本發明涉及工業資產安全測繪，尤其涉及一種基于知識圖譜的全鏈路工業資產安全測繪方法。

背景技術：

1、目前，在網絡空間安全技術的資產測繪領域中，各種資產發現、資產掃描、資產安全測繪技術被用作網絡安全的基礎工具。這些技術和系統聚焦企業的it資產，協助摸清家底，管控安全風險。

2、當前的工業資產安全測繪技術存在著資產信息不同步或同步不及時、設備定位不準確或位置信息缺失或錯誤、存在虛假設備等問題，因此工業資產安全測繪系統改進應該更加關注于有利于深度挖掘工業資產信息、保障工業資產或網絡安全、提供可靠信息支撐的方向發展。

3、然而，目前傳統的工業資產安全測繪技術包括：物理檢查與庫存管理、配置管理數據庫、設備管理系統、網絡掃描與流量分析、工業協議解析等。

4、物理檢查與庫存管理，具體為：通過現場物理檢查，記錄工業資產的型號、配置、位置等，結合庫存管理系統進行人工跟蹤。優點：可以獲取未聯網設備的物理信息。對關鍵資產的物理存在進行確認，特別是在安全性敏感的環境中。缺點：人工檢查效率低，容易出錯且難以規模化。信息無法與其他系統動態同步。

5、配置管理數據庫，具體為：通過配置管理數據庫記錄所有設備的硬件、軟件配置，通常結合it服務管理流程（itsm）來保證數據更新。優點：通過流程驅動配置數據的更新和管理，能夠提供一定的可追溯性。缺點：工業資產和it資產的特性差異較大，傳統cmdb的結構難以適應工業環境。數據之間的孤立性較強，難以通過cmdb進行全局的關聯性分析。

6、設備管理系統，具體為：使用ams系統，手動或半自動地將所有工業設備、軟件、網絡配置等信息錄入系統，進行集中管理。優點：對靜態資產管理有效，可以進行資產的集中登記和生命周期管理。ams可通過手動配置或集成一些自動發現功能實現數據同步。缺點：手動更新資產信息可能會導致信息不及時或不準確，尤其是在大型復雜網絡中。依賴手動維護，自動化程度低，難以應對動態變化的工業環境。ams中的數據通常是孤立的，難以與其他安全信息（如威脅情報、漏洞信息）進行自動關聯。

7、網絡掃描與流量分析，具體為：通過網絡掃描工具（如nmap、zmap）來探測網絡中的設備、系統端口、協議等，并通過網絡流量分析（如wireshark）進行深層次的協議解析和數據包監控。優點：能夠自動化地發現設備和網絡中的活動。捕獲實時流量，識別異常流量和潛在的攻擊行為。缺點：對實時性要求較高的ics網絡可能會產生網絡負載影響，影響正常的控制操作。只能基于現有的網絡連接和流量做資產識別，無法發現未聯網的物理資產。缺乏對資產之間復雜依賴關系的認知。

8、工業協議解析，具體為：利用專業的工業協議解析工具，如modbus、opc等，來分析工業設備與系統之間的通信，獲取設備的狀態、配置等信息。優點：專門針對工業協議的分析，能夠深入識別工業設備的信息。其提供了對設備操作和配置的深入洞察。缺點：受限于協議支持，無法跨越所有類型的設備和系統，特別是一些定制的或不公開的協議。對復雜網絡環境下的設備和系統依賴關系無法進行全局分析。

9、通過對上述各種工業資產安全測繪技術的分析發現傳統的工業資產測繪技術如物理檢查與庫存管理、配置管理數據庫、設備管理系統、網絡掃描與流量分析、工業協議解析等，均存在各自的缺點和弊端，如數據整合能力不足，數據通常分散，孤立；動態更新與自動化程度不高，依賴人工或半自動更新；關聯性分析不足，基于手工或工具的簡單關聯分析等。因此，需要通過更高效的網絡拓撲測量和網絡安全檢測的方向進行工業資產安全測繪。

10、因此，目前如何進行高效的工業資產的網絡拓撲關系測繪和安全風險識別是目前有待解決的技術問題。

技術實現思路

1、為此，本發明提供一種基于知識圖譜的全鏈路工業資產安全測繪方法，實現了主動網絡測繪和被動網絡測繪的優劣勢互補，通過最小生成樹聚類減小了主動網絡測繪的探測節點數量，提高了探測效率，通過基于圖神經網絡的網絡漏洞分析模型提高了風險檢測的感知能力和有效性，共同實現了基于知識圖譜對工業資產網絡拓撲關系的整合，使關鍵節點、潛在的安全漏洞和攻擊路徑進行直觀可視化表達和檢測，提升了工業資產的安全防護水平。

2、為實現上述目的，本發明提出一種基于知識圖譜的全鏈路工業資產安全測繪方法，包括：

3、通過網絡被動測繪獲取待測繪工業資產網絡的http協議報文，通過解析所述http協議報文確定子網ip地址范圍；

4、將所述子網ip地址范圍對應的地理信息通過基于最小生成樹聚類的探測策略確定模型生成用于反映探測節點和探測目標ip地址的預網絡知識圖譜；

5、根據所述預網絡知識圖譜通過查詢工具進行待測繪網絡的主動測繪，生成用于反映子網中路由設備、主機設備及其ip地址關系的網絡全鏈路知識圖譜；

6、通過流量固件分析工具獲取所述路由設備和所述主機設備的網絡安全信息；

7、將所述網絡安全信息和所述網絡全鏈路知識圖譜通過基于圖神經網絡的網絡漏洞分析模型確定工業資產風險點位。

8、進一步地，生成預網絡知識圖譜的過程包括：

9、根據所述子網ip地址范圍內對應的多個設備地理信息計算設備距離；

10、將所述設備距離通過拓撲生成子模型生成反映子網中路由設備、主機設備及其ip地址關系的最小生成樹結構圖；

11、根據所述最小生成樹結構圖的連接關系對所述子網ip地址范圍通過探測節點確定子模型生成所述探測節點和預探測目標ip地址；

12、將所述探測節點通過基于其與所述預探測目標ip地址的距離、網絡流量和算力性能值的代價公式生成所述探測節點至多個預探測目標ip地址的探測代價值，并根據所述探測代價值在所述預探測目標ip地址中選出所述探測目標ip地址；

13、根據所述最小生成樹結構圖、所述探測節點和所述探測目標ip地址生成所述預網絡知識圖譜；

14、其中，所述拓撲生成子模型基于貪心算法確定，所述探測節點確定子模型基于k均值聚類算法確定。

15、進一步地，生成探測節點和預探測目標ip地址的過程包括：

16、根據最小生成樹結構圖的連接關系和子網ip地址范圍對應的探測目標地理信息集合生成聚類集合；將所述聚類集合通過所述探測節點確定子模型進行聚類計算，并將聚類計算結果的聚類簇作為探測節點并生成所述預探測目標ip地址。

17、進一步地，所述探測代價值基于算力性能值計算所得；

18、其中，算力性能值包括cpu效能比、吞吐量和轉發率。

19、上述方案中，通過貪心算法、k均值聚類算法和探測代價值估計分步確定了子網與路由設備、主機的拓撲關系以及探測節點和探測目標ip地址，實現了基于知識圖譜對工業資產網絡拓撲關系整合的同時，提高了主動網絡測繪的探測效率。

20、進一步地，確定工業資產風險點位的過程包括：

21、將所述網絡安全信息生成所述網絡漏洞分析模型的鄰接矩陣，將所述網絡全鏈路知識圖譜生成所述網絡漏洞分析模型的度矩陣；

22、通過病毒模擬軟件生成病毒特征指紋庫，將所述病毒特征指紋庫和所述網絡全鏈路知識圖譜用于訓練和測試所述網絡漏洞分析模型；

23、將所述鄰接矩陣和所述度矩陣通過測試后的所述網絡漏洞分析模型進行病毒特征指紋匹配并確定所述工業資產風險點位。

24、進一步地，所述網絡漏洞分析模型包括第一圖卷積層至第四圖卷積層，其中，第一圖卷積層至第三圖卷積層分別包括梯度隱藏層、非線性激活函數層和正則化層用以對病毒特征指紋進行梯度提取，第四圖卷積層包括隱藏層和分類激活函數層。

25、進一步地，所述流量固件分析工具包括流量分析工具和固件分析工具，所述網絡安全信息包括ip地址、mac地址、流量統計數據、ap檢測數據和固件數據，其中，所述路由設備和所述主機設備的ip地址和mac地址通過所述流量分析工具獲取，所述路由設備和所述主機設備的流量統計數據、ap檢測數據和固件數據通過固件分析工具獲取。

26、上述方案中，通過圖神經網絡對知識圖譜整合網絡信息的病毒特征指紋匹配，實現了準確識別潛在風險點位，有助于直觀地識別漏洞的點位和復雜的攻擊鏈，進而更好地幫助企業進行有針對性的漏洞修補和風險控制。

27、進一步地，所述查詢工具包括snmp協議工具和icmp協議工具，根據預網絡知識圖譜通過查詢工具進行待測繪網絡的主動測繪生成用于反映子網中路由設備、主機設備及其ip地址關系的網絡全鏈路知識圖譜的過程包括：

28、通過所述snmp協議工具訪問所述預網絡知識圖譜中子網連接的路由設備的預ip列表，并根據所述預ip列表確定子網連接的主機設備ip地址；

29、根據所述預網絡知識圖譜的探測節點和探測目標ip地址對所述預ip列表通過所述icmp協議工具和所述snmp協議工具進行主動測繪生成所述網絡全鏈路知識圖譜。

30、進一步地，根據預網絡知識圖譜的探測節點和探測目標ip地址對預ip列表通過icmp協議工具和所述snmp協議工具進行主動測繪生成所述網絡全鏈路知識圖譜的過程包括：

31、通過所述icmp協議的ping工具確定所述預ip列表中活躍設備的活躍ip地址；

32、通過所述snmp協議工具訪問所述活躍設備的mib庫確定活躍ip地址為路由設備或主機設備的ip地址，并生成所述網絡全鏈路知識圖譜。

33、進一步地，通過snmp協議工具訪問所述活躍設備的mib庫確定活躍ip地址為路由設備或主機設備的ip地址的過程包括：

34、通過所述snmp協議工具訪問所述活躍設備的mib庫的ipfowarding變量和sysservices變量確定活躍ip地址為路由設備或主機設備的ip地址。

35、上述方案中，通過將基于icmp協議工具的網絡主動測繪方式與基于snmp協議的網絡主動測繪方式相結合，進一步減少了探測次數，提高了算法效率，減少了安全測繪網絡整體負擔。

36、與現有技術相比，本發明的有益效果在于，

37、1、實現了主動網絡測繪和被動網絡測繪的優劣勢互補，通過最小生成樹聚類減小了主動網絡測繪的探測節點數量，提高了探測效率，通過基于圖神經網絡的網絡漏洞分析模型提高了風險檢測的感知能力和有效性，共同實現了基于知識圖譜對工業資產網絡拓撲關系的整合，使關鍵節點、潛在的安全漏洞和攻擊路徑進行直觀可視化表達和檢測，提升了工業資產的安全防護水平。

38、2、通過貪心算法、k均值聚類算法和探測代價值估計分步確定了子網與路由設備、主機的拓撲關系以及探測節點和探測目標ip地址，實現了基于知識圖譜對工業資產網絡拓撲關系整合的同時，提高了主動網絡測繪的探測效率。

39、3、通過圖神經網絡對知識圖譜整合網絡信息的病毒特征指紋匹配，實現了準確識別潛在風險點位，有助于直觀地識別漏洞的點位和復雜的攻擊鏈，進而更好地幫助企業進行有針對性的漏洞修補和風險控制。

40、4、通過將基于icmp協議工具的網絡主動測繪方式與基于snmp協議的網絡主動測繪方式相結合，進一步減少了探測次數，提高了算法效率，減少了安全測繪網絡整體負擔。