本发明属于网络安全领域,具体涉及一种工控系统网络安全评估知识图谱的构建方法及系统。
背景技术:
1、互联网技术不断发展,相应的网络安全风险也在不断增大。为了保护系统和网络免受威胁,已经有大量的攻击检测和防御体系被提出。然而,多数的攻击和防御方法之间缺乏联系,导致安全攻击出现时无法被抵御,根本原因是缺乏对于安全风险的主动防御能力。因此,结合实际的系统脆弱性和网络攻击途径,提出切实有效的安全评估方法,提升系统和网络的主动防范能力,是非常有必要的。
2、构建分析日志等非结构化信息的知识图谱可以为安全评估奠定基础,已有工作缺乏针对网络安全评估工作的知识图谱。具体的,现有技术中主要存在如下两个关键问题:
3、(1)已有的知识图谱存在扩展性差的问题,局限于固定的信息格式和数据,难以应对日益复杂的漏洞利用情形。
4、(2)已有的知识图谱往往面向攻击行为分析,缺乏与实际安全评估工作的联系,无法指引网络安全评估执行。
技术实现思路
1、为解决上述问题,本发明提供了一种工控系统网络安全评估知识图谱的构建方法及系统。首先,构建处理工作流来集成被广泛采用的网络安全异构数据源,并提供多样的知识图谱利用方式。其次,考虑威胁发现和安全评估的关联,提出风险评估字典来映射安全风险对应的评估方法。通过数据源处理工作流和风险评估字典共同实现可扩展的网络安全评估知识图谱。
2、本发明采用如下技术方案来实现的:
3、一种工控系统网络安全评估知识图谱的构建方法,包括:
4、获取已验证的漏洞和事件信息库作为信息源数据;
5、定义基于资源描述框架rdf的对象属性模型,基于对象属性模型将多种信息源数据进行映射;
6、采取etl思想构建数据处理引擎,实现对映射的多种信息源数据的兼容性进行处理,形成评估数据集;
7、将形成的评估数据集进行处理,提取与ics相关的检测对策类;
8、对所有的检测对策类按照相似性进行分类聚集;
9、将聚集后的分类映射到nist网络安全架构;
10、基于检测对策类和映射后的nist网络安全架构,同时结合与或门逻辑,完成网络安全评估知识图谱的构建。
11、本发明进一步的改进在于,获取已验证的漏洞和事件信息库作为信息源数据,信息源数据包含通用漏洞纰漏、通用漏洞评分系统、通用平台枚举、通用缺陷枚举以及攻击类型枚举和分类数据集。
12、本发明进一步的改进在于,定义基于资源描述框架rdf的对象属性模型,包括将多种信息源数据定义为对象,以及每个对象包含对应的关键信息作为其属性。
13、本发明进一步的改进在于,数据处理引擎包含数据采集、资源提取、链接验证和数据存储,并具备自主更新机制。
14、本发明进一步的改进在于,数据采集用于采集各个信息源网站提供的数据,数据格式包含csv、xml和json格式;
15、资源提取依据rml规范将信息源的多种数据格式转化为rdf格式,再将rdf数据转化为最终本发明的结构体;
16、链接验证通过通用的识别符链接不同信息源的数据,形成完整的漏洞利用和分析过程;
17、数据存储用于将处理好的数据存储到面向rdf数据的开源数据库系统中,并生成统计数据并生成统计数据。
18、本发明进一步的改进在于,提取与ics相关的检测对策类,是以攻击检测和应对策略为单位,攻击检测的分类有日志/数据分析、日志收集、审计策略和监测,应对策略分类有权限控制、账户审计、授权、防火墙、入侵监测、网络隔离和白名单,构成检测-对策二元组。
19、一种工控系统网络安全评估知识图谱的构建系统,包括:
20、数据获取模块,用于获取已验证的漏洞和事件信息库作为信息源数据;
21、数据映射模块,用于定义基于资源描述框架rdf的对象属性模型,基于对象属性模型将多种信息源数据进行映射;
22、数据处理模块,用于采取etl思想构建数据处理引擎,实现对映射的多种信息源数据的兼容性进行处理,形成评估数据集;
23、数据提取模块,用于将形成的评估数据集进行处理,提取与ics相关的检测对策类;
24、分类聚集模块,用于对所有的检测对策类按照相似性进行分类聚集;
25、分类映射模块,用于将聚集后的分类映射到nist网络安全架构;
26、知识图谱构建模块,用于基于检测对策类和映射后的nist网络安全架构,同时结合与或门逻辑,完成网络安全评估知识图谱的构建。
27、本发明进一步的改进在于,数据获取模块中获取已验证的漏洞和事件信息库作为信息源数据,信息源数据包含通用漏洞纰漏、通用漏洞评分系统、通用平台枚举、通用缺陷枚举以及攻击类型枚举和分类数据集。
28、本发明进一步的改进在于,数据映射模块中定义基于资源描述框架rdf的对象属性模型,包括将多种信息源数据定义为对象,以及每个对象包含对应的关键信息作为其属性。
29、一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序当被处理器执行时实现所述的一种工控系统网络安全评估知识图谱的构建方法的步骤。
30、与现有技术相比,本发明至少具有如下有益的技术效果:
31、本发明提供的一种工控系统网络安全评估知识图谱的构建方法,针对已有知识图谱可扩展性较差,无法有效应对复杂多变的网络攻击场景,并且多数工作围绕攻击行为检测,无法指引实际的工作开展的问题。本发明构建信息处理引擎将多元异构的网络安全数据进行格式化整合,基于nist网络安全架构映射切实的基于评估任务的攻击检测和应对策略图谱,有效指引工控系统网络安全评估工作执行。本发明提出的安全评估知识图谱为安全评估自动化提供基础,助力于提高工控系统自有的安全防范能力。
32、进一步的,本发明针对已有工作构建知识图谱时受限于公开数据集格式,难以兼容多种信息源。本发明定义对象属性模型,基于etl思想设计的数据处理引擎,整合cve、cvss等信息源的数据为rdf格式,并制订资源链接、有效性验证等策略,提升网络安全知识图谱的可扩展性;
33、本发明提供的一种工控系统网络安全评估知识图谱的构建系统,已有工作局限于攻击分析,无法满足安全评估需求。本发明结合工业控制系统和nist网络安全架构,将攻击检测和应对策略映射到安全评估实施架构,填补网络安全知识图谱针对工业控制系统网络安全评估领域的空白,助力于推动安全评估工作的实施和规范。
1.一种工控系统网络安全评估知识图谱的构建方法,其特征在于,包括:
2.根据权利要求1所述的一种工控系统网络安全评估知识图谱的构建方法,其特征在于,获取已验证的漏洞和事件信息库作为信息源数据,信息源数据包含通用漏洞纰漏、通用漏洞评分系统、通用平台枚举、通用缺陷枚举以及攻击类型枚举和分类数据集。
3.根据权利要求1所述的一种工控系统网络安全评估知识图谱的构建方法,其特征在于,定义基于资源描述框架rdf的对象属性模型,包括将多种信息源数据定义为对象,以及每个对象包含对应的关键信息作为其属性。
4.根据权利要求1所述的一种工控系统网络安全评估知识图谱的构建方法,其特征在于,数据处理引擎包含数据采集、资源提取、链接验证和数据存储,并具备自主更新机制。
5.根据权利要求4所述的一种工控系统网络安全评估知识图谱的构建方法,其特征在于,数据采集用于采集各个信息源网站提供的数据,数据格式包含csv、xml和json格式;
6.根据权利要求1所述的一种工控系统网络安全评估知识图谱的构建方法,其特征在于,提取与ics相关的检测对策类,是以攻击检测和应对策略为单位,攻击检测的分类有日志/数据分析、日志收集、审计策略和监测,应对策略分类有权限控制、账户审计、授权、防火墙、入侵监测、网络隔离和白名单,构成检测-对策二元组。
7.一种工控系统网络安全评估知识图谱的构建系统,其特征在于,包括:
8.根据权利要求7所述的一种工控系统网络安全评估知识图谱的构建系统,其特征在于,数据获取模块中获取已验证的漏洞和事件信息库作为信息源数据,信息源数据包含通用漏洞纰漏、通用漏洞评分系统、通用平台枚举、通用缺陷枚举以及攻击类型枚举和分类数据集。
9.根据权利要求7所述的一种工控系统网络安全评估知识图谱的构建系统,其特征在于,数据映射模块中定义基于资源描述框架rdf的对象属性模型,包括将多种信息源数据定义为对象,以及每个对象包含对应的关键信息作为其属性。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序当被处理器执行时实现权利要求1-6中任一项所述的一种工控系统网络安全评估知识图谱的构建方法的步骤。
