基于知识图谱的工控系统攻击线索发现系统技术方案

本发明专利技术公开了基于知识图谱的工控系统攻击线索发现系统。工控系统大多是多年前设计开发的，缺乏相应的安全考虑，难免存在不少危及系统安全的漏洞，而这些漏洞很有可能被入侵者所利用。针对工控入侵检测系统仅能发现攻击但不能提供攻击相关的线索，而这些线索对系统的攻击后快速恢复具有重要作用，本发明专利技术通过构建工控系统漏洞利用知识图谱，从漏洞利用的角度给出攻击的相关线索。在构建知识图谱的过程中，提出了一种基于条件随机场的攻击信息命名实体识别方法、一种基于规则和字符相似度计算的实体对齐框架和一种基于类型限定与预训练模型负三元组潜在正确概率的知识推理算法。本发明专利技术将知识图谱根据用户输入得出的攻击线索以力导向图的方式可视化展示，更加准确和直观。观。观。

【技术实现步骤摘要】
基于知识图谱的工控系统攻击线索发现系统


[0001]本专利技术属于工控系统网络安全领域，特别涉及一种基于知识图谱的工控系统攻击线索发现系统。

技术介绍

[0002]工业控制系统由各式各样的自动化控制组件与即时数据采集、监控的进程控制组件共同组成的，应用于十分广阔的工业领域。现在所使用的工控系统大多是多年前设计开发的，缺乏相应的安全考虑，难免存在不少危及系统安全的漏洞，这些漏洞很有可能被入侵者利用，造成安全事故。随着两化融合的不断推进，成熟的IT技术打破了工控系统的相对封闭性，面临的安全问题和风险愈发凸显，工控系统网络安全事故严重影响了工业生产的生命与财产安全。目前，通常使用入侵检测技术发现对工控系统的网络攻击，但入侵检测技术只能检测到攻击并报警，不能提供攻击使用的方法、造成的后果和处理意见等相关信息，这些信息可以为安全人员提供决策支持，对系统被攻击后的快速恢复减少攻击损失具有重要作用。
[0003]通过上述分析，在攻击者利用工控系统漏洞攻击工控系统时，为了保障系统安全，不仅要能检测出发生了攻击，还亟需提供攻击相关线索的方法。针对此问题，本文将知识图谱引入工控系统安全领域，构建工控系统漏洞利用知识图谱用于工控系统攻击线索的发现。知识图谱是一种由实体和关系组成的语义网，由Google正式提出，其目的是改变基于关键字的搜索方式，基于知识图谱的语义检索可理解用户的输入，并为搜索者提供更加直接和系统的结果。所以，工控系统漏洞利用知识图谱可以根据用户输入进行推理，本文将攻击相关的线索信息以力导向图的方式可视化展示，方便安全人员做出正确的安全决策。

技术实现思路

[0004]工控系统检测到网络攻击时入侵检测系统不能提供该攻击的相关信息，为了快速恢复系统，安全人员需要攻击方法、攻击造成的后果和处理意见等信息。为了解决此问题，本专利技术提出了基于知识图谱的工控系统攻击线索发现系统，通过构建工控系统漏洞利用知识图谱，为安全人员提供更加直观和准确地攻击线索。知识图谱可分为模式层和数据层两部分，模式层存储的是经过提炼的知识，数据层存储的是具体的数据信息。按照这两部分构建顺序不同，知识图谱的构建可分为自上而下和自下而上两种构建方式。本专利技术采用自上而下的方式，先由场景和数据信息提炼出知识图谱模式层，用于指导数据层的构建。针对多源异构网络环境下的网络安全状态等相关系信息，根据不同数据来源的具体特点对安全相关要素进行分类，主要分为基础维、威胁维、脆弱维三个维度。本文从三个不同的维度结合工控具体场景得到工控系统攻击线索发现概念集合C＝{Vendor、Device、Vulnerability、Mean、Consequence}。Vendor：厂商、Device：工控系统设备、Vulnerability：设备漏洞、Mean：漏洞利用攻击方法、Consequence：攻击造成的异常结果。概念之间的关系R＝{produce、have、show、cause、use、kind
‑
of、lead
‑
to}，分别为厂商和设备之间的生产关系、
设备与漏洞之间的拥有关系、设备与攻击异常之间的表现关系、漏洞与攻击异常之间的造成关系、攻击方法与漏洞之间的利用关系、实体之间层级关系、攻击结果与攻击结果之间的因果关系。设备和漏洞数据来自各大漏洞库，使用网络爬虫抽取信息，漏洞的攻击方法和攻击后果信息来源于非结构化的文本信息，例如，设备厂商公告、漏洞描述等。
[0005]在确定模式层之后，抽取非结构化文本中的攻击信息。针对攻击方法和异常结果实体长度差异较大，存在大量的嵌套和别名，本专利技术基于线性链条件随机场模型，提出一种包含实体特征和上下文信息的特征组合，包括词特征、词性特征、实体边界特征、实体前后关键词特征、实体高频词特征，提高了实体识别的完整性。
[0006]因为抽取的攻击信息来自多个数据源，难免存在“多词一意”的情况，所以需要进行实体对齐。在语料有限，存在大量出现频率相差较大的复合长实体的场景下，单纯的字符串相似度计算无法解决缩写和同义词问题，分析“多词一意”问题产生的原因，英文的名称变异大概可分为以下五种：
[0007]1)字母组成和顺序相同，由于大小写、标点造成名称不同。例如“email”和“E
‑
mail”。
[0008]2)同义词替换造成的名称不同。例如，“temperature increment”和“temperature build
‑
up”。3)缩写造成名称不同。英文缩写规则不同又可分为：
[0009]a、每个单词的首字母构成缩写。
[0010]b、单词的前缀构成缩写。
[0011]c、单词的前缀与后缀的组合构成缩写。
[0012]4)错误的拼写构成的不同。
[0013]5)其他
[0014]本专利技术提出一种规则与聚合相似度的方法，先使用以上规则判断是否因缩写和同义词替换造成的“多词一意”，若不是再用相似度计算判断。分别计算Edit distance、Jaro
‑
Wrinkler、ISUB、Jaccard四种相似度，用sigmoid函数聚合作为最终相似度，大于阈值则表示为同一实体。通过以上方法在一定程度上提高了实体对齐效果。
[0015]实体对齐之后已形成了基本的知识图谱，但还存在关系缺失的问题，需要通过推理补全关系。翻译模型TransE经常被用于知识推理，但TransE模型随机替换生成负三元组的过程中可能包含正三元祖和低质量的负三元组问题，影响了模型的推理效果。本专利技术引入了负三元组潜在正确概率这一概念，为随机替换产生的负三元组根据其正确概率打分，不同得分的负三元组对模型的训练权重不同，使负三元组中正三元组和低质量负三元组对模型训练权重降低，进而提高了模型推理效果。关于潜在正确概率的计算，本专利技术使用了预训练TransE模型，公式定义为：其中f(h
′
,r,t
′
)为负三元组在预训练TransE上的得分，然后用含有潜在正确概率的负三元组重新训练TransE模型作为最终的推理模型。
[0016]构建工控系统漏洞利用知识图谱之后，与工控系统入侵检测系统相结合，当入侵检测系统发现某种攻击时，利用发生攻击设备的名称、厂商等信息在知识图谱中进行知识推理，发现与攻击相关的线索并用百度的可视化框架ECharts进行可视化展示，安全人员可
以直观的获得与攻击相关的漏洞、利用方法、攻击后果、防护建议等信息，对系统的快速恢复具有重要价值。
附图说明
[0017]图1是本专利技术知识图谱总体构建示意图。
[0018]图2是本专利技术命名实体识别示意图。
[0019]图3是本专利技术实体对齐示意图。
[0020]图4是本专利技术知识推理示意图。
[0021]图5是基于本专利技术构建的知识图谱攻击线索发现的示例。
具体实施方式
[0022]以下将结合附图所示的具体实施方式对本专利技术进行详细描述。
[0023]图1是本专利技术知识本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于知识图谱的工控系统攻击线索发现系统，其特征在于：构建工控系统漏洞利用知识图谱从漏洞利用的角度提供攻击线索和知识图谱的构建方法。本发明工控系统漏洞利用知识图谱的构建包括如下步骤：1)知识图谱模式层构建，根据应用场景确定抽取的实体和实体间关系，用于指导数据层构建。2)利用网络爬虫从NVD、CNVD、CNNVD漏洞库中获取漏洞和设备数据，并获取相关漏洞描述和根据厂商公告链接获取厂商公告。3)步骤2)获取的漏洞描述和厂商公告为非结构化文本数据，使用线性链条件随机场抽取攻击方法和攻击结果信息。4)多元数据抽取的信息会存在“多词一意”的情况，使用一种基于规则和相似度计算的实体对齐框架进行实体对齐。5)构建的知识图谱难免会存在实体关系缺失的问题，使用一种基于预训练模型的负样本潜在正确概率知识推理算法补全知识图谱实体间关系。2.根据权利要求1所述的基于知识图谱的工控系统攻击线索发现系统，其特征在于：目前所使用的工控系统大多是多年前设计开发的，缺乏相应的安全考虑，难免存在不少危及系统安全的漏洞，而这些漏洞很有可能被入侵者所利用，造成安全事故。工控系统目前的入侵检测技术并不能提供攻击线索信息，所以本发明将知识图谱引入到工控系统的攻击线索发现领域，利用知识图谱语义检索可理解用户输入的优势，为安全人员提供直观准确的攻击线索。3.根据权利要求1所述的基于知识图谱的工控系统攻击线索发现系统，其特征在于，步骤1)构建的知识图谱模式层是：本发明从三个不同的维度结合工控具体场景得到工控系统攻击线索发现概念集合C＝{Vendor、Device、Vulnerability、Mean、Consequence}。Vendor：厂商、Device：工控系统设备、Vulnerability：设备漏洞、Mean：漏洞利用攻击方法、Consequence：攻击造成的异常结果。概念之间的关系R＝{produce、have、show、cause、use、kind
‑
of、lead
‑
to}，分别为厂商和设备之间的生产关系、设备与漏洞之间的拥有关系、设备与攻击异常之间的表现关系、漏洞与攻击异常之间的造成关系、攻击方法与漏洞之间的利用关系、实体之间层级关系、攻击结果与攻击结果之间的因果关系。4.根据权利要求1所述的基于知识图谱的工控系统攻击线索发现系统，其特征在于，步骤3)所使用的基于条件随机场的攻击方法和攻击结果命名实体识别方法。攻击方法和攻击结果实体长度差别较大，存在大量的嵌套和别名，为了保证抽取实体的完整性，本发明引入了实体上下文环境特征并确定了最佳的特征组合：1)词特征。文本分词后产生的每个词本身作为一种特征，该特征可以较完整的反应文本的基本信息。2)词性特征。在文本分词的过程中同时对每个词进行词性标注，...

【专利技术属性】
技术研发人员：赖英旭，周昆，刘静，
申请(专利权)人：北京工业大学，
类型：发明
国别省市：