CN116599726A - 一种基于漏洞利用网的工控安全事件识别响应方法及系统 - Google Patents

一种基于漏洞利用网的工控安全事件识别响应方法及系统 Download PDF

Info

Publication number
CN116599726A
CN116599726A CN202310571388.XA CN202310571388A CN116599726A CN 116599726 A CN116599726 A CN 116599726A CN 202310571388 A CN202310571388 A CN 202310571388A CN 116599726 A CN116599726 A CN 116599726A
Authority
CN
China
Prior art keywords
vulnerability
information
nodes
data
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310571388.XA
Other languages
English (en)
Inventor
季振洲
王鹤儒
谢玮勋
马瑞琳
黎凯凯
刘华赞
张立钊
王开宇
孔胜嵩
和树繁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Institute of Technology Weihai
Original Assignee
Harbin Institute of Technology Weihai
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Institute of Technology Weihai filed Critical Harbin Institute of Technology Weihai
Priority to CN202310571388.XA priority Critical patent/CN116599726A/zh
Publication of CN116599726A publication Critical patent/CN116599726A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种基于漏洞利用网的工控安全事件识别响应方法及系统,该系统包括知识图谱构建部分和安全事件识别响应部分,分为以下步骤:将知识库数据提取并转化为知识图谱中的节点;使用基于预训练机器学习模型的方式建立节点间的连接;使用设备和攻击方式节点的关键识别特征匹配工控系统的状态并映射至漏洞节点;将所匹配漏洞节点进行连接,形成漏洞利用网;根据漏洞利用网的不同形态,给出对应的响应信息。相比于传统的工控安全检测及响应方法,本发明将漏洞的识别问题转变为有更明显特征的设备和攻击方式的识别问题,减少了识别难度;同时,通过漏洞利用网模型,本发明能够生成更为有效的事件响应信息。

Description

一种基于漏洞利用网的工控安全事件识别响应方法及系统
技术领域
本发明涉及工控系统异常检测及响应领域,尤其涉及一种漏洞利用链知识图谱建立及应用方法。
背景技术
工控系统大多设计运行在封闭的网络环境下,不与互联网连接,设计时并没有过多的考虑安全问题。但随着万物互联的发展,包括工控系统在内的许多以往不会接入网络的设备也在逐渐的加入互联网,这使得工控系统与外界的联系更加紧密,传统的网络安全问题蔓延到工控领域来。另外,工控系统遭受攻击所带来的损失更大,也更难以恢复。所以,构建一种能及时检测工控系统安全状态并给出响应的监测系统至关重要。
目前,有多个不同组织维护的网络安全知识库,按照存储内容分类,主要有以下几类:
1.漏洞库
存储安全漏洞的影响范围、威胁评分、具体描述信息,此外还会有一些不同漏洞库间略有差异的其他信息,于某些条目后会附带相关的已知安全事件。
2.设备信息库
包含大量设备的制造厂商、名称、型号、版本等信息。
3.攻击方式枚举库
包含大量攻击方式的实现流程的抽象表述、攻击实施的先决条件、攻击的应对措施信息,同样也包含以长文本形式存在的具体描述信息,于某些条目后会附带相关的已知安全事件。
知识库中的信息均通过良好格式化,可通过固定规则进行提取。知识库中的部分条目会包含指向其他库的链接,例如漏洞库中的一个条目会包含所影响的设备和所用攻击方式的链接,但也存在一些不完善的条目不包含这些链接。
综上所述,存在大量的信息可用于工控网络的防护,但目前缺少有效的方式整合不同类别知识库的信息,并将这些信息运用于工控网络异常的检测和响应中。鉴于现有技术存在的不足,我们发明了一种工控异常检测响应方法及系统,该系统采用知识图谱存储知识库,以预设规则和机器学习方法相结合的方式进行知识图谱的扩充,最后,通过构建形成的漏洞利用网络进行工控异常的检测和响应。
知识图谱以结构化的形式存储客观世界的实体及关系,提供了一种更好的描述大量、多种类数据间关系的方法,知识库中的所有数据将构成庞大的实体关系网络。
有许多机器学习模型可用来解决自然语言处理方法,BERT模型作为诸多模型中的成绩优异者,能处理包括情感分析、文本相似度、文本分类在内的许多任务。BERT模型为输入文本赋予三个特征向量,分别表示字符位置、字符表示和文本语义,通过在这三个向量上进行运算得到文本的分析结果。
发明内容
本发明的目的在于克服现有技术不足和填充现有技术的空缺,适应现实需要,提供一种基于漏洞利用网络的工控异常检测方法及系统,基于知识图谱,通过以预设规则和机器学习方法相结合的方式构建具有清晰结构和高可识别度特征的漏洞利用网络,从而使用丰富的已知知识对工控系统异常进行准确有效的识别和响应。
为了实现本发明的目的,本发明采用的技术方案为:一种基于漏洞利用网的工控异常检测响应方法及系统,分为知识图谱构建部分和响应部分,其特征在于,包括以下步骤:获取漏洞信息、设备信息和攻击方式信息,使用基于规则的方法对数据进行清洗和提取,存入图数据库;以数据中包含完整属性的条目为样本,使用基于规则和预训练模型结合的方式,补全其余数据缺失属性;根据漏洞的攻击条件和攻击影响,自动化生成漏洞间的前后关系,形成漏洞利用链;将工控系统中采集的数据同设备信息和攻击方式进行匹配,并进而通过知识图谱同漏洞链进行匹配,根据匹配结果自动化识别安全事件并给出响应。
知识图谱的构建部分,按执行顺序具体分为以下步骤:
获取多方漏洞库数据,并结合设备信息知识库CPE和攻击方式枚举知识库CAPEC,得到知识图谱原始数据。由于获取的数据具有良好格式结构,故采用基于规则的方式实现信息抽取,随后根据条目编号及条目内容进行信息融合,消除数据冗余和歧义。
将漏洞库数据映射为安全事件、漏洞、POC、EXP对象,将设备信息知识库数据映射为设备对象,将攻击方式枚举知识库映射为攻击方式对象。通过漏洞库数据中的属性建立漏洞本体与其他本体间的联系。
修改BERT模型的输入形式,使其适用于本任务目标,经过修改后的模型使用具有完整属性的漏洞数据作为训练数据集,习得具有联系的漏洞描述信息与攻击方式描述信息间的特征,从而自动判断漏洞与攻击方式是否具有联系。
将原始数据映射为本体对象的方法中,由于部分漏洞数据存在属性缺失现象,故无法完整建立漏洞本体与其他本体间的联系。采用修改过的BERT模型,通过漏洞描述文本与设备、攻击方式描述文本来生成漏洞与设备、攻击方式间的联系,并将此联系作为补充存入知识图谱中。
依据所述漏洞本体的POC、设备、攻击方式、前后置权限信息,建立漏洞间的前后联系,用于后续分析。其中,通过POC、设备、攻击方式信息确定漏洞的关联,通过前后置权限确定有关联的漏洞的前后关系。
安全事件的响应部分,按执行顺序具体分为以下步骤:
使用设备的固有型号信息匹配所述知识图谱的设备节点,使用采集的设备数据特征匹配所述知识图谱的攻击方式节点。对于上述两个匹配过程中未能完全匹配的节点,通过相似度百分比给予一置信度后一同参加后续分析。
通过所述知识图谱中漏洞本体与设备本体、攻击方式本体间的联系,将上一步的已匹配节点及置信度转化为对应的漏洞节点及置信度,并所述知识图谱中漏洞利用链为已匹配漏洞节点建立前后关系,由于所匹配的漏洞链通常为多条,因此将其称为漏洞利用网。若漏洞利用网中存在部分节点与某一已知安全事件的漏洞利用链完全相符,则将该安全事件及其对应的详细信息作为响应方案的一部分输出。若不完全相符,则尝试通过补充部分中间节点来生成可能的攻击路径,在输出信息中添加补充的节点信息作为需重点关注的高危节点。另外,对漏洞利用网进行扩展,通过所述已匹配漏洞节点的置信度和漏洞前后置关系,预测之后可能会遭到的攻击,将预测结果加入响应方案的输出中。
本发明的有益之处在于:
1.通过基于规则和机器学习的方式,建立漏洞节点与设备节点、攻击方式节点之间的连接。得益于这种连接,相比于以往的漏洞知识图谱应用方法,本发明并不尝试直接识别漏洞节点,而是识别具有更明显特征的设备节点和攻击方式节点,再通过连接将设备节点和攻击方式节点映射为漏洞节点,进行后续分析,减少了异常检测的难度。
2.采用基于漏洞利用网模型的响应生成方法,充分利用已知的安全知识,考虑多种可能漏洞利用方式,生成更为全面关键漏洞节点预测,有助于提高响应方法的准确度和有效性。
附图说明
下面结合附图和实施案例对本发明做进一步的说明。
图1为本发明的工作原理图;
图2为本发明的修改后BERT模型输入模式图;
图3为本发明工作流程图。
具体实施方式
下面结合附图和实施例对本发明进行进一步说明。
本实施方式具体为一种基于漏洞利用网络的工控异常检测系统构建及应用,结合图1、图3说明本实施方式,包括如下步骤:
步骤一:系统构建
1.收集各知识库中的已知安全知识
根据知识库所包含信息的类别,将知识库分为漏洞库、设备信息库、攻击方式枚举库三类,每类知识库拥有相似的存储内容,从知识库中提取以下内容
漏洞库:漏洞编号、漏洞描述、漏洞严重性评分、POC链接、前后置权限信息、相关设备链接、攻击方式链接、EXP链接
设备信息库:设备编号、设备名称、设备描述、设备型号、设备版本、制造日期
攻击方式枚举库:攻击方式编号、名称、具体描述、先决条件、攻击流程、应对措施
2.构建知识图谱本体模型
所构建的知识图谱中共包含6类本体,分别是:漏洞、设备、攻击信息、POC、EXP、安全事件,将上述提取到的信息按下表所述存储为知识图谱的节点。
本体关系表
3.BERT模型的修改
结合图2说明修改方法。原始的BERT模型具有分析两个句子前后相关度的能力,其输入包括三个向量,分别是:位置向量,表示一个词在句子中的位置;段向量,用于刻画全局语义信息;词向量,用于表示一个词的语义,使用特殊的分隔符区分前后句。
对原始BERT模型中位置向量的内容进行拓展,使其由原始位置向量和段落标识符组成,由此使得BERT模型具有判断两个长段落相关度的能力。
4.补全漏洞节点与设备节点、攻击方式节点间的联系
在所提取的数据中,只有部分漏洞节点包含指向设备节点和攻击方式节点的链接,将这部分节点的漏洞、设备、攻击方式描述文本作为训练样本,用于训练修改后的BERT模型。
经过训练后的模型接收两段文本作为输入,第一段文本是漏洞的描述文本,第二段文本是设备或攻击方式的描述文本,模型产生一个相关度值relation作为输出。
设V代表所有漏洞节点的全集,A代表所有攻击方式节点的全集,C代表所有设备节点的全集,对于定义以下公式
relationa,b=bert(a.des,b.des)
对于任意一个漏洞节点a和任意一个设备或攻击方式节点b,BERT模型都会给出一个相关度,此相关度即作为此漏洞节点与设备或攻击方式节点连接的权值。
5.漏洞节点前后置关系建立
通过两个漏洞节点的POC、EXP、设备、攻击方式属性,判断两个漏洞节点是否具有前后关系。
设V代表所有漏洞节点的全集,A代表所有攻击方式节点的全集,C代表所有设备节点的全集,对于定义以下公式
当Pv1,v2+Ev1,v2+VAv1,v2+VCv1,v2的值大于一定阈值时,即视为v1与v2可能具有前后关系。对于判定为可能具有前后关系的漏洞条目v1和v2,若v1的后置权限大于v2的前置权限,则在知识图谱中添加一条由v1指向v2的前后置关系;若v2的后置权限大于v1的前置权限,则在知识图谱中添加一条由v2指向v1的前后置关系。
步骤二:安全事件检测及响应
1.匹配设备及攻击方式节点
将工控系统中的设备依照知识图谱中设备本体的属性映射为设备节点,同时赋予该节点一个匹配度MC。根据知识图谱中攻击方式节点的识别特征,匹配当前工控系统的状态,赋予每个攻击方式节点一个匹配度MA。
2.映射为漏洞节点
经过前述匹配行为,知识图谱中每个设备节点、攻击方式节点均拥有一个匹配度,将这些匹配度映射为漏洞节点的匹配度。
设V代表所有漏洞条目的全集,A代表所有攻击方式条目的全集,C代表所有设备条目的全集,对于有以下公式
3.通过漏洞利用网给出响应
考虑所有匹配度大于一定阈值的漏洞节点,这些节点由前后置关系串联成网状结构,称为漏洞利用网。对漏洞利用网依次执行以下分析策略:
a.尝试与已知安全事件进行匹配。如果漏洞利用网中存在子集与某一已知安全事件的攻击路径相符,则将该安全事件及其附属的影响、缓解措施添加进响应输出。
b.尝试补充中间节点。对于一个不在当前漏洞利用网中的漏洞节点,如果该节点的前置和后置节点均在漏洞利用网中,则说明该节点可能已被攻击但未被探测到,将此节点及其所述设备作为需复核的节点,添加进响应输出。
c.尝试预测后继节点。对于所有处于漏洞利用网中的节点,如果其存在后置节点不在利用网中,则将该节点作为后续可能被攻击的节点添加进响应输出中。对于严重性评分较高的预测节点,标记为高危节点,将其不在漏洞利用网中的前置节点也一并输出。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (8)

1.一种基于漏洞利用网的工控安全事件识别及响应方法,分为知识图谱构建部分和响应部分,其特征在于,包括以下步骤:
获取漏洞信息、设备信息和攻击方式信息,使用基于规则的方法对数据进行清洗和提取,存入图数据库;以数据中包含完整属性的条目为样本,使用基于规则和预训练模型结合的方式,补全其余数据缺失属性;根据漏洞的攻击条件和攻击影响,自动化生成漏洞间的前后关系,形成漏洞利用链;将工控系统中采集的数据同设备信息和攻击方式进行匹配,并进而通过知识图谱同漏洞链进行匹配,根据匹配结果自动化识别安全事件并给出响应。
2.根据权利要求1所述的漏洞利用链知识图谱构建方法,其特征在于:获取多方漏洞库数据,并结合设备信息知识库CPE和攻击方式枚举知识库CAPEC,得到知识图谱原始数据,采用基于规则的方式实现信息抽取,随后根据条目编号及条目内容进行信息融合,消除数据冗余和歧义。
3.根据权利要求2所述的漏洞利用链知识图谱构建方法,其特征在于:知识图谱包含本体有:安全事件、漏洞、POC、EXP、设备、攻击方式,将漏洞库数据映射为安全事件、漏洞、POC、EXP对象,将设备信息知识库数据映射为设备对象,将攻击方式枚举知识库映射为攻击方式对象,以漏洞库数据为主干建立漏洞本体与其他本体间的联系。
4.根据权利要求3所述的漏洞利用链知识图谱构建方法,其特征在于:采用修改过的BERT模型,通过漏洞描述文本与设备、攻击方式描述文本来生成漏洞与设备、攻击方式间的联系,补全原始数据的缺失,并将此联系存入知识图谱中。
5.根据权利要求4所述的漏洞利用链知识图谱构建方法,其特征在于:修改BERT模型的输入形式,经过修改后的模型使用具有完整属性的漏洞数据作为训练数据集,习得具有联系的漏洞描述信息与攻击方式描述信息间的特征,从而自动判断漏洞与攻击方式是否具有联系。
6.根据权利要求1所述的漏洞利用链知识图谱构建方法,其特征在于:依据所述漏洞本体的POC、设备、攻击方式、前后置权限信息,建立漏洞间的前后联系,用于后续分析。
7.根据权利要求1所述的安全事件识别及响应方法,其特征在于:使用设备的固有型号信息匹配所述知识图谱的设备节点,使用采集的设备数据特征匹配所述知识图谱的攻击方式节点,对于上述两个匹配过程中未能完全匹配的节点,通过相似度百分比给予一置信度后一同参加后续分析。
8.根据权利要求7所述的安全事件识别及响应方法,其特征在于:(漏洞链匹配及响应)通过权利要求3、4、5中所述漏洞本体与设备本体、攻击方式本体间的联系,将权利要求7所述的已匹配节点及置信度转化为对应的漏洞节点及置信度,并通过权利要求6中所述漏洞利用链为已匹配漏洞节点建立前后关系,形成漏洞利用网,若漏洞利用网中存在部分节点与某一已知安全事件的漏洞利用链完全相符,则将该安全事件及其对应的详细信息作为响应方案的一部分输出;若不完全相符,则尝试通过补充部分中间节点来生成可能的攻击路径,在输出信息中添加补充的节点信息作为需重点关注的高危节点;另外,对漏洞利用网进行扩展,通过所述已匹配漏洞节点的置信度和漏洞前后置关系,预测之后可能会遭到的攻击,将预测结果加入响应方案的输出中。
CN202310571388.XA 2023-05-20 2023-05-20 一种基于漏洞利用网的工控安全事件识别响应方法及系统 Pending CN116599726A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310571388.XA CN116599726A (zh) 2023-05-20 2023-05-20 一种基于漏洞利用网的工控安全事件识别响应方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310571388.XA CN116599726A (zh) 2023-05-20 2023-05-20 一种基于漏洞利用网的工控安全事件识别响应方法及系统

Publications (1)

Publication Number Publication Date
CN116599726A true CN116599726A (zh) 2023-08-15

Family

ID=87604183

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310571388.XA Pending CN116599726A (zh) 2023-05-20 2023-05-20 一种基于漏洞利用网的工控安全事件识别响应方法及系统

Country Status (1)

Country Link
CN (1) CN116599726A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117648689A (zh) * 2024-01-29 2024-03-05 北京东方森太科技发展有限公司 基于人工智能的工控主机安全事件自动响应方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117648689A (zh) * 2024-01-29 2024-03-05 北京东方森太科技发展有限公司 基于人工智能的工控主机安全事件自动响应方法
CN117648689B (zh) * 2024-01-29 2024-04-12 北京东方森太科技发展有限公司 基于人工智能的工控主机安全事件自动响应方法

Similar Documents

Publication Publication Date Title
Ravichander et al. Probing the probing paradigm: Does probing accuracy entail task relevance?
Satyapanich et al. Casie: Extracting cybersecurity event information from text
Uwagbole et al. Applied machine learning predictive analytics to SQL injection attack detection and prevention
CN109697162B (zh) 一种基于开源代码库的软件缺陷自动检测方法
WO2021253904A1 (zh) 测试案例集生成方法、装置、设备及计算机可读存储介质
CN109547423B (zh) 一种基于机器学习的web恶意请求深度检测系统及方法
US11521041B2 (en) Fact validation method and system, computer device and storage medium
CN111552855A (zh) 一种基于深度学习的网络威胁情报自动抽取方法
CN109918505B (zh) 一种基于文本处理的网络安全事件可视化方法
CN112307473A (zh) 一种基于Bi-LSTM网络和注意力机制的恶意JavaScript代码检测模型
CN111866004B (zh) 安全评估方法、装置、计算机系统和介质
CN113742733B (zh) 阅读理解漏洞事件触发词抽取和漏洞类型识别方法及装置
Zhong et al. Generating regular expressions from natural language specifications: Are we there yet?
Sadoun et al. From natural language requirements to formal specification using an ontology
CN111506732A (zh) 一种文本多层次标签分类方法
CN111931935A (zh) 基于One-shot学习的网络安全知识抽取方法和装置
CN116599726A (zh) 一种基于漏洞利用网的工控安全事件识别响应方法及系统
Van Nguyen et al. Improving cross-lingual transfer for event argument extraction with language-universal sentence structures
Pryzant et al. Automatic Rule Induction for Interpretable Semi-Supervised Learning
Brown et al. Acoustic and visual approaches to adversarial text generation for google perspective
CN113886529B (zh) 一种面向网络安全领域的信息抽取方法及其系统
Tilak et al. Visual entity linking
Ouyang et al. Quality assurance of a GPT-based sentiment analysis system: Adversarial review data generation and detection
CN114817934A (zh) 一种基于漏洞事件论元的漏洞严重度评估方法及系统
Sankar et al. On-device text representations robust to misspellings via projections

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination