[发明专利]一种基于注意力机制的工业控制网络安全风险评估方法

权利要求书

1.一种基于注意力机制的工业控制网络安全风险评估方法，其特征在于，所述方法包括：

步骤1、获取待测工业控制网络中的各种数据信息，并对所获取的数据信息进行结构化处理，形成结构化数据库；其中，所述结构化数据库是包括设备指纹库、漏洞库、流量库、日志库、用户库、安全事件库、威胁特征库的工业控制网络风险评估基础数据库；

步骤2、基于所述结构化数据库定义工业控制网络的节点，建立所述节点之间的关联关系，形成包含工业控制网络多种信息的安全风险评估图数据库；

步骤3、采用注意力机制建立面向多种工业控制网络场景的风险评估模型；

步骤4、将步骤2中安全风险评估图数据库的数据输入步骤3建立的风险评估模型中，得出待测工业控制网络的关键要素和综合风险评分，实现对待测工业控制网络的安全风险评估。

2.根据权利要求1所述基于注意力机制的工业控制网络安全风险评估方法，其特征在于，在步骤1中，所述各种数据信息包括资产信息、数据流信息、用户信息以及安全数据信息，具体是通过主动探测和被动监听的手段来获取各种数据信息，其中：

采用主动探测的方式探查待测工业控制网络资产的软硬件数据，包括设备厂商、型号、类型、操作系统、通信协议、端口；

与待测工业控制网络中的安全防护设备联动，收集安全防护设备相关的漏洞数据、日志数据、安全策略数据；

监听流量数据，对待测工业控制网络的数据流信息进行收集和统计；

定时采集访问控制系统、运维系统，获得用户权限数据、身份认证措施与状态用户信息。

3.根据权利要求1所述基于注意力机制的工业控制网络安全风险评估方法，其特征在于，所述步骤2的过程具体为：

结合工业控制网络的资产设备信息，定义以工业控制网络设备IP地址和工业控制网络用户为核心的实体节点，定义以漏洞、威胁、策略、风险安全事件要素为核心的虚拟节点；

基于所述结构化数据库中的设备指纹库、用户库、安全事件库，刻画所定义节点的属性，并以流量库和日志库为基础建立所述节点之间的关联关系；

然后采用Neo4j图数据库对包含工业控制网络多种信息的安全风险评估数据进行存储，将工业控制网络多种信息分别对应到Neo4j图数据库的节点、关系、属性构建块中，形成包含工业控制网络多种信息的安全风险评估图数据库；

其中，节点对应工业控制网络的设备、用户、安全事件要素；关系对应设备、用户、安全事件要素之间的关联关系；属性对应设备指纹信息、用户信息和安全事件信息。

4.根据权利要求1所述基于注意力机制的工业控制网络安全风险评估方法，其特征在于，所述步骤3的过程具体为：

首先，以步骤2形成的安全风险评估图数据库数据为基础，建立初始属性图模型表示为：G₁＝V,E,A，以获得模型的初始嵌入；

其中，V＝{v₁,v₂,…,v_n}表示节点集合；E＝{(v_i,v_j)|v_i,v_j∈V且i≠j}表示边的集合；A＝{a₁,a₂,…,a_k}表示节点的k维属性集合；每个节点v_i∈V的属性表示为属性向量attri(v_i)＝[a₁(v_i),a₂(v_i),…,a_k(v_i)]；

将安全风险评估图数据库中的节点、关系、属性数据根据所述初始属性图模型投射到相同的特征空间，形成安全风险评估图；

在所述安全风险评估图的基础上，将待测工业控制网络中设备和用户的所有一阶邻居，根据风险评估涉及的漏洞、威胁、风险、安全措施关键要素，分成不同的子图，每个子图中所有节点属于同一要素；

采用图注意力网络对所述安全风险评估图进行风险信息聚合，图注意力网络中的注意力权重被表示为α^(l)_ij，对于第l层网络而言，定义节点为其中是注意力模型中的节点向量，W^(l)表示为一个可变化的线性变换参数，节点间的注意力分数会根据注意力权重的不同进行迭代；

所述风险信息聚合包括要素内部信息聚合和要素之间风险信息聚合，其中：

所述要素内部信息聚合是将关键要素风险信息进行分类聚合，根据图注意力网络中注意力计算方法，将要素内部节点的注意力定义为公式(1)；其中，为输入到图注意力网络中的安全风险评估图的节点数据，N为节点的数量；F为节点特征数量；j∈N_i，为的邻居节点；根据图注意力网络算法定义，a是一个单层前馈神经网络，是其权值向量的转换矩阵，用于实施自注意力机制；W是一个权值矩阵；LeakyReLU为非线性激活函数；

对关键要素风险信息进行分类聚合，对要素内部节点信息基于注意力权重进行聚合，表示为公式(2)；其中σ为非线性激活参数；

该公式表示通过聚合的邻居节点的信息，得到新的输出，表示为

上述要素内部信息聚合是将漏洞、威胁、风险、安全措施多类关键要素风险信息聚合成为多个虚拟节点，那么关键要素之间的聚合就简化成了节点与节点之间的关系；

所述要素之间风险信息聚合是将多个关键要素风险信息进行统一聚合，最终形成工业控制网络的风险信息参数，具体分为两个步骤：注意力权重计算和风险信息聚合，其中：

注意力权重计算以注意力计算方法为基础，将注意力权重定义为公式(3)，表示由公式(2)计算出的各个关键风险要素对用户/设备节点的注意力权重大小；

风险信息聚合是以用户/设备节点为中心，对多个要素子图进行风险信息聚合，表示为公式(4)，最终得出用户/设备的风险信息，用户/设备的风险信息为所有关键风险要素风险信息的加权和；