随着工业化和信息化的逐渐融合,使得工业控制系统（Industrial Control System,ICS;简称工控系统）内部控制网络逐渐与外部网络互联互通。不可避免的打破了工控系统原有软硬件的封闭性,容易遭受到更多的攻击。工业控制系统遍及石油、化工和电力等典型行业,是国家工业关键信息基础设施中的重要组成部分,不同于传统计算机网络,工控系统一旦遭受到攻击,造成的后果将直接影响到工业生产甚至是人身安全。因此,针对工控系统安全的研究变得十分迫切。本文把工控系统漏洞库与知识图谱结合起来对构建工控系统漏洞知识图谱展开研究。首先通过对工控系统漏洞及相关工控安全领域数据进行分析,构建工控系统漏洞知识图谱的本体模型;然后对工控系统漏洞数据进行抓取、分析、处理和存储,完成基本工控系统漏洞知识图谱的构建;最后为针对工控系统漏洞知识图谱后续漏洞利用链预测等应用需求,针对非结构化漏洞信息信息分析,挖掘漏洞利用的先决特权和后置特权。本文采用自顶向下的构建方式构建工控系统漏洞知识图谱。首先对工控系统漏洞知识图谱进行知识建模,根据现有工控漏洞及相关数据源结合构建工控系统漏洞知识图谱的应用目标进行分析,列出相关的本体及约束条件,再基于专家知识构建出工控系统漏洞知识图谱本体模型;第二步进行知识获取,根据本体模型中的本体、属性和关系对数据源进行选取,然后制定相关的规则利用网络爬虫的方式获取多源数据集;第三步进行知识融合,它包含了数据的拆分、去重和合并三方面,其中本文构建了包含供应商、设备型号和设备版本的字典,使用规则匹配的方法对相关数据进行拆分,同时为提高数据准确性,基于专家知识制定规则实现数据的去重与合并;为了便于对工控系统漏洞知识图谱更新与维护,本文使用基于图数据库的存储方式进行知识存储,根据制定关联规则,将实体映射到工控系统漏洞知识图谱的本体模型中,得到[实体,关系,实体]形式的三元组数据,最后将三元组数据存储到图数据库中,完成工控系统漏洞知识图谱的构建。为了工控系统漏洞知识图谱后续可应用于对潜在利用链进行预测,本文提出一种基于规则匹配的漏洞先决特权和后置特权生成方法。利用系统的专家知识首先对漏洞特权进行分类;然后归纳总结分别得到各漏洞特权类别的有效特征。生成的漏洞先决特权和后置特权作为漏洞的两个新属性添加到工控系统漏洞知识图谱中。本文最后设计并实现了一个构建工控系统漏洞知识图谱的系统。构建工控系统漏洞知识图谱有利于用户对漏洞起因、原理及造成的影响等信息进行深度的分析,同时有利于用户确认自身工控网络系统或设备潜在的安全威胁,及时采取防护措施,制定有效的防御策略,从而降低工控安全事件发生的可能性。