工业生产威胁预警方法、系统、电子设备及存储介质转让专利
申请号 : CN202211186855.9
文献号 : CN115348109B
文献日 : 2023-02-03
发明人 : 么鹏宇 , 王鹏 , 关勇
申请人 : 北京珞安科技有限责任公司
摘要 :
本申请实施例提供一种工业生产威胁预警方法、系统、电子设备及存储介质,涉及工业生产技术领域。该方法通过流处理技术获取用户环境数据,用户环境数据是与用户行为相关的数据;对用户环境数据进行筛选处理,得到威胁线索;对威胁线索进行关联分析,生成威胁线索对应的威胁事件;基于威胁事件输出对应的威胁故事,从而可以节省人力成本和威胁排查时间,还可以提高威胁排查效率。
权利要求 :
1.一种工业生产威胁预警方法,其特征在于,包括:步骤S110:通过流处理技术获取用户环境数据,所述用户环境数据是与用户行为相关的数据;
步骤S120:对所述用户环境数据进行筛选处理,得到威胁线索;
步骤S130:对所述威胁线索进行关联分析,生成所述威胁线索对应的威胁事件;
步骤S140:基于所述威胁事件输出对应的威胁故事;
所述步骤S130包括:
通过优化工具平台和MITRE ATT & CK攻击框架,采用知识图谱方式对所述威胁线索进行关联分析,生成所述威胁线索对应的威胁事件;
通过预设打分模型,对所述威胁事件进行打分,并获取所述威胁事件的评分;
确定评分高于预设评分的威胁事件为第一目标威胁事件;
所述基于所述威胁事件输出对应的威胁故事的步骤包括:基于所述第一目标威胁事件输出所述目标威胁事件对应的威胁故事,包括:获取威胁故事查阅请求;
根据所述威胁故事查阅请求确定目标威胁类型;
从所述第一目标威胁事件中确定与所述目标威胁类型对应的第二目标威胁事件;
输出所述第二目标威胁事件对应的威胁故事;
所述步骤S140包括:
将所述第一目标威胁事件输入预设故事生成模型,通过所述预设故事生成模型输出所述第一目标威胁事件对应的威胁故事,所述预设故事生成模型是根据不同攻击面下的威胁事件的所有要素之间的依赖关系训练得到的;或者将所述第二目标威胁事件输入所述预设故事生成模型,通过所述预设故事生成模型输出所述第二目标威胁事件对应的威胁故事;
所述威胁线索指表征可疑行为或者恶意行为的数据,包括非法网址、非法访问路径、非法文件、非法设备、非法资源以及系统漏洞;
所述威胁事件包括可疑活动的具体内容、具体对象以及具体时间;
所述威胁故事是由跨多个攻击面的威胁事件中的所有要素之间的依赖关系形成的完整的故事,所述所有要素包括用户、资产、文件、进程、网络。
2.根据权利要求1所述的方法,其特征在于,所述用户环境数据包括用户的网络行为数据、终端行为数据、用户行为数据以及文件数据中的其中一种或多种组合。
3.根据权利要求1或2所述的方法,其特征在于,所述威胁故事包括攻击摘要、攻击源头、攻击路径、攻击目标、攻击影响范围以及威胁信号。
4.一种工业生产威胁预警系统,用于实施如权利要求1‑3任一项所述的方法,其特征在于,包括:数据获取模块,用于通过流处理技术获取用户环境数据,所述用户环境数据是与用户行为相关的数据;
数据筛选模块,用于对所述用户环境数据进行筛选处理,得到威胁线索;
事件确定模块,用于对所述威胁线索进行关联分析,生成所述威胁线索对应的威胁事件;
故事生成模块,用于基于所述威胁事件输出对应的威胁故事;
所述事件确定模块包括关联分析子模块、事件打分子模块和事件确定子模块;
所述关联分析子模块,用于通过优化工具平台和MITRE ATT & CK攻击框架,采用知识图谱方式对所述威胁线索进行关联分析,生成所述威胁线索对应的威胁事件;
所述事件打分子模块,用于通过预设打分模型,对所述威胁事件进行打分,并获取所述威胁事件的评分;
所述事件确定子模块,用于确定评分高于预设评分的威胁事件为第一目标威胁事件;
还用于从所述第一目标威胁事件中确定与所述目标威胁类型对应的第二目标威胁事件;
所述故事生成模块包括故事生成子模块、请求获取子模块、类型确定子模块以及故事输出子模块;
所述故事生成子模块,用于基于所述第一目标威胁事件输出所述目标威胁事件对应的威胁故事;
所述请求获取子模块,用于获取威胁故事查阅请求;
所述类型确定子模块,用于根据所述威胁故事查阅请求确定目标威胁类型;
所述故事输出子模块,用于输出所述第二目标威胁事件对应的威胁故事。
5.一种电子设备,其特征在于,包括:
存储器;
一个或多个处理器;
一个或多个应用程序,其中,所述一个或多个应用程序存储在所述存储器中,并被配置为由所述一个或多个处理器调用时,使得所述一个或多个处理器执行如权利要求1‑3任一项所述的方法。
6.一种计算机可读取存储介质,其特征在于,所述计算机可读取存储介质中存储有程序代码,所述程序代码被配置为由处理器调用时,使得所述处理器执行如权利要求1‑3任一项所述的方法。
说明书 :
工业生产威胁预警方法、系统、电子设备及存储介质
技术领域
[0001] 本申请实施例涉及工业生产技术领域,特别地,涉及一种工业生产威胁预警方法、系统、电子设备及存储介质。
背景技术
[0002] 随着网络技术的发展,网络越来越复杂,对网络安全的要求越来越高。现有安全产品的使用门槛较高,需要具备专业知识和经验的安全分析人员才能使用,且安全分析人员需要耗费大量精力对大量的孤立告警和日志数据进行鉴别和关联。即,目前依赖安全分析人员分析网络威胁来监控网络安全的方式效率低下且会耗费大量时间。
发明内容
[0003] 本申请实施例提供一种工业生产威胁预警方法、系统、电子设备及存储介质,以改善上述问题。
[0004] 第一方面,本申请实施例提供一种工业生产威胁预警方法。该方法包括:通过流处理技术获取用户环境数据,所述用户环境数据是与用户行为相关的数据;对所述用户环境数据进行筛选处理,得到威胁线索;对所述威胁线索进行关联分析,生成所述威胁线索对应的威胁事件;基于所述威胁事件输出对应的威胁故事。
[0005] 第二方面,本申请实施例提供一种工业生产威胁预警系统。该系统包括:数据获取模块,用于通过流处理技术获取用户环境数据,所述用户环境数据是与用户行为相关的数据;数据筛选模块,用于对所述用户环境数据进行筛选处理,得到威胁线索;事件确定模块,用于对所述威胁线索进行关联分析,生成所述威胁线索对应的威胁事件;故事生成模块,用于基于所述威胁事件输出对应的威胁故事。
[0006] 第三方面,本申请实施例提供一种电子设备。该电子设备包括存储器、一个或多个处理器以及一个或多个应用程序。其中,一个或多个应用程序被存储在存储器中,并被配置为当被一个或多个处理器调用时执行本申请实施例提供的方法。
[0007] 第四方面,本申请实施例提供一种计算机可读取存储介质。该计算机可读取存储介质中存储有程序代码,该程序代码被配置为当被处理器调用时执行本申请实施例提供的方法。
[0008] 本申请实施例提供一种工业生产威胁预警方法、系统、电子设备及存储介质,该方法通过流处理技术获取用户环境数据,所述用户环境数据是与用户行为相关的数据;对所述用户环境数据进行筛选处理,得到威胁线索;对所述威胁线索进行关联分析,生成所述威胁线索对应的威胁事件;基于所述威胁事件输出对应的威胁故事,从而可以根据用户环境数据自动生成并输出威胁故事,不仅可以根据用户环境数据进行自动威胁排查,还可以将排查到的威胁结果以威胁故事的形式输出给用户,以便用户可以直接根据威胁故事轻松进行威胁警报的排查,从而可以节省人力成本和威胁排查时间,还可以提高威胁排查效率。
附图说明
[0009] 为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0010] 图1是本申请一示例性实施例提供的工业生产威胁预警方法的应用场景的示意图;
[0011] 图2是本申请一实施例提供的工业生产威胁预警方法的流程示意图;
[0012] 图3是本申请一示例性实施例提供的数据分析图的示意图;
[0013] 图4是本申请一示例性实施例提供的威胁类型占比图的示意图;
[0014] 图5是本申请一示例性实施例提供的威胁事件的示意图;
[0015] 图6是本申请一示例性实施例提供的威胁故事的示意图;
[0016] 图7是本申请另一实施例提供的工业生产威胁预警方法的流程示意图;
[0017] 图8是本申请又一实施例提供的工业生产威胁预警方法的流程示意图;
[0018] 图9是本申请一实施例提供的工业生产威胁预警系统的结构框图;
[0019] 图10是本申请一实施例提供的电子设备的结构框图;
[0020] 图11是本申请一实施例提供的计算机可读取存储介质的结构框图。
具体实施方式
[0021] 为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
[0022] 请参阅图1,图1是本申请一示例性实施例提供的工业生产威胁预警方法的应用场景的示意图。应用场景100包括终端110和系统120。终端110和系统120之间具有网络连接,可以实现数据交互。在终端110接入系统120且终端110和系统120之间的网络连接时,系统120可以获取终端110的数据,对终端120进行威胁排查并在排查到威胁时输出预警信息(例如下文将提到的威胁故事)给用户。
[0023] 请参阅图2,图2是本申请一实施例提供的工业生产威胁预警方法的流程示意图。该工业生产威胁预警方法可以应用于图1所示的系统120,或者下文将会提到的图9所示的工业生产威胁预警系统200。该工业生产威胁预警可以包括以下步骤S110‑S140。
[0024] 步骤S110,通过流处理技术获取用户环境数据。
[0025] 其中,用户环境数据指的是与用户行为相关的数据,可以用于进行威胁排查。用户环境数据可以包括用户的网络行为数据、终端行为数据、用户行为数据以及文件数据中的其中一种或多种组合。其中网络行为指的是网络空间主体的行为,包括交易行为、消费行为、娱乐行为、政治行为、违法行为等。终端行为指的是以终端对应的主体的行为。
[0026] 其中,流处理技术是一种数据分发技术,其中数据生产者将数据记录写入有序数据流,数据使用者可以从中按相同顺序读取数据。
[0027] 在一些可选的实施方式中,在终端与系统连接之后,系统可以通过终端实时获取用户的网络行为数据、终端行为数据、用户行为数据以及文件数据,作为用户环境数据。通过全方位采集数据,可以提高威胁排查结果的准确性和全面性。
[0028] 在一些可选的实施方式中,系统可以通过USB接口与终端连接,实时获取用户环境数据,而无需通过网络进行传输,从而可以节省时间并提高数据传输过程中的安全性。
[0029] 在一些可选的实施方式中,系统还可以提供开发接口,同时并行实时获取多个终端各自的用户环境数据,从而可以同时为多个终端进行威胁排查,从而提高系统资源利用率。
[0030] 在一些可选的实施方式中,系统和终端可以与同一服务器连接。终端可以对用户环境数据进行加密,再实时将加密之后的用户环境数据传输至服务器中。系统可以通过服务器实时获取加密之后的用户环境数据,并对加密之后的用户环境数据进行解密,得到用户环境数据,从而可以提高数据传输的安全性,防止数据泄露。
[0031] 在一些可选的实施方式中,系统可以通过系统的流量探针和终端的防御软件获取用户环境数据。流量探针也称为嗅探器(sniffer),例如,终端上安装一个wireshark,并将wireshark配置在路由器镜像口上,对路由器和wireshark配置之后,路由器和wireshark即为探针。
[0032] 在一些可选的实施方式中,系统通过流处理技术可以从用户环境数据中提取实体和与实体的属性。实体指的是客观世界存在的某个事物,例如用户、计算机、服务器、域控制器和资源。实体的属性包括实体的特征和功能,不同实体之间的区别在于不同实体的属性不同。
[0033] 步骤S120,对用户环境数据进行筛选处理,得到威胁线索。
[0034] 威胁线索可以指表征可疑行为或者恶意行为的数据,可以是非法网址、非法访问路径、非法文件、非法设备、非法资源以及系统漏洞等。非法网址可以包括恶意网址、违规网址以及可疑网址等。非法访问路径可以包括违规访问路径、可疑访问路径以及恶意访问路径等。非法文件可以包括恶意文件、可疑文件以及违规文件等。
[0035] 在一些可选的实施方式中,系统可以对用户环境数据进行滤波处理,对滤波之后的数据进行筛选,确定表征可疑行为或者恶意行为的数据为威胁线索。其中具体滤波方式请参阅相关技术,在此不做详细阐述。
[0036] 在一些可选的实施方式中,系统可以采用预设线索筛选模型对用户环境数据进行筛选处理。其中预设线索筛选模型可以预先训练并存储在系统中。
[0037] 作为一种示例,系统可以获取多个终端的历史威胁线索,根据历史威胁线索训练预设线索筛选模型。具体地,若用户环境数据中存在与历史威胁线索相同或相似的数据,则认为与历史威胁线索相同或相似的数据为威胁线索。其中与历史威胁线索相似的数据指的是与历史威胁线索相似度高于预设比值(例如80%)的数据。
[0038] 作为另一种示例,系统还可以获取多个终端的正常行为数据,根据正常行为数据训练预设线索筛选模型。具体地,若用户环境数据中存在与正常行为数据不同的数据,则认为与正常行为数据不同的数据为威胁线索。其中,正常行为数据是与威胁线索相反的数据,即表征正常行为的数据,例如合法路径、合法网址以及合法文件。
[0039] 需要说明的是,上述历史威胁线索和正常行为数据除了从多个终端处获得,还可以从现存的网络安全数据库中获得,网络安全数据库可以是私人存储的数据库,也可以是云端共享的数据库,在此不做具体限制。此外,上述预设线索筛选模型可以采用无监督机器学习算法进行训练得到。其中无监督机器学习算法可以是k‑均值聚类(k‑means)算法、层次聚类(Hierarchical Clustering)算法、基于密度聚类Mean Shift算法、基于密度聚类DBSCAN算法、t‑分布领域嵌入式算法(t‑SNE)中的其中一种或多种组合。
[0040] 步骤S130,对威胁线索进行关联分析,生成威胁线索对应的威胁事件。
[0041] 其中,威胁事件包括可疑活动的具体内容、具体对象以及具体时间等信息中的其中一种或多种组合。例如,威胁事件是“10.130.111访问了高危恶意网址”。又例如,威胁事件是“2022年7月10日13点12分30秒,10.130.111访问了高危恶意网址”。
[0042] 在一些可选的实施方式中,系统可以通过优化工具平台(Tuning Tools Platform,TTP)和MITRE ATT & CK攻击框架,采用知识图谱方式对威胁线索进行关联分析,生成威胁线索对应的威胁事件。
[0043] 其中,MITRE ATT & CK攻击框架指的是MITRE公司提供的“对抗战术、技术和常识”框架,是由攻击者在攻击企业时会利用的12种战术和244种企业技术组成的精选知识库。MITRE ATT & CK将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式、指标信息的可信自动化交换来表示。
[0044] 在一些可选的实施方式中,采用知识图谱方式对威胁线索进行关联分析,可以是采用知识图谱方式对威胁线索进行因果关联分析与匹配,在命中后形成精准的威胁事件。
[0045] 具体可以基于预设知识图谱对威胁线索进行因果关联分析,初步得到潜在威胁事件,其中预设知识图谱可以是预先设置并存储在系统中的,预设知识图谱包括威胁线索与潜在威胁事件或威胁事件之间的映射关系,通常一个潜在威胁事件或威胁事件由至少一个威胁线索形成。可以获取多个安全设备或者应用程序(例如,网络防火墙、交换机、Web 应用日志、SQL 日志、审核日志)中存在的恶意事件,采用关联分析技术分析潜在威胁事件与恶意事件之间的相关性,将相关性高于预设相关性阈值的潜在威胁事件确定为威胁事件,将相关性不高预设相关性阈值的潜在威胁事件确定为非威胁事件。其中,预设相关性阈值可以根据实际对准确性的需求进行设置,例如预设相关性阈值可以是80%。
[0046] 步骤S140,基于威胁事件输出对应的威胁故事。
[0047] 其中,威胁故事是由跨多个攻击面的威胁事件中的所有要素(例如用户、资产、文件、进程、网络)之间的依赖关系形成的完整的故事,其中,攻击面指的是软件环境中可以被未授权用户(攻击者)输入或提取数据而受到攻击的点位(攻击矢量)。威胁故事可以包括攻击摘要、攻击源头、攻击路径、攻击目标、攻击影响范围以及威胁信号等。
[0048] 在一些可选的实施方式中,可以将威胁事件输入预设故事生成模型,得到威胁事件对应的威胁故事。其中预设故事生成模型是根据跨多个攻击面的威胁事件的所有要素之间的依赖关系训练得到的。预设故事生成模型可以采用无监督机器学习算法进行预先训练并存储在系统中。可以根据跨多个攻击面的威胁事件的所有要素之间的依赖关系构建威胁故事与威胁事件之间的知识图谱,并根据威胁故事与威胁事件之间的知识图谱训练预设故事生成模型,从而可以检测到不具备明显恶意特征的威胁行为,避免漏检。
[0049] 在一些可选的实施方式中,为了更加详细清楚地展现威胁预警效果,可以同时输出上述过程中的数据分析图、威胁事件对应的威胁类型(下文中步骤S240中具有关于威胁事件对应的威胁类型的详细阐述)占比、威胁事件以及威胁故事。
[0050] 作为一种示例,请参阅图3‑图6,图3是本申请一示例性实施例提供的数据分析图的示意图,图4是本申请一示例性实施例提供的威胁类型占比图的示意图,图5是本申请一示例性实施例提供的威胁事件的示意图,图6是本申请一示例性实施例提供的威胁故事的示意图。可见,从图3中可以看出端点检测与响应(Endpoint Detection & Response,EDR)和网络检测与响应(Network Detection & Response,NDR)的数据对比。从图4中可以看出威胁类型的占比。从图5中可以看出威胁事件及其对应的评分,图5中加粗的数字为评分。从图6中可以看到详细的威胁故事。
[0051] 本申请实施例提供的工业生产威胁预警方法,通过流处理技术获取用户环境数据,所述用户环境数据是与用户行为相关的数据;对所述用户环境数据进行筛选处理,得到威胁线索;对所述威胁线索进行关联分析,生成所述威胁线索对应的威胁事件;基于所述威胁事件输出对应的威胁故事,从而可以根据用户环境数据自动生成并输出威胁故事,不仅可以根据用户环境数据进行自动威胁排查,还可以将排查到的威胁结果以威胁故事的形式输出给用户,以便用户可以直接根据威胁故事轻松进行威胁警报的排查,从而可以节省人力成本和威胁排查时间,还可以提高威胁排查效率。
[0052] 请参阅图7,图7是本申请另一实施例提供的工业生产威胁预警方法的流程示意图。该工业生产威胁预警方法可以应用于图1所示的系统120,或者下文将会提到的图9所示的工业生产威胁预警系统200。该工业生产威胁预警方法可以包括以下步骤S210‑S290。
[0053] 步骤S210,通过流处理技术获取用户环境数据。
[0054] 步骤S220,对用户环境数据进行筛选处理,得到威胁线索。
[0055] 步骤S230,通过优化工具平台和MITRE ATT & CK攻击框架,采用知识图谱方式对威胁线索进行关联分析,生成威胁线索对应的威胁事件。
[0056] 其中,步骤S210‑S230的具体描述请参阅前述步骤S110‑S130对应部分,在此不再赘述。
[0057] 步骤S240,通过预设打分模型,对威胁事件进行打分,并获取威胁事件的评分。
[0058] 其中,预设打分模型是预先训练并存储在系统中的,用于对威胁事件进行打分。在一些可选的实施方式中,可以将不同的历史威胁事件作为输入,将威胁事件的评分作为输出,采用无监督机器学习算法对预设打分模型进行训练。其中历史威胁事件的严重程度与评分具有正相关关系,即历史威胁事件的严重程度越高,则威胁事件的评分越高。通常可以将评分最高值设置为100,最低值设置为0。其中,威胁事件的评分可以根据现存的威胁事件的危害程度进行确定,或者也可以由人工标注,在此不做具体限制。
[0059] 在一些可选的实施方式中,将威胁事件输入预设打分模型,可以得到威胁事件对应的评分。例如,威胁事件“10.130.111访问了高危恶意网址”的评分可以是85分。通过预设打分模型进行打分,可以对所有威胁事件进行精准评分,以提高判定结果的准确性。
[0060] 在一些可选的实施方式中,根据前述步骤S110所述,若系统通过流处理技术从用户环境数据中提取的实体的属性表征威胁严重程度(例如高危、恶意、严重、违规、可疑),则可以根据威胁严重程度与分值的映射关系,直接对此类属性表征威胁严重程度的威胁事件进行的打分。例如,若实体的属性为第一严重程度(例如高危、恶意、严重、高风险),则确定对应的威胁事件的评分为第一分值(例如100)。若实体的属性为第二严重程度(违规),则确定对应的威胁事件的评分为第二分值(例如90)。若实体的属性为第三严重程度(可疑、潜在危险),则确定对应的威胁事件的评分为第三分值(例如80),若实体的属性为第四严重程度(低危、低风险),则确定对应的威胁事件的评分为第四分值(例如60)。通过威胁严重程度与分值的映射关系进行打分,可以提高处理效率。
[0061] 需要说明的是,如前述步骤S110所述,系统通过流处理技术从用户环境数据中提取的实体的属性还可以包括威胁类型。由于威胁类型包含在威胁线索中,根据威胁线索生成的威胁事件包括威胁事件对应的威胁类型。威胁类型可以包括但不限于攻击事件、恶意访问、可疑文件以及违规访问等。
[0062] 步骤S250,确定评分高于预设评分的威胁事件为第一目标威胁事件。
[0063] 其中,预设评分可以根据实际对安全性能的需求进行设置,对安全性能的需求与预设评分具有反相关关系,即对安全性能的需求越高,则预设评分越低。例如预设评分可以是50。
[0064] 在一些可选的实施方式中,可以将评分高于预设评分的威胁事件确定为第一目标威胁事件。基于第一目标威胁事件输出目标威胁事件对应的威胁故事的具体实施方式可以包括以下步骤S260‑S290。
[0065] 步骤S260,获取威胁故事查阅请求。
[0066] 其中,威胁故事查询请求可以是由终端发送的特定指令信息。威胁故事查询请求中包括上述威胁类型中的其中一种或多种组合。
[0067] 步骤S270,根据威胁故事查阅请求确定目标威胁类型。
[0068] 系统在获取威胁故事查询请求之后,可以对威胁故事查询请求进行解析,得到目标威胁类型。具体地,可以采用特定字符表征特定的威胁类型,例如字符“00”表征攻击事件,字符“01”表征恶意访问,字符“10”表征可疑文件,字符“11”表征违规访问。终端可以在威胁故事查询请求报文中写入预设字符(上述特定字符)。系统解析威胁故事查询请求之后,可以确定与预设字符对应的威胁类型为目标威胁类型。
[0069] 步骤S280,从第一目标威胁事件中确定与目标威胁类型对应的第二目标威胁事件。
[0070] 在一些可选的实施方式中,目标威胁类型为一种,则系统可以根据目标威胁类型,将第一目标威胁事件中所有威胁类型为目标威胁类型的威胁事件确定为第二目标威胁事件。
[0071] 在一些可选的实施方式中,目标威胁类型包括多种,则系统可以根据目标威胁类型,将第一目标威胁事件中威胁类型包含在目标威胁类型中的威胁事件确定为第二目标威胁事件。
[0072] 步骤S290,输出第二目标威胁事件对应的威胁故事。
[0073] 在一些可选的实施方式中,可以将第二目标威胁事件输入上述预设故事生成模型,通过预设故事生成模型输出第二目标威胁事件对应的威胁故事。具体实施过程请参阅前述步骤S140中的相关部分,在此不再赘述。
[0074] 本申请实施例提供的工业生产威胁预警方法,通过获取用户环境数据,所述用户环境数据是与用户行为相关的数据;对所述用户环境数据进行筛选处理,得到威胁信号;对所述威胁信号进行关联分析,生成所述威胁信号对应的威胁事件;基于所述威胁事件生成并输出对应的威胁故事,从而可以根据用户环境数据自动生成并输出威胁故事,不仅可以根据用户环境数据进行自动威胁排查,还可以将排查到的威胁结果以威胁故事的形式输出给用户,以便用户可以直接根据威胁故事轻松进行威胁警报的排查,从而可以节省人力成本和威胁排查时间,还可以提高威胁排查效率。此外,根据用户需求将评分高于预设评分的威胁事件对应的威胁故事输出给用户,既能满足用户需求并具有威胁预警作用,又能提高输出效率,因为没有输出所有威胁事件。
[0075] 请参阅图8,图8是本申请又一实施例提供的工业生产威胁预警方法的流程示意图。该工业生产威胁预警方法可以应用于图1所示的系统120,或者下文将会提到的图9所示的工业生产威胁预警系统200。该工业生产威胁预警方法可以包括以下步骤S310‑S370。
[0076] 步骤S310,通过流处理技术获取用户环境数据。
[0077] 步骤S320,对用户环境数据进行筛选处理,得到威胁线索。
[0078] 步骤S330,通过优化工具平台和MITRE ATT & CK攻击框架,采用知识图谱方式对威胁线索进行关联分析,生成威胁线索对应的威胁事件。
[0079] 其中,步骤S310‑S330的具体描述请参阅前述步骤S110‑S130中的相关部分,在此不再赘述。
[0080] 步骤S340,获取威胁故事查阅请求。
[0081] 步骤S350,根据威胁故事查阅请求确定目标威胁类型。
[0082] 其中,步骤S340‑S350的具体描述请参阅前述步骤S260‑S270中的相关部分,在此不再赘述。
[0083] 步骤S360,确定目标威胁类型对应的威胁事件为目标威胁事件。
[0084] 在一些可选的实施方式中,目标威胁类型为一种,则系统可以根据目标威胁类型,将所有威胁类型为目标威胁类型的威胁事件确定为目标威胁事件。
[0085] 在一些可选的实施方式中,目标威胁类型包括多种,则系统可以根据目标威胁类型,威胁类型包含在目标威胁类型中的威胁事件确定为目标威胁事件。
[0086] 步骤S370,输出目标威胁事件对应的所有威胁故事。
[0087] 在一些可选的实施方式中,可以将目标威胁事件输入上述预设故事生成模型,通过预设故事生成模型输出目标威胁事件对应的所有威胁故事。具体实施过程请参阅前述步骤S140中的相关部分,在此不再赘述。
[0088] 本申请实施例提供的工业生产威胁预警方法,通过获取用户环境数据,所述用户环境数据是与用户行为相关的数据;对所述用户环境数据进行筛选处理,得到威胁信号;对所述威胁信号进行关联分析,生成所述威胁信号对应的威胁事件;基于所述威胁事件生成并输出对应的威胁故事,从而可以根据用户环境数据自动生成并输出威胁故事,不仅可以根据用户环境数据进行自动威胁排查,还可以将排查到的威胁结果以威胁故事的形式输出给用户,以便用户可以直接根据威胁故事轻松进行威胁警报的排查,从而可以节省人力成本和威胁排查时间,还可以提高威胁排查效率。此外,根据用户需求将特定威胁类型对应的所有威胁事件对应的威胁故事输出给用户,可以为用户提供丰富的威胁故事,以便用户进行更加细致的排查。
[0089] 请参阅图9,图9是本申请一实施例提供的工业生产威胁预警系统的结构框图。该工业生产威胁预警系统200与前述图1中的系统120相同。该工业生产威胁预警系统200可以包括数据获取模块210、数据筛选模块220、事件确定模块230以及故事生成模块240。
[0090] 数据获取模块210,用于通过流处理技术获取用户环境数据,所述用户环境数据是与用户行为相关的数据。
[0091] 数据筛选模块220,用于对所述用户环境数据进行筛选处理,得到威胁线索。
[0092] 事件确定模块230,用于对所述威胁线索进行关联分析,生成所述威胁线索对应的威胁事件。
[0093] 故事生成模块240,用于基于所述威胁事件输出对应的威胁故事。
[0094] 在一些可选的实施方式中,事件确定模块230可以包括关联分析子模块。关联分析子模块,用于通过优化工具平台和MITRE ATT & CK攻击框架,采用知识图谱方式对所述威胁线索进行关联分析,生成所述威胁线索对应的威胁事件。
[0095] 在一些可选的实施方式中,事件确定模块230可以包括事件打分子模块、事件确定子模块。故事生成模块240可以包括故事生成子模块。
[0096] 事件打分子模块,用于通过预设打分模型,对所述威胁事件进行打分,并获取所述威胁事件的评分。
[0097] 事件确定子模块,用于确定评分高于预设评分的威胁事件为第一目标威胁事件。
[0098] 故事生成子模块,用于基于所述第一目标威胁事件输出所述目标威胁事件对应的威胁故事。
[0099] 在一些可选的实施方式中,故事生成模块240还可以包括请求获取子模块、类型确定子模块以及故事输出子模块。
[0100] 请求获取子模块,用于获取威胁故事查阅请求。类型确定子模块,用于根据所述威胁故事查阅请求确定目标威胁类型。
[0101] 所述事件确定子模块,还用于从所述第一目标威胁事件中确定与所述目标威胁类型对应的第二目标威胁事件。
[0102] 故事输出子模块,用于输出所述第二目标威胁事件对应的威胁故事。
[0103] 在一些可选的实施方式中,上述故事生成子模块,还用于将所述第一目标威胁事件输入预设故事生成模型,通过所述预设故事生成模型输出所述第一目标威胁事件对应的威胁故事,所述预设故事生成模型是根据不同攻击面下的威胁事件的所有要素之间的依赖关系训练得到的;或者将所述第二目标威胁事件输入所述预设故事生成模型,通过所述预设故事生成模型输出所述第二目标威胁事件对应的威胁故事。
[0104] 在一些可选的实施方式中,所述用户环境数据包括用户的网络行为数据、终端行为数据、用户行为数据以及文件数据中的其中一种或多种组合。
[0105] 在一些可选的实施方式中,所述威胁故事包括攻击摘要、攻击源头、攻击路径、攻击目标、攻击影响范围以及所述威胁信号。
[0106] 本领域技术人员可以清楚地了解到,本申请实施例提供的工业生产威胁预警系统200可以实现本申请实施例提供的工业生产威胁预警方法。上述装置和模块的具体工作过程,可以参阅本申请实施例中的工业生产威胁预警方法对应的过程,在此不再赘述。
[0107] 本申请提供的实施例中,所显示或讨论的模块相互之间的耦合、直接耦合或者通信连接,可以是通过一些接口、装置或模块的间接耦合或通信耦合,可以是电性、机械或其他形式,本申请实施例对此不作限制。
[0108] 另外,在本申请实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件的功能模块的形式实现,本申请实施例在此不作限制。
[0109] 请参阅图10,图10是本申请一实施例提供的电子设备的结构框图。该电子设备300可以包括一个或多个如下部件:存储器310、一个或多个处理器320以及一个或多个应用程序,其中一个或多个应用程序可以被存储在存储器310中并被配置为当被一个或多个处理器320调用时,使得一个或多个处理器320执行本申请实施例提供的上述工业生产威胁预警方法。
[0110] 处理器320可以包括一个或多个处理核。处理器320利用各种接口和线路连接整个电子设备300内各个部分,用于运行或执行存储在存储器310内的指令、程序、代码集或指令集,以及调用运行或执行存储在存储器310内的数据,执行电子设备300的各种功能和处理数据。
[0111] 在一些可选的实施方式中,处理器320可以采用数字信号处理(Digital Signal Processing,DSP)、现场可编程门阵列(Field‑Programmable Gate Array,FPGA)、可编辑逻辑阵列(Programmable Logic Array,PLA)中的至少一种硬件形式来实现。
[0112] 在一些可选的实施方式中,处理器320可集成中央处理器(Central Processing Unit,CPU)、图像处理器(Graphics Processing Unit,GPU)和调制解调器中的一种或几种的组合。其中,CPU主要处理操作系统、用户界面和应用程序等;GPU用于负责显示内容的渲染和绘制;调制解调器用于处理无线通信。可以理解的是,上述调制解调器也可以不集成于处理器320中,单独通过一块通信芯片进行实现。
[0113] 存储器310可以包括随机存储器(Random Access Memory,RAM),也可以包括只读存储器(Read‑Only Memory,ROM)。存储器310可以用于存储指令、程序、代码、代码集或指令集。存储器310可以包括存储程序区和存储数据区。其中,存储程序区可以存储用于实现操作系统的指令、用于实现至少一个功能的指令、用于实现上述各个方法实施例的指令等。存储数据区可以存储电子设备300在使用中所创建的数据等。
[0114] 请参阅图11,图11是本申请一实施例提供的计算机可读取存储介质的结构框图。该计算机可读取存储介质400中存储有程序代码410,该程序代码410被配置为当被处理器调用时,使得处理器执行本申请实施例提供的上述工业生产威胁预警方法。
[0115] 计算机可读取存储介质400可以是诸如闪存、电可擦除可编辑只读存储器(Electrically‑Erasable Programmable Read‑Only Memory,EEPROM)、可擦除可编辑只读存储器(Erasable Programmable Read‑Only Memory,EPROM)、硬盘或者ROM之类的电子存储器。可选地,计算机可读取存储介质400包括非易失性计算机可读介质(Non‑Transitory Computer‑Readable Storage Medium,Non‑TCRSM)。计算机可读取存储介质400具有执行上述方法中的任何方法步骤的程序代码410的存储空间。这些程序代码410可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。程序代码410可以以适当的形式进行压缩。
[0116] 综上所述,本申请实施例提供一种工业生产威胁预警方法、系统、电子设备及存储介质,该方法通过流处理技术获取用户环境数据,所述用户环境数据是与用户行为相关的数据;对所述用户环境数据进行筛选处理,得到威胁线索;对所述威胁线索进行关联分析,生成所述威胁线索对应的威胁事件;基于所述威胁事件输出对应的威胁故事,从而可以根据用户环境数据自动生成并输出威胁故事,不仅可以根据用户环境数据进行自动威胁排查,还可以将排查到的威胁结果以威胁故事的形式输出给用户,以便用户可以直接根据威胁故事轻松进行威胁警报的排查,从而可以节省人力成本和威胁排查时间,还可以提高威胁排查效率。
[0117] 最后应说明的是:以上实施例仅用于说明本申请的技术方案,而非对其限制。尽管参照前述实施例对本申请进行了详细的说明,本领域技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。