面向流程工业控制的双安融合知识图谱研究.pdf

1、h t t p:/ww wj s j k x c o mD O I:/j s j k x 到稿日期:返修日期:基金项目:国家重点研发计划(Y F B )T h i sw o r kw a ss u p p o r t e db yt h eN a t i o n a lK e yR&DP r o g r a mo fC h i n a(Y F B )通信作者:魏玉良(w e i y l h i t e d u c n)面向流程工业控制的双安融合知识图谱研究王敬张淼刘杨李昊霖李昊天王佰玲魏玉良哈尔滨工业大学(威海)计算机科学与技术学院山东 威海 (w a n g j i n g_ c o m)摘

2、要随着工业控制系统不断走向现代化和智能化,工业控制系统的安全问题日益凸显.然而,传统的工业控制系统往往仅关注信息安全或生产安全,不能同时兼顾两方面的安全问题.知识图谱作为一种结构化的数据表现形式,能够存储领域知识并建模知识之间的因果关系.现有研究大多使用知识图谱解决网络安全问题,鲜有研究将知识图谱用于解决工业控制系统的信息与生产安全问题.文中提出了一种面向流程工业控制系统的双安融合知识图谱构建方法,通过基于B E R T的命名实体模型和图对齐等技术,有效地从工控领域网络安全数据库和实际化工生产相关文档中提取了实体和关系,并构建了流程工业双安融合知识图谱.该知识图谱融合了化工生产流程特征和网络攻

3、击行为特征,能通过两种特征知识间的耦合关系为工控系统提供综合的网络安全和生产安全保障.关键词:知识图谱;工业控制系统;双安融合;知识图谱构建;网络安全;生产安全中图法分类号T P S t u d yo nD u a l s e c u r i t yK n o w l e d g eG r a p hf o rP r o c e s s I n d u s t r i a lC o n t r o lWANGJ i n g,Z HANG M i a o,L I UY a n g,L IH a o l i n g,L IH a o t i a n,WANGB a i l i n ga n dWE

4、 IY u l i a n gS c h o o l o fC o m p u t e rS c i e n c ea n dT e c h n o l o g y,H a r b i nI n s t i t u t eo fT e c h n o l o g y(W e i h a i),W e i h a i,S h a n d o n g ,C h i n aA b s t r a c t W i t ht h ed e v e l o p m e n to f i n d u s t r i a l c o n t r o l s y s t e m s,s e c u r i t

5、yi s s u e s i nt h e s es y s t e m sh a v eb e c o m e i n c r e a s i n g l yi m p o r t a n t H o w e v e r,t r a d i t i o n a l i n d u s t r i a l s a f e t ys y s t e m su s u a l l yf o c u so ne i t h e r i n f o r m a t i o ns e c u r i t yo rp r o d u c t i o ns a f e t y,t h u sf a i l

6、i n gt oc o n s i d e rb o t h i s s u e sa t t h es a m et i m e A ss t r u c t u r e dr e p r e s e n t a t i o no fd a t a,k n o w l e d g eg r a p h(K G)i sc a p a b l eo fh o s t i n gd o m a i n s p e c i f i ck n o w l e d g ea n dm o d e l i n gc a u s a l r e l a t i o n s h i p sa m o n gk

7、 n o w l e d g e H o w e v e r,m o s ts t u d i e sl e v e r a g eK Gt oh a n d l ec y b e r s e c u r i t y,w h i l er a r e l yp a ya t t e n t i o nt o i n f o r m a t i o ns e c u r i t ya n dp r o d u c t i o ns a f e t yp r o b l e m s i ni n d u s t r i a l c o n t r o l s y s t e m s T h i s

8、p a p e rp r o p o s e sa s e t o f c o n s t r u c t i o nm e t h o d s f o rd u a l s e c u r i t yK Gf o rp r o c e s s i n d u s t r i a l c o n t r o l s y s t e m s U s i n g t h e t e c h n i q u e so fn a m e de n t i t yr e c o g n i t i o na n dr e l a t i o ne x t r a c t i o n,i tb u i l

9、 d sal a r g en u m b e ro fd u a l s e c u r i t yk n o w l e d g et r i p l e sf r o mar e a l w o r l dp r o d u c t i o nc o r p u s T h eb u i l tK Gi n c o r p o r a t e sb o t h f e a t u r e so f c h e m i c a l i n d u s t r yp r o d u c t i o np r o c e s s a n dp o t e n t i a l n e t w o

10、 r ks e c u r i t yf l a w s,p r o v i d i n gc o m p r e h e n s i v es e c u r i t yg u a r a n t e e f o r i n d u s t r i a l c o n t r o l s y s t e mK e y w o r d s K n o w l e d g eg r a p h,I n d u s t r i a l c o n t r o l s y s t e m,D u a l s e c u r i t y,K n o w l e d g eg r a p hc o n

11、s t r u c t i o n,C y b e r s e c u r i t y,P r o d u c t i o ns a f e t y引言随着信息化和工业化的深度融合,现代工业控制系统正逐步向互联、开放和智能化的模式转变.这种转变在提升生产效率的同时,也伴随着更多信息接口的开放,使得工业控制系统连接到内部I T网络和外部互联网的能力增强.然而,这也为工业系统带来了新的安全挑战.在现代流程工业控制系统中,安全防护的重要性日益凸显.传统的工业安全防护体系大多基于通用安全威胁模型实现异常检测和边界防护等安全机制,缺乏对流程工业生产过程的特征挖掘,无法全面分析和防御涉及信息安全和生产安全

12、的攻击.同时,工业控制系统具备典型的信息物理融合系统(C y b e r P h y s i c a lS y s t e m,C P S)特征,需要综合考虑信息安全和物理安全.对于工业控制系统的安全问题,安全知识图谱是一种有效的解决方法.安全知识图谱是基于知识图谱技术的人工智能分支,能够描述客观世界中各种实体和概念之间的关系.它将隐形的安全关系转化为可计算的数据,并以可视化的形式展示出来,为决策制定、风险预判、事故分析和攻击识别等提供智能化辅助和自动化处理.为了建立面向工业控制系统的安全知识图谱,需要同时融合现代工业控制系统中网络信息安全和工业设备的生产特征.通过挖掘流程工业生产控制过程中潜

13、在的特征及其变化规律,并将工业特征与信息安全相融合,形成流程工业控制双安融合知识图谱,是构建现代流程工业控制防护体系的重要前提.例如,一个现代工业互联网网络一般由工业设备安全网络与云端业务系统共同组成,其示意图如图所示.在该网络中,工业生产设备运行过程中产生的各种数据如系统运行日志、操作记录和各种设备状态变更记录等信息被现场仪表记录,并传输到P L C(P r o g r a mm a b l eL o g i cC o n t r o l l e r)中.而云端业务系统可以远程操作工业生产设备,通过工业生产设备网络防火墙,与数据交换机加密通信数据流,实现外网与内网的数据传递.交换机是该网络的

14、信息交换枢纽,上位机对工业生产设备的控制信息流、P L C传输的工业生产设备运行信息,以及外网的云端数据通过交换机进行通信并交换数据.交换机则将系统日志、工业设备数据流量以及网络数据等的镜像数据传输到存储服务器中.图工业互联网网络拓扑图F i g I n d u s t r i a l I n t e r n e tn e t w o r kt o p o l o g yd i a g r a m本文旨在研究在流程工业控制领域中构建双安融合的工业系统防护体系的关键技术 双安融合工业安全知识图谱.具体来说,本文从数据库中获取既有的网络数据与工业生产设备数据流量,应用知识抽取技术从非结构化的日志流

15、量中提取实体与关系三元组,并构建内嵌工业特征安全与网络威胁知识的双安融合知识图谱.相关工作在流程工业控制系统领域,有一系列面向特定生产过程的工业知识图谱的构建方法和实例被陆续提出.C h e n等提出了一种基于本体论和知识图谱的多源数据建模方法,用于解决冷轧过程中的带钢断裂问题.该方法通过融合异构数据源,并将其转换为知识图谱形式,利用嵌入方法进行断裂建模,为冷轧生产提供了新的解决方案.L i a n g等采用一种基于自顶向下的方法来构建电力知识图谱,结合了领域专家知识和自然语言处理技术,提高了知识图谱的准确性和完整性;并且还提出了基于知识图谱的故障诊断方法,该方法能够快速准确地诊断发电机组故障

16、.W a n g等提出利用危害和可操作性分析报告(H a z a r da n dO p e r a b i l i t yA n a l y s i s,HA Z O P)来 构 建工 业安 全知 识 图谱,该方案结 合数 据 科学 和 工 业 设 计,为 不 同 书 写 形 式 的HA Z O P报告提供了统一的建模方案,实现了工业安全知识的整合.将构建方案划分为模式层、数据层和存储层,能够有效地从分析报告中抽取信息以构建知识图谱.E I B E C K等提出了一个基于本体论的平台,用于处理跨领域场景中的过程工业问题.该平台具备动态更新知识库、实现应用程序间互操作性和集成实时数据的能力,且

17、能够在过程工业领域实现更高效、更可靠的数据管理和决策支持.也有学者在网络安全知识图谱构建方面展开相关研究.J i a等提出了一种基于知识图谱的方法,利用机器学习、自然语言处理和图论等技术,自动化地从网络安全文本中提取实体和关系,构建结构化的网络安全知识库.同时,他们通过基于路径排序算法的推理方法,从知识图谱中推导新的安全规则,提升了网络安全的检测和预测能力.L i等 基于知识图谱构建了标准化的网络安全本体,并从知识获取、知识融合/抽取、知识存储、知识推理、知识更新个阶段介绍了网络安全知识库(C y b e rS e c u r i t yK n o w l e d g eB a s e,C S

18、 K B)的实现过程,实验证明,C S K B中存储的知识能够有效实现安全数据的规范化和集成化.知识图谱构建技术概述知识图谱(K n o w l e d g eG r a p h,K G)是结构化的语义知识库,用于描述概念及其物理世界中符号形式的相互关系.形式上,知识图谱通常可以被定义为G(E,R,T).其中G是一个带标记和有向的多重图;Ee,e,e|E|,Rr,r,r|R|分别是实体和关系的集合,|E|和|R|分别代表知识图谱中实体与关系的数量;T(e,r,e)|e,e E,rR 代表三元组集合,其中每一个三元组表示关系的事实r来自主实体e到尾部实体e.作为KG基本要素的实体主要包括集合、类

19、别、对象类型、事物类别(如组织、软件、技术、工具),而关系将实体连接起来形成一个图形结构.知识图谱构建有自底向上和自顶向下两种方法.自顶向下的方法需要先构建知识图谱的本体,本体相当于知识图谱的模板,由它定义图谱需要的实体类型,以及实体之间的关系.然后根据本体中确定的实体类型和关系生成知识图谱,这样构建的知识图谱冗余较少,但结构较为单一.与一般KG构建流程类似,安全知识图谱(C y b e r s e c u r i t yK n o w l e d g eG r a p h,C K G)的流程和框架遵循一般的KG结构.多源分散的领域数据可以在特定框架或预先设计下被聚集成多领域的网络安全本体,然

20、后利用信息提取和实体对齐技术将实体和关系从原始网络安全数据中分离出来.知识推理技术可以基于现有的K G生成新的知识以提供支持预测和推理任务.K G的一般构建流程如图所示.图知识图谱构建一般化流程F i g G e n e r a l i z e dp r o c e s s f o rk n o w l e d g eg r a p hc o n s t r u c t i o n王敬,等:面向流程工业控制的双安融合知识图谱研究流程工业安全知识图谱构建方法研究在本文构建的面向流程工业控制的安全知识图谱中,需要融合网络安全和工业设备安全两方面的数据,并且这两部分数据往往来源广泛,例如,网络安全数

21、据不仅可以从开源的攻击技术库、漏洞库等结构化数据中获取,一些半结构化/非结构化数据如文档和攻击报告中也蕴含了丰富的网络安全知识.如果采用自顶向下方法,这些知识将变得难以抽取.而采用自底向上方法构建知识图谱,可以融合机器学习、N L P等领域的实体抽取、关系抽取等方法,从不同数据源中抽取实体以及关系,方法较为灵活,构建的知识图谱语义较为丰富.为了构建同时融合网络安全知识与工业设备知识的安全知识图谱,本文首先需要从多元异构数据中抽取相关实体与关系,并自底向上构建双安融合知识图谱.安全知识图谱实体抽取命名实体是一个词或短语,可以清楚地从一组具有相似特征的其他语句中被分辨出来.在一般领域,命名实体有组

22、织、人物和地点名称等.在特定领域如网络安全领域,命名实体有技术、漏洞、工具和设备等.N E R(N a m e dE n t i t yR e c o g n i t i o n)是在文本中定位实体和将命名实体分类到预定义的实体类 别 的 过 程.给 定 一 系 列 输 入 值sw,w,wN,N E R需要输出一个元组列表Is,Ie,It,其中的每一项都代表在s中出现的一个实体.Is,N 和Ie,N 是一个命名实体开始和结束的下标,t是预先定义的实体种类.图展示了一个N E R系统从一个语句中识别出个命名实体的例子.图命名实体识别示例F i g E x a m p l eo fn a m e

23、de n t i t yr e c o g n i t i o n具体来说,首先对文本数据进行句子分割和字符分解,然后手动进行命名实体标注,构建一个包含已标注数据的语料库.最后,使用这个语料库中带有标签的数据对深度学习模型进行训练.在选择合适的模型时,基于B E R T的模型对于命名实体识别任务非常有效.B E R T是一个基于T r a n s f o r m e r 的预训练语言模型,在实体抽取任务中,其常常与训练模型如B i L S TM,B E R TC R F 等模型结合起来运用.首先进行网络安全图谱实体抽取.该部分主要需要从大量的非结构化文本中提取出带有网络安全语义知识的实体,并进

24、行知识对齐.为获得与流程工业工控网络相关的网络安全知识,首先需要获取一定量的带有安全知识语义的数据,如已知和新发现的漏洞、弱点、威胁和攻击模式等,以此来构建安全知识图谱.构建安全知识图谱的数据来源一般有漏洞数据库(C V E,CWE,C P E等),以及攻击者常见的的攻击模式枚举和分类(C A P E C),这样的数据一般由研究机构、政府机构以及行业专家,例如计算机应急响应小组(C E R T)和M I T R E来收集和整理.本文通过对比研究,发现代表攻击者的攻击行为数据语义信息较为丰富.如网络威胁情报(C y b e rT h r e a tI n t e l l i g e n c e,

25、C T I),同时包含了攻击方法、漏洞信息、弱点和资产等信息,是构建安全知识图谱比较理想的数据来源.图给出了从一段节选报告中提取攻击知识的示例.但从C T I报告这种非结构化数据中自动提取知识有两个关键问题:)C T I报告使用的是自然语言中的非正式格式,因此,识别结构化攻击行为需要分析非结构化C T I文本中的语义.)攻击知识分散在多个报告中.个别报告通常侧重于有限/不完整的攻击案例,因此很难获得全面的攻击知识.图C T I报告中的网络攻击知识F i g N e t w o r ka t t a c kk n o w l e d g e i nC T I r e p o r t为解决上述在知

26、识抽取中遇到的问题,本文使用一种结合攻击模板和图对齐算法的知识抽取方法.其中技术模板指使用单个技术从M I T R E抓取的技术示例中提取生成的攻击图,然后采用图对齐算法来识别从C T I报告中提取的具有预初始化模板的多技术图中的攻击技术.对齐多技术攻击图和技术模板后,可以使用模板中的攻击知识来增强对攻击知识的识别能力并利用来自C T I报告的丰富知识更新技术模板.最后方法会得到两个输出:)在技术层面上汇总和收集C T I报告中的攻击知识和模板.)在C T I报告中总结的完整攻击链和技术知识图谱.该方法允许模板中有一些实体含义不清晰的数据,即只要技术实际多次出现在不同的报告中,大多数报告均能被

27、正确解析.上述实体抽取方法架构图如图所示.图C T I报告知识抽取流程F i g K n o w l e d g ee x t r a c t i o np r o c e s s f o rC T I r e p o r t sC o m p u t e rS c i e n c e计算机科学V o l ,N o ,S e p 其次需要进行工业生产设备安全知识抽取,该部分主要涉及一种低资源N E R抽取方法.在工业场景中,会出现数据获取困难、数据质量不高、数据关联性不明确等问题.因此本文使用一种轻量级的、低资源的N E R模型来进行实体抽取的训练.该方法可以重新调节注意力并适应预先训练的权值

28、,并且可以更好地跨领域传递知识.现给出一个低资源的N E R数据集L(XL,YL),(XLr,YLr),rR.首先该方法基于B A R T N E R的框架,输入一个句子,输出为实体的序列,每个实体包括:实体s p a n在输入句子中的s t a r t i n d e x,e n d i n d e x,以及实体类型(t a g或i n d e x).在d e c o d e r端,输出的h i d d e ns t a t e与输入序列的编码和t a g序列的编码做点积,并经过s o f t m a x函数,转换为输入句子词表以及t a g词表中的概率分布,其中编解码器部分表达式如下;He

29、 nE n c o d e r(X),He nRnd()htD e c o d e r(He n:yti)()安全知识图谱关系抽取关系提取(R e l a t i o nE x t r a c t i o n,R E)是提取基于其相关上下文的两个给定实体之间关系的技术,是信息抽取和知识图谱构建的基本任务.R E数据集可以表示为DX,Y,其中X是实例列表,对于每个实例Xw,w,ws,wo,wn,R E的目标是预测实体ws和实体wo之间的关系yY(ws和wo简要代表所有实体).对于本文所涉及的安全知识图谱关系抽取,可采取与上述实体抽取类似的低资源关系提取方法,即在学习中加入P r o m p t

30、t u n i n g策略.该方法通过可学习的虚拟类型词和虚拟答案词进行知识注入的模板,来减少模板工程的工作量,并取代预定义规则.流程控制工业双安融合知识图谱 网络安全知识图谱构建网络安全知识图谱的构建数据来自M I T R E A T T&C K数据库包含的A T T&C Kf o r I C S.A T T&C Kf o r I C S是为了更好地理解、集中和传播关于工控技术领域攻击行为的知识的领域知识库.在I C S系统中,由于工业部门和供应商常常通过专有协议、硬件和软件等方式实现独有的部署和控制方式,使得与其相关的网络安全知识具有多样性和复杂性.A T T&C Kf o r I C S

31、对于在工控领域影响高级系统的行为记录包括以下几个方面:)基本过程控制系统;)过程控制;)操作界面和监控;)事实和历史数据;)告警信息;)安全仪表系统和保护系统;)工程和维护系统.该网站收集和存储了大量和攻击技术相关的结构化数据/非结构化数据.其中结构化数据如表所列,不仅包含一些实体类型,也包含关系类型.构建N L P训练任务通常需要选取一个预训练模型,从而降低训练成本,提高训练效率.本文采用s p a C y作为框架进行实验环境的搭建.s p a C y是一个工业级自然语言信息处理的框架,由于s p a C y内置了一些自然语言处理领域常用的预处理工具和训练模型,研究人员可以较快地获得一个基于

32、大量中文/英文预训练的且效果不错的模型.表数据集中的实体与关系数量T a b l eS t a t i s t i c so fd a t a s e t s名称实体/关系数量i n t r u s i o n s e t实体 S o f t w a r e实体 T o o l实体 T e c h n i q u e实体 u s e关系 r e v o k e d b y关系 a l i a s关系 基于上述实体抽取方法,对从M I T R EA T T&C K网站的参考文献中收集的,如来自C i s c oT a l o sI n t e l l i g e n c eG r o u p,M

33、 i c r o s o f tS e c u r i t yI n t e l l i g e n c eC e n t e r等组织的部分C T I报告进行了知识抽取.同时从M I T R EA T T&C K网站提到的与I C S相关的技术中抽取了一组技术实例,用来形成方法需要的基于 知 识 的 攻 击 技 术 模 板.实 验 结 果 如 表和 表所列.表技术模板知识抽取结果T a b l eK n o w l e d g ee x t r a c t i o nr e s u l t s f o r t e c h n i c a l t e m p l a t e s技术模板T o

34、p出现次数可执行网络文件注册表漏洞T C o mm o n l yU s e dP o r t T T r a n s i e n tC y b e rA s s e t T S c r i p t i n g T M o d i f yA l a r mS e t t i n g s T R e m o t eS y s t e mD i s c o v e r y 表C T I报告知识抽取结果T a b l eK n o w l e d g ee x t r a c t i o nr e s u l t s f o rC T I r e p o r tC T I报告实体依赖关系技术UN C

35、 /Z I N C UN C I R I D I UM/S a n d w o r m O c e a n L o t u s(A P T )C a m p a i g n E V T r o p i cT r o o p e r W o o d yR a t C l o u dA t l a s/I n c e p t i o n G r e y E n e r g y E n e r g e t i cB e a r A P T C a m p a i g n A P T C a m p a i g n 最终根据获取的结 构 化 数 据 与 抽 取 的 非 结 构 化 数 据知识,获得的网

36、络攻 击 行为 知识 图谱 如 图所示,可以 看到从中抽取了丰富的网络安全知识,例如相关的攻击软件D a n B o t、攻击组织HE XAN E以 及各 个 攻击 软 件 与 组 织 之间的关系.王敬,等:面向流程工业控制的双安融合知识图谱研究图部分网络安全知识图谱F i g P a r to fn e t w o r ks e c u r i t yk n o w l e d g eg r a p h 工业生产安全知识图谱构建本节对项目中取得的某描述煤气化生产过程的文档进行了实体抽取实验,实验中需要先对该文本资料进行数据标注,本节采用了B I O标注法来制作实验数据.构建好数据集后,使用

37、节所述方法进行实体抽取实验,采用模型参数如表所列.表模型训练参数T a b l eM o d e l t r a i n i n gp a r a m e t e r s超参数参数B E R T词向量维度 B E R T学习率 优化器A d a m最大句子长度 最大训练次数 B i L S TM隐层维度 实体标签e m b e d d i n g维度 根据表所设置的模型参数,对该描述流程工业生成过程的文档数据集进行关系抽取实验,实验结果如图所示.实验结果表明,在低资源场景下使用该方法进行实体抽取实验的准确率、召回率和F 分数均在 以上,说明可以有效地从文本数据中进行生产安全知识的实体抽取.最终

38、抽取的安全实体统计结果如表所列.图实体抽取训练结果F i g E n t i t ye x t r a c t i o nt r a i n i n gr e s u l t s表工业安全知识图谱实体统计T a b l eE n t i t ys t a t i s t i c so f i n d u s t r i a l s a f e t yk n o w l e d g eg r a p h名称数量i n t r u s i o n s e t S o f t w a r e T o o l T e c h n i q u e G r o u p 传感器 反应装置 开关或阀 控制器

39、操纵变量 测量变量 类似地,对数据集中的关系进行B I O标注,对同一描述流程工业生成过程的文档数据集进行关系抽取实验,实验结果如图所示,其中两条曲线分别表示训练损失率和验证过程中的F 值.图关系抽取训练结果F i g R e l a t i o ne x t r a c t i o nt r a i n i n gr e s u l t s实验结果表明,本文方法的F 值达 到了 左右,并且模型训练损失 曲线 平稳 下降,说明 抽 取效 果较 为稳 定,使用该方法可以 有效 地挖 掘非 结 构化 数据 中 的实 体关 系信息.最终从 文 档 中 抽 取 的 安 全 知 识 关 系 统 计 结

40、果 如表所列.C o m p u t e rS c i e n c e计算机科学V o l ,N o ,S e p 表工业安全知识图谱关系统计T a b l eR e l a t i o ns t a t i s t i c so f i n d u s t r i a l s a f e t yk n o w l e d g eg r a p h名称数量a l i a s m i t i g a t e s r e l a t e d t o r e v o k e d b y u s e s 包含 控制 测量 直接影响 通过实体抽取和关系提取,我们从化工领域文本数据中学习到了相关 知识,并

41、将 其加 入到 知 识图 谱中,由此 得到了内嵌工业特 征和 网络 安全 知 识的 双安 融 合工 业安 全知识图谱.化工生产安全相关的部分知识如图所示,可以发现所提方法成功抽取了从项目获得的典型生产过程 煤气化生产过程数据,获得了相关生产安全知识,如气化洗涤工艺中相关生产设备的实体和关系.图部分化工设备生产安全知识图谱F i g P a r to fk n o w l e d g eg r a p ho fp r o d u c t i o ns a f e t yf o r c h e m i c a l e q u i p m e n t s双安融合知识图谱推理挖掘分析传统的工业安全防护

42、体系存在多个缺陷,包括缺乏动态性、智能化、信息共享与全局决策等;并且,安全信息分散在不同系统和部门中,造成信息孤岛,阻碍了全面的安全分析.此外,传统防护体系局限于特定控制系统,缺乏对整个工业系统的全局视野.针对上述问题,本文构建了双安融合知识图谱,它具有全面性和智能分析的优势,综合考虑了信息安全和物理安全两个层面的特征和关系,涵盖了工业控制系统的信息层面和物理层面.将这些信息融合在一个知识图谱中,能够提供更全面、综合的安全分析和决策支持.结合人工智能和知识图谱技术,可以进行智能分析和推理,从知识图谱中发现潜在的安全威胁、漏洞和攻击模式,并且可以帮助发现和应对安全威胁,更好地应对现代工业系统面临

43、的复杂网络安全挑战.以本文构建的双安融合知识图谱为例,查询在工控系统中与网络安全和功能安全相关的常用端口,可以通过c y p h e r语句查询“m a t c h(n)w h e r en i dc o n t a i n sp o r tr e t u r nn”或“MA T CH(n:T e c h n i q u en a m e:C o mm o n l yU s e dP o r t)R E TUR Nn”来查 询I D包 含“p o r t”的 节 点,以及 含有 属 性“p o r t”的节点,获得一 系 列节 点相 关 信息.如与 工控 协 议相关的端口T C P:(MO D

44、 B U S),T C P:(S c o mm/I S O T S A P),T C P:(D N P),T C P:(E t h e r n e t/I P),以及设备层相关的端口,如节点“n a m e:t r i t o n,d e s c r i p t i o n:T r i t o nu s e sT r i S t a t i o n sd e f a u l tU D Pp o r t,t oc o mm u n i c a t ew i t hd e v i c e s”.基于类似的网络安全与工业安全知识之间的耦合关系,可以通过双安融合知识图谱构建更全面、智能的流程工业防护体

45、系.本文构建的双安融合知识图谱存储了丰富的安全知识并具备了一定推理能力,一方面,可以利用c y p h e r语句进行图数据库的快速检索,获取查询到的信息,帮助完善构建边界防护策略;另一方面,利用该知识图谱的推理能力,可以通过链接预测等方法辅助管理人员进行边界防护策略优化,挖掘潜在的网络安全和功能安全漏洞.结束语本文主要研究了使用自底向上方法构建的双安融合工业安全知识图谱.在网络安全知识方面,综合运用了来自A T T&C Kf o r I C S等机构的结构化数据和半结构化/非结构化数据,抽取了与工业网络安全相关的实体和关系.在生产安全知识方面,结合自然语言处理技术对描述流程工业生产过程的文档

46、进行低资源下的实体和关系抽取.最终将抽取的知识表示成图节点和边,存储在图数据库N e o j中.该知识图谱将为后续的行为识别和异常判定等防护技术提供支撑.王敬,等:面向流程工业控制的双安融合知识图谱研究未来,我们将改进知识抽取技术以获取更高质量的结构化数据,并进一步挖掘信息安全与物理安全之间的关系,构建更加健壮的用于流程工业防护体系的双安融合知识图谱.参 考 文 献C ON T IM,D ONA D E L D,TUR R I N F As u r v e yo ni n d u s t r i a lc o n t r o l s y s t e mt e s t b e d sa n dd

47、 a t a s e t sf o rs e c u r i t yr e s e a r c hJI E E EC o mm u n i c a t i o n sS u r v e y s&T u t o r i a l s,():D I N GD,HANQL,X I AN GY,e t a l As u r v e yo ns e c u r i t yc o n t r o la n da t t a c kd e t e c t i o nf o ri n d u s t r i a lc y b e r p h y s i c a ls y s t e m sJ N e u r o

48、 c o m p u t i n g,:WO L FM,S E R P AN O SD S a f e t ya n ds e c u r i t yi nc y b e r p h y s i c a ls y s t e m sa n d i n t e r n e t o f t h i n g ss y s t e m sCP r o c e e d i n g so f t h eI E E E :MA OS,Z HA OY M,C HE NJH,e t a l D e v e l o p m e n to fp r o c e s ss a f e t yk n o w l e d

49、 g eg r a p h:ac a s es t u d yo nd e l a y e dc o k i n gp r o c e s sJ C o m p u t e r s&C h e m i c a lE n g i n e e r i n g,:C HE NZY,L I UY,VA L E R A ME D I NAA,e t a l M u l t i s o u r c e dm o d e l l i n g f o r s t r i pb r e a k a g eu s i n gk n o w l e d g eg r a p he m b e d d i n g s

50、J P r o c e d i aC I R P,:L I AN GH,P E N GXJ,Z HA ON,e t a l A na p p r o a c ho f t o p d o w ne l e c t r i cg e n e r a t i o nk n o w l e d g eg r a p hc o n s t r u c t i o nJ I O PC o n f e r e n c eS e r i e s:E a r t ha n dE n v i r o n m e n t a lS c i e n c e,():WAN GZ,Z HAN GB,GA OD An o