(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210166943.6 (22)申请日 2022.02.23 (71)申请人 中原工学院 地址 451191 河南省郑州市新郑双湖经济 技术开发区淮河路1号 (72)发明人 张书钦　王世杰　白光耀　张敏智　 陈鹏　赵春霞　李书涵　 (74)专利代理 机构 郑州优盾知识产权代理有限 公司 41125 专利代理师 栗改 (51)Int.Cl. G06F 16/951(2019.01) G06F 16/953(2019.01) G06F 16/33(2019.01) G06F 16/335(2019.01)G06F 40/295(2020.01) G06F 40/30(2020.01) H04L 9/40(2022.01) (54)发明名称 工业物联网中基于网络威胁情报的攻击模 拟方法 (57)摘要 本发明提出了一种工业物联网中基于网络 威胁情报的攻击模拟方法， 步骤为： 威胁情报收 集： 通过威胁情报平台对网络威胁情报信息进行 网络爬虫， 收集威胁情报信息； 生成攻击者画 像： 对攻击组织的威胁信息进行搜索， 并根据威胁信 息生成攻击者画像； 获取攻击路线： 获取用于攻 击模拟的系统环境的整体架构及数据流图， 并筛 选出适合的攻击路线； 攻击模拟： 结合攻击者画 像构建一种元攻击语言模型， 对攻击线路进行攻 击模拟， 得到实验结果用于计算系统被破坏的时 间估计。 本发 明解决了威胁情报和攻击模拟技术 集成度低的问题， 能够实现自动化地评估特定的 威胁， 使安全人员能够快速采取积极措施， 提高 工业物联网系统的威胁响应能力和抵御攻击能 力。 权利要求书3页 说明书10页 附图3页 CN 114547415 A 2022.05.27 CN 114547415 A 1.一种工业物联网中基于网络威胁情 报的攻击模拟方法， 其特 征在于， 其 步骤如下： 步骤S1.威胁情报收集： 通过威胁情报平台对网络威胁情报信息进行网络爬虫， 收集威 胁情报信息； 步骤S2.生成攻击者画像： 对攻击组织的威胁信息进行搜索， 并根据威胁信息生成攻击 者画像； 步骤S3.获取攻击路线： 获取用于攻击模拟的系统环境的整体架构及数据流图， 并筛选 出适合的攻击路线； 步骤S4.攻击模拟： 结合攻击者画像构建元攻击语言模型， 对攻击线路进行攻击模拟， 得到实验结果用于计算系统被破坏的时间估计。 2.根据权利要求1所述的工业物联网中基于网络威胁情报的攻击模拟方法， 其特征在 于， 所述威胁情报平台用于对特定攻击者的威胁行为提供情报搜索服务， 利用图数据软件 Neo4j和搜索引擎ElasticSearch实现对知识的语言搜索和可视化的分析； 所述威胁情报平 台包括数据收集模块、 威胁情报提取模块、 本体模块、 威胁情报 融合模块、 威胁情报存储模 块和威胁情 报推理模块， 且 数据收集模块利用网络 爬虫对网络威胁情 报信息进行 数据获取； 威胁情报提取模块对收集到的数据进行知识提取， 通过自然语言处理技术对预处理后 的威胁情 报数据进行语义分析及特 征提取， 实现实体识别和关系抽取； 本体模块对提取到的威胁情报信息结合STIX2.1标准进行本体化限定， 构建实体与关 系的三元组； 威胁情报融合模块对获取的三元组进行本体融合、 实体对齐以及数据映射； 威胁情报存储模块利用图数据库将处 理后的三元组存 储起来； 威胁情报推理模块包括关系推理、 规则分析和链路预测， 通过语义推理规则描述语言 SWRL处理三元组中的直接关系和间接关系。 3.根据权利要求2所述的工业物联网中基于网络威胁情报的攻击模拟方法， 其特征在 于， 所述数据收集模块 获取的数据包括文本数据即非结构化数据、 表数据即半结构化数据、 开放式数据库数据即结构化数据和各类第三方产品库； 所述开放式数据库数据通过D2R技术进行知识提取， 将关系型数据库的结构化数据映 射到RDF文件中； 表数据通过Wrap per技术进行知识提取； 所述知识融合模块利用TFIDF相似度计算方法计算出两个实体的相似度， 判断是否属 于同一实体； 对相同实体进 行聚类操作， 将代表同一种知识的数据进 行统一性的数据映射， 实现对获取的三元组的知识融合。 4.根据权利要求1 ‑3中任意一项所述的工业物联网中基于网络威胁情报的攻击模拟方 法， 其特征在于， 所述 步骤二中生成攻击者画像的方法为： 根据搜索得到的链接 子图和表格获得攻击者常用的战术、 技 术和过程； 根据攻击者的9个复杂度属性， 对攻击者进行主观性的特征分析， 计算攻击者能力因子 α； 获取攻击者攻击技术的特定改进参数∈， 取值范围为0到1之间， 加到攻击者能力因子α 的后面； 根据获得的攻击者常用的战术、 技术和过程、 攻击者能力因子α和攻击技术的特定改进权　利　要　求　书 1/3 页 2 CN 114547415 A 2参数∈， 为 攻击对象建立 攻击者画像。 5.根据权利要求4所述的工业物联网中基于网络威胁情报的攻击模拟方法， 其特征在 于， 所述复杂度属性包括代码工具、 维护工具的积极性、 工具组件的复杂程度、 熟悉被攻击 者的状态、 繁重的侦察工作、 被攻击系统的熟悉程度、 一致的操作技术、 作战节奏和资源水 平； 维护工具的积极性、 工具组件的复杂程度、 熟悉被攻击者的状态、 繁重的侦察工作、 被攻 击系统的熟悉程度和一致的操作技术的复杂度属性取值范围为{0， 1}； 代码工具和作战节 奏的复杂度属性取值范围为{0， 1， 2}； 资源水平的复杂度属性取值范围为{0， 1， 2， 3}。 6.根据权利要求5所述的工业物联网中基于网络威胁情报的攻击模拟方法， 其特征在 于， 所述攻击者能力因子α 计算方法为： δ ＝∑(Sophisticati on Properties) 其中， Sophistication  Properties为复杂度属性， δ代表复杂度属 性的值之和， alpha ()为分段函数。 7.根据权利要求5或6所述的工业物联网中基于网络威胁情报的攻击模拟方法， 其特征 在于， 所述 步骤S3中攻击路线的筛 选方法是： S31.根据实际工业物联网的控制系统的整体结构和数据流图， 将资产用于表示工业物 联网空间中的实体对 象， 将攻防过程中的资产状态抽象为节点， 节点之间的攻击依赖关系 抽象为边； S32.将获得的节点和边进行威胁响应建模得到资产覆盖模型， 用五元组G＝(S， T， D， E， R)来表示， 其中， S＝{s0， s1， ...， si， ...， sn}表示所有的资产节点si集合， n表示最后一个资 产节点的下标； T＝{ti|ti＝action(si)}是攻击者的攻击步骤ti集合， action表示攻击ti所 采取的动作； D＝{di|di＝state(si)}是防御动作集合集合， state表示防御动作所处的状 态； E＝{ei→j|i＝1， 2， …， n， j＝1， 2， …， n}为资产状态节点间的边ei→j集合， 表示依附在攻 击步骤上的权重； R＝Rd∪Rt表示依附在攻击步骤上随时间分布的权重函数， Rd表示在前置 资产状态满足的条件下防御开启的概率， 为 防御发生概率； Rt指攻击者攻击成功后到达后 置资产的概 率， 为攻击成功概 率； S33.根据先验概 率计算资产覆盖模型中局部的资产妥协时间； S34.根据计算的局部的资产妥协时间获取全局的资产妥协时间生成网络， 筛选出资产 覆盖模型中从初始资产到目标资产的全部符合的攻击路线。 8.根据权利要求7所述的工业物联网中基于网络威胁情报的攻击模拟方法， 其特征在 于， 所述局部的资产妥协时间为攻击者对一项资产进 行攻击需要付出的代价即资产攻击成 本： 其中， P(ti|Pa(ti))为攻击步骤ti的局部条件概率； 且攻击步骤ti的局部条件概率与其 父攻击Pa(tj)之间存在依赖关系{And， Or }， 攻击步骤tj的局部条件概率P(tj|Pa(tj))的计权　利　要　求　书 2/3 页 3 CN 114547415 A 3