CN115580426A - 5g电力业务系统威胁检测方法、系统、存储器及设备 - Google Patents

5g电力业务系统威胁检测方法、系统、存储器及设备 Download PDF

Info

Publication number
CN115580426A
CN115580426A CN202211012779.XA CN202211012779A CN115580426A CN 115580426 A CN115580426 A CN 115580426A CN 202211012779 A CN202211012779 A CN 202211012779A CN 115580426 A CN115580426 A CN 115580426A
Authority
CN
China
Prior art keywords
vulnerability
threat
att
service system
power service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211012779.XA
Other languages
English (en)
Inventor
王梓莹
黄伟
周超
郭静
姜海涛
李岩
顾智敏
郭雅娟
庄岭
冒佳明
朱道华
徐江涛
孙云晓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Jiangsu Electric Power Co Ltd
Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
State Grid Jiangsu Electric Power Co Ltd
Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Jiangsu Electric Power Co Ltd, Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd filed Critical State Grid Jiangsu Electric Power Co Ltd
Priority to CN202211012779.XA priority Critical patent/CN115580426A/zh
Publication of CN115580426A publication Critical patent/CN115580426A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种5G电力业务系统威胁检测方法、系统、存储器及设备,该方法包括:结合5G电力业务系统和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手攻击的自动化攻击过程,以及基于攻击结果获取漏洞信息;基于卷积神经网络将所获取的漏洞信息识别为漏洞行为特征表;基于漏洞行为特征与漏洞威胁程度的映射关系,确定漏洞行为特征的威胁权重系数,并映射为ATT&CK特征矩阵;根据ATT&CK特征矩阵进行评估运算,得出5G电力业务系统威胁检测评分结果。本发明提高了对5G电力业务系统威胁检测的准确率。

Description

5G电力业务系统威胁检测方法、系统、存储器及设备
技术领域
本发明涉及一种5G电力业务系统威胁检测方法、系统、存储器及设备,属于电力物联网安全技术领域。
背景技术
近年来,5G电力网络规模建设逐步展开,5G通信网络由于其超高带宽、超低时延及大规模连接的特性,使其充分的应用在配网自动化三遥,智能电网高级计量等业务当中。通常支撑5G电力业务的终端与系统,比如配电SCADA系统,WEB服务系统,配电应用系统,以及配合5G电表上游的智能能源计量系统等,在设计之初往往注重于可用性。5G电力业务系统上线前,若不进行渗透测试和安全检测,及时发现其中潜在的漏洞、后门、弱口令、恶意代码等威胁,可能在运行过程中遭受黑客入侵的风险。
随着网络安全攻防技术的不断演进,现有渗透测试方法缺乏威胁检测的完备性,难以全面评估针对5G电力业务系统威胁的检测能力和防御能力。源于实际网络安全事件中的攻击经验总结,如图1所示ATT&CK框架以公开免费的知识库形式,覆盖了黑客所有可能使用的攻击战术和技术,适用于移动通信、信息系统、工业控制系统等领域,可帮助运营者或安全服务者更好地进行威胁检测和风险评估。
目前,ATT&CK威胁框架大多数的实践来自于国外网络安全厂商,整体而言,国内安全厂商在这方面的应用和实践相对较少,这不仅体现在技术分析,也体现在综合态势评估、攻击对手仿真等应用场景。
发明内容
本发明为了克服现有技术在5G电力业务系统威胁渗透测试中存在的进攻手段单一、无法进行全量精准检测、未真正做到纯自动化的渗透利用等问题,提供一种5G电力业务系统威胁检测方法、系统、存储器及设备,提高对5G电力业务系统的威胁检测效率。
为达到上述目的,本发明采用的技术方案如下:
本发明第一方面提供一种5G电力业务系统威胁检测方法,包括:
结合5G电力业务系统和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,以及基于攻击结果获取漏洞信息;
将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表;
基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵;
根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务系统威胁检测评分结果。
进一步的,所述结合5G电力业务系统和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,包括:
收集5G电力业务系统威胁情报信息;
根据所收集的威胁情报信息确定渗透测试手段,以及将渗透测试中每一步采用的战术和技术映射到ATT&CK框架中,排序出每个战术下技术使用的优先次序,从攻击者角度确定实施的TTPs;
开发TTPs实施自动化测试工具;
采用开发的TTPs实施自动化测试工具对目标系统进行自动化攻击。
进一步的,所述收集5G电力业务系统威胁情报信息,包括:
采用渗透测试工具收集5G电力业务系统内部威胁情报;
采用网络爬虫或API从各种公开资源中收集外部威胁情报。
进一步的,所述将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表,包括:
将基于攻击结果获取的漏洞信息通过独热编码的方式处理成卷积神经网络能够处理的数据形式;
采用卷积神经网络对输入进行特征提取,并整合分类出漏洞行为特征表。
进一步的,所述漏洞行为特征表中的参数包括:
严重漏洞行为,包括发生在业务系统的核心位置、获取业务系统控制权限、以及获取核心系统管理人员权限并控制核心系统;
高危漏洞行为,包括获得getshell和命令执行的权限、敏感信息越权访问、以及读取任意文件;
中危漏洞行为,包括平行越权操作、存储型XSS、涉及核心业务的跨站请求伪造、XML注入、以及任意文件上传;
低危漏洞行为,包括信息泄露、垂直越权、以及非涉及核心业务的跨站请求伪造。
进一步的,所述基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵,包括:
根据各类漏洞行为特征导致的漏洞威胁程度,确定各类漏洞行为特征的威胁权重系数如下:
严重漏洞行为,威胁权重系数为1;
高危漏洞行为,威胁权重系数为2;
中危漏洞行为,威胁权重系数为3;
低危漏洞行为,威胁权重系数为4;
将各类漏洞行为特征量化后对应的威胁权重系数,结合所实施的TTPs输入ATT&CK框架对应的区域,得到ATT&CK特征矩阵;所述ATT&CK特征矩阵的行秩为所实施的TTPs中战术数量,对每个战术所拥有技术数量组成集合,取技术数量最大值为所述ATT&CK特征矩阵的列秩;所述ATT&CK特征矩阵中的技术携带实施该技术产生的漏洞行为特征对应的威胁权重系数。
进一步的,根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务系统威胁检测评分结果,包括:
对所述ATT&CK特征矩阵中的威胁权重系数进行特征值计算,量化出对角的特征值向量;
求取特征值向量的最大值和最小值;
采用最大最小值归一化,形成归一化的特征值向量;
对特征值向量求取平均值得出介于[0, 1]之间的安全检测评分。
本发明第二方面提供5G电力业务系统威胁检测系统,包括:
敌手仿真模块,用于结合5G电力业务系统和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,以及基于攻击结果获取漏洞信息;
渗透测试模块,用于将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表;
威胁量化模块,用于基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵;
检测评估模块,用于根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务系统威胁检测评分结果。
进一步的,所述敌手仿真模块具体用于,
收集5G电力业务系统威胁情报信息;
根据所收集的威胁情报信息确定渗透测试手段,以及将渗透测试中每一步采用的战术和技术映射到ATT&CK框架中,排序出每个战术下技术使用的优先次序,从攻击者角度确定实施的TTPs;
开发TTPs实施自动化测试工具;
采用开发的TTPs实施自动化测试工具对目标系统进行自动化攻击。
进一步的,所述渗透测试模块具体用于,
将基于攻击结果获取的漏洞信息通过独热编码的方式处理成卷积神经网络能够处理的数据形式;
采用卷积神经网络对输入进行特征提取,并整合分类出漏洞行为特征表;
所述漏洞行为特征表中的参数包括:
严重漏洞行为,包括发生在业务系统的核心位置、获取业务系统控制权限、以及获取核心系统管理人员权限并控制核心系统;
高危漏洞行为,包括获得getshell和命令执行的权限、敏感信息越权访问、以及读取任意文件;
中危漏洞行为,包括平行越权操作、存储型XSS、涉及核心业务的跨站请求伪造、XML注入、以及任意文件上传;
低危漏洞行为,包括信息泄露、垂直越权、以及非涉及核心业务的跨站请求伪造。
进一步的,所述威胁量化模块具体用于,
根据各类漏洞行为特征导致的漏洞威胁程度,确定各类漏洞行为特征的威胁权重系数如下:
严重漏洞行为,威胁权重系数为1;
高危漏洞行为,威胁权重系数为2;
中危漏洞行为,威胁权重系数为3;
低危漏洞行为,威胁权重系数为4;
将各类漏洞行为特征量化后对应的威胁权重系数,结合所实施的TTPs输入ATT&CK框架对应的区域,得到ATT&CK特征矩阵;所述ATT&CK特征矩阵的行秩为所实施的TTPs中战术数量,对每个战术所拥有技术数量组成集合,取技术数量最大值为所述ATT&CK特征矩阵的列秩;所述ATT&CK特征矩阵中的技术携带实施该技术产生的漏洞行为特征对应的威胁权重系数。
进一步的,所述检测评估模块具体用于,
对所述ATT&CK特征矩阵中的威胁权重系数进行特征值计算,量化出对角的特征值向量;
求取特征值向量的最大值和最小值;
采用最大最小值归一化,形成归一化的特征值向量;
对特征值向量求取平均值得出介于[0, 1]之间的安全检测评分。
本发明第三方面提供一种存储一个或多个程序的存储器,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据前述的方法中的任一方法。
本发明第四方面提供一种设备,包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据前述的方法中的任一方法的指令。
本发明的有益效果为:
本发明提供一种基于ATT&CK的5G电力业务系统威胁检测方法,基于ATT&CK框架模拟敌手的自动化攻击过程并获取漏洞信息,将混乱、无序的漏洞信息整合为规则、有序的漏洞行为特征表,并根据与漏洞危害程度的映射关系,设立威胁权重系数,进而映射为ATT&CK特征矩阵得出安全检测评分,从而实现对防守者当前防御方案、防御设备以及安全防御的优先级等问题的标准化评估。本发明提高了对5G电力业务系统威胁检测的准确率。
附图说明
图1是本发明实施例提供的一种5G电力业务系统威胁检测方法流程图;
图2是ATT&CK框架中的攻击战术汇总;
图3是本发明实施例提供的基于ATT&CK的5G电力业务系统威胁检测系统架构;
图4是本发明实施例中敌手仿真模块结构图;
图5是本发明实施例中的漏洞行为特征表及对应的威胁权重系数示意图。
具体实施方式
下面对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
实施例1
本实施例一种5G电力业务系统威胁检测方法,参见图1,包括:
结合5G电力业务系统和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,以及基于攻击结果获取漏洞信息;
将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表;
基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵;
根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务系统威胁检测评分结果。
实施例2
本实施例提供一种基于ATT&CK的5G电力业务系统威胁渗透测试方法,包括以下步骤:
步骤一:结合5G电力业务系统和上线网络环境,解析ATT&CK框架建立敌手仿真模型,从攻击者角度确定实施的TTPs(Tactics, Techniques, and Procedures,战术、技术、过程)优先级,确保威胁检测的完备性;
本实施例中,引入ATT&CK框架来构建敌手仿真模型,基于敌手仿真模型实现模拟敌手攻击的自动化攻击过程,具体实现过程为:
步骤1.1:收集威胁情报
利用渗透测试工具收集5G电力业务系统内部威胁情报,利用网络爬虫、API等方法从各种公开资源中收集外部威胁情报,并结合内外威胁情报对5G电力业务系统的系统业务、系统行为、系统操作规律、系统目标等进行整合。
需要说明的是,针对5G电力业务系统内部信息及相关公开资源的收集方式,本实施例不做限定。
步骤1.2:提取测试技术
根据威胁情报信息确定渗透测试手段,根据ATT&CK框架收录渗透测试时采用的技战术,将每一步采用的战术和技术映射到ATT&CK框架中。ATT&CK框架如图2所示。通过威胁情报社区和API将已有的攻击文档映射为ATT&CK语境,对于攻击文档中攻击者行为进行分析找到其所用的战术和技术进行TTPs的生成,针对当前业务系统环境排序出每个战术下技术使用的优先次序,从攻击者角度确定实施的战术、技术、过程。
需要说明的是,根据威胁情报收集到的信息来确定使用哪种渗透测试手段,渗透测试手段包括黑盒测试、白盒测试、模糊测试等。
需要说明的是,参见图2,ATT&CK框架中包括十四种战术(指导思想),每种战术下又存在若干技术,根据收集到的威胁情报信息来确定所采用的战术和技术。
步骤1.3:开发TTPs实施自动化测试工具
根据ATT&CK框架所确定实施的TTPs,设计并开发相关自动化测试工具,避免人工测试时产生的主观能力和不确定性因素。
步骤1.4:模拟敌手攻击
根据集合ATT&CK框架所设计的测试计划,采用开发的TTPs实施自动化测试工具对目标系统进行自动化攻击,确保威胁检测的完备性。
通过该一系列自动化测试工具可以检测出系统中存在哪些漏洞威胁,根据出现的漏洞威胁可以获取相关漏洞信息。
基于本实施例的敌手仿真模型检测5G电力业务系统中是否存在漏洞威胁,并获取相关的漏洞信息,包括漏洞攻击路经、漏洞针对的操作系统,开放的端口与服务,应用软件及其版本等信息。
步骤二:融入ATT&CK框架到渗透测试流程,设计基于卷积神经网络(Convolutional Neural Network, CNN)的自动目标系统识别方法,用于代替人工判断的主观因素,提升5G电力业务系统威胁检测的准确率;
将获取到的漏洞信息作为卷积神经网络的输入,通过深度学习的方法来识别漏洞行为特征,最终输出的规则、有序的漏洞行为特征表如图5所示。
步骤1.4得到的漏洞信息往往存在着粗糙、混乱、无序等问题。本实施例设计了基于深度神经网络的自动目标系统识别方法,提高对5G电力业务系统威胁检测的准确率,具体实现过程为:
将混乱、无序的漏洞信息通过独热编码的方式处理成卷积神经网络能够处理的数据形式;
利用卷积神经网络进行特征提取,并整合具有类别区分性的局部信息,分类出规则、有序的漏洞行为特征表,如图5所示,
漏洞行为特征包括:
严重漏洞行为:发生在业务系统的核心位置、获取大量业务系统控制权限、获取核心系统管理人员权限并可控制核心系统等;
高危漏洞行为:获得系统的权限(包括getshell、命令执行等)、敏感信息越权访问、读取任意文件等;
中危漏洞行为:平行越权操作、存储型XSS、涉及核心业务的CSRF(Cross-siterequest forgery,跨站请求伪造)、XML注入、任意文件上传等;
低危漏洞行为:普通信息泄露、普通的垂直越权、普通CSRF等。
需要说明的是,普通指漏洞难以利用,对电力业务系统造成的威胁较小。
步骤三:对得到的规则、有序的漏洞行为特征表进行量化处理,得到威胁权重系数,并映射为ATT&CK特征矩阵;
参见图5,本实施例中,根据漏洞行为特征导致的威胁程度,设计威胁权重系数,具体为:
严重漏洞行为,威胁权重系数为1;
高危漏洞行为,威胁权重系数为2;
中危漏洞行为,威胁权重系数为3;
低危漏洞行为,威胁权重系数为4。
本实施例中,将漏洞行为特征量化后对应的威胁权重系数,结合所实施的TTPs输入图2的ATT&CK框架对应的区域,得到ATT&CK特征矩阵。
需要说明的是,ATT&CK特征矩阵的行秩为所实施的TTPs中攻击战术数量,对每个攻击战术所拥有技术数量组成集合,取最大值为矩阵的列秩。
需要说明的是,ATT&CK特征矩阵中的技术携带实施该技术产生的漏洞行为特征量化后对应的威胁权重系数用于后续的矩阵评估运算。
比如,“防御规避”中拥有42种技术,则矩阵的列秩为42。输入完成ATT&CK框架对应的区域后,若ATT&CK特征矩阵中出现空白元素,表明该项威胁未检测出,填入0,便于后续的矩阵评估运算。
步骤四:基于ATT&CK特征矩阵进行评估运算,得到安全检测评分。
本实施例中,根据得到的ATT&CK特征矩阵进行评估运算,得出安全检测评分,从而实现对防守者当前防御方案、防御设备以及安全防御的优先级等问题的标准化评估。
评估过程为:
对矩阵中的威胁权重系数进行特征值计算,量化出对角的特征值向量;
求取特征值向量的最大值(max)和最小值(min);
采用最大最小值归一化(x−min)/max,形成归一化的特征值向量;
对特征值向量求取平均值得出介于[0, 1]之间的安全检测评分。
实施例3
本实施例提供一种基于ATT&CK的5G电力业务系统威胁检测系统,参见图3,包括:
敌手仿真模块,用于结合5G电力业务系统和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,以及基于攻击结果获取漏洞信息;
渗透测试模块,用于将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表;
威胁量化模块,用于基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵;
检测评估模块,用于根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务系统威胁检测评分结果。
参见图4,本实施例中,敌手仿真模块具体用于,
收集5G电力业务系统威胁情报信息;
根据所收集的威胁情报信息确定渗透测试手段,以及将渗透测试中每一步采用的战术和技术映射到ATT&CK框架中,排序出每个战术下技术使用的优先次序,从攻击者角度确定实施的TTPs;
开发TTPs实施自动化测试工具;
采用开发的TTPs实施自动化测试工具对目标系统进行自动化攻击。
本实施例中,渗透测试模块具体用于,
将基于攻击结果获取的漏洞信息通过独热编码的方式处理成卷积神经网络能够处理的数据形式;
采用卷积神经网络对输入进行特征提取,并整合分类出漏洞行为特征表。
所述漏洞行为特征表包括:
严重漏洞行为,包括发生在业务系统的核心位置、获取业务系统控制权限、以及获取核心系统管理人员权限并控制核心系统;
高危漏洞行为,包括获得getshell和命令执行的权限、敏感信息越权访问、以及读取任意文件;
中危漏洞行为,包括平行越权操作、存储型XSS、涉及核心业务的跨站请求伪造、XML注入、以及任意文件上传;
低危漏洞行为,包括信息泄露、垂直越权、以及非涉及核心业务的跨站请求伪造。
本实施例中,威胁量化模块具体用于,
根据各类漏洞行为特征导致的漏洞威胁程度,确定各类漏洞行为特征的威胁权重系数如下:
严重漏洞行为,威胁权重系数为1;
高危漏洞行为,威胁权重系数为2;
中危漏洞行为,威胁权重系数为3;
低危漏洞行为,威胁权重系数为4;
将各类漏洞行为特征量化后对应的威胁权重系数,结合所实施的TTPs输入ATT&CK框架对应的区域,得到ATT&CK特征矩阵;所述ATT&CK特征矩阵的行秩为所实施的TTPs中战术数量,对每个战术所拥有技术数量组成集合,取技术数量最大值为所述ATT&CK特征矩阵的列秩;所述ATT&CK特征矩阵中的技术携带实施该技术产生的漏洞行为特征对应的威胁权重系数。
本实施例中,检测评估模块具体用于,
对所述ATT&CK特征矩阵中的威胁权重系数进行特征值计算,量化出对角的特征值向量;
求取特征值向量的最大值和最小值;
采用最大最小值归一化,形成归一化的特征值向量;
对特征值向量求取平均值得出介于[0, 1]之间的安全检测评分。
实施例4
本实施例提供一种存储一个或多个程序的存储器,其特征在于:所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据实施例1或实施例2中的方法中的任一方法。
实施例5
本实施例提供一种设备,包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据实施例1或实施例2中的方法中的任一方法的指令。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。

Claims (14)

1.5G电力业务系统威胁检测方法,其特征在于,包括:
结合5G电力业务系统和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,以及基于攻击结果获取漏洞信息;
将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表;
基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵;
根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务系统威胁检测评分结果。
2.根据权利要求1所述的5G电力业务系统威胁检测方法,其特征在于,所述结合5G电力业务系统和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,包括:
收集5G电力业务系统威胁情报信息;
根据所收集的威胁情报信息确定渗透测试手段,以及将渗透测试中每一步采用的战术和技术映射到ATT&CK框架中,排序出每个战术下技术使用的优先次序,从攻击者角度确定实施的TTPs;
开发TTPs实施自动化测试工具;
采用开发的TTPs实施自动化测试工具对目标系统进行自动化攻击。
3.根据权利要求2所述的5G电力业务系统威胁检测方法,其特征在于,所述收集5G电力业务系统威胁情报信息,包括:
采用渗透测试工具收集5G电力业务系统内部威胁情报;
采用网络爬虫或API从各种公开资源中收集外部威胁情报。
4.根据权利要求1所述的5G电力业务系统威胁检测方法,其特征在于,所述将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表,包括:
将基于攻击结果获取的漏洞信息通过独热编码的方式处理成卷积神经网络能够处理的数据形式;
采用卷积神经网络对输入进行特征提取,并整合分类出漏洞行为特征表。
5.根据权利要求4所述的5G电力业务系统威胁检测方法,其特征在于,所述漏洞行为特征表中的参数包括:
严重漏洞行为,包括发生在业务系统的核心位置、获取业务系统控制权限、以及获取核心系统管理人员权限并控制核心系统;
高危漏洞行为,包括获得getshell和命令执行的权限、敏感信息越权访问、以及读取任意文件;
中危漏洞行为,包括平行越权操作、存储型XSS、涉及核心业务的跨站请求伪造、XML注入、以及任意文件上传;
低危漏洞行为,包括信息泄露、垂直越权、以及非涉及核心业务的跨站请求伪造。
6.根据权利要求5所述的5G电力业务系统威胁检测方法,其特征在于,所述基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵,包括:
根据各类漏洞行为特征导致的漏洞威胁程度,确定各类漏洞行为特征的威胁权重系数如下:
严重漏洞行为,威胁权重系数为1;
高危漏洞行为,威胁权重系数为2;
中危漏洞行为,威胁权重系数为3;
低危漏洞行为,威胁权重系数为4;
将各类漏洞行为特征量化后对应的威胁权重系数,结合所实施的TTPs输入ATT&CK框架对应的区域,得到ATT&CK特征矩阵;所述ATT&CK特征矩阵的行秩为所实施的TTPs中战术数量,对每个战术所拥有技术数量组成集合,取技术数量最大值为所述ATT&CK特征矩阵的列秩;所述ATT&CK特征矩阵中的技术携带实施该技术产生的漏洞行为特征对应的威胁权重系数信息。
7.根据权利要求6所述的5G电力业务系统威胁检测方法,其特征在于,根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务系统威胁检测评分结果,包括:
对所述ATT&CK特征矩阵中的威胁权重系数进行特征值计算,量化出对角的特征值向量;
求取特征值向量的最大值和最小值;
采用最大最小值归一化,形成归一化的特征值向量;
对特征值向量求取平均值得出介于[0, 1]之间的安全检测评分。
8.5G电力业务系统威胁检测系统,其特征在于,包括:
敌手仿真模块,用于结合5G电力业务系统和上线网络环境,基于ATT&CK构建敌手仿真模型,模拟敌手的自动化攻击过程,以及基于攻击结果获取漏洞信息;
渗透测试模块,用于将所获取的漏洞信息进行漏洞行为特征分类,形成漏洞行为特征表;
威胁量化模块,用于基于各类漏洞行为特征与漏洞威胁程度的映射关系,确定各类漏洞行为特征的威胁权重系数,并结合所实施的攻击过程,映射为ATT&CK特征矩阵;
检测评估模块,用于根据所述ATT&CK特征矩阵进行评估运算,得出5G电力业务系统威胁检测评分结果。
9.根据权利要求8所述的5G电力业务系统威胁检测系统,其特征在于,所述敌手仿真模块具体用于,
收集5G电力业务系统威胁情报信息;
根据所收集的威胁情报信息确定渗透测试手段,以及将渗透测试中每一步采用的战术和技术映射到ATT&CK框架中,排序出每个战术下技术使用的优先次序,从攻击者角度确定实施的TTPs;
开发TTPs实施自动化测试工具;
采用开发的TTPs实施自动化测试工具对目标系统进行自动化攻击。
10.根据权利要求9所述的5G电力业务系统威胁检测系统,其特征在于,所述渗透测试模块具体用于,
将基于攻击结果获取的漏洞信息通过独热编码的方式处理成卷积神经网络能够处理的数据形式;
采用卷积神经网络对输入进行特征提取,并整合分类出漏洞行为特征表;
所述漏洞行为特征表中的参数包括:
严重漏洞行为,包括发生在业务系统的核心位置、获取业务系统控制权限、以及获取核心系统管理人员权限并控制核心系统;
高危漏洞行为,包括获得getshell和命令执行的权限、敏感信息越权访问、以及读取任意文件;
中危漏洞行为,包括平行越权操作、存储型XSS、涉及核心业务的跨站请求伪造、XML注入、以及任意文件上传;
低危漏洞行为,包括信息泄露、垂直越权、以及非涉及核心业务的跨站请求伪造。
11.根据权利要求10所述的5G电力业务系统威胁检测系统,其特征在于,所述威胁量化模块具体用于,
根据各类漏洞行为特征导致的漏洞威胁程度,确定各类漏洞行为特征的威胁权重系数如下:
严重漏洞行为,威胁权重系数为1;
高危漏洞行为,威胁权重系数为2;
中危漏洞行为,威胁权重系数为3;
低危漏洞行为,威胁权重系数为4;
将各类漏洞行为特征量化后对应的威胁权重系数,结合所实施的TTPs输入ATT&CK框架对应的区域,得到ATT&CK特征矩阵;所述ATT&CK特征矩阵的行秩为所实施的TTPs中战术数量,对每个战术所拥有技术数量组成集合,取技术数量最大值为所述ATT&CK特征矩阵的列秩;所述ATT&CK特征矩阵中的技术携带实施该技术产生的漏洞行为特征对应的威胁权重系数信息。
12.根据权利要求11所述的5G电力业务系统威胁检测系统,其特征在于,所述检测评估模块具体用于,
对所述ATT&CK特征矩阵中的威胁权重系数进行特征值计算,量化出对角的特征值向量;
求取特征值向量的最大值和最小值;
采用最大最小值归一化,形成归一化的特征值向量;
对特征值向量求取平均值得出介于[0, 1]之间的安全检测评分。
13.一种存储一个或多个程序的存储器,其特征在于:所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据权利要求1至7所述的方法中的任一方法。
14.一种设备,其特征在于:包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据权利要求1至7所述的方法中的任一方法的指令。
CN202211012779.XA 2022-08-23 2022-08-23 5g电力业务系统威胁检测方法、系统、存储器及设备 Pending CN115580426A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211012779.XA CN115580426A (zh) 2022-08-23 2022-08-23 5g电力业务系统威胁检测方法、系统、存储器及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211012779.XA CN115580426A (zh) 2022-08-23 2022-08-23 5g电力业务系统威胁检测方法、系统、存储器及设备

Publications (1)

Publication Number Publication Date
CN115580426A true CN115580426A (zh) 2023-01-06

Family

ID=84579473

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211012779.XA Pending CN115580426A (zh) 2022-08-23 2022-08-23 5g电力业务系统威胁检测方法、系统、存储器及设备

Country Status (1)

Country Link
CN (1) CN115580426A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116112253A (zh) * 2023-01-30 2023-05-12 网易(杭州)网络有限公司 资产风险探测方法、介质、装置及计算设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116112253A (zh) * 2023-01-30 2023-05-12 网易(杭州)网络有限公司 资产风险探测方法、介质、装置及计算设备

Similar Documents

Publication Publication Date Title
JP6732806B2 (ja) アカウント盗難リスクの識別方法、識別装置、及び防止・制御システム
Khan Rule based network intrusion detection using genetic algorithm
CN111475817B (zh) 一种基于ai的自动化渗透测试系统的数据收集方法
Bi et al. Detection scheme against cyber-physical attacks on load frequency control based on dynamic characteristics analysis
Sha et al. IIoT-SIDefender: Detecting and defense against the sensitive information leakage in industry IoT
CN113434866B (zh) 仪表功能安全和信息安全策略的统一风险量化评估方法
CN111475818B (zh) 一种基于ai的自动化渗透测试系统的渗透攻击方法
Anwar et al. A data-driven approach to distinguish cyber-attacks from physical faults in a smart grid
CN110971677A (zh) 一种基于对抗强化学习的电力物联网终端设备边信道安全监测方法
CN107612927B (zh) 电力调度自动化系统的安全检测方法
CN111049828B (zh) 网络攻击检测及响应方法及系统
CN110378115B (zh) 一种信息安全攻防平台的数据层系统
CN115580426A (zh) 5g电力业务系统威胁检测方法、系统、存储器及设备
Alhassan et al. A fuzzy classifier-based penetration testing for web applications
CN116996286A (zh) 一种基于大数据分析的网络攻击和安全漏洞治理框架平台
CN110365625B (zh) 物联网安全检测方法、装置及存储介质
CN117235600A (zh) 一种用户异常行为检测方法及系统
Hill et al. Verifying attack graphs through simulation
CN115913756A (zh) 一种基于已知漏洞条目的网络设备漏洞验证方法
CN115333806A (zh) 渗透测试攻击路径规划方法、装置、电子设备及存储介质
Ling et al. Estimating the Time-To-Compromise of Exploiting Industrial Control System Vulnerabilities.
Lu et al. The evaluation model for network security
CN110311915B (zh) 一种虚假数据注入攻击代价评估方法及系统
CN114935923A (zh) 一种基于树莓派的新能源边缘工业控制系统漏洞检测方法
Swarup et al. Risk assessment of cyber-attacks in multi area load frequency control

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination