BRIDG-ICS: AI-Grounded Knowledge Graphs for Intelligent Threat Analytics in Industry~5.0 Cyber-Physical Systems

本文提出了 BRIDG-ICS 框架，该框架通过融合大语言模型与知识图谱技术，将异构工业与网络安全数据统一建模，从而实现对工业 5.0 环境下复杂攻击链的上下文感知推理与量化韧性评估。

要点

这篇论文介绍了一个名为 BRIDG-ICS 的新系统，它就像是为现代智能工厂（工业 5.0）打造的一位“超级安全侦探”。

为了让你轻松理解，我们可以把整个工业系统想象成一个巨大的、高度自动化的智能城市。

1. 背景：为什么我们需要这位“侦探”？

现状：城市变大了，但也变乱了
以前，工厂的电脑系统（IT，比如办公室网络）和机器控制系统（OT，比如控制机械臂的线路）是完全隔离的，就像两个互不相通的岛屿。这很安全，但效率低。
现在，为了更聪明、更高效，这两个岛屿被一座桥连起来了（这就是“工业 5.0"）。数据可以共享，机器可以远程指挥。
问题： 这座桥虽然方便了，但也让坏人（黑客）更容易溜进来。以前黑客只能攻击办公室电脑，现在他们可以通过办公室电脑，顺着桥直接控制机械臂，甚至让机器“发疯”撞坏产品，或者让整条生产线停摆。

痛点：情报太散，看不清全貌
现在的工厂安全系统就像是一群各自为战的保安：

• 有的保安只盯着漏洞列表（CVE）；
• 有的只盯着黑客的作案手法（MITRE ATT&CK）；
• 有的只盯着机器型号。
  他们手里都有情报，但没人能把这些碎片拼成一张完整的地图。当黑客从办公室电脑跳板到控制机器时，保安们往往反应不过来，因为他们不知道这两者之间居然有“秘密通道”。

2. 解决方案：BRIDG-ICS 是什么？

BRIDG-ICS 就像一位拥有“上帝视角”的超级侦探，它手里有一张动态的、会思考的“城市全景地图”（知识图谱）。

这张地图不仅仅是把资产画出来，它还能把以下三件事完美串联起来：

1. 谁是谁（工厂里有哪些机器、软件、传感器）；
2. 哪里坏了（这些设备有哪些已知的漏洞）；
3. 坏人怎么干（黑客通常用什么手段攻击这类设备）。

核心魔法：AI 大模型（LLM）的“读心术”

这张地图最厉害的地方在于，它不是死板的，而是活的。

• 传统地图：只能看到明确写出来的连接。
• BRIDG-ICS 的地图：利用人工智能（大语言模型）去阅读成千上万份安全报告、漏洞描述和黑客日记。
  • 比喻：就像侦探读了所有犯罪小说，发现虽然报告里没明说“黑客 A 能攻击机器 B"，但根据描述，黑客 A 的手法正好能利用机器 B 的一个小毛病。AI 就能推断出这条隐藏的路径，并把它画在地图上。
  • 这就叫知识增强：把原本缺失的、隐形的联系找出来，让地图变得无比完整。

3. 它是如何工作的？（三步走）

第一步：绘制地图（构建知识图谱）

系统把工厂里所有的设备、软件、漏洞、攻击手法全部录入，形成一个巨大的网络。

• 比喻：就像把城市里的每一栋楼、每一条路、每一个井盖都标在地图上，并且标出哪栋楼有“结构裂缝”（漏洞）。

第二步：模拟黑客（攻击路径推演）

系统会在地图上模拟黑客的进攻路线。

• 计算风险：它会算出，如果黑客从“前台电脑”入侵，经过“中间服务器”，最终到达“机械臂”需要几步？每一步被发现的概率是多少？需要多少成本？
• 比喻：侦探在地图上模拟：“如果坏人从大门进来，走 A 路需要 3 分钟，走 B 路需要 5 分钟但会被摄像头拍到。所以，坏人最可能走 A 路。”

第三步：测试防御（加固与评估）

系统会尝试给地图加上“防火墙”、“隔离带”等安全措施，然后重新模拟。

• 效果对比：
  • 没加固前：黑客可能只需 3 步就能控制核心机器。
  • 加固后：黑客可能需要 6 步，或者某些路直接被封死，根本走不通。
• 比喻：侦探在地图上给关键路口设卡、修墙。结果发现，设卡后，坏人绕路的时间变长了，或者根本进不来了。这就证明了防御措施有效。

4. 这个系统带来了什么好处？

1. 看见“隐形”的危险：
   以前有些攻击路径是隐藏的，因为没人把“办公室电脑”和“控制阀门”联系起来。BRIDG-ICS 能发现这些跨领域的秘密通道，提前预警。

   • 例子：就像发现坏人可以通过“送外卖的电动车”（看似无关的 IT 设备）进入“金库”（OT 核心设备）。

2. 算出“最坏情况”：
   它能告诉工厂老板：“如果不修这个漏洞，黑客有 80% 的概率能控制你的生产线，造成 1000 万的损失。”这让决策者知道该优先修哪里。

3. 验证防御是否有效：
   在真的被攻击之前，先在系统里“演习”。看看加了防火墙后，黑客是不是真的进不来了。这就像在火灾发生前，先检查消防通道是否畅通。

5. 总结

BRIDG-ICS 就是一个用 AI 武装起来的智能安全大脑。

它不再让工厂的安全人员像“盲人摸象”一样去处理安全威胁，而是给他们提供了一张实时更新的、能预测未来的全景地图。它不仅能告诉工厂“哪里破了”，还能告诉工厂“坏人会怎么进来”以及“我们该怎么堵最管用”。

在工业 5.0 这个万物互联的时代，它就像是给智能工厂穿上了一套会思考的防弹衣，让机器在高效运转的同时，也能抵御来自数字世界的暗箭。

技术摘要

BRIDG-ICS 论文技术总结

1. 研究背景与问题定义 (Problem)

随着 工业 5.0 (Industry 5.0) 的发展，信息技术 (IT) 与运营技术 (OT) 系统的深度融合正在重塑工业运营，但也极大地扩展了网络物理系统的攻击面。

• 核心挑战：传统的工业控制系统 (ICS) 防御通常是孤立的（Siloed），缺乏跨域（IT/OT）的连贯威胁洞察。现有的威胁建模方法（如 STRIDE、PASTA、MITRE ATT&CK 矩阵）往往只能关注单一维度，无法将工业上下文、漏洞信息与对抗行为统一到一个分析模型中。
• 现有局限：
  • 现有的知识图谱 (KG) 研究多集中于纯 IT 环境，缺乏对工业物理过程语义的建模。
  • 现有的 ICS 安全方法难以处理动态的因果推理，无法有效重建多阶段攻击路径或评估安全控制的整体影响。
  • 威胁情报数据碎片化，缺乏将自然语言描述的威胁转化为结构化图数据的能力，导致许多潜在的关联和隐性风险指标被遗漏。
• 目标：构建一个能够融合异构工业与网络安全数据、支持上下文感知推理、并能量化评估网络韧性的统一框架。

2. 方法论 (Methodology)

本文提出了 BRIDG-ICS (BRIDge for Industrial Control Systems)，这是一个由人工智能驱动的工业控制安全知识图谱框架。其核心工作流程包含以下关键步骤：

2.1 统一本体设计与知识图谱构建

BRIDG-ICS 构建了一个包含五个子本体的分层知识图谱，将工业操作与网络安全统一在单一语义框架下：

1. ICS 本体：定义物理组件（产品、软件、协议、区域等）。
2. CVE/CWE/CAPEC 本体：整合漏洞、弱点及攻击模式数据。
3. MITRE ATT&CK 本体：映射对抗战术、技术和过程 (TTPs)。

• 数据融合：将公共数据集（CVE, CWE, CAPEC, MITRE ATT&CK, ICSA）与本地工业测试床（遵循 ISA-95/Purdue 架构）的运营数据相结合。
• 关系建模：定义了 COMMUNICATES WITH（通信）和 CONTROLLED COMMUNICATES WITH（受控通信）关系，用于捕捉资产间的依赖和攻击传播路径。

2.2 风险量化模型

框架引入了概率风险指标来量化攻击路径：

• 控制强度 (Control Strength)：基于访问性、配置卫生、抗利用性和加固效果计算。
• 利用概率 (pExploit)：结合 EPSS (Exploit Prediction Scoring System) 和控制强度计算，公式为 $pExploit = EPSS \times (1 - controlStrength)$。
• 攻击成本 (Attack Cost) 和 风险权重 (Risk Weight)：用于评估攻击难度和目标资产的重要性。
• 攻击路径模拟：利用图算法（如 Yen k-shortest paths）计算多跳攻击路径的累积概率，评估节点暴露度 (Exposure)。

2.3 基于大语言模型 (LLM) 的知识增强

为了填补数据缺口并增强语义深度，BRIDG-ICS 利用领域特定的 LLM 进行三重增强：

1. 命名实体识别 (NER)：使用 SecureBERT 从非结构化文本中提取工具、文件、网络路径等实体。
2. 关系抽取 (RE)：利用 REBEL 模型提取实体间的语义关系（如“使用”、“修改”、“目标”）。
3. 自然语言转知识图谱 (NL2KG)：将自然语言威胁描述转化为结构化的图谱三元组，自动补全缺失的 CVE-CWE-ATT&CK 映射。

• 图嵌入：结合 FastRP 和图神经网络技术，通过相似性链接预测推断潜在的隐性连接。

3. 主要贡献 (Key Contributions)

1. 工业 5.0 专用知识图谱：首次将工业过程语义（设备功能、数据流）与网络安全本体（CVE, ATT&CK）深度融合，构建了支持高级威胁分析的领域特定 KG。
2. 智能 KG 增强机制：创新性地采用 LLM (NER, RE, NL2KG) 和图嵌入技术，自动补全缺失的实体和关系，显著提升了图谱的语义完整性和推理能力。
3. 上下文感知的威胁推理：实现了跨 IT/OT 层的多层威胁推理，能够追踪从初始入侵到物理后果的完整攻击链，并量化攻击传播概率。
4. 数据驱动的攻击路径发现：利用图学习技术模拟攻击场景，分配概率风险属性，预测最可能的攻击路径并评估控制措施的有效性。
5. 自适应防御与韧性评估：支持基于场景的模拟，能够量化安全控制（如网络分段、补丁管理）对系统暴露面的减少效果，为 Industry 5.0 的自主防御提供决策支持。

4. 实验结果 (Results)

研究在 15 个模拟的智能制造场景中进行了评估，对比了原始图谱、增强图谱和受控（应用安全控制后）图谱的表现：

• 攻击路径长度：
  • 增强效果：通过推断隐性连接，增强后的图谱将攻击者到达目标的平均跳数减少了 20-40%（揭示了原本隐藏的攻击路径）。
  • 控制效果：应用 NIST/IEC 安全控制后，平均路径长度增加了 25-50%，证明控制措施有效限制了横向移动。
• 资产可达性：
  • 增强后，受攻击影响的资产数量显著增加（从<5 个增至>12 个），暴露了更大的攻击面。
  • 实施控制后，可达资产数量大幅减少（降至 2-4 个），验证了防御措施的有效性。
• 关键指标提升：
  • 在 HAS POSSIBLE TECHNIQUE 关系推断中，使用 SecRoBERTa 分类器达到了 98.70% 的准确率。
  • 在 HAS POSSIBLE CWE 推断中，准确率达到了 66.47%。
• 中心性分析：
  • 知识增强改变了节点的中心性分布，使网关、机器人单元 PLC 等通信中间件的重要性（PageRank 和介数中心性）更加凸显，帮助识别关键瓶颈。
• 风险降低：
  • 在实施控制后，关键工业资产（如 Modicon M340, Control Logix）的残余风险显著降低，部分资产风险降低幅度达 100%（从 0 到 7.8 再到 7.8，或从高位降至低位）。

5. 意义与影响 (Significance)

• 填补了行业空白：BRIDG-ICS 解决了现有工具无法统一建模 IT/OT 语义和动态攻击行为的痛点，为工业 5.0 环境提供了首个端到端的统一威胁分析框架。
• 提升态势感知：通过 LLM 增强，系统能够“理解”非结构化威胁情报，将隐性的依赖关系显性化，使安全分析师能够看到以前无法察觉的攻击链。
• 量化韧性：框架不仅定性分析威胁，还通过概率模型量化了攻击可能性和控制措施的效果，为资源分配和防御策略优化提供了数据支撑。
• 推动自主防御：该框架为构建自主、自适应的工业安全生态系统奠定了基础，未来可结合代理 AI (Agentic AI) 实现实时的威胁假设生成和自动缓解。

总结：BRIDG-ICS 通过结合知识图谱的结构化推理能力和大语言模型的语义理解能力，成功构建了一个能够模拟、分析和量化工业 5.0 复杂网络物理威胁的智能平台，显著提升了工业系统的网络韧性。