一种面向电力网络战的威胁情报实战要素关联融合方法技术

本发明专利技术公开了一种面向电力网络战的威胁情报实战要素关联融合方法

【技术实现步骤摘要】
一种面向电力网络战的威胁情报实战要素关联融合方法


[0001]本专利技术涉及
，并且更具体地，涉及一种面向电力网络战的威胁情报实战要素关联融合方法
。

技术介绍

[0002]目前，国家之间的博弈升级，网络战争正在逐渐成为主要现代战争形式之一
。
正如情报在传统战争中发挥的不可替代的作用，网络威胁情报
(
简称：威胁情报
)
在网络战中发挥着不可替代的作用
。
国际权威
IT
咨询机构
Gartner
提出的定义
,
威胁情报是一种基于证据的知识，描述组织的资产现存的或潜在的风险或威胁，包括上下文
、
机制
、
指标
、
内涵和可行的建议，可用于指导组织对风险或威胁做出特定响应
。
相比
IP
地址
、
恶意
HASH
等较低等级的情报，攻击者使用的战术
、
技术以及步骤
(Tactics,Techniques and Procedure,TTP)
发挥着不可替代的作用
。
安全论坛和博客等开源情报平台包含大量安全事件报告，详细描述了一系列攻击事件中攻击者使用的
TTP、
产生的后果
。MITREATT&CK
是一个开源的基于现实世界的知识库，包括攻击者使用的技术
、
策略等，它站在攻击者视角，描述杀伤链的各阶段所使用的技术
。CAPEC(Common Attack Pattern Enumerations and Classifications)
攻击模式是对对手采用的常见属性和方法的描述，对手利用这些方法去探索网络中已知弱点
。CVE(Common Vulnerabilities&Exposures
，通用漏洞披露
)
，是一个字典表，含有信息安全漏洞或者已经暴露出来的弱点的信息
。
但不包含风险
、
影响和修复的信息
。CWE(Common Weakness Enumeration
，通用缺陷枚举
)
是软件
、
硬件安全缺陷列表，包含威胁名称
、
相关弱点
、
常见后果
、
检测方法
、
缓解措施等息
。
以上仅列举了部分开源威胁情报，威胁情报具有来源多
、
种类多
、
信息量大等特征
。
威胁情报是实现面向电力网络战的网络安全监测
、
态势感知，特定类型的风险识别，支持安全决策或分析并做出及时响应防御的基础
。
如何将不同来源的情报关联起来，结合组织内部资产特点和部署现状，分析出组织当前面临的安全威胁，预测未来组织可能遭受的威胁
。
[0003]目前大多数研究工作都仅针对单一威胁情报来源，存在严重的情报孤岛现象，且存在专业壁垒，无法形成针对电力系统的“专属”威胁情报
。
威胁情报主要以非结构化或半结构的本文为载体，学术界和业界对于文本信息关联融合已经做了大量的研究
。
在多源情报关联融合方面，基于规则
、
统计
、
属性等信息进行相似度计算等传统方法无法利用深层短语或文本语义信息
。
基于规则的关联方法的难点在与模式构建，传统的正则表达式等方法不适用于无规律
、
多领域的文本提取规则构建，无法构造丰富的模式导致无法充分关联情报信息
。
基于机器学习的信息关联方法，将要素识别转化成为分类问题，其核心在于词特征向量的构建和分类器的构造，词袋模型使用词频来表示词向量，
TF
‑
IDF
综合考虑词频和词权重，词的重要性随着它在某个文本出现的次数成正比增加，但同时会随着它在语料库中出现的频率成反比下降
。
词袋模型
、TF
‑
IDF
等传统词向量构建方法均不考虑文本中词与词之间的上下文关系，语义信息的缺失导致分类模型效果差
。

技术实现思路

[0004]针对现有技术的不足，本专利技术提供一种面向电力网络战的威胁情报实战要素关联融合方法
。
[0005]根据本专利技术的一个方面，提供了一种面向电力网络战的威胁情报实战要素关联融合方法，包括：
[0006]基于
ATT&CK for ICS
构建电力网络战威胁情报分析框架，确定电力网络战中关键威胁情报要素及之间的关系；
[0007]对关键威胁情报要素进行预处理，构建威胁情报数据集库；
[0008]构建威胁情报数据集库的威胁情报异构图，并利用
Bert
模型得到每个威胁情报要素的特征向量矩阵，根据各要素间的关系得到邻接矩阵，初始化威胁情报异构图的节点和边；
[0009]判断异构图中节点类型，在异构图中存在不同类型异构图节点的情况下，利用图神经网络模型对异构图中不同节点之间的关系进行预测，预测结果保存至威胁情报数据集库；
[0010]在异构图中都是相同类型的异构图节点的情况下，进行基于距离的相似度计算，在相似度超过预设预知的情况下，新建两个异构图节点的边，保存至威胁情报数据库中
。
[0011]可选地，关键威胁情报要素包括：资产
、
脆弱性
、
战术
、
技术
、
工具
、
恶意软件
、
攻击活动
、
指示器
、
威胁行为者
、
攻击目的；
[0012]各要素之间的关系包括：
Asset
‑
has
‑
Vulnerability、Indicator
‑
indicate
‑
Campaign、Threat Actor
‑
achieve
‑
Goal、Tactics
‑
use
‑
Technology、Technology
‑
use
‑
Tool、Technology
‑
use
‑
Malware。
[0013]可选地，对关键威胁情报要素进行预处理，构建威胁情报数据集库，包括：
[0014]对关键威胁要素进行标准化处理，确定标准化格式文件集；
[0015]对标准化格式文件集进行合并去重，确定合并标准化格式文件；
[0016]提取合并标准化格式文件本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种面向电力网络战的威胁情报实战要素关联融合方法，其特征在于，包括：基于
ATT&CK for ICS
构建电力网络战威胁情报分析框架，确定电力网络战中关键威胁情报要素及之间的关系；对所述关键威胁情报要素进行预处理，构建威胁情报数据集库；构建所述威胁情报数据集库的威胁情报异构图，并利用
Bert
模型得到每个威胁情报要素的特征向量矩阵，根据各要素间的关系得到邻接矩阵，初始化所述威胁情报异构图的节点和边；判断所述异构图中节点类型，在所述异构图中存在不同类型异构图节点的情况下，利用图神经网络模型对所述异构图中不同节点之间的关系进行预测，预测结果保存至所述威胁情报数据集库；在所述异构图中都是相同类型的异构图节点的情况下，进行基于距离的相似度计算，在所述相似度超过预设预知的情况下，新建两个异构图节点的边，保存至所述威胁情报数据库中
。2.
根据权利要求1所述的方法，其特征在于，关键威胁情报要素包括：资产
、
脆弱性
、
战术
、
技术
、
工具
、
恶意软件
、
攻击活动
、
指示器
、
威胁行为者
、
攻击目的；各要素之间的关系包括：
Asset
‑
has
‑
Vulnerability、Indicator
‑
indicate
‑
Campaign、Threat Actor
‑
achieve
‑
Goal、Tactics
‑
use
‑
Technology、Technology
‑
use
‑
Tool、Technology
‑
use
‑
Malware。3.
根据权利要求1所述的方法，其特征在于，对所述关键威胁情报要素进行预处理，构建威胁情报数据集库，包括：对所述关键威胁要素进行标准化处理，确定标准化格式文件集；对所述标准化格式文件集进行合并去重，确定合并标准化格式文件；提取所述合并标准化格式文件中的有效字段进行整理，形成所述威胁情报数据集库
。4.
根据权利要求1所述的方法，其特征在于，利用
Bert
模型得到每个威胁情报要素的特征向量矩阵，包括：
1)
将短文本划分为句子，将句子分词为
tokens
；
2)
在句子两端加特殊符号
[CLS][SEP]
；
3)
将
tokens
映射为下标
IDs
；
4)
将列表填充或截断为固定长度；
5)
创建
attention_mask
，将填充的和非填充
tokens
区分开来；
6)
将
token ...

【专利技术属性】
技术研发人员：蔺子卿，朱朝阳，汪旭，张大华，朱亚运，张晓娟，王海翔，郭乃网，吴裔，姜琳，曹靖怡，胡柏吉，
申请(专利权)人：国网上海市电力公司国家电网有限公司，
类型：发明
国别省市：