【技术实现步骤摘要】
一种面向电力网络战的威胁情报实战要素关联融合方法
[0001]本专利技术涉及
,并且更具体地,涉及一种面向电力网络战的威胁情报实战要素关联融合方法
。
技术介绍
[0002]目前,国家之间的博弈升级,网络战争正在逐渐成为主要现代战争形式之一
。
正如情报在传统战争中发挥的不可替代的作用,网络威胁情报
(
简称:威胁情报
)
在网络战中发挥着不可替代的作用
。
国际权威
IT
咨询机构
Gartner
提出的定义
,
威胁情报是一种基于证据的知识,描述组织的资产现存的或潜在的风险或威胁,包括上下文
、
机制
、
指标
、
内涵和可行的建议,可用于指导组织对风险或威胁做出特定响应
。
相比
IP
地址
、
恶意
HASH
等较低等级的情报,攻击者使用的战术
、
技术以及步骤
(Tactics,Techniques and Procedure,TTP)
发挥着不可替代的作用
。
安全论坛和博客等开源情报平台包含大量安全事件报告,详细描述了一系列攻击事件中攻击者使用的
TTP、
产生的后果
。MITREATT&CK
是一个开源的基于现实世界的知识库,包括攻击者使用的技术
、
策略等 ...
【技术保护点】
【技术特征摘要】
1.
一种面向电力网络战的威胁情报实战要素关联融合方法,其特征在于,包括:基于
ATT&CK for ICS
构建电力网络战威胁情报分析框架,确定电力网络战中关键威胁情报要素及之间的关系;对所述关键威胁情报要素进行预处理,构建威胁情报数据集库;构建所述威胁情报数据集库的威胁情报异构图,并利用
Bert
模型得到每个威胁情报要素的特征向量矩阵,根据各要素间的关系得到邻接矩阵,初始化所述威胁情报异构图的节点和边;判断所述异构图中节点类型,在所述异构图中存在不同类型异构图节点的情况下,利用图神经网络模型对所述异构图中不同节点之间的关系进行预测,预测结果保存至所述威胁情报数据集库;在所述异构图中都是相同类型的异构图节点的情况下,进行基于距离的相似度计算,在所述相似度超过预设预知的情况下,新建两个异构图节点的边,保存至所述威胁情报数据库中
。2.
根据权利要求1所述的方法,其特征在于,关键威胁情报要素包括:资产
、
脆弱性
、
战术
、
技术
、
工具
、
恶意软件
、
攻击活动
、
指示器
、
威胁行为者
、
攻击目的;各要素之间的关系包括:
Asset
‑
has
‑
Vulnerability、Indicator
‑
indicate
‑
Campaign、Threat Actor
‑
achieve
‑
Goal、Tactics
‑
use
‑
Technology、Technology
‑
use
‑
Tool、Technology
‑
use
‑
Malware。3.
根据权利要求1所述的方法,其特征在于,对所述关键威胁情报要素进行预处理,构建威胁情报数据集库,包括:对所述关键威胁要素进行标准化处理,确定标准化格式文件集;对所述标准化格式文件集进行合并去重,确定合并标准化格式文件;提取所述合并标准化格式文件中的有效字段进行整理,形成所述威胁情报数据集库
。4.
根据权利要求1所述的方法,其特征在于,利用
Bert
模型得到每个威胁情报要素的特征向量矩阵,包括:
1)
将短文本划分为句子,将句子分词为
tokens
;
2)
在句子两端加特殊符号
[CLS][SEP]
;
3)
将
tokens
映射为下标
IDs
;
4)
将列表填充或截断为固定长度;
5)
创建
attention_mask
,将填充的和非填充
tokens
区分开来;
6)
将
token ...
【专利技术属性】
技术研发人员:蔺子卿,朱朝阳,汪旭,张大华,朱亚运,张晓娟,王海翔,郭乃网,吴裔,姜琳,曹靖怡,胡柏吉,
申请(专利权)人:国网上海市电力公司国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。