CN117254980B - 一种基于注意力机制的工业网络安全风险评估方法及系统 - Google Patents

一种基于注意力机制的工业网络安全风险评估方法及系统 Download PDF

Info

Publication number
CN117254980B
CN117254980B CN202311536345.4A CN202311536345A CN117254980B CN 117254980 B CN117254980 B CN 117254980B CN 202311536345 A CN202311536345 A CN 202311536345A CN 117254980 B CN117254980 B CN 117254980B
Authority
CN
China
Prior art keywords
network
network equipment
industrial
fault
security risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311536345.4A
Other languages
English (en)
Other versions
CN117254980A (zh
Inventor
吕广彬
涂洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Maiwei Intelligent Technology Co ltd
Original Assignee
Jiangsu Maiwei Intelligent Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Maiwei Intelligent Technology Co ltd filed Critical Jiangsu Maiwei Intelligent Technology Co ltd
Priority to CN202311536345.4A priority Critical patent/CN117254980B/zh
Publication of CN117254980A publication Critical patent/CN117254980A/zh
Application granted granted Critical
Publication of CN117254980B publication Critical patent/CN117254980B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/0464Convolutional networks [CNN, ConvNet]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/065Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Physics & Mathematics (AREA)
  • Molecular Biology (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于注意力机制的工业网络安全风险评估方法及系统,涉及工业控制网络安全技术领域,该基于注意力机制的工业网络安全风险评估方法包括以下步骤:获取工业网络中的网络设备信息;对网络设备进行聚类分析,并构建网络设备互联关系图;根据构建的网络设备互联关系图对工业网络进行故障连锁反应分析;对工业网络的安全风险进行评估;将评估结果进行反馈至设备管理系统,并制定安全措施。本发明可以更准确地反映网络设备之间的复杂互联关系和可能出现的故障连锁反应,能准确地反映实际的安全风险程度,提高了工业网络的安全性,减轻了安全管理人员的工作负担,进而提高了工作效率。

Description

一种基于注意力机制的工业网络安全风险评估方法及系统
技术领域
本发明涉及工业控制网络安全技术领域,具体来说,涉及一种基于注意力机制的工业网络安全风险评估方法及系统。
背景技术
近年来,随着网络技术的进步和全球形势的发展,网络攻击已经从传统的互联网扩展到了工业控制网络,计算机系统的脆弱性导致网络安全事件频繁发生,公开的漏洞数量逐年攀升,使网络安全问题日益严重。数据网络与工业控制网络(ICS)的融合在不断加深,针对网络的攻击已经逐渐蔓延到了工业控制网络。因此,对ICS的网络进行安全状况分析和网络安全保护已经变得迫在眉睫,工业控制网络的网络攻击和保护问题已成为我们国家乃至全球关注的焦点。
工业控制系统包括监控和数据采集系统、分布控制系统等多种类型的控制系统。对ICS的网络攻击会导致严重的后果,比如控制系统与PLC的毁坏与瘫痪,人员伤亡、资产损失、环境污染和功能破坏都是可能出现的风险。因此,需要采取各种保护手段和策略来提高ICS的网络安全,以尽可能地降低安全风险,对工业控制网络进行动态的风险评估和安全保护可以有效地保护网络安全。动态风险评估能够提供可靠的评估信息,在ICS网络安全防护中发挥关键作用。
目前,传统的工业网络安全风险评估方法往往忽视了网络设备之间的复杂互联关系和故障连锁反应的影响,从而使得评估的结果往往无法准确地反映实际的安全风险程度,进而可能导致安全策略的制定不够精确,对整体网络安全产生严重影响。
针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中的问题,本发明提出一种基于注意力机制的工业网络安全风险评估方法及系统,以克服现有相关技术所存在的上述技术问题。
为此,本发明采用的具体技术方案如下:
根据本发明的一方面,提供了一种基于注意力机制的工业网络安全风险评估方法,该基于注意力机制的工业网络安全风险评估方法包括以下步骤:
S1、根据设备管理系统获取工业网络中的网络设备信息;
S2、根据获取的网络设备信息对网络设备进行聚类分析,并构建网络设备互联关系图;
S3、根据构建的网络设备互联关系图对工业网络进行故障连锁反应分析;
S4、基于注意力机制并根据构建的网络设备互联关系图以及故障连锁反应分析结果对工业网络的安全风险进行评估;
S5、将评估结果进行反馈至设备管理系统,并制定安全措施。
进一步的,根据获取的网络设备信息对网络设备进行聚类分析,并构建网络设备互联关系图包括以下步骤:
S21、根据获取的网络设备信息确定网络设备的分类指标;
S22、利用主成分分析法对网络设备的分类指标进行指标信息提取,得到综合指标;
S23、通过Ward系统聚类法对得到的综合指标进行聚类分析,将相同等级的设备聚类到同一类别,得到分类结果;
S24、根据得到的分类结果以及网络设备信息构建网络设备互联关系图。
进一步的,通过Ward系统聚类法对得到的综合指标进行聚类分析,将相同等级的设备聚类到同一类别,得到分类结果包括以下步骤:
S231、将工业网络中每个网络设备作为单独的类别,并计算每个类别的中心点;
S232、计算每个类别中心点之间的欧氏距离的平方,并将其作为两个类别之间的相似性度量,得到相似性度量集合;
S233、选出相似性度量最小的类别,并将他们合并在一起,得到新的类别,并更新类别的中心点;
S234、重新计算新类别与其他类别之间的距离;
S235、重复步骤S233和S234,直到达到预设的类别数量;
S236、将每一次的类别合并操作记录下来,形成一种树状结构,得到树状图;
S237、根据得到的树状图,选择使类别内部Ward距离大于预设阈值的节点作为切割点,并确定类别数量,得到分类结果。
进一步的,根据得到的分类结果以及网络设备信息构建网络设备互联关系图包括以下步骤:
S241、根据网络设备信息确定网络设备的通信数据和通信方式;
S242、根据得到的分类结果为每个网络设备分配其所属的类别标签;
S243、在预设的关系图中对每个网络设备创建节点,并根据分配的类别标签对节点进行标记;
S244、根据网络设备的通信数据和通信方式对创建的节点进行节点连接,并作为关系图中的边,得到网络设备互联关系图;
S245、根据图的互通性判断准则计算网络设备互联关系图的互通度。
进一步的,根据图的互通性判断准则计算网络设备互联关系图的互通度包括以下步骤:
S2451、根据网络设备互联关系图中节点和边的相互关系,得到图的邻接矩阵;
S2452、根据网络设备的通信数据和通信方式获取网络设备的传输流量,并计算网络设备互联关系图中每个节点的互通度因子;
S2453、将每个节点的互通度因子替换邻接矩阵中的元素,得到改进后的邻接矩阵,并计算任意两个节点之间的互通度;
S2454、根据任意两个节点之间的互通度计算网络设备互联关系图的互通水平。
进一步的,根据任意两个节点之间的互通度计算网络设备互联关系图的互通水平的计算公式为:
式中,R表示网络设备互联关系图的互通水平;
h ij 表示第i个节点和第j个节点之间的互通度;
n表示节点的数量。
进一步的,根据构建的网络设备互联关系图对工业网络进行故障连锁反应分析包括以下步骤:
S31、根据网络设备的属性和故障模式,设定故障模式和故障传递方式;
S32、利用构建的网络设备互联关系图以及设定的故障模式和故障传递方式,模拟故障的发生和传播过程,得到模拟结果;
S33、根据模拟结果,分析故障的连锁反应关系。
进一步的,基于注意力机制并根据构建的网络设备互联关系图以及故障连锁反应分析结果对工业网络的安全风险进行评估包括以下步骤:
S41、从网络设备中收集各类日志和配置信息并文本进行预处理,得到文本特征;
S42、通过预设的词袋模型对文本特征进行编码,得到初级词向量;
S43、基于网络设备互联关系图和故障连锁反应分析结果,识别出关键设备并增加注意力模块的层数;
S44、利用注意力机制学习与安全风险相关的设备特征的内在语义关联,得到动态词向量;
S45、将初级词向量和动态词向量输入至预设的卷积神经网络中,提取安全风险特征,并将提取的安全风险特征进行分类;
S46、通过Softmax函数将安全风险评分转换为风险等级,得到评估结果。
进一步的,利用注意力机制学习与安全风险相关的设备特征的内在语义关联,得到动态词向量包括以下步骤:
S441、基于深度学习建立初始化注意力模型;
S442、将初级词向量作为注意力模型的输入,并对注意力模型进行训练;
S443、在模型训练完成后,从注意力模型的注意力层中获取动态词向量。
根据本发明的另一方面,提供了一种基于注意力机制的工业网络安全风险评估系统,该基于注意力机制的工业网络安全风险评估系统包括:信息获取模块、关系图构建模块、连锁反应分析模块、安全风险评估模块及评估结果反馈模块,且信息获取模块、关系图构建模块、连锁反应分析模块、安全风险评估模块及评估结果反馈模块之间依次连接;
信息获取模块,用于根据设备管理系统获取工业网络中的网络设备信息;
关系图构建模块,用于根据获取的网络设备信息对网络设备进行聚类分析,并构建网络设备互联关系图;
连锁反应分析模块,用于根据构建的网络设备互联关系图对工业网络进行故障连锁反应分析;
安全风险评估模块,用于基于注意力机制并根据构建的网络设备互联关系图以及故障连锁反应分析结果对工业网络的安全风险进行评估;
评估结果反馈模块,用于将评估结果进行反馈至设备管理系统,并制定安全措施。
本发明的有益效果为:
1、本发明通过聚类分析网络设备信息和构建网络设备互联关系图,可以更准确地反映网络设备之间的复杂互联关系和可能出现的故障连锁反应,能准确地反映实际的安全风险程度,通过对获取的网络设备信息进行安全风险评估,并将评估结果实时反馈至设备管理系统,使得安全措施可以快速响应网络状态的变化,从而大大提高了工业网络的安全性,减轻了安全管理人员的工作负担,进而提高了工作效率。
2、本发明通过确定网络设备的分类指标,运用主成分分析法和Ward系统聚类法,可以将相同等级的设备聚类到同一类别,可以更好地理解和管理工业网络中的设备,从而提高网络的安全性,通过构建网络设备互联关系图,清晰地展示了设备之间的通信数据和通信方式,有助于更好地理解网络的拓扑结构和设备之间的连接关系,通过计算网络设备互联关系图的互通度,可以更准确地评估网络设备之间的相互依赖关系和可能出现的故障连锁反应,进而更准确地评估工业网络的安全风险。
3、本发明通过设定故障模式和故障传递方式可以帮助我们理解设备的故障模式以及它们如何影响其他设备和网络的运行,有助于预测可能发生的问题,并提供了优化设备和网络设计的洞见,模拟故障的发生和传播过程可以预见到故障发生后可能的影响,这对于制定应急计划和防止故障扩大至关重要,从而可以帮助我们更好地理解和管理网络设备的故障,降低故障对整个网络的影响,提高网络的稳定性和可靠性,减少停机时间,增加生产效率。
4、本发明通过利用注意力机制,该方法可以更精确地识别和学习与安全风险相关的设备特征的内在语义关联,从而提高风险评估的精确性,深度学习和神经网络技术,可以有效地处理大规模的网络设备数据,进而能够适应大规模工业网络的安全风险评估。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的一种基于注意力机制的工业网络安全风险评估方法的流程图;
图2是根据本发明实施例的一种基于注意力机制的工业网络安全风险评估系统的原理框图。
图中:
1、信息获取模块;2、关系图构建模块;3、连锁反应分析模块;4、安全风险评估模块;5、评估结果反馈模块。
具体实施方式
为进一步说明各实施例,本发明提供有附图,这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理,配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点,图中的组件并未按比例绘制,而类似的组件符号通常用来表示类似的组件。
根据本发明的实施例,提供了一种基于注意力机制的工业网络安全风险评估方法及系统。
现结合附图和具体实施方式对本发明进一步说明,如图1所示,根据本发明的一个实施例,提供了一种基于注意力机制的工业网络安全风险评估方法,该基于注意力机制的工业网络安全风险评估方法包括以下步骤:
S1、根据设备管理系统获取工业网络中的网络设备信息。
需要说明的是,设备管理系统用于监控和管理物理设备的性能和状态。这些设备可能包括各种类型的工业设备,如生产机器、传感器、控制器等,设备管理系统可以提供网络设备的详细信息,包括设备的通信数据、设备的通信方式、设备的状态和配置等,其中,网络设备信息包括通信数据、通信方式等等。
S2、根据获取的网络设备信息对网络设备进行聚类分析,并构建网络设备互联关系图。
作为优选的实施方式,根据获取的网络设备信息对网络设备进行聚类分析,并构建网络设备互联关系图包括以下步骤:
S21、根据获取的网络设备信息确定网络设备的分类指标。
需要说明的是,网络设备的分类指标通常是根据设备的功能、性能、用途等多方面信息确定的。这些分类指标可以包括但不限于以下几种:设备类型、通信方式、设备状态、通信数据等等。
S22、利用主成分分析法对网络设备的分类指标进行指标信息提取,得到综合指标。
需要说明的是,主成分分析法是一种常用的数据分析方法,主要用于减少数据的维度,同时尽可能地保留数据的主要特征。应用于网络设备分类指标的信息提取,主成分分析法可以将多个可能相关的分类指标转化为较少数的无关的综合指标,即主成分。
具体的,利用主成分分析法对网络设备的分类指标进行指标信息提取具体包括以下步骤:
由于不同的分类指标可能有不同的量纲和数值范围,首先需要对原始数据进行标准化处理,使得每个分类指标的平均值为0,标准差为1。
计算各个分类指标之间的协方差,形成协方差矩阵,协方差可以反映两个变量之间的总体误差大小,如果两个变量具有相同的增减趋势,那么它们的协方差就是正的,反之为负。
求解协方差矩阵的特征值和特征向量,特征值和特征向量是主成分分析的基础,特征值反映了对应特征向量方向上的数据变异程度,特征值越大,表示这个特征向量方向上数据的变异程度越大。
将特征值从大到小排序,选择前几个较大的特征值对应的特征向量,这些特征向量就是主成分。
S23、通过Ward系统聚类法对得到的综合指标进行聚类分析,将相同等级的设备聚类到同一类别,得到分类结果。
作为优选的实施方式,通过Ward系统聚类法对得到的综合指标进行聚类分析,将相同等级的设备聚类到同一类别,得到分类结果包括以下步骤:
S231、将工业网络中每个网络设备作为单独的类别,并计算每个类别的中心点。
需要说明的是,在计算每个类别的中心点(也称为簇的质心或聚类中心)时,通常会根据该类别中所包含的设备的特征值进行计算。对于每个设备(作为单独的类别),其类别中心点就是设备本身的特征值。
S232、计算每个类别中心点之间的欧氏距离的平方,并将其作为两个类别之间的相似性度量,得到相似性度量集合。
需要说明的是,计算所有类别中心点之间的欧氏距离的平方,就可以得到所有类别之间的相似性度量集合,欧氏距离的平方越小说明两个类别越相似。
S233、选出相似性度量最小的类别,并将他们合并在一起,得到新的类别,并更新类别的中心点。
S234、重新计算新类别与其他类别之间的距离。
S235、重复步骤S233和S234,直到达到预设的类别数量。
S236、将每一次的类别合并操作记录下来,形成一种树状结构,得到树状图。
需要说明的是,每一次的合并操作可以被记录下来,形成一种树状结构。在这个树状图中,叶子节点代表原始的网络设备,树枝代表类别的合并操作,树根代表所有设备合并成的最终类别。每一个非叶子节点都代表一个类别的合并操作,其高度可以代表合并时的相似度度量。
S237、根据得到的树状图,选择使类别内部Ward距离大于预设阈值的节点作为切割点,并确定类别数量,得到分类结果。
需要说明的是,Ward距离是聚类分析中的一种度量方法,主要用来测量合并类别时内部的平方差增加量,它可以有效地帮助我们选择最合适的类别数量,以实现类别内部的差异最小,类别之间的差异最大。
具体的,从树状图的根节点开始,检查其两个子节点。如果某个子节点的Ward距离大于预设阈值,则将该节点标记为切割点,并检查该节点的子节点。否则,继续检查下一个节点;当所有节点都被检查过后,所有被标记为切割点的节点就代表了最终的类别划分。
S24、根据得到的分类结果以及网络设备信息构建网络设备互联关系图。
作为优选的实施方式,根据得到的分类结果以及网络设备信息构建网络设备互联关系图包括以下步骤:
S241、根据网络设备信息确定网络设备的通信数据和通信方式。
需要说明的是,收集每个网络设备的基本信息,包括设备类型(如路由器、交换机、服务器等)、硬件配置、操作系统、安装的应用程序等,通过监测设备的网络流量,可以获取设备的通信数据和通信方式。
S242、根据得到的分类结果为每个网络设备分配其所属的类别标签。
需要说明的是,为每个类别创建一个唯一的标签。这个标签可以是数字,也可以是描述类别特性的词语或短语。对于每个网络设备,查找其在分类结果中所属的类别,并为其分配相应的标签。这可以通过在原始数据中添加一个新的字段或列来完成,这个字段或列存储设备的类别标签。
S243、在预设的关系图中对每个网络设备创建节点,并根据分配的类别标签对节点进行标记。
S244、根据网络设备的通信数据和通信方式对创建的节点进行节点连接,并作为关系图中的边,得到网络设备互联关系图。
需要说明的是,每个网络设备都被视为一个节点。节点的属性可以包括设备的基本信息(如设备类型、硬件配置、操作系统等)、通信数据和通信方式,如果两个设备之间存在通信,那么在这两个网络设备(节点)之间创建一条边。边的属性可以包括通信协议、通信数据等,将所有的节点和边集合起来,就形成了网络设备互联关系图。在这个图中,节点表示网络设备,边表示网络设备之间的通信关系。
S245、根据图的互通性判断准则计算网络设备互联关系图的互通度。
作为优选的实施方式,根据图的互通性判断准则计算网络设备互联关系图的互通度包括以下步骤:
S2451、根据网络设备互联关系图中节点和边的相互关系,得到图的邻接矩阵。
需要说明的是,网络设备互联关系图是一种网络拓扑图,它的节点代表网络设备,边代表设备之间的连接。可以通过分析图中节点和边的相互关系,得到图的邻接矩阵。邻接矩阵是一种表示图中节点间关系的矩阵,如果两个节点之间存在边,那么矩阵中对应的元素值为1,否则为0
S2452、根据网络设备的通信数据和通信方式获取网络设备的传输流量,并计算网络设备互联关系图中每个节点的互通度因子。
需要说明的是,互通度因子可以用来衡量网络中的设备之间的互连性。在网络图中,节点代表网络设备,边代表设备之间的通信关系。互通度因子可以定义为一个节点与其他节点连接的数量或强度。
S2453、将每个节点的互通度因子替换邻接矩阵中的元素,得到改进后的邻接矩阵,并计算任意两个节点之间的互通度。
需要说明的是,在改进后的邻接矩阵中,任意两个节点之间的互通度可以通过查找对应的矩阵元素来获得。这个值反映了这两个节点的通信强度。
S2454、根据任意两个节点之间的互通度计算网络设备互联关系图的互通水平。
作为优选的实施方式,根据任意两个节点之间的互通度计算网络设备互联关系图的互通水平的计算公式为:
式中,R表示网络设备互联关系图的互通水平,h ij 表示第i个节点和第j个节点之间的互通度,n表示节点的数量。
具体的,通过确定网络设备的分类指标,运用主成分分析法和Ward系统聚类法,可以将相同等级的设备聚类到同一类别,可以更好地理解和管理工业网络中的设备,从而提高网络的安全性,通过构建网络设备互联关系图,清晰地展示了设备之间的通信数据和通信方式,有助于更好地理解网络的拓扑结构和设备之间的连接关系,通过计算网络设备互联关系图的互通度,可以更准确地评估网络设备之间的相互依赖关系和可能出现的故障连锁反应,从而更准确地评估工业网络的安全风险。
S3、根据构建的网络设备互联关系图对工业网络进行故障连锁反应分析。
作为优选的实施方式,根据构建的网络设备互联关系图对工业网络进行故障连锁反应分析包括以下步骤:
S31、根据网络设备的属性和故障模式,设定故障模式和故障传递方式。
需要说明的是,对设备可能出现的故障模式进行分析。故障模式可能包括设备的功能失效、性能下降、配置错误等;分析故障模式时,可以考虑设备的工作环境、历史故障数据等因素;根据分析的结果,可以设定每个设备的故障模式;同时,也需要设定故障的传递方式,即设备出现故障后,这个故障如何影响到连接的设备;故障的传递方式可能包括设备间的直接影响和间接影响。
S32、利用构建的网络设备互联关系图以及设定的故障模式和故障传递方式,模拟故障的发生和传播过程,得到模拟结果。
S33、根据模拟结果,分析故障的连锁反应关系。
需要说明的是,根据模拟结果分析故障传播路径,理解设备故障如何传播至其他设备,并找出故障传播的关键节点,通过故障传播路径分析,确定在故障传播中起决定性作用的设备或网络部分。
具体的,通过设定故障模式和故障传递方式可以帮助我们理解设备的故障模式以及它们如何影响其他设备和网络的运行,有助于预测可能发生的问题,并提供了优化设备和网络设计的洞见,模拟故障的发生和传播过程可以预见到故障发生后可能的影响,这对于制定应急计划和防止故障扩大至关重要,从而可以帮助我们更好地理解和管理网络设备的故障,降低故障对整个网络的影响,提高网络的稳定性和可靠性,减少停机时间,增加生产效率。
S4、基于注意力机制并根据构建的网络设备互联关系图以及故障连锁反应分析结果对工业网络的安全风险进行评估。
作为优选的实施方式,基于注意力机制并根据构建的网络设备互联关系图以及故障连锁反应分析结果对工业网络的安全风险进行评估包括以下步骤:
S41、从网络设备中收集各类日志和配置信息并文本进行预处理,得到文本特征。
需要说明的是,从网络设备中收集各类日志和配置信息,包括设备的运行状态,错误报告,系统消息,配置更改等等。文本预处理包括文本清洗、文本标准化、分词、停用词移除等等。
S42、通过预设的词袋模型对文本特征进行编码,得到初级词向量。
需要说明的是,词袋模型是一种文本数据处理模型,用于提取文本的特征,它将文本看作是无序的词汇集合,不考虑语法和词序,每个词都独立计数;通过词袋模型可以将文本转化为向量。
S43、基于网络设备互联关系图和故障连锁反应分析结果,识别出关键设备并增加注意力模块的层数。
需要说明的是,基于网络设备互联关系图和故障连锁反应分析结果,识别出那些如果发生故障,可能会对整个网络产生重大影响的设备;这些设备可以被认为是关键设备,然后设计一个具有多层注意力模块的深度学习模型,对于识别出的关键设备,增加对应的注意力模块的层数,可以使模型更加关注这些设备的特征。
S44、利用注意力机制学习与安全风险相关的设备特征的内在语义关联,得到动态词向量。
作为优选的实施方式,利用注意力机制学习与安全风险相关的设备特征的内在语义关联,得到动态词向量包括以下步骤:
S441、基于深度学习建立初始化注意力模型。
需要说明的是,将循环神经网络作为基础模型,在模型中添加一个或多个注意力层。可以帮助模型专注于输入数据中最重要的部分;在训练模型之前,需要对模型的参数进行初始化,通常涉及为模型的各个层(包括注意力层)的权重参数赋予一些初始值,接着,为模型选择一个优化器和损失函数,然后编译模型以准备训练;优化器用于在训练过程中更新模型的参数,损失函数用于度量模型的预测与真实值之间的差异。
S442、将初级词向量作为注意力模型的输入,并对注意力模型进行训练。
需要说明的是,在训练过程中,模型会尝试学习如何分配注意力权重以最大化某些目标(如准确率);训练过程通常包括前向传播(计算预测和损失)、反向传播(计算梯度)和参数更新三个步骤。
S443、在模型训练完成后,从注意力模型的注意力层中获取动态词向量。
需要说明的是,为了得到每个设备特征的动态词向量,需要从注意力层的输出中提取出与该特征对应的注意力权重;然后,将这些权重进行聚合,得到每个设备特征的动态词向量。
S45、将初级词向量和动态词向量输入至预设的卷积神经网络中,提取安全风险特征,并将提取的安全风险特征进行分类。
需要说明的是,卷积神经网络通常由多个隐藏层组成,这些层能够学习并提取输入数据的有用特征,通过不同的输入层将初级词向量和动态词向量输入至卷积神经网络中,在卷积神经网络的最后一层(通常称为输出层)中,卷积神经网络将根据所提取的特征做出预测。
S46、通过Softmax函数将安全风险评分转换为风险等级,得到评估结果。
需要说明的是,Softmax函数是一种用于多分类任务的函数,它可以将一组数值转化为一组概率分布。在安全风险评估中,使用Softmax函数将安全风险评分转化为风险等级的概率。
首先,对每个安全风险级别计算一个分数,这个分数由卷积神经网络生成,反映了输入数据属于该级别的可能性。然后,应用Softmax函数将这些分数转化为概率,最后,选择具有最高概率的级别作为评估结果。这个级别是模型认为最有可能的安全风险级别。
具体的,通过利用注意力机制,该方法可以更精确地识别和学习与安全风险相关的设备特征的内在语义关联,从而提高风险评估的精确性,深度学习和神经网络技术,可以有效地处理大规模的网络设备数据,进而能够适应大规模工业网络的安全风险评估。
S5、将评估结果进行反馈至设备管理系统,并制定安全措施。
需要说明的是,将评估结果提交至设备管理系统。这个过程可能需要一些编程工作,例如使用API调用或数据库操作等;在设备管理系统中,需要有一部分程序或模块来解析接收到的评估结果;它应该能够理解评估结果并将其转化为对应的风险等级;基于解析后的风险等级,系统应该能够制定相应的安全措施;例如,如果风险等级很高,可能需要立即停止设备的运行;如果风险等级较低,可能只需要进行一些预防性的维护。
如图2所示,根据本发明的另一个实施例,提供了一种基于注意力机制的工业网络安全风险评估系统,该基于注意力机制的工业网络安全风险评估系统包括:信息获取模块1、关系图构建模块2、连锁反应分析模块3、安全风险评估模块4及评估结果反馈模块5,且信息获取模块1、关系图构建模块2、连锁反应分析模块3、安全风险评估模块4及评估结果反馈模块5之间依次连接;
信息获取模块1,用于根据设备管理系统获取工业网络中的网络设备信息;
关系图构建模块2,用于根据获取的网络设备信息对网络设备进行聚类分析,并构建网络设备互联关系图;
连锁反应分析模块3,用于根据构建的网络设备互联关系图对工业网络进行故障连锁反应分析;
安全风险评估模块4,用于基于注意力机制并根据构建的网络设备互联关系图以及故障连锁反应分析结果对工业网络的安全风险进行评估;
评估结果反馈模块5,用于将评估结果进行反馈至设备管理系统,并制定安全措施。
综上,借助于本发明的上述技术方案,本发明通过聚类分析网络设备信息和构建网络设备互联关系图,可以更准确地反映网络设备之间的复杂互联关系和可能出现的故障连锁反应,能准确地反映实际的安全风险程度,通过对获取的网络设备信息进行安全风险评估,并将评估结果实时反馈至设备管理系统,使得安全措施可以快速响应网络状态的变化,从而大大提高了工业网络的安全性,减轻了安全管理人员的工作负担,进而提高了工作效率;本发明通过确定网络设备的分类指标,运用主成分分析法和Ward系统聚类法,可以将相同等级的设备聚类到同一类别,可以更好地理解和管理工业网络中的设备,从而提高网络的安全性,通过构建网络设备互联关系图,清晰地展示了设备之间的通信数据和通信方式,有助于更好地理解网络的拓扑结构和设备之间的连接关系,通过计算网络设备互联关系图的互通度,可以更准确地评估网络设备之间的相互依赖关系和可能出现的故障连锁反应,进而更准确地评估工业网络的安全风险;本发明通过设定故障模式和故障传递方式可以帮助我们理解设备的故障模式以及它们如何影响其他设备和网络的运行,有助于预测可能发生的问题,并提供了优化设备和网络设计的洞见,模拟故障的发生和传播过程可以预见到故障发生后可能的影响,这对于制定应急计划和防止故障扩大至关重要,从而可以帮助我们更好地理解和管理网络设备的故障,降低故障对整个网络的影响,提高网络的稳定性和可靠性,减少停机时间,增加生产效率;本发明通过利用注意力机制,该方法可以更精确地识别和学习与安全风险相关的设备特征的内在语义关联,从而提高风险评估的精确性,深度学习和神经网络技术,可以有效地处理大规模的网络设备数据,进而能够适应大规模工业网络的安全风险评估。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于注意力机制的工业网络安全风险评估方法,其特征在于,该基于注意力机制的工业网络安全风险评估方法包括以下步骤:
S1、根据设备管理系统获取工业网络中的网络设备信息;
S2、根据获取的网络设备信息对网络设备进行聚类分析,并构建网络设备互联关系图;
S3、根据构建的网络设备互联关系图对工业网络进行故障连锁反应分析;
S4、基于注意力机制并根据构建的网络设备互联关系图以及故障连锁反应分析结果对工业网络的安全风险进行评估;
S5、将评估结果进行反馈至设备管理系统,并制定安全措施;
所述基于注意力机制并根据构建的网络设备互联关系图以及故障连锁反应分析结果对工业网络的安全风险进行评估包括以下步骤:
S41、从网络设备中收集各类日志和配置信息并文本进行预处理,得到文本特征;
S42、通过预设的词袋模型对文本特征进行编码,得到初级词向量;
S43、基于网络设备互联关系图和故障连锁反应分析结果,识别出关键设备并增加注意力模块的层数;
S44、利用注意力机制学习与安全风险相关的设备特征的内在语义关联,得到动态词向量;
S45、将初级词向量和动态词向量输入至预设的卷积神经网络中,提取安全风险特征,并将提取的安全风险特征进行分类;
S46、通过Softmax函数将安全风险评分转换为风险等级,得到评估结果;
所述利用注意力机制学习与安全风险相关的设备特征的内在语义关联,得到动态词向量包括以下步骤:
S441、基于深度学习建立初始化注意力模型;
S442、将初级词向量作为注意力模型的输入,并对注意力模型进行训练;
S443、在模型训练完成后,从注意力模型的注意力层中获取动态词向量。
2.根据权利要求1所述的一种基于注意力机制的工业网络安全风险评估方法,其特征在于,所述根据获取的网络设备信息对网络设备进行聚类分析,并构建网络设备互联关系图包括以下步骤:
S21、根据获取的网络设备信息确定网络设备的分类指标;
S22、利用主成分分析法对网络设备的分类指标进行指标信息提取,得到综合指标;
S23、通过Ward系统聚类法对得到的综合指标进行聚类分析,将相同等级的设备聚类到同一类别,得到分类结果;
S24、根据得到的分类结果以及网络设备信息构建网络设备互联关系图。
3.根据权利要求2所述的一种基于注意力机制的工业网络安全风险评估方法,其特征在于,所述通过Ward系统聚类法对得到的综合指标进行聚类分析,将相同等级的设备聚类到同一类别,得到分类结果包括以下步骤:
S231、将工业网络中每个网络设备作为单独的类别,并计算每个类别的中心点;
S232、计算每个类别中心点之间的欧氏距离的平方,并将其作为两个类别之间的相似性度量,得到相似性度量集合;
S233、选出相似性度量最小的类别,并将他们合并在一起,得到新的类别,并更新类别的中心点;
S234、重新计算新类别与其他类别之间的距离;
S235、重复步骤S233和S234,直到达到预设的类别数量;
S236、将每一次的类别合并操作记录下来,形成一种树状结构,得到树状图;
S237、根据得到的树状图,选择使类别内部Ward距离大于预设阈值的节点作为切割点,并确定类别数量,得到分类结果。
4.根据权利要求3所述的一种基于注意力机制的工业网络安全风险评估方法,其特征在于,所述根据得到的分类结果以及网络设备信息构建网络设备互联关系图包括以下步骤:
S241、根据网络设备信息确定网络设备的通信数据和通信方式;
S242、根据得到的分类结果为每个网络设备分配其所属的类别标签;
S243、在预设的关系图中对每个网络设备创建节点,并根据分配的类别标签对节点进行标记;
S244、根据网络设备的通信数据和通信方式对创建的节点进行节点连接,并作为关系图中的边,得到网络设备互联关系图;
S245、根据图的互通性判断准则计算网络设备互联关系图的互通度。
5.根据权利要求4所述的一种基于注意力机制的工业网络安全风险评估方法,其特征在于,所述根据图的互通性判断准则计算网络设备互联关系图的互通度包括以下步骤:
S2451、根据网络设备互联关系图中节点和边的相互关系,得到图的邻接矩阵;
S2452、根据网络设备的通信数据和通信方式获取网络设备的传输流量,并计算网络设备互联关系图中每个节点的互通度因子;
S2453、将每个节点的互通度因子替换邻接矩阵中的元素,得到改进后的邻接矩阵,并计算任意两个节点之间的互通度;
S2454、根据任意两个节点之间的互通度计算网络设备互联关系图的互通水平。
6.根据权利要求5所述的一种基于注意力机制的工业网络安全风险评估方法,其特征在于,所述根据任意两个节点之间的互通度计算网络设备互联关系图的互通水平的计算公式为:
式中,R表示网络设备互联关系图的互通水平;
h ij 表示第i个节点和第j个节点之间的互通度;
n表示节点的数量。
7.根据权利要求1所述的一种基于注意力机制的工业网络安全风险评估方法,其特征在于,所述根据构建的网络设备互联关系图对工业网络进行故障连锁反应分析包括以下步骤:
S31、根据网络设备的属性和故障模式,设定故障模式和故障传递方式;
S32、利用构建的网络设备互联关系图以及设定的故障模式和故障传递方式,模拟故障的发生和传播过程,得到模拟结果;
S33、根据模拟结果,分析故障的连锁反应关系。
8.一种基于注意力机制的工业网络安全风险评估系统,用于实现权利要求1-7中任一项所述的基于注意力机制的工业网络安全风险评估方法,其特征在于,该基于注意力机制的工业网络安全风险评估系统包括:信息获取模块、关系图构建模块、连锁反应分析模块、安全风险评估模块及评估结果反馈模块,且所述信息获取模块、所述关系图构建模块、所述连锁反应分析模块、所述安全风险评估模块及所述评估结果反馈模块之间依次连接;
所述信息获取模块,用于根据设备管理系统获取工业网络中的网络设备信息;
所述关系图构建模块,用于根据获取的网络设备信息对网络设备进行聚类分析,并构建网络设备互联关系图;
所述连锁反应分析模块,用于根据构建的网络设备互联关系图对工业网络进行故障连锁反应分析;
所述安全风险评估模块,用于基于注意力机制并根据构建的网络设备互联关系图以及故障连锁反应分析结果对工业网络的安全风险进行评估;
所述评估结果反馈模块,用于将评估结果进行反馈至设备管理系统,并制定安全措施。
CN202311536345.4A 2023-11-17 2023-11-17 一种基于注意力机制的工业网络安全风险评估方法及系统 Active CN117254980B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311536345.4A CN117254980B (zh) 2023-11-17 2023-11-17 一种基于注意力机制的工业网络安全风险评估方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311536345.4A CN117254980B (zh) 2023-11-17 2023-11-17 一种基于注意力机制的工业网络安全风险评估方法及系统

Publications (2)

Publication Number Publication Date
CN117254980A CN117254980A (zh) 2023-12-19
CN117254980B true CN117254980B (zh) 2024-01-23

Family

ID=89137275

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311536345.4A Active CN117254980B (zh) 2023-11-17 2023-11-17 一种基于注意力机制的工业网络安全风险评估方法及系统

Country Status (1)

Country Link
CN (1) CN117254980B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114629674A (zh) * 2021-11-11 2022-06-14 北京计算机技术及应用研究所 一种基于注意力机制的工业控制网络安全风险评估方法
CN116305168A (zh) * 2023-05-11 2023-06-23 北京双鑫汇在线科技有限公司 一种多维度信息安全风险评估方法、系统及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114629674A (zh) * 2021-11-11 2022-06-14 北京计算机技术及应用研究所 一种基于注意力机制的工业控制网络安全风险评估方法
CN116305168A (zh) * 2023-05-11 2023-06-23 北京双鑫汇在线科技有限公司 一种多维度信息安全风险评估方法、系统及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Cyber-Attacks on Remote State Estimation in Industrial Control System: A Game-Based Framework;Cong Chen等;Springer link;全文 *
工业控制系统组态软件安全研究;许子先;罗建;孟楠;赵相楠;;信息网络安全(07);全文 *

Also Published As

Publication number Publication date
CN117254980A (zh) 2023-12-19

Similar Documents

Publication Publication Date Title
CN110609759B (zh) 一种故障根因分析的方法及装置
US20230136352A1 (en) Method and system for predicting a day-ahead wind power of wind farms
CN114785666B (zh) 一种网络故障排查方法与系统
CN106570513A (zh) 大数据网络系统的故障诊断方法和装置
Kobayashi et al. Towards an NLP-based log template generation algorithm for system log analysis
CN113312447A (zh) 基于概率标签估计的半监督日志异常检测方法
CN111199361A (zh) 基于模糊推理理论的电力信息系统健康评估方法及系统
CN114254716B (zh) 一种基于用户行为分析的高危操作识别方法及系统
CN116070206B (zh) 一种异常行为检测方法、系统、电子设备及存储介质
CN116737510B (zh) 一种基于数据分析的键盘智能监测方法及系统
CN113064873B (zh) 一种高召回率的日志异常检测方法
Duan et al. OILog: An online incremental log keyword extraction approach based on MDP-LSTM neural network
CN115225336B (zh) 一种面向网络环境的漏洞可利用性的计算方法及装置
CN109993391B (zh) 网络运维任务工单的派发方法、装置、设备及介质
CN110011990A (zh) 内网安全威胁智能分析方法
CN114138759A (zh) 基于知识图谱推理的二次设备故障处理推送方法及系统
CN117675691A (zh) 路由器的远程故障监控方法、装置、设备及存储介质
CN117254980B (zh) 一种基于注意力机制的工业网络安全风险评估方法及系统
CN116485185A (zh) 基于比对数据的企业风险分析系统及方法
CN117034149A (zh) 故障处理策略确定方法、装置、电子设备和存储介质
CN113485878B (zh) 一种多数据中心故障检测方法
CN115587007A (zh) 基于RoBERTa的网络日志安全检测方法及系统
Liu et al. Valid probabilistic anomaly detection models for system logs
CN115189939A (zh) 一种基于hmm模型的电网网络入侵检测方法及系统
CN114579761A (zh) 信息安全知识实体关系连接预测方法、系统及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant