[发明专利]工业物联网中基于网络威胁情报的攻击模拟方法

说明书

本发明提出了一种工业物联网中基于网络威胁情报的攻击模拟方法，步骤为：威胁情报收集：通过威胁情报平台对网络威胁情报信息进行网络爬虫，收集威胁情报信息；生成攻击者画像：对攻击组织的威胁信息进行搜索，并根据威胁信息生成攻击者画像；获取攻击路线：获取用于攻击模拟的系统环境的整体架构及数据流图，并筛选出适合的攻击路线；攻击模拟：结合攻击者画像构建一种元攻击语言模型，对攻击线路进行攻击模拟，得到实验结果用于计算系统被破坏的时间估计。本发明解决了威胁情报和攻击模拟技术集成度低的问题，能够实现自动化地评估特定的威胁，使安全人员能够快速采取积极措施，提高工业物联网系统的威胁响应能力和抵御攻击能力。

技术领域

本发明涉及及工业物联网系统安全的技术领域，尤其涉及一种工业物联网中基于网络威胁情报的攻击模拟方法。

背景技术

近年来，工业物联网迅猛发展，在远程监控、信息收集和减少人力等方面具有巨大优势，因此，它已被广泛应用于智能电网、智能工厂等物联网控制情景中。但工业物联网是一个复杂的网络，系统的一部分出现任何故障或异常都可能在短时间内对整个系统造成巨大损害。而攻击者利用工业物联网系统的薄弱位置实施网络攻击，会给国家、企业、个人带来了不同程度的经济损失。因此，高效评估控制系统所受的威胁对了解工业物联网安全性至关重要。

为了识别威胁，必须了解系统中与安全有关的功能，并考虑所有潜在的攻击。而在不断加剧的工业物联网的安全攻防对抗过程中，攻防双方存在着天然的不对称性。面对复杂的攻击形式和严重的攻击后果，依靠个人或单个组织的技术力量仅能获得局部的攻击信息，无法构建完整的攻击链，更无法准确有效地预防攻击。网络威胁情报共享利用作为一种以空间换时间的技术，可以及时利用其他网络中产生的高效威胁情报提高防护方的应对能力，缩短威胁响应时间，还可以协助构建攻击链，有效地检测攻击者的攻击活动。

利用威胁情报帮助安全人员进行威胁分析是有效提高防御方响应能力与效果的手段，但威胁情报和攻击模拟技术的集成度却很低，且为每个工业物联网系统重复构建攻击防御模型的成本过于高昂。在这种应用背景下，具有复杂环境的工业物联网系统难以进行安全性评估，特别是针对特定攻击者的高级可持续性攻击则更加难于预测。

发明内容

针对现有攻击模拟的集成度低，成本高，难以进行安全性评估的技术问题，本发明提出一种工业物联网中基于网络威胁情报的攻击模拟方法，将网络威胁情报与攻击模拟相结合，从而提高工业物联网威胁建模和攻击模拟的效率和准确性。

为了达到上述目的，本发明的技术方案是这样实现的：一种工业物联网中基于网络威胁情报的攻击模拟方法，其步骤如下：

步骤S1.威胁情报收集：通过威胁情报平台对网络威胁情报信息进行网络爬虫，收集威胁情报信息；

步骤S2.生成攻击者画像：对攻击组织的威胁信息进行搜索，并根据威胁信息生成攻击者画像；

步骤S3.获取攻击路线：获取用于攻击模拟的系统环境的整体架构及数据流图，并筛选出适合的攻击路线；

步骤S4.攻击模拟：结合攻击者画像构建元攻击语言模型，对攻击线路进行攻击模拟，得到实验结果用于计算系统被破坏的时间估计。

所述威胁情报平台用于对特定攻击者的威胁行为提供情报搜索服务，利用图数据软件Neo4j和搜索引擎ElasticSearch实现对知识的语言搜索和可视化的分析；所述威胁情报平台包括数据收集模块、威胁情报提取模块、本体模块、威胁情报融合模块、威胁情报存储模块和威胁情报推理模块，且

数据收集模块利用网络爬虫对网络威胁情报信息进行数据获取；

威胁情报提取模块对收集到的数据进行知识提取，通过自然语言处理技术对预处理后的威胁情报数据进行语义分析及特征提取，实现实体识别和关系抽取；

本体模块对提取到的威胁情报信息结合STIX2.1标准进行本体化限定，构建实体与关系的三元组；