CN115580426B - 5g电力业务***威胁检测方法、***、存储器及设备 - Google Patents
5g电力业务***威胁检测方法、***、存储器及设备 Download PDFInfo
- Publication number
- CN115580426B CN115580426B CN202211012779.XA CN202211012779A CN115580426B CN 115580426 B CN115580426 B CN 115580426B CN 202211012779 A CN202211012779 A CN 202211012779A CN 115580426 B CN115580426 B CN 115580426B
- Authority
- CN
- China
- Prior art keywords
- threat
- vulnerability
- att
- behavior
- service system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 62
- 230000006399 behavior Effects 0.000 claims abstract description 122
- 239000011159 matrix material Substances 0.000 claims abstract description 55
- 238000000034 method Methods 0.000 claims abstract description 45
- 230000008569 process Effects 0.000 claims abstract description 24
- 238000011156 evaluation Methods 0.000 claims abstract description 21
- 238000013507 mapping Methods 0.000 claims abstract description 21
- 238000004088 simulation Methods 0.000 claims abstract description 19
- 238000013527 convolutional neural network Methods 0.000 claims abstract description 17
- 238000012360 testing method Methods 0.000 claims description 46
- 238000005516 engineering process Methods 0.000 claims description 33
- 230000035515 penetration Effects 0.000 claims description 29
- 239000013598 vector Substances 0.000 claims description 24
- 238000003860 storage Methods 0.000 claims description 9
- 238000012935 Averaging Methods 0.000 claims description 6
- 238000002347 injection Methods 0.000 claims description 6
- 239000007924 injection Substances 0.000 claims description 6
- 238000013139 quantization Methods 0.000 claims description 6
- 238000011002 quantification Methods 0.000 claims description 5
- 238000012163 sequencing technique Methods 0.000 claims description 5
- 239000008186 active pharmaceutical agent Substances 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 4
- 201000007023 Thrombotic Thrombocytopenic Purpura Diseases 0.000 claims 10
- 238000010586 diagram Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 230000007123 defense Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000009826 distribution Methods 0.000 description 3
- 230000000739 chaotic effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010998 test method Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种5G电力业务***威胁检测方法、***、存储器及设备,该方法包括:结合5G电力业务***和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手攻击的自动化攻击过程,以及基于攻击结果获取漏洞信息;基于卷积神经网络将所获取的漏洞信息识别为漏洞行为特征表;基于漏洞行为特征与漏洞威胁程度的映射关系,确定漏洞行为特征的威胁权重系数,并映射为ATT&CK特征矩阵;根据ATT&CK特征矩阵进行评估运算,得出5G电力业务***威胁检测评分结果。本发明提高了对5G电力业务***威胁检测的准确率。
Description
技术领域
本发明涉及一种5G电力业务***威胁检测方法、***、存储器及设备,属于电力物联网安全技术领域。
背景技术
近年来,5G电力网络规模建设逐步展开,5G通信网络由于其超高带宽、超低时延及大规模连接的特性,使其充分的应用在配网自动化三遥,智能电网高级计量等业务当中。通常支撑5G电力业务的终端与***,比如配电SCADA***,WEB服务***,配电应用***,以及配合5G电表上游的智能能源计量***等,在设计之初往往注重于可用性。5G电力业务***上线前,若不进行渗透测试和安全检测,及时发现其中潜在的漏洞、后门、弱口令、恶意代码等威胁,可能在运行过程中遭受黑客入侵的风险。
随着网络安全攻防技术的不断演进,现有渗透测试方法缺乏威胁检测的完备性,难以全面评估针对5G电力业务***威胁的检测能力和防御能力。源于实际网络安全事件中的攻击经验总结,如图1所示ATT&CK框架以公开免费的知识库形式,覆盖了黑客所有可能使用的攻击战术和技术,适用于移动通信、信息***、工业控制***等领域,可帮助运营者或安全服务者更好地进行威胁检测和风险评估。
目前,ATT&CK威胁框架大多数的实践来自于国外网络安全厂商,整体而言,国内安全厂商在这方面的应用和实践相对较少,这不仅体现在技术分析,也体现在综合态势评估、攻击对手仿真等应用场景。
发明内容
本发明为了克服现有技术在5G电力业务***威胁渗透测试中存在的进攻手段单一、无法进行全量精准检测、未真正做到纯自动化的渗透利用等问题,提供一种5G电力业务***威胁检测方法、***、存储器及设备,提高对5G电力业务***的威胁检测效率。
为达到上述目的,本发明采用的技术方案如下:
本发明第一方面提供一种5G电力业务***威胁检测方法,包括:
结合5G电力业务***和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,以及基于攻击结果获取漏洞信息;
将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表;
基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵;
根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务***威胁检测评分结果。
进一步的,所述结合5G电力业务***和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,包括:
收集5G电力业务***威胁情报信息;
根据所收集的威胁情报信息确定渗透测试手段,以及将渗透测试中每一步采用的战术和技术映射到ATT&CK框架中,排序出每个战术下技术使用的优先次序,从攻击者角度确定实施的TTPs;
开发TTPs实施自动化测试工具;
采用开发的TTPs实施自动化测试工具对目标***进行自动化攻击。
进一步的,所述收集5G电力业务***威胁情报信息,包括:
采用渗透测试工具收集5G电力业务***内部威胁情报;
采用网络爬虫或API从各种公开资源中收集外部威胁情报。
进一步的,所述将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表,包括:
将基于攻击结果获取的漏洞信息通过独热编码的方式处理成卷积神经网络能够处理的数据形式;
采用卷积神经网络对输入进行特征提取,并整合分类出漏洞行为特征表。
进一步的,所述漏洞行为特征表中的参数包括:
严重漏洞行为,包括发生在业务***的核心位置、获取业务***控制权限、以及获取核心***管理人员权限并控制核心***;
高危漏洞行为,包括获得getshell和命令执行的权限、敏感信息越权访问、以及读取任意文件;
中危漏洞行为,包括平行越权操作、存储型XSS、涉及核心业务的跨站请求伪造、XML注入、以及任意文件上传;
低危漏洞行为,包括信息泄露、垂直越权、以及非涉及核心业务的跨站请求伪造。
进一步的,所述基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵,包括:
根据各类漏洞行为特征导致的漏洞威胁程度,确定各类漏洞行为特征的威胁权重系数如下:
严重漏洞行为,威胁权重系数为1;
高危漏洞行为,威胁权重系数为2;
中危漏洞行为,威胁权重系数为3;
低危漏洞行为,威胁权重系数为4;
将各类漏洞行为特征量化后对应的威胁权重系数,结合所实施的TTPs输入ATT&CK框架对应的区域,得到ATT&CK特征矩阵;所述ATT&CK特征矩阵的行秩为所实施的TTPs中战术数量,对每个战术所拥有技术数量组成集合,取技术数量最大值为所述ATT&CK特征矩阵的列秩;所述ATT&CK特征矩阵中的技术携带实施该技术产生的漏洞行为特征对应的威胁权重系数。
进一步的,根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务***威胁检测评分结果,包括:
对所述ATT&CK特征矩阵中的威胁权重系数进行特征值计算,量化出对角的特征值向量;
求取特征值向量的最大值和最小值;
采用最大最小值归一化,形成归一化的特征值向量;
对特征值向量求取平均值得出介于[0, 1]之间的安全检测评分。
本发明第二方面提供5G电力业务***威胁检测***,包括:
敌手仿真模块,用于结合5G电力业务***和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,以及基于攻击结果获取漏洞信息;
渗透测试模块,用于将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表;
威胁量化模块,用于基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵;
检测评估模块,用于根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务***威胁检测评分结果。
进一步的,所述敌手仿真模块具体用于,
收集5G电力业务***威胁情报信息;
根据所收集的威胁情报信息确定渗透测试手段,以及将渗透测试中每一步采用的战术和技术映射到ATT&CK框架中,排序出每个战术下技术使用的优先次序,从攻击者角度确定实施的TTPs;
开发TTPs实施自动化测试工具;
采用开发的TTPs实施自动化测试工具对目标***进行自动化攻击。
进一步的,所述渗透测试模块具体用于,
将基于攻击结果获取的漏洞信息通过独热编码的方式处理成卷积神经网络能够处理的数据形式;
采用卷积神经网络对输入进行特征提取,并整合分类出漏洞行为特征表;
所述漏洞行为特征表中的参数包括:
严重漏洞行为,包括发生在业务***的核心位置、获取业务***控制权限、以及获取核心***管理人员权限并控制核心***;
高危漏洞行为,包括获得getshell和命令执行的权限、敏感信息越权访问、以及读取任意文件;
中危漏洞行为,包括平行越权操作、存储型XSS、涉及核心业务的跨站请求伪造、XML注入、以及任意文件上传;
低危漏洞行为,包括信息泄露、垂直越权、以及非涉及核心业务的跨站请求伪造。
进一步的,所述威胁量化模块具体用于,
根据各类漏洞行为特征导致的漏洞威胁程度,确定各类漏洞行为特征的威胁权重系数如下:
严重漏洞行为,威胁权重系数为1;
高危漏洞行为,威胁权重系数为2;
中危漏洞行为,威胁权重系数为3;
低危漏洞行为,威胁权重系数为4;
将各类漏洞行为特征量化后对应的威胁权重系数,结合所实施的TTPs输入ATT&CK框架对应的区域,得到ATT&CK特征矩阵;所述ATT&CK特征矩阵的行秩为所实施的TTPs中战术数量,对每个战术所拥有技术数量组成集合,取技术数量最大值为所述ATT&CK特征矩阵的列秩;所述ATT&CK特征矩阵中的技术携带实施该技术产生的漏洞行为特征对应的威胁权重系数。
进一步的,所述检测评估模块具体用于,
对所述ATT&CK特征矩阵中的威胁权重系数进行特征值计算,量化出对角的特征值向量;
求取特征值向量的最大值和最小值;
采用最大最小值归一化,形成归一化的特征值向量;
对特征值向量求取平均值得出介于[0, 1]之间的安全检测评分。
本发明第三方面提供一种存储一个或多个程序的存储器,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据前述的方法中的任一方法。
本发明第四方面提供一种设备,包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据前述的方法中的任一方法的指令。
本发明的有益效果为:
本发明提供一种基于ATT&CK的5G电力业务***威胁检测方法,基于ATT&CK框架模拟敌手的自动化攻击过程并获取漏洞信息,将混乱、无序的漏洞信息整合为规则、有序的漏洞行为特征表,并根据与漏洞危害程度的映射关系,设立威胁权重系数,进而映射为ATT&CK特征矩阵得出安全检测评分,从而实现对防守者当前防御方案、防御设备以及安全防御的优先级等问题的标准化评估。本发明提高了对5G电力业务***威胁检测的准确率。
附图说明
图1是本发明实施例提供的一种5G电力业务***威胁检测方法流程图;
图2是ATT&CK框架中的攻击战术汇总;
图3是本发明实施例提供的基于ATT&CK的5G电力业务***威胁检测***架构;
图4是本发明实施例中敌手仿真模块结构图;
图5是本发明实施例中的漏洞行为特征表及对应的威胁权重系数示意图。
具体实施方式
下面对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
实施例1
本实施例一种5G电力业务***威胁检测方法,参见图1,包括:
结合5G电力业务***和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,以及基于攻击结果获取漏洞信息;
将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表;
基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵;
根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务***威胁检测评分结果。
实施例2
本实施例提供一种基于ATT&CK的5G电力业务***威胁渗透测试方法,包括以下步骤:
步骤一:结合5G电力业务***和上线网络环境,解析ATT&CK框架建立敌手仿真模型,从攻击者角度确定实施的TTPs(Tactics, Techniques, and Procedures,战术、技术、过程)优先级,确保威胁检测的完备性;
本实施例中,引入ATT&CK框架来构建敌手仿真模型,基于敌手仿真模型实现模拟敌手攻击的自动化攻击过程,具体实现过程为:
步骤1.1:收集威胁情报
利用渗透测试工具收集5G电力业务***内部威胁情报,利用网络爬虫、API等方法从各种公开资源中收集外部威胁情报,并结合内外威胁情报对5G电力业务***的***业务、***行为、***操作规律、***目标等进行整合。
需要说明的是,针对5G电力业务***内部信息及相关公开资源的收集方式,本实施例不做限定。
步骤1.2:提取测试技术
根据威胁情报信息确定渗透测试手段,根据ATT&CK框架收录渗透测试时采用的技战术,将每一步采用的战术和技术映射到ATT&CK框架中。ATT&CK框架如图2所示。通过威胁情报社区和API将已有的攻击文档映射为ATT&CK语境,对于攻击文档中攻击者行为进行分析找到其所用的战术和技术进行TTPs的生成,针对当前业务***环境排序出每个战术下技术使用的优先次序,从攻击者角度确定实施的战术、技术、过程。
需要说明的是,根据威胁情报收集到的信息来确定使用哪种渗透测试手段,渗透测试手段包括黑盒测试、白盒测试、模糊测试等。
需要说明的是,参见图2,ATT&CK框架中包括十四种战术(指导思想),每种战术下又存在若干技术,根据收集到的威胁情报信息来确定所采用的战术和技术。
步骤1.3:开发TTPs实施自动化测试工具
根据ATT&CK框架所确定实施的TTPs,设计并开发相关自动化测试工具,避免人工测试时产生的主观能力和不确定性因素。
步骤1.4:模拟敌手攻击
根据集合ATT&CK框架所设计的测试计划,采用开发的TTPs实施自动化测试工具对目标***进行自动化攻击,确保威胁检测的完备性。
通过该一系列自动化测试工具可以检测出***中存在哪些漏洞威胁,根据出现的漏洞威胁可以获取相关漏洞信息。
基于本实施例的敌手仿真模型检测5G电力业务***中是否存在漏洞威胁,并获取相关的漏洞信息,包括漏洞攻击路经、漏洞针对的操作***,开放的端口与服务,应用软件及其版本等信息。
步骤二:融入ATT&CK框架到渗透测试流程,设计基于卷积神经网络(Convolutional Neural Network, CNN)的自动目标***识别方法,用于代替人工判断的主观因素,提升5G电力业务***威胁检测的准确率;
将获取到的漏洞信息作为卷积神经网络的输入,通过深度学习的方法来识别漏洞行为特征,最终输出的规则、有序的漏洞行为特征表如图5所示。
步骤1.4得到的漏洞信息往往存在着粗糙、混乱、无序等问题。本实施例设计了基于深度神经网络的自动目标***识别方法,提高对5G电力业务***威胁检测的准确率,具体实现过程为:
将混乱、无序的漏洞信息通过独热编码的方式处理成卷积神经网络能够处理的数据形式;
利用卷积神经网络进行特征提取,并整合具有类别区分性的局部信息,分类出规则、有序的漏洞行为特征表,如图5所示,
漏洞行为特征包括:
严重漏洞行为:发生在业务***的核心位置、获取大量业务***控制权限、获取核心***管理人员权限并可控制核心***等;
高危漏洞行为:获得***的权限(包括getshell、命令执行等)、敏感信息越权访问、读取任意文件等;
中危漏洞行为:平行越权操作、存储型XSS、涉及核心业务的CSRF(Cross-siterequest forgery,跨站请求伪造)、XML注入、任意文件上传等;
低危漏洞行为:普通信息泄露、普通的垂直越权、普通CSRF等。
需要说明的是,普通指漏洞难以利用,对电力业务***造成的威胁较小。
步骤三:对得到的规则、有序的漏洞行为特征表进行量化处理,得到威胁权重系数,并映射为ATT&CK特征矩阵;
参见图5,本实施例中,根据漏洞行为特征导致的威胁程度,设计威胁权重系数,具体为:
严重漏洞行为,威胁权重系数为1;
高危漏洞行为,威胁权重系数为2;
中危漏洞行为,威胁权重系数为3;
低危漏洞行为,威胁权重系数为4。
本实施例中,将漏洞行为特征量化后对应的威胁权重系数,结合所实施的TTPs输入图2的ATT&CK框架对应的区域,得到ATT&CK特征矩阵。
需要说明的是,ATT&CK特征矩阵的行秩为所实施的TTPs中攻击战术数量,对每个攻击战术所拥有技术数量组成集合,取最大值为矩阵的列秩。
需要说明的是,ATT&CK特征矩阵中的技术携带实施该技术产生的漏洞行为特征量化后对应的威胁权重系数用于后续的矩阵评估运算。
比如,“防御规避”中拥有42种技术,则矩阵的列秩为42。输入完成ATT&CK框架对应的区域后,若ATT&CK特征矩阵中出现空白元素,表明该项威胁未检测出,填入0,便于后续的矩阵评估运算。
步骤四:基于ATT&CK特征矩阵进行评估运算,得到安全检测评分。
本实施例中,根据得到的ATT&CK特征矩阵进行评估运算,得出安全检测评分,从而实现对防守者当前防御方案、防御设备以及安全防御的优先级等问题的标准化评估。
评估过程为:
对矩阵中的威胁权重系数进行特征值计算,量化出对角的特征值向量;
求取特征值向量的最大值(max)和最小值(min);
采用最大最小值归一化(x−min)/max,形成归一化的特征值向量;
对特征值向量求取平均值得出介于[0, 1]之间的安全检测评分。
实施例3
本实施例提供一种基于ATT&CK的5G电力业务***威胁检测***,参见图3,包括:
敌手仿真模块,用于结合5G电力业务***和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,以及基于攻击结果获取漏洞信息;
渗透测试模块,用于将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表;
威胁量化模块,用于基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵;
检测评估模块,用于根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务***威胁检测评分结果。
参见图4,本实施例中,敌手仿真模块具体用于,
收集5G电力业务***威胁情报信息;
根据所收集的威胁情报信息确定渗透测试手段,以及将渗透测试中每一步采用的战术和技术映射到ATT&CK框架中,排序出每个战术下技术使用的优先次序,从攻击者角度确定实施的TTPs;
开发TTPs实施自动化测试工具;
采用开发的TTPs实施自动化测试工具对目标***进行自动化攻击。
本实施例中,渗透测试模块具体用于,
将基于攻击结果获取的漏洞信息通过独热编码的方式处理成卷积神经网络能够处理的数据形式;
采用卷积神经网络对输入进行特征提取,并整合分类出漏洞行为特征表。
所述漏洞行为特征表包括:
严重漏洞行为,包括发生在业务***的核心位置、获取业务***控制权限、以及获取核心***管理人员权限并控制核心***;
高危漏洞行为,包括获得getshell和命令执行的权限、敏感信息越权访问、以及读取任意文件;
中危漏洞行为,包括平行越权操作、存储型XSS、涉及核心业务的跨站请求伪造、XML注入、以及任意文件上传;
低危漏洞行为,包括信息泄露、垂直越权、以及非涉及核心业务的跨站请求伪造。
本实施例中,威胁量化模块具体用于,
根据各类漏洞行为特征导致的漏洞威胁程度,确定各类漏洞行为特征的威胁权重系数如下:
严重漏洞行为,威胁权重系数为1;
高危漏洞行为,威胁权重系数为2;
中危漏洞行为,威胁权重系数为3;
低危漏洞行为,威胁权重系数为4;
将各类漏洞行为特征量化后对应的威胁权重系数,结合所实施的TTPs输入ATT&CK框架对应的区域,得到ATT&CK特征矩阵;所述ATT&CK特征矩阵的行秩为所实施的TTPs中战术数量,对每个战术所拥有技术数量组成集合,取技术数量最大值为所述ATT&CK特征矩阵的列秩;所述ATT&CK特征矩阵中的技术携带实施该技术产生的漏洞行为特征对应的威胁权重系数。
本实施例中,检测评估模块具体用于,
对所述ATT&CK特征矩阵中的威胁权重系数进行特征值计算,量化出对角的特征值向量;
求取特征值向量的最大值和最小值;
采用最大最小值归一化,形成归一化的特征值向量;
对特征值向量求取平均值得出介于[0, 1]之间的安全检测评分。
实施例4
本实施例提供一种存储一个或多个程序的存储器,其特征在于:所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据实施例1或实施例2中的方法中的任一方法。
实施例5
本实施例提供一种设备,包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据实施例1或实施例2中的方法中的任一方法的指令。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (10)
1.5G电力业务***威胁检测方法,其特征在于,包括:
结合5G电力业务***和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,以及基于攻击结果获取漏洞信息;所述模拟敌手的自动化攻击过程,包括:收集5G电力业务***威胁情报信息;根据所收集的威胁情报信息确定渗透测试手段,以及将渗透测试中每一步采用的战术和技术映射到ATT&CK框架中,排序出每个战术下技术使用的优先次序,从攻击者角度确定实施的TTPs;开发TTPs实施自动化测试工具;采用开发的TTPs实施自动化测试工具对目标***进行自动化攻击;
将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表;
基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵,包括:
根据各类漏洞行为特征导致的漏洞威胁程度,确定各类漏洞行为特征的威胁权重系数如下:
严重漏洞行为,威胁权重系数为1;
高危漏洞行为,威胁权重系数为2;
中危漏洞行为,威胁权重系数为3;
低危漏洞行为,威胁权重系数为4;
将各类漏洞行为特征量化后对应的威胁权重系数,结合所实施的TTPs输入ATT&CK框架对应的区域,得到ATT&CK特征矩阵;所述ATT&CK特征矩阵的行秩为所实施的TTPs中战术数量,对每个战术所拥有技术数量组成集合,取技术数量最大值为所述ATT&CK特征矩阵的列秩;所述ATT&CK特征矩阵中的技术携带实施该技术产生的漏洞行为特征对应的威胁权重系数信息;
根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务***威胁检测评分结果。
2.根据权利要求1所述的5G电力业务***威胁检测方法,其特征在于,所述收集5G电力业务***威胁情报信息,包括:
采用渗透测试工具收集5G电力业务***内部威胁情报;
采用网络爬虫或API从各种公开资源中收集外部威胁情报。
3.根据权利要求1所述的5G电力业务***威胁检测方法,其特征在于,所述将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表,包括:
将基于攻击结果获取的漏洞信息通过独热编码的方式处理成卷积神经网络能够处理的数据形式;
采用卷积神经网络对输入进行特征提取,并整合分类出漏洞行为特征表。
4.根据权利要求3所述的5G电力业务***威胁检测方法,其特征在于,所述漏洞行为特征表中的参数包括:
严重漏洞行为,包括发生在业务***的核心位置、获取业务***控制权限、以及获取核心***管理人员权限并控制核心***;
高危漏洞行为,包括获得getshell和命令执行的权限、敏感信息越权访问、以及读取任意文件;
中危漏洞行为,包括平行越权操作、存储型XSS、涉及核心业务的跨站请求伪造、XML注入、以及任意文件上传;
低危漏洞行为,包括信息泄露、垂直越权、以及非涉及核心业务的跨站请求伪造。
5.根据权利要求4所述的5G电力业务***威胁检测方法,其特征在于,根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务***威胁检测评分结果,包括:
对所述ATT&CK特征矩阵中的威胁权重系数进行特征值计算,量化出对角的特征值向量;
求取特征值向量的最大值和最小值;
采用最大最小值归一化,形成归一化的特征值向量;
对特征值向量求取平均值得出介于[0, 1]之间的安全检测评分。
6.5G电力业务***威胁检测***,其特征在于,包括:
敌手仿真模块,用于结合5G电力业务***和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,以及基于攻击结果获取漏洞信息;所述模拟敌手的自动化攻击过程具体为,收集5G电力业务***威胁情报信息;根据所收集的威胁情报信息确定渗透测试手段,以及将渗透测试中每一步采用的战术和技术映射到ATT&CK框架中,排序出每个战术下技术使用的优先次序,从攻击者角度确定实施的TTPs;开发TTPs实施自动化测试工具;采用开发的TTPs实施自动化测试工具对目标***进行自动化攻击;
渗透测试模块,用于将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表;
威胁量化模块,用于基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵,具体实现方式如下:
根据各类漏洞行为特征导致的漏洞威胁程度,确定各类漏洞行为特征的威胁权重系数如下:
严重漏洞行为,威胁权重系数为1;
高危漏洞行为,威胁权重系数为2;
中危漏洞行为,威胁权重系数为3;
低危漏洞行为,威胁权重系数为4;
将各类漏洞行为特征量化后对应的威胁权重系数,结合所实施的TTPs输入ATT&CK框架对应的区域,得到ATT&CK特征矩阵;所述ATT&CK特征矩阵的行秩为所实施的TTPs中战术数量,对每个战术所拥有技术数量组成集合,取技术数量最大值为所述ATT&CK特征矩阵的列秩;所述ATT&CK特征矩阵中的技术携带实施该技术产生的漏洞行为特征对应的威胁权重系数信息;
检测评估模块,用于根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务***威胁检测评分结果。
7.根据权利要求6所述的5G电力业务***威胁检测***,其特征在于,所述渗透测试模块具体用于,
将基于攻击结果获取的漏洞信息通过独热编码的方式处理成卷积神经网络能够处理的数据形式;
采用卷积神经网络对输入进行特征提取,并整合分类出漏洞行为特征表;
所述漏洞行为特征表中的参数包括:
严重漏洞行为,包括发生在业务***的核心位置、获取业务***控制权限、以及获取核心***管理人员权限并控制核心***;
高危漏洞行为,包括获得getshell和命令执行的权限、敏感信息越权访问、以及读取任意文件;
中危漏洞行为,包括平行越权操作、存储型XSS、涉及核心业务的跨站请求伪造、XML注入、以及任意文件上传;
低危漏洞行为,包括信息泄露、垂直越权、以及非涉及核心业务的跨站请求伪造。
8.根据权利要求7所述的5G电力业务***威胁检测***,其特征在于,所述检测评估模块具体用于,
对所述ATT&CK特征矩阵中的威胁权重系数进行特征值计算,量化出对角的特征值向量;
求取特征值向量的最大值和最小值;
采用最大最小值归一化,形成归一化的特征值向量;
对特征值向量求取平均值得出介于[0, 1]之间的安全检测评分。
9.一种存储一个或多个程序的存储器,其特征在于:所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据权利要求1至5所述的方法中的任一方法。
10.一种5G电力业务***威胁检测设备,其特征在于:包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据权利要求1至5所述的方法中的任一方法的指令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211012779.XA CN115580426B (zh) | 2022-08-23 | 2022-08-23 | 5g电力业务***威胁检测方法、***、存储器及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211012779.XA CN115580426B (zh) | 2022-08-23 | 2022-08-23 | 5g电力业务***威胁检测方法、***、存储器及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115580426A CN115580426A (zh) | 2023-01-06 |
CN115580426B true CN115580426B (zh) | 2024-06-28 |
Family
ID=84579473
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211012779.XA Active CN115580426B (zh) | 2022-08-23 | 2022-08-23 | 5g电力业务***威胁检测方法、***、存储器及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115580426B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116112253A (zh) * | 2023-01-30 | 2023-05-12 | 网易(杭州)网络有限公司 | 资产风险探测方法、介质、装置及计算设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110545280A (zh) * | 2019-09-09 | 2019-12-06 | 北京华赛在线科技有限公司 | 一种基于威胁检测准确度的量化评估方法 |
CN112738126A (zh) * | 2021-01-07 | 2021-04-30 | 中国电子科技集团公司第十五研究所 | 基于威胁情报和att&ck的攻击溯源方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11368480B2 (en) * | 2019-05-29 | 2022-06-21 | Sight Gain Inc. | Systems and methods for automated detection of cybersecurity performance gaps |
-
2022
- 2022-08-23 CN CN202211012779.XA patent/CN115580426B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110545280A (zh) * | 2019-09-09 | 2019-12-06 | 北京华赛在线科技有限公司 | 一种基于威胁检测准确度的量化评估方法 |
CN112738126A (zh) * | 2021-01-07 | 2021-04-30 | 中国电子科技集团公司第十五研究所 | 基于威胁情报和att&ck的攻击溯源方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115580426A (zh) | 2023-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110545280B (zh) | 一种基于威胁检测准确度的量化评估方法 | |
CN111783105B (zh) | 渗透测试方法、装置、设备及存储介质 | |
CN106611126A (zh) | 一种漏洞严重性评估及修补方法 | |
CN102045358A (zh) | 一种基于整合相关性分析与分级聚类的入侵检测方法 | |
CN111368302B (zh) | 基于攻击者攻击策略生成的自动威胁检测方法 | |
CN111475817A (zh) | 一种基于ai的自动化渗透测试***的数据收集方法 | |
CN114398643A (zh) | 渗透路径规划方法、装置、计算机和存储介质 | |
CN115580426B (zh) | 5g电力业务***威胁检测方法、***、存储器及设备 | |
CN114915475B (zh) | 攻击路径的确定方法、装置、设备及存储介质 | |
CN111475818A (zh) | 一种基于ai的自动化渗透测试***的渗透攻击方法 | |
CN110765000A (zh) | 一种程序测试方法及装置 | |
CN114091042A (zh) | 风险预警方法 | |
CN111049828B (zh) | 网络攻击检测及响应方法及*** | |
CN112765660A (zh) | 一种基于MapReduce并行聚类技术的终端安全性分析方法和*** | |
CN111400718A (zh) | 一种***漏洞与攻击的检测方法、装置及其相关设备 | |
CN114448718A (zh) | 一种并行检测和修复的网络安全保障方法 | |
CN113824711A (zh) | 一种威胁ip封禁方法、装置、设备及介质 | |
Hill et al. | Verifying attack graphs through simulation | |
CN114935923A (zh) | 一种基于树莓派的新能源边缘工业控制***漏洞检测方法 | |
Liu et al. | Efficient Defense Decision‐Making Approach for Multistep Attacks Based on the Attack Graph and Game Theory | |
CN109840417B (zh) | 一种恶意软件检测方法及装置 | |
Lagesse et al. | Securing pervasive systems against adversarial machine learning | |
CN109688159A (zh) | 网络隔离违规识别方法、服务器及计算机可读存储介质 | |
CN115277153B (zh) | 一种智能电网5g网络风险评估***及评估方法 | |
Alzarqawee et al. | Towards AI-powered Cybersecurity Attack Modeling with simulation tools: Review of attack simulators |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |