一种电厂工业控制网络的安全防御方法及系统与流程

本发明涉及安全防御，具体为一种电厂工业控制网络的安全防御方法及系统。

背景技术：

1、在当今工业领域，数字化和自动化的技术正在不断推动着生产效率和运营管理的飞速发展。电厂工业作为其中重要的一环，负责能源的生产与供应，对于社会的稳定运行和经济的持续发展起着至关重要的作用。随着工业控制系统的逐步数字化和互联化，电厂工业控制网络也日益成为攻击者的目标。网络入侵、数据泄露、拒绝服务攻击等安全威胁对电厂的正常运行和设备的稳定性带来了严峻挑战。

2、传统的电厂工业控制网络的安全防御系统存在一些现状缺点和不足之处，首先，部分电厂可能仍在使用较为传统和薄弱的身份认证方式，包括单一密码验证，这容易受到密码破解或社会工程学攻击，其次，由于管理不善或缺乏定期的密码评估，用户密码较长时间未登录，泄露的可能性则会增加，此外，某些电厂的安全防御系统可能缺乏强大的ip过滤和白名单功能，使得未授权的ip地址能够绕过网络防火墙，进入关键系统，从而引发潜在的入侵威胁，从而增加了电厂工业的网络系统风险。

技术实现思路

1、(一)解决的技术问题

2、针对现有技术的不足，本发明提供了一种电厂工业控制网络的安全防御方法及系统，一种电厂工业控制网络的安全防御方法及系统

3、(二)技术方案

4、为实现以上目的，本发明通过以下技术方案予以实现：一种电厂工业控制网络的安全防御方法及系统，包括数据库模块、登录模块、防御模块、会话管理模块和日志模块；

5、所述数据库模块用于存储和管理与用户账户、角色权限、安全策略、相关阈值、安全事件相关的历史数据信息；

6、所述登录模块用于用户身份验证，确保只有验证成功用户能够成功登录系统；

7、所述防御模块用于获取用户登录密码、面容特征和相关登录信息的强度信息，通过建模分析训练后，获取：地址系数dzxs、验证系数yzxs和安全指数aqzs；

8、

9、式中，α表示地址系数dzxs权重值，β表示验证系数yzxs权重值，mrpp表示面容匹配比值，b表示修正常数；

10、将登录地址ip段dlip和预设ip地址段ysip对比，获取地址ip因子dzyz，将地址ip因子dzyz和地址归属地因子gsyz相关联，获取地址系数dzxs，将用户输入密码srmm和数据库存储密码ccmm对比，获取密码因子mmyz，将用户身份卡令牌yhlp和数据库存储令牌cclp对比，获取令牌因子lpyz，将密码因子mmyz和令牌因子lpyz相关联，获取验证系数yzxs；

11、所述会话管理模块用于管理用户登录后的会话状态，包括会话过期时间和会话注销；

12、所述日志模块用于记录关键的安全事件、用户登录信息和系统运行日志，用于安全验证和故障排查。

13、优选的，所述数据库模块包括用户密码单元、用户生物识别单元和用户令牌单元；

14、所述用户密码单元用于存储用户注册密码和初始预设密码，以及修改的密码历史记录；

15、所述用户生物识别单元用于存储用户预设和设置的生物特征，包括指纹、虹膜和面部；

16、所述用户令牌单元存储用户身份令牌信息，以及令牌的修改历史信息。

17、优选的，所述登录模块包括密码登录单元、生物识别登录单元和令牌登录单元；

18、所述密码登录单元通过md5方式加密用户输入密码后，和数据库存储密码相对比，获取密码对比信息后，发送至所述防御模块；

19、所述生物识别登录单元通过摄像头扫描用户脸部信息，获取面容特征后，和数据存储的面容特征相对比，获取对比信息后，发送至所述防御模块；

20、所述令牌登陆单元通过读卡器获取用户身份令牌信息，获取用户令牌信息后，和数据库存储相关的令牌信息进行对比，获取对比信息后发，送至所述防御模块。

21、优选的，所述防御模块包括信息转化单元和分类建模单元；

22、所述信息转化单元用于将相关登录信息进行格式转化和量化，便于所述分类建模单元进行计算分析；

23、所述分类建模单元用于对用户相关登录信息与数据对比后的信息进行分类建立模型，将相关信息输送至模型，进行训练计算后获取：地址系数dzxs、验证系数yzxs和安全指数aqzs。

24、优选的，所述地址系数dzxs通过以下公式获取：

25、

26、式中，dzyz表示地址ip因子，dlip表示登录地址ip段，ysip表示预设ip地址段，gsyz表示地址归属地因子，sfdl表示ip是否经过代理，c1、c2和c3表示地址ip因子dzyz和地址归属地因子gsyz和ip是否经过代理sfdl的权重值；

27、其中，0.45≤dzyz≤0.65，0.55≤gsyz≤0.75，0.15≤sfdl≤0.35，其中，c1+c2+c3≥1.0，d表示修正常数。

28、优选的，所述验证系数yzxs通过以下公式获取：

29、

30、式中，mmyz表示密码因子，srmm表示用户输入密码，ccmm表示数据库存储密码，lpyz表示令牌因子，yhlp表示用户身份卡令牌，cclp表示数据库存储令牌，zwpp表示指纹匹配比值，f1、f2和f2分别表示密码因子mmyz，令牌因子lpyz和指纹匹配比值zwpp的权重值；

31、其中，0.55≤mmyz≤0.75，0.35≤lpyz≤0.55，0.25≤mrpp≤0.45，其中f1+f2+f3≥1.0，g表示修正常数。

32、优选的，所述安全指数aqzs通过所述地址系数dzxs、所述验证系数yzxs和所述面容匹配比值mrpp相互关联获取；

33、将安全指数aqzs和预设标准阈值对比，获取等级安全策略方案：

34、aqzs≤24，获取一级安全评价，系统允许用户登录；

35、25≤aqzs≤44，获取二级安全评价，系统允许用户登录，提醒用户规定时间内重新录入生物特征和新的强密码；

36、45≤aqzs≤65，获取三级安全评价，系统不允许用户登录，强制用户修改密码强密码，同时需要手机验证码进行验证；

37、65≤aqzs≤84，获取四级评价，系统不允许用户登录，锁定用户账户30分钟；

38、85≤aqzs≤99，获取五级评价，系统不允许用户登录，用户账户冻结。

39、优选的，所述会话管理模块包括会话跟踪单元和会话管理单元；

40、所述会话跟踪单元用于跟踪和维护用户的登录状态，在用户成功登陆后，该单元会创建一个会话并为该会话分配一个唯一的会话标识符id；

41、所述会话管理单元用于设置和管理会话的过期时间，会话过期时间是指用户在一段时间内没有活动后，会话将自动失效并结束。

42、优选的，所述日志模块包括日志记录单元；

43、所述日志记录单元用于记录关键的安全事件、用户登录信息、系统运行日志以及用户操作记录，用于安全验证和故障排查。

44、一种电厂工业控制网络的安全防御方法，包括以下步骤：

45、步骤一：通过数据库模块存储和管理用户账户、角色权限、安全策略、相关阈值以及相关历史信息；

46、步骤二：通过登录模块对用户身份进行验证，确保只有验证通过的用户能够登录系统；

47、步骤三：通过防御模块对用户相关登录信息进行强度验证，再对相关信息进行建模训练，获取：地址系数dzxs、验证系数yzxs和安全指数aqzs；

48、步骤四：通过会话管理模块管理用户登录后的会话状态，包括会话过期时间和会话注销；

49、步骤五：通过日志模块记录关键的安全事件、用户登录信息、系统运行日志以及用户操作记录。

50、(三)有益效果

51、本发明提供了一种电厂工业控制网络的安全防御方法及系统。具备以下有益效果：

52、(1)系统运行时，数据库存储用户相关信息作为基础，通过登录模块用户将输入的用户名和密码与数据库中存储的用户账户信息进行比对验证后，通过防御模块获取用户登录信息，对相关信息进行建模训练，分析后获取：地址系数dzxs、验证系数yzxs和安全指数aqzs，通过安全指数aqzs和预设标准阈值对比，获取等级安全策略方案，根据方案内容执行，通过会话管理模块对用户登录后的会话状态，包括会话过期和会话注销，通过日志模块对系统运行时的安全事件、用户登录信息和系统运行日志进行记录，便于查找记录和排查故障，增强了系统的身份认证方式，进一步提高了系统的安全性，提高了电厂工业的网络安全保障。

53、(2)通过地址ip因子dzyz、地址归属地因子gsyz、密码因子mmyz、令牌因子lpyz、地址系数dzxs和验证系数yzxs的值发生迅速变化的时候，会触发相应的等级安全策略方案，等级安全策略方式的灵活性使得系统能够根据实际情况和风险变化来调整安全策略，通过等级安全策略的多样化应用，系统可以更好地适应各种异常情况，保障系统的安全稳定运行。

54、(3)本发明方法，通过步骤一至步骤五达到，基于数据库存储和管理用户账户、角色权限、安全策略、相关阈值以及相关历史信息来对，用户身份进行验证，确保只有验证通过的用户能够登录系统，将用户相关登录信息进行强度验证，再对相关信息进行建模训练，获取：地址系数dzxs、验证系数yzxs和安全指数aqzs，将安全指数aqzs和预设标准阈值对比，获取等级安全策略方案，并执行，再对用户登录后的会话状态，包括会话过期时间和会话注销进行管理，最后通过记录关键的安全事件、用户登录信息、系统运行日志以及用户操作记录，便于后续的查找和相关操作。