本发明专利技术公开一种威胁树的构建方法和装置,涉及网络安全技术领域,能够快速有效地挖掘出系统潜在的脆弱性。包括:接收对目标场景进行威胁建模的输入数据;基于相似度方法和因果关系方法中的一种方法,从多场景威胁建模数据集包括的各个源数据中,确定与输入数据关联的威胁建模数据,得到第一层级数据集;基于相似度方法和因果关系方法中的另一种方法,从源数据中确定与第一层级数据集关联的第二层级数据集;交叉使用相似度方法和因果关系方法,逐层确定与上一层级数据集关联的下一层级数据集,直到接收到结束威胁建模的指令;构建以目标场景为根节点,上一层级数据集中的每个数据和下一层级数据集中的每个数据为根节点的各层级子节点的威胁树模型。子节点的威胁树模型。子节点的威胁树模型。
【技术实现步骤摘要】
一种威胁树的构建方法和装置
[0001]本专利技术涉及网络安全
,尤其涉及一种威胁树的构建方法和装置。
技术介绍
[0002]网络信息时代,互联网已深入到人们工作、生活的方方面面,其安全问题引起了社会和学术界的广泛关注。信息安全的核心问题之一就是存在于计算机系统中的脆弱性,恶意的攻击者可以利用脆弱性来提升权限,访问未授权系统资源,甚至修改敏感数据。通常,可以通过构建威胁树对系统潜在的脆弱性进行挖掘。
[0003]相关技术中,用户采用威胁建模的方式,手动构建得到威胁树。这种手动构建威胁树的方法仅仅是对构建过程的简单记录,而且,采用威胁建模的方式无法快速有效地对系统潜在的脆弱性进行挖掘。
技术实现思路
[0004]本专利技术提供一种威胁树的构建方法和装置,能够快速有效地挖掘出系统潜在的脆弱性。
[0005]为达到上述目的,本专利技术采用如下技术方案:
[0006]第一方面,本专利技术提供一种威胁树的构建方法,该方法包括:
[0007]接收用户对目标场景进行威胁建模的输入数据;
[0008]基于相似度方法和因果关系方法中的其中一种方法,从预设的多场景威胁建模数据集包括的各个源数据中,确定与输入数据关联的威胁建模数据,得到第一层级数据集;其中,相似度方法用于确定输入数据与各个源数据的相似度,因果关系方法用于确定输入数据与各个源数据的因果关系;
[0009]基于相似度方法和因果关系方法中的另一种方法,从源数据中确定与第一层级数据集关联的第二层级数据集;/>[0010]交叉使用相似度方法和因果关系方法,逐层确定与上一层级数据集关联的下一层级数据集,直到接收到结束威胁建模的指令;
[0011]构建以目标场景作为根节点,上一层级数据集中的每个数据和下一层级数据集中的每个数据作为根节点的各层级子节点的威胁树模型。
[0012]采用本专利技术提供的威胁树的构建方法,在目标场景下进行威胁建模时,基于相似度方法和因果关系方法中的一种方法,从各个源数据中,确定出与目标场景对应的输入数据关联的威胁建模数据,得到第一层级数据集。然后,基于上述两种方法中的另一种方法,再次从各个源数据中确定出与第一层级数据集关联的第二层级数据集。由于采用相似度方法和因果关系方法,确定出的有关联关系的层级数据集中的源数据不同。因此,在确定后续的层级数据集时,可以交叉使用上述两种方法,逐层确定与上一层级数据集关联的下一层级数据集,直至接收到结束威胁建模的指令。最后,构建以目标场景作为根节点,上一层级数据集中的每个数据和下一层级数据集中的每个数据作为根节点的各层级子节点的威胁
树模型。这种交叉采用不同方法确定层级数据集的方式,以不同的角度,自动地从各个源数据中筛选出与输入数据或上一层级数据集有关联的下一层级数据集。与相关技术中,完全依靠人工决策构建威胁树相比,本专利技术中根据输入数据和以不同角度筛选出的各层数据集得到的威胁树模型中包括的威胁路径更加全面,能够体现出在目标场景下对系统存在威胁的不同情况,具有一定的可预测性。在目标场景下,采用更加全面的威胁树模型,能够更加全面、且快速有效地挖掘出系统的脆弱性。同时,通过该威胁树模型可以向缺乏经验的用户提供不同的攻击思路,以指导缺乏经验的用户在目标场景下挖掘系统脆弱性时的操作过程。
[0013]在一种可能的实现方式中,上述各个源数据位于对应类别的源数据组中,源数据组是按照数据类别进行分组的,数据类别包括威胁点、手法、工具、漏洞、场景信息。
[0014]在一种可能的实现方式中,上述确定输入数据与各个源数据的相似度,包括:
[0015]确定每个源数据的第一文本嵌入向量,以及输入数据的目标文本嵌入向量;
[0016]确定每个第一文本嵌入向量和目标文本嵌入向量之间的距离值;
[0017]根据距离值,确定输入数据与每个源数据的相似度。
[0018]在一种可能的实现方式中,上述基于相似度方法,从预设的多场景威胁建模数据集包括的各个源数据中,确定第一层级数据集,包括:
[0019]对输入数据与每个源数据组中的各个源数据的相似度进行降序排列,得到各个源数据组与输入数据的第一关联列表;
[0020]从各个第一关联列表中分别确定出前N个源数据,得到第一层级数据集,N为正整数。
[0021]在一种可能的实现方式中,上述在确定与输入数据关联的威胁建模数据之前,上述威胁树的构建方法还包括:
[0022]根据由各个源数据组成的图结构,确定输入数据与各个源数据之间是否具有因果关系,图结构用于指示各个源数据之间的关联关系;
[0023]若源数据与输入数据具有因果关系,则确定源数据为目标源数据。
[0024]在一种可能的实现方式中,上述根据由各个源数据组成的图结构,确定输入数据与各个源数据之间是否具有因果关系,包括:
[0025]从上述图结构中确定与每个源数据关联的输入信息,得到各个源数据对应的输入标签,并从上述图结构中确定与输入数据关联的输出信息,得到输入数据对应的输出标签;
[0026]根据输入标签与输出标签,确定输入数据与各个源数据之间是否具有因果关系。
[0027]在一种可能的实现方式中,上述输入标签和输出标签的数量至少为一个。上述根据输入标签与输出标签,确定输入数据与各个源数据之间是否具有因果关系,包括:
[0028]确定每个源数据对应的各个输入标签与输入数据对应的各个输出标签的异同;
[0029]若源数据的一个输入标签和一个输出标签相同,则确定源数据和输入数据之间具有因果关系;
[0030]若各个输入标签和各个输出标签均不相同,则确定源数据与输入数据之间不具有因果关系。
[0031]在一种可能的实现方式中,上述基于因果关系方法,从预设的多场景威胁建模数据集包括的各个源数据中,确定第一层级数据集,包括:
[0032]对于与输入数据具有因果关系的各个目标源数据,确定与输入数据的输出标签相同的目标源数据的输入标签的数量;
[0033]对每个源数据组中的目标源数据的所述数量进行降序排列,得到各个源数据组与输入数据的第二关联列表;
[0034]从各个第二关联列表中分别确定出前N个源数据,得到第一层级数据集,N为正整数。
[0035]在一种可能的实现方式中,在构建以目标场景作为根节点,上一层级数据集中的每个数据和下一层级数据集中的每个数据作为根节点和各层级子节点的威胁树模型之后,上述威胁树的构建方法还包括:
[0036]接收用户对威胁树模型中的多个目标节点的标记操作,目标节点为根节点和子节点中的任意节点;
[0037]基于威胁树模型中的多个目标节点之间的关联关系,得到攻击树。
[0038]在一种可能的实现方式中,上述接收用户对目标场景进行威胁建模的输入数据,包括:
[0039]在威胁建模编辑器的交互界面上,接收用户输入的场景描述数据,将场景描述数据作为用户对目标场景进行威胁建模的输入数据;
[004本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种威胁树的构建方法,其特征在于,包括:接收用户对目标场景进行威胁建模的输入数据;基于相似度方法和因果关系方法中的其中一种方法,从预设的多场景威胁建模数据集包括的各个源数据中,确定与所述输入数据关联的威胁建模数据,得到第一层级数据集;其中,所述相似度方法用于确定所述输入数据与各个所述源数据的相似度,所述因果关系方法用于确定所述输入数据与各个所述源数据的因果关系;基于所述相似度方法和所述因果关系方法中的另一种方法,从所述源数据中确定与所述第一层级数据集关联的第二层级数据集;交叉使用所述相似度方法和所述因果关系方法,逐层确定与上一层级数据集关联的下一层级数据集,直到接收到结束威胁建模的指令;构建以所述目标场景作为根节点,所述上一层级数据集中的每个数据和所述下一层级数据集中的每个数据作为所述根节点的各层级子节点的威胁树模型。2.根据权利要求1所述的威胁树的构建方法,其特征在于,所述各个源数据位于对应类别的源数据组中,所述源数据组是按照数据类别进行分组的,所述数据类别包括威胁点、手法、工具、漏洞、场景信息。3.根据权利要求2所述的威胁树的构建方法,其特征在于,所述确定所述输入数据与各个所述源数据的相似度,包括:确定每个所述源数据的第一文本嵌入向量,以及所述输入数据的目标文本嵌入向量;确定每个所述第一文本嵌入向量和所述目标文本嵌入向量之间的距离值;根据所述距离值,确定所述输入数据与每个所述源数据的相似度。4.根据权利要求3所述的威胁树的构建方法,其特征在于,基于所述相似度方法,从预设的多场景威胁建模数据集包括的各个源数据中,确定第一层级数据集,包括:对所述输入数据与每个所述源数据组中的各个源数据的相似度进行降序排列,得到各个所述源数据组与所述输入数据的第一关联列表;从各个所述第一关联列表中分别确定出前N个源数据,得到所述第一层级数据集,N为正整数。5.根据权利要求2~4任一项所述的威胁树的构建方法,其特征在于,在确定与所述输入数据关联的威胁建模数据之前,所述威胁树的构建方法还包括:根据由各个所述源数据组成的图结构,确定所述输入数据与各个所述源数据之间是否具有因果关系,所述图结构用于指示各个所述源数据之间的关联关系;若所述源数据与所述输入数据具有因果关系,则确定所述源数据为目标源数据。6.根据权利要求5所述的威胁树的构建方法,其特征在于,所述根据由各个所述源数据组成的图结构,确定所述输入数据与各个所述源数据之间是否具有因果关系,包括:从所述图结构中确定与每个所述源数据关联的输入信息,得到各个所述源数据对应的输入标签,并从所述图结构中确定与所述输入数据关联的输出信息,得到所述输入数据对应的输出标签;根据所述输入标签与所述输出标签,确定所述输入数据与各个所述源数据之间是否具有因果关系。7.根据权利要求6所述的威胁树的构建方法,其特征在于,所述输入标签和所述输出标
签的数量至少为一个,所述根据所述输入标签与所述输出标签,确定所述输入数据与各个所述源数据之间是否具有因果关系,包括:确定每个所述源数据对应的各个输入标签与所述输入数据对应的各...
【专利技术属性】
技术研发人员:刘浩杰,朱利军,郑玮,
申请(专利权)人:西安四叶草信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。