基于知識圖譜的工業(yè)物聯(lián)網安全本體建模及實現

張莉，王小龍，馬肇云，譚坤

山東省信息技術產業(yè)發(fā)展研究院（中國賽寶（山東）實驗室），山東濟南，250014

0 引言

工業(yè)物聯(lián)網將傳感器技術、現代信息技術、通信技術與智能分析技術深度賦能工業(yè)生產，有效提高了制造效率和產品質量[1]，降低生產能耗與供應鏈成本，使得傳統(tǒng)工業(yè)逐漸向智能制造發(fā)展延伸。其技術體系中工業(yè)物聯(lián)網終端負責實現工業(yè)設備、生產運營數據信息的提取、感知收集。隨著工業(yè)物聯(lián)網的發(fā)展，工業(yè)物聯(lián)網終端已經成為工業(yè)物聯(lián)網安全的薄弱環(huán)節(jié)，例如工業(yè)控制系統(tǒng)（ICS，industrial control system），其主要功能為實現設備自動化控制與監(jiān)控[2]，通常在處于封閉式的內網運行，版本更新緩慢、漏洞補丁滯后。隨著工業(yè)物聯(lián)網逐漸向開發(fā)性網絡發(fā)展時，ICS與外部網絡互聯(lián)互通，將面臨更多安全問題，同時因為安全問題產生的后果也越來越嚴重，例如2018年CISO交換機漏洞導致俄羅斯和伊朗基礎設施遭到攻擊，2019年委內瑞拉電力系統(tǒng)因物聯(lián)設備漏洞導致大面積停電，2020年Ripple20漏洞致使數億物聯(lián)網設備存在被攻擊風險[3-4]。由此可見，工業(yè)物聯(lián)網作為國家的重要基礎設施，其安全問題日益凸顯。解決工業(yè)物聯(lián)網安全問題的首要問題是認知工業(yè)物聯(lián)網安全，知識圖譜作為圖模型將知識或數據加以關聯(lián)，能夠從多源異構數據中實現知識的描述和推理，在工業(yè)物聯(lián)網安全領域得到了大量應用[5-6]。郭軍軍等[7]基于知識圖譜提出了軟件安全漏洞構建方法，通過BiLSTM-CRF模型完成了本體實體識別。路松峰[8]基于知識圖譜構建了數控裝備信息模型，解決了數控裝備工業(yè)互聯(lián)數據采集的安全性問題。Jia等人[9]構建了包含多種資產類型的網絡安全本體模型，建立了網絡安全知識庫。本文在分析工業(yè)物聯(lián)網安全風險的技術上，構建工業(yè)物聯(lián)網知識圖譜本體架構，并設計工業(yè)物聯(lián)網知識圖譜架構過程。選取合適的實體、屬性和關系抽取方法，推理本體三元組數據，并將其存儲于圖數據庫，基于圖數據庫實現工業(yè)物聯(lián)網的安全知識圖譜可視化。

1 工業(yè)物聯(lián)網安全風險分析

工業(yè)物聯(lián)網安全風險是指工業(yè)物聯(lián)網系統(tǒng)、網絡、設備、終端受到網絡攻擊發(fā)生的可能性與其后果嚴重性的組合，分為已知風險和未知風險，其中已知安全風險指已經識別的安全漏洞、資產本身的默認口令、端口號、系統(tǒng)版本、協(xié)議等造成的風險、與人相關的維護、服務、管理等等相關的風險。未知風險是指當前尚不清楚或無法識別的風險，如系統(tǒng)設計開發(fā)技術導致的缺陷、0-dady漏洞、開源導致的未知漏洞、隨機性死鎖等。針對已知風險，目前軟件方面多采用修復系統(tǒng)漏洞和發(fā)布補丁的方式，進行系統(tǒng)或者組件升級修復；硬件方面通過加強安全設備，升級固件等方式提高系統(tǒng)安全性。對于未知風險，尚無有效的防范措施。相比于傳統(tǒng)的網絡，工業(yè)物聯(lián)網安全還面臨以下安全風險。

（1）工業(yè)物聯(lián)網終端設備安全風險。工業(yè)物聯(lián)網終端是面向工業(yè)環(huán)境，以傳感采集為目的，以數據處理為核心，以通信模塊傳輸為手段的特殊工業(yè)設備，其中包括RTU、PLC、IPC、IDE、工業(yè)交換機、工業(yè)路由器等。終端存在以下安全風險：第一類為物理因素導致的安全風險，大多數工業(yè)物聯(lián)網終端處于公共領域，不法分子通過電磁干擾設備對終端進行干擾，可使部分終端芯片進入初始化狀態(tài)，進而控制終端。第二類為無線網絡通信風險。工業(yè)物聯(lián)網通信層相比于傳統(tǒng)網絡，在復雜場景下（網絡信號一般，不合適局域網布線等）多采用無線通信手段解決網絡問題，其通信協(xié)議（RFID、Bluetooth、ZigBee、Wifi等）復雜且兼容性差，不同協(xié)議之間的通信有效性、可靠性、安全性都將存在安全風險。

（2）系統(tǒng)與組件集成安全風險。工業(yè)互聯(lián)網是將不用設備、系統(tǒng)數據實現統(tǒng)一集中，實現設備信息互聯(lián)，為工業(yè)互聯(lián)網提供信息、數據支持。工業(yè)物聯(lián)網終端所采用的運行環(huán)境、開發(fā)平臺通常具有多樣性、復雜性、兼容性差等特點。例如在工業(yè)物聯(lián)網終端系統(tǒng)運行多基于Windows和Linux系統(tǒng)，其架構不同，開發(fā)方式的差異性導致系統(tǒng)集成存在安全風險。此外，工業(yè)物聯(lián)網終端部分系統(tǒng)采用嵌入式Linux系統(tǒng)設計開發(fā)，其開源特性導致其帶來的安全威脅可能比較大。

工業(yè)物聯(lián)網環(huán)境下，需要將不同工廠環(huán)境下的設備（傳感器、終端、設備及軟件系統(tǒng)）集成互聯(lián)，實現數據感知，獲取更多實時、可靠的數據。數據的集成是關鍵，但是由于不同的設備的制造商其開發(fā)環(huán)境及平臺的不同，導致上述集成很難實現。為實現設備及企業(yè)數據的集成，在系統(tǒng)總體設計構架分析的基礎上，采用組件開發(fā)技術實現總線傳輸、傳感器數據采集、集成控制、輸出接口、上位機通信以及人機交互，進而實現物聯(lián)網數據采集和信息傳輸的集成。組件開發(fā)技術通過模塊化的程序開發(fā)技術，提高了應用軟件標準性、復用性，縮短了軟件開發(fā)周期，降低了開發(fā)費用。但是組件作為第三方軟件架構，獲取漏洞和修復補丁存在滯后性，另其開源特性也會使系統(tǒng)成為黑客關注的重點，存在安全高的安全風險。

（3）工業(yè)控制系統(tǒng)安全風險。工業(yè)控制系統(tǒng)是物聯(lián)網終端（PLC、工控機、ICS等）實現特定需求的復雜機電控制系統(tǒng)，由數據采集與監(jiān)視控制系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）和遠程測量與控制單元組成，可實現物聯(lián)網終端的監(jiān)測和控制。工業(yè)控制系統(tǒng)利用不同協(xié)議通過通信設備向終端（RTU、PLC、IPC、IDE、工業(yè)交換機、工業(yè)路由器、傳感器等）發(fā)送監(jiān)控和控制命令，實現斷路器開關、執(zhí)行器或邏輯控制器動作、傳感器數據上傳、傳輸等功能，由于傳統(tǒng)的ICS通常處于局域網內網，其系統(tǒng)軟件開發(fā)過程缺少用戶認證及權限管理、數據加密等安全保障。網絡層面終端利用不同的通信協(xié)議（Modbus、Profibus、IEC、EtherCAT等）與應用層實現通信，多種工控協(xié)議同樣存在各種安全漏洞。此外ICS開發(fā)因團隊、成本、資源的限制，系統(tǒng)開發(fā)以實現業(yè)務邏輯控制為主，多數系統(tǒng)缺少有效的安全防護手段，導致系統(tǒng)設備和軟件更新周期長。工業(yè)軟件系統(tǒng)、通信協(xié)議的多樣化及軟件開發(fā)缺少安全措施都使得工業(yè)控制系統(tǒng)面臨的安全威脅逐漸上升。

2 基于知識圖譜的工業(yè)物聯(lián)網安全本體架構

知識圖譜是利用圖模型將知識或數據加以關聯(lián)，旨在從多源異構數據中實現知識的描述和推理，整合孤立的數據信息。知識圖譜的基本組成單元為本體三元組，本體通過“實體-關系-實體”三元組或者“實體-屬性-屬性值”三元組表征了本體知識及其關系。知識圖譜通過三元組將知識表達為網狀的圖結構，便于知識表示、抽取、組織、檢索和推理。

知識圖譜技術架構方法分為自底向上和自頂向下兩種。自底向上的構建方法基于開放的數據源和案例庫，先利用實體抽取、關系抽取方法獲得本體的實體、關系和屬性，在此基礎上利用歸納法抽象出本體模型。而自頂向下的構建方法預先通過概念與概念間的關系描述，構建實體的本體模型，再基于本體模型從開放的數據源中利用信息抽取方法獲取實體、關系和屬性。工業(yè)物聯(lián)網安全涉及特定安全領域，對于知識的廣度、深度、粒度和質量有嚴格要求，需要抽象出完備的本體數據模型，因此，本文采用自頂向下的知識圖譜技術架構。

基于知識圖譜的工業(yè)物聯(lián)網安全本體架構通過抽取工業(yè)物聯(lián)網安全領域的知識，解決安全風險管理及安全應用問題，其架構主體包括工業(yè)物聯(lián)網安全領域知識抽取、知識融合和知識推理（如圖1所示）。工業(yè)物聯(lián)網安全知識圖譜本體架構過程：①分析工業(yè)物聯(lián)網安全數據源結構特性基礎上，針對工業(yè)物聯(lián)網安全需求，構建工業(yè)物聯(lián)網安全本體模型，并制定規(guī)則約束；②從數據源（文獻、案例、網絡資源及官方信息安全數據庫）中的多源異構數據中，選擇合適的實體抽取、關系抽取和屬性抽取方法，得到實體、屬性和關系三元組數據，按照既定的存儲規(guī)則處理數據，存儲到工業(yè)物聯(lián)網安全知識庫和案例知識數據庫中；③工業(yè)物聯(lián)網安全領域知識融合將工業(yè)物聯(lián)網安全知識庫的內容基于融合規(guī)則通過融合算法（實體對齊、實體鏈接、實體推演）評價知識的質量，降低知識理解的不確定性，挖掘領域知識的真值，并將高質量的知識更新到知識庫；④工業(yè)物聯(lián)網安全領域知識推理將已知知識庫的基礎上，利用傳統(tǒng)的知識推理、基于人工智能的知識推理機面向知識圖譜的知識推理方法，挖掘知識庫中隱性知識，擴充已知的工業(yè)物聯(lián)網安全領域知識庫。

圖1 工業(yè)物聯(lián)網安全知識圖譜本體架構

3 工業(yè)物聯(lián)網的安全知識圖譜構建

工業(yè)物聯(lián)網的安全知識圖譜屬于領域知識圖譜，本文將按照上節(jié)設計的工業(yè)物聯(lián)網安全本體架構過程，構建工業(yè)物聯(lián)網的安全知識圖譜。首先基于工業(yè)物聯(lián)網的安全風險分析的基礎上，從官方信息安全漏洞網站（CVE、NVD、CNVD、CNNVD等）獲取工業(yè)物聯(lián)網安全領域的相關信息，列出本體涉及工控安全領域中的元素、明確分類體系、定義屬性及關系、定義約束條件，建立工業(yè)物聯(lián)網的安全知識圖譜本體模型。

工業(yè)物聯(lián)網的安全知識圖譜可以表示為G=（E，R，S）,其中G表示知識庫；E={e1，e2，…，e|E|}表示G中的實體集合，實體集合共有|E|種；R={r1，r2，…，r|R|}表示G中的關系集合，關系共有|R|中。知識圖譜的構建通過知識抽取方法，獲得“實體-關系-實體”三元組或者“實體-屬性-屬性值”三元組，進而表征本體知識及關聯(lián)關系。

工業(yè)物聯(lián)網的安全知識圖譜本體構建過程如下。

（1）本體分析。通過分析得到工業(yè)物聯(lián)網的安全知識圖譜本體有資產（ICS、RTU、PLC、IPC、IDE、工業(yè)交換機、工業(yè)路由器）、資產布局及網絡通信、漏洞、缺陷列表、攻擊模式、補丁、工具、攻擊者等。

（2）根據本體基本信息確定其屬性，例如終端PLC，其屬性包括服務商為德國西門子，型號為S7-400，軟件版本為SIMATIC WinCC V7.5 SP2；缺陷列表的屬性包含缺陷分類編號、缺陷名稱、缺陷描述、常見后果、潛在緩解措施、檢測方法。

（3）用三元組＜Head，Relation，Tail＞具體描述已知本體的概念和關系。例如，＜服務商，model，產品（終端）＞表示產品的生產廠商；＜漏洞,Patch,補丁＞表示漏洞的補丁信息。

（4）建立工業(yè)物聯(lián)網的安全知識圖譜本體模型（如圖2所示）。

圖2 基于知識圖譜的工業(yè)物聯(lián)網安全本體模型

（5）實體及屬性抽取。通過網絡爬蟲從官方信息安全漏洞網站（CVE、NVD、CNVD、CNNVD等）獲取工業(yè)物聯(lián)網安全領域的相關信息數據，數據的主體內容包括設備資產，設備屬性、漏洞信息、缺陷列表及補丁信息等，是非結構化的多源異構數據，需要通過實體抽取及屬性抽取方法將其規(guī)范化。實體抽取是從采集的數據中自動識別并命名實體，本文采用經典的深度學習算法長短記憶網絡實現實體的抽取。屬性從本質上講依賴于本體，可以將屬性認知為實體的一種名詞性關系，將屬性抽取問題轉化為關系抽取。

（6）關系抽取。關系抽取目的是從多源異構數據中挖掘實體與實體之間的語義關系，現有關系抽取方法有監(jiān)督學習方法、無監(jiān)督學習方法和遠程監(jiān)督學習方法。本文采用無監(jiān)督學習算法SVM[10]實現工業(yè)物聯(lián)網安全知識圖譜本體關系抽取，該方法通過實體抽取過程獲得的實體樣本為依據，建立預先的實體對及其關系，通過搜索文本信息上下文，如果比對相似，則識別出實體對的類型，并將其作為潛在語義關系，利用聚類分析評價實體對之間的詞匯的相似性，標注實體合適的關系類型。

（7）知識圖譜存儲及可視化。整合實體、屬性及關系抽取方法獲得的本體三元組數據，利用圖數據庫Neo4j存儲三元組數據，進而將工業(yè)物聯(lián)網的安全知識圖譜可視化（如圖3所示），表征本體知識及關聯(lián)關系，為后續(xù)工業(yè)物聯(lián)網的安全應用需求建立基礎。

圖3 工業(yè)物聯(lián)網的安全知識圖譜局部圖

4 結論

本文針對工業(yè)物聯(lián)網安全問題，研究了工業(yè)物聯(lián)網的安全知識圖譜建模技術。通過分析工業(yè)物聯(lián)網安全風險，基于知識圖譜構建了工業(yè)物聯(lián)網安全知識圖譜本體架構，其構建主體包括工業(yè)物聯(lián)網安全領域知識抽取、知識融合和知識推理三大模塊。通過官方信息安全漏洞網站和工業(yè)物聯(lián)網安全領域案例，建立了工業(yè)物聯(lián)網的安全知識圖譜本體模型，確定了物聯(lián)網安全領域本體，定義了屬性及關系及其約束條件。選取了合適的實體、屬性和關系抽取方法，推理得到了本體三元組數據并將其存儲于圖數據庫，基于圖數據庫Neo4j實現了工業(yè)物聯(lián)網的安全知識圖譜可視化。