CN116633567A - 模拟攻击杀伤链的方法、装置、存储介质及电子设备 - Google Patents
模拟攻击杀伤链的方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN116633567A CN116633567A CN202210127808.0A CN202210127808A CN116633567A CN 116633567 A CN116633567 A CN 116633567A CN 202210127808 A CN202210127808 A CN 202210127808A CN 116633567 A CN116633567 A CN 116633567A
- Authority
- CN
- China
- Prior art keywords
- enterprise
- attack
- information
- target asset
- learning model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000003860 storage Methods 0.000 title claims abstract description 21
- 238000012549 training Methods 0.000 claims abstract description 47
- 238000004088 simulation Methods 0.000 claims abstract description 18
- 238000004458 analytical method Methods 0.000 claims description 30
- 238000013507 mapping Methods 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 17
- 238000012300 Sequence Analysis Methods 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 claims description 10
- 238000007781 pre-processing Methods 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 8
- 238000004519 manufacturing process Methods 0.000 claims description 7
- 238000003058 natural language processing Methods 0.000 claims description 7
- 238000010276 construction Methods 0.000 claims description 6
- 239000000284 extract Substances 0.000 claims 1
- 239000000523 sample Substances 0.000 claims 1
- 201000007023 Thrombotic Thrombocytopenic Purpura Diseases 0.000 description 30
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 7
- 230000009545 invasion Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 206010063385 Intellectualisation Diseases 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241000208125 Nicotiana Species 0.000 description 1
- 235000002637 Nicotiana tabacum Nutrition 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000003306 harvesting Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/30—Semantic analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种模拟攻击杀伤链的方法、装置、存储介质及电子设备,所述方法包括:获取历史攻击事件,并以图数据的形式表示,构建初始图表示学习模型;获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,所述杀伤链路径模型用于输入至入侵者模拟系统评估企业安全性。根据本发明实施例,该方法其通过知识图谱计算企业环境中的模拟攻击杀伤链,自适应不同企业环境或者自适应同一企业环境中日益不断变化的资产信息。
Description
技术领域
本发明涉及安全性检测技术领域,尤其涉及一种模拟攻击杀伤链的方法、装置、存储介质及电子设备。
背景技术
目前企业环境安全检测和安全设备能力评估基本分为人工渗透测试、自动化入侵和攻击模拟(BAS)两种方式。其中,人工渗透测试方式虽能达到企业短期的检测需求,但企业环境熟悉、后期交付、工作效率、标准化程度、行为及数据可控性都有非常多的不足。自动化入侵和攻击模拟(BAS)可以对目标环境进行全量漏洞探测、全量TTP内容库及设定好的场景进行自动化模拟攻击,但即使针对用户环境做过相关资产测绘,该方法依然存有自身的局限性和弊端,比如主要基于单点的资产攻击行为,无法根据资产间的关联度从而模拟出符合企业真实环境中的攻击杀伤链。
发明内容
本发明实施例的目的是提供一种模拟攻击杀伤链的方法、装置、存储介质及电子设备,其通过知识图谱计算企业环境中的模拟攻击杀伤链,自适应不同企业环境或者自适应同一企业环境中日益不断变化的资产信息。
为了实现上述目的,本发明一方面提供一种模拟攻击杀伤链的方法,包括:
获取历史攻击事件,并以图数据的形式表示,构建初始图表示学习模型;
获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,
所述杀伤链路径模型用于输入至入侵者模拟系统评估企业安全性。
可选的,所述将所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型,包括:
从所述历史攻击事件中抽取攻击知识,并与杀伤链关联;
将与杀伤链关联后的所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型。
可选的,所述从所述历史攻击事件中抽取攻击知识,并与杀伤链关联,包括:
对所述历史攻击事件进行训练语义分析,提取攻击知识,作为数据集语料库;
将所述攻击知识中关于TTP信息、所述企业目标资产信息作为实体,作为训练集语料库,与杀伤链建立关系。
可选的,所述对所述历史攻击事件进行训练语义分析,提取攻击知识,作为数据集语料库,包括:
对所述历史攻击事件进行文本预处理以及文本深层次断句;
通过自然语言处理技术,对经过文本深层次断句后的所述历史攻击事件进行语句语义依存分析;
对经过语句语义依存分析后的所述历史攻击事件制作数据集语料库,提取攻击知识。
可选的,所述获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,包括:
获取所述企业目标资产信息,并将其映射到所述初始图表示学习模型中表征所述企业目标资产信息的实体;
通过知识计算中对所述初始图表示学习模型中表征所述TTP信息的实体及其所在的杀伤链范围做时序分析,生成所述杀伤链路径模型。
可选的,所述企业目标资产信息包括企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息;
所述获取企业目标资产信息,并将其映射到所述初始图表示学习模型中表征企业目标资产信息的实体,包括:
将所述企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息转换为知识图谱标准存储格式,并与所述初始图表示学习模型中表征企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息的实体进行枚举映射。
本发明另一方面还提供一种模拟攻击杀伤链的装置,包括:
知识图谱构建模块,用于获取历史攻击事件,并以图数据的形式表示,构建初始图表示学习模型;
杀伤链路径生成模块,用于获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,
所述杀伤链路径模型用于输入至入侵者模拟系统评估企业安全性。
可选的,将所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型,包括:
从所述历史攻击事件中抽取攻击知识,并与杀伤链关联;
将与杀伤链关联后的所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型。
可选的,所述从所述历史攻击事件中抽取攻击知识,并与杀伤链关联,包括:
对所述历史攻击事件进行训练语义分析,提取攻击知识,作为数据集语料库;
将所述攻击知识中关于TTP信息、所述企业目标资产信息作为实体,作为训练集语料库,与杀伤链建立关系。
可选的,所述对所述历史攻击事件进行训练语义分析,提取攻击知识,作为数据集语料库,包括:
对所述历史攻击事件进行文本预处理以及文本深层次断句;
通过自然语言处理技术,对经过文本深层次断句后的所述历史攻击事件进行语句语义依存分析;
对经过语句语义依存分析后的所述历史攻击事件制作数据集语料库,提取攻击知识。
可选的,所述获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,包括:
获取所述企业目标资产信息,并将其映射到所述初始图表示学习模型中表征所述企业目标资产信息的实体;
通过知识计算中对所述初始图表示学习模型中表征所述TTP信息的实体及其所在的杀伤链范围做时序分析,生成所述杀伤链路径模型。
可选的,所述企业目标资产信息包括企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息;
所述获取企业目标资产信息,并将其映射到所述初始图表示学习模型中表征企业目标资产信息的实体,包括:
将所述企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息转换为知识图谱标准存储格式,并与所述初始图表示学习模型中表征企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息的实体进行枚举映射。
本发明另一方面还提供一种存储介质,用于存储一种用于执行上述的入侵者模拟攻击检测方法的计算机程序。
本发明另一方面还提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述的入侵者模拟攻击检测方法。
在本发明实施例中,通过从所述历史攻击事件中抽取攻击知识,并与杀伤链关联,并将与杀伤链关联后的所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型,以知识图谱的形式显示。然后针对不同的企业环境,获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,将所述杀伤链路径模型用于输入至入侵者模拟系统评估企业安全性。区别于现有技术中的自动攻击和模拟入侵相关产品只能够通过单点资产发生模拟攻击,或低效关联进行模拟攻击的方法,本发明的方法通过知识图谱计算企业环境中的模拟攻击杀伤链方法,能够精准的推理出可能会发生的攻击杀伤链路径,从而实现模拟入侵和攻击的智能化、提高模拟攻击的有效性,自适应不同企业环境,自适应同一企业环境中日益不断变化的资产信息。
附图说明
图1为本发明实施例提供的模拟攻击杀伤链的方法流程示意图;
图2为步骤S1的具体流程图;
图3为步骤S2的具体流程图;
图4是本发明的模拟攻击杀伤链的装置结构示意图;
其中:400-模拟攻击杀伤链的装置;
401-知识图谱构建模块;
402-杀伤链路径生成模块;
图5是电子设备的结构示意图;
其中:500-电子设备500;
501-存储介质;
502-处理器。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
需要说明的,本说明书中针对“一个实施例”、“实施例”、“示例实施例”等的引用,指的是描述的该实施例可包括特定的特征、结构或特性,但是不是每个实施例必须包含这些特定特征、结构或特性。此外,这样的表述并非指的是同一个实施例。进一步,在结合实施例描述特定的特征、结构或特性时,不管有没有明确的描述,已经表明将这样的特征、结构或特性结合到其它实施例中是在本领域技术人员的知识范围内的。
此外,在说明书及后续的权利要求当中使用了某些词汇来指称特定组件或部件,所属领域中具有通常知识者应可理解,制造商可以用不同的名词或术语来称呼同一个组件或部件。本说明书及后续的权利要求并不以名称的差异来作为区分组件或部件的方式,而是以组件或部件在功能上的差异来作为区分的准则。在通篇说明书及后续的权利要求书中所提及的“包括”和“包含”为一开放式的用语,故应解释成“包含但不限定于”。
本发明实施例一提供了一种模拟攻击杀伤链的方法,参考图1,图1示出了本实施例的步骤流程图;
一种模拟攻击杀伤链的方法,可以包括如下步骤:
S1、获取历史攻击事件,并以图数据的形式表示,构建初始图表示学习模型。
在具体实现中,如图2所示,图2为步骤S1对应的具体流程图,包括:
S11、从所述历史攻击事件中抽取攻击知识,并与杀伤链关联。
在具体实现中,所述从所述历史攻击事件中抽取攻击知识,并与杀伤链关联,包括:对所述历史攻击事件进行训练语义分析,提取攻击知识,作为数据集语料库;将所述攻击知识中关于TTP信息、所述企业目标资产信息作为实体,作为训练集语料库,与杀伤链建立关系。
S12、将与杀伤链关联后的所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型,定义图数据的每一个节点用于表征TTP信息、所述企业目标资产信息。
S2、获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,
所述杀伤链路径模型用于输入至入侵者模拟系统评估企业安全性。
在具体实现中,如图3所示,图3为步骤S2对应的具体流程图,包括:
S21、获取企业目标资产信息,并将其映射到所述初始图表示学习模型中表征企业目标资产信息的实体;
S22、通过知识计算中对所述初始图表示学习模型中表征所述TTP信息的实体及其所在的杀伤链范围做时序分析,生成所述杀伤链路径模型。
在本实施例中,生成杀伤链路径模型后续可以发送给BAS入侵者模拟系统,根据攻击结果评估用户环境中的安全性。
本实施例中通过从所述历史攻击事件中抽取攻击知识,并与杀伤链关联,将与杀伤链关联后的所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型,以知识图谱的形式显示。然后针对不同的企业环境,获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,将所述杀伤链路径模型用于输入至入侵者模拟系统评估企业安全性。区别于现有技术中的自动攻击和模拟入侵相关产品只能够通过单点资产发生模拟攻击,或低效关联进行模拟攻击的方法,本发明的方法通过知识图谱计算企业环境中的模拟攻击杀伤链方法,能够精准的推理出可能会发生的攻击杀伤链路径,从而实现模拟入侵和攻击的智能化、提高模拟攻击的有效性,自适应不同企业环境,自适应同一企业环境中日益不断变化的资产信息。需要说明的是本发明的模拟杀伤链的方法虽然会因为时序分析中存在的多个资产之间的组合而存在多条,但远远比盲目的枚举和无效关联更高效,而且杀伤链基于不断变化的企业目标资产信息,如新的漏洞信息,新的攻击技战术及攻击实现(TTPs)的产生而不断演进迭代。
本发明实施例二提供了一种模拟攻击杀伤链的方法,可以包括如下步骤:
S1、获取历史攻击事件,并以图数据的形式表示,构建初始图表示学习模型。
在具体实现中,如图2所示,图2为步骤S1对应的具体流程图,包括:
S11、从所述历史攻击事件中抽取攻击知识,并与杀伤链关联。
在具体实现中,所述从所述历史攻击事件中抽取攻击知识,并与杀伤链关联,包括:对所述历史攻击事件进行训练语义分析,提取攻击知识,作为数据集语料库;将所述攻击知识中关于TTP信息、所述企业目标资产信息作为实体,作为训练集语料库,与杀伤链建立关系。
在具体实现中,所述历史攻击事件包括从结构化、半结构化和非结构化多种数据结构,本实施例中通过对所述历史攻击事件进行训练语义分析,具体包括文本预处理、深层次断句、目标TTP语语义依存分析、词汇标记化、同义词扩充、以及模型训练预测等多种数据处理过程,从所述历史攻击事件中抽取攻击知识,作为数据集语料库;将所述攻击知识中关于TTP信息、所述企业目标资产信息作为实体,作为训练集语料库,与杀伤链建立关系。
本实施例中通过对所述历史攻击事件进行文本预处理,以降低输入随机性来降低算法输入维度,提供性能。如某一历史攻击事件文本“一种木马程序,它运行后会在%TEMP%目录下释放正常的腾讯TP程序TPHelper.exe和恶意的TPHelperBase.dll以构成dll劫持。”经过文本预处理,将会处理为“一种木马程序,它运行后会在特定目录下释放正常的腾讯TP程序EXE文件和恶意的DLL文件以构成dll劫持。”。然后对经过文本预处理后的所述历史攻击事件进行文本深层次断句处理,使每个文本深层次断句处理后的待分析的句子都独立的表达TTP信息,如具体可以根据文本中出现的表示中文语句结束的标点符号或者文本中出现的并列关系连词等进行断句处理。然后,通过自然语言处理技术,对经过文本深层次断句后的所述历史攻击事件进行语句语义依存分析,将复杂多变的描述方式进行标准化、统一化,将涉及的攻击者所使用的工具、途径方法、空间位置、实施范围、达成效果进行标准化归位输出。对经过语句语义依存分析后的所述历史攻击事件制作数据集语料库,提取攻击知识,并对数据集语料库中的高频关键词,进行同义词扩展,提高后续模型预测的召回率。如“木马搜集域内账户名。”经过同义词扩展后扩展为“木马收集域内用户名。”、“木马采集域内用户账户。”及“木马收割域内用户登录名。”等。最后,将数据集语料库中关于TTP信息、所述企业目标资产信息作为实体,作为训练集语料库,与杀伤链建立关系。
S12、将与杀伤链关联后的所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型,定义图数据的每一个节点用于表征TTP信息、所述企业目标资产信息。
S2、获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,
所述杀伤链路径模型用于输入至入侵者模拟系统评估企业安全性。
在具体实现中,如图3所示,图3为步骤S2对应的具体流程图,包括:
S21、获取企业目标资产信息,并将其映射到所述初始图表示学习模型中表征企业目标资产信息的实体。
在具体实现中,所述企业目标资产信息主要包括企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息等。其中,企业硬件配置信息主要包括DMZ区及办公区域中的服务器、主机、网关、交换机、路由器以及生产区中的服务器、工业和控制化设备等所有硬件设备信息;企业软件配置信息主要包括企业中运营和使用的所有软件系统,如业务系统、OA系统、ERP系统、员工常用工具等以及所有安装在上述硬件中提供或支撑服务的一切软件系统和服务系统。企业所属行业信息用于明确企业所属的行业信息,如金融、烟草、政府等行业,该信息很容易得知。通过梳理出硬件和软件服务存在或涉及到的版本信息、安全补丁信息、漏洞信息、端口信息、协议,以及企业所属行业信息等,将所述企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息转换为知识图谱标准存储格式,并与所述初始图表示学习模型中表征企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息的实体进行枚举映射。
S22、通过知识计算中对所述初始图表示学习模型中表征所述TTP信息的实体及其所在的杀伤链范围做时序分析,生成所述杀伤链路径模型。
在本实施例中,生成杀伤链路径模型后续可以发送给BAS入侵者模拟系统,根据攻击结果评估用户环境中的安全性。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
本发明上述实施例可以应用于具有模拟攻击杀伤链的终端设备中,该终端设备可以包括掌上电脑、台式电脑、提供用户进行电子签名的签名终端,以及手机、PDA(PersonalDigital Assistant,个人数字助理)等等,本发明实施例对此不加以限制。该终端可以支持Windows、Android(安卓)、IOS、WindowsPhone等操作系统。
参照图4,图4示出了一种模拟攻击杀伤链的装置400,所述模拟攻击杀伤链的装置400可应用于电脑等终端设备中,其可实现通过如图1-图3所示的模拟攻击杀伤链的方法,至少包括知识图谱构建模块401、杀伤链路径生成模块402,即具体为:
一种模拟攻击杀伤链的装置400,包括:
知识图谱构建模块401,用于获取历史攻击事件,并以图数据的形式表示,构建初始图表示学习模型;
杀伤链路径生成模块402,用于获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,
所述杀伤链路径模型用于输入至入侵者模拟系统评估企业安全性。
可选的,将所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型,包括:
从所述历史攻击事件中抽取攻击知识,并与杀伤链关联;
将与杀伤链关联后的所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型。
可选的,所述从所述历史攻击事件中抽取攻击知识,并与杀伤链关联,包括:
对所述历史攻击事件进行训练语义分析,提取攻击知识,作为数据集语料库;
将所述攻击知识中关于TTP信息、所述企业目标资产信息作为实体,作为训练集语料库,与杀伤链建立关系。
可选的,所述对所述历史攻击事件进行训练语义分析,提取攻击知识,作为数据集语料库,包括:
对所述历史攻击事件进行文本预处理以及文本深层次断句;
通过自然语言处理技术,对经过文本深层次断句后的所述历史攻击事件进行语句语义依存分析;
对经过语句语义依存分析后的所述历史攻击事件制作数据集语料库,提取攻击知识。
可选的,所述获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,包括:
获取所述企业目标资产信息,并将其映射到所述初始图表示学习模型中表征所述企业目标资产信息的实体;
通过知识计算中对所述初始图表示学习模型中表征所述TTP信息的实体及其所在的杀伤链范围做时序分析,生成所述杀伤链路径模型。
可选的,所述企业目标资产信息包括企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息;
所述获取企业目标资产信息,并将其映射到所述初始图表示学习模型中表征企业目标资产信息的实体,包括:
将所述企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息转换为知识图谱标准存储格式,并与所述初始图表示学习模型中表征企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息的实体进行枚举映射。
本发明还提供一种存储介质,用于存储用于执行如图1-图3所述的模拟攻击杀伤链的方法的计算机程序。例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令,可能被存储在固定的或可移动的存储介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输和/或被存储在根据程序指令运行的存储介质中。
在此,根据本发明的一个实施例包括一个如图5所示的电子设备500,在一些实施方式中,包括用于存储计算机程序的存储介质501和用于执行计算机程序的处理器502,其中,当该计算机程序被该处理器执行时,触发该电子设备执行基于前述多个实施例中的方法和/或技术方案,该电子设备500可以为手机、电脑等终端设备。
需要注意的是,本发明的软件程序可以通过处理器执行以实现上文步骤或功能。同样地,本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。根据本发明的日程提醒方法可以作为计算机实现方法在计算机上实现,用于根据本发明的方法的可执行代码或其部分可以存储在计算机程序产品上。计算机程序产品的示例包括存储器设备、光学存储设备、集成电路、服务器、在线软件等。在一些实施方式中,计算机程序产品包括存储在计算机可读介质上以便当所述程序产品在计算机上执行时执行根据本发明的方法的非临时程序代码部件。
综上所述,本发明提供的模拟攻击杀伤链的方法,通过从所述历史攻击事件中抽取攻击知识,并与杀伤链关联,并将与杀伤链关联后的所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型,以知识图谱的形式显示。然后针对不同的企业环境,获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,将所述杀伤链路径模型用于输入至入侵者模拟系统评估企业安全性。区别于现有技术中的自动攻击和模拟入侵相关产品只能够通过单点资产发生模拟攻击,或低效关联进行模拟攻击的方法,本发明的方法通过知识图谱计算企业环境中的模拟攻击杀伤链方法,能够精准的推理出可能会发生的攻击杀伤链路径,从而实现模拟入侵和攻击的智能化、提高模拟攻击的有效性,自适应不同企业环境,自适应同一企业环境中日益不断变化的资产信息。需要说明的是本发明的模拟杀伤链的方法虽然会因为时序分析中存在的多个资产之间的组合而存在多条,但远远比盲目的枚举和无效关联更高效,而且杀伤链基于不断变化的企业目标资产信息,如新的漏洞信息,新的攻击技战术及攻击实现(TTPs)的产生而不断演进迭代。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
本发明公开A1、一种模拟攻击杀伤链的方法,包括:
获取历史攻击事件,并以图数据的形式表示,构建初始图表示学习模型;
获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,
所述杀伤链路径模型用于输入至入侵者模拟系统评估企业安全性。
A2、根据A1所述的方法,将所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型,包括:
从所述历史攻击事件中抽取攻击知识,并与杀伤链关联;
将与杀伤链关联后的所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型。
A3、根据A2所述的方法,所述从所述历史攻击事件中抽取攻击知识,并与杀伤链关联,包括:
对所述历史攻击事件进行训练语义分析,提取攻击知识,作为数据集语料库;
将所述攻击知识中关于TTP信息、所述企业目标资产信息作为实体,作为训练集语料库,与杀伤链建立关系。
A4、根据A3所述的方法,所述对所述历史攻击事件进行训练语义分析,提取攻击知识,作为数据集语料库,包括:
对所述历史攻击事件进行文本预处理以及文本深层次断句;
通过自然语言处理技术,对经过文本深层次断句后的所述历史攻击事件进行语句语义依存分析;
对经过语句语义依存分析后的所述历史攻击事件制作数据集语料库,提取攻击知识。
A5、根据A3所述的方法,所述获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,包括:
所述获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,包括:
获取所述企业目标资产信息,并将其映射到所述初始图表示学习模型中表征所述企业目标资产信息的实体;
通过知识计算中对所述初始图表示学习模型中表征所述TTP信息的实体及其所在的杀伤链范围做时序分析,生成所述杀伤链路径模型。
A6、根据A5所述的方法,
所述企业目标资产信息包括企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息;
所述获取企业目标资产信息,并将其映射到所述初始图表示学习模型中表征企业目标资产信息的实体,包括:
将所述企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息转换为知识图谱标准存储格式,并与所述初始图表示学习模型中表征企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息的实体进行枚举映射。
本发明还公开B7、一种模拟攻击杀伤链的装置,包括:
知识图谱构建模块,用于获取历史攻击事件,并以图数据的形式表示,构建初始图表示学习模型;
杀伤链路径生成模块,用于获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,
所述杀伤链路径模型用于输入至入侵者模拟系统评估企业安全性。
B8、根据B7所述的装置,将所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型,包括:
从所述历史攻击事件中抽取攻击知识,并与杀伤链关联;
将与杀伤链关联后的所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型。
B9、根据B8所述的装置,所述从所述历史攻击事件中抽取攻击知识,并与杀伤链关联,包括:
对所述历史攻击事件进行训练语义分析,提取攻击知识,作为数据集语料库;
将所述攻击知识中关于TTP信息、所述企业目标资产信息作为实体,作为训练集语料库,与杀伤链建立关系。
B10、根据B9所述的装置,所述对所述历史攻击事件进行训练语义分析,提取攻击知识,作为数据集语料库,包括:
对所述历史攻击事件进行文本预处理以及文本深层次断句;
通过自然语言处理技术,对经过文本深层次断句后的所述历史攻击事件进行语句语义依存分析;
对经过语句语义依存分析后的所述历史攻击事件制作数据集语料库,提取攻击知识。
B11、根据B9所述的装置,所述获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,包括:
获取所述企业目标资产信息,并将其映射到所述初始图表示学习模型中表征所述企业目标资产信息的实体;
通过知识计算中对所述初始图表示学习模型中表征所述TTP信息的实体及其所在的杀伤链范围做时序分析,生成所述杀伤链路径模型。
B12、根据B7所述的装置,
所述企业目标资产信息包括企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息;
所述获取企业目标资产信息,并将其映射到所述初始图表示学习模型中表征企业目标资产信息的实体,包括:
将所述企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息转换为知识图谱标准存储格式,并与所述初始图表示学习模型中表征企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息的实体进行枚举映射。
本发明还公开C13、一种存储介质,用于存储一种用于执行A1~A6中任一项所述的模拟攻击杀伤链的方法的计算机程序。
本发明还公开D14、一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现A1~A6中任一项所述的模拟攻击杀伤链的方法。
Claims (10)
1.一种模拟攻击杀伤链的方法,其特征在于,包括:
获取历史攻击事件,以图数据的形式表示,构建初始图表示学习模型;
获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,
其中,所述杀伤链路径模型,用于输入至入侵者模拟系统评估企业安全性。
2.根据权利要求1所述的方法,其特征在于,所述将所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型,包括:
从所述历史攻击事件中抽取攻击知识,并与杀伤链关联;
将与杀伤链关联后的所述历史攻击事件以图数据的形式表示,构建所述初始图表示学习模型。
3.根据权利要求2所述的方法,其特征在于,所述从所述历史攻击事件中抽取攻击知识,并与杀伤链关联,又包括:
对所述历史攻击事件进行训练语义分析,提取攻击知识,作为数据集语料库;
将所述攻击知识中关于TTP信息、所述企业目标资产信息作为实体,作为训练集语料库,与杀伤链建立关系。
4.根据权利要求3所述的方法,其特征在于,所述对所述历史攻击事件进行训练语义分析,提取攻击知识,作为数据集语料库,又包括:
对所述历史攻击事件进行文本预处理以及文本深层次断句;
通过自然语言处理技术,对经过文本深层次断句后的所述历史攻击事件进行语句语义依存分析;
对经过语句语义依存分析后的所述历史攻击事件制作数据集语料库,提取攻击知识。
5.根据权利要求3所述的方法,其特征在于,所述获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,又包括:
所述获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,包括:
获取所述企业目标资产信息,并将其映射到所述初始图表示学习模型中表征所述企业目标资产信息的实体;
通过知识计算中对所述初始图表示学习模型中表征所述TTP信息的实体及其所在的杀伤链范围做时序分析,生成所述杀伤链路径模型。
6.根据权利要求5所述的方法,其特征在于,
所述企业目标资产信息包括企业硬件配置信息、企业软件配置信息和/或企业所属行业信息;
所述获取企业目标资产信息,并将其映射到所述初始图表示学习模型中表征企业目标资产信息的实体,包括:
将所述企业硬件配置信息、企业软件配置信息、和/或企业所属行业信息转换为知识图谱标准存储格式,并与所述初始图表示学习模型中表征企业硬件配置信息、企业软件配置信息和/或企业所属行业信息的实体进行枚举映射。
7.一种模拟攻击杀伤链的装置,其特征在于,包括:
知识图谱构建模块,用于获取历史攻击事件,并以图数据的形式表示,构建初始图表示学习模型;
杀伤链路径生成模块,用于获取企业目标资产信息,输入至所述初始图表示学习模型进行训练,生成杀伤链路径模型,
所述杀伤链路径模型用于输入至入侵者模拟系统评估企业安全性。
8.根据权利要求7所述的装置,其特征在于,将所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型,包括:
从所述历史攻击事件中抽取攻击知识,并与杀伤链关联;
将与杀伤链关联后的所述历史攻击事件以图数据的形式表示,构建初始图表示学习模型。
9.一种存储介质,其特征在于,用于存储一种用于执行权利要求1~6中任一项所述的模拟攻击杀伤链的方法的计算机程序。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1~6中任一项所述的模拟攻击杀伤链的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210127808.0A CN116633567A (zh) | 2022-02-11 | 2022-02-11 | 模拟攻击杀伤链的方法、装置、存储介质及电子设备 |
| PCT/CN2022/113829 WO2023151257A1 (zh) | 2022-02-11 | 2022-08-22 | 模拟攻击杀伤链的方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210127808.0A CN116633567A (zh) | 2022-02-11 | 2022-02-11 | 模拟攻击杀伤链的方法、装置、存储介质及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116633567A true CN116633567A (zh) | 2023-08-22 |
Family
ID=87563504
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210127808.0A Pending CN116633567A (zh) | 2022-02-11 | 2022-02-11 | 模拟攻击杀伤链的方法、装置、存储介质及电子设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN116633567A (zh) |
| WO (1) | WO2023151257A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117670264B (zh) * | 2024-02-01 | 2024-04-19 | 武汉软件工程职业学院(武汉开放大学) | 一种会计数据自动流程化处理系统及方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018071356A1 (en) * | 2016-10-13 | 2018-04-19 | Nec Laboratories America, Inc. | Graph-based attack chain discovery in enterprise security systems |
| US11194910B2 (en) * | 2018-11-02 | 2021-12-07 | Microsoft Technology Licensing, Llc | Intelligent system for detecting multistage attacks |
| CN111049680B (zh) * | 2019-12-05 | 2021-05-25 | 中国科学院信息工程研究所 | 一种基于图表示学习的内网横向移动检测系统及方法 |
| CN111177417B (zh) * | 2020-04-13 | 2020-06-30 | 中国人民解放军国防科技大学 | 基于网络安全知识图谱的安全事件关联方法、系统、介质 |
| CN111552973B (zh) * | 2020-06-02 | 2023-10-20 | 奇安信科技集团股份有限公司 | 对设备进行风险评估的方法、装置、电子设备及介质 |
| CN113961759B (zh) * | 2021-10-22 | 2024-05-07 | 北京工业大学 | 基于属性图表示学习的异常检测方法 |
-
2022
- 2022-02-11 CN CN202210127808.0A patent/CN116633567A/zh active Pending
- 2022-08-22 WO PCT/CN2022/113829 patent/WO2023151257A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023151257A1 (zh) | 2023-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112131882B (zh) | 一种多源异构网络安全知识图谱构建方法及装置 | |
| CA3021168C (en) | Anticipatory cyber defense | |
| JP7436501B2 (ja) | サイバーセキュリティ・イベントについての時間関係を推測すること | |
| Husari et al. | Ttpdrill: Automatic and accurate extraction of threat actions from unstructured text of cti sources | |
| US20200257799A1 (en) | Methods and apparatus for using machine learning on multiple file fragments to identify malware | |
| Niakanlahiji et al. | A natural language processing based trend analysis of advanced persistent threat techniques | |
| Liu et al. | Insider threat identification using the simultaneous neural learning of multi-source logs | |
| CN111813960B (zh) | 基于知识图谱的数据安全审计模型装置、方法及终端设备 | |
| US11070588B2 (en) | Cognitive malicious activity identification and handling | |
| Gärtner et al. | Maintaining requirements for long-living software systems by incorporating security knowledge | |
| Deloglos et al. | An attacker modeling framework for the assessment of cyber-physical systems security | |
| Liu et al. | MFXSS: An effective XSS vulnerability detection method in JavaScript based on multi-feature model | |
| CN116633567A (zh) | 模拟攻击杀伤链的方法、装置、存储介质及电子设备 | |
| US20190372998A1 (en) | Exchange-type attack simulation device, exchange-type attack simulation method, and computer readable medium | |
| Dahl et al. | Structured semantics for the CORAS security risk modelling language | |
| Abaimov et al. | A survey on the application of deep learning for code injection detection | |
| Shahriar et al. | Design and development of Anti-XSS proxy | |
| Ragsdale et al. | On Designing Low-Risk Honeypots Using Generative Pre-Trained Transformer Models With Curated Inputs | |
| Laryea | Snort rule generation for malware detection using the gpt2 transformer | |
| Sakaoglu | KARTAL: Web Application Vulnerability Hunting Using Large Language Models: Novel method for detecting logical vulnerabilities in web applications with finetuned Large Language Models | |
| Yamin et al. | Applications of LLMs for Generating Cyber Security Exercise Scenarios | |
| Meyers et al. | An automated post-mortem analysis of vulnerability relationships using natural language word embeddings | |
| Lavieille et al. | IsoEx: an explainable unsupervised approach to process event logs cyber investigation | |
| CN117749534B (zh) | 网络安全分析方法、装置、电子设备及可读存储介质 | |
| Lai | Intrusion Detection Technology Based on Large Language Models |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |