工控系统涉及众多关键基础设施,一旦受到攻击将造成惨重的经济损失,然而工控网络相对比较封闭,内部没有足够的数据支撑,缺乏对于外部威胁的应对能力,并且传统的网络安全分析方法具有一定限制,只能预测已知攻击,无法预测未知攻击。为了提高工控网络安全分析能力,本文提出了一种数据驱动的工控网络安全分析框架,并围绕工控网络安全知识图谱的构建和应用开展研究。针对工控网络安全分析缺乏数据支撑的问题,本文将互联网中海量、异构的开源网络安全语料转化为结构化的知识,与工控网络结构融合构建工控网络安全知识图谱,针对知识图谱的构建技术进行了研究。首先定义了知识图谱本体结构,涉及资产、场景和漏洞三个维度,针对漏洞维度和场景维度中的数据进行解析,并采用基于Res PCNN-ATT的关系抽取模型进行关系抽取,获得工控网络的外部安全情报知识,与工控网络结构融合构建工控网络安全知识图谱,并利用图数据库Neo4j进行存储和可视化分析,为工控网络安全分析提供结构化的数据来源,增强了工控网络应对外部威胁的能力,便于工控网络安全分析和可视化。进一步针对传统网络安全分析方法无法预测未知攻击等问题,将安全分析任务转换为知识图谱的下游任务,提出基于工控网络安全知识图谱补全的应用分析框架,利用知识补全任务挖掘隐藏的漏洞关系,预测未知威胁,并补全知识以完备工控网络安全分析的数据基础,在此基础上定义了CWE弱点链关联规则,通过分析工控网络安全知识图谱中CWE实体对与资产之间的统计关系,挖掘工控网络中的隐藏CWE弱点链,辅助工控网络安全分析和决策。针对工控网络安全知识补全任务,本文引入了漏洞实体描述的语义信息,提出了一个融合实体描述信息的知识补全架构,设置了门控单元结构控制实体和实体描述信息的融合,并将门控单元扩展到仅考虑图结构的Conv E和Dist Mult模型上,提高了工控网络安全实体预测和关系预测的准确性。