CN113642005B - 安全防护产品的防御性评估方法、装置、设备及介质 - Google Patents
安全防护产品的防御性评估方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN113642005B CN113642005B CN202110940596.3A CN202110940596A CN113642005B CN 113642005 B CN113642005 B CN 113642005B CN 202110940596 A CN202110940596 A CN 202110940596A CN 113642005 B CN113642005 B CN 113642005B
- Authority
- CN
- China
- Prior art keywords
- industrial internet
- behavior
- data
- attack
- safety protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 39
- 238000000034 method Methods 0.000 claims abstract description 49
- 238000001514 detection method Methods 0.000 claims abstract description 37
- 230000007123 defense Effects 0.000 claims abstract description 20
- 230000006399 behavior Effects 0.000 claims description 236
- 230000009467 reduction Effects 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 17
- 238000004458 analytical method Methods 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 12
- 230000003068 static effect Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 238000012216 screening Methods 0.000 claims description 5
- 239000000758 substrate Substances 0.000 claims 4
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000003542 behavioural effect Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000013210 evaluation model Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000005272 metallurgy Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种安全防护产品的防御性评估方法、装置、设备及介质,其中方法包括:获取威胁情报与工业互联网设备的操作系统;基于获取的每一操作系统,均生成一对应的虚拟机;在相应的虚拟机中和/或各虚拟机之间设置待评估的安全防护产品,并获取安全防护产品的检测结果;获取各工业互联网设备的行为记录数据;确定恶意代码在工业互联网设备之间的攻击路径;确定攻击者身份和攻击意图;基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径、攻击者身份和攻击意图,与检测结果进行对比,对安全防护产品的防御性进行评估。本发明能够对工业互联网场景下的安全防护产品的防御性进行有效评估。
Description
技术领域
本发明涉及工业互联网技术领域,特别涉及一种安全防护产品的防御性评估方法、装置、设备及介质。
背景技术
工业互联网广泛应于电力、交通、能源、水利、冶金、航空航天等重要基础设施领域。随着技术不断发展,工业互联网的安全面临更加严峻的挑战。为维护工业互联网环境下的设备安全,常需要使用安全防护产品,以便打造工业互联网安全防御与保护体系。但是,区别于互联网,工业互联网环境下设备类型繁多,且通常采用封闭的操作系统,难以有效地分析与评估设备内或设备间的安全防护产品的防御性。
发明内容
基于现有技术难以有效评估工业互联网环境下安全防护产品的防御性的问题,本发明实施例提供了一种安全防护产品的防御性评估方法、装置、电子设备及存储介质,能够基于行为记录与安全防护产品的检测结果进行分析与对比,进而有效评估工业互联网场景下的安全防护产品的防御性。
第一方面,本发明实施例提供了一种安全防护产品的防御性评估方法,包括:
获取威胁情报与待防护的工业互联网设备的操作系统;
基于获取的每一操作系统,均生成一对应的虚拟机,每一虚拟机用于虚拟运行对应工业互联网设备的操作系统;
在相应的虚拟机中和/或各虚拟机之间设置待评估的安全防护产品,并获取安全防护产品的检测结果;
获取各工业互联网设备的行为记录数据;
基于威胁情报、各工业互联网设备的行为记录数据,确定恶意代码在工业互联网设备之间的攻击路径;
基于威胁情报、各工业互联网设备的行为记录数据,以及恶意代码在工业互联网设备之间的攻击路径,确定攻击者身份和攻击意图;
基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径、攻击者身份和攻击意图,与所述检测结果进行对比,对安全防护产品的防御性进行评估。
可选地,获取各工业互联网设备的行为记录数据,包括:
基于各虚拟机,获取对应的工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据;
获取各工业互联网设备之间的网络行为数据,包括五元组数据、检测报文数据和网络文件数据;
对获取的行为数据的威胁程度进行分析;
基于行为数据的威胁程度,对获取的行为数据进行降维处理,剔除威胁程度偏低的行为数据,得到降维处理后的各工业互联网设备的行为记录数据。
可选地,所述对获取的行为数据的威胁程度进行分析,包括:
基于威胁情报,对工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据的威胁程度进行判定;
对网络文件数据进行静态分析,基于静态分析结果,对各工业互联网设备之间的网络行为数据的威胁程度进行判定。
可选地,所述基于威胁情报、各工业互联网设备的行为记录数据,确定恶意代码在工业互联网设备之间的攻击路径,包括:
基于降维处理后的各工业互联网设备的行为记录数据,将涉及相同的文件、网络、进程和/或资源的行为进行关联;
基于行为记录的时间顺序,对关联后的行为进行排序,得到行为序列;
基于威胁情报和得到的行为序列,确定恶意代码在工业互联网设备之间的攻击路径。
可选地,所述基于威胁情报和得到的行为序列,确定恶意代码在工业互联网设备之间的攻击路径,包括:
基于威胁情报对得到的行为序列进行筛选,剔除威胁度低的行为序列;
基于筛选后的行为序列,构建概率攻击图;其中,概率攻击图中的每一个节点对应一个工业互联网设备,每一个边对应一个攻击行为与该攻击行为发生的概率;
基于概率攻击图,确定恶意代码在工业互联网设备之间的攻击路径。
可选地,所述基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径、攻击者身份和攻击意图,与所述检测结果进行对比,对安全防护产品的防御性进行评估,包括:
基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径,确定检测结果未能检测到的漏检行为;
基于漏检行为对应的行为记录数据、攻击路径、攻击者身份和攻击意图,进行战损评价;
基于战损评价结果,对相应的安全防护产品的防御性进行评估。
第二方面,本发明实施例还提供了一种安全防护产品的防御性评估装置,包括:
获取模块,用于获取威胁情报与待防护的工业互联网设备的操作系统;
虚拟机模块,用于基于获取的每一操作系统,均生成一对应的虚拟机,每一虚拟机用于虚拟运行对应工业互联网设备的操作系统;
产品模块,用于设置待评估的安全防护产品,并获取安全防护产品的检测结果;
记录模块,用于获取各工业互联网设备的行为记录数据;
关联模块,用于基于威胁情报、各工业互联网设备的行为记录数据,确定恶意代码在工业互联网设备之间的攻击路径;
溯源模块,用于基于威胁情报、各工业互联网设备的行为记录数据,以及恶意代码在工业互联网设备之间的攻击路径,确定攻击者身份和攻击意图;
评价模块,用于基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径、攻击者身份和攻击意图,与所述检测结果进行对比,对安全防护产品的防御性进行评估。
可选地,所述记录模块用于执行如下操作:
基于各虚拟机,获取对应的工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据;
获取各工业互联网设备之间的网络行为数据,包括五元组数据、检测报文数据和网络文件数据;
对获取的行为数据的威胁程度进行分析;
基于行为数据的威胁程度,对获取的行为数据进行降维处理,剔除威胁程度偏低的行为数据,得到降维处理后的各工业互联网设备的行为记录数据。
第三方面,本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种安全防护产品的防御性评估方法、装置、电子设备及存储介质,本发明综合各个工业互联网设备的行为记录进行分析,确定工业互联网环境下可能受到的攻击,结合安全防护产品的检测结果,对比确定安全防护产品的防御效果,进而有效评估安全防护产品的防御性,为打造工业互联网主动安全防御与保护体系提供了技术支持。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种安全防护产品的防御性评估方法流程图;
图2是本发明一实施例提供的另一种安全防护产品的防御性评估方法流程图;
图3是本发明一实施例提供的一种电子设备的硬件架构图;
图4是本发明一实施例提供的一种安全防护产品的防御性评估装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如前所述,现有的安全防护产品有效性评估方法多是针对互联网场景下安全防护装置进行评估,互联网环境下设备类型较少,如电脑、pad等,设备的操作系统开放,因此采集设备的行为记录相对容易,也易于进行相关分析。而工业互联网环境下所涉及的设备类型繁多,如PLC、摄像头等,不同的厂商提供的设备的操作系统、协议等可能存在较大差异,且各设备的操作系统往往是封闭的,难以采集设备的行为记录,也就给分析工业互联网环境下各设备的行为造成了困难,很难有效对工业互联网安全防护产品的防御性进行评估。为解决这一问题,本发明提出了以虚拟机技术的方式来获取各设备的行为记录,并基于行为记录,综合评估工业互联网安全防护产品的防御性的技术方案。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种安全防护产品的防御性评估方法,该方法包括:
步骤100,获取威胁情报与待防护的工业互联网设备的操作系统。
威胁情报是某种基于证据的知识,可用于威胁检测与安全防护。
步骤102,基于获取的每一操作系统,均生成一对应的虚拟机,每一虚拟机用于虚拟运行对应工业互联网设备的操作系统,以获取相应的行为记录。
步骤104,在相应的虚拟机中和/或各虚拟机之间设置待评估的安全防护产品,并获取安全防护产品的检测结果。
安全防护产品包括设置在某一工业互联网设备内的安全软件,也包括不同工业互联网设备之间的防火墙等产品,可根据实际需要进行设置。
步骤106,获取各工业互联网设备的行为记录数据。
此步骤获取行为记录数据,以便后续根据行为记录,分析各工业互联网设备是否遭受了攻击,遭受了何种攻击等。
步骤108,基于威胁情报、各工业互联网设备的行为记录数据,确定恶意代码在工业互联网设备之间的攻击路径。
步骤110,基于威胁情报、各工业互联网设备的行为记录数据,以及恶意代码在工业互联网设备之间的攻击路径,确定攻击者身份和攻击意图。
步骤112,基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径、攻击者身份和攻击意图,与检测结果进行对比,对安全防护产品的防御性进行评估。
上述实施方式中,针对工业互联网安全防护装置有效性综合评估缺乏有效方法的技术问题,本发明综合各工业互联网设备的行为记录数据进行分析,有效发现工业互联网环境下可能受到的攻击行为,结合安全防护产品的检测结果进行对比,确定安全防护产品的防御效果,进而有效评估安全防护产品的防御性,为打造工业互联网主动安全防御与保护体系提供了技术支持。
考虑到以虚拟执行的方式(即虚拟机技术)模拟工业互联网环境中各设备的操作系统工作时,对于工业互联网设备部分操作系统的行为需要与相对应的设备硬件交互,在获得设备硬件的响应后,才能继续执行,否则会导致虚拟机无法正常运行下去,不能准确地获得工业互联网设备的行为记录。进一步地,虚拟机在虚拟运行的过程中,将所有调用工业互联网设备的内存的行为均发送至对应的工业互联网设备硬件,以获取相应的工业互联网设备硬件的响应行为,再继续执行。上述方式通过高仿真的虚拟执行环境(即虚拟机技术)以及虚拟执行数据真实写回硬件(即将调用工业互联网设备的内存的行为发送至对应的工业互联网设备硬件),实现对工业互联网设备的行为动态监控及记录,能够满足工业互联网环境下获取各设备行为记录的需求。
在一些实施方式中,步骤106进一步包括:
基于各虚拟机,获取对应的工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据;
获取各工业互联网设备之间的网络行为数据,包括五元组数据、检测报文数据和网络文件数据;
对获取的行为数据的威胁程度进行分析;
基于行为数据的威胁程度,对获取的行为数据进行降维处理,剔除威胁程度偏低的行为数据,得到降维处理后的各设备的行为记录数据。
该实施方式中,基于虚拟机获得工业互联网设备内工作时的行为记录,并获取反映各工业互联网设备之间交互的网络行为数据,得到行为记录全要素数据,考虑到大量的行为记录可能对应着正常的行为,即属于威胁程度偏低的行为数据,因此,根据行为数据的威胁程度,对获取的行为数据进行降维处理,筛选出可能有用的数据,有助于减少冗余信息,压缩行为记录,进而提高计算效率。并且,对大量的数据进行筛选与降维也有助于节约计算空间。
进一步地,对获取的行为数据的威胁程度进行分析,包括:
基于威胁情报,对工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据的威胁程度进行判定;
对网络文件数据进行静态分析,基于静态分析结果,对各工业互联网设备之间的网络行为数据的威胁程度进行判定。
其中,对网络文件数据进行静态分析,可通过现有技术从网络文件数据提取恶意代码的多维特征向量,再基于提取的多维特征向量进行深度智能评估,利用机器学习构建决策评估模型实现对恶意代码(及未知代码)的快速检测,从而快速进行威胁程度的准确评估,得到静态分析结果。该实施方式给出了一种具体的确定行为数据的威胁程度的方法。
考虑到各工业互联网设备之间的交互过程可能隐藏着攻击行为,例如有A、B、C三种工业互联网设备时,工业互联网设备A遭到恶意代码入侵,工业互联网设备A通过工业互联网设备B下载某网站病毒并运行,然后工业互联网设备B对工业互联网设备C发送指令,将工业互联网设备C的存储数据向外发送,单单分析A、B、C单一工业互联网设备内部的行为记录,可能难以发现攻击行为,为发现不同工业互联网设备之间隐藏的攻击关联关系,步骤108进一步包括:
基于降维处理后的各工业互联网设备的行为记录数据,将涉及相同的文件、网络、进程和/或资源的行为进行关联;
基于行为记录的时间顺序,对关联后的行为进行排序,得到行为序列;
基于威胁情报和得到的行为序列,确定恶意代码在工业互联网设备之间的攻击路径。
该实施方式中,融合了多源数据(即来自不同虚拟机的、不同工业互联网设备的行为记录)发现恶意代码在各工业互联网设备之间的攻击关联关系,确定具体的攻击路径,可解决工业互联网设备多源异构而导致的多工业互联网设备之间攻击关联关系难以发现的问题。
进一步地,基于威胁情报和得到的行为序列,确定恶意代码在工业互联网设备之间的攻击路径,具体包括:
基于威胁情报对得到的行为序列进行筛选,剔除威胁度低的行为序列;
基于筛选后的行为序列,构建概率攻击图;其中,概率攻击图中的每一个节点对应一个工业互联网设备,每一个边对应一个攻击行为与该攻击行为发生的概率;
基于概率攻击图,确定恶意代码在工业互联网设备之间的攻击路径。
该实施方式中,采用了攻击行为序列分析及构建概率攻击图的方式发现多源异构设备间的攻击关联关系,更加直观有效,且节约计算时间。
步骤110基于威胁情报、各工业互联网设备的行为记录数据,以及恶意代码在工业互联网设备之间的攻击路径,可发现攻击战术、技术,实现还原完整攻击过程,进而实现攻击回溯分析,确定攻击者身份和攻击意图。例如,工业互联网设备B下载某网站病毒,结合威胁情报可知该网站属于D国某实验室,则该恶意代码的攻击者身份很可能为D国某实验室;攻击意图为该恶意代码或攻击者最终的攻击目标,例如,工业互联网设备B的攻击行为包括下载某网站病毒,但构成在工业互联网设备之间的攻击路径后,工业互联网设备C的存储数据向外发送,结合威胁情报可知,此次攻击者的最终的攻击目标可能是工业互联网设备C的存储数据。
在一些实施方式中,步骤112进一步包括:
基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径,确定检测结果未能检测到的漏检行为;
基于漏检行为对应的行为记录数据、攻击路径、攻击者身份和攻击意图,进行战损评价;
基于战损评价结果,对相应的安全防护产品的防御性进行评估。
该实施方式中,基于漏检行为对应的行为记录数据、攻击路径、攻击者身份和攻击意图,进行战损评价,可采用现有技术中的深度神经网络检测模型,实现对各工业互联网设备战损情况进行准确评估,帮助用户准确掌握各设备的受害情况,为安全防护产品提升提供理论依据。
如图2所示,本发明实施例提供了一种安全防护产品的防御性评估方法,包括:
200,获取威胁情报与待防护的工业互联网设备的操作系统;
202,基于获取的每一操作系统,均生成一对应的虚拟机,每一虚拟机用于虚拟运行对应工业互联网设备的操作系统;
204,在相应的虚拟机中和/或各虚拟机之间设置待评估的安全防护产品,并获取安全防护产品的检测结果;
206,基于各虚拟机,获取对应的工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据;
208,获取各工业互联网设备之间的网络行为数据,包括五元组数据、检测报文数据和网络文件数据;
210,基于威胁情报,对工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据的威胁程度进行判定;
212,对网络文件数据进行静态分析,基于静态分析结果,对各工业互联网设备之间的网络行为数据的威胁程度进行判定;
214,基于行为数据的威胁程度,对获取的行为数据进行降维处理,剔除威胁程度偏低的行为数据,得到降维处理后的各工业互联网设备的行为记录数据;
216,基于降维处理后的各工业互联网设备的行为记录数据,将涉及相同的文件、网络、进程和/或资源的行为进行关联;
218,基于行为记录的时间顺序,对关联后的行为进行排序,得到行为序列;
220,基于威胁情报和得到的行为序列,确定恶意代码在工业互联网设备之间的攻击路径;
222,基于威胁情报、各工业互联网设备的行为记录数据,以及恶意代码在工业互联网设备之间的攻击路径,确定攻击者身份和攻击意图;
224,基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径,确定检测结果未能检测到的漏检行为;
226,基于漏检行为对应的行为记录数据、攻击路径、攻击者身份和攻击意图,进行战损评价;
228,基于战损评价结果,对相应的安全防护产品的防御性进行评估。
如图3、图4所示,本发明实施例提供了一种安全防护产品的防御性评估装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的一种安全防护产品的防御性评估装置所在电子设备的一种硬件架构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在电子设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种安全防护产品的防御性评估装置,包括:获取模块400、虚拟机模块402、产品模块404、记录模块406、关联模块408、溯源模块410和评价模块412;其中,
获取模块400用于获取威胁情报与待防护的工业互联网设备的操作系统;
虚拟机模块402用于基于获取的每一操作系统,均生成一对应的虚拟机,每一虚拟机用于虚拟运行对应工业互联网设备的操作系统;
产品模块404用于设置待评估的安全防护产品,并获取安全防护产品的检测结果;
记录模块406用于获取各工业互联网设备的行为记录数据;
关联模块408用于基于威胁情报、各工业互联网设备的行为记录数据,确定恶意代码在工业互联网设备之间的攻击路径;
溯源模块410用于基于威胁情报、各工业互联网设备的行为记录数据,以及恶意代码在工业互联网设备之间的攻击路径,确定攻击者身份和攻击意图;
评价模块412用于基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径、攻击者身份和攻击意图,与检测结果进行对比,对安全防护产品的防御性进行评估。
在本发明实施方式中,获取模块400可用于执行上述方法实施方式中的步骤100,虚拟机模块402可用于执行上述方法实施方式中的步骤102,产品模块404可用于执行上述方法实施方式中的步骤104,记录模块406可用于执行上述方法实施方式中的步骤106,关联模块408可用于执行上述方法实施方式中的步骤108,溯源模块410可用于执行上述方法实施方式中的步骤110,评价模块412可用于执行上述方法实施方式中的步骤112。
在本发明的一个实施方式中,记录模块406用于执行如下操作:
基于各虚拟机,获取对应的工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据;
获取各工业互联网设备之间的网络行为数据,包括五元组数据、检测报文数据和网络文件数据;
对获取的行为数据的威胁程度进行分析;
基于行为数据的威胁程度,对获取的行为数据进行降维处理,剔除威胁程度偏低的行为数据,得到降维处理后的各工业互联网设备的行为记录数据。
进一步地,记录模块406对获取的行为数据的威胁程度进行分析,包括如下操作:
基于威胁情报,对工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据的威胁程度进行判定;
对网络文件数据进行静态分析,基于静态分析结果,对各工业互联网设备之间的网络行为数据的威胁程度进行判定。
在本发明的一个实施方式中,关联模块408用于执行如下操作:
基于降维处理后的各工业互联网设备的行为记录数据,将涉及相同的文件、网络、进程和/或资源的行为进行关联;
基于行为记录的时间顺序,对关联后的行为进行排序,得到行为序列;
基于威胁情报和得到的行为序列,确定恶意代码在工业互联网设备之间的攻击路径。
进一步地,关联模块408基于威胁情报和得到的行为序列,确定恶意代码在工业互联网设备之间的攻击路径,包括:
基于威胁情报对得到的行为序列进行筛选,剔除威胁度低的行为序列;
基于筛选后的行为序列,构建概率攻击图;其中,概率攻击图中的每一个节点对应一个工业互联网设备,每一个边对应一个攻击行为与该攻击行为发生的概率;
基于概率攻击图,确定恶意代码在工业互联网设备之间的攻击路径。
在本发明的一个实施方式中,评价模块412用于执行如下操作:
基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径,确定检测结果未能检测到的漏检行为;
基于漏检行为对应的行为记录数据、攻击路径、攻击者身份和攻击意图,进行战损评价;
基于战损评价结果,对相应的安全防护产品的防御性进行评估。
可以理解的是,本发明实施例示意的结构并不构成对一种安全防护产品的防御性评估装置的具体限定。在本发明的另一些实施例中,一种安全防护产品的防御性评估装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种安全防护产品的防御性评估方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种安全防护产品的防御性评估方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
本发明各实施例至少具有如下有益效果:
1、在本发明一个实施例中,基于虚拟执行环境得到的工业互联网设备的行为记录数据,提供了一种行之有效的工业互联网场景下的安全防护装置有效性综合评估方法,通过防御性评估,用户能够快速了解不同安全防护产品的防御能力。通过行为记录数据可发现工业互联网设备异常状态,挖掘潜在漏洞,确定受害程度。基于防御性评估可有针对性地强化对应的安全防护产品。
2、在本发明一个实施例中,针对工业互联网设备多源异构的特性,采用虚实结合的行为记录方式,通过高仿真的虚拟执行环境以及虚拟执行数据真实写回设备硬件实现对工业互联网设备的行为动态监控以及记录功能,解决了工业互联网设备行为数据采集难的问题。
3、在本发明一个实施例中,融合分析多源异构的行为数据,发现多源异构工业互联网设备之间的攻击关联,解决了源异构设备间隐蔽的攻击路径难以发现问题。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种安全防护产品的防御性评估方法,其特征在于,包括:
获取威胁情报与待防护的工业互联网设备的操作系统;
基于获取的每一操作系统,均生成一对应的虚拟机,每一虚拟机用于虚拟运行对应工业互联网设备的操作系统;
在相应的虚拟机中和/或各虚拟机之间设置待评估的安全防护产品,并获取安全防护产品的检测结果;
获取各工业互联网设备的行为记录数据;
基于威胁情报、各工业互联网设备的行为记录数据,确定恶意代码在工业互联网设备之间的攻击路径;
基于威胁情报、各工业互联网设备的行为记录数据,以及恶意代码在工业互联网设备之间的攻击路径,确定攻击者身份和攻击意图;
基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径、攻击者身份和攻击意图,与所述检测结果进行对比,对安全防护产品的防御性进行评估。
2.根据权利要求1所述的方法,其特征在于,
获取各工业互联网设备的行为记录数据,包括:
基于各虚拟机,获取对应的工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据;
获取各工业互联网设备之间的网络行为数据,包括五元组数据、检测报文数据和网络文件数据;
对获取的行为数据的威胁程度进行分析;
基于行为数据的威胁程度,对获取的行为数据进行降维处理,剔除威胁程度偏低的行为数据,得到降维处理后的各工业互联网设备的行为记录数据。
3.根据权利要求2所述的方法,其特征在于,
所述对获取的行为数据的威胁程度进行分析,包括:
基于威胁情报,对工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据的威胁程度进行判定;
对网络文件数据进行静态分析,基于静态分析结果,对各工业互联网设备之间的网络行为数据的威胁程度进行判定。
4.根据权利要求2所述的方法,其特征在于,
所述基于威胁情报、各工业互联网设备的行为记录数据,确定恶意代码在工业互联网设备之间的攻击路径,包括:
基于降维处理后的各工业互联网设备的行为记录数据,将涉及相同的文件、网络、进程和/或资源的行为进行关联;
基于行为记录的时间顺序,对关联后的行为进行排序,得到行为序列;
基于威胁情报和得到的行为序列,确定恶意代码在工业互联网设备之间的攻击路径。
5.根据权利要求4所述的方法,其特征在于,
所述基于威胁情报和得到的行为序列,确定恶意代码在工业互联网设备之间的攻击路径,包括:
基于威胁情报对得到的行为序列进行筛选,剔除威胁度低的行为序列;
基于筛选后的行为序列,构建概率攻击图;其中,概率攻击图中的每一个节点对应一个工业互联网设备,每一个边对应一个攻击行为与该攻击行为发生的概率;
基于概率攻击图,确定恶意代码在工业互联网设备之间的攻击路径。
6.根据权利要求1所述的方法,其特征在于,
所述基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径、攻击者身份和攻击意图,与所述检测结果进行对比,对安全防护产品的防御性进行评估,包括:
基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径,确定检测结果未能检测到的漏检行为;
基于漏检行为对应的行为记录数据、攻击路径、攻击者身份和攻击意图,进行战损评价;
基于战损评价结果,对相应的安全防护产品的防御性进行评估。
7.一种安全防护产品的防御性评估装置,其特征在于,包括:
获取模块,用于获取威胁情报与待防护的工业互联网设备的操作系统;
虚拟机模块,用于基于获取的每一操作系统,均生成一对应的虚拟机,每一虚拟机用于虚拟运行对应工业互联网设备的操作系统;
产品模块,用于设置待评估的安全防护产品,并获取安全防护产品的检测结果;
记录模块,用于获取各工业互联网设备的行为记录数据;
关联模块,用于基于威胁情报、各工业互联网设备的行为记录数据,确定恶意代码在工业互联网设备之间的攻击路径;
溯源模块,用于基于威胁情报、各工业互联网设备的行为记录数据,以及恶意代码在工业互联网设备之间的攻击路径,确定攻击者身份和攻击意图;
评价模块,用于基于威胁情报、各工业互联网设备的行为记录数据、恶意代码在工业互联网设备之间的攻击路径、攻击者身份和攻击意图,与所述检测结果进行对比,对安全防护产品的防御性进行评估。
8.根据权利要求7所述的装置,其特征在于,所述记录模块用于执行如下操作:
基于各虚拟机,获取对应的工业互联网设备内部的指令行为数据、调用行为数据及触发行为数据;
获取各工业互联网设备之间的网络行为数据,包括五元组数据、检测报文数据和网络文件数据;
对获取的行为数据的威胁程度进行分析;
基于行为数据的威胁程度,对获取的行为数据进行降维处理,剔除威胁程度偏低的行为数据,得到降维处理后的各工业互联网设备的行为记录数据。
9.一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-6中任一项所述的方法。
10.一种存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110940596.3A CN113642005B (zh) | 2021-08-17 | 2021-08-17 | 安全防护产品的防御性评估方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110940596.3A CN113642005B (zh) | 2021-08-17 | 2021-08-17 | 安全防护产品的防御性评估方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113642005A CN113642005A (zh) | 2021-11-12 |
| CN113642005B true CN113642005B (zh) | 2023-07-21 |
Family
ID=78422253
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110940596.3A Active CN113642005B (zh) | 2021-08-17 | 2021-08-17 | 安全防护产品的防御性评估方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113642005B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116628554B (zh) * | 2023-05-31 | 2023-11-03 | 烟台大学 | 一种工业互联网数据异常的检测方法、系统和设备 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104348652A (zh) * | 2013-08-06 | 2015-02-11 | 南京理工大学常熟研究院有限公司 | 基于关联分析的系统安全评估方法和装置 |
| CN108259472A (zh) * | 2017-12-28 | 2018-07-06 | 广州锦行网络科技有限公司 | 基于攻击行为分析的动态联防机制实现系统及方法 |
| CN109639634A (zh) * | 2018-11-05 | 2019-04-16 | 杭州安恒信息技术股份有限公司 | 一种物联网自适应安全防护方法及系统 |
| CN109660561A (zh) * | 2019-01-24 | 2019-04-19 | 西安电子科技大学 | 一种网络安全防御体系量化评估方法、网络安全评估平台 |
| CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护系统 |
| CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
| CN111143834A (zh) * | 2019-11-12 | 2020-05-12 | 国家电网有限公司 | 一种电网内网安全管理与漏洞自动化验证方法及其系统 |
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| CN112738126A (zh) * | 2021-01-07 | 2021-04-30 | 中国电子科技集团公司第十五研究所 | 基于威胁情报和att&ck的攻击溯源方法 |
| EP3820115A2 (en) * | 2020-06-28 | 2021-05-12 | Beijing Baidu Netcom Science Technology Co., Ltd. | Method and apparatus for defending against attacks, device and storage medium |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI648650B (zh) * | 2017-07-20 | 2019-01-21 | 中華電信股份有限公司 | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 |
-
2021
- 2021-08-17 CN CN202110940596.3A patent/CN113642005B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104348652A (zh) * | 2013-08-06 | 2015-02-11 | 南京理工大学常熟研究院有限公司 | 基于关联分析的系统安全评估方法和装置 |
| CN108259472A (zh) * | 2017-12-28 | 2018-07-06 | 广州锦行网络科技有限公司 | 基于攻击行为分析的动态联防机制实现系统及方法 |
| CN109639634A (zh) * | 2018-11-05 | 2019-04-16 | 杭州安恒信息技术股份有限公司 | 一种物联网自适应安全防护方法及系统 |
| CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护系统 |
| CN109660561A (zh) * | 2019-01-24 | 2019-04-19 | 西安电子科技大学 | 一种网络安全防御体系量化评估方法、网络安全评估平台 |
| CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
| CN111143834A (zh) * | 2019-11-12 | 2020-05-12 | 国家电网有限公司 | 一种电网内网安全管理与漏洞自动化验证方法及其系统 |
| EP3820115A2 (en) * | 2020-06-28 | 2021-05-12 | Beijing Baidu Netcom Science Technology Co., Ltd. | Method and apparatus for defending against attacks, device and storage medium |
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| CN112738126A (zh) * | 2021-01-07 | 2021-04-30 | 中国电子科技集团公司第十五研究所 | 基于威胁情报和att&ck的攻击溯源方法 |
Non-Patent Citations (7)
| Title |
|---|
| Cyber Threat Intelligence Model:An Evaluation of Taxonomies, Sharing Standards, and Ontologies within Cyber Threat Intelligence;Vasileios Mavroeidis 等;2017 European Intelligence and Security Informatics Conference(FISIC);91-98 * |
| Network Security Situation Awareness Framework based on Threat Intelligence;Hongbin Zhang 等;2018 Tech Science Press;第56卷(第3期);381-399 * |
| 信息安全主动防御预警平台的需求分析和规划设计;周一波 等;网络空间安全;第8卷(第Z4期);94-97 * |
| 基于多元信息融合的网络威胁动态评估;彭武 等;中国电子科学研究院学报;第11卷(第03期);250-256 * |
| 基于大数据和威胁情报的网络攻击防御体系研究;荣晓燕 等;信息安全研究;第5卷(第05期);383-387 * |
| 基于攻击路径图的网络攻击意图识别技术研究;滕翠 等;现代电子技术;第39卷(第07期);93-96+102 * |
| 新型网络空间防御体系的构建及效能评估;靳骁 等;计算机科学;第45卷(第S2期);377-381 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113642005A (zh) | 2021-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Arshad et al. | SAMADroid: a novel 3-level hybrid malware detection model for android operating system | |
| Yang et al. | High level information fusion for tracking and projection of multistage cyber attacks | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| Alserhani et al. | MARS: multi-stage attack recognition system | |
| Khosravi et al. | Alerts correlation and causal analysis for APT based cyber attack detection | |
| CN111756759A (zh) | 一种网络攻击溯源方法、装置及设备 | |
| Yang et al. | {PROGRAPHER}: An Anomaly Detection System based on Provenance Graph Embedding | |
| CN112131571B (zh) | 威胁溯源方法及相关设备 | |
| Park et al. | Performance evaluation of a fast and efficient intrusion detection framework for advanced persistent threat-based cyberattacks | |
| CN113642005B (zh) | 安全防护产品的防御性评估方法、装置、设备及介质 | |
| Brown et al. | Online malware classification with system-wide system calls in cloud iaas | |
| CN113742718B (zh) | 一种工业互联网设备攻击路径还原方法、相关设备及系统 | |
| CN117829677A (zh) | 一种工业网络靶场任务自动评估方法、设备及介质 | |
| CN114531283A (zh) | 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端 | |
| Ullah et al. | On the effectiveness of intrusion response systems against persistent threats | |
| Komarudin et al. | Exploring The Effectiveness of Artificial Intelligence in Detecting Malware and Improving Cybersecurity in Computer Networks | |
| Railkar et al. | A comprehensive literature review of artificial intelligent practices in the field of penetration testing | |
| Sinha et al. | Integrated Malware Analysis Sandbox for Static and Dynamic Analysis | |
| Vugrin et al. | Experimental Validation of a Command and Control Traffic Detection Model | |
| Jeon et al. | An Effective Threat Detection Framework for Advanced Persistent Cyberattacks | |
| Rehman et al. | Enhancing Cloud Security: A Comprehensive Framework for Real-Time Detection Analysis and Cyber Threat Intelligence Sharing | |
| Markowsky et al. | Distributed System for Detecting the Malware in LAN | |
| Takey et al. | Real Time Multistage Attack Detection Leveraging Machine Learning and MITRE Framework | |
| Wang et al. | Adaptive feature-weighted alert correlation system applicable in cloud environment | |
| Koli et al. | Detection of Malware for System Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |