(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221097946 3.1 (22)申请日 2022.08.16 (71)申请人 北京华清信安科技有限公司 地址 100043 北京市石景山区实兴东 街11 号1楼1306室 (72)发明人 田新远　 (74)专利代理 机构 北京汇智胜知识产权代理事 务所(普通 合伙) 11346 专利代理师 孙华 (51)Int.Cl. H04L 9/40(2022.01) G06N 20/20(2019.01) (54)发明名称 基于互联网威胁事件扩展式威胁检测和响 应方法及系统 (57)摘要 本发明公开了一种基于互联网威胁事件扩 展式威胁检测和响应方法及系统， 所述方法包括 以下步骤： 步骤一， 采集至少包括第三方安全工 具的日志数据， 进行数据标准化处理； 步骤二， 利 用机器学习算法识别数据中的威胁指标并标记 为可能恶意行为检测数据； 步骤三， 采用决策树 机器学习算法结合攻击链路中数据特征对可能 恶意行为检测数据进行识别； 预定义的攻击链路 图中的行为， 根据式( Ⅰ)的结果， 判定可能恶意行 为检测数据是否为恶意行为； 式( Ⅰ)如下： 步骤四， 根据步骤三的 判定结果， 进行事件告警、 配置剧本攻击链路进 行自动化阻断操作。 本发明能够 有效提高恶意行 为数据检测的效率和准确性， 减少数据的漏报， 并对恶意行为进行 快捷的响应 。 权利要求书3页 说明书7页 附图2页 CN 115412313 A 2022.11.29 CN 115412313 A 1.基于互联网威胁事 件扩展式威胁 检测和响应方法， 其特 征在于， 包括以下步骤： 步骤一， 采集至少包括第三方安全工具日志的数据， 并进行 数据标准 化处理； 步骤二， 利用机器学习算法识别数据中的威胁指标并标记为可能恶意行为检测数据； 步骤三， 采用决策树机器学习算法结合攻击链路中数据 特征对所述可能恶意行为检测 数据进行识别； 预定义的攻击链路图中的行为， 根据式( Ⅰ)的结果， 判定可能恶意行为检测 数据是否为恶意行为； 式( Ⅰ)如下： 其中， Score表示最终得分， Wij表示攻击链路i下的攻击行为j的权重， Tij表示用户行 为的特征向量， n表示链路个数， m表示 攻击行为个数； 步骤四， 根据步骤三的判定结果， 进行事件告警、 配置剧本攻击链路进行自动化阻断操 作。 2.如权利要求1所述的基于互联网威胁事件扩展式威胁检测和响应方法， 其特征在于， 所述步骤三具体包括以下步骤： 301， 利用决策树方法分析所述可能恶意行为检测数据， 划分确定数据维度， 获得数据 特征维度信息集； 302， 利用所述特 征维度信息集获取训练数据阵列， 并构建训练数据阵列属性列表； 303， 针对训练数据阵列属性列表， 利用公式( Ⅱ)和(Ⅲ)进行计算获得各特征向量的特 征值T； 所述公式( Ⅱ)和(Ⅲ)如下： T＝(t1,t2,t3,...,th)(Ⅲ) 其中， ti为特征向量的第i个维度值， vi为第i个特征的权重， n为具有权重的特征个 数， vj 为第j个特 征的权重； 304， 收集所述数据阵列的角标和训练数据阵列属性列表构建决策树， 结合数据根结点 的信息， 利用决策树信息特征增益方法， 确定事件期望值K， 其中事件期望值K的计算公式 (Ⅳ)如下： 其中， K代表事件期望值， x代表事件威胁分值， p代表概率， l代表序列的信息， i表示第i 个事件， i∈(1～n)； 305， 将所述事件期望值K作 为输出结果， 并结合数据特征规则进行校验， 若期望值大于 40％， 且规则校验结果匹配， 则输出相应行为标签。 3.如权利要求2所述的基于互联网威胁事件扩展式威胁检测和响应方法， 其特征在于， 所述步骤305中， 所述数据特征规则的提取方式需自定义攻击链路中所涉及到的攻击行为 数据特征， 其中， 所述 攻击链路如下： 侦测→资源利用 →权限提升 →信息收集 →控制攻击恶意指标 数据； 每个攻击链路下都对应多个攻击行为特征， 利用规则对机器学习中恶意数据的具体行权　利　要　求　书 1/3 页 2 CN 115412313 A 2为特征进行提取。 4.如权利要求1所述的基于互联网威胁事件扩展式威胁检测和响应方法， 其特征在于， 所述步骤一中采集至少包括第三方安全工具日志的数据具体包括： 利用数据采集服务器获取网络流量日志和主机原始日志， 采用标准化解析方式， 把原 始日志中的直接信息和间接信息解析 出来， 作为单独的字段进行存 储； 和使用日志编排技术采集所述第三方安全工具日志； 其中， 采集所述第三方安全工具 日志的具体步骤 包括： 101， 通过API或自定义配置获取待采集日志 原数据； 102， 自定义日志匹配表达 式或采用自动解析识别生成日志类型数据表达式规则， 达到 生成数据解析规则目的； API方式可直接调用相关接口接收日志数据； 103， 把校验完成的日志类型数据表达式规则下发到数据采集服务器， 数据采集服务器 接收此类型日志后可自动化数据采集工作； 其中日志类型数据表达式规则下发到数据采集 服务器采用接口上传方式， 调用 采集服务器规则配置接口可快速完成数据解析规则的上 传。 5.如权利要求4所述的基于互联网威胁事件扩展式威胁检测和响应方法， 其特征在于， 所述步骤一中的数据标准化处理具体包括： 把采集到的数据解析后的不同字段数据分配到 固定的区间， 采用标准化方法对每一列的数据获取值处理， 获取每组数据的关键性指标数 据， 在预定义之外的字段 数据采用冗余处 理方法， 去除问题无关的数据。 6.如权利要求1所述的基于互联网威胁事件扩展式威胁检测和响应方法， 其特征在于， 所述步骤二具体包括： 201， 将步骤一中采集到的数据， 利用机器学习算法， 基于样本数据进行特征提取， 获得 特征序列； 其中， 特 征提取采取基因列的特 征类型提取 方式； 202， 针对上述特 征序列， 基于公式( Ⅴ)计算其概率U， 公式如下 其中， U为 概率， w为出现的词元， h的词组长度， m为序列值； 203， 将概率U大于0.02的数据进行 标记， 输出并标记为可能恶意行为检测数据。 7.如权利要求1所述的基于互联网威胁事件扩展式威胁检测和响应方法， 其特征在于， 所述步骤四中， 所述剧本攻击链路包含15种路线图， 每种链路节点包含5～25个攻击事件 项， 采用推拽组合方式可快速定义所需告警或阻断剧本任务， 剧本由网威胁事件扩展式威 胁检测及响应系统自动化执 行。 8.用于如权利要求1 ‑7任一项所述基于互联网威胁事件扩展式威胁检测和响应方法的 系统， 其特 征在于， 包括： 日志数据采集服务器， 其用于采集包括网络流量日志、 主机原始日志以及第三方安全 工具日志的日志数据； 数据处理模块， 其包括日志解码器、 解析规则生成模块、 数据标准化处理模块以及日志 关联分析模块； 用于将采集到日志数据进行 标准化处理； 恶意行为分析模块， 其包括用于标记可能恶意行为检测数据的机器学习 模型和用于识 别恶意行为检测数据的决策树模型；权　利　要　求　书 2/3 页 3 CN 115412313 A 3