CN115865536B - 一种基于人工智能的工控信息安全防御系统及方法 - Google Patents

Abstract

本发明涉及信息安全防御技术领域，具体为一种基于人工智能的工控信息安全防御系统及方法，包括：预处理模块、数据库、信息识别模块、安全分析模块、数据处理模块和数据反馈模块；通过所述预处理模块获取用户身份信息和历史策略方案，设置用户访问权限；通过所述数据库存储所有历史数据和用户信息；通过所述信息识别模块对用户访问信息、外部设备连接和设备断电进行识别；通过所述安全分析模块对人物匹配、数据检测和断电预测进行综合评估；通过所述数据处理模块建立防御策略模型，并根据最优策略进行处理；通过所述数据反馈模块对安全风险信息进行反馈；极大的提高了系统的安全防御性能。

Description

一种基于人工智能的工控信息安全防御系统及方法

技术领域

本发明涉及信息安全防御技术领域，具体为一种基于人工智能的工控信息安全防御系统及方法。

背景技术

随着社会的不断发展，工控系统广泛应用于工业、电力、能源、公用事业和生产企业，它通过对设备工作过程自动化监测、指挥、控制和调节保证工业设施的正常运转，是国家关键基础设施和信息系统的重要组成部分。

随着企业对实现管理和控制一体化需求的增加，工控系统与信息系统逐步进行数据交换，实现网络化集成，但却使得工业生产过程中工控系统遭遇到许多的安全性问题：如黑客入侵、大面积停电、外部设备连接等突发性问题，此时，由于工控系统无法及时制定防御策略，则对企业造成许多的损失。

所以，人们需要一种基于人工智能的工控信息安全防御系统及方法来解决上述问题，根据用户身份调整访问权限，同时对人物匹配、数据检测和断电预测进行综合评估，制定最优防御策略，极大的提高了工控系统的安全防御能力。

发明内容

本发明的目的在于提供一种基于区块链的信息传播系统及方法，以解决上述背景技术中提出的问题。

为了解决上述技术问题，本发明提供如下技术方案：一种基于人工智能的工控信息安全防御方法，包括以下步骤：

S1：获取用户身份信息和历史策略方案，设置用户访问权限；

S2：将步骤S1中用户身份信息、访问权限和历史策略方案存储至数据库；

S3：识别用户访问信息、外部设备连接和设备工作状态，根据步骤S1对人物匹配、数据检测和设备工作状态进行综合评估；

S4：根据步骤S3的综合评估结果建立防御策略模型，并根据最优策略进行处理；

S5：对安全风险信息和策略方案进行反馈。

进一步的，在步骤S1中：获取用户身份信息和历史策略方案，设置用户访问权限，具体步骤如下：

S101：系统获取所有用户的身份信息和相应的密钥数据，形成身份集：

A={a_i},i=1,2,…,α；

其中，a_i表示某一用户名称和相应的密钥数据；

S102：保留全部访问区域X={x_j},j=1,2,…,β，根据用户信息的重要程度改变不同的访问权限；其中，x_j表示工控设备的所有访问区域；

S103：获取历史数据中工控设备的安全策略方案，形成安全策略集：C；

在步骤S102中，还包括以下步骤：

S102_1：根据用户信息确认用户身份的重要程度n_i；

S102_2：遍历身份集A，获取用户访问记录，形成区域访问集：B={b_i},i=1,2,…,α；其中，b_i表示用户a_i访问的所有位置区域；

提取并遍历用户a_i的区域访问记录b_i={x_q},q=1,2,…,γ,x_q∈X，其中，x_q表示用户a_i访问工控设备的所有记录；

分析访问区域的一致性：

Y=(∑^γ-q _δ=1!(x_q-x_q+δ))/(γ-q),q=1,2,…,γ；

当Y﹥φ时，其中，φ为区域比较阈值，表示用户a_i访问的工控信息区域一致，利用统计算法记录区域一致个数，形成个数集：{ε_q},q=1,2,…,γ；

S102_3：确认任意用户身份a_i的区域访问重要程度：判断用户访问区域一致的个数ε_q是否大于μ，若是，则根据一致区域的个数确认区域访问重要程度：

m_i=[(ε_q-μ)×m_*]/(γ-μ)；

反之，则m_i=0；其中，μ表示个数阈值，会随着用户身份的重要程度n_i变化，m_*表示区域重要程度参数，由全部访问区域X决定；

S102_4：根据用户信息的重要程度确认任意用户身份a_i访问权限：

X_i=ο*n_i*(1+m_i)X；

其中，X_i表示用户a_i的访问权限，ο表示系统访问安全指数，X表示工控信息的全部访问区域。

进一步的，在步骤S2中：利用数据库存储所有历史安全策略集C和所有用户访问信息。

进一步的，在步骤S3中：对人物匹配、数据检测和断电预测进行综合评估，具体步骤如下：

S301：匹配用户身份，确认用户信息；

S302：在工控设备接口处设置一个触发端，确认用户a_ψ的危险指数后，识别到接入外部设备r，则利用入侵检测算法对设备r进行安全性能检测，确定设备风险指数为d；

S303：用户a_ψ利用权限使工控系统工作时，分析工控系统运行的故障风险，得到故障风险指数h；

S304：利用线性方程对数据建立风险评估模型：

E=Γk_ψ*(d+h)；

其中，Γ表示信息安全风险参数；

在步骤S301中，还包括以下步骤：

S301_1：识别到用户输入的身份信息：a_ψ，利用字符比较法将a_ψ中的密钥数据与身份集A进行比对，若数据a_ψ∈A，则身份匹配成功，反之，则身份匹配失败，禁止用户访问；

S301_2：分析密钥数据输入的速度，确认用户信息：调取身份集A中用户a_ψ的密钥数据S_ψ={s_v},v=1,2,…,σ；同时，获取时间数据t={t_v},v=1,2,…,σ，得到密钥输入的总时长：

T_ψ=∑^σ _v=1t_v；

其中，s_v表示密钥数据的某一个符号，t_v表示密钥中某一个符号输入的时间；

根据总时长T_ψ=∑^σ _v=1t_v得到密钥输入速度：V_ψ=σ/T=σ/(∑^σ _v=1t_v)，若V_ψ﹥ω，其中ω为所设速度阈值，表示用户输入密钥数据的速度快，反之，若V_ψ﹤ω，表示用户输入密钥数据的速度慢；此时，得到用户a_ψ危险指数：K_ψ的取值为：

当V_ψ﹥ω时，K_ψ=1/((V_ψ-ω)*(1/k_*))；当V_ψ﹤ω时，K_ψ=1/k_*；

其中，1/K_*表示用户风险参数，由身份集A决定；

在步骤S303中，还包括以下步骤：

S303_1：将处于同一时间点的所有设备工作电压利用卡尔曼滤波理论进行融合处理，得到电压信息：U={u_t},t=1,2,…,χ；

获取被控设备的任意时间段的工作总电压：u^︿=∑_tu_t，则得到单个被控设备的平均工作电压为：u=u^︿/z=(∑_tu_t)/z；

其中，∑_tu_t表示时间段t时所有设备电压u_t的和，z表示被控设备的数量；

S303_2：获取任意时间段t的所有设备电压u_t={υ_ρ},ρ=1,2,…,z，遍历u_t，分析被控设备在时间段t时的工作电压变化情况：

若｜υ_ρ-u|＜ζ，表示平均工作电压与实时工作电压变化不大，表明电路工作状态正常；则无需对工控系统的工作电压进行调整；

反之，若｜υ_ρ-u|＞ζ，表示平均工作电压与实时工作电压变化大，此时工控系统电路存在故障风险；其中，υ_ρ表示时间段t时的某一被控设备电压，ζ表示电压变化阈值；

S403_3：确认设备故障风险指数：遍历u_t，利用统计算法获取｜υ_ρ-u|＞ζ的个数e，则得到故障风险指数

h=(h_*×｜υ_ρ-u|×e)/(ζ×z)；

当存在故障风险的设备个数e占总设备z的比重越高，则工控系统工作故障的风险指数越高；其中，h_*表示设备故障参数。

进一步的，在步骤S4中：根据风险评估模型建立防御策略模型，并根据最优方案进行数据处理，具体步骤如下：

S401：获取风险评估模型E，根据任意用户a_i的不同操作方法，得到安全风险集合：

E^︿={E_w},w=1,2,…,g；

其中，E_w表示每一个风险数值区间，其中区间规划根据人物匹配、数据检测和断电预测的比重进行分配；

同时获取安全策略集C={c_f},f=1,2,…,θ，由安全策略集C和安全风险集合E^︿获得收益矩阵M：

M由θ行g列构成，则任意第f行矩阵数据为｛M_f1，M_f2，…，M_fg｝；任意第w列矩阵数据为｛M_1w，M_2w，…，M_θw｝；

其中，c_f表示每一条安全策略，f表示某一个安全策略，w表示某一个安全风险，θ表示安全策略总数量，g表示安全风险总数量，收益矩阵M中的M_fw表示在安全策略c_f和安全风险E_w时的收益；

S402：根据最优方案进行数据处理：确定安全风险评估值E_w，则得到最优防御策略为：

max{max_w(M_1w),max_w(M_2w),…,max_w(M_θw)}，

此时，根据最优防御策略进行数据处理。

进一步的，在步骤S6中：对安全风险信息进行反馈，具体步骤如下：

S601：对工控系统的安全风险数据进行反馈；

S602：对系统最优防御策略进行反馈。

一种基于人工智能的工控信息安全防御系统，所述系统包括：预处理模块、数据库、信息识别模块、安全分析模块、数据处理模块和数据反馈模块；

所述预处理模块的输出端连接所述数据库的输入端，所述数据库的输出端连接所述信息识别模块的输入端，所述信息识别模块的输出端连接所述安全分析模块的输入端，所述安全分析模块的输出端连接所述数据处理模块的输入端，所述数据处理模块的输出端连接所述数据反馈模块的输入端；

通过所述预处理模块获取用户身份信息和历史策略方案，设置用户访问权限；

通过所述数据库存储所有历史数据和用户信息；

通过所述信息识别模块对用户访问信息、外部设备连接和设备断电进行识别；

通过所述安全分析模块对人物匹配、数据检测和断电预测进行综合评估；

通过所述数据处理模块根据评估数据和历史策略建立防御策略模型，并根据最优策略进行处理；

通过所述数据反馈模块对安全风险信息进行反馈，并告知相关人员。

进一步的，所述预处理模块包括身份采集单元、权限设置单元和策略获取单元；

所述身份采集单元用于采集所有用户的身份信息和密钥数据；所述权限设置单元用于根据用户信息的重要程度设置不同的访问权限；所述策略获取单元用于获取历史数据中工控设备的安全策略方案，形成防御策略集。

进一步的，所述数据库用于存储所有历史策略数据和所有用户访问信息。

进一步的，所述信息识别模块包括信息识别单元、接口识别单元和设备识别单元；

所述信息识别单元用于识别用户身份信息；所述接口识别单元用于当用户进入工控系统进行访问时，识别是否存在外部设备的接入；所述设备识别单元用于识别工控设备的工作状态。

进一步的，所述安全分析模块包括人物匹配单元、数据检测单元、电路预测单元和风险评估单元；

所述人物匹配单元用于匹配用户身份，确认用户信息，并将身份信息发送至所述风险评估单元；所述数据检测单元用于检测外部接入设备的安全性能，并将设备安全性能发送至所述风险评估单元；所述电路预测单元用于分析工控设备的故障风险，并将故障风险发送至所述风险评估单元；所述风险评估单元用于对数据建立评估模型。

进一步的，所述数据处理模块包括策略规划单元和最优方案实施单元；

所述策略规划单元用于根据评估模型进行策略规划，优化方案数据；所述最优方案实施单元用于确认最优方案，进行安全预防。

进一步的，所述数据反馈模块包括风险反馈单元和策略反馈单元；

所述风险反馈单元用于对工控系统的安全风险信息进行反馈；所述策略反馈单元用于对系统最优防御策略进行反馈。

与现有技术相比，本发明所达到的有益效果是：

本发明通过根据用户信息的重要程度改变不同用户的访问权限，当同一用户访问某一块区域次数超过阈值，则根据访问次数判断用户工作区间，选择性进行权限开放，有利于有利于减少信息的暴露性，提高系统的安全性能；通过匹配并确认用户身份，同时分析用户输入密钥的速度，确认用户对密钥输入的熟练度，提高对用户身份确认的准确性，防止因黑客入侵导致信息暴露的事件发生；通过利用入侵检测算法对设备进行安全性能检测，分析接入设备的安全指数，极大的预防了外部病毒入侵的可能性；通过利用卡尔曼滤波理论对同一时间点的所有设备工作电压进行融合处理，减少了系统计算误差，提高数据分析的效率；通过比较平均工作电压和实时工作电压，建立工作设备故障风险模型，有利于对设备工作状态的确认；通过对人物匹配、数据检测和断电预测进行综合评估，有利于后续防御策略的评估与实施；通过根据安全策略集和风险评估模型建立防御策略模型，有利于分析系统异常原因，寻找最优解决策略，极大的提高了系统的安全防御机制；通过根据防御策略模型确认最优策略，进行自动处理，系统无法处理的利用数据反馈系统告知相关人员，提高了系统的智能性，为用户提高了便利性。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1是本发明一种基于人工智能的工控信息安全防御系统的结构图；

图2是本发明一种基于人工智能的工控信息安全防御方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1-图2，本发明提供技术方案：一种基于人工智能的工控信息安全防御方法，包括以下步骤：

S1：获取用户身份信息和历史策略方案，设置用户访问权限；

在步骤S1中：获取用户身份信息和历史策略方案，设置用户访问权限，具体步骤如下：

S101：系统获取所有用户的身份信息和相应的密钥数据，形成身份集：A={a_i},i=1,2,…,α；其中，a_i表示某一用户名称和相应的密钥数据；

S102：工控系统存在若干个访问区域，形成访问区域X={x_j},j=1,2,…,β，根据用户信息的重要程度改变不同的访问权限；其中，x_j表示工控设备的所有访问区域；

S103：获取历史数据中工控设备的安全策略方案，形成安全策略集：C，包括进行数据隔离、系统更新，安全加固、数据备份和调取记录自动恢复；

在步骤S102中，还包括以下步骤：

S102_1：根据用户信息确认用户身份的重要程度n_i；

S102_2：遍历身份集A，获取用户访问记录，形成区域访问集：B={b_i},i=1,2,…,α；提取并遍历用户a_i的区域访问记录b_i={x_q},q=1,2,…,γ,x_q∈X，其中，b_i表示用户a_i访问的所有位置区域，x_q表示用户a_i访问工控设备的所有记录；

分析访问区域的一致性：

Y=(∑^γ-q _δ=1!(x_q-x_q+δ))/(γ-q),q=1,2,…,γ；

其中，!(x_q-x_q+δ)表示同一用户a_i访问区域与其它访问区域的一致的非，Y表示同一用户a_i访问区域一致的概率；

当Y﹥φ时，其中，φ为区域比较阈值，表示用户a_i访问的工控信息区域一致，利用统计算法记录区域一致个数，形成个数集：{ε_q},q=1,2,…,γ；反之，若Y﹤φ，表示用户a_i对每一块访问的工控信息区域次数均很少，此时，则进行筛选；

其中，所述统计算法属于本领域技术人员的常规技术手段，因此，并未做出过多的赘述；

S102_3：确认任意用户身份a_i的区域访问重要程度：判断用户访问区域一致的个数ε_q是否大于μ，若是，则根据一致区域的个数确认区域访问重要程度：

m_i=[(ε_q-μ)×m_*]/(γ-μ)；

其中，(ε_q-μ)/(γ-μ)表示用户a_i访问同一个区域次数在所有访问次数中的占比，m_*表示区域重要程度参数，由全部访问区域X决定；

当访问区域次数越多，占比越高，则重要程度越高；反之，若区域访问个数小于μ，则m_i=0，则表示该访问区域对用户a_i的重要程度低；

其中，μ表示个数阈值，会随着用户身份的重要程度n_i变化；

S102_4：根据用户信息的重要程度确认任意用户身份a_i访问权限：

X_i=ο*n_i*(1+m_i)X；

所述访问权限X_i会根据用户访问区域、访问次数ε_q和用户身份a_i进行改变；当访问某一块区域次数超过阈值，则根据访问次数判断用户工作区间，选择性进行权限开放；

其中，X_i表示用户a_i的访问权限，ο表示系统访问安全指数，X表示工控信息的全部访问区域。

S2：将步骤S1中用户身份信息、访问权限和历史策略方案存储至数据库；

在步骤S2中：利用数据库存储所有历史安全策略集C和所有用户访问信息。

S3：对用户访问信息、外部设备连接和设备断电进行识别；在步骤S3中：对用户访问信息、外部设备连接和设备断电进行识别，具体包括：

S301：识别到用户输入的身份信息为a_ψ；

S302：确认用户a_ψ的危险指数后，识别到接入外部设备r；

S303：识别系统运行工作状态。

S4：根据步骤S1和步骤S3对人物匹配、数据检测和设备工作状态进行综合评估；

在步骤S4中：对人物匹配、数据检测和断电预测进行综合评估，具体步骤如下：

S401：匹配用户身份，确认用户信息；

S402：在工控设备接口处设置一个触发端，确认用户a_ψ的危险指数k_ψ后，识别到触发信号，此时识别到接入外部设备r，则利用入侵检测算法对设备r进行安全性能检测，确定设备风险指数为d；

所述入侵检测算法包括实时入侵检测和事后入侵检测；所述实时入侵检测在网络连接过程中进行，发现入侵迹象立即断开当前连接，并收集证据和实施数据恢复；所述事后入侵检测由安全人员进行检测；

S403：用户a_ψ利用权限使工控系统工作时，分析工控系统运行的故障风险，得到故障风险指数h；

S404：利用线性方程对数据建立风险评估模型：

E=Γk_ψ*(d+h)；

其中，d和h均是以确认用户信息a_ψ为前提，则d和h的确认与k_ψ有关，同时，外部接入风险与设备故障风险的关联性不大；Γ表示信息安全风险参数。

在步骤S401中，还包括以下步骤：

S401_1：识别到用户输入的身份信息：a_ψ，利用字符比较法将a_ψ中的密钥数据与身份集A进行比对，若判定数据a_ψ∈A，表示用户a_ψ在工控设备使用名单内，则身份匹配成功，

反之，则身份匹配失败，表示有未知人员想要访问系统，此时禁止用户访问；其中，所述字符比较法属于本领域技术人员的常规技术手段，因此，并未做出过多的赘述；

S401_2：分析密钥数据输入的速度，确认用户信息：调取身份集A中用户a_ψ的密钥数据S_ψ={s_v},v=1,2,…,σ；同时，获取时间数据t={t_v},v=1,2,…,σ，得到密钥输入的总时长：

T_ψ=∑^σ _v=1t_v；

根据总时长T_ψ=∑^σ _v=1t_v得到密钥输入速度：

V_ψ=σ/T=σ/(∑^σ _v=1t_v)，

根据速度大小判断安全风险：若V_ψ＞ω，其中ω为所设速度阈值，表示用户输入密钥数据的速度快，对密钥信息的熟练度高，此时，安全风险低；

反之，若V_ψ＜ω，表示用户输入密钥数据的速度慢，对密钥信息的熟练度较低；此时，用户危险指数较高，则得到用户a_ψ危险指数：K_ψ的取值为：

当V_ψ﹥ω时，K_ψ=1/((V_ψ-ω)*(1/k_*))；当V_ψ﹤ω时，K_ψ=1/k_*；

其中，s_v表示密钥数据的某一个符号，t_v表示密钥中某一个符号输入的时间，1/K_*表示用户风险参数，由身份集A决定，当速度大小V_ψ越快，1/(V_ψ-ω)越小，则危险概率K_ψ越小，说明用户身份越准确；

在步骤S403中，还包括以下步骤：

S403_1：将处于同一时间点的所有设备工作电压利用卡尔曼滤波理论进行融合处理，得到电压信息：U={u_t},t=1,2,…,χ；其中，所述卡尔曼滤波理论是由系统输入输出观测数据，对系统状态进行最优估计的算法，减少系统计算误差；

获取被控设备的任意时间段的工作总电压：u^︿=∑_tu_t，则得到单个被控设备的平均工作电压为：u=u^︿/z=(∑_tu_t)/z；

其中，∑_tu_t表示时间段t时所有设备电压u_t的和，z表示被控设备的数量；

S403_2：获取任意时间段t的所有设备电压u_t={υ_ρ},ρ=1,2,…,z，遍历u_t，分析被控设备在时间段t时的工作电压变化情况：

若｜υ_ρ-u|＜ζ，表示平均工作电压与实时工作电压变化不大，表明电路工作状态正常；则无需对工控系统的工作电压进行调整；

反之，若｜υ_ρ-u|＞ζ，表示平均工作电压与实时工作电压变化大，此时工控系统电路存在故障风险；其中，υ_ρ表示时间段t时的某一被控设备电压，ζ表示电压变化阈值；

S403_3：确认设备故障风险指数：遍历u_t，利用统计算法获取｜υ_ρ-u|＞ζ的个数e，则得到故障风险指数

h=(h_*×｜υ_ρ-u|×e)/(ζ×z)；

当存在故障风险的设备个数e占总设备z的比重越高，则工控系统工作故障的风险指数越高；其中，h_*表示设备故障参数；

S5：建立防御策略模型，并根据最优策略进行处理；

在步骤S5中：根据风险评估模型建立防御策略模型，并根据最优方案进行数据处理，具体步骤如下：

S501：获取风险评估模型E，根据任意用户a_i的不同操作方法，得到安全风险集合：

E^︿={E_w},w=1,2,…,g；

其中，E_w表示每一个风险数值区间，其中区间规划根据人物匹配、数据检测和断电预测的比重进行分配；

同时获取安全策略集C={c_f},f=1,2,…,θ，由安全策略集C和安全风险集合E^︿获得收益矩阵M：

M由θ行g列构成，则任意第f行矩阵数据为｛M_f1，M_f2，…，M_fg｝；任意第w列矩阵数据为｛M_1w，M_2w，…，M_θw｝；

其中，c_f表示每一条安全策略，f表示某一个安全策略，w表示某一个安全风险，θ表示安全策略总数量，g表示安全风险总数量，收益矩阵M中的M_fw表示在安全策略c_f和安全风险E_w时的收益；

S502：根据最优方案进行数据处理：确定安全风险评估值E_w，则得到最优防御策略为：

max{max_w(M_1w),max_w(M_2w),…,max_w(M_θw)}，

此时，根据最优防御策略进行数据处理。

S6：对安全风险信息进行反馈并告知相关人员；

在步骤S6中：对安全风险信息进行反馈，具体步骤如下：

S601：对工控系统的安全风险数据进行反馈；

S602：对系统最优防御策略进行反馈。

一种基于人工智能的工控信息安全防御系统，系统包括：预处理模块、数据库、信息识别模块、安全分析模块、数据处理模块和数据反馈模块；

所述预处理模块的输出端连接所述数据库的输入端，所述数据库的输出端连接所述信息识别模块的输入端，所述信息识别模块的输出端连接所述安全分析模块的输入端，所述安全分析模块的输出端连接所述数据处理模块的输入端，所述数据处理模块的输出端连接所述数据反馈模块的输入端；

通过所述预处理模块获取用户身份信息和历史策略方案，设置用户访问权限；

所述预处理模块包括身份采集单元、权限设置单元和策略获取单元；

所述身份采集单元用于获取所有用户输入的身份信息和密钥数据；所述权限设置单元用于根据用户信息的重要程度设置不同的访问权限；所述策略获取单元用于获取历史数据中工控设备的安全策略方案，形成防御策略集。

通过所述数据库存储所有历史数据和用户信息；

所述数据库用于存储所有历史策略数据和所有用户访问信息。

通过所述信息识别模块对用户访问信息、外部设备连接和设备断电进行识别；

所述信息识别模块包括信息识别单元、接口识别单元和设备识别单元；

所述信息识别单元用于识别用户身份信息；所述接口识别单元用于当用户进入工控系统进行访问时，识别是否存在外部设备的接入；所述设备识别单元用于识别工控设备的工作状态。

通过所述安全分析模块对人物匹配、数据检测和断电预测进行综合评估；

所述安全分析模块包括人物匹配单元、数据检测单元、电路预测单元和风险评估单元；

所述人物匹配单元用于匹配用户身份，确认用户信息，并将身份信息发送至所述风险评估单元；所述数据检测单元用于检测外部接入设备的安全性能，并将设备安全性能发送至所述风险评估单元；所述电路预测单元用于分析工控设备的故障风险，并将故障风险发送至所述风险评估单元；所述风险评估单元用于对数据建立评估模型。

通过所述数据处理模块根据评估数据和历史策略建立防御策略模型，并根据最优策略进行处理；

所述数据处理模块包括策略规划单元和最优方案实施单元；

所述策略规划单元用于根据评估模型进行策略规划，优化方案数据；所述最优方案实施单元用于确认最优方案，进行安全预防。

通过所述数据反馈模块对安全风险信息进行反馈，并告知相关人员。

所述数据反馈模块包括风险反馈单元和策略反馈单元；

所述风险反馈单元用于对工控系统的安全风险信息进行反馈；所述策略反馈单元用于对系统最优防御策略进行反馈。

实施例一：

在步骤S1中：获取用户身份信息和历史策略方案，设置用户访问权限，具体步骤如下：

S101：系统获取所有用户的身份信息和相应的密钥数据，形成身份集：A={a_i},i=1,2,…,50；

S102：保留全部访问区域X={x_j},j=1,2,…,1000，根据用户信息的重要程度改变不同的访问权限；其中，x_j表示工控设备的所有访问区域；

S103：获取历史数据中工控设备的安全策略方案，形成安全策略集：C，包括如进行数据隔离、系统更新，安全加固、数据备份和调取记录自动恢复；

在步骤S102中，还包括以下步骤：

S102_1：根据用户信息确认任意用户身份a_i在所有用户信息中的重要程度n_i；

S102_2：遍历身份集A，获取用户访问记录，形成区域访问集：B={b_i},i=1,2,…,50；其中，b_i表示用户a_i访问的所有位置区域；

S102_3：根据任意用户a_i的区域访问记录b_i确认用户访问区域的重要程度：

提取并遍历用户a_i的区域访问记录b_i={x_q},q=1,2,…,200，分析访问区域的一致性：

Y=(∑^200-q _δ=1!(x_q-x_q+δ))/(200-q),q=1,2,…,200；

当Y>0.9时，表示用户a_i访问的工控信息区域一致，利用统计算法记录区域一致个数，形成个数集：{ε_q},q=1,2,…,200；反之，若Y<0.9，表示用户a_i访问的工控信息区域不存在一致性，进行筛选；其中，x_q表示用户a_i访问工控设备的所有记录；

确认任意用户身份a_i的区域访问重要程度：判断用户访问区域一致的个数ε_q是否大于10，若是，则根据一致区域的个数确认区域访问重要程度：

m_i=[(ε_q-10)×(1/2)]/(200-10)=(ε_q-10)/380；

反之，则m_i=0；

S102_3：根据用户信息的重要程度确认任意用户身份a_i访问权限：X_i=0.7*(3/5) *(1+(ε_q-10)/380)X=(21/50)*(1+(ε_q-10)/380)X；

其中，X表示工控信息的全部访问区域

所述访问权限会根据用户访问区域、访问次数和用户身份进行改变；当访问某一块区域次数超过阈值，则根据访问次数判断用户工作区间，选择性进行权限开放。

在步骤S2中：利用数据库存储所有历史安全策略集C和所有用户访问信息。

在步骤S3中：对用户访问信息、外部设备连接和设备断电进行识别，具体包括：

S301：识别到用户输入的身份信息为a_ψ=｛“王小小：wangxiaoxiao1268”｝；

S302：确认用户a_ψ的危险指数后，识别到接入外部设备r；

S303：识别系统运行工作状态。

在步骤S4中：对人物匹配、数据检测和断电预测进行综合评估，具体步骤如下：

S401：匹配用户身份，确认用户信息；

S402：在工控设备接口处设置一个触发端，确认用户a_ψ的危险指数后，识别到触发信号，此时识别到接入外部设备r，则利用入侵检测算法对设备r进行安全性能检测，确定设备风险指数为d；

所述入侵检测算法包括实时入侵检测和事后入侵检测；所述实时入侵检测在网络连接过程中进行，发现入侵迹象立即断开当前连接，并收集证据和实施数据恢复；所述事后入侵检测由安全人员进行检测；

S403：用户a_ψ利用权限使工控系统工作时，分析工控系统运行的故障风险h；

S404：利用线性方程对数据建立风险评估模型：E=(1/2)*k_ψ*(d+h)。

在步骤S401中，还包括以下步骤：

S401_1：识别到用户输入的身份信息：a_ψ=｛“王小小：wangxiaoxiao1268”｝，利用字符比较法将a_ψ中的密钥数据与身份集A进行比对，得到a_ψ∈A，则用户身份匹配成功；

S401_2：分析密钥数据输入的速度，确认用户信息：调取身份集A中用户a_ψ的密钥数据S_ψ={s_v},v=1,2,…,16；同时，获取时间数据t={1,1,1,…,1,1,1},v=1,2,…,16，得到密钥输入的总时长：

T_ψ=∑¹⁶ _v=1t_v=16s；

根据总时长T_ψ=∑¹⁶ _v=1t_v得到密钥输入速度：V_ψ=σ/T=16/16=1，根据速度大小判断安全风险：此时，V_ψ>0.6，表示用户输入密钥数据的速度慢；此时，得到用户a_ψ危险指数：K_ψ的取值为：

当V_ψ﹥0.6时，K_ψ=1/((V_ψ-0.6)*(1/5))；当V_ψ﹤0.6时，K_ψ=1/5；

在步骤S403中，还包括以下步骤：

S403_1：将处于同一时间点的所有设备工作电压利用卡尔曼滤波理论进行融合处理，得到电压信息：U={u_t},t=1,2,…,χ；

获取被控设备的时间段为1时的工作总电压：u^︿=∑₁u₁=600V，则得到单个被控设备的平均工作电压为：u=u^︿/100=600/100=6V；

S403_2：获取任意时间段1时的所有设备电压u₁={υ_ρ},ρ=1,2,…,100，遍历u₁，分析被控设备在时间段1时的工作电压变化情况：

若∣υ_ρ-6∣＜50，表示电路工作状态正常；则无需对工控系统的工作电压进行调整，反之，若∣υ_ρ-6∣＞50，则表示工控系统电路存在故障风险；

S403_3：确认设备故障风险指数：遍历u₁，利用统计算法获取∣υ_ρ-6∣＞50的个数e，则得到故障风险指数h=(1/10)*(∣υ_ρ-6∣/50)*(e/10)；

在步骤S5中：根据风险评估模型建立防御策略模型，并根据最优方案进行数据处理，具体步骤如下：

S501：获取安全策略集C=｛c_f｝=｛“数据隔离”,“数据备份”,“电压自动化调整”｝，建立防御策略模型；

S502：根据最优方案进行数据处理：确定安全风险评估值E_w，则得到最优防御策略为：｛数据备份”,“电压自动化调整”｝，此时，根据最优防御策略进行数据处理；

在步骤S501中，还包括以下步骤：

S501_1：获取风险评估模型E，根据用户a_ψ=｛“王小小：wangxiaoxiao1268”｝的不同操作方法，得到安全风险集合E^︿。

S501_2：由安全策略集C和安全风险集合E^︿获得收益矩阵M：

M由θ行g列构成，则任意第f行矩阵数据为｛M_f1，M_f2，M_f3｝；任意第w列矩阵数据为｛M_1w，M_2w，M_3w｝；

其中，M_fw表示在安全策略c_f和安全风险E_w时的收益；在步骤S6中：对安全风险信息进行反馈，具体步骤如下：

S601：对工控系统的安全风险数据进行反馈；

S602：对系统最优防御策略进行反馈。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (3)

1.一种基于人工智能的工控信息安全防御方法，其特征在于：包括以下步骤：

S1：获取用户身份信息和历史数据中工控设备的安全策略方案，设置用户访问权限；

S2：将步骤S1中用户身份信息、访问权限和历史数据中工控设备的安全策略方案存储至数据库；

S3：识别用户身份信息、外部设备连接和设备工作状态，根据步骤S1对身份匹配、设备检测和设备工作状态进行综合评估；

S4：根据步骤S3的综合评估结果建立防御策略模型，并根据最优策略进行处理；

S5：对安全风险信息和策略方案进行反馈；

在步骤S1中：获取用户身份信息和历史数据中工控设备的安全策略方案，设置用户访问权限，具体步骤如下：

S101：系统获取所有用户的身份信息和相应的密钥数据，形成身份集：

A＝{a_i},i＝1,2,…,α；其中，a_i表示某一用户名称和相应的密钥数据；

S102：保留全部访问区域X＝{x_j},j＝1,2,…,β，根据用户身份信息的重要程度改变不同的访问权限；其中，x_j表示工控设备的访问区域j；

S103：获取历史数据中工控设备的安全策略方案，形成安全策略集：C；

在步骤S102中，还包括以下步骤：

S102_1：根据用户的身份信息确认用户身份的重要程度n_i；

S102_2：遍历身份集A，获取用户访问记录，形成区域访问集：B＝{b_i},i＝1,2,…,α；其中，b_i表示用户a_i访问的位置区域i；

提取并遍历用户a_i的区域访问记录b_i＝{x_q},q＝1,2,…,γ,x_q∈X，其中，x_q表示用户a_i访问工控设备的记录q；

分析访问区域的一致性：

；

当Y﹥φ时，其中，φ为区域比较阈值，表示用户a_i访问的工控信息区域一致，利用统计算法记录区域一致个数，形成个数集：{ε_q},q＝1,2,…,γ；

S102_3：确认任意用户身份a_i的区域访问重要程度：

判断用户访问区域一致的个数ε_q是否大于μ，若是，则根据一致区域的个数确认区域访问重要程度：

m_i＝[(ε_q-μ)×m_*]/(γ-μ)；

反之，则m_i＝0；其中，μ表示个数阈值，会随着用户身份的重要程度n_i变化，m_*表示区域重要程度参数，由全部访问区域X决定；

S102_4：根据用户身份信息的重要程度确认任意用户身份a_i访问权限：

X_i＝ο*n_i*(1+m_i)X；

其中，X_i表示用户a_i的访问权限，ο表示系统访问安全指数，X表示工控信息的全部访问区域；

在步骤S3中：对用户身份信息、外部设备连接和设备工作状态进行识别，具体包括：

S310：识别到用户输入的身份信息为a_ψ；

S320：确认用户a_ψ的危险指数后，识别到接入外部设备r；

S330：识别系统运行工作状态；

在步骤S3中：对身份匹配、设备检测和设备工作状态进行综合评估，具体步骤如下：

S301：匹配用户身份，确认用户身份信息；

S302：在工控设备接口处设置一个触发端，确认用户a_ψ的危险指数后，识别到接入外部设备r，则利用入侵检测算法对设备r进行安全性能检测，确定设备风险指数为d；

S303：用户a_ψ利用权限使工控系统工作时，分析工控系统运行的故障风险，得到故障风险指数h；

S304：利用线性方程对数据建立风险评估模型：E＝Γk_ψ*(d+h)；其中，Γ表示信息安全风险参数。

在步骤S301中，还包括以下步骤：

S301_1：识别到用户输入的身份信息：a_ψ，利用字符比较法将a_ψ中的密钥数据与身份集A进行比对，若数据a_ψ∈A，则身份匹配成功，反之，则身份匹配失败，禁止用户访问；

S301_2：分析密钥数据输入的速度，确认用户身份信息：调取身份集A中用户a_ψ的密钥数据S_ψ＝{s_v},v＝1,2,…,σ；同时，获取时间数据t＝{t_v},v＝1,2,…,σ，得到密钥输入的总时长：

其中，s_v表示密钥数据的某一个符号，t_v表示密钥中某一个符号输入的时间；

根据总时长

得到密钥输入速度：

若V_ψ﹥ω，其中ω为所设速度阈值，表示用户输入密钥数据的速度快，

反之，若V_ψ﹤ω，表示用户输入密钥数据的速度慢；此时，得到用户a_ψ危险指数：K_ψ的取值为：

当V_ψ﹥ω时，K_ψ＝1/((V_ψ-ω)*(1/k_*))；当V_ψ﹤ω时，K_ψ＝1/k_*；

其中，1/k_*表示用户风险参数，由身份集A决定。

在步骤S303中，还包括以下步骤：

S303_1：将处于同一时间点的所有设备工作电压利用卡尔曼滤波理论进行融合处理，得到电压信息：U＝{u_t},t＝1,2,…,χ；其中，u_t表示任意设备电压信息，χ表示所有设备的数量；

获取被控设备的任意时间段的工作总电压：u^︿＝∑_tu_t，则得到单个被控设备的平均工作电压为：u＝u^︿/z＝(∑_tu_t)/z；

其中，∑_tu_t表示时间段t时所有设备电压u_t的和，z表示被控设备的数量；

S303_2：获取任意时间段t的所有设备电压u_t＝{υ_ρ},ρ＝1,2,…,z，遍历u_t，分析被控设备在时间段t时的工作电压变化情况：

若|υ_ρ-u|＜ζ，表示平均工作电压与实时工作电压变化不大，表明电路工作状态正常；则无需对工控系统的工作电压进行调整；

反之，若|υ_ρ-u|＞ζ，表示平均工作电压与实时工作电压变化大，此时工控系统电路存在故障风险；其中，υ_ρ表示时间段t时的某一被控设备电压，ζ表示电压变化阈值；

S303_3：确认设备故障风险指数：遍历u_t，利用统计算法获取|υ_ρ-u|＞ζ的个数e，则得到故障风险指数

h＝(h_*×|υ_ρ-u|×e)/(ζ×z)；

当存在故障风险的设备个数e占总设备z的比重越高，则工控系统工作故障的风险指数越高；其中，h_*表示设备故障参数。

在步骤S4中：根据风险评估模型建立防御策略模型，并根据最优方案进行数据处理，具体步骤如下：

S401：获取风险评估模型E，根据任意用户a_i的不同操作方法，得到安全风险集合：

E^︿＝{E_w},w＝1,2,…,g；

其中，E_w表示每一个风险数值区间，其中区间规划根据身份匹配、设备检测和设备工作状态的比重进行分配；

同时获取安全策略集C＝{c_f},f＝1,2,…,θ，由安全策略集C和安全风险集合E^︿获得收益矩阵M：

M由θ行g列构成，则任意第f行矩阵数据为{M_f1，M_f2，…，M_fg}；任意第w列矩阵数据为{M_1w，M_2w，…，M_θw}；

其中，c_f表示每一条安全策略，f表示某一个安全策略，w表示某一个安全风险，θ表示安全策略总数量，g表示安全风险总数量，收益矩阵M中的M_fw表示在安全策略c_f和安全风险E_w时的收益；

S402：根据最优方案进行数据处理：确定安全风险评估值E_w，则得到最优防御策略为：

max{max_w(M_1w),max_w(M_2w),…,max_w(M_θw)}，

此时，根据最优防御策略进行数据处理。

2.一种实现权利要求1所述的一种基于人工智能的工控信息安全防御方法的工控信息安全防御系统，其特征在于：所述系统包括：预处理模块、数据库、信息识别模块、安全分析模块、数据处理模块和数据反馈模块；

所述预处理模块的输出端连接所述数据库的输入端，所述数据库的输出端连接所述信息识别模块的输入端，所述信息识别模块的输出端连接所述安全分析模块的输入端，所述安全分析模块的输出端连接所述数据处理模块的输入端，所述数据处理模块的输出端连接所述数据反馈模块的输入端；

通过所述预处理模块获取用户身份信息和历史数据中工控设备的安全策略方案，设置用户访问权限；

通过所述数据库存储所有历史数据中工控设备的安全策略方案和用户身份信息；

通过所述信息识别模块对用户身份信息、外部设备连接和设备工作状态进行识别；

通过所述安全分析模块对身份匹配、设备检测和设备工作状态进行综合评估；

通过所述数据处理模块建立防御策略模型，并根据最优策略进行处理；

通过所述数据反馈模块对安全风险信息进行反馈。

3.根据权利要求2所述的工控信息安全防御系统，其特征在于：所述预处理模块包括身份采集单元、权限设置单元和策略获取单元；

所述身份采集单元用于获取所有用户输入的身份信息和密钥数据；所述权限设置单元用于根据用户身份信息的重要程度设置不同的访问权限；所述策略获取单元用于获取历史数据中工控设备的安全策略方案；

所述信息识别模块包括信息识别单元、接口识别单元和设备识别单元；

所述信息识别单元用于识别用户身份信息；所述接口识别单元用于识别是否存在外部设备的接入；所述设备识别单元用于识别工控设备的工作状态；

所述安全分析模块包括身份匹配单元、设备检测单元、设备工作状态检测单元和风险评估单元；

所述身份匹配单元用于匹配用户身份，确认用户身份信息，并将身份信息发送至所述风险评估单元；所述设备检测单元用于检测外部接入设备的安全性能，并将设备安全性能发送至所述风险评估单元；所述设备工作状态检测单元用于分析工控设备的故障风险，并将故障风险发送至所述风险评估单元；所述风险评估单元用于对数据建立评估模型；

所述数据处理模块包括策略规划单元和最优方案实施单元；

所述策略规划单元用于根据评估模型进行策略规划，优化方案数据；所述最优方案实施单元用于确认最优方案，进行安全预防。

Images