用于工业网络安全事件的自动分析的方法和系统与流程

背景技术：

1、基于异常的入侵检测系统(ids)由于其低事故检测率和高假阳性率而经常失效。一方面，攻击者通常知道在其目标网络上看到的业务量和活动模式，并经常成功地将其行为伪装成合法活动。另一方面，基于异常的ids容易产生大量的假阳性，尤其是在高度动态的系统中，其中几乎不可能捕获可靠的活动基线。

2、当部署基于异常的ids时，通常通过在一定时间内观察其行为来创建要保护的系统的基线，在此期间，假设没有恶意活动发生。在此之后，观察到的行为与基线之间发现的任何偏差被视为异常和潜在的攻击。如果基线没有捕获到所有合法的交互或者这些交互正在快速变化，这种方法产生较差的结果，如在现代工业控制系统中是典型的。

3、现代工厂和自动化系统的特点是操作技术与传统it系统的紧密集成，以及通过例如托管ai实现的应用并执行复杂监视和优化任务的边缘计算系统的存在，或者提高生产线灵活性和效率的自主机器人的可用性，来提高数字化。这继而产生了更大的动态性，并且难以预测系统中组件之间的交互。正如本节开始时所介绍的，一方面，这使得攻击者更容易隐藏他们的活动，并增加了来自传统ids系统的误警报的数量。

4、大量的警报最终会导致“警报疲劳”，因为通常可用于处理ids警报的人类分析师数量非常有限。

5、由于所描述的问题，在许多情况下，基于异常的入侵检测系统不用于其中行为不具有高度确定性和可预测性的动态系统，并且如果它们被使用，它们的警报通常被存储用于记录或取证目的，而不是直接使用。在某些情况下，更高级的ids系统可能会对警报进行优先级排序，以便安全分析师首先关注最严重的警报。然而，优先级通常是通过孤立地考虑每个事件来实现的。例如，涉及被认为高度敏感的系统(如plc控制器)的警报可以自动分类为严重。这最终会产生许多不准确性，因为异常的严重性通常不是由其内容本身决定的，而是由发现异常的上下文决定的，诸如相邻系统的状态和活动、涉及这些的先前警报以及它们在工业系统中的实际目的。

6、一些高级现有技术方法通过使用图表示作为整合附加上下文的手段来解决这个问题。例如，us10,785,239b2公开了一种系统，该系统利用图作为能够通过机器学习来整合异构数据并预测事件的恶意性的结构。

7、基于图的数据分析在工业应用中扮演着越来越重要的角色。一个突出的示例是知识图，它基于图结构化数据库，能够从潜在多个来源和领域摄取和表示(利用语义信息)知识。知识图是丰富的数据结构，其使得能够实现对抽象概念以及他们如何彼此相关的符号化描述。知识图的使用使得可能以使得ai和数据分析应用能够在统一的、上下文化的、语义丰富的知识库上工作的方式整合先前隔离的数据源成为可能，从而实现更通用的、可解释的、可互操作的和精确的ai算法，所述ai算法执行它们的任务(例如，推理或推断)，与来自感兴趣的领域(例如，工业自动化或建筑系统)的明确定义的实体和关系一起工作。

8、图7示出了描述工业系统的部分的工业知识图kg的简化示例。一般来说，知识图由代表实体的节点和代表这些实体之间关系的边组成。例如，在工业系统中，节点可以代表物理实体，如传感器、工业控制器，如plc、机器人、机器操作者或所有者、驱动器、制造对象、工具、材料清单的元素或其他硬件组件，但也可以代表更抽象的实体，如所述物理对象的属性和配置、生产调度和计划、机器或机器人的技能或传感器测量。例如，抽象实体可以是ip地址、数据类型或在工业系统上运行的应用，如图7所示。

9、这些实体如何相互关联是用节点之间不同类型的边来建模的。这样，可以使用语义上有意义的语句(所谓的三元组或三元组语句)来概括图，所述语句采用简单且人类可读的形状“主语-谓语-宾语”，或者以图格式“节点-关系-节点”。

10、诸如图7所示的工业知识图之类的多关系图是用于建模各种系统和问题(如工业项目)的丰富数据结构。因此，最近对能够处理图结构化数据的机器学习算法的兴趣增加并不令人惊讶。

11、图8示出了一组三元组语句t，其基于已知的观察到的三元组语句ot，以及当前不包含在工业知识图kg中并因此未知的两个未观察到的三元组语句ut，总结了图7所示的工业知识图kg。在给定知识图kg的结构的情况下，对图数据的推断涉及评估未观察到的三元组语句ut是否有效。

12、尽管多关系图高度表达，但是它们的符号性质阻止了直接使用经典的统计方法进行进一步的处理和评估。最近，通过将节点和边映射到向量空间，同时保留某些图属性，已经引入了图嵌入算法来解决这个问题。例如，人们可能希望保持节点的邻近性，使得连接的节点或具有大量重叠邻居的节点被映射到彼此靠近的向量。然后，这些向量表示可以用于传统的机器学习方法，以做出关于未知语句的预测，实现对一组主语、谓语和宾语的抽象推理。

13、像工业工厂系统这样的复杂系统可以使用知识图的通用语言来描述，允许使用图嵌入算法在这些信息密集的环境中进行上下文感知预测。

技术实现思路

1、本发明的目的是提供一种用于工业网络安全事件的自动分析的工业设备和方法，其提供了对现有技术的替代。

2、本发明的目的由独立权利要求解决。在相应的从属权利要求中阐述了本发明的进一步有利的布置和实施例。

3、用于工业网络安全事件的自动分析的方法包括由组件执行的以下操作，其中组件是由一个或多个处理器执行的软件组件和/或硬件组件：

4、-由第一映射组件根据从监视工业系统的至少一个安全工具接收的事件产生观察到的三元组语句，

5、-由链接预测组件通过表示工业系统的知识图中的链接预测来估计每个观察到的三元组语句的概率得分，以及

6、-由评分组件基于概率得分计算包含在知识图中的工业系统的至少一个实体和/或所述事件中的至少一个的至少一个优先级得分。

7、用于工业网络安全事件的自动分析的系统包括：

8、-第一映射组件，被配置用于根据从监视工业系统的至少一个安全工具接收的事件产生观察到的三元组语句，

9、-链接预测组件，被配置用于通过表示工业系统的知识图中的链接预测来估计每个观察到的三元组语句的概率得分，以及

10、-评分组件，被配置为基于概率得分计算包含在知识图中的工业系统的至少一个实体和/或所述事件中的至少一个的至少一个优先级得分。

11、以下优点和解释不一定是独立权利要求的目的的结果。相反，它们可能是仅适用于某些实施例或变型的优点和解释。

12、该方法和系统，或它们的至少一些实施例，使用概率得分来计算工业系统中一些或所有可能事件的优先级得分，作为对来自安全工具的警报进行优先级排序的参考，安全工具可以包括用于监视网络活动的任何简单工具、用于检测网络安全事件的更高级的工具、或任何其他安全监视和检测工具。

13、与其他基于知识图的解决方案相比，该方法和系统，或者它们的至少一些实施例，以无监督的方式工作，因此不需要已知的有标签异常或攻击来预测观察到的事件的恶意性。事实上，该方法和系统，或它们的至少一些实施例，不直接试图推断(预测)知识图上的实体或事件中的恶意性(例如，基于已知的示例)。

14、取而代之的是，可以针对一些或所有可能的事件计算优先级得分，并且这些优先级得分继而在操作期间用于评估实际的系统观察并对它们进行优先级排序，从而可以将注意力吸引到最可能与安全相关的事件上。

15、结果，该方法和系统，或者它们的至少一些实施例，提供了用于工业网络安全事件的自动分析的基于知识图的推荐系统。

16、在该方法和系统的实施例中，估计操作和/或计算操作实现基于排名的度量，特别是推荐者系统度量，特别是平均精度、平均倒数排名或归一化折扣累积增益。

17、在该方法和系统的实施例中，估计操作包括

18、-由候选生成组件针对每个观察到的三元组语句生成至少一个候选列表，包含相应观察到的三元组语句及其变体作为候选三元组，以及

19、-通过以下针对每个候选列表创建经排名的候选列表

20、-由链接预测组件估计每个候选三元组的概率得分，以及

21、-按其概率得分对候选三元组进行排序。

22、计算操作包括

23、-由评分组件基于每个观察到的三元组语句在对应的至少一个经排名的候选列表中的位置来计算每个观察到的三元组语句的相关性得分，以及

24、-由评分组件将若干相关性得分聚合成至少一个优先级得分。

25、该实施例通过链接预测对候选三元组(包括来自非恶意事件的那些)进行排名，以便针对所有可能的系统交互产生相关性得分。与由链接预测模型提供的概率得分相比，相关性得分更鲁棒并且校准得更好。

26、根据该实施例，候选列表用于生成排名，作为计算优先级得分的参考，使用例如标准排名度量，而不是唯一依赖于由链接预测模型估计的概率得分，从而提高预测的稳定性和鲁棒性。

27、在该方法和系统的一个实施例中，至少一个优先级得分用于对至少一个安全工具的输出进行排名和/或优先级排序。

28、该实施例通过在操作期间使用优先级得分来评估实际系统观察并对其进行优先级排序，来为工业网络安全事件的自动分析提供推荐。

29、在该方法和系统的一个实施例中，所述至少一个安全工具的经排名和/或经优先级排序的输出被显示在用户界面上，存储在日志中，和/或被自动处理，以便自动生成警报或自动关闭工业系统的至少一部分。

30、当显示在用户界面上时，用户可以决定工业系统中的实体是否如预期的那样运行，或者是否发现值得调查的异常。

31、在该方法和系统的实施例中，链接预测组件使用至少一个链接预测模型。该方法的实施例包括利用在工业系统的基线时段期间从至少一个安全工具接收的基线数据来训练至少一个链接预测模型的初始步骤，其中训练特别是无监督的。

32、在该方法和系统的实施例中，训练包括

33、-由第一映射组件从基线数据产生第一三元组语句，

34、-由第二映射组件根据从至少一个领域特定工具接收的第二数据产生第二三元组语句，其中第二数据包含关于工业系统的知识，特别是工业系统的描述、生产调度、维护计划和/或数字孪生，

35、-由第三映射组件根据从至少一个附加上下文接收的第三数据产生第三三元组语句，其中第三数据包含关于网络安全漏洞和威胁的信息，

36、-从而在图数据库中，将第一三元组语句、第二三元组语句和第三三元组语句语义上整合到至少一个知识图中，以及

37、-由学习组件利用至少一个知识图之一的三元组语句来训练至少一个链接预测模型中的每一个。

38、该实施例提供了来自工业控制和自动化项目的领域特定知识连同常见知识图中的传统网络和主机信息的整合，使得附加的上下文使得系统能够更好地区分正常和恶意活动。

39、此外，该实施例允许无监督的初始训练，而无需提供已知的有标签异常或攻击。

40、在该方法和系统的一个实施例中，每个观察到的三元组语句由主语、谓语和宾语组成，其中主语由表示工业系统的实体的知识图的节点表示，谓语是可能的关系类型的有限集中的一个，并且宾语是表示工业系统的实体的知识图的节点或文字值，其中知识图的节点表示物理实体，特别是传感器、工业控制器、机器人、驱动器、制造对象、工具和/或材料清单的元素，并且其中知识图的节点表示抽象实体，特别是物理对象的属性、配置或技能、生产调度和计划和/或传感器测量。第一映射组件针对每个事件产生一个或多个观察到的三元组语句。