(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113765847A(43)申请公布日2021.12.07(21)申请号202010488042.X(22)申请日2020.06.02(71)申请人北京中科卓信软件测评技术中心地址100193北京市海淀区闵庄路3号102幢二层207室(72)发明人胡陈勇黄鹂梅瑞(51)Int.Cl.H04L29/06(2006.01)权利要求书2页说明书4页附图1页(54)发明名称一种基于威胁情报的信息系统抗APT攻击能力测评方法(57)摘要本发明公开了一种基于威胁情报的信息系统抗APT攻击能力测评方法。本方法步骤如下：1、基于网络安全威胁情报知识本体，构建威胁情报知识图谱；2、依据测评计划中对TOE的评估目标，采用层次分析法建模，选取评估方案；3、选取威胁情报知识图谱中的相应威胁实体节点，以及节点到APT攻击组织节点的路径，生成用于评估TOE的威胁情报信息子图；4、使用生成算法对威胁情报信息子图的每个节点数据生成新的相似威胁信息，生成测试用例集；5、使用测试用例集对TOE执行测试并记录测试结果，最终定量计算和评价TOE抗APT攻击能力。通过以上步骤本发明解决了现有测评方法对未知威胁无法有效测试、且无法定量分析和评估TOE的抗APT攻击能力的问题。CN113765847ACN113765847A权利要求书1/2页1.一种基于威胁情报的信息系统抗APT攻击能力测评方法，其特征在于，其步骤如下：步骤101：基于开源或商业化的网络安全威胁情报知识本体(Ontology)，采集多源威胁情报中与APT攻击活动相关联的信息，构建威胁情报知识图谱；步骤102：依据测评计划中对TOE的评估目标，采用层次分析法(AnalyticHierarchyProcess，AHP)建模，选取评估方案；步骤103：使用步骤102生成的评估方案，选取步骤101威胁情报知识图谱中的相应实体节点，以及实体节点到APT攻击组织实体节点的路径，生成用于评估TOE的威胁情报信息子图；步骤104：使用生成算法对步骤103中威胁情报信息子图的每个节点数据生成新的相似威胁信息，添加到测试用例集；步骤105：依据步骤104生成的测试用例集，对TOE执行测试并记录测试结果，结合步骤102评估模型定量计算TOE抗APT攻击能力。通过以上步骤，本发明实现了一种基于威胁情报的信息系统抗APT攻击能力测评方法，解决了现有测评方法对未知威胁无法有效测试、且无法定量分析和评估TOE的抗APT攻击能力的问题。2.根据权利要求1所述的一种基于威胁情报的信息系统抗APT攻击能力测评方法，其特征在于：在步骤101中所述的“网络安全威胁情报知识本体”，指的是一种工业界普遍使用的标准或最佳实践，其规定了网络安全威胁情报的组织形式、数据类型、实体对象、实体间关系，以及威胁情报交换与共享规范。在步骤101中所述的“多源威胁情报”，在步骤101中所述的“多源威胁情报”，指的是网络安全厂商、开源安全社区，商业付费安全大数据供应商所提供的APT攻击组织活动报告包括相关联的IOC信息等，其包括符合工业界标准的结构化数据和非结构化文本数据。在步骤101中所述的“构建威胁情报知识图谱”，做法如下：(1)对于结构化威胁情报数据，建立一种转换模式，将结构化威胁情报数据映射为知识本体中对应的实体和关系；(2)对于非结构化数据，采用自然语言处理技术(NaturalLanguageProcessing，NLP)，提取关键语义信息，映射到知识本体中对应的实体和关系。3.根据权利要求1所述的一种基于威胁情报的信息系统抗APT攻击能力测评方法，其特征在于：在步骤102中所述的“层次分析法”，指的是将信息系统抗APT攻击能力测评方案作为决策目标，将该目标分解为多个子目标或准则，进而分解为多指标(或准则、约束)的若干层次，每个层次定义了具有不同颗粒度的满足TOE测评需求的测试项，最后通过定性指标模糊量化万法算出层次单排序(权数)和总排序，以作为选取测试项实施TOE评估的多方案优化决策的系统方法。在步骤102中所述的“选取评估方案”，做法如下：(1)依据AHP方法构建评估方案三层模型，其中：目标层为基于组织安全策略的TOE评估目标，准则层为基于标准和最佳实践的信息系统评估准则如CC标准，方案层为步骤101威胁情报知识本体中的威胁实体；(2)构造判断矩阵确定方案层各因素的权值，按照预先设定的阈值，选取方案层中大于阈值的威胁实体，并添加到评估方案中，用于生成测试用例集。2CN113765847A权利要求书2/2页4.根据权利要求1所述的一种基于威胁情报的信息系统抗APT攻击能力测评方法，其特征在于：在步骤103中所述的“选取威胁情报知识图谱中的相应实体节点”，指的是依据步骤102评估