(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115664696A(43)申请公布日2023.01.31(21)申请号202211052067.0(22)申请日2022.08.30(71)申请人华北电力大学地址102200北京市昌平区回龙观北农路2号申请人国网江西省电力有限公司国网江西省电力有限公司吉安供电分公司(72)发明人李元诚于新会王庆乐支妍力曾萍(74)专利代理机构北京卫平智业专利代理事务所(普通合伙)11392专利代理师闫萍(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书5页附图1页(54)发明名称一种基于威胁狩猎的APT攻击主动防御方法(57)摘要本发明提出了一种基于威胁狩猎的APT攻击主动防御方法，通过将可疑数据与本地威胁数据库进行对比，对已知威胁进行阻断或防御；对本地不能判定的可能威胁，通过定位算法生成可疑数据链/图，随后构建TTP规则，与全球威胁数据库的TTP规则作对比，若结果为APT攻击，则对其进行阻断或防御，同时学习并丰富本地威胁数据库；若对比结果显示仍不能判别，则交由人工安全分析师，必要时进行红蓝对抗。整个流程贯穿威胁狩猎的思想，详细描述了如何基于威胁狩猎进行APT攻击主动防御。CN115664696ACN115664696A权利要求书1/2页1.一种基于威胁狩猎的APT攻击主动防御方法，其特征在于，包括下述步骤：对原始数据进行初筛，得到可疑数据；将所述可疑数据与本地威胁库做对比；将对比结果进行判断：是本地已知威胁或是本地未知威胁；若是本地已知威胁，阻断其行为或防御；若是本地未知威胁，则对相关数据来源进行定位；将本地未知威胁的TTP规则对全球威胁库的TTP规则对比；将对比结果进行判断：是全球已知威胁或是全球未知威胁；若是全球已知威胁，则对该攻击行为进行阻断或进行防御；对该攻击行为进行学习；丰富本地威胁数据库；若是全球威胁库中的未知威胁，交由人工安全分析师进行处理或进行红蓝对抗。2.如权利要求1所述一种基于威胁狩猎的APT攻击主动防御方法，其特征在于，所述对原始数据进行初筛，得到可疑数据具体为：对于采集到的网络流量数据，对其进行预处理操作；第一步，使用标签编码技术将分类变量的值编码为数值；第二步，对网络流量中的协议进行哑变量编码，将字符串分类进行标签化及one‑hot编码，最终形成二元特征；第三步，对数值数据进行去除均值处理；第四步，对方差进行归一化操作，具体公式如下：其中，μ是所有样本数据的均值，σ是所有样本数据的标准差；最后，进行粗粒度的筛选，得到可疑数据。3.如权利要求1所述一种基于威胁狩猎的APT攻击主动防御方法，其特征在于，还包括下述步骤：若是本地未知威胁，根据可疑数据链或图对数据来源进行定位；构建TTP规则；将本地未知威胁的TTP规则与全球威胁库的TTP规则作对比。4.如权利要求3所述一种基于威胁狩猎的APT攻击主动防御方法，其特征在于，将所述本地未知威胁的TTP规则与全球威胁库的TTP规则作对比具体为：用CATs算法将潜在未知威胁的TTP规则与全球威胁数据库的TTP规则进行对比匹配，若匹配分数大于设定阈值，则判断是已知威胁；阻断其行为或进行防御手段；若匹配分数小于设定阈值，则判断是未知威胁。5.如权利要求4所述一种基于威胁狩猎的APT攻击主动防御方法，其特征在于，若是本地未知威胁，但在全球威胁库已知，则阻断其行为或进行防御手段，同时学习该威胁及其应对方法以丰富本地威胁库。6.如权利要求4所述一种基于威胁狩猎的APT攻击主动防御方法，其特征在于，若是全球威胁库中的未知威胁，交由人工安全分析师进行处理或进行红蓝对抗。2CN115664696A权利要求书2/2页7.一种电力系统，运用包括如权利要求1‑6任意一项所述一种基于威胁狩猎的APT攻击主动防御方法。3CN115664696A说明书1/5页一种基于威胁狩猎的APT攻击主动防御方法技术领域[0001]本发明属于网络安全技术领域，涉及一种基于威胁狩猎的APT攻击主动防御方法。背景技术[0002]高级持续性威胁(APT)已经成为新型电力系统中重要的威胁之一，表现出隐蔽性、潜伏性和长期纠缠性，传统的安全解决方案是，先部署安全防护设备，再根据报警信息进行分析和处置。这种方案的特点是能够较好地防御已知攻击，但是对未知威胁、甚至已经成功入侵并在系统中驻留的攻击，缺乏有效的发现手段。因此，要想对APT攻击进行有效地检测与防御，只有将以往的被动响应转向主动发现，通过不断地学习攻击者的TTP和模式，主动查找、分析入侵痕迹，才能有效缩短攻击者的驻留时间，最大程度上降低攻击者对新型电力系统的伤害。[0003]近年来，威胁狩猎作为被国内外重点关注的工业安全检测防御手段，为本文的研究提供了思路。威胁狩猎是一个闭环的、持续性的