应用知识图谱的工控网络安全特征分析方法和系统技术方案

本发明专利技术提供一种应用知识图谱的工控网络安全特征分析方法和系统。本发明专利技术能够将工控网络的安全特征信息构建为结构化的知识图谱，进而构建面向所述工控网络安全知识图谱的处理模型，实现节点网络安全特征预测分类，从而实现对工控网络的安全特征分析，发掘潜在安全威胁，驱动工控网络的安全决策。驱动工控网络的安全决策。驱动工控网络的安全决策。

【技术实现步骤摘要】
应用知识图谱的工控网络安全特征分析方法和系统


[0001]本专利技术涉及工控网络安全
，特别涉及一种应用知识图谱的工控网络安全特征分析方法和系统。

技术介绍

[0002]工控网络系统利用通信网络联通众多的关键基础设施，其网络结构比较复杂，并且工控网络的特异性比较强，不同网络之间共同性低，且工控网络相对比较封闭，以上因素导致面向工控网络开展安全特征分析没有足够的数据支撑，缺乏对于外部威胁的预测和应对能力，并且传统的网络安全特征分析方法具有一定限制，分析结论往往只能针对已知攻击实现预测，无法预测未知攻击。
[0003]对应工控网络来说，攻击者通常利用工业软件系统、操作系统、工控硬件、工控通信协议等方面的漏洞，入侵工控系统。针对以上情况，目前工控安全领域针对以上方面的网络安全特征存在比较多的信息源披露，例如安全分析报告、漏洞库、论坛攻略等，为工控网络的安全特征分析提供了足够的数据资源。而工控网络内部运行生成的日志、流量录制、警报存档等内部数据却往往是非结构性的，缺乏语义信息，因此不容易将工控网络的安全特征信息融合到内网中，从而提高工控网络的安全防御能力。
[0004]因此，现有技术中亟待提供有效的技术手段，实现对工控网络海量、非结构性的安全特征信息进行处理、建模和融合，能够基于工控网络内部的安全特征信息执行更为有效的分析，挖掘隐藏漏洞，预测未知威胁。

技术实现思路

[0005]本专利技术提供一种应用知识图谱的工控网络安全特征分析方法和系统。本专利技术能够将工控网络的安全特征信息构建为结构化的知识图谱，进而基于知识图谱的处理模型实现节点网络安全特征预测，从而实现对工控网络的安全特征分析，发掘潜在安全威胁，驱动工控网络的安全决策。
[0006]本专利技术提供的应用知识图谱的工控网络安全特征分析方法，其特征在于，包括：
[0007]获得工控网络相关的安全特征信息语料，并基于安全特征信息语料融合工控网络内部信息，构建结构化的工控网络安全知识图谱；
[0008]构建面向所述工控网络安全知识图谱的处理模型，实现节点网络安全特征预测分类；
[0009]根据节点的网络安全特征预测分类，可以将符合特定分类的工控网络设施判断为潜在安全威胁节点，进而驱动工控网络的安全决策。
[0010]优选的是，所述获得工控网络相关的安全特征信息语料，并基于安全特征信息语料融合工控网络内部信息，构建结构化的知识图谱，具体包括：
[0011]通过网络爬虫等技术手段，从工控网络安全的预定信息源所披露的工控网络相关的安全特征信息；
[0012]解析所述安全特征信息，获得知识图谱的实体和关系信息；
[0013]获取工控网络内部信息，所述工控网络内部信息包括工控网络的设施列表、设施通信协议、设施网络布局信息；
[0014]将工控网络内部信息映射到上述从安全特征信息中提取的实体和关系信息。
[0015]优选的是，所述工控网络安全知识图谱是具有多种实体类型和多种关系类型且带属性的图结构，表示为：
[0016]其中， 表示知识图谱的实体节点集合，是图的实体节点总数；工控网络中的设施作为实体节点； 是节点上的工控安全属性集合，即
ꢀꢀ
是节点
ꢀꢀ
上的特征向量;是节点上的标签集合， 是节点
ꢀꢀ
上的one
‑
hot标签向量，如果节点
ꢀꢀ
属于第
ꢀꢀ
类，则, 否则，；同时，记
ꢀꢀ
表示图上有标签节点的标签集合，以上标签向量表明节点划分的网络安全特征类型；表示有标签的边的集合，边表示工控网络的设施之间网络关系或设施链接关系，其中一个三元组 表示一种关系(带有标签的边)；
ꢀꢀ
表示所有边的类型的集合， 的元素个数记为; 表示所有节点类型的集合， 的元素个数记为; 表示边上的权重矩阵，其第ij个元素为
ꢀꢀ
度量了边
ꢀꢀ
上的节点和的关系强度；如果，图
ꢀꢀ
是有向图；如果，图
ꢀꢀ
是无向图；，即表示有或者没有某种关系。
[0017]优选的是，构建的所述处理模型为图谱编码器，表示为这里，为所述工控网络安全知识图谱，是图谱编码器所有参数矩阵构成的参数向量。
[0018]优选的是，构建所述处理模型包括：定义所述处理模型的节点网络安全特征预测分类器；其中，图谱编码器基于工控网络安全知识图谱，对图谱的节点
ꢀꢀ
编码的第
ꢀꢀ
层特征表示：
[0019]这里，是节点的图谱编码器第
ꢀꢀ
层的输出特征， 是第
ꢀꢀ
层的特征维度,，表示逐元的最大值激活函数，
ꢀꢀ
表示和节点有关系
ꢀꢀ
的节点的指标集合， 表示标准化常数，是可学习的参数或者提前给定的常量参数，例如取
ꢀꢀ
, 表示集合 元素的个数，是第
ꢀꢀ
层的未知权重参数矩阵， 是图谱编码器的隐藏层层数；基于图谱的节点
ꢀꢀ
编码的第
ꢀꢀ
层特征，图谱编码器对节点执行网络安全特征预测的softmax分类，该softmax层的输出：
[0020]向量
ꢀꢀ
的第 个元素表示为： 。
[0021]优选的是，构建所述处理模型包括：定义所述处理模型的损失函数，计算网络安全
特征预测分类的损失：特征预测分类的损失：
[0022]其中， 是有标签节点的指标集， 是one
‑
hot标签
ꢀꢀ
的第
ꢀꢀ
个元素。
[0023]优选的是，在训练过程中，采用梯度下降算法更新模型参数，优化损失函数，最终输出用于知识图谱的节点网络安全特征预测分类的处理模型。
[0024]优选的是，针对所述工控网络安全知识图谱，基于训练完成的网络安全特征预测分类处理模型，预测知识图谱每一节点的网络安全特征预测分类。
[0025]本专利技术进而一种应用知识图谱的工控网络安全特征分析系统，包括：
[0026]工控网络安全知识图谱构建单元，获得工控网络相关的安全特征信息语料，并基于安全特征信息语料融合工控网络内部信息，构建结构化的知识图谱。
[0027]处理模型单元，面向所述工控网络安全知识图谱，实现节点网络安全特征预测分类。
[0028]安全决策驱动单元，根据节点的网络安全特征预测分类，将符合特定分类的工控网络设施判断为潜在安全威胁节点，进而驱动工控网络的安全决策。
[0029]可见，本专利技术基于知识图谱的数据结构，实现了对工控网络海量、非结构性的安全特征信息进行处理、建模和融合，并且通过构建和训练图谱编码器形式的处理模型，实现对知识图谱节点的工控安全特征分类，从而基于工控网络内部的安全特征信息执行更为有效的分析，挖掘隐藏漏洞，预测未知威胁。本专利技术置入了深度学习机制，提本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种应用知识图谱的工控网络安全特征分析方法，其特征在于，包括：获得工控网络相关的安全特征信息语料，并基于安全特征信息语料融合工控网络内部信息，构建结构化的工控网络安全知识图谱；构建面向所述工控网络安全知识图谱的处理模型，实现节点网络安全特征预测分类；根据节点的网络安全特征预测分类，可以将符合特定分类的工控网络设施判断为潜在安全威胁节点，进而驱动工控网络的安全决策。2.根据权利要求1所述的应用知识图谱的工控网络安全特征分析方法，其特征在于，所述获得工控网络相关的安全特征信息语料，并基于安全特征信息语料融合工控网络内部信息，构建结构化的知识图谱，具体包括：通过网络爬虫等技术手段，从工控网络安全的预定信息源所披露的工控网络相关的安全特征信息；解析所述安全特征信息，获得知识图谱的实体和关系信息；获取工控网络内部信息，所述工控网络内部信息包括工控网络的设施列表、设施通信协议、设施网络布局信息；将工控网络内部信息映射到上述从安全特征信息中提取的实体和关系信息。3.根据权利要求1所述的应用知识图谱的工控网络安全特征分析方法，其特征在于，所述工控网络安全知识图谱是具有多种实体类型和多种关系类型且带属性的图结构，表示为：其中， 表示知识图谱的实体节点集合，是图的实体节点总数；工控网络中的设施作为实体节点； 是节点上的工控安全属性集合，即
ꢀꢀ
是节点
ꢀꢀ
上的特征向量;是节点上的标签集合， 是节点
ꢀꢀ
上的one
‑
hot标签向量，如果节点
ꢀꢀ
属于第
ꢀꢀ
类，则, 否则，；同时，记
ꢀꢀ
表示图上有标签节点的标签集合，以上标签向量表明节点划分的网络安全特征类型；表示有标签的边的集合，边表示工控网络的设施之间网络关系或设施链接关系，其中一个三元组 表示一种关系(带有标签的边)；
ꢀꢀ
表示所有边的类型的集合， 的元素个数记为; 表示所有节点类型的集合， 的元素个数记为; 表示边上的权重矩阵，其第ij个元素为
ꢀꢀ
度量了边
ꢀꢀ
上的节点和的关系强度；如果，图
ꢀꢀ
是有向图；如果，图
ꢀꢀ
是无向图；，即表示有或者没有某种关系。4.根据权利要求3所述的应用知识图谱的工控网络安全特征分析方法，其特征在于，构建的所述处理模型为图谱编码器，表示为这里，为所述工控网络安全知识图...

【专利技术属性】
技术研发人员：胡仁豪，刘磊，付庆为，李扶众，
申请(专利权)人：北京网藤科技有限公司，
类型：发明
国别省市：