文摘

5克的组合技术和工业物联网(IIoT)可以实现互连的一切。不过,它也会增加攻击的风险,如大规模的DDoS攻击和IP欺骗攻击。情报是一家集信息造成潜在的威胁和nonpotential损害工业网络。提取网络安全威胁情报文本实体及其关系和构建结构化威胁情报信息为IIoT安全保护尤为重要。然而,威胁情报主要是文字报道,这意味着需要手动提取的价值信息安全分析师,是高度依赖于人员的经验。因此,本研究提出了一种基于特征加权IIoT威胁情报分析方法和BERT-BiGRU。在这种方法中,BERT-BiGRU用于分类攻击行为和攻击策略。然后,攻击行为是加权,使分类结果更准确根据攻击策略和攻击行为之间的关系在ATT&CK ICS的知识。最后,攻击的可能性和危害程度的攻击形成的威胁值计算攻击。安全分析人员可以判断应急响应由威胁值序列来提高应急响应的准确性和效率。 The results indicate that the proposed method in this study is more accurate than the other standard methods and is more suitable for the unstructured threat intelligence analysis of IIoT.

1。介绍

5 g技术的开发应用(1]改善通信质量和能使知觉和互连的基础设施、人员和他们的环境。然而,网络和外部设备之间的互连以不同的角度和不同的形式带来了新的威胁。不仅外部攻击的“威胁”表面变得更加广泛,而且设备故障的概率,软件缺陷,和用户错误的增加,所有这些将有巨大的负面影响的操作系统。造成的停电BlackEnergy恶意软件在乌克兰电网2)和大规模停电在委内瑞拉(3)是两个著名的例子。根据美国证券交易委员会(sec)和欧洲金融报告,2017年工业感染造成的损失高达10亿美元。

面临日益严峻的安全形势,新的网络安全防御机制受威胁情报已经出现。2013年,Gartner提议威胁情报的概念(TI) (4),包括场景、工具、指标,推论,和可行的建议。这是循证知识资产所面临的现有或新出现的威胁,威胁反应[提供决策依据5]。基于上面提到的,是什么威胁情报包含当前的详细信息或即将到来的网络安全威胁,它可以帮助企业矿山和分析攻击行为6)和实施积极的网络防御网络安全威胁。

目前,大多数的威胁情报在安全公司提供的工业领域7,8)是在一个非结构化的格式,所以很难安全分析人士和组织获得标准化和结构化的威胁信息。此外,提取的攻击信息不包括威胁值,所以很难提供准确、有效的应急对策IIoT安全态势感知系统或其他防御机制。因此,有效的提取有价值的信息威胁情报和转换成标准化的和结构化的形式是必要的和重要的实际应用和基础研究IIoT的安全。

为了解决上述问题,本研究提出了一种基于特征加权和威胁情报分析方法BERT-BiGRU IIoT。首先,根据矩阵的知识ATT&CK ICS,大量的威胁情报收集和标准化9]。其次,multilabel分类模型是建立基于BERT-BiGRU模型来识别攻击行为威胁的情报。然后,所有的攻击行为进行加权处理基于战略行为标签和标签之间的依赖,以便更准确的攻击行为的识别结果。最后,攻击行为风险指数测量形成攻击行为的威胁值。

通过这种方法,威胁的攻击行为提取情报IIoT的实现。通过排序威胁程度的攻击行为,它提供了一个参考应急响应和处置,提高IIoT的安全性。

本研究的组织结构如下:在部分2介绍了相关的研究工作。节3,我们将描述该方法基于特征加权和BERT-BiGRU细节。节4,公式,并进行了实验结果进行了分析。最后,我们总结工作,给未来的研究前景。

2.1。威胁情报分析

情报分析提取物等非结构化数据安全的威胁警告通知,脆弱性通知,通知威胁威胁情报利用自然语言处理技术和帮助攻击行为分析和漏洞被攻击者利用,以便攻击可以紧急防御决策迅速。

高和风扇10)使用图形数据库分析威胁情报,表示它们的属性和关联关系的工业网络安全脆弱性数据有效和直观的,并且意识到脆弱性数据的深入分析和评价。吴et al。11)提出了示踪剂自动提取TTP曲线,挖掘背后的复杂攻击和潜在攻击者通过网络攻击行为威胁情报知识的结合。刘等人。12]分析了攻击行为事件通过威胁情报和相关类似的行为根据攻击事件调查的方向攻击阶段和保护它。Zhang et al。13)提出了EX-Action从CTI提取威胁行为报告的框架。Ex-Action可以探测威胁的行为使用自然语言处理(NLP)技术使用多通道学习算法和识别威胁的行为。Zhang et al。14)提出了一种预测方法SIoT帐户基于威胁情报的恶意行为。它使用svm获得相关的威胁情报目标帐户的负面行为。它分析了上下文数据威胁情报预测恶意版本的行为。Preuveneers et al。15]提出的安全增强框架大地及时应对网络攻击的新漏洞和攻击形式通过威胁情报分析。Hinne [16)建立了一个联合分析模型在网络攻击事件和威胁情报分析攻击者的动机和利用该漏洞,步骤,和具体行动。在事件响应的过程中,攻击者状态实时更新,并提供决策分析。

然而,上述方法不提供全面指导安全分析师。面对攻击,安全分析师很难确定应急响应序列,导致重大损失。

2.2。Multilabel分类分析

存在一个明显的问题自动从网络中提取的威胁行为威胁情报报告威胁情报分析。威胁情报包含各种类型的数据,如威胁行为和攻击阶段。因此,这种威胁行为提取问题可以抽象为一个multilabel分类问题。

Multilabel分类是指单独分析任务文本数据与多个标签。multilabel分类任务的计算要复杂得多,传统的分类任务。主要反映在一个示例的文本特性需要被关联到多个标签,需要更先进的特征提取和正确映射到相应的标签。然而,由于复杂的数据表达和标签的exponentiality输出空间,研究multilabel分类仍然是有限的。

目前的研究主要侧重于问题转换(考虑到标签是独立的,将问题转化为两个(多个))和算法适应(适应学习模式以应对multilabel分类任务)这两个方面。Bernhard et al。17)提出了一个链二元分类模型,模型的高阶关联标签。日元等。18]提出PDSparse学习独立的线性分类器为每个标签。在培训过程中,积极的标签和少量的积极消极的标签可以区分每个训练样本的分类器通过优化标签分布。杨et al。19)提出了一个基于细分的标记隐含的狄利克雷模型数据减少multilabel分类算法的时间复杂度。谭和刘20.)再使用图段文本标签之前的关系作为一个弱监督方法。然后,标签的最大化后验概率值是用来构造一个multilabel分类模型,从而预测新的标签。您正在和Varma21)优化nDCG算法学习树的结构模式在特征空间维数,然后每个内部节点的二元分类器训练,,最后,预测给定实例的标签分布。文献[22CNN和RNN)用来捕获局部和全局的内在关系语义特征建模的标签。肖et al。23)设计LSAN模型来确定语义标签和文件使用标签语义信息之间的联系。self-attention机制是用来捕获标签数据,构造和具体标签的文档功能表示。Wehrmann et al。24)提出了一种多层产出multilabel分类的神经网络模型;这个结构有一个输出层在每个层次水平,为整个网络提供了一个全球产出层追踪标签依赖的层次结构作为一个整体优化的和全球和损失函数的每一层。

3所示。IIoT威胁情报分析方法基于功能

3.1。加权和BERT-BiGRU
3.1.1。基本概念

(1)威胁的情报。威胁情报(4)是一家集信息,可能导致潜在的和一个企业潜势伤害状态。威胁情报描述攻击事件和攻击行为。

(2)攻击事件。IIoT袭击事件是指一个系统安全威胁事件造成潜在伤害或损坏系统资产通过各种技术手段。通常情况下,攻击者使用的配置缺陷、协议缺陷、程序缺陷,或攻击IIoT暴力袭击。

(3)攻击行为。攻击行为是指一个动作由攻击者为了达到一个目标或者获得一些资源。IIoT任何袭击事件是由一系列的攻击行为,根据攻击事件的整个过程可以完全描述。例如,攻击者可以获得目标系统的TCP / IP子网掩码信息通过“网络连接枚举,”和“网络连接枚举”被认为是攻击行为。

(4)ATT&CK ICS。ATT&CK ICS (9)是一种知识库模型和反映了工业控制系统在每一个攻击的攻击行为生命周期。它包括三个部分:策略、技术和过程。设计代表攻击者试图实现什么。技术和过程是由攻击者的行为去实现目标。目前,ATT&CK ICS覆盖11攻击策略和81攻击行为。

3.1.2。方法的概述

本研究提出了一个威胁的情报分析方法基于特征加权和BERT-BiGRU IIoT。该方法的概述图所示1。首先,开源的威胁情报数据IIoT威胁情报收集平台和数据清洗和去噪等预处理操作完成;其次,分词和伯特句子向量收购进行数据预处理,并构建了基于BERT-BiGRU multilabel分类模型。的攻击策略和攻击行为威胁情报进行分类和识别。根据识别的结果,所有的行为标签权重都是基于策略的依赖标签和其内部行为标签来获取更准确的攻击行为识别的结果。最后,攻击风险指标测量获取攻击行为的威胁值。攻击行为的威胁值代表攻击行为的危害程度,为应急响应和处置提供参考。

3.1.3。威胁情报分析方法

(1)威胁情报数据预处理。通常有多个数据源IIoT威胁情报数据收集期间,包括同构或异构数据库、文件系统、和服务接口。不同数据源通常有互补性和不同数据完整性、准确性,并表示格式。不同数据源通常补充和不同数据的完整性,准确性,和表示格式,容易受到噪声数据,丢失的数据值,数据冲突,等等。因此,收集到的数据集需要预处理,以确保准确性、一致性和高质量的数据分析结果。

这可以从图中找到2威胁情报数据预处理在本研究分为三个阶段:标准化、清洁、和减少威胁情报数据:标准化:获得的数据可能有多个结构和类型。通过威胁情报标准,我们规范的威胁情报来自不同数据源的数据。具体操作包括根处理和语素字处理。这个过程有助于将这些复杂的数据转换成一个单一的或可控的结构实现快速分析和处理的目的。清洁:并不是所有的数据攻击事件是有价值的。有一些微不足道的数据,甚至一些数据完全错误的干扰。因此,有必要利用各种验证方法来消除不准确的数据(单词缩写,不寻常的间距,非言词字符,和任何non-computer-related条款)阻碍分类。本研究使用过滤方法提取有价值的数据和标签信息与信心。减少:这个过程是威胁情报数据合并。功能还原技术可以减少和简化数据集的大小不影响分析结果的准确性,导致增加的价值密度威胁情报数据。减少特性公式所示在哪里αβ分别是两种不同类型的组测量值的特性。 对应的样本数据。 是方差的特性。冲突的特性是使用规范化的均值特性。的 函数是建立比较。随着偏差的增加严重,此功能提高的重要性。否则,这个功能的重要性降低。

3.1.4。攻击行为的识别和分类

(1)识别攻击行为和攻击策略。本研究设计了一种基于特征加权和BERT-BiGRU multilabel分类模型的攻击识别,如图3。分类模型包括伯特模型和BiGRU模型。伯特模型仅用于提取一个句子表示,而BiGRU模型用于分类攻击行为和攻击情报战略威胁。首先,预处理的威胁情报内容输入到伯特模型和向量表示模型的两个pretraining任务后执行。随后,融合向量表示全文语义信息的输出。然后,伯特模型的输出输入BIGRU模型。BIGRU模型提取的抽象特性威胁情报通过完全连接(FC)层由词向量映射。它便于特征提取之前添加一个注意力机制FC层给更高的重量基本属性。完成multilabel分类任务威胁情报、攻击行为和攻击策略的一个FC层和softmax需要连接到模型分类的深层语义特征的威胁情报文本。

(2)特征权重的攻击行为。根据ATT&CK ICS知识、攻击策略连接许多不同的攻击行为,和攻击策略和攻击行为之间存在依赖关系。例如,当攻击策略的概率增加,攻击行为的概率在策略也会随之增加。当前攻击威胁可以通过分析和处理更精确地提取攻击策略和攻击行为之间的关系。结果,基于关系攻击策略和攻击行为,攻击行为特征加权法是在这项研究中,设计和该方法的关键步骤是如下公式所示:

当一个特定的攻击行为发生时,其相关的攻击策略也必须存在。分析攻击策略是更容易获得比分析攻击行为和攻击策略分析结果更准确。攻击策略的结果识别指数优化处理分析攻击行为的影响。 的值是攻击策略识别结果吗 以指数形式处理。 特征加权攻击行为的识别结果。

基于上面提到的,是什么威胁情报数据的深入分析是成功实现,可输出结构化攻击行为标签和对应的概率值高的准确性和可读性。

3.1.5。代的攻击行为的威胁值

基于上述方法,识别攻击行为的威胁情报实现。然而,很难判断威胁程度的攻击行为,导致困难优先警告攻击伤害程度更高。因此,有必要考虑的威胁攻击行为和量化等重要风险指标,包括攻击行为的可能性和危害程度的攻击行为。基于常见的攻击模式枚举的数据和分类(CAPEC) [25]发表的横切,攻击行为的可能性和危害程度计算在这项研究中,和攻击行为形成的威胁值。

CAPEC是攻击类型的枚举和分类数据集建立由美国国土安全部2007年,一个被广泛接受和认可的公共标准的攻击模式,如表所示1。CAPEC由两个指标“攻击的可能性”和“典型的严重性。”两人都分为五个层次,包括“非常低,”“低,“”中,“”高,”和“非常高。”“攻击”的可能性代表成功的攻击行为的概率。它认为相关的因素,包括攻击先决条件,要求攻击者资源,和可能的对策。“典型的严重性”旨在揭示成功的攻击行为的后果的严重程度。

标签在CAPEC和ATT&CK ICS的攻击行为是相同的。当我们计算攻击行为的威胁值,我们首先将攻击行为在ATT&CK ICS映射到CAPEC,见公式(5)。其次,我们量化非结构化CAPEC标签1 - 5级,见公式(6)和(7)。自“典型的严重程度”指标更有价值的攻击防御,它给出了一个更高的重量,见公式(8)。然后,CAPEC指标得分和攻击行为的标签分类结果相结合形成的得分威胁攻击行为,见公式(9)。

每个攻击行为的威胁值可以获得基于上述步骤。安全人员可以确定相应的应急响应序列根据威胁攻击行为的价值。

4所示。实验和分析

4.1。实验1:展示该方法的结果

分析Industroyer攻击(26作为一个例子。这是显示在图4。Industroyer是一个恶意程序,可以摧毁工业控制系统的关键资产。入侵和攻击乌克兰2016年电网,造成重大影响。它最大的一个威胁到工业控制系统自“地震网络病毒”出现,带来大规模的停电和财产损失。图4显示了一个Industroyer攻击事件文本在IBM安全平台,和图5显示了识别结果在本研究中使用该方法。提高识别结果的可读性,使用Neo4j技术,建立了真相图如图6。匹配后的详细列表Industroyer攻击斜方提供的平台和广泛被安全专家(27),识别结果的精度和召回值使用当前的方法是高达89.87%和87.1%,远高于那些使用其他方法获得的。

4.2。实验2:与其他方法对比实验

在本节中,我们比较实验,进行三组,分别如下:1。对比目前没有特征加权法和BERT-BiGRU法;2。对比目前的资讯和随机森林方法;和3。对比目前的方法和SyntaxNet方法。结果的分析和讨论两个方面的精度和召回。

Python平台被用来训练模型。我们收集了超过4000个威胁情报开源威胁的工业控制系统平台,形成训练集。此外,我们随机选择100威胁情报的十多个主流攻击当前面临的工业控制系统,包括Industroyer WannaCry, Stuxnet,形成目前的测试数据集实验。

验证”功能的价值权重行动”在提高攻击分析能力,我们比较没有特征加权特征加权和的方法。结果如表所示2。该方法的准确性和召回没有功能权重分别为86.69%和83.6%,分别重而他们显著提高功能,可高达89.87%和87.1%。方法的性能与功能重似乎更好。

近年来,许多研究人员进行了文本分析,取得了良好的效果使用支持向量机(28],装袋算法,然而,分类算法、决策树算法,随机森林算法、神经网络模型等方法。因此,我们选择了四种典型的SVM方法,装袋算法,再分类算法,随机森林算法比较和分析攻击行为的识别结果与本研究的方法来验证当前方法的有效性。从数据可以看出78的精度和召回率会显著提高迭代训练的一个大样本的数量。如表所示3当前方法的准确率,支持向量机,再分类算法(资讯),装袋算法和随机森林算法是89.87%,71.67%,61.4%,67.81%,64.8%;当前方法的召回率为87.1%,62.14%,50.78%,56.12%,58.4%29日]。

结果表明,该方法在本研究中是理想的更高的精度和更好的回忆。支持向量机模型的结果略优于其他方法,但该方法的精度比这低得多。资讯分类方法不需要培训,这是节省时间的,但它拥有共同计算能力的缺点。包装方法的准确性高。不过,所有的预测变量被认为是在训练,和更健壮的预测变量放置在顶部的分割点的方法。因此,这种方法的可靠性相对较低。随机森林方法使用决策树作为主要的分类器,提高了整体的召回率。然而,由于大量的迭代,它是浪费时间和容易过度拟合。

4.3。实验3:有效性验证攻击行为的威胁值

我们雇了四个安全专家与我们进行实验。通过比较在这项研究中提出的方法的实验结果与安全专家的评价结果,攻击威胁值生成方法的合理性提出了研究证实。

在实验中,“中间人攻击”、“洪水”,“鱼叉式网络钓鱼”和“代码内容”选择工业控制系统模拟攻击。目前的方法和安全专家在这个研究不同攻击的威胁程度进行分析与评估,分别。其中,评价分数在0 - 1的范围,和攻击行为的威胁程度成正比的分数。评价结果如表所示4

从表可以看出4该方法的评价结果提出了研究与安全专家的评价意见一致。攻击行为是洪水的威胁> >鱼叉式网络钓鱼>代码内容中间人攻击。实验表明,攻击行为的威胁值生成在这项研究中提出的方法可以有效地分析和预警响应威胁程度的攻击行为。根据攻击行为的得分威胁,信息安全分析师IIoT可以采取相应的预防措施,确保IIoT的安全运行。

通过对比实验和当前古典文本分析和攻击行为评价方法,基于特征加权IIoT威胁情报分析方法和BERT-BiGRU提议在精度和召回在这项研究中占有优势。此外,它是更有效地评估威胁行为得分,这更接近于分数由专家评估,导致更实用。

5。结论

本研究提出了一个威胁的情报分析方法基于特征加权和BERT-BiGRU IIoT。这种方法可以自动识别和分类的攻击威胁情报和计算每种攻击行为的威胁值。威胁值可以为应急反应的判断提供参考序列和提高应急响应的准确性和效率,导致足够的安全保护5 g-oriented IIoT。实验表明,该方法比其他常见方法更准确,更适合IIoT的非结构化威胁情报分析。

在未来,我们将完成外遇地图基于威胁情报进一步提高应急响应能力攻击。

数据可用性

所需的原始/处理数据复制这些发现也不能在这个时候作为数据共享一个正在进行的研究的一部分。

的利益冲突

作者宣称没有利益冲突。