[发明专利]一种基于知识图谱的工控网络安全态势量化评估方法

说明书

本发明涉及工控网络安全领域，尤其涉及一种基于知识图谱的工控网络安全态势量化评估方法，主要步骤包括：定义和构造网络安全知识图谱、定义网络安全知识图谱中节点的业务权重、根据攻击事件计算威胁指数，本发明所述基于知识图谱的工控网络安全态势量化评估方法使用知识图谱技术，基于图数据库，支持快速进行图计算，通过广度遍历和深度遍历，计算攻击事件带来的间接威胁，更全面评估风险，方便对未发生的威胁进行预警。

技术领域

本发明涉及工控网络安全领域，具体而言是一种基于知识图谱的工控网络安全态势量化评估方法。

背景技术

安全态势感知系统中很重要的一个功能点就是对网络安全态势进行量化评估，这也是态势感知系统的一个技术难点。

传统的网络安全态势评估量化打分方法，一般都是先基于单个资产进行安全评估，再根据资产的重要程度，对资产评分进行加权计算，得出网络的安全态势评分。单个资产进行评估时，一般是根据资产的漏洞进行弱点评分，有的会结合攻击信息进行威胁评估。

现有的算法不能有效的联合攻击、漏洞、网络拓扑进行综合评估，对威胁的真正评估不够准确。有些攻击只能针对单机生效，不能在网络中扩散，那它的威胁指数就要小一些。有些攻击可以有效的利用已有漏洞在网络中扩散，利用一台机器做跳板可能影响很多主机，这种攻击的威胁指数就要大一些。

如中国专利申请号为：CN201710234882.1的专利公布了一种基于知识图谱的网络安全动态预警方法。这个专利针对复杂异构环境的网络安全数据和领域知识进行知识图谱的构建后，使用面向网络安全领域的图查询方法进行目标信息的抽取，通过对安全数据的整理和分析，精确的描述最终得到目标信息。这个专利的重点是快速查询攻击事件，确定攻击事件涉及的目标。知识图谱中主要保存攻击源IP相关信息(地域、企业)、攻击目的IP相关信息(地域、企业)、攻击类型信息。该专利的知识图谱结构图如图1所示，显然这个专利不涉及威胁风险分析和安全态势评估。

又如中国专利申请号为：CN201810036765.9的专利公布了一种基于知识图谱的分布式安全事件关联分析方法。这个专利构造一个包括基础维(资产)、漏洞维、威胁维和报警事件维和攻击规则维五个维度的网络安全知识图谱，对安全事件多关联分析，可以减少误报，做到告警聚合准确识别。另外也重点介绍了该系统实现的分布式架构。该专利的架构图如图2所示，显然这个专利重点在于多条告警事件的关联分析，不涉及网络拓扑信息，不涉及攻击预测，不涉及整网的安全态势评估。

再如中国专利申请号为：CN201710050255.2的专利公布了一种基于攻击图的网络安全态势的量化评估方法，属于信息安全技术领域。具体为：步骤一、生成攻击图。步骤二、评估攻击图G中节点的重要度。步骤三、在步骤一操作的基础上，计算攻击图G中节点被渗透成功的最大概率。步骤四、得到网络安全态势评估值。这个专利使用了网络拓扑知识来综合评测安全态势，技术架构图如图3所示，该专利没有使用知识图谱技术，对攻击图的建模方案是比较复杂的理论模型：攻击图G＝(C₀∪C_d,T,E)，其中，C₀表示初始节点集合，C_d表示中间节点集合，T表示目标节点集合，E表示连接节点之间的有相弧集合。这个模型和知识图谱相比要复杂很多，实现起来比较困难。该专利在评估受攻击节点的重要度时使用了基于网页评分标准PageRank算法，该算法并不适用于工控网络，无法体现节点在业务上对工控生产的重要程度。另外因为该算法的图模型比较复杂，导致在计算攻击渗透成功率的算法上也比较复杂，难以被产品实现。

鉴于上述提到的传统安全态势评估方案以及相关专利中方案的不完备性，本专利提出基于知识图谱技术，融合网络拓扑、资产信息、漏洞库、攻击模型等知识，构建完整的网络安全知识图谱，基于整个网络的安全知识图谱，对整网的安全态势进行完整的量化评估，并进行攻击扩散预警。

本发明方案的一些专业术语解释：

攻击模式在本专利中参照KDD99的定义，分为4大类：