CN115134122A - 一种基于工业系统网络实体的威胁图谱的构建方法 - Google Patents

一种基于工业系统网络实体的威胁图谱的构建方法 Download PDF

Info

Publication number
CN115134122A
CN115134122A CN202210600987.5A CN202210600987A CN115134122A CN 115134122 A CN115134122 A CN 115134122A CN 202210600987 A CN202210600987 A CN 202210600987A CN 115134122 A CN115134122 A CN 115134122A
Authority
CN
China
Prior art keywords
threat
vulnerability
attributes
matching
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210600987.5A
Other languages
English (en)
Other versions
CN115134122B (zh
Inventor
赵辉
巨敏
柳福龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Anruixin Technology Co ltd
Original Assignee
Shanghai Anruixin Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Anruixin Technology Co ltd filed Critical Shanghai Anruixin Technology Co ltd
Priority to CN202210600987.5A priority Critical patent/CN115134122B/zh
Publication of CN115134122A publication Critical patent/CN115134122A/zh
Application granted granted Critical
Publication of CN115134122B publication Critical patent/CN115134122B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/024Standardisation; Integration using relational databases for representation of network management data, e.g. managing via structured query language [SQL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种基于工业系统网络实体的威胁图谱的构建方法,属于工业系统的威胁图谱构建领域,该构建方法可根据现有资产设备的本身成分和已知安全缺陷,结合已知的威胁分类和危害关系构建图谱,利用知识图谱的方法进行信息安全威胁分析,得到资产的威胁向量数集,其结果可为安全措施的决策提供参考依据,并根据分析结果,动态的对资产实现持续性的安全分析和管理。该方法用于持续风险管理系统CSMS中,定期进行相应的风险计算和评估,以保证风险程度始终低于安全限定,基于图谱构建后的安全分析对威胁本身的定量分析更具直观性和可使用性。

Description

一种基于工业系统网络实体的威胁图谱的构建方法
技术领域
本发明属于工业系统的威胁图谱构建技术领域,尤其涉及一种基于工业系统网络实体的威胁图谱的构建方法。
背景技术
通常威胁分析都是针对实时攻击和异常行为的,漏洞是被直接认定的,并未结合其所在的资产类型和网络拓扑结构进行定性的分析;现有的威胁分析就组件关系进行分析,未结合资产和其相应的漏洞类型和存在情况进行分析。这种分析结果不能有效的为准确识别和分析威胁成因和覆盖范围提供评估依据,导致最终不能做出有效的防御策略。
有效防御是成本和结果中取得的平衡,对于工程实施阶段意义重大,过度的防御实施成本过大,影响生产,防御不足不能对威胁进行缓解,仍将系统置于威胁不可控的状态。目前已有的漏洞收集累方法比较多,但仅是对漏洞收集后应用相应的方法进行漏洞本身的评估,并未与资产和资产所处的拓扑结果结合,分析结果实用性差。
发明内容
本发明实施例提供一种基于工业系统网络实体的威胁图谱的构建方法,旨在解决背景技术中提出的问题。
本发明实施例是这样实现的,一种基于工业系统网络实体的威胁图谱的构建方法,该构建方法包括如下步骤:
S100、将原始收集的漏洞数据库与目标系统中的资产进行数据匹配,并将匹配后的数据对和元信息存入匹配数据库中;
S200、根据用户的网络环境,画出或导入所需要分析资产部分的网络拓扑关系图;
S300、将资产的安全关系取三形成一个三元风险关系组;
S400、将三元风险关系组的实例作为一个图关系节点,将网络拓扑关系变为节点边关系,并根据节点边关系构建图谱,获得一个全系统威胁表达的向量数列;
S500、根据全系统威胁表达的向量数列进行运算,识别出风险最大的节点关系,针对该节点和周边节点进行相应的缓解措施应用,得到其威胁数值,并判断是否低于安全限定;若是则结束,否则返回S400。
优选的,所述将原始收集的漏洞数据库与目标系统中的资产进行数据匹配,并将匹配后的数据对和元信息存入匹配数据库中包括:
S101、通过自动化爬虫引擎对NVD和CNNVD漏洞数据库进行主动或被动的定向获取,并对获取的数据进行信息处理,并存入关系型数据库;
S102、根据漏洞描述字段和分类字段提取漏洞可能造成影响的安全属性,使漏洞与安全属性关联;
S103、对提取的漏洞影响的安全属性与资产的匹配后与STRIDE中的威胁因素之间进行映射,从而生成漏洞影像的资产所面临的每种威胁类型。
优选的,所述数据匹配过程包括漏洞数据库基本索引信息清洗、目标系统资产数据收集并产生匹配索引信息、索引信息匹配。
优选的,所述安全属性根据微软公司STRIDE方法的对应关系,包括鉴权属性、授权属性、不可否认属性、机密属性、完整属性以及可用属性。
优选的,所述威胁因素共六种,包括虚假欺骗、篡改、拒绝承认、信息泄露、拒绝服务以及权限提升。
优选的,所述网络拓扑关系图的元素包括过程、用户、数据流以及数据存储。
优选的,所述三元风险关系组包括抽象元素的对象、漏洞以及结果。
该构建方法可根据现有资产设备的本身成分和已知安全缺陷,结合已知的威胁分类和危害关系图谱进行信息安全威胁分析,得到资产的威胁向量数集,其结果可为安全措施的决策提供参考依据,并根据分析结果,动态的对资产实现持续性的安全分析和管理。
附图说明
图1是一种基于工业系统网络实体的威胁图谱的构建方法的构建流程示意图;
图2是一种基于工业系统网络实体的威胁图谱的构建方法中S100的流程示意图;
图3是一种基于工业系统网络实体的威胁图谱的构件方法中向量数列图谱的示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种基于工业系统网络实体的威胁图谱的构建方法,如图1、图2和图3所示,该构建方法包括如下步骤:
S100、将原始收集的漏洞数据库与目标系统中的资产进行数据匹配,并将匹配后的数据对和元信息存入匹配数据库中,包括:
S101、通过自动化爬虫引擎对NVD和CNNVD漏洞数据库进行主动或被动的定向获取,并对获取的数据进行信息处理,并存入关系型数据库;
S102、根据漏洞描述字段和分类字段提取漏洞可能造成影响的安全属性,使漏洞与安全属性关联;其中,所述安全属性根据微软公司STRIDE方法的对应关系,包括鉴权属性、授权属性、不可否认属性、机密属性、完整属性以及可用属性;
S103、对提取的漏洞影响的安全属性与资产的匹配后与STRIDE中的威胁因素之间进行映射,从而生成漏洞影像的资产所面临的每种威胁类型;其中,所述威胁因素共六种,包括虚假欺骗、篡改、拒绝承认、信息泄露、拒绝服务以及权限提升。
其中,所述数据匹配过程包括漏洞数据库基本索引信息清洗、目标系统资产数据收集并产生匹配索引信息、索引信息匹配。漏洞数据库结构中包含CVE号。
例:CVE-2017-15361漏洞,会作用在Infineon产品实用RSALibrary1.02.013的组件上,会影响到Trusted Platform Module(TPM)firmware安全。发现在系统中有一个产生网络中的安全通信模块使用到相关产品,则建立相对应的关联,并自动匹配出会影响到机密属性(Confidentiality)、完整属性(Integrity)并产生Spoofing、Tampering类型威胁。
上述方法生成的漏洞与影响的资产所面临的每种安全属性类型可以更好的适用STRIDE中的六种威胁与模型元素之间关系,做到针对威胁所发生的原因和对象做具体分析,并且为后续的分析步提供原始资产对象的映射。
S200、根据用户的网络环境,画出或导入所需要分析资产部分的网络拓扑关系图;其中,所述网络拓扑关系图的元素包括过程、用户、数据流以及数据存储。该步骤是将需要分析的网络结构和资产进行建模分析,形成以资产为视角的网络拓扑关系图。
S300、将资产的安全关系取三形成一个三元风险关系组,其中,所述三元风险关系组包括抽象元素的对象、漏洞以及结果,其表达为:
v(t)={obj,vul,cons}。
如S100中所例中,通信模组的安全关系三元风险关系组为:
V(tc)={TC1,CVE-2017-15361,(Spoofing、Tampering)}。
S400、将三元风险关系组的实例作为一个图关系节点,将网络拓扑关系变为节点边关系,并根据节点边关系构建图谱,获得一个全系统威胁表达的向量数列;其中,将三元风险关系组的实例作为一个图关系节点,其表达为:
{obj,vul,cons};
将网络拓扑关系变为节点边关系,其威胁图的表达为:
Figure BDA0003669221150000051
如图3所示,根据构建的图谱可得到一个威胁数值序列G={S(v1)e1,S(v2)e1e2,S(v3)e2},其中S()为根据策略对节点进行安全数值评估的score函数。
S500、根据全系统威胁表达的向量数列进行运算,识别出风险最大的节点关系,针对该节点和周边节点进行相应的缓解措施应用,得到其威胁数值,并判断是否低于安全限定;若是则结束,否则返回S400。
对于所有的工业系统,都存在信息安全风险,在实际工作过程中,根据所能掌握的信息数据,分析结果中的风险可被认为判断是否可以接受,若达到可接受登记,即表示风险在受控和可接受的程度,对其引起的后果也在可接受范围内。
该方法可用于嵌入持续安全管理系统(CSMS)进行持续性分析和评估威胁程序本身和应用环节措施后的实施效果。在为企业进行相应信息安全合规,提出证据和报告中起到了能科学定量的说明基于工业系统试剂情况的安全状态,并且提供了基于该方法的结果进一步分析和利用的扩展性通道。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于工业系统网络实体的威胁图谱的构建方法,其特征在于,所述构建方法包括如下步骤:
S100、将原始收集的漏洞数据库与目标系统中的资产进行数据匹配,并将匹配后的数据对和元信息存入匹配数据库中;
S200、根据用户的网络环境,画出或导入所需要分析资产部分的网络拓扑关系图;
S300、将资产的安全关系取三形成一个三元风险关系组;
S400、将三元风险关系组的实例作为一个图关系节点,将网络拓扑关系变为节点边关系,并根据节点边关系构建图谱,获得一个全系统威胁表达的向量数列;
S500、根据全系统威胁表达的向量数列进行运算,识别出风险最大的节点关系,针对该节点和周边节点进行相应的缓解措施应用,得到其威胁数值,并判断是否低于安全限定;若是则结束,否则返回S400。
2.如权利要求1所述的基于工业系统网络实体的威胁图谱的构建方法,其特征在于,所述将原始收集的漏洞数据库与目标系统中的资产进行数据匹配,并将匹配后的数据对和元信息存入匹配数据库中包括:
S101、通过自动化爬虫引擎对NVD和CNNVD漏洞数据库进行主动或被动的定向获取,并对获取的数据进行信息处理,并存入关系型数据库;
S102、根据漏洞描述字段和分类字段提取漏洞可能造成影响的安全属性,使漏洞与安全属性关联;
S103、对提取的漏洞影响的安全属性与资产的匹配后与STRIDE中的威胁因素之间进行映射,从而生成漏洞影像的资产所面临的每种威胁类型。
3.如权利要求2所述的基于工业系统网络实体的威胁图谱的构成方法,其特征在于,所述数据匹配过程包括漏洞数据库基本索引信息清洗、目标系统资产数据收集并产生匹配索引信息、索引信息匹配。
4.如权利要求2所述的基于工业系统网络实体的威胁图谱的构建方法,其特征在于,所述安全属性根据微软公司STRIDE方法的对应关系,包括鉴权属性、授权属性、不可否认属性、机密属性、完整属性以及可用属性。
5.如权利要求2所述的基于工业系统网络实体的威胁图谱的构建方法,其特征在于,所述威胁因素共六种,包括虚假欺骗、篡改、拒绝承认、信息泄露、拒绝服务以及权限提升。
6.如权利要求1所述的基于工业系统网络实体的威胁图谱的构构建方法,其特征在于,所述网络拓扑关系图的元素包括过程、用户、数据流以及数据存储。
7.如权利要求1所述的基于工业系统网络实体的威胁图谱的构建方法,其特征在于,所述三元风险关系组包括抽象元素的对象、漏洞以及结果。
CN202210600987.5A 2022-05-30 2022-05-30 一种基于工业系统网络实体的威胁图谱的构建方法 Active CN115134122B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210600987.5A CN115134122B (zh) 2022-05-30 2022-05-30 一种基于工业系统网络实体的威胁图谱的构建方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210600987.5A CN115134122B (zh) 2022-05-30 2022-05-30 一种基于工业系统网络实体的威胁图谱的构建方法

Publications (2)

Publication Number Publication Date
CN115134122A true CN115134122A (zh) 2022-09-30
CN115134122B CN115134122B (zh) 2024-04-26

Family

ID=83378414

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210600987.5A Active CN115134122B (zh) 2022-05-30 2022-05-30 一种基于工业系统网络实体的威胁图谱的构建方法

Country Status (1)

Country Link
CN (1) CN115134122B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117370987A (zh) * 2023-10-13 2024-01-09 南京审计大学 基于知识图谱的云服务平台安全审计漏洞评测方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8201257B1 (en) * 2004-03-31 2012-06-12 Mcafee, Inc. System and method of managing network security risks
US20170048266A1 (en) * 2015-08-13 2017-02-16 Accenture Global Services Limited Computer asset vulnerabilities
CN109639670A (zh) * 2018-12-10 2019-04-16 北京威努特技术有限公司 一种基于知识图谱的工控网络安全态势量化评估方法
CN109922075A (zh) * 2019-03-22 2019-06-21 中国南方电网有限责任公司 网络安全知识图谱构建方法和装置、计算机设备
CN110380896A (zh) * 2019-07-04 2019-10-25 湖北央中巨石信息技术有限公司 基于攻击图的网络安全态势感知模型和方法
CN112600800A (zh) * 2020-12-03 2021-04-02 中国电子科技网络信息安全有限公司 基于图谱的网络风险评估方法
CN114257420A (zh) * 2021-11-29 2022-03-29 中国人民解放军63891部队 一种基于知识图谱的网络安全测试的生成方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8201257B1 (en) * 2004-03-31 2012-06-12 Mcafee, Inc. System and method of managing network security risks
US20170048266A1 (en) * 2015-08-13 2017-02-16 Accenture Global Services Limited Computer asset vulnerabilities
CN109639670A (zh) * 2018-12-10 2019-04-16 北京威努特技术有限公司 一种基于知识图谱的工控网络安全态势量化评估方法
CN109922075A (zh) * 2019-03-22 2019-06-21 中国南方电网有限责任公司 网络安全知识图谱构建方法和装置、计算机设备
CN110380896A (zh) * 2019-07-04 2019-10-25 湖北央中巨石信息技术有限公司 基于攻击图的网络安全态势感知模型和方法
CN112600800A (zh) * 2020-12-03 2021-04-02 中国电子科技网络信息安全有限公司 基于图谱的网络风险评估方法
CN114257420A (zh) * 2021-11-29 2022-03-29 中国人民解放军63891部队 一种基于知识图谱的网络安全测试的生成方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
何伟;谭曙光;陈平;: "一种基于STRIDE威胁模型的风险评估方法", 信息安全与通信保密, no. 10 *
陶耀东;贾新桐;吴云坤;: "一种基于知识图谱的工业互联网安全漏洞研究方法", 信息技术与网络安全, no. 01 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117370987A (zh) * 2023-10-13 2024-01-09 南京审计大学 基于知识图谱的云服务平台安全审计漏洞评测方法及系统
CN117370987B (zh) * 2023-10-13 2024-03-12 南京审计大学 基于知识图谱的云服务平台安全审计漏洞评测方法及系统

Also Published As

Publication number Publication date
CN115134122B (zh) 2024-04-26

Similar Documents

Publication Publication Date Title
US11526614B2 (en) Continuous vulnerability management system for blockchain smart contract based digital asset using sandbox and artificial intelligence
CN107623697B (zh) 一种基于攻防随机博弈模型的网络安全态势评估方法
CN102821007B (zh) 一种基于自律计算的网络安全态势感知系统及其处理方法
Chen et al. On blockchain integration into mobile crowdsensing via smart embedded devices: A comprehensive survey
CN108108624B (zh) 基于产品和服务的信息安全质量评估方法及装置
CN116861446A (zh) 一种数据安全的评估方法及系统
JP7213626B2 (ja) セキュリティ対策検討ツール
CN111787011A (zh) 一种信息系统安全威胁智能分析预警系统、方法及存储介质
CN112416979B (zh) 基于地理位置的反欺诈方法、装置、设备及存储介质
CN114003920A (zh) 系统数据的安全评估方法及装置、存储介质和电子设备
CN114785580A (zh) 一种云计算数据安全处理系统
CN118261713B (zh) 一种基于人工智能的金融数据分析方法及系统
CN115134122B (zh) 一种基于工业系统网络实体的威胁图谱的构建方法
Srivastava et al. An effective computational technique for taxonomic position of security vulnerability in software development
CN113657802A (zh) 数据采集分类分级成熟度指标记账方法、区块链系统及数据采集分类分级成熟度评估方法
CN114398685A (zh) 一种政务数据处理方法、装置、计算机设备及存储介质
Iqbal et al. Corda Security Ontology: Example of Post-Trade Matching and Confirmation.
CN116049832A (zh) 一种资产脆弱性评估方法、装置及设备、介质和产品
Patel et al. An exploration to blockchain-based deep learningframework
Yaqiong et al. Data privacy maturity assessment practice of digital transformation enterprises under the COVID-19: Taking an industrial company in Xiamen as an example
Jung et al. Prioritizing cloud service threats for succession to information security management system
Wang et al. RRDD: An ATT&CK-based ICS Network Security Risk Assessment Method
Kuwano et al. The attacker might also do next: ATT&CK behavior forecasting by attacker-based collaborative filtering and graph databases
CN115934881A (zh) 一种智慧管网知识模型的安全共享方法及系统
Zhang et al. Data security mining method of logistics supply chain based on degree of membership conversion

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant