黃思蓓，張 磊

(上海工業(yè)自動(dòng)化儀表研究院有限公司，上海 200233)

0 引言

工業(yè)發(fā)展是國民經(jīng)濟(jì)相關(guān)產(chǎn)業(yè)不斷發(fā)展的前提條件和物質(zhì)基礎(chǔ)，決定著國家整體的科技和經(jīng)濟(jì)水平[1]。目前，我國工業(yè)互聯(lián)網(wǎng)還處于初級階段，即從工業(yè)設(shè)備上提取運(yùn)行數(shù)據(jù)并進(jìn)行多維度的數(shù)據(jù)分析，根據(jù)分析結(jié)果輔助管理者進(jìn)行決策[2]。隨著計(jì)算機(jī)、互聯(lián)網(wǎng)等技術(shù)的逐漸成熟，用戶數(shù)據(jù)經(jīng)過各類數(shù)據(jù)分析系統(tǒng)聚合分析，形成各類冗雜龐大的報(bào)表數(shù)據(jù)。對其內(nèi)在關(guān)聯(lián)進(jìn)行分析、獲取深度相關(guān)的信息、提煉成知識體系，已成為數(shù)據(jù)后發(fā)展時(shí)代更高的訴求。知識圖譜通過結(jié)合數(shù)學(xué)和圖形學(xué)的方法，利用當(dāng)下數(shù)據(jù)可視化手段進(jìn)行呈現(xiàn)，將數(shù)據(jù)升華為知識實(shí)體及其內(nèi)在的結(jié)構(gòu)關(guān)系，最終以知識圖譜的方式進(jìn)行可視化展示。該方法使得用戶可以從冗雜繁復(fù)的報(bào)表數(shù)據(jù)中抽身出來，只需通過知識圖譜即可揭示數(shù)據(jù)背后的客觀發(fā)展規(guī)律。

1 工業(yè)互聯(lián)網(wǎng)安全知識圖譜綜述

在人工智能迅速發(fā)展的背景下,知識圖譜被廣泛認(rèn)為是人工智能技術(shù)和系統(tǒng)的重要組成部分[3]。近年來,大量不同規(guī)模的知識圖譜發(fā)布在網(wǎng)絡(luò)上,得到了學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注。谷歌公司正式提出了知識圖譜的概念[4]。在工業(yè)控制系統(tǒng)與物聯(lián)網(wǎng)、互聯(lián)網(wǎng)呈現(xiàn)深度融合的發(fā)展趨勢后，人們需要根據(jù)大數(shù)據(jù)環(huán)境下的知識組織原則[5]，從新的視角去探索既符合網(wǎng)絡(luò)信息資源發(fā)展變化又能適應(yīng)用戶認(rèn)知需求的知識互聯(lián)方法[6]，從更深層次揭示人類認(rèn)知的整體性與關(guān)聯(lián)性[7]。

工業(yè)互聯(lián)網(wǎng)安全知識圖譜是一種基于安全數(shù)據(jù)而構(gòu)建的圖形知識庫，可涵蓋現(xiàn)有全部工控安全設(shè)備的數(shù)據(jù)。通過提取安全數(shù)據(jù)中的知識進(jìn)行實(shí)體建模，提取出實(shí)體、關(guān)系、屬性三種特征。然后通過知識融合，消除差異和歧義，得到基礎(chǔ)知識庫。在基礎(chǔ)知識庫的基礎(chǔ)上，進(jìn)一步分析、挖掘隱含的內(nèi)在邏輯關(guān)系，橫向推理，從而大大擴(kuò)展基礎(chǔ)知識庫，挖掘深層次安全知識。

工業(yè)互聯(lián)網(wǎng)設(shè)備品類繁雜、用途多，設(shè)定的數(shù)據(jù)格式差異大。不同廠商所生產(chǎn)的同類設(shè)備，雖然數(shù)據(jù)格式有差異，但數(shù)據(jù)指標(biāo)卻大都相同，且這些數(shù)據(jù)指標(biāo)蘊(yùn)含的信息也一致。這些數(shù)據(jù)信息經(jīng)過轉(zhuǎn)換、提煉后，可提取出信息安全知識。針對這個(gè)現(xiàn)狀，本文提出一種關(guān)于工業(yè)互聯(lián)網(wǎng)安全知識圖譜的設(shè)計(jì)和開發(fā)流程。這種架構(gòu)設(shè)計(jì)便于相關(guān)開發(fā)和設(shè)計(jì)人員對工業(yè)互聯(lián)網(wǎng)安全知識圖譜進(jìn)行設(shè)計(jì)和開發(fā)。

2 工業(yè)互聯(lián)網(wǎng)安全知識圖譜設(shè)計(jì)過程

工業(yè)互聯(lián)網(wǎng)安全知識圖譜以工控安全設(shè)備數(shù)據(jù)為基礎(chǔ)，在龐大、各異的數(shù)據(jù)中提取出實(shí)體、關(guān)系、屬性三種特征，并根據(jù)這三種特征構(gòu)建出網(wǎng)狀結(jié)構(gòu)。由于知識具有網(wǎng)狀特征，因此可用回溯的方式進(jìn)行深度搜索，通過關(guān)鍵字等方式直觀地查看知識形態(tài)。本文提出一種從下而上構(gòu)建知識圖譜的設(shè)計(jì)方法。此方法包括需求調(diào)研、數(shù)據(jù)分析、架構(gòu)設(shè)計(jì)和部署設(shè)計(jì)四個(gè)步驟。每個(gè)步驟都著重從實(shí)用性出發(fā)，最終從基礎(chǔ)數(shù)據(jù)信息中逐步構(gòu)建一張基礎(chǔ)的、完整的安全知識圖譜。

2.1 需求調(diào)研

在推廣工業(yè)互聯(lián)網(wǎng)的過程中，其內(nèi)部工業(yè)控制系統(tǒng)與傳統(tǒng)互聯(lián)網(wǎng)系統(tǒng)一樣，面臨著安全問題。這使得工業(yè)互聯(lián)網(wǎng)安全層面的重要性愈發(fā)凸顯。工業(yè)互聯(lián)網(wǎng)采集到的安全數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)一樣，具有規(guī)模大、差異大和結(jié)構(gòu)松散的特點(diǎn)。結(jié)合互聯(lián)網(wǎng)大數(shù)據(jù)的模式，很多大數(shù)據(jù)挖掘和分析工具應(yīng)運(yùn)而生，衍生了對安全知識進(jìn)行總結(jié)和提取的更深層需求。知識圖譜用于描述實(shí)體之間的關(guān)系，節(jié)點(diǎn)代表實(shí)體，連線代表關(guān)系，可向上、向下層層溯源，非常適合知識的表達(dá)和學(xué)習(xí)。如果能對工業(yè)互聯(lián)網(wǎng)的安全數(shù)據(jù)進(jìn)行信息提取、表示和融合，就能構(gòu)建一張安全知識圖譜，有助于信息安全研究。

2.2 數(shù)據(jù)分析

工業(yè)互聯(lián)網(wǎng)的數(shù)據(jù)是由工業(yè)設(shè)備和工業(yè)控制系統(tǒng)產(chǎn)生或采集得到的。其中，工業(yè)安全數(shù)據(jù)是工業(yè)系統(tǒng)中部署的安全設(shè)備在工業(yè)網(wǎng)絡(luò)中進(jìn)行監(jiān)控活動(dòng)所產(chǎn)生的原始數(shù)據(jù)和經(jīng)過分析的數(shù)據(jù)。工業(yè)現(xiàn)場常見的安全設(shè)備包括傳統(tǒng)防火墻、入侵偵測防御系統(tǒng)( intrusion detection & prevention system,IDPS)、入侵防御系統(tǒng)(intrusion prvention system,IPS)、入侵檢測系統(tǒng)(intrusion detection system,IDS)、病毒檢測工具、網(wǎng)址入侵防御系統(tǒng)(web application firewall,WAF)和網(wǎng)閘等，其數(shù)據(jù)格式、傳輸方式各異。從知識層面出發(fā)，關(guān)注重點(diǎn)應(yīng)放在可以構(gòu)建知識點(diǎn)的內(nèi)容層面上。最基本的內(nèi)容層面有發(fā)生設(shè)備和發(fā)生事件。發(fā)生設(shè)備本身視為知識實(shí)體。發(fā)生事件構(gòu)建實(shí)體之間的關(guān)系。由此可構(gòu)建知識圖譜三元組：實(shí)體1—關(guān)系—實(shí)體2，也就是設(shè)備1—安全事件a—設(shè)備2，進(jìn)而刻畫整個(gè)工業(yè)網(wǎng)絡(luò)中所有設(shè)備的關(guān)系，構(gòu)成全局知識網(wǎng)絡(luò)。

當(dāng)兩個(gè)設(shè)備之間發(fā)生的安全事件，在其他設(shè)備之間也重復(fù)發(fā)生時(shí)，在知識網(wǎng)絡(luò)中自然而然地構(gòu)成了新的知識點(diǎn)。例如，設(shè)備1—安全事件a—設(shè)備3，即以安全事件a為入口點(diǎn)，可追查到設(shè)備2和設(shè)備3都是受害者，設(shè)備1是攻擊者。如果將設(shè)備1～設(shè)備3的其他屬性作為知識點(diǎn)，能進(jìn)一步追溯得到受害者和攻擊者的特征關(guān)系，便于觀察到受害者的內(nèi)在關(guān)聯(lián)屬性，為后續(xù)安全加固提供了知識參考。

如果逐條觀察數(shù)據(jù)，可分析得到以上關(guān)系。而工業(yè)互聯(lián)網(wǎng)設(shè)備繁多，按上述方式構(gòu)建知識關(guān)系能比較容易地構(gòu)建完整的知識圖譜。因此，在數(shù)據(jù)處理層面，需要關(guān)注實(shí)體、屬性和關(guān)系三個(gè)層面的信息提取。

2.3 架構(gòu)設(shè)計(jì)

知識圖譜的架構(gòu)主要包括自身的邏輯結(jié)構(gòu)和體系架構(gòu)[8]，構(gòu)建方式主要有自頂向下和自底向上兩種。在工業(yè)互聯(lián)網(wǎng)中，不同廠商的設(shè)備型號、種類不同，數(shù)據(jù)千差萬別。而設(shè)備更新?lián)Q代極快、現(xiàn)場情況復(fù)雜多變，預(yù)先定義的實(shí)體和關(guān)系易于被新出現(xiàn)的實(shí)體、關(guān)系打破。自頂向下的構(gòu)建方法不適用于此場景。而自底向上的構(gòu)建方法更加靈活，更適用于工業(yè)互聯(lián)網(wǎng)場景。

2.3.1 邏輯結(jié)構(gòu)設(shè)計(jì)。

知識圖譜的基礎(chǔ)數(shù)據(jù)單元為三元組，即實(shí)體—關(guān)系—實(shí)體。每個(gè)三元組均構(gòu)成一條知識語義，即元信息[9]，而實(shí)體和關(guān)系皆為基本元素。圖1為實(shí)體—關(guān)系圖。圖1中，包含的兩條知識語義，由三個(gè)實(shí)體和兩個(gè)關(guān)系組成。

圖1 實(shí)體—關(guān)系圖

工業(yè)互聯(lián)網(wǎng)安全數(shù)據(jù)一般是由廠商設(shè)備提供的半機(jī)構(gòu)化、結(jié)構(gòu)化數(shù)據(jù)。使用關(guān)鍵詞提取技術(shù)，在原始數(shù)據(jù)中找到實(shí)體和關(guān)系的關(guān)鍵詞。現(xiàn)有的各種提取技術(shù)已經(jīng)很完善，因此只需要關(guān)注可作為實(shí)體關(guān)鍵詞的數(shù)據(jù)，其必須是完整的、準(zhǔn)確的、普遍的、互通的。由于語言的二義性和多義性，還要對同義詞、近義詞互通處理，使其在知識圖譜中指向同一個(gè)實(shí)體。

在原始數(shù)據(jù)中抽取的關(guān)鍵詞既可作為實(shí)體，又可作為關(guān)系。一個(gè)關(guān)鍵詞在知識圖譜中的角色取決于所需要構(gòu)建的知識是動(dòng)態(tài)的還是靜態(tài)的。靜態(tài)知識代表客觀世界中固有的、真實(shí)存在的現(xiàn)象。動(dòng)態(tài)知識則用于描繪主體作用于客體這一事實(shí)過程。同一個(gè)客觀事實(shí)既可以構(gòu)建為靜態(tài)知識，又可以構(gòu)建為動(dòng)態(tài)知識，還可以構(gòu)建為多種知識關(guān)系。例如，如果構(gòu)建靜態(tài)知識“太陽是圓形的”，在知識圖譜中則標(biāo)志為太陽—形狀—圓形或太陽—圓形—圓形等。

上述例子中，自行補(bǔ)全了代表關(guān)系的關(guān)鍵詞“形狀”。原始數(shù)據(jù)中沒有這個(gè)關(guān)鍵詞，需要在提煉后添加。由此可見，關(guān)系并不一定是原始數(shù)據(jù)中出現(xiàn)的關(guān)鍵詞。對于自行補(bǔ)全到知識圖譜中的關(guān)系，同樣要求其是準(zhǔn)確的、普遍的。例如在月亮—形狀—圓形這個(gè)知識語義中，“形狀”也可用于表達(dá)關(guān)系。工業(yè)互聯(lián)網(wǎng)安全數(shù)據(jù)中，往往包含大量的動(dòng)態(tài)關(guān)系，動(dòng)詞更適用于構(gòu)建動(dòng)態(tài)知識中的關(guān)系，例如設(shè)備1—攻擊—設(shè)備2。按照這樣的邏輯結(jié)構(gòu)，可自動(dòng)提取出基礎(chǔ)數(shù)據(jù)中的知識語義三元組。簡單知識圖譜示例如圖2所示。

圖2 簡單知識圖譜示例

2.3.2 體系結(jié)構(gòu)設(shè)計(jì)

組成工業(yè)互聯(lián)網(wǎng)安全知識圖譜的模塊包括數(shù)據(jù)采集、知識提取、知識融合和知識圖譜。體系結(jié)構(gòu)如圖3所示。

圖3 體系結(jié)構(gòu)圖

2.4 部署設(shè)計(jì)

設(shè)計(jì)完成后，需要部署和測試，以驗(yàn)證合理性，并進(jìn)行調(diào)試。其目標(biāo)是取得最優(yōu)性能和較好的用戶體驗(yàn)。知識圖譜最終需要落實(shí)到文件存儲。根據(jù)其數(shù)據(jù)結(jié)構(gòu)特點(diǎn)，應(yīng)優(yōu)先選擇專業(yè)的圖數(shù)據(jù)庫，可根據(jù)存儲數(shù)據(jù)量大小、性能要求進(jìn)行具體選擇。以開源圖數(shù)據(jù)庫Neo4j[10]為例，其存儲文件分為四大類：節(jié)點(diǎn)、關(guān)系、屬性、標(biāo)簽。其中，節(jié)點(diǎn)對應(yīng)知識圖譜中的知識實(shí)體，關(guān)系也是一一對應(yīng)的。

部署后主要進(jìn)行功能測試和性能測試。功能測試重點(diǎn)關(guān)注數(shù)據(jù)入庫速率、查詢準(zhǔn)確性、數(shù)據(jù)完整性和準(zhǔn)確性等。性能測試主要是查詢效率，在知識圖譜復(fù)雜且數(shù)據(jù)量很大的情況下，需要進(jìn)行數(shù)據(jù)分析和后續(xù)的聚類分析，對搜索和分析性能有一定要求。通過測試和調(diào)優(yōu)，知識圖譜的使用情況可達(dá)到設(shè)計(jì)要求。

3 設(shè)計(jì)實(shí)例

本文以某集團(tuán)單位的安全防火墻數(shù)據(jù)為依托，采集syslog日志中的攻擊數(shù)據(jù)作為基礎(chǔ)數(shù)據(jù)，并創(chuàng)建該單位的安全知識圖譜。通過一段時(shí)間的采集，其基礎(chǔ)數(shù)據(jù)達(dá)到千萬級，數(shù)據(jù)內(nèi)容形式為結(jié)構(gòu)化。在數(shù)據(jù)樣例中，通過知識提取方法，將結(jié)構(gòu)化的數(shù)據(jù)分隔為不同知識實(shí)體，并選定所有動(dòng)態(tài)性語義的實(shí)體轉(zhuǎn)化為關(guān)系，例如“入侵”“攻擊”等，分析所構(gòu)建知識語義的合理性。

根據(jù)選定的知識實(shí)體關(guān)系的構(gòu)建方法，由選定的知識邏輯批量轉(zhuǎn)化基礎(chǔ)數(shù)據(jù)，并用開源圖數(shù)據(jù)庫Neo4j存儲，最終構(gòu)建出安全知識圖譜。對安全知識圖譜進(jìn)行準(zhǔn)確性測試，觀察到其能如實(shí)反映現(xiàn)有安全知識，可在合理范圍內(nèi)進(jìn)行安全事件的預(yù)測和推理。

4 結(jié)論

現(xiàn)階段工控系統(tǒng)、物聯(lián)網(wǎng)、互聯(lián)網(wǎng)深度融合[11]，對信息安全的要求有所提高，將各類安全產(chǎn)品捕獲的數(shù)據(jù)信息轉(zhuǎn)化為安全知識的需求與日俱增。知識圖譜可以有效地轉(zhuǎn)化數(shù)據(jù)，并提煉為安全知識，進(jìn)行大規(guī)模知識應(yīng)用，將客觀世界以實(shí)體和關(guān)系的形式進(jìn)行表現(xiàn)，構(gòu)成安全知識庫。本文提出了工業(yè)互聯(lián)網(wǎng)安全知識圖譜的設(shè)計(jì)方法，并通過設(shè)計(jì)實(shí)例進(jìn)行了相關(guān)的論述，展開需求調(diào)研、數(shù)據(jù)分析、架構(gòu)設(shè)計(jì)和部署設(shè)計(jì)，將處理后的數(shù)據(jù)存入圖數(shù)據(jù)庫，最終完成整個(gè)安全知識圖譜的架構(gòu)設(shè)計(jì)。此設(shè)計(jì)過程在一定程度上能夠?yàn)榧軜?gòu)設(shè)計(jì)人員提供設(shè)計(jì)思路和參考方案，用于工業(yè)互聯(lián)網(wǎng)安全知識圖譜設(shè)計(jì)。