CN112910872B - 社工攻击威胁、事件、场景分析方法、装置及系统 - Google Patents
社工攻击威胁、事件、场景分析方法、装置及系统 Download PDFInfo
- Publication number
- CN112910872B CN112910872B CN202110097803.3A CN202110097803A CN112910872B CN 112910872 B CN112910872 B CN 112910872B CN 202110097803 A CN202110097803 A CN 202110097803A CN 112910872 B CN112910872 B CN 112910872B
- Authority
- CN
- China
- Prior art keywords
- social
- attack
- worker
- event
- social worker
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/01—Social networking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
- G06Q50/265—Personal security, identity or safety
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明提供了一种社工攻击威胁、事件、场景分析方法、装置及系统,包括:构建社工领域本体;基于所述社工领域本体构建社工知识图谱;基于所述社工知识图谱进行社工攻击威胁、事件、场景分析。本发明为不同种类的社工攻击提供了一个通用性的分析框架,为社工领域提供了一个形式化的即机器可读的、明确的、可共享的知识图式;可以进行社工攻击威胁元素的综合、关联分析,为已知和未知的社工攻击、威胁、事件、场景等的理解、分析、感知、发现、防御等提供了一种新途径。如能够实现对社工攻击的细粒度不少于11个组成部分的解析,分析识别高风险的攻击威胁要素和薄弱环节,寻找潜在的攻击者、攻击目标、攻击路径,分析寻找同源社工攻击等。
Description
技术领域
本发明涉及网络空间安全技术领域,尤其涉及一种社工攻击威胁、事件、场景分析方法、装置及系统。
背景技术
社工攻击具有简易性、灵活性、绕过性、可扩展性等特点,社工攻击的种类和形式非常多样。相对于利用软硬件脆弱性的传统网络攻击,社工攻击关注于对人为因素的利用实现攻击目的,攻击者不必再夜以继日地暴力破解密码、深度开发攻击脚本、突破防火墙、对抗反病毒软件等。社工攻击的实施可能非常简单,攻击者只需要冒充一个内部人打一个电话就能套取想要的信息;也可能非常复杂,在特定的攻击情形中,攻击者需要环环相扣的逐层渗透。社工攻击可能是面对面的一次安全欺骗、一个普通的钓鱼邮件,也可能是一次针对性特定目标或组织的、基于上下文感知的、深度定制的高级攻击。这些攻击特性,不仅让社工成为网络攻击犯罪和黑客社区流行的攻击方法,也导致了传统安全防护技术(如加密、网络防火墙、入侵检测、防病毒软件)的低效,带来了严重、普遍、持续的网络安全威胁。社工作为一个交叉学科的复杂领域,对社工领域知识的理解,对社工攻击威胁、事件、场景的分析是防御社工攻击的一项重要的、基础的工作。
现有对社工的威胁分析的技术只针对/适用于个别社工攻击类型,如钓鱼邮件,不能涵盖其他类型的社工攻击,缺少一个通用的社工攻击分析框架。对于涵盖不攻击类型、变体多样的社工攻击整体,现有分析仍主要依赖于人工理解,缺少一个结构化、机器可读的、可用于细粒度地解析社工攻击的知识模式;同时,现有社工攻击分析方案在以下几个方面也存在不足,如对不同类型的社工元素的细分和关联分析,对高风险元素的识别,对潜在威胁、薄弱环节的发现,以及对分析过程和结果的直观化展示等方面。
发明内容
针对现有技术中存在的问题,本发明实施例提供一种社工攻击威胁、事件、场景分析方法、装置及系统。
第一方面,本发明实施例提供一种社工攻击威胁、事件、场景分析方法,包括:
构建社工领域本体;
基于所述社工领域本体构建社工知识图谱;
基于所述社工知识图谱进行社工攻击威胁、事件、场景分析。
进一步地,所述构建社工领域本体,包括:
根据社工领域资料库定义所述社工领域本体中概念实体和所述概念实体之间的关系。
进一步地,所述根据社工领域资料库定义所述社工领域本体中概念实体和所述概念实体之间的关系,包括:
采用自顶向下法,根据社工领域资料库中的社工领域专业知识定义所述社工领域本体中概念实体和所述概念实体之间的关系;
和/或,
采用自底向上法,根据社工领域资料库中的社工数据和/或事件定义所述社工领域本体中概念实体和所述概念实体之间的关系。
进一步地,所述基于所述社工领域本体构建社工知识图谱,包括:
基于收集到的社工攻击的原始数据、设计攻击场景创建的社工攻击的原始数据、预设的结构化社工攻击实例数据中的至少一项以所述社工领域本体构建社工知识图谱。
进一步地,所述方法还包括:
基于所述社工领域本体和推理规则补全所述社工知识图谱中缺失的所述概念实体之间的关系。
进一步地,所述社工知识图谱包括节点类型,和/或,节点间关系,和/或,节点的出度,和/或,节点的入度;
相应地,所述方法还包括:基于所述节点类型,和/或,节点间关系,和/或,节点的出度,和/或,节点的入度统计分析威胁风险要素。
进一步地,所述方法还包括:
基于不同攻击实例之间的关联分析和推理规则,寻找潜在的攻击者,和/或,攻击目标,和/或,攻击路径。
进一步地,所述方法还包括:
基于不同攻击实例之间的关联分析和攻击特征,分析寻找同源社工攻击。
第二方面,本发明实施例提供了一种社工攻击威胁、事件、场景分析装置,包括:
第一构建模块,用于构建社工领域本体;
第二构建模块,用于基于所述社工领域本体构建社工知识图谱;
分析模块,用于基于所述社工知识图谱进行社工攻击威胁、事件、场景分析。
第三方面,本发明实施例提供了一种社工攻击威胁、事件、场景分析系统,包括:
第三构建模块,用于构建社工领域本体;
第四构建模块,用于基于所述社工领域本体构建社工知识图谱;
攻击分析模块,用于基于所述社工知识图谱进行社工攻击威胁、事件、场景分析。
第四方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上第一方面所述的社工攻击威胁、事件、场景分析方法的步骤。
第五方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上第一方面所述的社工攻击威胁、事件、场景分析方法的步骤。
由上述技术方案可知,本发明实施例提供的社工攻击威胁分析方法、装置、电子设备及存储介质,通过构建一个社工领域本体;然后,根据社工领域本体构建社工知识图谱,最后,利用社工知识图谱分析社工威胁、事件、场景。本发明为不同种类的社工攻击提供了一个通用性的分析框架,为社工领域提供了一个形式化的即机器可读的、明确的、可共享的知识图式;可以进行社工攻击威胁元素的综合、关联分析,为已知和未知的社工攻击、威胁、事件、场景等的理解、分析、感知、发现、防御等提供了一种新途径。如能够实现对社工攻击的细粒度不少于11个组成部分的解析,分析识别高风险的攻击威胁要素和薄弱环节,寻找潜在的攻击者、攻击目标、攻击路径,分析寻找同源社工攻击等。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的社工攻击威胁、事件、场景分析方法的流程示意图;
图2为本发明一实施例提供的社工领域本体示意图;
图3为本发明一实施例提供的社工知识图谱示意图;
图4为本发明一实施例提供的社工攻击威胁、事件、场景的细粒度解析示意图;
图5为本发明一实施例提供的对脆弱性的分析示意图;
图6为本发明一实施例提供的对攻击媒介或交互方式的分析示意图;
图7为本发明一实施例提供的对特定受害者潜在的攻击者、攻击方法的分析示意图;
图8为本发明一实施例提供的对特定攻击者潜在的受害者、可利用的攻击方法的分析示意图;
图9为本发明一实施例提供的对特定的攻击者和特定的攻击目标之间可能的攻击路径的分析示意图;
图10为本发明一实施例提供的对同源社工攻击的分析示意图;
图11为本发明一实施例提供的社工攻击威胁、事件、场景分析装置的结构示意图;
图12为本发明一实施例提供的社工攻击威胁、事件、场景分析系统的结构示意图
图13为本发明一实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。下面将通过具体的实施例对本发明提供的社工攻击威胁、事件、场景分析方法进行详细解释和说明。
图1为本发明一实施例提供的社工攻击威胁、事件、场景分析方法的流程示意图;如图1所示,该方法包括:
步骤101:构建社工领域本体。
在本步骤中,构建社工领域本体,如定义必要组件(即社工领域本体组成部分),包括社工领域的核心概念(类)、核心概念之间的关系;可选组件,包括但不限于公理描述、推理规则、注释等。其中,需要说明的是,社工领域本体是社工领域的一个知识图式。
步骤102:基于所述社工领域本体构建社工知识图谱。
在本步骤中,形成以社工领域本体所定义的知识图式(schema)组织的数据集,从而存储并形成社工知识库,实现知识图谱功能,实现对社工知识图谱增删改查等的操作。
步骤103:基于所述社工知识图谱进行社工攻击威胁、事件、场景分析。
在本步骤中,基于所述社工知识图谱保存分析社工攻击威胁、事件、场景的命令脚本、推理规则、分析规则、匹配模式等,用于实现对社工攻击威胁、事件、场景的分析与展示。
在本实施例中,需要说明的是,在网络空间安全领域,“社工”也称为“社会工程学”、“社交工程”、“社会工程”、“社工”、“Social Engineering”等,本实施例中为了意涵的一致性和描述的便利性,统一用“社工”这一术语。
在网络空间安全领域,社工是一种利用人的脆弱性(包括但不限于心理脆弱性、行为脆弱性、认知脆弱性等),以直接/间接、主动/被动等交互形式(以欺骗、操纵、说服、影响、诱导等技术或非技术手段)危害网络空间安全(载体、资源、主体、操作等的机密性、完整性、可用性、可空性、可审计性等)的攻击。
社工攻击具有简易性、灵活性、绕过性、可扩展性等特点,社工攻击的种类和形式非常多样,如社工攻击可以在只利用人的脆弱性的情况下实施,也可以结合技术手段、利用软硬件和技术上的脆弱性实施。
由上面技术方案可知,本发明实施例提供的社工攻击威胁、事件、场景分析方法,首先,构建一个社工领域本体。然后,根据社工领域本体构建社工知识图谱,最后,利用社工知识图谱分析社工威胁、事件、场景。本发明为不同种类的社工攻击提供了一个通用性的分析框架,为社工领域提供了一个形式化的即机器可读的、明确的、可共享的知识图式;可以进行社工攻击威胁元素的综合、关联分析,为已知和未知的社工攻击、威胁、事件、场景等的理解、分析、感知、发现、防御等提供了一种新途径。如能够实现对社工攻击的细粒度(不少于11个组成部分)的解析,分析识别高风险的攻击威胁要素和薄弱环节,寻找潜在的攻击者、攻击目标、攻击路径,分析寻找同源社工攻击等。
在上述实施例基础上,在本实施例中,所述构建社工领域本体,包括:
根据社工领域资料库定义所述社工领域本体中概念实体和所述概念实体之间的关系。
在本实施例中,可以理解的是,社工领域资料库存储了丰富的社工领域相关资料,从而根据社工领域资料库定义所述社工领域本体中概念实体和所述概念实体之间的关系;如可以采用自顶向下的方法,如根据在社工领域的专业知识和丰富经验定义核心概念及其之间的关系;也可以采用自底向上的方法,如爬取社工数据/事件,从社工攻击数据/事件中抽取、分离、聚类社工领域的相关概念及其之间的关系。
在本实施例中,需要说明的是,可以采用任何一种本体描述语言,如RDF(ResourceDescription Framework)、RDFS(RDF Schema)、OWL(Web Ontology Language)等;可以采用手工的方法定义构建,也可以借助工具(如Protégé、Ontolingua、Ontoweb等)实现,还可以编写脚本、软件实现。社工领域本体为社工知识图谱的构建提供了一个知识图式/模式/架构。
为了更好地理解本发明实施例,举例来说,提供如下描述社工领域、支持社工攻击综合分析的可选概念和关系。根据社工攻击分析需求的不同,可以按需采用:
一、如社工领域本体中概念实体,提供如下可选(如表1)但不局限于所列举的概念:
表1社工领域本体中的可选概念
二、如概念实体之间的关系,提供如下可选(如表2)但不局限于所列举的关系:
表2社工领域本体中概念之间的可选关系
在上述实施例基础上,在本实施例中,所述根据社工领域资料库定义所述社工领域本体中概念实体和所述概念实体之间的关系,包括:
采用自顶向下法,根据社工领域资料库中的社工领域专业知识定义所述社工领域本体中概念实体和所述概念实体之间的关系;
和/或,
采用自底向上法,根据社工领域资料库中的社工数据和/或事件定义所述社工领域本体中概念实体和所述概念实体之间的关系。
在上述实施例基础上,在本实施例中,所述基于所述社工领域本体构建社工知识图谱,包括:
基于收集到的社工攻击的原始数据、设计攻击场景创建的社工攻击的原始数据、预设的结构化社工攻击实例数据中的至少一项以所述社工领域本体构建社工知识图谱。
在本实施例中,举例来说,可以先收集或创建社工攻击的原始数据,或将已经获得/已准备好的结构化社工攻击实例数据,以社工领域本体所定义的知识图式(schema)组织,并存储于特定的数据库中,形成知识库,并实现知识图谱功能。
其中,社工攻击的(原始)数据可以通过收集互联网上的公开事件获取(如手工收集、程序爬取、NLP技术处理等),也可以根据现实中的社工攻击事件获得,还可以根据设计的攻击场景构建。这些原始数据可以是一件完整社工攻击的描述,也可以是部分攻击过程的描述。所采用的数据库可以是图数据库(如Neo4j、OrientDB、ArangoDB、HugeGraph、JanusGraph),也可以采用非图数据库(如mongodb),甚至是rdf三元组的方式。如果所采用的数据库不具备查询功能,则需要一个程序实现社工知识的查询(如可基于Python和D3.js实现查询、展示功能),如果所采用的数据库具备知识存储和查询引擎,支持图谱展示功能,则可直接用于后续的分析。
在上述实施例基础上,在本实施例中,所述方法还包括:
基于所述社工领域本体和推理规则补全所述社工知识图谱中缺失的所述概念实体之间的关系。
在上述实施例基础上,在本实施例中,所述社工知识图谱包括节点类型,和/或,节点间关系,和/或,节点的出度,和/或,节点的入度;
相应地,所述方法还包括:基于所述节点类型,和/或,节点间关系,和/或,节点的出度,和/或,节点的入度统计分析威胁风险要素。
在上述实施例基础上,在本实施例中,所述方法还包括:
基于不同攻击实例之间的关联分析和推理规则,寻找潜在的攻击者,和/或,攻击目标,和/或,攻击路径。
在上述实施例基础上,在本实施例中,所述方法还包括:
基于不同攻击实例之间的关联分析和攻击特征,分析寻找同源社工攻击。
在上述实施例中,可以理解的是,可以根据社工领域本体和推理规则补全所述社工知识图谱中缺失的节点间关系,从而提供更完备的威胁视图。
相应地,针对基于所述社工知识图谱进行社工攻击威胁、事件、场景分析,可以根据图匹配模式和查询命令,针对某个特定的攻击事件、场景,分析它所包含的组成及其之间的关系;可以根据节点类型、节点间关系、节点的入度或出度,统计分析威胁、风险要素,如最多被利用的人脆弱性、最频繁发生社工攻击的媒介;可以根据不同攻击实例之间的关联分析和推理规则,寻找潜在的攻击者、攻击目标、攻击路径;可以根据不同攻击实例之间的关联分析和攻击特征,分析寻找同源社工攻击。
为了更好的理解本发明,下面结合实施例进一步阐述本发明的内容,但本发明不仅仅局限于下面的实施例。
本实施例基于对社工领域学术文献、攻击事件等相关数据的收集、研究、分类、处理,开发了一个社工领域本体,为社工知识图谱的构建提供了一个知识图式/模式/架构。该社工领域本体包含11个核心概念/类,20个概念间关系,4个类公理(如表3、表4所示),以及一些关系公理、推理规则、注释等。并采用Protégé工具编辑该本体,图2为本发明实施例提供的社工领域本体示意图。
表3本实施中社工领域本体中定义的概念、概念间关系
表4本实施中社工领域本体的概念/类公理描述
根据社工攻击分析需求的不同,可以有选择地使用所提供的概念和关系构建社工领域本体,用于社工威胁分析。本实施例中的本体覆盖了技术方案中的描述,以提供一个更全面的实施样例,描述社工领域、支持社工攻击威胁、事件、场景的综合分析。
对于步骤102,本实施例根据已经获得的社工数据(包含15个社工攻击场景,覆盖14种社工攻击类型),按照步骤101中社工领域所定义的知识图式(schema),对社工数据进行了处理,对于每个本体中定义的概念/类,得到多个不同的实例。这些实例数据和社工领域本体构成了一个初始的社工知识库,并以RDF/XML或OWL/XML语言/文件格式存储。进一步,本实施例以图数据库Neo4j为样例作为知识库的存储查询引擎。在创建索引、数据导入、数据优化等处理后,获得了一个社工领域知识图谱。参见图3,其中包含276个实例节点、356个资源节点、1088条关系。
对于步骤103,本实施例提供不限于如下几种的社工攻击、事件、场景威胁分析样例:
根据社工领域本体和推理规则补全知识图谱中缺失的节点间关系,提供更完备的威胁视图。其中,关系补全可以在步骤102中的实例创建、数据处理阶段进行,也可以利用图谱分析处理。如示例规则1可以用来自动创建新的实例之间的关系:如果攻击者a制作并执行攻击方法am,并将攻击方法应用于攻击目标/受害者v,那么就从a到v创建attack这一关系。示例规则2、3则用于补全实例之间的缺失的关系。
Rule1:craft_and_perform(?a,?am)Λapply_to(?am,?v)->attack(?a,?v)
Rule2:apply_to(?am,?v)Λperformed_through(?am,?m)->interacted_through(?v,?m)
Rule3:have_vul(?v,hv)Λbring_about(?v,?ac)Λtaken_effect_by(?hv,?em)->explain(?em,?ac)
根据图匹配模式和查询命令,针对某个特定的攻击事件、场景分析所包含的组成及其之间的关系。参见图4,将一个逆向社工攻击事件/场景的组成分解为11种不同实体类型(并着以不同的颜色),不同类型实例之间及其之间的关系构成了一个结构化的视图,安全分析人员可以从整体到细节快速了解一个攻击事件/场景。图中area 2描述了攻击所涉及的3种攻击媒介(电话、网络、电子邮件);area 2左侧描述攻击者attacker9相关的节点;area 2右侧描述受害者victim9相关的节点。area1中的节点则描述了攻击者是如何从子目的一步步实现最终攻击目的的。分析方法是以该攻击事件/场景中的唯一性标识为锚点,以关键路径为匹配目标,逐渐对其他节点的匹配。一种可行的匹配模式为
MATCH s=(am:Attack_Motivation)<--(a:Attacker)-[c:craft_and_perform]->(m:Attack_Method)-->(v:Victim)
WHERE a.name="attacker9"and v.name contains"victim9"
RETURN s,(am)-[:motivated_by]-(a)-[c]-(m)-[:apply_to]-(v)-[:have_vul]->()-->(:Effect_Mechanism),……
参见图5,分析方法是,如果一个节点类型是Human_Vulnerability,则统计该节点关系为to_exploit的入度,并过滤入度最大的3个节点及其相关路径。从该样例发现,社工攻击利用最多(top3)的人的脆弱性是轻信、助人、从众。
参见图6,分析方法是,如果一个节点类型是Attack_Medium,则统计该节点关系为performed_through的入度,并过滤入度最大的3个节点及其相关路径。从该样例发现,社工攻击利用最多(top3)的攻击媒介/交互方式是电子邮件、网站、电话。
参见图7,分析、推理规则是,如果一个事件/场景中的受害者/攻击目标所具有的脆弱性,在其他事件/场景中被其他攻击者以某种攻击方法利用,那么这些攻击者也可以利用同样的攻击方法发起对该受害者/攻击目标的社工攻击,即构成潜在的攻击威胁。从本实施例发现,对于victim7,另有5对潜在可行的(高风险的)攻击者和攻击方法。
参见图8,发现对特定攻击者潜在的受害者、可利用的攻击方法的分析样例:分析、推理规则是,如果一个事件/场景中的攻击者执行某些攻击方法利用了某些脆弱性,而这些脆弱性被发现在其他事件/场景中的受害者/攻击目标所具有,那么该攻击者理论上也可以度这些受害者/攻击目标发起一次成功的社工攻击。从本实施例发现,对于attacker10,另有6对潜在可行的(高风险的)攻击方法和攻击目标。本实施例针对特定的攻击威胁,可以对潜在受害者提前发出通知,避免遭受社工攻击,在预警风险较高的攻击威胁方面尤其有意义。
参见图9,发现特定的攻击者和特定的攻击目标之间可能的攻击路径的分析样例:本实施例同样是对相同/不同社工攻击事件/场景的关联分析,是对上述两实施例的一种结合;从该样例发现,对于attacker10和victim13,phishing及其所利用的4个脆弱性可以构成风险(理论可行的)攻击路径;另外,对于victim13,还可能遭受其他6种社工攻击方法的威胁。发现这些可能发生的/潜在的攻击路径,对感知、防御特定攻击者、受害者/攻击目标之间社工威胁和攻击有重要作用。
参见图10,对同源社工攻击的分析样例。分析、推理规则是,如果发现两个不同的社工攻击具有某些相同的、高权重的攻击特性(如,恶意URL和木马回传域名是统一个域名或其编码处理),那么这两个社工攻击就被标识并建立“同源攻击”。进一步,如果这两个同源社工攻击是由两个不同攻击者出于相同的动机发起,而且针对的是位于统一公司/组织的两个不同攻击目标,那么则大概率推理这两个攻击者也属于统一个攻击组织(并创建关系),是组织对组织发起的社工攻击。该样例发现attacker10和attacker15属于同一攻击组织,并对Company A发起针对组织的(协同、高级)社工攻击。
上述只是一部分社工攻击分析实施例,更多的可用于对社工攻击解析、分析社工威胁要素、发现潜在社工威胁、识别薄弱环节、感知攻击态势、避免安全风险、预防社工攻击的分析样例可以被扩展。
本发明实施例为不同种类的社工攻击提供了通用性的分析框架,为社工领域提供了一个形式化(即机器可读的)、明确的、可共享的知识图式;可以进行社工攻击威胁元素的综合、关联分析,为已知和未知的社工攻击、威胁、事件、场景等的理解、分析、感知、发现、防御等提供了一种新途径。能够实现,包括但不限于,对社工攻击的细粒度(不少于11个组成部分)的解析,分析识别高风险的攻击威胁要素和薄弱环节,寻找潜在的攻击者、攻击目标、攻击路径,分析寻找同源社工攻击等
图11为本发明一实施例提供的社工攻击威胁、事件、场景分析装置的结构示意图,如图11所示,该装置包括:第一构建模块201、第二构建模块202和分析模块203,其中:
其中,第一构建模块201,用于构建社工领域本体;
第二构建模块202,用于基于所述社工领域本体构建社工知识图谱;
分析模块203,用于基于所述社工知识图谱进行社工攻击威胁、事件、场景分析。
本发明实施例提供的社工攻击威胁、事件、场景分析装置具体可以用于执行上述实施例的社工攻击威胁、事件、场景分析方法,其技术原理和有益效果类似,具体可参见上述实施例,此处不再赘述。
图12为本发明一实施例提供的社工攻击威胁、事件、场景分析系统的结构示意图,如图12所示,该装置包括:第三构建模块301、第四构建模块302和攻击分析模块303,其中:
其中,第三构建模块301,用于构建社工领域本体;
第四构建模块302,用于基于所述社工领域本体构建社工知识图谱;
攻击分析模块303,用于基于所述社工知识图谱进行社工攻击威胁、事件、场景分析。
本发明实施例提供的社工攻击威胁、事件、场景分析系统具体可以用于执行上述实施例的社工攻击威胁、事件、场景分析方法,其技术原理和有益效果类似,具体可参见上述实施例,此处不再赘述。
基于相同的发明构思,本发明实施例提供一种电子设备,参见图13,电子设备具体包括如下内容:处理器401、通信接口403、存储器402和通信总线404;
其中,处理器401、通信接口403、存储器402通过通信总线404完成相互间的通信;通信接口403用于实现各建模软件及智能制造装备模块库等相关设备之间的信息传输;处理器401用于调用存储器402中的计算机程序,处理器执行计算机程序时实现上述各方法实施例所提供的方法,例如,处理器执行计算机程序时实现下述步骤:构建社工领域本体;基于所述社工领域本体构建社工知识图谱;基于所述社工知识图谱进行社工攻击威胁、事件、场景分析。
基于相同的发明构思,本发明又一实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法实施例提供的方法,例如,构建社工领域本体;基于所述社工领域本体构建社工知识图谱;基于所述社工知识图谱进行社工攻击威胁、事件、场景分析。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分的方法。
此外,在本发明中,诸如“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
此外,在本发明中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
此外,在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种社工攻击威胁、事件、场景分析方法,其特征在于,包括:
构建社工领域本体;
所述构建社工领域本体,包括:根据社工领域资料库定义所述社工领域本体中概念实体和所述概念实体之间的关系;
基于所述社工领域本体构建社工知识图谱;
所述基于所述社工领域本体构建社工知识图谱,包括:
基于收集到的社工攻击的原始数据、设计攻击场景创建的社工攻击的原始数据、预设的结构化社工攻击实例数据中的至少一项以所述社工领域本体构建社工知识图谱;
基于所述社工知识图谱进行社工攻击威胁、事件、场景分析;
所述基于所述社工知识图谱进行社工攻击威胁、事件、场景分析,包括:根据图匹配模式和查询命令,分析攻击事件或场景所包含的组成及其之间的关系。
2.根据权利要求1所述的社工攻击威胁、事件、场景分析方法,其特征在于,所述根据社工领域资料库定义所述社工领域本体中概念实体和所述概念实体之间的关系,包括:
采用自顶向下法,根据社工领域资料库中的社工领域专业知识定义所述社工领域本体中概念实体和所述概念实体之间的关系;
和/或,
采用自底向上法,根据社工领域资料库中的社工数据和/或事件定义所述社工领域本体中概念实体和所述概念实体之间的关系。
3.根据权利要求1所述的社工攻击威胁、事件、场景分析方法,其特征在于,所述方法还包括:
基于所述社工领域本体和推理规则补全所述社工知识图谱中缺失的所述概念实体之间的关系。
4.根据权利要求1所述的社工攻击威胁、事件、场景分析方法,其特征在于,所述社工知识图谱包括节点类型,和/或,节点间关系,和/或,节点的出度,和/或,节点的入度;
相应地,所述方法还包括:基于所述节点类型,和/或,节点间关系,和/或,节点的出度,和/或,节点的入度统计分析威胁风险要素。
5.根据权利要求1所述的社工攻击威胁、事件、场景分析方法,其特征在于,所述方法还包括:
基于不同攻击实例之间的关联分析和推理规则,寻找潜在的攻击者,和/或,攻击目标,和/或,攻击路径。
6.根据权利要求1所述的社工攻击威胁、事件、场景分析方法,其特征在于,所述方法还包括:
基于不同攻击实例之间的关联分析和攻击特征,分析寻找同源社工攻击。
7.一种社工攻击威胁、事件、场景分析装置,其特征在于,包括:
第一构建模块,用于构建社工领域本体;
所述第一构建模块,还用于:
根据社工领域资料库定义所述社工领域本体中概念实体和所述概念实体之间的关系;
第二构建模块,用于基于所述社工领域本体构建社工知识图谱;
所述第二构建模块,还用于:
基于收集到的社工攻击的原始数据、设计攻击场景创建的社工攻击的原始数据、预设的结构化社工攻击实例数据中的至少一项以所述社工领域本体构建社工知识图谱;
分析模块,用于基于所述社工知识图谱进行社工攻击威胁、事件、场景分析;
所述分析模块,还用于:
根据图匹配模式和查询命令,分析攻击事件或场景所包含的组成及其之间的关系。
8.一种社工攻击威胁、事件、场景分析系统,其特征在于,包括:
第三构建模块,用于构建社工领域本体;
所述第三构建模块,还用于:
根据社工领域资料库定义所述社工领域本体中概念实体和所述概念实体之间的关系;
第四构建模块,用于基于所述社工领域本体构建社工知识图谱;
所述第四构建模块,还用于:
基于收集到的社工攻击的原始数据、设计攻击场景创建的社工攻击的原始数据、预设的结构化社工攻击实例数据中的至少一项以所述社工领域本体构建社工知识图谱;
攻击分析模块,用于基于所述社工知识图谱进行社工攻击威胁、事件、场景分析;
所述攻击分析模块,还用于:
根据图匹配模式和查询命令,分析攻击事件或场景所包含的组成及其之间的关系。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110097803.3A CN112910872B (zh) | 2021-01-25 | 2021-01-25 | 社工攻击威胁、事件、场景分析方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110097803.3A CN112910872B (zh) | 2021-01-25 | 2021-01-25 | 社工攻击威胁、事件、场景分析方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112910872A CN112910872A (zh) | 2021-06-04 |
CN112910872B true CN112910872B (zh) | 2022-04-08 |
Family
ID=76119530
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110097803.3A Active CN112910872B (zh) | 2021-01-25 | 2021-01-25 | 社工攻击威胁、事件、场景分析方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112910872B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114422224B (zh) * | 2021-08-16 | 2023-08-29 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击溯源的威胁情报智能分析方法及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110290155A (zh) * | 2019-07-23 | 2019-09-27 | 北京邮电大学 | 社会工程学攻击的防御方法及装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3520361B1 (en) * | 2016-10-03 | 2022-04-06 | Telepathy Labs, Inc. | System and method for social engineering identification and alerting |
US11669914B2 (en) * | 2018-05-06 | 2023-06-06 | Strong Force TX Portfolio 2018, LLC | Adaptive intelligence and shared infrastructure lending transaction enablement platform responsive to crowd sourced information |
CN111163086B (zh) * | 2019-12-27 | 2022-06-07 | 北京工业大学 | 一种多源异构的网络安全知识图谱构建与应用方法 |
CN111292008A (zh) * | 2020-03-03 | 2020-06-16 | 电子科技大学 | 一种基于知识图谱的隐私保护数据发布风险评估方法 |
-
2021
- 2021-01-25 CN CN202110097803.3A patent/CN112910872B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110290155A (zh) * | 2019-07-23 | 2019-09-27 | 北京邮电大学 | 社会工程学攻击的防御方法及装置 |
Non-Patent Citations (4)
Title |
---|
Social engineering in cybersecurity: a;Zuoguang Wang;《Cybersecurity》;20210802;全文 * |
基于本体的网络威胁情报分析技术研究;高见等;《计算机工程与应用》;20190614;全文 * |
社交网络中社会工程学威胁定量评估;张雪芹等;《浙江大学学报(工学版)》;20190505(第05期);全文 * |
社会工程学在网络安全中的影响分析;齐斌等;《保密科学技术》;20180420(第04期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112910872A (zh) | 2021-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Mittal et al. | Cybertwitter: Using twitter to generate alerts for cybersecurity threats and vulnerabilities | |
US7530105B2 (en) | Tactical and strategic attack detection and prediction | |
Yu et al. | Security and privacy in the age of the smart internet of things: An overview from a networking perspective | |
Kumari et al. | Applications of blockchain technologies in digital forensics and threat hunting | |
Chinedu et al. | Cybercrime Detection and Prevention Efforts in the Last Decade: An Overview of the Possibilities of Machine Learning Models. | |
CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
Berdibayev et al. | A concept of the architecture and creation for siem system in critical infrastructure | |
Diwan | A detailed analysis on NSL-KDD dataset using various machine learning techniques for intrusion detection | |
CN112910872B (zh) | 社工攻击威胁、事件、场景分析方法、装置及系统 | |
Grønberg | An Ontology for Cyber Threat Intelligence | |
Touloumis et al. | A tool for assisting in the forensic investigation of cyber-security incidents | |
Al-Sanjary et al. | Challenges on digital cyber-security and network forensics: a survey | |
Grant et al. | An ontology for cyber ISTAR in offensive cyber operations | |
Fatima et al. | Data fusion & visualization application for network forensic investigation-a case study | |
Kuehn et al. | The Notion of Relevance in Cybersecurity: A Categorization of Security Tools and Deduction of Relevance Notions | |
Vishnu et al. | Identifying key strategies for reconnaissance in cybersecurity | |
Adharsh et al. | Prevention of Data Breach by Machine Learning Techniques | |
Ogundokun et al. | Cyber intrusion detection system based on machine learning classification approaches | |
Higuera et al. | Building a dataset through attack pattern modeling and analysis system | |
Grant et al. | Identifying tools and technologies for professional offensive cyber operations | |
Alansari | A Detection and Investigation Model for the Capture and Analysis of Network Crimes | |
Sharma et al. | IoT forensics in ambient intelligence environments: Legal issues, research challenges and future directions | |
Al-Kadhimi et al. | A systematic literature review and a conceptual framework proposition for advanced persistent threats (APT) detection for mobile devices using artificial intelligence techniques | |
Abualkas et al. | Methodologies for Predicting Cybersecurity Incidents | |
Memon et al. | Investigative data mining and its application in counterterrorism |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |