(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211451566.7 (22)申请日 2022.11.21 (71)申请人 国家工业信息安全发展研究中心 地址 100040 北京市石景山区鲁 谷路35号 (72)发明人 王冲华　周昊　郝志强　樊佩茹　 张雪莹　李俊　林晨　韦彦　 曲海阔　刘奕彤　李红飞　余果　 (74)专利代理 机构 北京高沃 律师事务所 1 1569 专利代理师 万慧华 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) (54)发明名称 基于ATT&CK的工业互联网攻击链关联方法 及系统 (57)摘要 本发明涉及一种基于ATT&CK的工业互联网 攻击链关联方法及系统， 具体涉及互联网技术领 域。 所述方法包括： 对所有告警事件进行聚类操 作得到告警事件簇， 根据告警事件簇内各告警事 件的通信地址、 通信端口和执行时间以及各攻击 日志的属性得到告警事件簇对应的告警事件连 通图， 根据各终端设备的资产类型、 ATT&CK和攻 击链模型， 得到各资产类型对应的攻击阶段， 根 据各资产类型对应的攻击阶段得到各资产类型 的危险等级， 根据告警事件 连通图和知识库中的 攻击技术生成攻击技术序列， 根据攻击技术序 列、 攻击路径库和目标 终端设备得到攻击链和攻 击链对应的危险等级。 本发明可以提高攻击链关 联的精准 率， 并且给出了攻击链的危险等级。 权利要求书4页 说明书11页 附图1页 CN 115514582 A 2022.12.23 CN 115514582 A 1.一种基于AT T&CK的工业互联网攻击链关联 方法， 其特 征在于， 包括： 获取待处 理区域内所有终端设备的攻击日志和告警事 件； 将各攻击日志分别进行解析得到每个攻击日志的属性， 所述属性包括主进程、 子进程、 操作类型、 文件名称、 通信地址、 通信端口和执 行时间； 将各终端设备的数据信 息输入到多分类模型中得到各终端设备的资产类型； 所述数据 信息包括数据包频率的均值、 数据包频率的方差、 数据包长度的均值、 数据包长度的方差、 报文响应速率的均值和报文响应速率的方差； 所述资产类型包括控制服务器、 数据日志中 心、 工程站、 控制器、 人机交互界面、 IO服务器和安全系统； 所述控制器为现场控制器、 远程 终端单元、 可编程逻辑控制器或智能电子 设备； 所述安全系统为安全仪表系统、 安全联锁系 统或保护继电器； 根据各终端设备的内网IP和外网IP的连通关系对所有告警事件依次进行特征工程操 作和聚类操作得到多个告警事 件簇； 对于任意一个告警事件簇， 根据所述告警事件簇内各告警事件的通信地址、 通信端口 和执行时间以及各攻击日志的属性， 采用攻击场景重构技术得到所述告警事件簇对应的告 警事件连通图； 根据各终端设备的资产类型、 ATT&CK和攻击链模型， 得到各所述终端设备的资产类型 对应的所述 攻击链模型中的攻击阶段； 根据各所述终端设备的资产类型对应的所述攻击链模型中的攻击阶段得到各所述终 端设备的资产类型的危险等级； 对于任意一个告警事件簇， 根据所述告警事件簇对应的告警事件连通图和所述ATT&CK 中的攻击技 术生成所述告警事 件簇对应的攻击技 术序列； 根据各所述终端设备的资产类型的危险等级、 所述告警事件簇对应的攻击技术序列和 攻击路径库得到告警事件簇对应的攻击链和所述攻击链对应的危险等级； 所述攻击路径库 根据所述AT T&CK得到的。 2.根据权利 要求1所述的一种基于ATT&CK的工业互联网攻击链关联方法， 其特征在于， 所述根据各终端设备的内网IP和外网IP的连通关系对所有告警事件依 次进行特征工程操 作和聚类操作得到多个告警事 件簇， 具体包括： 以各告警事件的源IP地址和目的IP地址为节点生成连通图； 所有告警事件对应一个连 通图； 所述源IP地址和所述目的IP地址中至少有一个为内网IP； 根据各终端设备的内网IP和外网IP采用随机游走算法根据所述连通图得到内网IP序 列； 通过NLP算法对所述内网IP序列进行处 理得到的各内网IP的词嵌入； 根据各内网IP的词嵌入和各告警事件 的源IP地址和目的IP地址得到各告警事件的IP 向量特征； 将所述告警事件的通信端口、 执行时间和持续 时间分别表示为向量得到所述告警事件 的通信端口向量、 执 行时间向量和持续时间向量； 根据各告警事件的IP向量特征、 通信端口向量、 执行时间向量和持续时间向量对所有 告警事件进行聚类得到多个告警事 件簇。 3.根据权利 要求1所述的一种基于ATT&CK的工业互联网攻击链关联方法， 其特征在于，权　利　要　求　书 1/4 页 2 CN 115514582 A 2所述对于任意一个告警事件簇， 根据所述告警事件簇内各告警事件的通信地址、 通信端口 和执行时间以及各攻击日志的属性， 采用攻击场景重构技术得到所述告警事件簇对应的告 警事件连通图， 具体包括： 对于任意一个告警事件簇， 以所述告警事件簇内各告警事件的通信地址、 通信端口和 通信时间为线索， 采用攻击场景重构技术根据所述攻击日志的属 性， 得到各所述告警事件 与各所述攻击日志之间的关联关系； 根据各所述告警事件与各所述攻击日志之间的关联关系得到各告警事件之间的关联 关系； 根据各告警事 件之间的关联关系得到所述告警事 件簇对应的告警事 件连通图。 4.根据权利 要求1所述的一种基于ATT&CK的工业互联网攻击链关联方法， 其特征在于， 所述根据各终端设备的资产类型、 ATT&CK和攻击链模型， 得到各所述终端设备的资产类型 对应的所述 攻击链模型中的攻击阶段， 具体包括： 根据各所述终端设备的资产类型和所述ATT&CK得到各所述终端设备的资产类型对应 的ATT&CK中的攻击技 术； 根据各所述终端设备的资产类型对应的ATT&CK中的攻击技术和所述攻击链模型， 得到 各所述终端设备的资产类型对应的所述 攻击链模型中的攻击阶段。 5.根据权利 要求1所述的一种基于ATT&CK的工业互联网攻击链关联方法， 其特征在于， 所述对于任意一个告警事件簇， 根据所述告警事件簇对应的告警事件连通图和所述ATT&CK 中的攻击技 术生成所述告警事 件簇对应的攻击技 术序列， 具体包括： 根据所述告警事件簇对应的告警事件连通图， 将所述告警事件簇 中各告警事件的告警 类型与所述AT T&CK中的攻击技 术映射； 根据所述告警事件簇中各告警事件的告警类型与所述ATT&CK中的攻击技术的映射关 系生成所述告警事 件簇对应的攻击技 术序列。 6.根据权利 要求1所述的一种基于ATT&CK的工业互联网攻击链关联方法， 其特征在于， 所述根据各所述 终端设备的资产类型的危险等级、 所述告警事件簇对应的攻击技术序列和 攻击路径库得到告警事 件簇对应的攻击链和所述 攻击链对应的危险等级， 具体包括： 将所述告警事 件簇对应的攻击技 术序列与攻击路径库中的攻击路径进行匹配； 若匹配成功， 则根据目标攻击路径对所述告警事件簇对应的告警事件连通图中的告警 事件进行筛选， 得到所述告警事件簇对应的攻击链， 并根据目标终端设备 的资产类型 的危 险等级确定所述攻击链对应的危险等级； 所述目标终端设备为所述告警事件簇对应的攻击 链中的所有告警事件对应的终端设备； 所述目标攻击路径为攻击路径库中与所述告警事件 簇对应的攻击技 术序列匹配成功的路径； 若匹配失败且所述目标终端设备的资产类型的危险等级超过设定等级阈值， 则将所述 告警事件簇对应的攻击技 术序列添加到攻击路径库中。 7.一种基于AT T&CK的工业互联网攻击链关联系统， 其特 征在于， 包括： 获取模块， 用于获取待处 理区域内所有终端设备的攻击日志和告警事 件； 属性确定模块， 用于将各攻击日志分别进行解析得到每个攻击日志 的属性， 所述属性 包括主进程、 子进程、 操作类型、 文件名称、 通信地址、 通信端口和执 行时间； 资产类确定模块， 用于将各终端设备的数据信 息输入到多分类模型中得到各终端设备权　利　要　求　书 2/4 页 3 CN 115514582 A 3