手段对漏洞知识库进行攻击[0146]步骤2基于ATT&CK模型框架识别攻击数据的攻击序列之前从收集的数据中提取关[0156]所述攻击代码或脚本生成单元用于根据模拟得到的攻击路径生成攻击代码或脚[0158]所述分析还原模块用于利用网络威助情报的TTPs分析还并根据攻击事件的整个过程对攻击知识库和防御知识库进行再次更新，包括特征定位单[0159]所述特征定位单元用于从网络威助情报中抽取关键IOC证据或人工分析人员表达[0164]所述威胁情报集成模块用于基于外部的威胁情报平台实时获取最新的攻击手法[01