(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210914607.5 (22)申请日 2022.08.01 (65)同一申请的已公布的文献号 申请公布号 CN 114978778 A (43)申请公布日 2022.08.30 (73)专利权人 北京六方云信息技 术有限公司 地址 100085 北京市海淀区上地信息路12 号1幢2层C202室 专利权人 北京六方云科技有限公司 (72)发明人 黄亭　 (74)专利代理 机构 北京润平知识产权代理有限 公司 11283 专利代理师 陈潇潇 (51)Int.Cl. H04L 9/40(2022.01)G06N 20/00(2019.01) G06F 16/2455(2019.01) (56)对比文件 CN 112148772 A,2020.12.2 9 CN 106341414 A,2017.01.18 CN 102075 516 A,201 1.05.25 CN 111541661 A,2020.08.14 CN 103746961 A,2014.04.23 EP 2975801 A1,2016.01.20 陈小军等.基于概率攻击图的内部攻击意图 推断算法研究. 《计算机学报》 .2014,第37 卷(第1 期),第62-72页. 审查员 肖瑜 (54)发明名称 基于因果推断的多步攻击检测方法、 装置及 设备 (57)摘要 本发明涉及攻击检测技术领域， 其实施方式 提供了一种基于因果推断的多步攻击检测方法、 装置及设备。 其中， 一种基于因果推断的多步攻 击检测方法， 包括： 将所述告警样本集合中满足 时间聚合度的告警样本聚合为超级告警， 并根据 超级告警的时序进行分区； 根据分区、 所述分区 的下一分区以及两者的分区边界在时间窗口内 与攻击类型的特征相关的数据的分布特征， 构建 攻击类型组合所对应的第一概率表和第二概率 表； 将检测事件与预设时间段内的历史事件组合 后， 在所述第一概率表和所述第二概率表中进行 匹配， 根据匹配结果得到所述检测事件的检测结 果。 本发明提供的实施方式能够提升多步攻击检 测的效率和准确性。 权利要求书2页 说明书8页 附图2页 CN 114978778 B 2022.10.28 CN 114978778 B 1.一种基于因果推断的多步 攻击检测方法， 其特 征在于， 该 方法包括： 获取告警样本集 合； 将所述告警样本集合中满足时间聚合度的告警样本聚合为超级告警， 并根据超级告警 的时序进行分区； 对分区内的数据进行排序； 计算所有攻击类型每 个特征的值域； 遍历每个分区数据， 根据每条数据是否在其它告警类型的每个特征的值域内， 得到攻 击类型组合的每 个特征对应的发生 概率； 将根据所述发生 概率确定出的攻击类型组合写入第一 概率表； 将所述第一 概率表中的概 率发生突变的攻击类型组合写入第二 概率表； 将检测事件与 预设时间段内的历史事件组合后， 在所述第 一概率表和所述第 二概率表 中进行匹配， 根据匹配结果得到所述检测事 件的检测结果。 2.根据权利要求1所述的方法， 其特 征在于， 根据超级 告警的时序进行分区， 包括： 判断默认分区数、 预设时间窗口和所述告警样本集 合的时间跨度是否满足预设 关系； 在满足预设 关系时， 以所述默认分区数对所述告警样本集 合中的数据进行分区； 在不满足预设关系时， 调整所述默认分区数， 以调整后的默认分区数对所述告警样本 集合中的数据进行分区。 3.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 计算分区平均数据量和每 个分区的数据量； 如果当前分区的数据量>分区平均数据量* M， M为大于1的实数， 则以分区平均数据量*M/当前分区数据量作为抽样比例， 对当前分区进行无放回的抽 样。 4.根据权利要求1所述的方法， 其特征在于， 遍历每个分区数据， 根据每条数据是否在 其它告警类型的每 个特征的值域内， 得到攻击类型组合的每 个特征对应的发生 概率， 包括： 获取第一攻击类型A的所有特征组合， 计算其在第二攻击类型B的值域内发生的频率， 记为AFdomain(B,F)； 其中F为某一特 征组合； 计算在预设时间段内， 满足第一攻击类型A和第二攻击类型B的时序关系以及F满足相 似度要求的第一 攻击类型A的事 件个数， 记为ABFdomain(B,F)； 以条件概率P(A|BF∈domain(B,F))=ABFdomain(B,F)/ AFdomain(B,F)， 作为第一攻击类型A和第二攻 击类型B组成的攻击类型组合的发生 概率。 5.根据权利要求1所述的方法， 其特征在于， 将根据 所述发生概率确定出的攻击类型组 合写入第一 概率表， 包括： 多轮迭代计算多个特 征组合下的攻击类型组合； 根据预设阈值筛 选出每轮中的多个特 征组合下的攻击类型组合； 对得到的攻击类型组合进行合并， 取特征组合个数最多的攻击类型组合写入第 一概率 表。 6.根据权利要求5所述的方法， 其特 征在于， 所述方法还 包括： 构建复合数据结构以标识匹配过程； 所述复合数据结构中包括： 事件标识、 事件发生 时间、 序列内事件的最新 时间以及是否权　利　要　求　书 1/2 页 2 CN 114978778 B 2对比标识。 7.一种基于因果推断的多步 攻击检测装置， 其特 征在于， 该装置包括： 样本获取模块， 用于获取告警样本集 合； 聚合分区模块， 用于将所述告警样本集合中满足时间聚合度的告警样本聚合为超级告 警， 并根据超级 告警的时序进行分区； 概率建立模块， 用于对分区内的数据进行排序； 计算所有攻击类型每个特征的值域； 遍 历每个分区数据， 根据每条数据是否在其它告警类型 的每个特征 的值域内， 得到攻击类型 组合的每个特征对应的发生概率； 将根据所述发生概率确定出的攻击类型组合写入第一概 率表； 将所述第一 概率表中的概 率发生突变的攻击类型组合写入第二 概率表； 以及 事件检测模块， 用于将检测事件与预设时间段内的历史事件组合后， 在所述第一概率 表和所述第二 概率表中进行匹配， 根据匹配结果得到所述检测事 件的检测结果。 8.一种电子设备， 包括存储器、 处理器以及存储在所述存储器中并可在所述处理器上 运行的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至6中 任一项权利要求所述的基于因果推断的多步 攻击检测方法的步骤。 9.一种计算机可读存储介质， 所述存储介质中存储有指令， 当其在计算机上运行时， 使 得计算机执行权利要求1至6中任一项权利要求所述的基于因果推 断的多步攻击检测方法 的步骤。权　利　要　求　书 2/2 页 3 CN 114978778 B 3