基于知識圖譜的工控網絡安全構建研究

向光暉，李林蔚，王濤，毛良

（四川東方電氣集團東方汽輪機有限公司，四川德陽 618000）

1 引言

基于工控網絡的知識圖譜（ICSKG）通過構建并利用工控系統中的各類數據與知識元素，形成一個高度可擴展、智能化的知識圖譜，為工控網絡安全提供了新的解決方案[1-4]。 研究通過對ICSKG 在工業控制網絡安全中的應用進行深入的研究和分析， 建立工業控制網絡安全的異構知識圖譜。 在此基礎上， 將利用知識圖的填充能力深入挖掘工控網絡中易出現的問題及潛在的關聯。

2 基于知識圖譜的工控網絡安全構建

2.1 知識圖譜結構定義

ICSKG 的本體結構擁有多種維度，相較于其他知識圖譜技術，具有異形的主體結構。研究用G=（V，E）表示ICSKG 的主體結構，結構中具有較多的節點，將這些節點的集合通過V={X|X∈{S，V，A}}表示，節點之間形成邊對邊的集合記作E={|P（u，v）∧（u，v∈V）}。 其中，S、V 以及A 分別表示場景、漏洞、資產的維度；不同節點之間具有一定的關聯屬性，研究通過P（u，v）表示其屬性。 場景維度的差異性決定了信息的差異性，并且各維度之間具有一定的關聯，其結構如圖1 所示。

圖1 I CSKG結構示意圖

圖1 中，EPIC 網絡中的資產信息、 資產布局情況以及網絡通信方式均屬于場景維度S； 而漏洞維度V 中包含各種漏洞信息，如CWE、CAPEC 等，同時展示了漏洞信息之間的關聯性；企業使用設備的產品型號、廠商信息等均屬于資產維度A。 S 中的資產信息、A 中的產品信息以及S 的漏洞編號信息是3 種維度聯系的重要信息。 值得強調的是，漏洞標號覆蓋了ICSA 和CVE 兩大系統。 研究者可以利用這些弱點來分析相應的操作系統和軟硬件， 并將它們作為新的設計理念的范例進行補充。 通過對這些數據進行分析，可以獲取相關信息和洞察，并對其進行深入研究。 此外，漏洞標號還涵蓋其他信息，如漏洞具體信息，名稱、表征方式以及鏈接方式等，這些信息雖然未在研究的實體結構中出現，但同樣占有重要的地位。 研究構建的工控網絡安全，其中，主體結構的概率以及關系具有重要的作用。 研究用三元組的形式對兩個不同概念的關系進行敘述，具體方式為。

2.2 實體及屬性抽取

每個本體概念都對應了一項安全實體實例以及相關屬性信息， 為了獲取概念對應信息則需要通過實體抽取與屬性抽取完成。 網絡安全實體的命名方式需遵循規定的格式要求，其中，漏洞編號、攻擊信息以及CPE 信息等均屬于網絡安全實體的范疇。 研究針對命名方式提出一種基于規則的實體與屬性抽取方法， 該方法能幫助主體結構對漏洞庫中非結構化字段的實體與屬性信息進行提取，方法流程示意圖如圖2 所示。

圖2 實體與屬性抽取流程示意圖

圖2 中能看出， 抽取流程首先對非結構化字段進行解析，解析的字段會產生相應的信息以及對應的實體，研究則制定對應規則，再結合正則匹配的方法，將解析的內容與實體進行對應。 研究從S、A、V 三個維度出發，對獲取實體的屬性信息進行相關闡述。 將EPIC 網絡中資產信息作為實體，那么該網絡的對應關系則是。在ICSKG 的場景維度S 中，資源的布局和網絡交互被視為通信關系，并構成一個三元事實，在這種情況下，通信（Comm）關系表示從頭部到尾部實體的單向通信。 頭實體中的CPLC 作為重要PLC 控制器，控制了多個階段的PLC，并且它們之間存在通信關系。 從上述關系中進行分析，其布局方式均由PLC 控制器對IED 進行控制，模型則可通過控制IED 實現斷路器的控制狀態， 這樣的方式能有效選擇電路的電力來源。 從上述控制關系不難看出，電源供應的控制屬于一環接一環，當其中某一環被攻擊入侵時都會造成電源中斷。

半結構化數據的非結構化字段中隱藏了較多的實體與屬性信息，尤其對于資產維度或漏洞維度而言。 被隱藏的信息主要包括漏洞描述與CPE 等字段，一般情況下，每個字段的命名方式均是統一的。 因此，利用CPE 的命名方式能直接獲取對應的信息，包括操作系統、軟硬件等信息。 通過漏洞進行表征的信息中還有多種有效數據，如實例信息、產品基本信息以及攻擊行為等。 為使獲取的數據能通過自定義匹配規則進行匹配，還需要對獲取的數據進行清洗與篩選。

3 關系抽取

3.1 語料庫構建

研究為對更多的三元組進行識別， 在實體抽取任務中進行關系抽取任務， 關系抽取能使構建的知識圖譜具有更好的完整性。 關系抽取的語料庫構建，研究以遠程監督的方法為基礎，將漏洞庫中的漏洞描述信息作為數據來源。 當前存在的知識庫三元組，在遠程監督方法下，標注句子出現實體對，那么該句的關系將被標注。 例如，三元組的形式為，實體對為，那么r 是句子的關系標注。 根據上述匹配方法，研究將漏洞庫的實體進行匹配， 獲取了19 949 條安全實體關系實例，并且實例共被標注了7 種關系。研究隨機選取16 047 個句子作為模型的訓練集， 其中包含實體對3 949 個， 剩余3 901條安全實體關系實例作為測試集，包含實體對887 個。

3.2 參數設置

遠程監督關系抽取模型是以ResPCNN-ATT 進行構建的，研究在TensorFlow 框架中進行相應的優化，在模型的卷積層結構中使用Dropout 達到正則化約束的目的， 進而得到ResPCNN-ATT 關系抽取模型。 模型在訓練中，其相似度計算由交叉熵損失函數進行計算，并且最小化損失函數通過Adam方法進行優化。 抽取任務中，相關參數設置具體如下：窗口大小設置為3； 神經網絡中的隱藏層神經元個數設置為230 個；模型迭代次數設置為60 次； 模型學習率大小設置為0.01；模型隨機失活率大小設置為50%； 位置向量與詞向量維度分別設置為5、50。

3.3 評價指標

研究對基于知識圖譜的工控網絡安全的抽取任務進行性能驗證， 其性能通過P-R 曲線、AUC 值以及平均準確率指標進行判斷。 P-R 曲線是反映精確率與召回率關系的曲線，曲線橫坐標為召回率R，曲線縱坐標則是精準率P；平均準確率是反映信息檢索結果的評價指標。 精準率與召回率的計算方式具體如式（1）所示。

式（1）中，TP 為真陽率，即測試樣本在實際類別與預測類別均為正例的數量；FP 為偽陽率，即測試樣本實際為負例而預測為正例的數量；TN 為真陰率，即測試樣本實際與預測均為負例的數量；FN 為偽陰率，即測試樣本實際為正例而預測為負例的數量。 AUC 值是接受者操作特征（ROC）曲線所圍成的面積大小，通常情況其值越大則表明模型性能越好。 ROC 曲線能反映靈敏度與特異度之間的關系，曲線的橫坐標為特異度，曲線的縱坐標為靈敏度。

3.4 實驗結果分析

實驗是經過OpenNRE 框架實現，研究將ResPCNN-ATT應用至OpenNRE 集成關系抽取算法。 此次實驗在構建的工控網絡安全實體關系語料庫中進行性能驗證， 因試驗中的數據集的局限性，研究將模型結構深度分別設置為3 和5，以兩種深度的模型進行對比實驗。 研究以不同數量的殘差卷積塊來決定模型深度，其結果如圖3 所示。

圖3 Res PCNNN- ATT模型的P- R 曲線結果

圖3 中，模型深度為3 時，模型的精準率整體隨召回率的增加而減少，其中召回率在0.05~0.10 時，精準率得到小幅度提升。 召回率達到0.20 時，P-R 曲線結果逐漸趨于穩定。 模型深度為5 時，模型的精準率整體變化趨勢同樣隨召回率增加而降低，相較于深度為3 的模型，其精準率整體具有較好的提升。研究利用測試集對訓練好的模型進行性能驗證，其結果見表1。

表1 模型在測試集中準確率和AUC值結果

表1 表示研究構建的模型在測試集中的性能結果。 其中，模型深度為3 時，模型預測的最高精度為0.634 8，平均精度為0.518 3，AUC 值為0.238 8。 模型深度為5 時，模型預測的最高精度為0.654 6，平均精度為0.559 7，AUC 值為0.245 4。 實驗結果表明，研究構建的模型均具有較好的預測結果，能在工控網絡安全體系中進行實際應用。

3.5 工控網絡安全知識圖譜應用

上述方法中構建了一個具有異性結構的工控安全知識圖譜，現對其進行應用分析，即基于ICSKG 的控工網絡安全查詢以及可視化分析， 通過使用知識地圖查詢和可視化分析工業控制系統的安全狀況，可以快速確定故障發生的資源，并更好地了解可能出現的問題資源。 基于這些信息，可以利用資源的知識快速修復失效資源的弱點，并提前警示潛在風險資源。此外，該方法還能直觀、清晰地展示資產、漏洞、威脅以及軟件與硬件之間的聯系，為企業的日常維護與管理提供便利。

4 結論

研究進一步探討了工業控制網絡安全領域中的知識圖譜建設問題， 在工控信息系統中進行了本體論的構建， 包括資產、場景和漏洞3 個維度。 其中，從漏洞和場景兩個維度中提取知識是建立知識圖譜的關鍵問題之一。 研究首先對半結構化的數據進行了分析，并從中抽取出了實體、屬性等信息。 其次，在此基礎上，利用ResPCNN-ATT 方法，對具有漏洞特征的半結構數據進行關聯提取， 并且通過實驗驗證該模型在工控網絡安全中的預測性能。