CN115514582B - 基于att&ck的工业互联网攻击链关联方法及系统 - Google Patents

Abstract

本发明涉及一种基于ATT&CK的工业互联网攻击链关联方法及系统，具体涉及互联网技术领域。所述方法包括：对所有告警事件进行聚类操作得到告警事件簇，根据告警事件簇内各告警事件的通信地址、通信端口和执行时间以及各攻击日志的属性得到告警事件簇对应的告警事件连通图，根据各终端设备的资产类型、ATT&CK和攻击链模型，得到各资产类型对应的攻击阶段，根据各资产类型对应的攻击阶段得到各资产类型的危险等级，根据告警事件连通图和知识库中的攻击技术生成攻击技术序列，根据攻击技术序列、攻击路径库和目标终端设备得到攻击链和攻击链对应的危险等级。本发明可以提高攻击链关联的精准率，并且给出了攻击链的危险等级。

Description

基于ATT&CK的工业互联网攻击链关联方法及系统

技术领域

本发明涉及互联网技术领域，特别是涉及一种基于ATT&CK的工业互联网攻击链关联方法及系统。

背景技术

随着工业信息技术领域的发展和升级，特别是工业操作网络与互联网的打通，引入了大量新的攻击威胁，这些威胁主要与操作网络的特定任务有关，由于工业操作网络的设计规范，特别是能够操作现场设备，可能导致工业设备无法工作、甚至被破坏等严重后果。对于工业控制系统（ICS）的攻击，攻击者通常需要入侵企业网、工业控制系统，进而对PLC或RTU等终端设备产生实际的影响，造成严重的破坏。此外由于ICS系统正常流量是专属的、稳定的，入侵者需要对网络结构、网络中的设备类型、流量特点有一定的了解，才能达成攻击目的。因此入侵工业控制系统通常是多步的，持续一定时间，具有明显高级持续性威胁（Advanced Persistent Threat，APT）特点。

工业控制系统是IT与OT的结合，目前针对工业控制系统威胁检测的技术主要涉及以下三种方案：一、针对OT网络，基于白名单的技术，根据网络IP、地址等信息建立白名单制度，或者白名单自动识别，同时结合操作码值域验证技术，对白名单以外的流量告警；二、对企业网及出口部署IDS、防火墙等系统，与传统的网络安全类似，主要防止来自内外网的入侵；三、基于全域的告警事件、结合攻击行为知识库和模型（Adversarial Tactics ,Techniques ,and Common Knowledge，ATT&CK）发掘漏洞和情报信息库，对二者进行关联分析，对攻击进行溯源分析，进而识别出高威胁攻击。

仅仅采用方案一或方案二，只关注企业网或者现场操作网，无法获取威胁攻击的全貌信息，难以发现攻击者的行动步骤，因此无法发现APT的攻击链；同时采用方案一或方案二，但是未对二者结果关联分析，同样难以发现APT攻击；采用方案三已经整合企业网和现场操作网告警日志、并根据ATT&CK、或情报信息进行关联分析，但主要将基于IT网络的关联分析技术迁移至工业控制系统，仍存在以下问题：ATT&CK的利用并没有结合工业控制系统设备类型、设备特点，关联精准度率低；此外工控网络中设备功能层次分明，对告警危险程度评估有重要的辅助作用，已有方案并没有给出攻击的危险程度，而这对判断APT的攻击阶段有很重要的作用。

发明内容

本发明的目的是提供一种基于ATT&CK的工业互联网攻击链关联方法及系统，可以提高攻击链关联的精准率，并且给出了攻击链的危险等级。

为实现上述目的，本发明提供了如下方案：

一种基于ATT&CK的工业互联网攻击链关联方法，包括：

获取待处理区域内所有终端设备的攻击日志和告警事件；

将各攻击日志分别进行解析得到每个攻击日志的属性，所述属性包括主进程、子进程、操作类型、文件名称、通信地址、通信端口和执行时间；

将各终端设备的数据信息输入到多分类模型中得到各终端设备的资产类型；所述数据信息包括数据包频率的均值、数据包频率的方差、数据包长度的均值、数据包长度的方差、报文响应速率的均值和报文响应速率的方差；所述资产类型包括控制服务器、数据日志中心、工程站、控制器、人机交互界面、IO服务器和安全系统；所述控制器为现场控制器、远程终端单元、可编程逻辑控制器或智能电子设备；所述安全系统为安全仪表系统、安全联锁系统或保护继电器；

根据各终端设备的内网IP和外网IP的连通关系对所有告警事件依次进行特征工程操作和聚类操作得到多个告警事件簇；

对于任意一个告警事件簇，根据所述告警事件簇内各告警事件的通信地址、通信端口和执行时间以及各攻击日志的属性，采用攻击场景重构技术得到所述告警事件簇对应的告警事件连通图；

根据各终端设备的资产类型、ATT&CK和攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段；

根据各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段得到各所述终端设备的资产类型的危险等级；

对于任意一个告警事件簇，根据所述告警事件簇对应的告警事件连通图和所述ATT&CK中的攻击技术生成所述告警事件簇对应的攻击技术序列；

根据各所述终端设备的资产类型的危险等级、所述告警事件簇对应的攻击技术序列和攻击路径库得到告警事件簇对应的攻击链和所述攻击链对应的危险等级；所述攻击路径库根据所述ATT&CK得到的。

可选的，所述根据各终端设备的内网IP和外网IP的连通关系对所有告警事件依次进行特征工程操作和聚类操作得到多个告警事件簇，具体包括：

以各告警事件的源IP地址和目的IP地址为节点生成连通图；所有告警事件对应一个连通图；所述源IP地址和所述目的IP地址中至少有一个为内网IP；

根据各终端设备的内网IP和外网IP采用随机游走算法根据所述连通图得到内网IP序列；

通过NLP算法对所述内网IP序列进行处理得到的各内网IP的词嵌入；

根据各内网IP的词嵌入和各告警事件的源IP地址和目的IP地址得到各告警事件的IP向量特征；

将所述告警事件的通信端口、执行时间和持续时间分别表示为向量得到所述告警事件的通信端口向量、执行时间向量和持续时间向量；

根据各告警事件的IP向量特征、通信端口向量、执行时间向量和持续时间向量对所有告警事件进行聚类得到多个告警事件簇。

可选的，所述对于任意一个告警事件簇，根据所述告警事件簇内各告警事件的通信地址、通信端口和执行时间以及各攻击日志的属性，采用攻击场景重构技术得到所述告警事件簇对应的告警事件连通图，具体包括：

对于任意一个告警事件簇，以所述告警事件簇内各告警事件的通信地址、通信端口和通信时间为线索，采用攻击场景重构技术根据所述攻击日志的属性，得到各所述告警事件与各所述攻击日志之间的关联关系；

根据各所述告警事件与各所述攻击日志之间的关联关系得到各告警事件之间的关联关系；

根据各告警事件之间的关联关系得到所述告警事件簇对应的告警事件连通图。

可选的，所述根据各终端设备的资产类型、ATT&CK和攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段，具体包括：

根据各所述终端设备的资产类型和所述ATT&CK得到各所述终端设备的资产类型对应的ATT&CK中的攻击技术；

根据各所述终端设备的资产类型对应的ATT&CK中的攻击技术和所述攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段。

可选的，所述对于任意一个告警事件簇，根据所述告警事件簇对应的告警事件连通图和所述ATT&CK中的攻击技术生成所述告警事件簇对应的攻击技术序列，具体包括：

根据所述告警事件簇对应的告警事件连通图，将所述告警事件簇中各告警事件的告警类型与所述ATT&CK中的攻击技术映射；

根据所述告警事件簇中各告警事件的告警类型与所述ATT&CK中的攻击技术的映射关系生成所述告警事件簇对应的攻击技术序列。

可选的，所述根据各所述终端设备的资产类型的危险等级、所述告警事件簇对应的攻击技术序列和攻击路径库得到告警事件簇对应的攻击链和所述攻击链对应的危险等级，具体包括：

将所述告警事件簇对应的攻击技术序列与攻击路径库中的攻击路径进行匹配；

若匹配成功，则根据目标攻击路径对所述告警事件簇对应的告警事件连通图中的告警事件进行筛选，得到所述告警事件簇对应的攻击链，并根据目标终端设备的资产类型的危险等级确定所述攻击链对应的危险等级；所述目标终端设备为所述告警事件簇对应的攻击链中的所有告警事件对应的终端设备；所述目标攻击路径为攻击路径库中与所述告警事件簇对应的攻击技术序列匹配成功的路径；

若匹配失败且所述目标终端设备的资产类型的危险等级超过设定等级阈值，则将所述告警事件簇对应的攻击技术序列添加到攻击路径库中。

一种基于ATT&CK的工业互联网攻击链关联系统，包括：

获取模块，用于获取待处理区域内所有终端设备的攻击日志和告警事件；

属性确定模块，用于将各攻击日志分别进行解析得到每个攻击日志的属性，所述属性包括主进程、子进程、操作类型、文件名称、通信地址、通信端口和执行时间；

资产类确定模块，用于将各终端设备的数据信息输入到多分类模型中得到各终端设备的资产类型；所述数据信息包括数据包频率的均值、数据包频率的方差、数据包长度的均值、数据包长度的方差、报文响应速率的均值和报文响应速率的方差；所述资产类型包括控制服务器、数据日志中心、工程站、控制器、人机交互界面、IO服务器和安全系统；所述控制器为现场控制器、远程终端单元、可编程逻辑控制器或智能电子设备；所述安全系统为安全仪表系统、安全联锁系统或保护继电器；

特征工程和聚类模块，用于根据各终端设备的内网IP和外网IP的连通关系对所有告警事件依次进行特征工程操作和聚类操作得到多个告警事件簇；

告警事件连通图确定模块，用于对于任意一个告警事件簇，根据所述告警事件簇内各告警事件的通信地址、通信端口和执行时间以及各攻击日志的属性，采用攻击场景重构技术得到所述告警事件簇对应的告警事件连通图；

攻击阶段确定模块，用于根据各终端设备的资产类型、ATT&CK和攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段；

危险等级计算模块，用于根据各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段得到各所述终端设备的资产类型的危险等级；

攻击技术序列确定模块，用于对于任意一个告警事件簇，根据所述告警事件簇对应的告警事件连通图和所述ATT&CK中的攻击技术生成所述告警事件簇对应的攻击技术序列；

攻击链确定模块，用于根据各所述终端设备的资产类型的危险等级、所述告警事件簇对应的攻击技术序列和攻击路径库得到告警事件簇对应的攻击链和所述攻击链对应的危险等级；所述攻击路径库根据所述ATT&CK得到的。

可选的，所述告警事件连通图确定模块，具体包括：

事件与日志关联关系确定单元，用于对于任意一个告警事件簇，以所述告警事件簇内各告警事件的通信地址、通信端口和通信时间为线索，采用攻击场景重构技术根据所述攻击日志的属性，得到各所述告警事件与各所述攻击日志之间的关联关系；

事件关联关系确定单元，用于根据各所述告警事件与各所述攻击日志之间的关联关系得到各告警事件之间的关联关系；

告警事件连通图确定单元，用于根据各告警事件之间的关联关系得到所述告警事件簇对应的告警事件连通图。

可选的，所述攻击阶段确定模块，具体包括：

攻击技术确定单元，用于根据各所述终端设备的资产类型和所述ATT&CK得到各所述终端设备的资产类型对应的ATT&CK中的攻击技术；

攻击阶段确定单元，用于根据各所述终端设备的资产类型对应的ATT&CK中的攻击技术和所述攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段。

可选的，所述攻击技术序列确定模块，具体包括：

映射单元，用于根据所述告警事件簇对应的告警事件连通图，将所述告警事件簇中各告警事件的告警类型与所述ATT&CK中的攻击技术映射；

攻击技术序列确定单元，用于根据所述告警事件簇中各告警事件的告警类型与所述ATT&CK中的攻击技术的映射关系生成所述告警事件簇对应的攻击技术序列。

根据本发明提供的具体实施例，本发明公开了以下技术效果：本发明首先根据安全设备的告警事件和攻击日志还原攻击全貌得到告警事件连通图对应的攻击技术序列，同时基于ATT&CK构建攻击路径库，对比二者，进而评估告警事件连通图是否具有攻击链性质提高攻击链关联的精准率，最后结合资产类型的危险等级，对攻击链的威胁程度进一步评估得到攻击链的危险等级。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于ATT&CK的工业互联网攻击链关联方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

本发明提供了一种基于ATT&CK的工业互联网攻击链关联方法，包括：

获取待处理区域内所有终端设备的攻击日志和告警事件。

将各攻击日志分别进行解析得到每个攻击日志的属性，所述属性包括主进程、子进程、操作类型、文件名称、通信地址、通信端口和执行时间。

将各终端设备的数据信息输入到多分类模型中得到各终端设备的资产类型；所述数据信息包括数据包频率的均值、数据包频率的方差、数据包长度的均值、数据包长度的方差、报文响应速率的均值和报文响应速率的方差；所述资产类型包括Control Server（控制服务器：托管PLC等监控软件，与较低级别设备通信）、Data Historian（数据日志中心）、Engineering Workstation（工程站）、控制器、Human-Machine Interface（人机交互界面）、Input/output (IO) Server(IO服务器，IO服务器可以是单独主机也可以在控制服务器上)和安全系统。控制器为：Field Controller（现场控制器）、RTU（远程终端单元）、PLC（可编程逻辑控制器）或IED（智能电子设备）；安全系统为Safety Instrumented System（安全仪表系统或安全联锁系统，主要为工厂控制系统中报警和联锁部分，对控制系统中检测的结果实施报警动作或调节或停机控制）或Protection Relay（保护继电器：是一种智能设备，它接收输入，将其与设定值进行比较，并提供输出）。

根据各终端设备的内网IP和外网IP的连通关系对所有告警事件依次进行特征工程操作和聚类操作得到多个告警事件簇。

对于任意一个告警事件簇，根据所述告警事件簇内各告警事件的通信地址、通信端口和执行时间以及各攻击日志的属性，采用攻击场景重构技术得到所述告警事件簇对应的告警事件连通图。

根据各终端设备的资产类型、ATT&CK和攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段。

根据各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段得到各所述终端设备的资产类型的危险等级。

对于任意一个告警事件簇，根据所述告警事件簇对应的告警事件连通图和所述ATT&CK中的攻击技术生成所述告警事件簇对应的攻击技术序列。

根据各所述终端设备的资产类型的危险等级、所述告警事件簇对应的攻击技术序列和攻击路径库得到告警事件簇对应的攻击链和所述攻击链对应的危险等级；所述攻击路径库根据所述ATT&CK得到的。

在实际应用中，所述根据各终端设备的内网IP和外网IP的连通关系对所有告警事件依次进行特征工程操作和聚类操作得到多个告警事件簇，具体包括：

以各告警事件的源IP地址和目的IP地址为节点生成连通图；所有告警事件对应一个连通图；所述源IP地址和所述目的IP地址中至少有一个为内网IP。

根据各终端设备的内网IP和外网IP采用随机游走算法根据所述连通图得到内网IP序列，具体为根据各终端设备的内网IP和外网IP确定连通图中各节点为内网的IP得到内网IP序列。

通过NLP算法对所述内网IP序列进行处理得到的各内网IP的词嵌入（Embedding）。

根据各内网IP的Embedding和各告警事件的源IP地址和目的IP地址得到各告警事件的IP向量特征。

将所述告警事件的通信端口、执行时间和持续时间分别表示为向量得到所述告警事件的通信端口向量、执行时间向量和持续时间向量。

根据各告警事件的IP向量特征、通信端口向量、执行时间向量和持续时间向量对所有告警事件进行聚类得到多个告警事件簇。

在实际应用中，所述对于任意一个告警事件簇，根据所述告警事件簇内各告警事件的通信地址、通信端口和执行时间以及各攻击日志的属性，采用攻击场景重构技术得到所述告警事件簇对应的告警事件连通图，具体包括：

对于任意一个告警事件簇，以所述告警事件簇内各告警事件的通信地址、通信端口和通信时间为线索，采用攻击场景重构技术根据所述攻击日志的属性，得到各所述告警事件与各所述攻击日志之间的关联关系。

根据各所述告警事件与各所述攻击日志之间的关联关系得到各告警事件之间的关联关系。

根据各告警事件之间的关联关系得到所述告警事件簇对应的告警事件连通图。

在实际应用中，所述根据各终端设备的资产类型、ATT&CK和攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段，具体包括：

根据各所述终端设备的资产类型和所述ATT&CK得到各所述终端设备的资产类型对应的ATT&CK中的攻击技术。

根据各所述终端设备的资产类型对应的ATT&CK中的攻击技术和所述攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段。

在实际应用中，所述对于任意一个告警事件簇，根据所述告警事件簇对应的告警事件连通图和所述ATT&CK中的攻击技术生成所述告警事件簇对应的攻击技术序列，具体包括：

根据所述告警事件簇对应的告警事件连通图，将所述告警事件簇中各告警事件的告警类型与所述ATT&CK中的攻击技术映射。

根据所述告警事件簇中各告警事件的告警类型与所述ATT&CK中的攻击技术的映射关系生成所述告警事件簇对应的攻击技术序列。

在实际应用中，所述根据各所述终端设备的资产类型的危险等级、所述告警事件簇对应的攻击技术序列和攻击路径库得到告警事件簇对应的攻击链和所述攻击链对应的危险等级，具体包括：

将所述告警事件簇对应的攻击技术序列与攻击路径库中的攻击路径进行匹配。

若匹配成功，则根据目标攻击路径对所述告警事件簇对应的告警事件连通图中的告警事件进行筛选，得到所述告警事件簇对应的攻击链，并根据目标终端设备的资产类型的危险等级确定所述攻击链对应的危险等级；所述目标终端设备为所述告警事件簇对应的攻击链中的所有告警事件对应的终端设备；所述目标攻击路径为攻击路径库中与所述告警事件簇对应的攻击技术序列匹配成功的路径。

若匹配失败且所述目标终端设备的资产类型的危险等级超过设定等级阈值，则将所述告警事件簇对应的攻击技术序列添加到攻击路径库中。

针对上述实施例本发明提供了一种基于ATT&CK的工业互联网攻击链关联系统，包括：

获取模块，用于获取待处理区域内所有终端设备的攻击日志和告警事件；

属性确定模块，用于将各攻击日志分别进行解析得到每个攻击日志的属性，所述属性包括主进程、子进程、操作类型、文件名称、通信地址、通信端口和执行时间。

资产类确定模块，用于将各终端设备的数据信息输入到多分类模型中得到各终端设备的资产类型；所述数据信息包括数据包频率的均值、数据包频率的方差、数据包长度的均值、数据包长度的方差、报文响应速率的均值和报文响应速率的方差；所述资产类型包括控制服务器、数据日志中心、工程站、控制器、人机交互界面、IO服务器和安全系统；所述控制器为现场控制器、远程终端单元、可编程逻辑控制器或智能电子设备；所述安全系统为安全仪表系统、安全联锁系统或保护继电器。

特征工程和聚类模块，用于根据各终端设备的内网IP和外网IP的连通关系对所有告警事件依次进行特征工程操作和聚类操作得到多个告警事件簇。

告警事件连通图确定模块，用于对于任意一个告警事件簇，根据所述告警事件簇内各告警事件的通信地址、通信端口和执行时间以及各攻击日志的属性，采用攻击场景重构技术得到所述告警事件簇对应的告警事件连通图。

攻击阶段确定模块，用于根据各终端设备的资产类型、ATT&CK和攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段。

危险等级计算模块，用于根据各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段得到各所述终端设备的资产类型的危险等级。

攻击技术序列确定模块，用于对于任意一个告警事件簇，根据所述告警事件簇对应的告警事件连通图和所述ATT&CK中的攻击技术生成所述告警事件簇对应的攻击技术序列。

攻击链确定模块，用于根据各所述终端设备的资产类型的危险等级、所述告警事件簇对应的攻击技术序列和攻击路径库得到告警事件簇对应的攻击链和所述攻击链对应的危险等级；所述攻击路径库根据所述ATT&CK得到的。

作为一种可选的实施方式，所述告警事件连通图确定模块，具体包括：

事件与日志关联关系确定单元，用于对于任意一个告警事件簇，以所述告警事件簇内各告警事件的通信地址、通信端口和通信时间为线索，采用攻击场景重构技术根据所述攻击日志的属性，得到各所述告警事件与各所述攻击日志之间的关联关系。

事件关联关系确定单元，用于根据各所述告警事件与各所述攻击日志之间的关联关系得到各告警事件之间的关联关系。

告警事件连通图确定单元，用于根据各告警事件之间的关联关系得到所述告警事件簇对应的告警事件连通图。

作为一种可选的实施方式，所述攻击阶段确定模块，具体包括：

攻击技术确定单元，用于根据各所述终端设备的资产类型和所述ATT&CK得到各所述终端设备的资产类型对应的ATT&CK中的攻击技术。

攻击阶段确定单元，用于根据各所述终端设备的资产类型对应的ATT&CK中的攻击技术和所述攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段。

作为一种可选的实施方式，所述攻击技术序列确定模块，具体包括：

映射单元，用于根据所述告警事件簇对应的告警事件连通图，将所述告警事件簇中各告警事件的告警类型与所述ATT&CK中的攻击技术映射。

攻击技术序列确定单元，用于根据所述告警事件簇中各告警事件的告警类型与所述ATT&CK中的攻击技术的映射关系生成所述告警事件簇对应的攻击技术序列。

本发明实施例提供了一种更加具体的基于ATT&CK的工业互联网攻击链关联方法，如图1，包括如下步骤：

步骤一：

日志采集：获取企业网和操作网原始审计日志数据。具体为：采集全域终端设备包括企业网、操作网（包括控制网、现场网络设备）内核级设备日志并基于日志收集系统，流式采集数据至日志数据处理。

日志数据处理。主要处理采集的日志中进程或操作之间的关系，进行结构化。关键步骤：1、首先将所有的日志数据中所有的攻击日志筛选出来；2、采用spark对所有的攻击日志进行解析得到每个攻击日志的属性，将文本处理成记录，属性包括：主进程、子进程、操作类型（生成新进程、读、写）、文件名称、通信地址、通信端口和执行时间，处理结果为一张包含这些属性的二维记录表；3、对2中处理后结构化的数据，存入hive大数据组件，且保存T+1时间的数据，T为告警关联的时间窗口，1为关联执行的时间频率。

获取安全厂商设备告警事件：基于kafka组件，各个告警设备生产的告警消息均传至kafka。

工控网络资产画像：根据流量统计特征（与已知内网IP的数据包响应时间均值的差异大于一定阈值的为外网IP）对未知IP区分内外网得到各终端设备的内网IP和外网IP；然后人工选取工控网络的典型设备即上面全域的终端设备，企业中通过主机（个人、服务器等）+操作系统指纹分类，工控网络（对齐ATT&CK标准）分为Control Server、DataHistorian、Engineering Workstation、Field Controller/RTU/PLC/IED、Human-MachineInterface、Input/Output Server（IO Server）和Safety Instrumented System/Protection Relay，这些资产类别为数据标签，针对根据所有内网IP（用户提供的内网IP和流量特征判断得到的内网IP）设备的流量，构造特征，选择包括数据包频率的均值、数据包频率的方差、数据包长度的均值、数据包长度的方差、报文响应速率的均值和报文响应速率的方差；然后训练基于多层感知器的softmax多分类模型，用训练好的模型对剩余设备预测分类，标记为相应资产类别。

ATT&CK获取，ATT&CK（Adversarial Tactics ,Techniques ,and CommonKnowledge）是网络攻击行为的知识库和模型，反映了攻击者生命周期的各个阶段变化和攻击的入侵程度。在官网下载其条目信息，然后通过爬虫技术，重点获取TTPs（Tactics、Techniques & Procedures）相关知识和攻击作用点（攻击的对象类型）和APT信息等方面的信息，这些知识是对已有APT组织攻击技术的抽象和总结，对判别和评估攻击链关联效果十分重要。

步骤二：

对告警事件进行特征工程：从kafka获取告警事件，进行特征工程，包括以下2个步骤：

1、告警事件IP信息处理，获取告警事件的IP信息，根据内网清单（工控网络资产画像得到的各终端设备的内网IP和外网IP），在网关镜像全部告警事件内网IP有关流量（源IP地址和目的IP地址中至少有一个IP是内网IP），根据流量的源IP地址和目的IP地址的链接关系（IP间有流量即存在一条边），以IP为节点生成连通图，通过随机游走算法，获得内网IP组成序列，删除序列中的外网IP，然后通过NLP算法，得出IP的Embedding，如果告警事件包含2个内网IP，则Embedding求平均，获得事件新的IP特征向量，如果包含一个外网IP，则取内网IP的Embedding作为事件的IP向量特征，新的IP向量特征取代事件源IP和目的IP，IP的向量特征基于图结构邻近关系而来，代表攻击事件空间上的邻近关系。

2、对应剩余字段，如时间、端口、持续时间等，遵循两种处理方法：①.转化为数字（如时间属性、端口等），这类特征能够通过距离来表达临近关系，②.类别变量（例：外网IP、domain），只能表达相等或不相等，采用onehot独热编码。通过1和2将告警事件转化为数字向量，向量间的距离可表示告警事件在IP空间上相邻程度、时间上的相近程度和属性的相似性。

基于时空紧邻的事件关联分析：首先对告警事件聚类分析，通过预训练计算告警事件两两之间的距离矩阵，采用聚类算法对告警事件关联分析（特征工程部分属性包含了IP空间信息，也包括时间和其他属性信息，因此在时空上对事件进行关联），生成相关性高的告警事件簇。

完整攻击链路还原：以告警事件簇内告警事件IP、端口和时间信息为线索，采用的攻击场景重构技术（关联进程、文件读写、网络连接和权限变更等事件，生成具体的攻击路径图），在日志数据中关联出发生在终端的相关事件，最大程度通过日志数据，将告警事件簇中的事件连接成一张有向连通图，还原攻击事件全貌。事件图中通过迪克斯特拉算法查找最近保留时间上相邻事件的最短路径，其中存在无法连通的事件，那么仅保留最大连通子图。本发明从告警事件出发还原连通图，而不是日志信息，原因是日志数据量巨大，难以及时完成计算，而从告警事件出发，只关注可能存在攻击链的事件出发，极大减少了计算量。

基于ATT&CK构建攻击路径库：基于获取的ATT&CK，从每个APT组织（ATT&CK中的group）出发，通过APT组织关联出所有战术对应的所有的攻击技术，构造成无向图，节点为攻击技术，节点属性包括所有的程序、攻击目标所处环境及时间信息。首先基于时间窗口W，结合节点的环境属性信息（例如操作系统版本类型一致），完成对图的切割，生成由攻击技术构成的攻击路径schema图；关联时注意ATT&CK框架需要同时包括Enterprise（企业网）和ICS（工业控制系统）的知识库，而APT组织，只关注ICS有关的APT组织。路径输出形式为ABCDBECFG，A到G为不同的攻击技术类型，出现的前后顺序代表攻击的次序。

资产威胁分级：根据工控网络资产画像所得出的设备的资产类型，关联出资产类型在ATT&CK已有的攻击过程涉及的所有攻击技术，将攻击技术映射为attack-chain攻击链模型中的7个阶段：侦查目标阶段、制作工具阶段、传送工具阶段、触发工具阶段、安装木马阶段、建立连接阶段、执行攻击阶段。然后根据每个资产类型对应的攻击技术的攻击阶段得到资产危险程度，将七个阶段对应严重程度依次为1-7分，同一资产类型可能对应多个攻击阶段，根据出现的频率进行加权平均得出资产的危险程度。

攻击链确认及攻击危险度评估：根据告警事件还原的完整攻击链全貌图，需要人工将告警事件的告警类型与TTPs(Tactics、Techniques & Procedures)中的攻击技术做映射，根据告警事件发生的先后顺序，生成告警事件对应的攻击技术序列如ABCBBBCCDEFG，然后对相邻的攻击类型压缩为一个，压缩后攻击序列为ABCBCQDEGF，然后基于莱文斯坦距离计算与攻击路径库中所有攻击路径的序列的相似性，筛选出相似性最高的攻击路径库中的攻击路径图(例如：ABCBCDECFG)，超过一定阈值匹配成功。匹配成功后再根据攻击路径图，删除告警事件对应的攻击技术序列中在攻击路径图不存在的技术，同时删除攻击链中这些技术对应攻击类型对应的告警事件（例如Q是未在攻击图中，则压缩后序列删除Q，记为ABCBCDEGF，同时删除攻击链中Q对应的事件），然后结合相关资产的危险程度，给出事件的告警危险程度，进行告警（如：A-F涉及资产中，E涉及针对Control Server（控制服务器），而Control Server危险程度最高，则将Control Server危险分数作为整个告警的危险分数，这样做更关注核心资产是否受到入侵，以及下一步攻击核心设备可能造成的潜在重大影响，能够第一时间告警，避免无可挽回的损失）；若匹配未成功，则评估涉及资产的危险程度，超过阈值即告警，此类告警需要专家进一步分析确认。

攻击链告警：对关联成功的攻击链事件，以对攻击链连通图内的所有事件以整体形式进行告警，并且给出对应的攻击路径图及相似度，攻击链告警的危险度；从获取告警事件数据到攻击链告警的计算过程是定时的。

未知攻击路径生成及确认：对专家确认的攻击链，则抽取各攻击步骤的技术，映射至tactics，补充到攻击路径库中。

本发明有以下优点：

1.本发明根据工控网络内部网络稳定的特点，在对内网的IP连通信息，采用NLP技术进行特征工程，并通过聚类技术充分利用了IP空间信息、属性信息，对告警事件进行关联。

2.本发明基于ATT&CK框架，对每个APT抽取攻击技术层次的抽象攻击路径，最后通过攻击路径对聚类关联结果进一步过滤筛选，提高关联的精度，并且根据攻击路径图的攻击技术序列和告警类型映射的攻击技术序列的相似度来评价匹配到攻击链的程度。

3.本发明通过工控资产画像，获得工控网内所有资产的特征，通过利用ATT&CK的知识经验，评价出资产受到威胁时的危险程度，进而评估攻击链的危险程度。

4.本发明在采集了包括企业网、操作网、现场网络的全域信息，能够较为全面的捕获攻击链的实施动作，同时基于告警事件的IP连通关系，对IP的向量化Embedding，能够表达攻击在空间的邻近关系，从而提取到了更多关于攻击链的行为信息，另外基于ATT&CK已知的经验模型进行了基于攻击技术层次的实例化，通过映射，与攻击实例对比匹配，充分利用了业界的已知经验，从而实现更高的精准度。此外，本发明引入资产画像技术，充分利用了工控网络中不同资产特的独有特性，然后基于ATT&CK的模型经验，对攻击链的危险程度进行客观的评价，进而基于危险度推荐出涉及高危资产的潜在未知的攻击链，此外危险程度对攻击链的分析处理优先级有很好的指导作用。

5.本发明主要针对工业控制系统面临日益严重的高级可持续威胁攻击，在已知单步攻击告警日志基础上，实时识别出高相关、持续的多步危险攻击。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种基于ATT&CK的工业互联网攻击链关联方法，其特征在于，包括：

获取待处理区域内所有终端设备的攻击日志和告警事件；

将各攻击日志分别进行解析得到每个攻击日志的属性，所述属性包括主进程、子进程、操作类型、文件名称、通信地址、通信端口和执行时间；

将各终端设备的数据信息输入到多分类模型中得到各终端设备的资产类型；所述数据信息包括数据包频率的均值、数据包频率的方差、数据包长度的均值、数据包长度的方差、报文响应速率的均值和报文响应速率的方差；所述资产类型包括控制服务器、数据日志中心、工程站、控制器、人机交互界面、IO服务器和安全系统；所述控制器为现场控制器、远程终端单元、可编程逻辑控制器或智能电子设备；所述安全系统为安全仪表系统、安全联锁系统或保护继电器；

根据各终端设备的内网IP和外网IP的连通关系对所有告警事件依次进行特征工程操作和聚类操作得到多个告警事件簇；

对于任意一个告警事件簇，根据所述告警事件簇内各告警事件的通信地址、通信端口和执行时间以及各攻击日志的属性，采用攻击场景重构技术得到所述告警事件簇对应的告警事件连通图；

根据各终端设备的资产类型、ATT&CK和攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段；

根据各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段得到各所述终端设备的资产类型的危险等级；

对于任意一个告警事件簇，根据所述告警事件簇对应的告警事件连通图和所述ATT&CK中的攻击技术生成所述告警事件簇对应的攻击技术序列；

根据各所述终端设备的资产类型的危险等级、所述告警事件簇对应的攻击技术序列和攻击路径库得到告警事件簇对应的攻击链和所述攻击链对应的危险等级；所述攻击路径库是 根据所述ATT&CK得到的。

2.根据权利要求1所述的一种基于ATT&CK的工业互联网攻击链关联方法，其特征在于，所述根据各终端设备的内网IP和外网IP的连通关系对所有告警事件依次进行特征工程操作和聚类操作得到多个告警事件簇，具体包括：

以各告警事件的源IP地址和目的IP地址为节点生成连通图；所有告警事件对应一个连通图；所述源IP地址和所述目的IP地址中至少有一个为内网IP；

根据各终端设备的内网IP和外网IP采用随机游走算法根据所述连通图得到内网IP序列；

通过NLP算法对所述内网IP序列进行处理得到各内网IP的词嵌入；

根据各内网IP的词嵌入和各告警事件的源IP地址和目的IP地址得到各告警事件的IP向量特征；

将所述告警事件的通信端口、执行时间和持续时间分别表示为向量得到所述告警事件的通信端口向量、执行时间向量和持续时间向量；

根据各告警事件的IP向量特征、通信端口向量、执行时间向量和持续时间向量对所有告警事件进行聚类得到多个告警事件簇。

3.根据权利要求1所述的一种基于ATT&CK的工业互联网攻击链关联方法，其特征在于，所述对于任意一个告警事件簇，根据所述告警事件簇内各告警事件的通信地址、通信端口和执行时间以及各攻击日志的属性，采用攻击场景重构技术得到所述告警事件簇对应的告警事件连通图，具体包括：

对于任意一个告警事件簇，以所述告警事件簇内各告警事件的通信地址、通信端口和通信时间为线索，采用攻击场景重构技术根据所述攻击日志的属性，得到各所述告警事件与各所述攻击日志之间的关联关系；

根据各所述告警事件与各所述攻击日志之间的关联关系得到各告警事件之间的关联关系；

根据各告警事件之间的关联关系得到所述告警事件簇对应的告警事件连通图。

4.根据权利要求1所述的一种基于ATT&CK的工业互联网攻击链关联方法，其特征在于，所述根据各终端设备的资产类型、ATT&CK和攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段，具体包括：

根据各所述终端设备的资产类型和所述ATT&CK得到各所述终端设备的资产类型对应的ATT&CK中的攻击技术；

根据各所述终端设备的资产类型对应的ATT&CK中的攻击技术和所述攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段。

5.根据权利要求1所述的一种基于ATT&CK的工业互联网攻击链关联方法，其特征在于，所述对于任意一个告警事件簇，根据所述告警事件簇对应的告警事件连通图和所述ATT&CK中的攻击技术生成所述告警事件簇对应的攻击技术序列，具体包括：

根据所述告警事件簇对应的告警事件连通图，将所述告警事件簇中各告警事件的告警类型与所述ATT&CK中的攻击技术映射；

根据所述告警事件簇中各告警事件的告警类型与所述ATT&CK中的攻击技术的映射关系生成所述告警事件簇对应的攻击技术序列。

6.根据权利要求1所述的一种基于ATT&CK的工业互联网攻击链关联方法，其特征在于，所述根据各所述终端设备的资产类型的危险等级、所述告警事件簇对应的攻击技术序列和攻击路径库得到告警事件簇对应的攻击链和所述攻击链对应的危险等级，具体包括：

将所述告警事件簇对应的攻击技术序列与攻击路径库中的攻击路径进行匹配；

若匹配成功，则根据目标攻击路径对所述告警事件簇对应的告警事件连通图中的告警事件进行筛选，得到所述告警事件簇对应的攻击链，并根据目标终端设备的资产类型的危险等级确定所述攻击链对应的危险等级；所述目标终端设备为所述告警事件簇对应的攻击链中的所有告警事件对应的终端设备；所述目标攻击路径为攻击路径库中与所述告警事件簇对应的攻击技术序列匹配成功的路径；

若匹配失败且所述目标终端设备的资产类型的危险等级超过设定等级阈值，则将所述告警事件簇对应的攻击技术序列添加到攻击路径库中。

7.一种基于ATT&CK的工业互联网攻击链关联系统，其特征在于，包括：

获取模块，用于获取待处理区域内所有终端设备的攻击日志和告警事件；

属性确定模块，用于将各攻击日志分别进行解析得到每个攻击日志的属性，所述属性包括主进程、子进程、操作类型、文件名称、通信地址、通信端口和执行时间；

资产类型 确定模块，用于将各终端设备的数据信息输入到多分类模型中得到各终端设备的资产类型；所述数据信息包括数据包频率的均值、数据包频率的方差、数据包长度的均值、数据包长度的方差、报文响应速率的均值和报文响应速率的方差；所述资产类型包括控制服务器、数据日志中心、工程站、控制器、人机交互界面、IO服务器和安全系统；所述控制器为现场控制器、远程终端单元、可编程逻辑控制器或智能电子设备；所述安全系统为安全仪表系统、安全联锁系统或保护继电器；

特征工程和聚类模块，用于根据各终端设备的内网IP和外网IP的连通关系对所有告警事件依次进行特征工程操作和聚类操作得到多个告警事件簇；

告警事件连通图确定模块，用于对于任意一个告警事件簇，根据所述告警事件簇内各告警事件的通信地址、通信端口和执行时间以及各攻击日志的属性，采用攻击场景重构技术得到所述告警事件簇对应的告警事件连通图；

攻击阶段确定模块，用于根据各终端设备的资产类型、ATT&CK和攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段；

危险等级计算模块，用于根据各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段得到各所述终端设备的资产类型的危险等级；

攻击技术序列确定模块，用于对于任意一个告警事件簇，根据所述告警事件簇对应的告警事件连通图和所述ATT&CK中的攻击技术生成所述告警事件簇对应的攻击技术序列；

攻击链确定模块，用于根据各所述终端设备的资产类型的危险等级、所述告警事件簇对应的攻击技术序列和攻击路径库得到告警事件簇对应的攻击链和所述攻击链对应的危险等级；所述攻击路径库是 根据所述ATT&CK得到的。

8.根据权利要求7所述的一种基于ATT&CK的工业互联网攻击链关联系统，其特征在于，所述告警事件连通图确定模块，具体包括：

事件与日志关联关系确定单元，用于对于任意一个告警事件簇，以所述告警事件簇内各告警事件的通信地址、通信端口和通信时间为线索，采用攻击场景重构技术根据所述攻击日志的属性，得到各所述告警事件与各所述攻击日志之间的关联关系；

事件关联关系确定单元，用于根据各所述告警事件与各所述攻击日志之间的关联关系得到各告警事件之间的关联关系；

告警事件连通图确定单元，用于根据各告警事件之间的关联关系得到所述告警事件簇对应的告警事件连通图。

9.根据权利要求7所述的一种基于ATT&CK的工业互联网攻击链关联系统，其特征在于，所述攻击阶段确定模块，具体包括：

攻击技术确定单元，用于根据各所述终端设备的资产类型和所述ATT&CK得到各所述终端设备的资产类型对应的ATT&CK中的攻击技术；

攻击阶段确定单元，用于根据各所述终端设备的资产类型对应的ATT&CK中的攻击技术和所述攻击链模型，得到各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段。

10.根据权利要求7所述的一种基于ATT&CK的工业互联网攻击链关联系统，其特征在于，所述攻击技术序列确定模块，具体包括：

映射单元，用于根据所述告警事件簇对应的告警事件连通图，将所述告警事件簇中各告警事件的告警类型与所述ATT&CK中的攻击技术映射；

攻击技术序列确定单元，用于根据所述告警事件簇中各告警事件的告警类型与所述ATT&CK中的攻击技术的映射关系生成所述告警事件簇对应的攻击技术序列。

Images