← 返回列表
一种基于威胁情报的APT组织技战术同源性分析方法
摘要文本
本发明公开了一种基于威胁情报的APT组织技战术同源性分析方法,包括:采集CTI报告文本和MITRE ATT&CK知识库中的Procedure Examples描述语句,进行数据清洗;基于Procedure Examples描述语句训练多标签分类模型,利用多标签分类模型对CTI报告文本进行分类得到TTPs标签;对CTI报告文本进行实体识别和关系抽取,结合TTPs标签生成CTI报告实体关系图;分析CTI报告中涉及的恶意样本,提取出恶意样本的特征,基于特征生成恶意样本实体关系图,将恶意样本实体关系图与CTI报告实体关系图合并得到完整实体关系图;对完整实体关系图进行向量化,根据向量相似性预测匿名向量所属的APT组织。本发明提供了一种有效的APT组织技战术同源性分析方法。 (来 自 专利查询网)
申请人信息
- 申请人:四川大学
- 申请人地址:610065 四川省成都市武侯区一环路南一段24号
- 发明人: 四川大学
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 一种基于威胁情报的APT组织技战术同源性分析方法 |
| 专利类型 | 发明申请 |
| 申请号 | CN202311618724.8 |
| 申请日 | 2023/11/30 |
| 公告号 | CN117520563A |
| 公开日 | 2024/2/6 |
| IPC主分类号 | G06F16/36 |
| 权利人 | 四川大学 |
| 发明人 | 杨频; 韦英炜; 黄诚; 李泽卿 |
| 地址 | 四川省成都市一环路南一段24号 |
专利主权项内容
1.一种基于威胁情报的APT组织技战术同源性分析方法,其特征在于,包括:S100.采集CTI报告文本和MITRE ATT&CK知识库中的Procedure Examples描述语句,并进行数据清洗;S200.基于所述Procedure Examples描述语句训练多标签分类模型,并利用所述多标签分类模型对CTI报告文本进行分类得到TTPs标签;S300.对所述CTI报告文本进行实体识别和关系抽取,并结合TTPs标签生成CTI报告实体关系图;S400.分析CTI报告中涉及的恶意样本,提取出恶意样本的特征,并基于所述特征生成恶意样本实体关系图,再将所述恶意样本实体关系图与CTI报告实体关系图合并得到完整实体关系图;S500.对所述完整实体关系图进行向量化,根据向量相似性预测匿名向量所属的APT组织。