一种基于注意力机制的工业控制网络安全风险评估方法技术

本发明专利技术公开了一种基于注意力机制的工业控制网络安全风险评估方法，首先获取待测工业控制网络中的各种数据信息，并对其进行结构化处理，形成结构化数据库；基于所述结构化数据库定义工业控制网络节点，建立所述节点之间的关联关系，形成包含工业控制网络多种信息的安全风险评估图数据库；采用注意力机制建立面向多种工业控制网络场景的风险评估模型；将安全风险评估图数据库的数据输入建立的风险评估模型中，得出待测工业控制网络的关键要素和综合风险评分，实现对待测工业控制网络的安全风险评估。上述方法可以主动分析网络中存在的安全隐患，并根据分析结果采取适当措施来降低网络的安全风险，并能采取合理的防护措施和修补方法。方法。方法。

【技术实现步骤摘要】
一种基于注意力机制的工业控制网络安全风险评估方法


[0001]本专利技术涉及工业控制网络安全
，尤其涉及一种基于注意力机制的工业控制网络安全风险评估方法。

技术介绍

[0002]工业控制网络是国家关键基础设施的重要组成部分，一旦遭受网络攻击，会造成财产损失、人员伤亡等严重后果，工业控制网络的安全问题日趋严重。
[0003]现有技术中传统的被动型安全防御技术以边界防护和基于规则匹配的检测方法为主，已经无法满足防御变化多样的新型安全问题的需要。

技术实现思路

[0004]本专利技术的目的是提供一种基于注意力机制的工业控制网络安全风险评估方法，该方法可以主动分析网络中存在的安全隐患，并根据分析结果采取适当措施来降低网络的安全风险，并能采取合理的防护措施和修补方法。
[0005]本专利技术的目的是通过以下技术方案实现的：
[0006]一种基于注意力机制的工业控制网络安全风险评估方法，所述方法包括：
[0007]步骤1、获取待测工业控制网络中的各种数据信息，并对所获取的数据信息进行结构化处理，形成结构化数据库；其中，所述结构化数据库是包括设备指纹库、漏洞库、流量库、日志库、用户库、安全事件库、威胁特征库的工业控制网络风险评估基础数据库；
[0008]步骤2、基于所述结构化数据库定义工业控制网络的节点，建立所述节点之间的关联关系，形成包含工业控制网络多种信息的安全风险评估图数据库；
[0009]步骤3、采用注意力机制建立面向多种工业控制网络场景的风险评估模型；
[0010]步骤4、将步骤2中安全风险评估图数据库的数据输入步骤3建立的风险评估模型中，得出待测工业控制网络的关键要素和综合风险评分，实现对待测工业控制网络的安全风险评估。
[0011]由上述本专利技术提供的技术方案可以看出，上述方法可以主动分析网络中存在的安全隐患，并根据分析结果采取适当措施来降低网络的安全风险，并能采取合理的防护措施和修补方法。
附图说明
[0012]为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。
[0013]图1为本专利技术实施例提供的基于注意力机制的工业控制网络安全风险评估方法流程示意图。
具体实施方式
[0014]下面结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例，这并不构成对本专利技术的限制。基于本专利技术的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术的保护范围。
[0015]如图1所示为本专利技术实施例提供的基于注意力机制的工业控制网络安全风险评估方法流程示意图，所述方法包括：
[0016]步骤1、获取待测工业控制网络中的各种数据信息，并对所获取的数据信息进行结构化处理，形成结构化数据库；
[0017]其中，所述结构化数据库是包括设备指纹库、漏洞库、流量库、日志库、用户库、安全事件库、威胁特征库的工业控制网络风险评估基础数据库。
[0018]具体实现中，所述各种数据信息包括资产信息、数据流信息、用户信息以及安全数据信息，具体是通过主动探测和被动监听的手段来获取各种数据信息，其中：
[0019]采用主动探测的方式探查待测工业控制网络资产的软硬件数据，包括设备厂商、型号、类型、操作系统、通信协议、端口；具体实现中，一方面利用工控设备周期性发送查询数据包的特性，捕获在工控环境中进行数据交互的网络数据包，对网络数据包进行深度解析，获取资产信息；另一方面，通过构造特征数据包，解析回复数据包，获取资产信息；
[0020]与待测工业控制网络中的安全防护设备联动，收集安全防护设备相关的漏洞数据、日志数据、安全策略数据；
[0021]监听流量数据，对待测工业控制网络的数据流信息进行收集和统计；
[0022]定时采集访问控制系统、运维系统，获得用户权限数据、身份认证措施与状态用户信息。
[0023]举例来说，本实例选用的工业控制网络场景包括多种厂商及型号的PLC、数控系统等工业控制设备和系统，包括了防火墙、IDS、网关等多种安全设备，通过主动探测和被动监听等手段，获取工业控制网络资产软硬件数据(设备厂商、型号、类型、操作系统、通信协议、端口等)、安全数据(安全策略、安全日志、安全漏洞、安全事件等)、流量数据、用户数据(访问控制权限、身份认证措施等)，其中：
[0024](1)采用主动探测的方式，探查工业控制网络资产的软硬件数据，包括设备厂商、型号、类型、操作系统、通信协议、端口等。
[0025](2)与防火墙、IDS、网关等安全防护设备联动，接收安全设备syslog日志，备份防火墙规则、白名单等安全策略。通过收集CNVD、CNNVD漏洞数据库，与工控网络资产数据进行比对关联，获取漏洞名称、漏洞类型、漏洞编号、风险等级、漏洞评分、发布日期、更新日期等安全数据信息。
[0026](3)监听流量数据，对工业控制网络流量数据进行统计分析，获取协议数、IP总数、时长、工控数据包个数、数据包大小、异常数据包数、诊断报警数、异常报警数、工控协议统计、数据包分布统计等信息。
[0027](4)采集访问控制系统、运维系统，得到用户权限数据、身份认证措施与状态等用户信息。
[0028]基于所获得的数据信息，对所获取的数据信息进行结构化处理，具体采用填写空
缺值、识别删除离群点、删除重复值等方法对数据进行预处理，形成结构化数据库，具体是包括设备指纹库、漏洞库、流量库、日志库、用户库、安全事件库、威胁特征库的工业控制网络风险评估基础数据库。
[0029]步骤2、基于所述结构化数据库定义工业控制网络的节点，建立所述节点之间的关联关系，形成包含工业控制网络多种信息的安全风险评估图数据库；
[0030]在该步骤中，具体是结合工业控制网络的资产设备信息，定义以工业控制网络设备 IP地址和工业控制网络用户为核心的实体节点，定义以漏洞、威胁、策略、风险安全事件要素为核心的虚拟节点；
[0031]基于所述结构化数据库中的设备指纹库、用户库、安全事件库，刻画所定义节点的属性，并以流量库和日志库为基础建立所述节点之间的关联关系；
[0032]然后采用Neo4j图数据库对包含工业控制网络多种信息的安全风险评估数据进行存储，将工业控制网络多种信息分别对应到Neo4j图数据库的节点、关系、属性构建块中，形成包含工业控制网络多种信息的安全风险评估图数据库；
[0033]其中，节点对应工业控制网络的设备、用户、安全事件要素；关系对应设备、用户、安全事件要素之间的关联关系；属性对应设备指纹信息、用户信息和安全事件信息。
[0034]步骤3、采用注意力机制建立面向多种工业控本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于注意力机制的工业控制网络安全风险评估方法，其特征在于，所述方法包括：步骤1、获取待测工业控制网络中的各种数据信息，并对所获取的数据信息进行结构化处理，形成结构化数据库；其中，所述结构化数据库是包括设备指纹库、漏洞库、流量库、日志库、用户库、安全事件库、威胁特征库的工业控制网络风险评估基础数据库；步骤2、基于所述结构化数据库定义工业控制网络的节点，建立所述节点之间的关联关系，形成包含工业控制网络多种信息的安全风险评估图数据库；步骤3、采用注意力机制建立面向多种工业控制网络场景的风险评估模型；步骤4、将步骤2中安全风险评估图数据库的数据输入步骤3建立的风险评估模型中，得出待测工业控制网络的关键要素和综合风险评分，实现对待测工业控制网络的安全风险评估。2.根据权利要求1所述基于注意力机制的工业控制网络安全风险评估方法，其特征在于，在步骤1中，所述各种数据信息包括资产信息、数据流信息、用户信息以及安全数据信息，具体是通过主动探测和被动监听的手段来获取各种数据信息，其中：采用主动探测的方式探查待测工业控制网络资产的软硬件数据，包括设备厂商、型号、类型、操作系统、通信协议、端口；与待测工业控制网络中的安全防护设备联动，收集安全防护设备相关的漏洞数据、日志数据、安全策略数据；监听流量数据，对待测工业控制网络的数据流信息进行收集和统计；定时采集访问控制系统、运维系统，获得用户权限数据、身份认证措施与状态用户信息。3.根据权利要求1所述基于注意力机制的工业控制网络安全风险评估方法，其特征在于，所述步骤2的过程具体为：结合工业控制网络的资产设备信息，定义以工业控制网络设备IP地址和工业控制网络用户为核心的实体节点，定义以漏洞、威胁、策略、风险安全事件要素为核心的虚拟节点；基于所述结构化数据库中的设备指纹库、用户库、安全事件库，刻画所定义节点的属性，并以流量库和日志库为基础建立所述节点之间的关联关系；然后采用Neo4j图数据库对包含工业控制网络多种信息的安全风险评估数据进行存储，将工业控制网络多种信息分别对应到Neo4j图数据库的节点、关系、属性构建块中，形成包含工业控制网络多种信息的安全风险评估图数据库；其中，节点对应工业控制网络的设备、用户、安全事件要素；关系对应设备、用户、安全事件要素之间的关联关系；属性对应设备指纹信息、用户信息和安全事件信息。4.根据权利要求1所述基于注意力机制的工业控制网络安全风险评估方法，其特征在于，所述步骤3的过程具体为：首先，以步骤2形成的安全风险评估图数据库数据为基础，建立初始属性图模型表示为：G1＝<V,E,A>，以获得模型的初始嵌入；其中，V＝{v1,v2,
…
,v
n
}表示节点集合；E＝{(v
i
,v
j
)|v
i
,v<...

【专利技术属性】
技术研发人员：吴桐，宋永立，党增江，高玫，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：