CN113961923A - 一种威胁情报获取方法、装置、设备及存储介质 - Google Patents
一种威胁情报获取方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113961923A CN113961923A CN202111275144.4A CN202111275144A CN113961923A CN 113961923 A CN113961923 A CN 113961923A CN 202111275144 A CN202111275144 A CN 202111275144A CN 113961923 A CN113961923 A CN 113961923A
- Authority
- CN
- China
- Prior art keywords
- attack
- threat
- key element
- technology
- knowledge graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请提供一种威胁情报获取方法、装置、设备及存储介质,涉及信息安全技术技术领域,用于快速的基于TTPs来进行威胁语义分析并获取威胁情报。该方法包括:根据已存储的关联关系表,将各个攻击事件对应的除攻击技术之外的各个关键元素,以围绕所述攻击技术进行关系连接的方式,构建初始知识图谱;针对所述初始知识图谱中的每一攻击技术所连接的每一关键元素,将从所述关联关系表中,确定出的与所述每一关键元素相关联的至少一个关键元素,以围绕所述每一关键元素进行关系连接的方式,构建目标知识图谱;在发生威胁攻击时,根据所述目标知识图谱,获取所述威胁攻击对应的威胁情报。
Description
技术领域
本申请涉及信息安全技术领域,提供一种威胁情报获取方法、装置、设备及存储介质。
背景技术
目前,在学术界和工业界中,在获取威胁情报时,主要利用失陷指标(Indicatorsof Compromise,IOC)来获取威胁情报,而通过包含更加详细的攻击上下文信息以及丰富的攻击语义的战术、技术以及步骤(Tactics,Techniques and Procedures,TTPs),来获取威胁情报的方法则较少。
在现有技术中,Mitre公司在构建对抗战术、技术和常识(Adversarial Tactics,Techniques,and Common Knowledge,ATT&CK)的攻击行为知识库时,虽然也提出了一套针对TTPs的规范的威胁分析流程方法,但是,该方法主要依靠人工进行分析,来获取威胁情报。然而,由于TTPs主要以自然语言文本形式描述,因此,在文本的自动化处理分析中存在攻击语义鸿沟问题,且由于信息之间非常零散,使得基于人工的TTPs信息分析效率与利用效率均较低,很难快速进行威胁语义分析并获取威胁情报。
发明内容
本申请实施例提供一种威胁情报获取方法、装置、设备及存储介质,用于快速的基于TTPs来进行威胁语义分析并获取威胁情报。
一方面,提供一种威胁情报获取方法,所述方法包括:
根据已存储的关联关系表,将各个攻击事件对应的除攻击技术之外的各个关键元素,以围绕所述攻击技术进行关系连接的方式,构建初始知识图谱;其中,所述关联关系表中包含有各个攻击事件各自所对应的各个关键元素之间的关联关系;
针对所述初始知识图谱中的每一攻击技术所连接的每一关键元素,将从所述关联关系表中,确定出的与所述每一关键元素相关联的至少一个关键元素,以围绕所述每一关键元素进行关系连接的方式,构建目标知识图谱;
在发生威胁攻击时,根据所述目标知识图谱,获取所述威胁攻击对应的威胁情报。
一方面,提供一种威胁情报获取装置,所述装置包括:
初始知识图谱构建单元,用于根据已存储的关联关系表,将各个攻击事件对应的除攻击技术之外的各个关键元素,以围绕所述攻击技术进行关系连接的方式,构建初始知识图谱;其中,所述关联关系表中包含有各个攻击事件各自所对应的各个关键元素之间的关联关系;
目标知识图谱构建单元,用于针对所述初始知识图谱中的每一攻击技术所连接的每一关键元素,将从所述关联关系表中,确定出的与所述每一关键元素相关联的至少一个关键元素,以围绕所述每一关键元素进行关系连接的方式,构建目标知识图谱;
威胁情报获取单元,用于在发生威胁攻击时,根据所述目标知识图谱,获取所述威胁攻击对应的威胁情报。
可选的,所述目标知识图谱构建单元,具体用于:
在所述关键元素为攻击目的时,针对所述攻击目的,从所述关联关系表中,确定与所述攻击目的相关联的至少一个攻击技术;
将所述与所述攻击目的相关联的至少一个攻击技术,以围绕所述攻击目的进行关系连接的方式,构建目标知识图谱。
可选的,所述目标知识图谱构建单元,具体用于:
在所述关键元素为攻击者时,从所述关联关系表中,确定与所述攻击者相关联的至少一个攻击技术和至少一个攻击工具;
将所述与所述攻击者相关联的至少一个攻击技术和至少一个攻击工具,以围绕所述攻击者进行关系连接的方式,构建目标知识图谱。
可选的,所述目标知识图谱构建单元,具体用于:
在所述关键元素为攻击工具时,从所述关联关系表中,确定与所述攻击工具相关联的至少一个攻击技术和至少一个攻击者;
将所述与所述攻击工具相关联的至少一个攻击技术和至少一个攻击者,以围绕所述攻击工具进行关系连接的方式,构建目标知识图谱。
可选的,所述目标知识图谱构建单元,具体用于:
在所述关键元素为攻击子技术时,从所述关联关系表中,确定与所述攻击子技术相关联的至少一个攻击技术、至少一个攻击者以及至少一个攻击工具;其中,一个攻击技术对应至少一个攻击子技术,且所述攻击子技术为所述攻击技术的详细技术方案;
将所述与所述攻击子技术相关联的至少一个攻击技术、至少一个攻击者以及至少一个攻击工具,以围绕所述攻击子技术进行关系连接的方式,构建目标知识图谱。
可选的,所述威胁情报获取单元,具体用于:
在发生威胁攻击时,获取所述威胁攻击的关键字;
根据所述关键字,从已存储的关系映射表中,确定与所述威胁攻击相匹配的攻击技术;其中,所述关系映射表中包含有各个威胁攻击的关键字与各个攻击技术之间的映射关系;
根据所述攻击技术,从所述目标知识图谱,获取所述威胁攻击对应的威胁情报。
一方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方面所述的方法的步骤。
一方面,提供一种计算机存储介质,其上存储有计算机程序指令,该计算机程序指令被处理器执行时实现上述方面所述的方法的步骤。
本申请实施例中,可以根据已存储的关联关系表,将各个攻击事件对应的除攻击技术之外的各个关键元素,以围绕攻击技术进行关系连接的方式,构建初始知识图谱;进而,针对初始知识图谱中的每一攻击技术所连接的每一关键元素,可以将从关联关系表中,确定出的与每一关键元素相关联的至少一个关键元素,以围绕每一关键元素进行关系连接的方式,构建目标知识图谱;从而,在发生威胁攻击时,可以根据目标知识图谱,获取威胁攻击对应的威胁情报。可见,在本申请实施例中,由于对每一攻击技术所连接的每一关键元素均进行了知识图谱的扩展,使得最终获得的目标知识图谱具有了自动关联分析的能力,进而,使得在发生威胁攻击时,可以通过匹配到的攻击技术,基于目标知识图谱来快速进行上层高级语义分析,并获取到对应的威胁情报。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的痛苦金字塔的一种示意图;
图2为本申请实施例提供的ATT&CK模型的一种示意图;
图3为本申请实施例提供的一种应用场景示意图;
图4为本申请实施例提供的威胁情报获取方法的一种流程示意图;
图5为本申请实施例提供的构建初始知识图谱的一种示意图;
图6为本申请实施例提供的获取威胁情报的一种流程示意图;
图7为本申请实施例提供的发生攻击事件的一种示意图;
图8为将初始知识图谱由Technique扩展到Tactic的一种示意图;
图9为将初始知识图谱由Technique扩展到Group的一种示意图;
图10为将初始知识图谱由Technique扩展到Software的一种示意图;
图11为Technique与Sub-Techniques对应关系的一种示意图;
图12为本申请实施例提供的相关区域确定装置的一种结构示意图;
图13为本申请实施例提供的计算机设备的一种结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
首先,对本申请中的部分用语进行解释说明。
(1)威胁情报,是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。在实际应用时,可以基于威胁情报去利用公开的资源,来发现威胁并指导企业行动以改善安全状况。
在现有技术中,David Bianco通过定义的痛苦金字塔模型,将威胁情报数据划分为6个层次,如图1所示,为本申请实施例提供的痛苦金字塔的一种示意图,在该痛苦金字塔模型中,自下而上依次为哈希值(Hash Values)、IP地址(IP Addresses)、域名(DomainNames)、网络或主机特征(Network/Host Artifacts)、攻击工具(Tools)、TTPs。其中,威胁情报收集难度自下而上逐层增加,网络防御能力自下而上也逐层增强。因此,位于痛苦金字塔顶层的TTPs应该是最具有利用价值的。但是,在对威胁情报的实际利用中,由于威胁情报收集的难易度,使得威胁情报底层数据始终占据主导地位,而对价值更高的TTPs威胁情报信息则利用较少。
(2)失陷指标IOC,是以结构化的方式,来记录事件的特征和证物的过程。IOC包含从主机和网络角度的所有内容,而不仅仅是恶意软件。它可能是工作目录名、输出文件名、登录事件、持久性机制、IP地址、域名甚至是恶意软件网络协议签名。
(3)TTPs,即战术(Tactics),技术(Techniques)以及过程(Procedures)的简称,其可以指对手从踩点到数据泄漏以及两者间的每一步是“如何”完成任务的。其中,Tactics用于表示攻击者短期的攻击目标,Techniques用于表示攻击者达到战术目标的手段,Procedures用于表示攻击者对技术的使用案例。
如图1所示,TTPs处于痛苦金字塔塔尖,包含了威胁情报高层攻击语义知识,其产生的价值远远大于底层。对于攻击方来说,TTPs反映了攻击者的行为,调整TTPs所需付出的时间和金钱成本也最为昂贵;对于防守方来说,基于TTPs的检测和响应可能给对手造成更多的痛苦。
(4)高级持续性威胁APT,是Advanced Persistent Threat的简称,ATT&CK正诞生于对已知APT组织的分析过程中,ATT&CK发起自MITRE的FMX(Fort Meade eXperiment)实验环境,旨在通过攻防对抗数据的采集和分析,提升对APT检测能力。其中,ATT&CK归类的攻击技术大部分源于公开的APT组织活动,其主要的信息来源包括:威胁情报报告、会议报告、研讨会、社交媒体、博客、开源代码库、恶意软件样本等。
(5)ATT&CK,即对抗战术(Adversarial Tactics)、技术(Techniques)和常识(Common Knowledge)的简称,它是一个攻击行为知识库和模型,主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。
ATT&CK是在大量已知APT攻击事件基础上构建出来的,从战术和技术两个维度对APT攻击进行总结归纳。战术是攻击的目的,技术是实现战术所采取的具体方法,在对技术的自然语言描述的定义中,包含了丰富的攻击上下文语义信息。
在实际应用时,可以将攻击事件用ATT&CK模型进行表示,如图2所示,为本申请实施例提供的ATT&CK模型的一种示意图,该ATT&CK模型具有四个关键对象,它们分别为组(Group)、技术(Technique)、软件(Software)以及战术(Tactic),其中,Groups采用Technique和Software去完成Tactic,Software是实现Technique的手段。
在本申请实施例中,Groups可以被定义为命名的入侵集、威胁组、参与者组或活动,它们通常代表有目标的、持续的威胁活动。ATT&CK主要关注APT群体。
Technique可以代表攻击者通过执行动作来实现“战术”目标的“方式”。或者,可以代表着一个对手如何通过执行一个行动来达到一个“战术”目标。例如,对手可能从操作系统转储凭据,以获得对网络中有用凭据的访问权。实现“战术”目标的方法或技术可能很多,因此每个“战术”类别中都有多种“技术”。同样,可能有多种方法来执行一项“技术”,因此一项“技术”下可能有多种不同的“子技术(Sub-Techniques)”。“子技术”进一步将技术描述的行为分解为关于“如何使用行为实现目标”的更具体的描述。例如,对于”OS CredentialDumping“技术,此技术下有几种更特定的行为可以描述为“子技术”,包括”“访问LSASS内存”,“安全帐户管理器”或访问“/etc/passwd”和“/etc/shadow”。
Software可以代表一种“技术”或“子技术”的实例,因此在ATT&CK中进行分类也是必须的,具体可以将软件分为两大类:工具和恶意软件。
工具可以指商业、开源、自研或公开可用的软件,可以由防御者,渗透测试者,红队成员或对手使用。该类别既包括通常在企业系统上找不到的软件,也包括通常作为环境中已经存在的操作系统的一部分而获得的软件。例如PsExec,Metasploit,Mimikatz,以及Windows实用程序,例如Net,netstat,Tasklist等。恶意软件可以指商业、开源或闭源、用于恶意目的软件。例如PlugX、CHOPSTICK等。
Tactic就是“目标”,从某种意义上讲“战术”就是“技术”执行的意义,也是对手执行具体攻击技术的原因;“战术”是个别“技术”的上下文类别,涵盖了对手在行动过程中所做事情的标准表示法,例如持久性(Persistence)、发现(Discovery)、横向移动(LateralMovement)、执行(Execution)和泄露(Exfiltration)等。“战术”也被视为ATT&CK中的标签,不同的“技术”或“子技术”如果实现相同的目的就会被打上同一个“战术”的标签。
目前,在学术界和工业界中,在获取威胁情报时,主要利用失陷指标IOC来获取威胁情报,而通过包含更加详细的攻击上下文信息以及丰富的攻击语义的TTPs,来获取威胁情报的方法则较少。
在现有技术中,Mitre公司在构建ATT&CK的攻击行为知识库时,虽然也提出了一套针对TTPs的规范的威胁分析流程方法,但是,该方法主要依靠人工进行分析,来获取威胁情报。然而,由于TTPs主要以自然语言文本形式描述,因此,在文本的自动化处理分析中存在攻击语义鸿沟问题,且由于信息之间非常零散,使得基于人工的TTPs信息分析效率与利用效率均较低,很难快速进行威胁语义分析并获取威胁情报。
此外,在利用TTPs来获取威胁情报时,常常将金字塔模型上层TTPs威胁情报映射到了中低层次。例如,对同一个攻击阶段下的攻击技术进一步总结归纳,以函数形式描述IP、文件、进程等在攻击实施中的特征,来构建语义规则。但是,这种威胁情报获取方法并没有对攻击行为进行建模,其实质上仍然是传统的底层数据的匹配,因此,大大降低了TTPs威胁情报的价值。
基于此,本申请实施例提供一种威胁情报获取方法,在该方法中,可以根据已存储的关联关系表,将各个攻击事件对应的除攻击技术之外的各个关键元素,以围绕攻击技术进行关系连接的方式,构建初始知识图谱;进而,针对初始知识图谱中的每一攻击技术所连接的每一关键元素,可以将从关联关系表中,确定出的与每一关键元素相关联的至少一个关键元素,以围绕每一关键元素进行关系连接的方式,构建目标知识图谱;从而,在发生威胁攻击时,可以根据目标知识图谱,获取威胁攻击对应的威胁情报。可见,在本申请实施例中,由于对每一攻击技术所连接的每一关键元素均进行了知识图谱的扩展,使得最终获得的目标知识图谱具有了自动关联分析的能力,进而,使得在发生威胁攻击时,可以通过匹配到的攻击技术,基于目标知识图谱来快速进行上层高级语义分析,并获取到对应的威胁情报。
在介绍完本申请实施例的设计思想之后,下面对本申请实施例的技术方案能够适用的应用场景做一些简单介绍,需要说明的是,以下介绍的应用场景仅用于说明本申请实施例而非限定。在具体实施过程中,可以根据实际需要灵活地应用本申请实施例提供的技术方案。
如图3所示,为本申请实施例提供的一种应用场景示意图,其中,该威胁情报获取的应用场景可以包括威胁情报获取设备30和终端设备31。
在本申请实施例中,威胁情报获取设备30可以为具有一定处理能力的设备,例如可以为个人计算机(personal computer,PC)、笔记本电脑或者服务器等。服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器,但并不局限于此。
该威胁情报获取设备30可以包括一个或多个处理器301、存储器302以及数据库303等,数据库303可以用于存储本申请实施例提供的方案中涉及到的关联关系表、关系映射表、目标知识图谱以及威胁情报等数据。其中,威胁情报获取设备30的存储器302中可以存储本申请实施例提供的威胁情报获取方法的程序指令,这些程序指令被处理器301执行时能够用以实现本申请实施例提供的威胁情报获取方法的步骤,以快速的基于TTPs来进行威胁语义分析并获取威胁情报。
终端设备31可以为会受到威胁攻击的手机、平板电脑、笔记本电脑、个人计算机等设备。
在本申请实施例中,当终端设备31遭受到威胁攻击时,威胁情报获取设备30则会调用存储器302中存储的威胁情报获取方法的程序指令,并通过处理器301来执行这些程序指令,从而快速的基于目标知识图谱来进行威胁语义分析,并获取与威胁攻击对应的威胁情报。且在程序指令执行过程中获取到的威胁情报可以被存储于数据库303中。
当然,本申请实施例提供的方法并不限用于图3所示的应用场景中,还可以用于其他可能的应用场景,本申请实施例并不进行限制。对于图3所示的应用场景的各个设备所能实现的功能将在后续的方法实施例中一并进行描述,在此先不过多赘述。下面,将结合附图对本申请实施例的方法进行介绍。
如图4所示,为本申请实施例提供的威胁情报获取方法的一种流程示意图,该方法可以通过图3中的威胁情报获取装置30来执行,该方法的流程介绍如下。
步骤401:根据已存储的关联关系表,将各个攻击事件对应的除攻击技术之外的各个关键元素,以围绕攻击技术进行关系连接的方式,构建初始知识图谱。
在本书申请实施例中,关联关系表中包含有各个攻击事件各自所对应的各个关键元素之间的关联关系。
在实际应用时,关联关系表可以按照ATT&CK模型对各个攻击事件的描述,来进行建立,如图2所示,各个攻击事件可以由Group、Technique、Software以及Tactic进行描述。即,各个攻击事件所对应的关键元素可以为Group、Technique、Software以及Tactic等。其中,为方便进行描述,可以采用ID号来代表各个攻击事件对应的各个关键元素。
例如,在网址为“https://attack.mitre.org/techniques/T1110/”的网页中,对于自然语言文本描述的攻击技术Brute Force,可以采用ID号为T1110来进行表示,该攻击技术的Sub-Techniques可以用T1110.001、T1110.002、T1110.003、T1110.004来进行表示。如表1所示,为本申请实施例提供的攻击技术Brute Force对应的过程实例表。其中,该表1具体可以表示在假设采用攻击技术Brute Force,来完成攻击目的Tactics为凭证访问Credential Access时,可能会涉及到的Group和Software。
表1
进而,根据上述表1所示的过程实例表,可以基于ATT&CK模型,围绕攻击技术BruteForce进行关系连接的方式,以构建初始知识图谱,如图5所示,为本申请实施例提供的构建初始知识图谱的一种示意图,其中,“T****”用于表示攻击技术Technique,“TA****”用于表示攻击目的Tactic,“G****”用于表示攻击者Group,“S****”用于表示攻击工具Software。根据该图5可以看出,针对同一攻击技术来说,可以被不同的Group所采用,且也可以通过不同的Software来进行执行。由于初始知识图谱是通过ATT&CK对技术的描述,来进行基于TTPs的初始知识图谱的构建,因此保留了攻击技术的攻击上下文的语义。
步骤402:针对初始知识图谱中的每一攻击技术所连接的每一关键元素,将从关联关系表中,确定出的与每一关键元素相关联的至少一个关键元素,以围绕每一关键元素进行关系连接的方式,构建目标知识图谱。
为了进一步获取到与攻击技术相关的更多、更详细的攻击上下文信息,因此,在本申请实施例中,可以对初始知识图谱中的每一攻击技术所连接的每一关键元素均进行知识图谱扩展。
在实际应用时,可以按照基于ATT&CK模型,来对每一关键元素进行扩展。具体的,在从关联关系表中,确定出与每一关键元素相关联的至少一个关键元素之后,可以将这些从关联关系表中,确定出的与每一关键元素相关联的至少一个关键元素,以围绕每一关键元素进行关系连接的方式,来构建目标知识图谱。由于该目标知识图谱是通过对TTP的扩展从而自动完成ATT&CK知识图谱的构建,因此,该目标知识图谱提供了自动关联分析的能力。
步骤403:在发生威胁攻击时,根据目标知识图谱,获取威胁攻击对应的威胁情报。
在本申请实施例中,在将基于攻击技术的目标知识图谱构建完成之后,由于在实际应用时Group、Technique、Software以及Tactic之间并不是单一对应的关系,即,同一Group可以通过不同的Software,来执行不同的攻击技术Technique来完成Tactic,当然,不同组织也可以采用相同Software及基于相同攻击技术Technique来完成Tactic。因此,针对同一攻击技术Technique来说,如上表1所示,可能会获取到与该攻击技术Technique相关的多个Group和多个Software的威胁情报。如图6所示,为本申请实施例提供的获取威胁情报的一种流程示意图,具体流程介绍如下:
步骤4031:在发生威胁攻击时,获取威胁攻击的关键字。
由于不同的攻击技术所造成的威胁攻击是不相同的。因此,在实际应用时,可以将威胁攻击的关键字与各个攻击技术进行映射,以构建能够体现威胁攻击与攻击技术之间的映射关系的关系映射表,从而,根据关系映射表来确定出每一次发生威胁攻击所对应的攻击技术。即,关系映射表中可以包含有各个威胁攻击的关键字与各个攻击技术之间的映射关系。其中,该威胁攻击的关键字可以为该威胁攻击的名称、ID、版本、描述或者类型等等。进而,在发生威胁攻击时,可以通过获取威胁攻击的关键字,来确定出与该威胁攻击相匹配的攻击技术。
步骤4032:根据关键字,从已存储的关系映射表中,确定与威胁攻击相匹配的攻击技术。
在本申请实施例中,为便于进行描述与理解,如图7所示,为本申请实施例提供的发生攻击事件的一种示意图,其中,假设攻击事件为APT28组织采用攻击工具Chaos,基于攻击技术Credential Dumping,来完成凭证访问Credential Access。这里可以假设威胁攻击的关键字为该威胁攻击的ID,因此,在确定威胁攻击的ID之后,可以假设从已存储的关系映射表中,确定出的与该威胁攻击的ID所匹配的攻击技术为Credential Dumping,即,ID号为T1110的攻击技术。
步骤4033:根据攻击技术,从目标知识图谱,获取威胁攻击对应的威胁情报。
在实际应用时,在确定攻击技术的ID号为T1110之后,可以直接从目标知识图谱获取与ID号为T1110相关联的其它关键元素的ID号,继续沿用上述如图7所示的例子,那么从目标知识图谱便可以获取到ID号为G0007的攻击者,ID号为S0220的攻击工具,以及ID号为TA0006的攻击目的,进而,根据如表1所示的过程实例表,便可以获取到威胁攻击对应的威胁情报,即获取到与攻击技术Credential Dumping对应详细的上下文信息,从而实现快速进行威胁语义分析并还原攻击上下文信息的目的。且由于目标知识图谱可以通过如图5类似的来进行表示,因此,在进行威胁情报是,可以向用户提供可视化的关联图,使得在威胁情报利用时更为简单形象,便于用户进行理解与分析。
在一种可能的实施例中,在基于TTPs进行知识图谱扩展时,主要可以从以下几个方面进行扩展:
第一种:将初始知识图谱由Technique扩展到Tactic。
由于针对同一Tactic来说,可以采用不同的攻击技术Technique进行完成,因此,如图8所示,为本申请实施例提供的将初始知识图谱由Technique扩展到Tactic的一种示意图,基于ATT&CK模型,不同的攻击技术Technique均可以围绕同一Tactic进行关系连接。
在实际应用时,在确定关键元素为攻击目的时,针对攻击目的,可以从关联关系表中,确定出与攻击目的相关联的至少一个攻击技术。如图8所示,在攻击目的为TA0006时,根据关联关系表,可以确定出与ID号为TA0006的攻击目的相关联的攻击技术有T1555、T1212以及T1187等等。进而,基于ATT&CK模型,可以将攻击技术T1555、T1212以及T1187等等,以围绕攻击目的TA0006进行关系连接,从而,构建出如图8所示的目标知识图谱。
第二种:将初始知识图谱由Technique扩展到Group。
由于针对同一Group来说,可以采用不同Software执行不同的攻击技术Technique来完成Tactic,因此,如图9所示,为本申请实施例提供的将初始知识图谱由Technique扩展到Group的一种示意图,基于ATT&CK模型,不同的攻击技术Technique以及不同Software均可以围绕同一Group进行关系连接。
在实际应用时,在确定关键元素为攻击者时,针对攻击者,可以从关联关系表中,确定出与攻击者相关联的至少一个攻击技术和至少一个攻击工具。如图9所示,在攻击者为G0007时,根据关联关系表,可以确定出与ID号为G0007的攻击者相关联的攻击技术有T1110、T1134以及T1583等等,与ID号为G0007的攻击者相关联的攻击工具有S0045以及S0351等等。进而,基于ATT&CK模型,可以将攻击技术T1110、T1134以及T1583等等,和攻击工具S0045以及S0351等等,以围绕攻击者G0007进行关系连接,从而,构建出如图9所示的目标知识图谱。
第三种:将初始知识图谱由Technique扩展到Software。
由于针对同一Software来说,可以被不同的Group所采用,且也可以基于同一Software执行不同的攻击技术Technique来完成Tactic,因此,如图10所示,为本申请实施例提供的将初始知识图谱由Technique扩展到Software的一种示意图,基于ATT&CK模型,不同的Group以及不同的攻击技术Technique均可以围绕同一Software进行关系连接。
在实际应用时,在确定关键元素为攻击工具时,针对攻击工具,可以从关联关系表中,确定出与攻击工具的相关联的至少一个攻击技术和至少一个攻击者。如图10所示,在攻击工具为S0572时,根据关联关系表,可以确定出与ID号为S0572的攻击工具相关联的攻击技术有T1059、T1005以及T1110等等,与ID号为S0572的攻击工具相关联的攻击者有G0007等等。进而,基于ATT&CK模型,可以将攻击技术T1059、T1005以及T1110等等,和攻击者有G0007等等,以围绕攻击工具S0572进行关系连接,从而,构建出如图10所示的目标知识图谱。
第四种:将初始知识图谱由Technique扩展到Sub-Techniques。
如图11所示,为本申请实施例提供的Technique与Sub-Techniques对应关系的一种示意图。一个Technique可以对应至少一个Sub-Techniques,其中,攻击子技术Sub-Techniques为攻击技术Technique的详细技术方案。如图11所示,针对ID号为T1110的Technique来说,其对应的攻击子技术Sub-Techniques可以为T1110.001、T1110.002、T1110.003以及T1110.004等等。
进而,针对同一Sub-Techniques来说,基于ATT&CK模型,可以构建与图5类似的目标知识图谱。具体的,在确定关键元素为攻击子技术时,可以从关联关系表中,确定出与攻击子技术相关联的至少一个攻击技术、至少一个攻击者以及至少一个攻击工具。进而,可以将与攻击子技术相关联的至少一个攻击技术、至少一个攻击者以及至少一个攻击工具,以围绕攻击子技术进行关系连接的方式,以构建目标知识图谱。
进而,通过上述4种方式进行知识图谱扩展之后,针对同一种攻击技术Technique,其能够关联更多的攻击上下文信息,且整个知识图谱的构建过程可以通过自动化的方式进行构建,因此,可以大大提高威胁情报的获取效率。此外,在通过目标知识图谱获取到与攻击技术相关联的各个关键元素的ID之后,可以直接通过如表1所示的过程实例表,来快速获取对应的攻击上下文信息,其进一步提高威胁语义分析以及威胁情报获取的效率。且,由于是基于TTPs来建立的目标知识图谱,因此,基于该目标知识图谱获取到的威胁情报,可以有效增强网络防御能力。
综上所述,在本申请实施例中,在本申请实施例中,由于对每一攻击技术所连接的每一关键元素均进行了知识图谱的扩展,使得最终获得的目标知识图谱具有了自动关联分析的能力,进而,使得在发生威胁攻击时,可以通过匹配到的攻击技术,基于目标知识图谱来快速进行上层高级语义分析,并获取到对应的威胁情报。
如图12所示,基于同一发明构思,本申请实施例提供一种威胁情报获取装置,该装置120包括:
初始知识图谱构建单元1201,用于根据已存储的关联关系表,将各个攻击事件对应的除攻击技术之外的各个关键元素,以围绕攻击技术进行关系连接的方式,构建初始知识图谱;其中,关联关系表中包含有各个威胁情报各自所对应的各个关键元素之间的关联关系;
目标知识图谱构建单元1202,用于针对初始知识图谱中的每一攻击技术所连接的每一关键元素,将从关联关系表中,确定出的与每一关键元素相关联的至少一个关键元素,以围绕每一关键元素进行关系连接的方式,构建目标知识图谱;
威胁情报获取单元1203,用于在发生威胁攻击时,根据目标知识图谱,获取威胁攻击对应的威胁情报。
可选的,目标知识图谱构建单元1202,具体用于:
在关键元素为攻击目的时,针对攻击目的,从关联关系表中,确定与攻击目的相关联的至少一个攻击技术;
将与攻击目的相关联的至少一个攻击技术,以围绕攻击目的进行关系连接的方式,构建目标知识图谱。
可选的,目标知识图谱构建单元1202,具体用于:
在关键元素为攻击者时,从关联关系表中,确定与攻击者相关联的至少一个攻击技术和至少一个攻击工具;
将与攻击者相关联的至少一个攻击技术和至少一个攻击工具,以围绕攻击者进行关系连接的方式,构建目标知识图谱。
可选的,目标知识图谱构建单元1202,具体用于:
在关键元素为攻击工具时,从关联关系表中,确定与攻击工具相关联的至少一个攻击技术和至少一个攻击者;
将与攻击工具相关联的至少一个攻击技术和至少一个攻击者,以围绕攻击工具进行关系连接的方式,构建目标知识图谱。
可选的,目标知识图谱构建单元1202,具体用于:
在关键元素为攻击子技术时,从关联关系表中,确定与攻击子技术相关联的至少一个攻击技术、至少一个攻击者以及至少一个攻击工具;其中,一个攻击技术对应至少一个攻击子技术,且攻击子技术为攻击技术的详细技术方案;
将与攻击子技术相关联的至少一个攻击技术、至少一个攻击者以及至少一个攻击工具,以围绕攻击子技术进行关系连接的方式,构建目标知识图谱。
可选的,威胁情报获取单元1203,具体用于:
在发生威胁攻击时,获取威胁攻击的关键字;
根据关键字,从已存储的关系映射表中,确定与威胁攻击相匹配的攻击技术;其中,关系映射表中包含有各个威胁攻击的关键字与各个攻击技术之间的映射关系;
根据攻击技术,从目标知识图谱,获取威胁攻击对应的威胁情报。
该装置可以用于执行图4~图11所示的实施例中所述的方法,因此,对于该装置的各功能模块所能够实现的功能等可参考图4~图11所示的实施例的描述,不多赘述。
请参见图13,基于同一技术构思,本申请实施例还提供了一种计算机设备130,可以包括存储器1301和处理器1302。
所述存储器1301,用于存储处理器1302执行的计算机程序。存储器1301可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据计算机设备的使用所创建的数据等。处理器1302,可以是一个中央处理单元(central processing unit,CPU),或者为数字处理单元等等。本申请实施例中不限定上述存储器1301和处理器1302之间的具体连接介质。本申请实施例在图13中以存储器1301和处理器1302之间通过总线1303连接,总线1303在图13中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线1303可以分为地址总线、数据总线、控制总线等。为便于表示,图13中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器1301可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器1301也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器1301是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1301可以是上述存储器的组合。
处理器1302,用于调用所述存储器1301中存储的计算机程序时执行如图4~图11所示的实施例中设备所执行的方法。
在一些可能的实施方式中,本申请提供的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在计算机设备上运行时,所述程序代码用于使所述计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的方法中的步骤,例如,所述计算机设备可以执行如图4~图11所示的实施例中所述的方法。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种威胁情报获取方法,其特征在于,所述方法包括:
根据已存储的关联关系表,将各个攻击事件对应的除攻击技术之外的各个关键元素,以围绕所述攻击技术进行关系连接的方式,构建初始知识图谱;其中,所述关联关系表中包含有各个攻击事件各自所对应的各个关键元素之间的关联关系;
针对所述初始知识图谱中的每一攻击技术所连接的每一关键元素,将从所述关联关系表中,确定出的与所述每一关键元素相关联的至少一个关键元素,以围绕所述每一关键元素进行关系连接的方式,构建目标知识图谱;
在发生威胁攻击时,根据所述目标知识图谱,获取所述威胁攻击对应的威胁情报。
2.如权利要求1所述的方法,其特征在于,所述针对所述初始知识图谱中的每一攻击技术所连接的每一关键元素,将从所述关联关系表中,确定出的与所述每一关键元素相关联的至少一个关键元素,以围绕所述每一关键元素进行关系连接的方式,包括:
在所述关键元素为攻击目的时,针对所述攻击目的,从所述关联关系表中,确定与所述攻击目的相关联的至少一个攻击技术;
将所述与所述攻击目的相关联的至少一个攻击技术,以围绕所述攻击目的进行关系连接的方式,构建目标知识图谱。
3.如权利要求1所述的方法,其特征在于,所述针对所述初始知识图谱中的每一攻击技术所连接的每一关键元素,将从所述关联关系表中,确定出的与所述每一关键元素相关联的至少一个关键元素,以围绕所述每一关键元素进行关系连接的方式,包括:
在所述关键元素为攻击者时,从所述关联关系表中,确定与所述攻击者相关联的至少一个攻击技术和至少一个攻击工具;
将所述与所述攻击者相关联的至少一个攻击技术和至少一个攻击工具,以围绕所述攻击者进行关系连接的方式,构建目标知识图谱。
4.如权利要求1所述的方法,其特征在于,所述针对所述初始知识图谱中的每一攻击技术所连接的每一关键元素,将从所述关联关系表中,确定出的与所述每一关键元素相关联的至少一个关键元素,以围绕所述每一关键元素进行关系连接的方式,包括:
在所述关键元素为攻击工具时,从所述关联关系表中,确定与所述攻击工具相关联的至少一个攻击技术和至少一个攻击者;
将所述与所述攻击工具相关联的至少一个攻击技术和至少一个攻击者,以围绕所述攻击工具进行关系连接的方式,构建目标知识图谱。
5.如权利要求1所述的方法,其特征在于,所述针对所述初始知识图谱中的每一攻击技术所连接的每一关键元素,将从所述关联关系表中,确定出的与所述每一关键元素相关联的至少一个关键元素,以围绕所述每一关键元素进行关系连接的方式,包括:
在所述关键元素为攻击子技术时,从所述关联关系表中,确定与所述攻击子技术相关联的至少一个攻击技术、至少一个攻击者以及至少一个攻击工具;其中,一个攻击技术对应至少一个攻击子技术,且所述攻击子技术为所述攻击技术的详细技术方案;
将所述与所述攻击子技术相关联的至少一个攻击技术、至少一个攻击者以及至少一个攻击工具,以围绕所述攻击子技术进行关系连接的方式,构建目标知识图谱。
6.如权利要求1所述的方法,其特征在于,在发生威胁攻击时,根据所述目标知识图谱,获取所述威胁攻击对应的威胁情报,包括:
在发生威胁攻击时,获取所述威胁攻击的关键字;
根据所述关键字,从已存储的关系映射表中,确定与所述威胁攻击相匹配的攻击技术;其中,所述关系映射表中包含有各个威胁攻击的关键字与各个攻击技术之间的映射关系;
根据所述攻击技术,从所述目标知识图谱,获取所述威胁攻击对应的威胁情报。
7.一种威胁情报获取装置,其特征在于,所述装置包括:
初始知识图谱构建单元,用于根据已存储的关联关系表,将各个攻击事件对应的除攻击技术之外的各个关键元素,以围绕所述攻击技术进行关系连接的方式,构建初始知识图谱;其中,所述关联关系表中包含有各个攻击事件各自所对应的各个关键元素之间的关联关系;
目标知识图谱构建单元,用于针对所述初始知识图谱中的每一攻击技术所连接的每一关键元素,将从所述关联关系表中,确定出的与所述每一关键元素相关联的至少一个关键元素,以围绕所述每一关键元素进行关系连接的方式,构建目标知识图谱;
威胁情报获取单元,用于在发生威胁攻击时,根据所述目标知识图谱,获取所述威胁攻击对应的威胁情报。
8.如权利要求7所述的装置,其特征在于,所述威胁情报获取单元,具体用于:
在发生威胁攻击时,获取所述威胁攻击的关键字;
根据所述关键字,从已存储的关系映射表中,确定与所述威胁攻击相匹配的攻击技术;其中,所述关系映射表中包含有各个威胁攻击的关键字与各个攻击技术之间的映射关系;
根据所述攻击技术,从所述目标知识图谱,获取所述威胁攻击对应的威胁情报。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,
所述处理器执行所述计算机程序时实现权利要求1至6任一项所述方法的步骤。
10.一种计算机存储介质,其上存储有计算机程序指令,其特征在于,
该计算机程序指令被处理器执行时实现权利要求1至6任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111275144.4A CN113961923A (zh) | 2021-10-29 | 2021-10-29 | 一种威胁情报获取方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111275144.4A CN113961923A (zh) | 2021-10-29 | 2021-10-29 | 一种威胁情报获取方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113961923A true CN113961923A (zh) | 2022-01-21 |
Family
ID=79468614
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111275144.4A Pending CN113961923A (zh) | 2021-10-29 | 2021-10-29 | 一种威胁情报获取方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113961923A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114928493A (zh) * | 2022-05-23 | 2022-08-19 | 昆明元叙网络科技有限公司 | 基于威胁攻击大数据的威胁情报生成方法及ai安全系统 |
| CN115065545A (zh) * | 2022-07-06 | 2022-09-16 | 保定超越电子科技有限公司 | 基于大数据威胁感知的安全防护构建方法及ai防护系统 |
| CN115118500A (zh) * | 2022-06-28 | 2022-09-27 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
| CN115618857A (zh) * | 2022-09-09 | 2023-01-17 | 中国电信股份有限公司 | 威胁情报处理方法、威胁情报推送方法及装置 |
-
2021
- 2021-10-29 CN CN202111275144.4A patent/CN113961923A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114928493A (zh) * | 2022-05-23 | 2022-08-19 | 昆明元叙网络科技有限公司 | 基于威胁攻击大数据的威胁情报生成方法及ai安全系统 |
| CN115118500A (zh) * | 2022-06-28 | 2022-09-27 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
| CN115118500B (zh) * | 2022-06-28 | 2023-11-07 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
| CN115065545A (zh) * | 2022-07-06 | 2022-09-16 | 保定超越电子科技有限公司 | 基于大数据威胁感知的安全防护构建方法及ai防护系统 |
| CN115618857A (zh) * | 2022-09-09 | 2023-01-17 | 中国电信股份有限公司 | 威胁情报处理方法、威胁情报推送方法及装置 |
| CN115618857B (zh) * | 2022-09-09 | 2024-03-01 | 中国电信股份有限公司 | 威胁情报处理方法、威胁情报推送方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
| US20210019674A1 (en) | Risk profiling and rating of extended relationships using ontological databases | |
| US11483318B2 (en) | Providing network security through autonomous simulated environments | |
| Arora et al. | Minimizing network traffic features for android mobile malware detection | |
| US11196746B2 (en) | Whitelisting of trusted accessors to restricted web pages | |
| CN113961923A (zh) | 一种威胁情报获取方法、装置、设备及存储介质 | |
| US9160766B2 (en) | Systems and methods for protecting organizations against spear phishing attacks | |
| Grisham et al. | Identifying mobile malware and key threat actors in online hacker forums for proactive cyber threat intelligence | |
| CN109074454B (zh) | 基于赝象对恶意软件自动分组 | |
| US20220100857A1 (en) | Systems and Methods of Anomalous Pattern Discovery and Mitigation | |
| Ross et al. | Multi-source data analysis and evaluation of machine learning techniques for SQL injection detection | |
| US11824894B2 (en) | Defense of targeted database attacks through dynamic honeypot database response generation | |
| Alam et al. | Looking beyond IoCs: Automatically extracting attack patterns from external CTI | |
| Wang et al. | An evolutionary study of IoT malware | |
| Huang et al. | Open source intelligence for malicious behavior discovery and interpretation | |
| US20240241752A1 (en) | Risk profiling and rating of extended relationships using ontological databases | |
| Kara | Cyber-espionage malware attacks detection and analysis: A case study | |
| KR102366637B1 (ko) | 전자 장치의 사이버 위협 탐지 방법 | |
| Zammit | A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data | |
| Tyagi et al. | Next Generation Phishing Detection and Prevention System using Machine Learning | |
| RU2587424C1 (ru) | Способ контроля приложений | |
| Moussaileb et al. | Watch out! Doxware on the way… | |
| Trivedi et al. | Threat intelligence analysis of onion websites using sublinks and keywords | |
| Almarshad et al. | Detecting zero-day polymorphic worms with jaccard similarity algorithm | |
| Raulerson et al. | A framework to facilitate cyber defense situational awareness modeled in an emulated virtual machine testbed |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |