(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111447952.4 (22)申请日 2021.11.30 (71)申请人 中汽创智科技有限公司 地址 211100 江苏省南京市江宁区秣陵街 道胜利路8 8号 (72)发明人 薛信钊　杨彦召　曹阳　何旭　 (74)专利代理 机构 广州三环 专利商标代理有限 公司 44202 代理人 方秀琴　贾允 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络多步攻击检测方法、 装置、 设备及 存储介质 (57)摘要 本申请公开了一种网络多步攻击检测方法、 装置、 设备及存储介质， 所述方法包括： 获取目标 网络中的攻击数据流； 从所述攻击数据流中抽取 与预设时间窗口对应的多条攻击数据； 获取多种 预设多步攻击模式各自对应的多步攻击数据和 所述多步攻击数据间的时空关系信息； 基于多步 攻击数据和所述时空关系信息， 对 所述多条攻击 数据进行多步攻击识别， 得到初始多步攻击数 据； 将所述初始多步攻击数据中多个攻击数据按 照攻击时间顺序进行组合， 得到目标多步攻击数 据。 利用本申请提供的方案能够利用多个单步攻 击之间空间与时序的二维关联关系实现网络攻 击的多步检测， 还原完整的网络攻击链， 从而提 升网络多步 攻击检测的准确率。 权利要求书3页 说明书11页 附图7页 CN 114172709 A 2022.03.11 CN 114172709 A 1.一种网络多步 攻击检测方法， 其特 征在于， 所述方法包括： 获取目标网络中的攻击数据流； 从所述攻击数据流中抽取与预设时间窗口对应的多条攻击数据； 获取多种预设多步攻击模式各自对应的多步攻击数据和所述多步攻击数据间的时空 关系信息； 基于多步攻击数据和所述时空关系信息， 对所述多条攻击数据进行多步攻击识别， 得 到初始多步 攻击数据； 将所述初始多步攻击数据中多个攻击数据按照 攻击时间顺序进行组合， 得到目标多步 攻击数据。 2.根据权利要求1所述的方法， 其特征在于， 所述基于多步攻击数据和所述 时空关系信 息， 对所述多条攻击数据进行多步 攻击识别， 得到初始多步 攻击数据包括： 根据所述多种预设多步攻击模式各自对应的第一步攻击数据与所述多条攻击数据的 特征匹配结果， 从所述多种预设多步 攻击模式 中确定目标多步 攻击模式； 根据所述目标多步攻击模式对应的多步攻击数据和所述目标多步攻击模式对应的目 标时空关系信息， 从所述多条攻击数据中确定所述初始多步攻击数据， 所述 目标时空关系 信息为所述目标多步 攻击模式对应的多步 攻击数据间的时空关系信息 。 3.根据权利要求2所述的方法， 其特征在于， 所述根据所述多种预设多步攻击模式各自 对应的第一步攻击数据与所述多 条攻击数据的特征匹配结果， 从所述多种预设多步攻击模 式中确定目标多步 攻击模式包括： 根据所述 攻击时间顺序遍历所述多条攻击数据； 对第一当前遍历攻击数据和所述多种预设多步攻击模式各自对应的第一步攻击数据 分别进行特征提取， 得到所述第一当前遍历攻击数据的第一攻击特征信息和所述第一步攻 击数据的第二 攻击特征信息； 基于所述第 一攻击特征信 息和所述第 二攻击特征信 息， 对所述第 一当前遍历攻击数据 和所述第一 步攻击数据进行匹配， 得到第一当前匹配结果； 在所述第一当前匹配结果指示所述第一当前遍历攻击数据与任一预设多步攻击模式 对应的第一步攻击数据匹配的情况下， 将与所述第一当前遍历攻击数据匹配的第一步攻击 数据对应的预设多步 攻击模式作为所述目标多步 攻击模式。 4.根据权利要求3所述的方法， 其特征在于， 所述根据所述目标多步攻击模式对应的多 步攻击数据和所述目标多步攻击模式对应的目标时空关系信息， 从所述多 条攻击数据中确 定所述初始多步 攻击数据包括： 确定所述多条攻击数据中的目标攻击数据， 所述目标攻击数据为所述多条攻击数据中 与所述目标多步 攻击模式的第一 步攻击数据匹配的攻击数据之后一个攻击数据； 从所述目标攻击数据开始， 遍历所述多条攻击数据； 对第二当前遍历攻击数据和所述目标多步攻击模式对应的当前步攻击数据分别进行 特征提取， 得到所述第二当前遍历攻击数据的第三攻击特征信息和所述当前步攻击数据的 第四攻击特征信息， 所述当前步攻击数据为所述目标多步攻击模式对应多步攻击数据中未 成功匹配且排序最前的攻击数据； 对所述第三攻击特征信息与所述第四攻击特征信息进行匹配， 得到第二当前匹配结权　利　要　求　书 1/3 页 2 CN 114172709 A 2果； 获取第一时空关系信 息和第二时空关系信 息， 所述第 一时空关系信 息为所述第 二当前 遍历攻击数据与所述多条攻击数据中最后一个成功匹配的攻击数据间的时空关系信息， 所 述第二时空关系信息为所述当前步攻击数据与所述目标多步攻击模式对应多步攻击数据 中所述当前步 攻击数据之前一 步攻击数据间的时空关系信息； 对所述第一时空关系信息和所述第二时空关系信息进行匹配， 得到第三当前匹配结 果； 在所述第二当前匹配结果指示所述第三攻击特征信息与所述第四攻击特征信息匹配 且所述第三当前匹配结果指示所述第一时空关系信息和所述第二时空关系信息匹配的情 况下， 所述第二当前遍历攻击数据与所述当前步 攻击数据匹配； 在所述目标多步攻击模式对应的多步攻击数据均成功匹配的情况下， 将所述多条攻击 数据中与所述目标多步攻击模式对应的多步攻击数据各自匹配的多个攻击数据作为所述 初始多步 攻击数据。 5.根据权利要求1至4任一所述的方法， 其特征在于， 所述目标网络包括车端网络和云 端网络， 所述获取目标网络中的攻击数据流包括： 分别接收车端网络的攻击检测设备发送的车端攻击日志数据和云端网络的攻击检测 设备发送的云端攻击日志数据； 基于所述车端攻击日志数据和所述云端攻击日志数据， 生成所述 攻击数据流。 6.根据权利要求5所述的方法， 其特征在于， 所述基于所述车端攻击日志数据和所述云 端攻击日志数据， 生成所述 攻击数据流包括： 对所述车端攻击日志数据和所述云端攻击日志数据进行融合处理， 得到 融合后的攻击 日志数据； 对所述融合后的攻击日志数据进行归一 化处理， 得到所述 攻击数据流。 7.根据权利要求1至4任一所述的方法， 其特征在于， 在所述将所述初始多步攻击数据 中多个攻击数据按照攻击时间顺序进行组合， 得到目标多步攻击数据之后， 所述方法还包 括： 每隔预设频率更新所述预设时间窗口； 基于更新 时间窗口， 执行所述从所述攻击数据流中抽取与预设时间窗口对应的多条攻 击数据至所述将所述初始多步攻击数据中多个攻击数据按照攻击时间顺序进 行组合， 得到 目标多步 攻击数据的步骤。 8.一种网络多步 攻击检测装置， 特 征在于， 所述装置包括： 攻击数据流获取模块， 用于获取目标网络中的攻击数据流； 攻击数据抽取模块， 用于从所述攻击数据流中抽取与 预设时间窗口对应的多条攻击数 据； 预设多步攻击模式获取模块， 用于获取多种预设多步攻击模式各自对应的多步攻击数 据和所述多步 攻击数据间的时空关系信息； 多步攻击识别模块， 用于基于多步攻击数据和所述时空关系信息， 对所述多条攻击数 据进行多步 攻击识别， 得到初始多步 攻击数据； 攻击数据组合模块， 用于将所述初始多步攻击数据中多个攻击数据按照 攻击时间顺序权　利　要　求　书 2/3 页 3 CN 114172709 A 3