基于数据来源分析以及攻击知识库的APT攻击风险评估方法

本发明公开了一种基于数据来源分析以及攻击知识库的APT攻击风险评估方法，包括：基于反向依赖传播的因果关系分析，分析审计事件以推断它们的依赖关系并将依赖关系呈现为有向图；在初始有向图以及异常节点的基础上，对其进行缩减，获得溯源图；基于爬虫获取MITRE ATT&CK的Enterprise目录下的现有攻击策略、技术和防御策略等信息，生成攻击知识库；构建匹配评分算法系统，对溯源图进行评分，用于评价系统处于某APT攻击的可能性，以及该攻击的隐蔽性。相较于现有的APT攻击检测方式，本发明提出了一种全新的基于溯源图以及知识库的匹配评分算法，实现了APT攻击的定位以及对系统的检测评分，检测速度快、误报率低本，且具有良好的鲁棒性。