工业物联网中基于网络威胁情报的攻击模拟方法技术

本发明专利技术提出了一种工业物联网中基于网络威胁情报的攻击模拟方法，步骤为：威胁情报收集：通过威胁情报平台对网络威胁情报信息进行网络爬虫，收集威胁情报信息；生成攻击者画像：对攻击组织的威胁信息进行搜索，并根据威胁信息生成攻击者画像；获取攻击路线：获取用于攻击模拟的系统环境的整体架构及数据流图，并筛选出适合的攻击路线；攻击模拟：结合攻击者画像构建一种元攻击语言模型，对攻击线路进行攻击模拟，得到实验结果用于计算系统被破坏的时间估计。本发明专利技术解决了威胁情报和攻击模拟技术集成度低的问题，能够实现自动化地评估特定的威胁，使安全人员能够快速采取积极措施，提高工业物联网系统的威胁响应能力和抵御攻击能力。力。力。

【技术实现步骤摘要】
工业物联网中基于网络威胁情报的攻击模拟方法


[0001]本专利技术涉及及工业物联网系统安全的
，尤其涉及一种工业物联网中基于网络威胁情报的攻击模拟方法。

技术介绍

[0002]近年来，工业物联网迅猛发展，在远程监控、信息收集和减少人力等方面具有巨大优势，因此，它已被广泛应用于智能电网、智能工厂等物联网控制情景中。但工业物联网是一个复杂的网络，系统的一部分出现任何故障或异常都可能在短时间内对整个系统造成巨大损害。而攻击者利用工业物联网系统的薄弱位置实施网络攻击，会给国家、企业、个人带来了不同程度的经济损失。因此，高效评估控制系统所受的威胁对了解工业物联网安全性至关重要。
[0003]为了识别威胁，必须了解系统中与安全有关的功能，并考虑所有潜在的攻击。而在不断加剧的工业物联网的安全攻防对抗过程中，攻防双方存在着天然的不对称性。面对复杂的攻击形式和严重的攻击后果，依靠个人或单个组织的技术力量仅能获得局部的攻击信息，无法构建完整的攻击链，更无法准确有效地预防攻击。网络威胁情报共享利用作为一种以空间换时间的技术，可以及时利用其他网络中产生的高效威胁情报提高防护方的应对能力，缩短威胁响应时间，还可以协助构建攻击链，有效地检测攻击者的攻击活动。
[0004]利用威胁情报帮助安全人员进行威胁分析是有效提高防御方响应能力与效果的手段，但威胁情报和攻击模拟技术的集成度却很低，且为每个工业物联网系统重复构建攻击防御模型的成本过于高昂。在这种应用背景下，具有复杂环境的工业物联网系统难以进行安全性评估，特别是针对特定攻击者的高级可持续性攻击则更加难于预测。

技术实现思路

[0005]针对现有攻击模拟的集成度低，成本高，难以进行安全性评估的技术问题，本专利技术提出一种工业物联网中基于网络威胁情报的攻击模拟方法，将网络威胁情报与攻击模拟相结合，从而提高工业物联网威胁建模和攻击模拟的效率和准确性。
[0006]为了达到上述目的，本专利技术的技术方案是这样实现的：一种工业物联网中基于网络威胁情报的攻击模拟方法，其步骤如下：
[0007]步骤S1.威胁情报收集：通过威胁情报平台对网络威胁情报信息进行网络爬虫，收集威胁情报信息；
[0008]步骤S2.生成攻击者画像：对攻击组织的威胁信息进行搜索，并根据威胁信息生成攻击者画像；
[0009]步骤S3.获取攻击路线：获取用于攻击模拟的系统环境的整体架构及数据流图，并筛选出适合的攻击路线；
[0010]步骤S4.攻击模拟：结合攻击者画像构建元攻击语言模型，对攻击线路进行攻击模拟，得到实验结果用于计算系统被破坏的时间估计。
[0011]所述威胁情报平台用于对特定攻击者的威胁行为提供情报搜索服务，利用图数据软件Neo4j和搜索引擎ElasticSearch实现对知识的语言搜索和可视化的分析；所述威胁情报平台包括数据收集模块、威胁情报提取模块、本体模块、威胁情报融合模块、威胁情报存储模块和威胁情报推理模块，且
[0012]数据收集模块利用网络爬虫对网络威胁情报信息进行数据获取；
[0013]威胁情报提取模块对收集到的数据进行知识提取，通过自然语言处理技术对预处理后的威胁情报数据进行语义分析及特征提取，实现实体识别和关系抽取；
[0014]本体模块对提取到的威胁情报信息结合STIX2.1标准进行本体化限定，构建实体与关系的三元组；
[0015]威胁情报融合模块对获取的三元组进行本体融合、实体对齐以及数据映射；
[0016]威胁情报存储模块利用图数据库将处理后的三元组存储起来；
[0017]威胁情报推理模块包括关系推理、规则分析和链路预测，通过语义推理规则描述语言SWRL处理三元组中的直接关系和间接关系。
[0018]所述数据收集模块获取的数据包括文本数据即非结构化数据、表数据即半结构化数据、开放式数据库数据即结构化数据和各类第三方产品库；
[0019]所述开放式数据库数据通过D2R技术进行知识提取，将关系型数据库的结构化数据映射到RDF文件中；表数据通过Wrapper技术进行知识提取；
[0020]所述知识融合模块利用TFIDF相似度计算方法计算出两个实体的相似度，判断是否属于同一实体；对相同实体进行聚类操作，将代表同一种知识的数据进行统一性的数据映射，实现对获取的三元组的知识融合。
[0021]所述步骤二中生成攻击者画像的方法为：
[0022]根据搜索得到的链接子图和表格获得攻击者常用的战术、技术和过程；
[0023]根据攻击者的9个复杂度属性，对攻击者进行主观性的特征分析，计算攻击者能力因子α；
[0024]获取攻击者攻击技术的特定改进参数∈，取值范围为0到1之间，加到攻击者能力因子α的后面；
[0025]根据获得的攻击者常用的战术、技术和过程、攻击者能力因子α和攻击技术的特定改进参数∈，为攻击对象建立攻击者画像。
[0026]所述复杂度属性包括代码工具、维护工具的积极性、工具组件的复杂程度、熟悉被攻击者的状态、繁重的侦察工作、被攻击系统的熟悉程度、一致的操作技术、作战节奏和资源水平；维护工具的积极性、工具组件的复杂程度、熟悉被攻击者的状态、繁重的侦察工作、被攻击系统的熟悉程度和一致的操作技术的复杂度属性取值范围为{0，1}；代码工具和作战节奏的复杂度属性取值范围为{0，1，2}；资源水平的复杂度属性取值范围为{0，1，2，3}。
[0027]所述攻击者能力因子α计算方法为：
[0028]δ＝∑(Sophistication Properties)
[0029][0030]其中，Sophistication Properties为复杂度属性，δ代表复杂度属性的值之和，alpha()为分段函数。
[0031]所述步骤S3中攻击路线的筛选方法是：
[0032]S31.根据实际工业物联网的控制系统的整体结构和数据流图，将资产用于表示工业物联网空间中的实体对象，将攻防过程中的资产状态抽象为节点，节点之间的攻击依赖关系抽象为边；
[0033]S32.将获得的节点和边进行威胁响应建模得到资产覆盖模型，用五元组G＝(S，T，D，E，R)来表示，其中，S＝{s0，s1，...，s
i
，...，s
n
}表示所有的资产节点s
i
集合，n表示最后一个资产节点的下标；T＝{t
i
|t
i
＝action(s
i
)}是攻击者的攻击步骤t
i
集合，action表示攻击t
i
所采取的动作；D＝{d
i
|d
i
＝state(s
i
)}是防御动作集合集合，state表示防御动作所处的状态；E＝{e
i
→
j
|i＝1，2，
…
，n，j＝1，2，
…
，n}为资产状态节点间的边e...

【技术保护点】

【技术特征摘要】
1.一种工业物联网中基于网络威胁情报的攻击模拟方法，其特征在于，其步骤如下：步骤S1.威胁情报收集：通过威胁情报平台对网络威胁情报信息进行网络爬虫，收集威胁情报信息；步骤S2.生成攻击者画像：对攻击组织的威胁信息进行搜索，并根据威胁信息生成攻击者画像；步骤S3.获取攻击路线：获取用于攻击模拟的系统环境的整体架构及数据流图，并筛选出适合的攻击路线；步骤S4.攻击模拟：结合攻击者画像构建元攻击语言模型，对攻击线路进行攻击模拟，得到实验结果用于计算系统被破坏的时间估计。2.根据权利要求1所述的工业物联网中基于网络威胁情报的攻击模拟方法，其特征在于，所述威胁情报平台用于对特定攻击者的威胁行为提供情报搜索服务，利用图数据软件Neo4j和搜索引擎ElasticSearch实现对知识的语言搜索和可视化的分析；所述威胁情报平台包括数据收集模块、威胁情报提取模块、本体模块、威胁情报融合模块、威胁情报存储模块和威胁情报推理模块，且数据收集模块利用网络爬虫对网络威胁情报信息进行数据获取；威胁情报提取模块对收集到的数据进行知识提取，通过自然语言处理技术对预处理后的威胁情报数据进行语义分析及特征提取，实现实体识别和关系抽取；本体模块对提取到的威胁情报信息结合STIX2.1标准进行本体化限定，构建实体与关系的三元组；威胁情报融合模块对获取的三元组进行本体融合、实体对齐以及数据映射；威胁情报存储模块利用图数据库将处理后的三元组存储起来；威胁情报推理模块包括关系推理、规则分析和链路预测，通过语义推理规则描述语言SWRL处理三元组中的直接关系和间接关系。3.根据权利要求2所述的工业物联网中基于网络威胁情报的攻击模拟方法，其特征在于，所述数据收集模块获取的数据包括文本数据即非结构化数据、表数据即半结构化数据、开放式数据库数据即结构化数据和各类第三方产品库；所述开放式数据库数据通过D2R技术进行知识提取，将关系型数据库的结构化数据映射到RDF文件中；表数据通过Wrapper技术进行知识提取；所述知识融合模块利用TFIDF相似度计算方法计算出两个实体的相似度，判断是否属于同一实体；对相同实体进行聚类操作，将代表同一种知识的数据进行统一性的数据映射，实现对获取的三元组的知识融合。4.根据权利要求1
‑
3中任意一项所述的工业物联网中基于网络威胁情报的攻击模拟方法，其特征在于，所述步骤二中生成攻击者画像的方法为：根据搜索得到的链接子图和表格获得攻击者常用的战术、技术和过程；根据攻击者的9个复杂度属性，对攻击者进行主观性的特征分析，计算攻击者能力因子α；获取攻击者攻击技术的特定改进参数∈，取值范围为0到1之间，加到攻击者能力因子α的后面；根据获得的攻击者常用的战术、技术和过程、攻击者能力因子α和攻击技术的特定改进
参数∈，为攻击对象建立攻击者画像。5.根据权利要求4所述的工业物联网中基于网络威胁情报的攻击模拟方法，其特征在于，所述复杂度属性包括代码工具、维护工具的积极性、工具组件的复杂程度、熟悉被攻击者的状态、繁重的侦察工作、被攻击系统的熟悉程度、一致的操作技术、作战节奏和资源水平；维护工具的积极性、工具组件的复杂程度、熟悉被攻击者的状态、繁重的侦察工作、被攻击系统的熟悉程度和一致的操作技术的复杂度属性取值范围为{0，1}；代码工具和作战节奏的复杂度属性取值范围为{0，1，2}；资源水平的复杂度属性取值范围为{0，1，2，3}。6.根据权利要求5所述的工业物联网中基于网络威胁情报的攻击模拟方法，其特征在于，所述攻击者能力因子α计算方法为：δ＝∑(Sophistication Properties)其中，Sophistication Properties为复杂度属性，δ代表复杂度属性的值之和，alpha()为分段函数。7.根据权利要求5或6所述的工业物联网中基于网络威胁情报的攻击模拟方法，其特征在于，所述步骤S3中攻击路线的筛选方法是：S31.根据实际工业物联网的控制系统的整体结构和数据流图，将资产用于表示工业物联网空间中的实体对象，将攻防过程中的资产状态抽象为节点，节点之间的攻击依赖关系抽象为边；S32.将获得的节点和边进行威胁响应建模得到资产覆盖模型，用五元组G＝(S，T，D，E，R)来表示，其中，S＝{s0，s1，...，s
i
，...，s
n
}表示所有的资产节点s
i
集合，n表示最后一个资产节点的下标；T＝{t
i
|t
i
＝action(s
i
)}是攻击者的攻击步骤t
i
集合，action表示攻击t
i
所采取的动作；D＝{d
i
|d
i
＝state(s
i
)}是防御动作集合集合，state表示防御动作所处的状态；E＝{e
i
→
j
...

【专利技术属性】
技术研发人员：张书钦，王世杰，白光耀，张敏智，陈鹏，赵春霞，李书涵，
申请(专利权)人：中原工学院，
类型：发明
国别省市：