(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111331790.8 (22)申请日 2021.11.11 (71)申请人 北京计算机技 术及应用研究所 地址 100080 北京市海淀区永定路51号西 工业区96号楼 (72)发明人 吴桐　宋永立　党增江　高玫　 (74)专利代理 机构 北京凯特来知识产权代理有 限公司 1 1260 专利代理师 郑立明　陈亮 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/14(2022.01) H04L 41/142(2022.01) H04L 41/147(2022.01) G06F 16/28(2019.01) (54)发明名称 一种基于注意力机制的工业控制网络安全 风险评估方法 (57)摘要 本发明公开了一种基于注意力机制的工业 控制网络安全风险评估 方法， 首先 获取待测工业 控制网络中的各种数据信息， 并对其进行结构化 处理， 形成结构化数据库； 基于所述结构化数据 库定义工业控制网络节点， 建立所述节点之间的 关联关系， 形成包含工业控制网络多种信息的安 全风险评估图数据库； 采用注 意力机制建立面向 多种工业控制网络场景的风险评估模 型； 将安全 风险评估图数据库的数据输入建立的风险评估 模型中， 得出待测工业控制网络的关键要素和综 合风险评分， 实现对待测工业控制网络的安全风 险评估。 上述方法可以主动分析网络中存在的安 全隐患， 并根据分析结果采取适 当措施来降低网 络的安全风险， 并能采取合理的防护措施和修补 方法。 权利要求书2页 说明书5页 附图1页 CN 114629674 A 2022.06.14 CN 114629674 A 1.一种基于注意力机制的工业控制网络安全风险评估方法， 其特征在于， 所述方法包 括： 步骤1、 获取待测工业控制网络 中的各种数据信息， 并对所获取的数据信息进行结构化 处理， 形成结构化数据库； 其中， 所述结构化数据库是包括设备指纹库、 漏洞库、 流量库、 日 志库、 用户库、 安全 事件库、 威胁特 征库的工业控制网络风险评估基础数据库； 步骤2、 基于所述结构化数据库定义工业控制网络的节点， 建立所述节点之间的关联关 系， 形成包 含工业控制网络多种信息的安全风险评估图数据库； 步骤3、 采用注意力机制建立 面向多种工业控制网络场景的风险评估 模型； 步骤4、 将步骤2中安全风险评估图数据库的数据输入步骤3建立的风险评估模型中， 得 出待测工业控制网络的关键要 素和综合风险评 分， 实现对待测工业控制网络的安全风险评 估。 2.根据权利要求1所述基于注意力机制的工业控制网络安全风险评估方法， 其特征在 于， 在步骤1中， 所述各种数据信息包括资产信息、 数据流信息、 用户信息以及安全数据信 息， 具体是通过主动探测 和被动监听的手段来获取 各种数据信息， 其中： 采用主动探测的方式探查待测工业控制网络资产的软硬件数据， 包括设备厂商、 型号、 类型、 操作系统、 通信协议、 端口； 与待测工业控制网络中的安全 防护设备联动， 收集安全 防护设备相关的漏洞数据、 日 志数据、 安全策略数据； 监听流量数据， 对待测工业控制网络的数据流信息进行收集和统计； 定时采集访问控制系统、 运维系统， 获得用户权限数据、 身份认证措施与状态用户信 息。 3.根据权利要求1所述基于注意力机制的工业控制网络安全风险评估方法， 其特征在 于， 所述步骤2的过程具体为： 结合工业控制网络的资产设备信息， 定义以工业控制网络设备IP地址和工业控制网络 用户为核心的实体节点， 定义以漏洞、 威胁、 策略、 风险安全 事件要素为核心的虚拟节点； 基于所述结构化数据库中的设备指纹库、 用户库、 安全事件库， 刻画所定义节点的属 性， 并以流 量库和日志库为基础建立所述节点之间的关联关系； 然后采用Neo4j图数据库对包含工业控制网络多种信息的安全风险评估数据进行存 储， 将工业控制网络多种信息 分别对应到Neo4j图数据库的节 点、 关系、 属性构建块中， 形成 包含工业控制网络多种信息的安全风险评估图数据库； 其中， 节点对应工业控制网络的设备、 用户、 安全事件要素； 关系对应设备、 用户、 安全 事件要素之间的关联关系； 属性对应设备指纹信息、 用户信息和安全 事件信息。 4.根据权利要求1所述基于注意力机制的工业控制网络安全风险评估方法， 其特征在 于， 所述步骤3的过程具体为： 首先， 以步骤2形成的安全风险评估图数据库数据为基础， 建立初始属性图模型表示 为： G1＝<V,E,A>， 以获得模型的初始嵌入； 其中， V＝{v1,v2,…,vn}表示节点集合； E＝{(vi,vj)|vi,vj∈V且i≠j}表示边的集合； A ＝{a1,a2,…,ak}表示节点的k维属性集合； 每个节点vi∈V的属性表示为属性向量attri(vi) ＝[a1(vi),a2(vi),…,ak(vi)]；权　利　要　求　书 1/2 页 2 CN 114629674 A 2将安全风险评估图数据库中的节点、 关系、 属性数据根据所述初始属性图模型投射到 相同的特 征空间， 形成安全风险评估图； 在所述安全风险评估图的基础上， 将待测工业控制网络中设备和用户的所有一阶邻 居， 根据风险评估涉及的漏洞、 威胁、 风险、 安全措施关键要素， 分成不同的子图， 每个子图 中所有节点属于同一要素； 采用图注意力网络对所述安全风险评估图进行风险信 息聚合， 图注意力网络中的注意 力权重被表示为α(l) ij， 对于第l层网络而言， 定义节点为 其中 是注意力模型中 的节点向量， W(l)表示为一个可变化的线性变换参数， 节 点间的注 意力分数会根据 注意力权 重的不同进行迭代； 所述风险信息聚合包括要素内部信息聚合和要素之间风险信息聚合， 其中： 所述要素内部信 息聚合是将关键要素风险信 息进行分类聚合， 根据图注意力网络 中注 意力计算方法， 将要素内部节点的注意力定义为公式(1) ； 其中， 为输入到图注意力网络中的安全风险评估图的节点数据， N为节点的数量； F为 节点特征数量； j∈Ni， 为 的邻居节点； 根据图注意力网络 算法定义， a是一个单层前馈神 经网络， 是其权值向量的转换矩阵， 用于实施自注意力机制； W是一个权值矩阵； LeakyReLU为非线性激活函数； 对关键要素风险信息进行分类聚合， 对要素内部节点信息基于注意力权重进行聚合， 表示为公式(2)； 其中σ 为非线性激活参数； 该公式表示 通过聚合 的邻居节点 的信息， 得到新的输出， 表示 为 上述要素内部信 息聚合是将漏洞、 威胁、 风险、 安全措施多类关键要素风险信 息聚合成 为多个虚拟节点， 那么关键要素之间的聚合 就简化成了节点与节点之间的关系； 所述要素之间风险信 息聚合是将多个关键要素风险信 息进行统一 聚合， 最终形成工业 控制网络的风险信息参数， 具体分为两个步骤： 注意力权 重计算和风险信息聚合， 其中： 注意力权重计算以注意力计算方法为基础， 将注意力 权重定义为公式(3)， 表示由公式 (2)计算出的各个关键风险要素对用户/设备节点的注意力权 重大小； 风险信息聚合是以用户/设备节点为中心， 对多个要素子图进行风险信息聚合， 表示为 公式(4)， 最 终得出用户/ 设备的风险信息， 用户/ 设备的风险信息为所有关键风险要 素风险 信息的加权和； 权　利　要　求　书 2/2 页 3 CN 114629674 A 3