威胁模型的构建方法、装置、计算机设备及存储介质转让专利
申请号 : CN202210409000.1
文献号 : CN114978595B
文献日 : 2023-04-11
发明人 : 胡璇 , 陈俊名 , 金先涛 , 吴波 , 程德斌
申请人 : 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室))
摘要 :
本申请涉及一种威胁模型的构建方法、装置及计算机设备,应用于信息安全技术领域。所述方法包括:构建信息系统的威胁模型的多本体框架,多本体框架包括威胁泛化本体、领域本体和应用本体;确定多本体框架的本体元素集;根据本体元素集构建威胁泛化本体、领域本体和应用本体;根据威胁泛化本体、领域本体和应用本体确定威胁模型。通过采用包括威胁泛化本体、领域本体和应用本体的多本体框架建立威胁模型,可以使得不同的参与方均能参与到多本体框架构建过程中,不仅避免了威胁建模过程中不同参与方之间知识共享的障碍,而且避免了多团队协作开发导致威胁模型对象系统不一致,解决了传统威胁建模方法的二义性和不一致性问题。
权利要求 :
1.一种威胁模型的构建方法,应用于信息系统,其特征在于,所述构建方法包括:构建所述信息系统的威胁模型的多本体框架,所述多本体框架包括威胁泛化本体、领域本体和应用本体;
确定所述多本体框架的本体元素集;
根据所述本体元素集构建所述威胁泛化本体、所述领域本体和所述应用本体;
根据所述威胁泛化本体、所述领域本体和所述应用本体确定所述威胁模型;
其中,所述根据所述本体元素集构建所述威胁泛化本体、所述领域本体和所述应用本体,包括:基于攻击模型和网络安全框架确定威胁泛化本体概念;
确定所述威胁泛化本体概念之间的第一关联关系,其中,所述第一关联关系包括继承关系和聚合关系;
确定所述威胁泛化本体的概念空间;
根据所述威胁泛化本体概念、所述继承关系、所述聚合关系确定所述概念空间的统一建模语言UML图;
根据所述UML图构建所述威胁泛化本体;
根据预设应用领域对所述信息系统进行划分;
根据划分结果确定初始领域概念;
对所述初始领域概念进行筛选,得到领域本体概念;
根据所述领域本体概念建立概念字典表;
根据所述概念字典表确定领域本体概念层次和所述领域本体概念之间的第二关联关系;
根据所述领域本体概念、所述领域本体概念层次和所述第二关联关系构建所述领域本体;
获取开放式系统互联通信参考模型中应用层的协议类型;
根据所述协议类型确定应用本体概念和所述应用本体概念之间的第三关联关系;
根据所述应用本体概念和所述第三关联关系构建所述应用本体。
2.根据权利要求1所述的构建方法,其特征在于,所述本体元素集包括本体概念、本体概念层次和所述本体概念之间的关联关系。
3.根据权利要求1所述的构建方法,其特征在于,所述攻击模型为ATT&CK模型,所述网络安全框架为ISO/IEC 27032框架。
4.根据权利要求1所述的构建方法,其特征在于,所述对所述初始领域概念进行筛选,得到领域本体概念,包括:根据所述初始领域概念中每个领域概念的重复次数确定所述每个领域概念的总得分;
根据所述每个领域概念的总得分确定平均分;
将总得分大于所述平均分的领域概念确定为领域本体概念。
5.根据权利要求1所述的构建方法,其特征在于,所述构建方法还包括:根据所述威胁模型进行威胁分析。
6.根据权利要求1所述的构建方法,其特征在于,所述协议类型包括传输控制协议和用户数据报协议。
7.根据权利要求1所述的构建方法,其特征在于,所述威胁模型用于进行威胁分析,以从攻击者进行攻击开始对攻击者进行攻击链追踪和攻击者溯源画像。
8.一种威胁模型的构建装置,其特征在于,所述构建装置包括:框架构建模块,用于构建信息系统的威胁模型的多本体框架,所述多本体框架包括威胁泛化本体、领域本体和应用本体;
元素集确定模块,用于确定所述多本体框架的本体元素集;
本体构建模块,用于根据所述本体元素集构建所述威胁泛化本体、所述领域本体和所述应用本体;
模型确定模块,用于根据所述威胁泛化本体、所述领域本体和所述应用本体确定所述威胁模型;
其中,所述本体构建模块具体用于:
基于攻击模型和网络安全框架确定威胁泛化本体概念;
确定所述威胁泛化本体概念之间的第一关联关系,其中,所述第一关联关系包括继承关系和聚合关系;
确定所述威胁泛化本体的概念空间;
根据所述威胁泛化本体概念、所述继承关系、所述聚合关系确定所述概念空间的统一建模语言UML图;
根据所述UML图构建所述威胁泛化本体;
根据预设应用领域对所述信息系统进行划分;
根据划分结果确定初始领域概念;
对所述初始领域概念进行筛选,得到领域本体概念;
根据所述领域本体概念建立概念字典表;
根据所述概念字典表确定领域本体概念层次和所述领域本体概念之间的第二关联关系;
根据所述领域本体概念、所述领域本体概念层次和所述第二关联关系构建所述领域本体;
获取开放式系统互联通信参考模型中应用层的协议类型;
根据所述协议类型确定应用本体概念和所述应用本体概念之间的第三关联关系;
根据所述应用本体概念和所述第三关联关系构建所述应用本体。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的威胁模型的构建方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
说明书 :
威胁模型的构建方法、装置、计算机设备及存储介质
技术领域
[0001] 本申请涉及信息安全技术领域,特别是涉及一种威胁模型的构建方法、装置及计算机设备。
背景技术
[0002] 随着大数据、云计算、物联网等新技术的发展和应用,信息系统规模和复杂度日益增加,受到各类网络安全威胁和攻击的情况愈发严重,网络安全问题不断呈现出各类新形态。网络安全威胁是指某个实体(人、事件、程序等)对某一资源的机密性、完整性、可用性在合法使用时可能造成的危害。这些危害通常是通过一定的攻击手段实现的,因此,需要对网络安全威胁进行分析。威胁建模是网络安全威胁分析的重要环节之一,是一种用于系统识别、评估产品的安全风险和威胁,并针对这些风险、威胁制定消减措施的结构性方法,作为软件开发安全生命周期(Security Development Lifetime,SDL)的核心模块被用于实践。而随着攻击工具、方法的逐渐升级和复杂化,安全数据的大规模融合、攻防对抗愈加激烈。
如何在海量数据中有效发现高级威胁的蛛丝马迹,同时把网络安全专家的经验、知识有效转化为可复制可扩展的数据分析能力是一个亟待解决的问题。
如何在海量数据中有效发现高级威胁的蛛丝马迹,同时把网络安全专家的经验、知识有效转化为可复制可扩展的数据分析能力是一个亟待解决的问题。
[0003] 目前,较为主流的威胁建模方法有基于攻击树模型的威胁建模、微软推出的STRIDE模型及方法等,这些传统的威胁建模方法存在如下问题:1.二义性问题:不同参与方,包括:使用方、监管方、提供方和第三方测评机构的角色定义是变化的,对应问题域的差异造成的知识鸿沟导致威胁建模过程中知识共享的障碍,并导致对同一概念的不同理解;2.不一致性问题:信息系统规模和复杂性的增加使得系统开发成为多团队协作活动,使得多视点、多范型的开发方法被广泛使用,这造成了威胁建模对象系统的不一致性。
发明内容
[0004] 基于此,有必要针对上述技术问题,提供一种能够解决现有威胁模型存在二义性和不一致性的威胁模型的构建方法、装置及计算机设备。
[0005] 第一方面,本申请提供了一种威胁模型的构建方法。构建方法包括:
[0006] 构建信息系统的威胁模型的多本体框架,多本体框架包括威胁泛化本体、领域本体和应用本体;
[0007] 确定多本体框架的本体元素集;
[0008] 根据本体元素集构建威胁泛化本体、领域本体和应用本体;
[0009] 根据威胁泛化本体、领域本体和应用本体确定威胁模型。
[0010] 在其中一个实施例中,本体元素集包括本体概念、本体概念层次和本体概念之间的关联关系。
[0011] 在其中一个实施例中,根据本体元素集构建威胁泛化本体,包括:
[0012] 基于攻击模型和网络安全框架确定威胁泛化本体概念;
[0013] 确定威胁泛化本体概念之间的第一关联关系,其中,第一关联关系包括继承关系和聚合关系;
[0014] 确定威胁泛化本体的概念空间;
[0015] 根据威胁泛化本体概念、继承关系、聚合关系确定概念空间的统一建模语言UML图;
[0016] 根据UML图构建威胁泛化本体。
[0017] 在其中一个实施例中,攻击模型为ATT&CK模型,网络安全框架为ISO/IEC 27032框架。
[0018] 在其中一个实施例中,领域本体的构建过程,包括:
[0019] 根据预设应用领域对信息系统进行划分;
[0020] 根据划分结果确定初始领域概念;
[0021] 对初始领域概念进行筛选,得到领域本体概念;
[0022] 根据领域本体概念建立概念字典表;
[0023] 根据概念字典表确定领域本体概念层次和领域本体概念之间的第二关联关系;
[0024] 根据领域本体概念、领域本体概念层次和第二关联关系构建领域本体。
[0025] 在其中一个实施例中,对初始领域概念进行筛选,得到领域本体概念,包括:
[0026] 根据初始领域概念中每个领域概念的重复次数确定每个领域概念的总得分;
[0027] 根据每个领域概念的总得分确定平均分;
[0028] 将总得分大于平均分的领域概念确定为领域本体概念。
[0029] 在其中一个实施例中,应用本体的构建过程,包括:
[0030] 获取开放式系统互联通信参考模型中应用层的协议类型;
[0031] 根据协议类型确定应用本体概念和应用本体概念之间的第三关联关系;
[0032] 根据应用本体概念和第三关联关系构建应用本体。
[0033] 在其中一个实施例中,构建方法还包括:
[0034] 根据威胁模型进行威胁分析。
[0035] 第二方面,本申请还提供了一种威胁模型的构建装置。构建装置包括:
[0036] 框架构建模块,用于构建信息系统的威胁模型的多本体框架,多本体框架包括威胁泛化本体、领域本体和应用本体;
[0037] 元素集确定模块,用于确定多本体框架的本体元素集;
[0038] 本体构建模块,用于根据本体元素集构建威胁泛化本体、领域本体和应用本体;
[0039] 模型确定模块,用于根据威胁泛化本体、领域本体和应用本体确定威胁模型。
[0040] 在其中一个实施例中,本体构建模块,还用于基于攻击模型和网络安全框架确定威胁泛化本体概念;确定威胁泛化本体概念之间的第一关联关系,其中,第一关联关系包括继承关系和聚合关系;确定威胁泛化本体的概念空间;根据威胁泛化本体概念、继承关系、聚合关系确定概念空间的统一建模语言UML图;根据UML图构建威胁泛化本体。
[0041] 在其中一个实施例中,本体构建模块,还用于根据预设应用领域对信息系统进行划分;根据划分结果确定初始领域概念;对初始领域概念进行筛选,得到领域本体概念;根据领域本体概念建立概念字典表;根据概念字典表确定领域本体概念层次和领域本体概念之间的第二关联关系;根据领域本体概念、领域本体概念层次和第二关联关系构建领域本体。
[0042] 在其中一个实施例中,本体构建模块,还用于根据初始领域概念中每个领域概念的重复次数确定每个领域概念的总得分;根据每个领域概念的总得分确定平均分;将总得分大于平均分的领域概念确定为领域本体概念。
[0043] 在其中一个实施例中,本体构建模块,还用于获取开放式系统互联通信参考模型中应用层的协议类型;根据协议类型确定应用本体概念和应用本体概念之间的第三关联关系;根据应用本体概念和第三关联关系构建应用本体。
[0044] 在其中一个实施例中,构建装置还包括:
[0045] 威胁分析模块,用于根据威胁模型进行威胁分析。
[0046] 第三方面,本申请还提供了一种计算机设备。计算机设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
[0047] 构建信息系统的威胁模型的多本体框架,多本体框架包括威胁泛化本体、领域本体和应用本体;
[0048] 确定多本体框架的本体元素集;
[0049] 根据本体元素集构建威胁泛化本体、领域本体和应用本体;
[0050] 根据威胁泛化本体、领域本体和应用本体确定威胁模型。
[0051] 上述威胁模型的构建方法、装置及计算机设备,通过采用包括威胁泛化本体、领域本体和应用本体的多本体框架建立威胁模型,可以使得领域专家、使用方、监管方、提供方和第三方测评机构等不同的参与方均能参与到多本体框架构建过程中,不仅避免了威胁建模过程中不同参与方之间知识共享的障碍,而且避免了多团队协作开发导致威胁模型对象系统不一致,解决了传统威胁建模方法的二义性和不一致性问题。
附图说明
[0052] 图1为一个实施例中威胁模型的构建方法的流程示意图;
[0053] 图2为一个实施例中多本体框架示意图;
[0054] 图3为一个实施例中威胁泛化本体的本体概念层次和关联关系的示意图;
[0055] 图4为一个实施例中威胁泛化本体的UML图;
[0056] 图5为一个实施例中领域本体的本体概念层次和关联关系的示意图;
[0057] 图6为一个实施例中应用本体的本体概念层次和关联关系的示意图;
[0058] 图7为另一个实施例中威胁模型的构建方法的流程示意图;
[0059] 图8为一个实施例中利用威胁模型进行威胁分析的示意图;
[0060] 图9为一个实施例中进行威胁分析时得到的攻击者溯源图像;
[0061] 图10为另一个实施例中利用威胁模型进行威胁分析的示意图;
[0062] 图11为一个实施例中进行威胁分析时基于互联网的工具调用命令和参数的示意图;
[0063] 图12为一个实施例中进行威胁分析时攻击者获得摄像头平台控制权的示意图;
[0064] 图13为一个实施例中进行威胁分析时基于内网的工具调用命令和参数的示意图;
[0065] 图14为一个实施例中进行威胁分析时攻击者获得内网服务器控制台控制权的示意图;
[0066] 图15为一个实施例中进行威胁分析时内网攻击路径示意图;
[0067] 图16为一个实施例中威胁模型的构建装置的结构框图;
[0068] 图17为一个实施例中计算机设备的内部结构图。
具体实施方式
[0069] 为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
[0070] 在一个实施例中,如图1所示,提供了一种威胁模型的构建方法,本实施例以该方法应用于终端进行举例说明,可以理解的是,该方法也可以应用于服务器,还可以应用于包括终端和服务器的系统,并通过终端和服务器的交互实现。本实施例中,该方法包括以下步骤:
[0071] 步骤102,构建信息系统的威胁模型的多本体框架,多本体框架包括威胁泛化本体、领域本体和应用本体。
[0072] 其中,本体是对共享的概念化进行形式的明确规范说明,威胁泛化本体描述的是通用的概念及概念之间的关联关系,领域本体描述的是特定领域中的概念及概念之间的关联关系,应用本体描述的是依赖于特定领域的概念及概念之间的关联关系。
[0073] 具体地,多本体框架可以自上而下将本体分为威胁泛化本体、领域本体和应用本体,并定义各本体之间的关系。图2为一个实施例中多本体框架示意图,如图2所示,在一个示例中,信息系统威胁模型的多本体框架可以为:ISTMOF =,其中,ISTMOF表示多本体框架,ISTGO、ISTDO 和ISTAO分别表示威胁泛化本体、领域本体和应用本体,各本体之间存在类层次关系。在该框架中,领域专家、使用方、监管方、提供方和第三方测评机构均能参与到多本体框架构建过程中,故该框架是基于多视点的。
[0074] 步骤104,确定多本体框架的本体元素集。
[0075] 其中,本体元素集是本体的组成元素的集合,本体元素集可以包括本体概念、本体概念层次和本体概念之间的关联关系等。
[0076] 应当理解的是,本体的组成元素具有多样性,既反映了构成本体的基本要素,又反映了基于这些基本要素的扩展。在一个示例中,本体元素集可以表示为:Element Set={C,R CH,I,R,OPs,DPs,P ,P ,M,A}。其中C表示本体概念, H表示本体概念层次,I表示本体概念实R
例,R表示本体概念之间的关联关系, Ops表示对象属性,DPs表示数据属性,P 表示属性约C
束,P表示属性特征,M 表示不同层次本体间映射,A表示公理。
例,R表示本体概念之间的关联关系, Ops表示对象属性,DPs表示数据属性,P 表示属性约C
束,P表示属性特征,M 表示不同层次本体间映射,A表示公理。
[0077] 步骤106,根据本体元素集构建威胁泛化本体、领域本体和应用本体。
[0078] 具体地,可以先从信息系统中选取威胁泛化本体概念,并建立威胁泛化本体概念之间的第一关联关系,基于威胁泛化本体概念和第一关联关系构建威胁泛化本体;在确定领域本体概念和领域本体概念之间的第二关联关系后,可以建立领域本体概念和威胁泛化本体概念之间的映射,并基于领域本体概念、第二关联关系和该映射关系构建领域本体;在确定应用本体概念和应用本体概念之间的第三关联关系后,建立应用本体概念和领域本体概念的映射,并基于应用本体概念、第三关联关系和该映射关系构建应用本体。
[0079] 应当理解的是,威胁泛化本体的构建方法有多种,可以基于攻击模型从信息系统中选取威胁泛化本体概念,可以基于网络安全框架从信息系统中选取威胁泛化本体概念,也可以同时基于攻击模型和网络安全框架从信息系统中选取威胁泛化本体概念。
[0080] 步骤108,根据威胁泛化本体、领域本体和应用本体确定威胁模型。
[0081] 具体地,可以使用本体工具protégé完成各层本体的构建,各层本体构建完成后,将威胁泛化本体、领域本体和应用本体进行保存,即可得到威胁模型。
[0082] 应当理解的是,层次化的建模方法能够解决目前威胁建模领域不同抽象层次模型互相割裂的现状,同时也避免了由于模型元素分散所导致的威胁模型构成元素碎片化的问题,基于多本体框架的威胁模型是结构化、可推理的数据模型,具有继承和关联属性,能够展示数据、对象和元素间的关系,可以实现安全事件的精确描述和准确分类、安全威胁的自动化推理和检测、不同安全厂商和安全设备间的威胁知识共享。
[0083] 应当理解的是,威胁模型建立后,可以根据威胁模型进行威胁分析,以从攻击者进行攻击开始对攻击者进行攻击链追踪和攻击者溯源画像,提高信息系统的安全性。
[0084] 本实施例通过采用包括威胁泛化本体、领域本体和应用本体的多本体框架建立威胁模型,可以使得领域专家、使用方、监管方、提供方和第三方测评机构等不同的参与方均能参与到多本体框架构建过程中,不仅避免了威胁建模过程中不同参与方之间知识共享的障碍,而且避免了多团队协作开发导致威胁模型对象系统不一致,解决了传统威胁建模方法的二义性和不一致性问题。
[0085] 在一个实施例中,可以根据本体元素集、攻击模型和网络安全框架构建威胁泛化本体,威胁泛化本体的构建过程包括:基于攻击模型和网络安全框架确定威胁泛化本体概念;确定威胁泛化本体概念之间的第一关联关系,其中,第一关联关系包括继承关系和聚合关系;确定威胁泛化本体的概念空间;根据威胁泛化本体概念、继承关系、聚合关系确定概念空间的统一建模语言UML图;根据UML图构建威胁泛化本体。
[0086] 其中,攻击模型是以攻击者为视角的威胁模型,网络安全框架是以防御者为视角的使利益相关者能够在解决网络安全问题上进行协作的框架,在一个示例中,攻击模型可以为ATT&CK模型,网络安全框架可以为基于网络安全指南国际标准ISO/IEC 27032的框架。
[0087] 为了有效解决网络空间安全问题,国际标准化组织(International Organization for Standardization,ISO)针对信息安全和信息安全管理体系 (Information Security Management System,ISMS)发布了ISO/IEC 27000系列标准,ISO/IEC 27032是其中之一。该标准致力于解决网络空间安全问题,集中于弥合网络空间不同安全领域间差距,并为解决常见的网络安全风险问题提供技术指导;同时,其致力于协作,因为需要在处于不同地理位置,并受不同监管要求约束的网络空间利益相关者间进行有效信息共享、协调和事件处理。这种协作必须以安全可靠的方式进行,并保护相关的个人隐私。
[0088] ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)是MITRE 公司提供的一套更细粒度、更易共享的“对抗战术、技术和常识”的知识模型和框架,由攻击者在攻击企业时会利用的12种战术和244种企业技术组成的精选知识库。ATT&CK模型分为两个技术领域:Enterprise和Mobile,每个领域对应不同的平台。终端探测与响应平台主要用于企业市场,其ATT&CK模型主要是围绕ATT&CK矩阵企业版进行的。ATT&CK模型主要围绕两个方面展开:策略Tactics和技术Techniques。ATT&CK模型中有四个关键对象:Tactics、 Techniques、Groups和Software。
[0089] 需要说明的是,ATT&CK模型可以解决其他攻击模型抽象层次高,难以表达具体的攻击行为和攻击行为关联的具体数据、防护措施、配置资源等问题,但若仅采用ATT&CK模型进行威胁建模,会因为仅从单一视角进行建模,导致威胁模型具有不完备性,本实施例同时从攻击者视角和防御者视角两个视角来进行建模,可以得到更为完备的威胁模型。
[0090] 图3为一个实施例中威胁泛化本体的本体概念层次和关联关系的示意图,如图3所示,威胁泛化本体的本体概念可以分为抽象概念AbstractConcepts和具体概念ConcreteConcepts,其中AbstractConcepts可以是Tactics、Threats、Techniques等,Tactics可以包括reconnaissance、resource development、C2等。
[0091] 在确定了威胁泛化本体概念层次和关联关系后,可以确定威胁泛化本体的概念空间,在一个示例中,概念空间可以参考如下表1:
[0092] 表1
[0093] 概念关联 描述value Stakeholders→Assets
reduce Controls→Risk
leadingto Vulnerabilities→Risk
exploit Threats→Vulnerabilities
increase Threats→Risk
giveriseto ThreatAgents→Threats
possess Controls→Vulnerabilities
reduce Controls→Vulnerabilities
expose Vulnerabilities→Assets
attack ThreatAgents→Assets
have Assets→Vulnerabilities
threaten Threats→Assets
implements Software→Techniques
accomplish Techniques→Tactics
uses Group→Software
uses Group→Techniques
reduce Controls→Risk
leadingto Vulnerabilities→Risk
exploit Threats→Vulnerabilities
increase Threats→Risk
giveriseto ThreatAgents→Threats
possess Controls→Vulnerabilities
reduce Controls→Vulnerabilities
expose Vulnerabilities→Assets
attack ThreatAgents→Assets
have Assets→Vulnerabilities
threaten Threats→Assets
implements Software→Techniques
accomplish Techniques→Tactics
uses Group→Software
uses Group→Techniques
[0094] 图4为一个实施例中威胁泛化本体的UML图,如图4所示,is‑a表示两个对象之间存在继承关系,is Part Of表示两个对象之间存在聚合关系,根据威胁泛化本体概念、继承关系、聚合关系确定概念空间的UML图,再使用转换工具对UML图进行转换,即可实现威胁泛化本体的构建。在具体实现中,该步骤可以通过本体工具protégé完成。
[0095] 本实施例通过基于攻击模型和网络安全框架构建威胁泛化本体,由于本体概念将不同参与方,包括:使用方、监管方、提供方和第三方测评机构等多个角色融合于威胁泛化本体中,考虑到了对应问题域的差异造成的知识鸿沟导致知识共享的障碍,可在一定程度上消除二义性;各个参与方的融合也能在一定程度上解决威胁建模对象系统的不一致性问题;并且,通过同时从攻击者和防御者视角两个视角来进行更为完备的威胁模型构建,一定程度上避免了传统威胁建模方法一般仅从单一视角进行建模而导致的不完备性问题。
[0096] 在一个实施例中,可以根据预设应用领域对信息系统进行划分,并根据划分结果和本体元素集构建领域本体。领域本体的构建过程包括:根据预设应用领域对信息系统进行划分;根据划分结果确定初始领域概念;对初始领域概念进行筛选,得到领域本体概念;根据领域本体概念建立概念字典表;根据概念字典表确定领域本体概念层次和领域本体概念之间的第二关联关系;根据领域本体概念、领域本体概念层次和第二关联关系构建领域本体。
[0097] 其中,预设应用领域指信息系统的应用领域,例如可以将信息系统划分为:普通信息系统、云计算系统、物联网系统和工业控制系统,从划分后的信息系统中选择初始领域概念。
[0098] 为了得到更有效的领域本体概念数据,可以采用加权技术对初始领域概念进行筛选,例如,可以根据初始领域概念中每个领域概念的重复次数确定每个领域概念的总得分;根据每个领域概念的总得分确定平均分;将总得分大于平均分的领域概念确定为领域本体概念。
[0099] 在具体实现中,可以在每重复一个领域概念时,将该领域概念的总得分提高一分,再求所有领域概念的总得分之和,将总和除以领域概念的数量,进而得到平均分,该步骤可以通过matlab软件实现。
[0100] 在确定了领域本体概念后,可以根据领域本体概念建立概念字典表,在一个示例中,概念字典表可以参考如下表2:
[0101] 表2
[0102]
[0103]
[0104] 图5为一个实施例中领域本体的本体概念层次和关联关系的示意图,如图5 所示,云计算系统CloudMgmSystem可以分为DISSoftware和DISHardware,其中,DISSoftware可以分为DISOperationSystem、DISApplications和 DISNetworkApplications等,DISNetworkApplications可以分为DISProtocols。当然,在具体实现中,普通信息系统也可以分为CISSoftware和CISHardware,其中,CISSoftware可以分为CISOperationSystem、CISApplications和 CISNetworkApplications等,CISNetworkApplications可以分为CISProtocols;物联网系统可以分为NetworkLayer、ApplicationLayer和SenseLayer,其中, NetworkLayer可以分为NHardware和NSoftware,NSoftware可以分为NProtocols;工业控制系统也可以分为FieldEquipment和IProtocols等。
[0105] 在确定了领域本体概念、领域本体概念层次和第二关联关系之后,还可以确定领域本体概念与威胁泛化本体概念之间的映射关系,并使用本体工具proté gé完成领域本体的构建。
[0106] 本实施例通过将信息系统进行划分,并根据划分结果确定领域本体概念,使得领域本体包含的概念和关系具有特定性,提高了领域本体的构建效率。
[0107] 在一个实施例中,可以根据开放式系统互联通信参考模型中应用层的协议类型和本体元素构建应用本体。应用本体的构建过程,包括:获取开放式系统互联通信参考模型中应用层的协议类型;根据协议类型确定应用本体概念和应用本体概念之间的第三关联关系;建立应用本体概念与领域本体概念之间的映射;根据应用本体概念和第三关联关系构建应用本体。
[0108] 其中,开放式系统互联通信参考模型(Open System Interconnection,OSI) 的应用层的协议类型包括传输控制协议(Transmission Control Protocol,TCP) 和用户数据报协议(User Data Protocol,UDP)等,其中,TCP协议又可以分为超文本传输协议(HyperText Transfer Protocol,HTTP)和文件传输协议(File Transfer Protocol,FTP)等。
[0109] 图6为一个实施例中应用本体的本体概念层次和关联关系的示意图,如图6 所示,在具体实现中,可以将协议类型作为应用本体概念,并根据OSI对于协议的分类确定应用本体概念之间的第三关联关系。
[0110] 在确定了应用本体概念、应用本体概念层次和第三关联关系之后,还可以建立应用本体概念与领域本体概念中的IProtocols、CISProtocols、DISProtocols、 NProtocols之间的映射,并使用本体工具protégé完成应用本体的构建。
[0111] 本实施例通过基于OSI应用层的协议类型构建应用本体,使得应用本体包含的概念和关系具有特定性,提高了应用本体的构建效率。
[0112] 图7为另一个实施例中威胁模型的构建方法的流程示意图,如图7所示,构建方法还可以包括以下步骤:
[0113] 步骤702,构建信息系统的威胁模型的多本体框架,多本体框架包括威胁泛化本体、领域本体和应用本体。
[0114] 步骤704,确定多本体框架的本体元素集。
[0115] 步骤706,根据本体元素集、ATT&CK模型和ISO/IEC 27032框架构建威胁泛化本体。
[0116] 步骤708,根据预设应用领域对信息系统进行划分,并根据划分结果和本体元素集构建领域本体。
[0117] 步骤710,根据开放式系统互联通信参考模型中应用层的协议类型和本体元素构建应用本体。
[0118] 步骤712,根据威胁泛化本体、领域本体和应用本体确定威胁模型。
[0119] 步骤714,根据威胁模型进行威胁分析。
[0120] 图8为一个实施例中利用威胁模型进行威胁分析的示意图,展示了某工业控制系统基于攻防对抗的威胁分析实例。如图8所示,虚线框是一个由多个蜜罐节点组成的蜜网。从攻击者的角度来看,攻击者按照图中“→”线所示路径进行有效攻击(具体地,获取虚拟专用网络(Virtual Private Network,VPN)接入点进入内网→攻破办公电脑(personal computer,PC)→攻破运维管理区服务器→获得核心生产区工业控制设备的控制权),最终攻陷工业控制系统生产区。从防御者的角度来看,由于这是一个蜜网,防御者之前已经在VPN中插入了一个探针。从攻击者进入的那一刻起,就可以对其行为进行画像,全面掌握其攻击活动和攻击能力。图9为一个实施例中进行威胁分析时得到的攻击者溯源图像,通过进行威胁分析,还可以获得攻击者特征,包括社交指纹、攻击指纹等,并可以进行攻击者追踪。
以上两个角度的活动也反映了攻防对抗的过程。
以上两个角度的活动也反映了攻防对抗的过程。
[0121] 图10为另一个实施例中利用威胁模型进行威胁分析的示意图,展示了某物联网系统基于攻防对抗的威胁分析实例。如图10所示,整个物联网系统分为两部分区域,(1)本地区域,包括本地生产区和其他本地区域;(2)外地区域,包括外地生产区和摄像头。本地生产区是一个蜜网。从攻击者的角度来看,攻击者按照路径(摄像头→外地生产区→本地主控服务器→本地生产区)实施有效攻击,最终攻陷本地生产区。攻击者利用漏洞CVE‑2021‑36260从摄像头获取访问权限,这是一个web模块中的命令注入漏洞。由于对输入参数的检查不充分,未经授权的攻击者可以构造带有恶意命令的消息并将其发送到受影响的设备,从而实现远程命令执行。利用此漏洞不需要用户交互,攻击者只需访问HTTP 或HTTP服务器端口(80/443)即可利用该漏洞,无需用户名、密码和其他操作。而且摄像头本身也检测不到任何登录信息。该漏洞影响IP摄像头和网络录像机设备,包括2021年6月发布的最新版本固件和2006年发布的固件。从防御者的角度来看,由于本地生产区是一个蜜网,防御者已事先在这个区域插入了探针。因此,可以从攻击者进入的那一刻起对其画像。该过程与图9中的示例类似,此处不再赘述。下面以具体步骤为例,给出工具调用命令、参数和相应证据的截图。
[0122] 第一步:从互联网收集信息。图11为一个实施例中进行威胁分析时基于互联网的工具调用命令和参数的示意图,这一步工作对应ATT&CK模型中的“reconnaissance”这一步工作。图12为一个实施例中进行威胁分析时攻击者获得摄像头平台控制权的示意图,这一步对应于ATT&CK模型中的“C2”这一步工作。攻击者在获得对互联网设备的控制权后,继续通过“横向移动”的方式攻击内网。
[0123] 第二步:从内网收集信息。图13为一个实施例中进行威胁分析时基于内网的工具调用命令和参数的示意图,这一步工作对应ATT&CK模型中的“reconnaissance”这一步工作。图14为一个实施例中进行威胁分析时攻击者获得内网服务器控制台控制权的示意图,这一步对应于ATT&CK模型中的“C2”和“credential access”这两步工作。
[0124] 第三步:攻陷内网资产。图15为一个实施例中进行威胁分析时内网攻击路径示意图,这一步工作主要是通过外部跳板攻击内网,后续跨网段攻击更深的内网。
[0125] 应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0126] 基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的威胁模型的构建方法的威胁模型的构建装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个威胁模型的构建装置实施例中的具体限定可以参见上文中对于威胁模型的构建方法的限定,在此不再赘述。
[0127] 在一个实施例中,如图16所示,提供了一种威胁模型的构建装置,包括:框架构建模块1602、元素集确定模块1604、本体构建模块1606和模型确定模块1608,其中:框架构建模块1602,用于构建信息系统的威胁模型的多本体框架,多本体框架包括威胁泛化本体、领域本体和应用本体;元素集确定模块1604,用于确定多本体框架的本体元素集;本体构建模块1606,用于根据本体元素集构建威胁泛化本体、领域本体和应用本体;模型确定模块1608,用于根据威胁泛化本体、领域本体和应用本体确定威胁模型。
[0128] 在其中一个实施例中,本体构建模块1606,还用于基于攻击模型和网络安全框架确定威胁泛化本体概念;确定威胁泛化本体概念之间的第一关联关系,其中,第一关联关系包括继承关系和聚合关系;确定威胁泛化本体的概念空间;根据威胁泛化本体概念、继承关系、聚合关系确定概念空间的统一建模语言UML 图;根据UML图构建威胁泛化本体。
[0129] 在其中一个实施例中,本体构建模块1606,还用于根据预设应用领域对信息系统进行划分;根据划分结果确定初始领域概念;对初始领域概念进行筛选,得到领域本体概念;根据领域本体概念建立概念字典表;根据概念字典表确定领域本体概念层次和领域本体概念之间的第二关联关系;根据领域本体概念、领域本体概念层次和第二关联关系构建领域本体。
[0130] 在其中一个实施例中,本体构建模块1606,还用于根据初始领域概念中每个领域概念的重复次数确定每个领域概念的总得分;根据每个领域概念的总得分确定平均分;将总得分大于平均分的领域概念确定为领域本体概念。
[0131] 在其中一个实施例中,本体构建模块1606,还用于获取开放式系统互联通信参考模型中应用层的协议类型;根据协议类型确定应用本体概念和应用本体概念之间的第三关联关系;根据应用本体概念和第三关联关系构建应用本体。
[0132] 在其中一个实施例中,构建装置还包括:威胁分析模块(图未示),用于根据威胁模型进行威胁分析。
[0133] 上述威胁模型的构建装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
[0134] 在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图17所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储用于构建本体的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种威胁模型的构建方法。
[0135] 本领域技术人员可以理解,图17中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
[0136] 在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
[0137] 构建信息系统的威胁模型的多本体框架,多本体框架包括威胁泛化本体、领域本体和应用本体;
[0138] 确定多本体框架的本体元素集;
[0139] 根据本体元素集构建威胁泛化本体、领域本体和应用本体;
[0140] 根据威胁泛化本体、领域本体和应用本体确定威胁模型。
[0141] 在一个实施例中,处理器执行计算机程序时还实现以下步骤:
[0142] 基于攻击模型和网络安全框架确定威胁泛化本体概念;确定威胁泛化本体概念之间的第一关联关系,其中,第一关联关系包括继承关系和聚合关系;确定威胁泛化本体的概念空间;根据威胁泛化本体概念、继承关系、聚合关系确定概念空间的统一建模语言UML图;根据UML图构建威胁泛化本体。
[0143] 在一个实施例中,处理器执行计算机程序时还实现以下步骤:
[0144] 根据预设应用领域对信息系统进行划分;根据划分结果确定初始领域概念;
[0145] 对初始领域概念进行筛选,得到领域本体概念;根据领域本体概念建立概念字典表;根据概念字典表确定领域本体概念层次和领域本体概念之间的第二关联关系;根据领域本体概念、领域本体概念层次和第二关联关系构建领域本体。
[0146] 在一个实施例中,处理器执行计算机程序时还实现以下步骤:
[0147] 根据初始领域概念中每个领域概念的重复次数确定每个领域概念的总得分;根据每个领域概念的总得分确定平均分;将总得分大于平均分的领域概念确定为领域本体概念。
[0148] 在一个实施例中,处理器执行计算机程序时还实现以下步骤:
[0149] 获取开放式系统互联通信参考模型中应用层的协议类型;根据协议类型确定应用本体概念和应用本体概念之间的第三关联关系;根据应用本体概念和第三关联关系构建应用本体。
[0150] 在一个实施例中,处理器执行计算机程序时还实现以下步骤:
[0151] 根据威胁模型进行威胁分析。
[0152] 在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
[0153] 在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
[0154] 需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
[0155] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read‑Only Memory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器 (Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器 (Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory, DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
[0156] 以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
[0157] 以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。