(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114301699A(43)申请公布日2022.04.08(21)申请号202111651790.6(22)申请日2021.12.30(71)申请人安天科技集团股份有限公司地址150028黑龙江省哈尔滨市高新技术产业开发区科技创新城创新创业广场7号楼（世坤路838号）(72)发明人赵玉迎任洪伟(74)专利代理机构北京锺维联合知识产权代理有限公司11579代理人王越(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书9页附图2页(54)发明名称行为预测方法及装置、电子设备和计算机可读存储介质(57)摘要本发明提出了一种行为预测方法及装置、电子设备和计算机可读存储介质，应用于网络安全技术领域，该方法包括：从网络信息中提取攻击威胁信息；根据所述攻击威胁信息，确定当前攻击行为链路；基于预设链路模型，确定所述当前攻击行为链路后的多个预测攻击行为；根据多个预定设备中发生每个所述预测攻击行为的概率，确定每个所述预测攻击行为的置信度；将置信度最大的所述预测攻击行为确定为目标攻击行为。本发明的技术方案，利用APT攻击中难以更改自身的攻击路径的特征，在攻击路径这一层面上，基于预设链路模型来预测可能出现的攻击行为，能够有效提升APT攻击防护的有效性，保护网络安全。CN114301699ACN114301699A权利要求书1/2页1.一种行为预测方法，其特征在于，包括：从网络信息中提取攻击威胁信息；根据所述攻击威胁信息，确定当前攻击行为链路；基于预设链路模型，确定所述当前攻击行为链路后的多个预测攻击行为；根据多个预定设备中发生每个所述预测攻击行为的概率，确定每个所述预测攻击行为的置信度；将置信度最大的所述预测攻击行为确定为目标攻击行为。2.根据权利要求1所述的行为预测方法，其特征在于，所述根据所述攻击威胁信息，确定当前攻击行为链路的步骤，包括：按照预定的匹配规则，在攻击行为数据库中为所述攻击威胁信息匹配对应的攻击战术信息、攻击技术信息和子技术信息，并以匹配结果生成所述当前攻击行为链路。3.根据权利要求1所述的行为预测方法，其特征在于，所述预设链路模型中设置有多种已知攻击行为链路；所述基于预设链路模型，确定所述当前攻击行为链路后的多个预测攻击行为的步骤，包括：若所述当前攻击行为链路是所述已知攻击行为链路中的部分链路，则将所述已知攻击行为链路确定为目标攻击行为链路，将所述目标攻击行为链路中位于所述当前攻击行为链路后的首个攻击行为确定为预测攻击行为。4.根据权利要求1至3中任一项所述的行为预测方法，其特征在于，所述根据多个预定设备中发生每个所述预测攻击行为的概率，确定每个所述预测攻击行为的置信度的步骤，包括：对于每个所述预测攻击行为，获取所述预测攻击行为在多个所述预定设备中发生的概率；对多个所述预定设备各自对应的概率加权求平均值，得到所述预测攻击行为的置信度。5.根据权利要求2所述的行为预测方法，其特征在于，在所述基于预设链路模型，确定所述当前攻击行为链路后的多个预测攻击行为之前，还包括：基于攻击行为数据库，确定所述当前攻击行为链路的攻击意图；在多个类型的预设链路模型中选择与所述当前攻击行为链路的攻击意图类型相匹配的所述预设链路模型。6.根据权利要求5所述的行为预测方法，其特征在于，所述预设链路模型的类型，包括：窃密型预设链路模型、获利型预设链路模型、破坏型预设链路模型。7.一种行为预测装置，其特征在于，包括：攻击威胁信息获取单元，用于从网络信息中提取攻击威胁信息；攻击行为链路确定单元，用于根据所述攻击威胁信息，确定当前攻击行为链路；预测攻击行为确定单元，用于基于预设链路模型，确定所述当前攻击行为链路后的多个预测攻击行为；置信度计算单元，用于根据多个预定设备中发生每个所述预测攻击行为的概率，确定每个所述预测攻击行为的置信度；2CN114301699A权利要求书2/2页目标攻击行为确定单元，用于将置信度最大的所述预测攻击行为确定为目标攻击行为。8.一种电子设备，其特征在于，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被设置为用于执行上述权利要求1至6中任一项所述的方法。9.一种计算机可读存储介质，其特征在于，存储有计算机可执行指令，所述计算机可执行指令用于执行如权利要求1至6中任一项所述的方法流程。3CN114301699A说明书1/9页行为预测方法及装置、电子设备和计算机可读存储介质【技术领域】[0001]本发明涉及网络安全技术领域，尤其涉及一种行为预测方法及装置、电子设备和计算机可读存储介质。【背景技术】[0002]随着网络攻击手段和渠道的多元化发展，APT攻击已经成为