(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211110063.3 (22)申请日 2022.09.13 (71)申请人 国网智能电网研究院有限公司 地址 102209 北京市昌平区未来科技城 滨 河大道18号 申请人 国网江苏省电力有限公司 　 国家电网有限公司客户服 务中心 (72)发明人 郭骞　沈文　于鹏飞　王晨飞　 徐李阳　安业腾　张烁　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 专利代理师 李博洋 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种攻击识别方法、 装置、 电子设备及存储 介质 (57)摘要 本发明公开了一种攻击识别方法、 装置、 电 子设备及存储介质， 方法包括： 获取主机受到的 攻击序列； 基于攻击属性对攻击序列进行筛选， 确定每种攻击属性对应的目标攻击序列； 根据目 标攻击序列每个攻击步骤的成功率确定攻击成 功率； 根据目标攻击序列对主机造成的损失值确 定威胁值； 基于攻击成功率与威胁值， 计算目标 攻击序列的威胁度； 根据目标攻击序列的威胁 度， 确定主机的攻击识别结果。 本方法提升了对 攻击识别的准确性， 并可基于对攻击的识别进行 风险识别和评估。 权利要求书2页 说明书10页 附图4页 CN 115460003 A 2022.12.09 CN 115460003 A 1.一种攻击识别方法， 其特 征在于， 所述方法包括： 获取主机受到的攻击序列； 基于攻击属性对攻击序列进行筛 选， 确定每种攻击属性对应的目标攻击序列； 根据所述目标攻击序列每 个攻击步骤的成功率确定攻击成功率； 根据所述目标攻击序列对所述主机 造成的损失值确定威胁值； 基于所述 攻击成功率与所述 威胁值， 计算所述目标攻击序列的威胁度； 根据所述目标攻击序列的威胁度， 确定所述主机的攻击识别结果。 2.根据权利要求1所述的方法， 其特征在于， 所述基于攻击属性对攻击序列进行筛选， 确定每种攻击属性对应的目标攻击序列， 包括： 获取攻击属性； 基于所述 攻击属性对所述 攻击序列进行分类， 确定所述 攻击序列所属的攻击属性； 对于同一攻击属性的攻击序列， 比较所述攻击序列中攻击属性的类别数量， 将类别数 量最多的攻击序列确定为所述 攻击属性对应的目标攻击序列。 3.根据权利要求2所述的方法， 其特征在于， 所述基于所述攻击属性对所述攻击序列进 行分类， 确定所述 攻击序列所属的攻击属性， 包括： 获取所述攻击序列包 含的攻击属性， 并确定每种攻击属性所占权 重； 基于所述 攻击属性所占权 重的大小， 确定所述 攻击序列所属的攻击属性。 4.根据权利要求1所述的方法， 其特征在于， 所述根据所述目标攻击序列每个攻击步骤 的成功率确定攻击成功率， 包括： 获取所述目标攻击序列每 个攻击步骤的成功率； 基于每个攻击步骤的成功率的乘积与预设阈值的差值确定攻击成功率。 5.根据权利要求1所述的方法， 其特征在于， 所述根据所述目标攻击序列对所述主机造 成的损失值确定威胁值， 包括： 获取所述目标攻击序列每 个攻击步骤 对所述主机的损失值； 计算所述主机的最大损失值的均值， 并基于所述均值确定所述 威胁值。 6.根据权利要求1所述的方法， 其特征在于， 所述主机的攻击识别结果按照如下公式计 算得到： 其中， M(D)i表示所述主机的攻击识别结果， m1(A1)表示第i条所述目标攻击序列的威胁 度。 7.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 基于所述主机的攻击识别结果， 确定所述主机所在网络的攻击识别结果； 根据所述网络的攻击识别结果以及预设风险阈值对所述网络进行风险评估。 8.一种攻击识别装置， 其特 征在于， 包括： 序列获取模块， 用于获取主机受到的攻击序列； 目标确定模块， 用于基于攻击属性对攻击序列进行筛选， 确定每种攻击属性对应的目 标攻击序列； 第一计算模块， 用于根据所述目标攻击序列每 个攻击步骤的成功率确定攻击成功率；权　利　要　求　书 1/2 页 2 CN 115460003 A 2第二计算模块， 用于根据所述目标攻击序列对所述主机 造成的损失值确定威胁值； 第三计算模块， 用于基于所述攻击成功率与所述威胁值， 计算所述目标攻击序列的威 胁度； 攻击识别模块， 用于根据所述目标攻击序列的威胁度， 确定所述主机的攻击识别结果。 9.根据权利要求8所述的装置， 其特 征在于， 所述目标确定模块包括： 属性获取子模块， 用于获取攻击属性； 分类子模块， 用于基于所述攻击属性对所述攻击序列进行分类， 确定所述攻击序列所 属的攻击属性； 数量比较子模块， 用于对于同一攻击属性的攻击序列， 比较攻击序列中攻击属性的类 别数量， 将类别数量 最多的攻击序列确定为所述 攻击属性对应的目标攻击序列。 10.根据权利要求9所述的装置， 其特 征在于， 所述分类子模块还用于： 获取所述攻击序列包 含的攻击属性， 并确定每种攻击属性所占权 重； 基于所述 攻击属性所占权 重的大小， 确定所述 攻击序列所属的攻击属性。 11.根据权利要求8所述的装置， 其特 征在于， 第一计算模块包括： 成功率确定 子模块， 用于获取 所述目标攻击序列每 个攻击步骤的成功率； 攻击成功率确定子模块， 用于基于每个攻击步骤的成功率的乘积与 预设阈值的差值确 定攻击成功率。 12.根据权利要求8所述的装置， 其特 征在于， 第二计算模块包括： 损失值获取子模块， 用于获取 所述目标攻击序列每 个攻击步骤 对所述主机的损失值； 威胁值确定子模块， 用于计算所述主机的最大损 失值的均值， 并基于所述均值确定所 述威胁值。 13.根据权利要求8所述的装置， 其特征在于， 所述主机的攻击识别结果按照如下公式 计算得到： 其中， M(D)i表示所述主机的攻击识别结果， m1(A1)表示第i条所述目标攻击序列的威胁 度。 14.根据权利要求8所述的装置， 其特 征在于， 所述装置还 包括： 识别模块， 用于基于所述主机的攻击识别结果， 确定所述主机所在网络的攻击识别结 果； 风险评估模块， 用于根据所述网络的攻击识别结果以及预设风险阈值对所述网络进行 风险评估。 15.一种电子设备， 其特 征在于， 包括： 存储器和 处理器， 所述存储器和所述处理器之间互相通信连接， 所述存储器中存储有 计算机指 令， 所述处理器通过执行所述计算机指 令， 从而执行权利要求 1‑7中任一项 所述的 攻击识别方法。 16.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机指 令， 所述计算机指令用于使计算机执 行权利要求1 ‑7中任一项所述的攻击识别方法。权　利　要　求　书 2/2 页 3 CN 115460003 A 3