一种基于人工智能的制造技术

本发明专利技术涉及信息安全保护技术领域，尤其涉及基于人工智能的

【技术实现步骤摘要】
一种基于人工智能的PLC信息安全保护系统和方法


[0001]本专利技术涉及信息安全保护
，尤其涉及一种基于人工智能的
PLC
信息安全保护系统和方法
。

技术介绍

[0002]由于信息化技术的快速发展，信息化推动工业化进程的加快，越来越多的网络通信技术
、
计算机技术以及嵌入式技术应用于
PLC
中
。
这些高新技术应用的同时，也随之带来了
PLC
的安全问题，比如信息泄露和篡改
、
病毒等，
PLC
信息安全引起工业界的高度关注
。
与此同时，
PLC
事关经济发展
、
社会稳定和国家安全，是国家关键基础设施的重要组成部分
。PLC 处于最底层，可以控制现场设备，同时与主控中心直接进行通信，处于无人值守的现场
。
如果
PLC 遭到恶意攻击，不仅会直接破坏主控中心和现场设备，篡改通信数据，而且不会轻易被监控人员发现，所以，有必要提升
PLC
的信息安全防护水平，保障
PLC
安全
。
目前的
PLC
信息安全保护技术中，传统的安全防护措施如防火墙
、
加解密和入侵检测侧重于保护网络服务器的安全，而且只能在攻击发生后通过分析日志判断有没有发生攻击，从而采取有针对性的应对措施，是事后应急响应方式，而
PLC
相对脆弱，随着攻击方式的多样性而无力应对，现在使用的平台设备是开放式的，用户可以随意使用平台资源，执行代码也可以被随意修改，导致软件应用系统中可以很轻易地被植入病毒，而不会被管理者发现
。
[0003]如授权公告号为
CN1109063486B
的中国专利提供基于
PLC
设备指纹识别的安全渗透测试方法与系统，涉及信息安全
，该基于
PLC
设备指纹识别的安全渗透测试方法首先通过获取
PLC
设备的指纹特征库；然后在基于该
PLC
设备的指纹特征库对待测
PLC
设备进行指纹识别，以确定待测
PLC
设备的指纹特征；最后基于该确定的待测
PLC
设备的指纹特征对所述待测
PLC
设备进行安全渗透测试，该方法能够缓解现有的渗透测试方法对于
PLC
设备测试针对性不强的缺点，充分利用
PLC
设备指纹识别和信息安全风险渗透测试技术来评估
PLC
设备的安全性，有利于改善
PLC
设备的安全性
。
[0004]如授权公告号为
CN106888205B
的中国专利提供一种非侵入式基于功耗分析的
PLC
异常检测方法，该方法包括将一个电阻串联接入
PLC
的电源模块与
CPU
模块之间，通过数据采集设备采集电阻两端电压降，获取
PLC
运行时的功耗信息；将采集到的功耗进行样本切分，对每个样本提取合适的特征集合，形成特征值样本；根据
PLC
正常运行时的特征值样本训练一个基于长短记忆单元的神经网络模型，并将新采集到的待测功耗特征值样本与
LSTM
网络预测的特征值信息进行对比，以确定待测样本是否为异常样本，由此判断
PLC
是否遭到攻击
。
该方法无需修改
PLC
的软硬件配置，相对原工业控制系统是非侵入式的，且能够对
PLC
进行实时的监控，在不需要获取
PLC
遭到攻击时的异常样本情况下就能实现对攻击的检测
。
[0005]以上专利均存在本
技术介绍
提出的问题：传统的安全防护措施如防火墙
、
加解密和入侵检测侧重于保护网络服务器的安全，而且只能在攻击发生后通过分析日志判断有没有发生攻击，从而采取有针对性的应对措施，是事后应急响应方式，而
PLC
相对脆弱，随着攻击方式的多样性而无力应对，现在使用的平台设备是开放式的，用户可以随意使用平台资
源，执行代码也可以被随意修改，导致软件应用系统中可以很轻易地被植入病毒，而不会被管理者发现，为了解决这些问题，本申请设计了一种基于人工智能的
PLC
信息安全保护系统和方法
。

技术实现思路

[0006]本专利技术所要解决的技术问题是针对现有技术的不足，提供了一种基于人工智能的
PLC
信息安全保护方法，首先根据信任度量安全启动策略对
PLC
启动过程进行完整性度量检查，确认
PLC
的启动安全，其次根据身份认证策略与工程师站进行通讯，确认
PLC
的通信安全，最后根据时间间隔对
PLC
进行入侵检测，如果检测到异常，根据异常判断
PLC
内部节点出现信息安全问题的位置，进行攻击特征匹配，阻止入侵攻击
。
[0007]为实现上述目的，本专利技术提供如下技术方案：
[0008]一种基于人工智能的
PLC
信息安全保护方法，包括以下步骤；
[0009]S1
：当
PLC
终端启动时，根据信任度量安全启动策略对
PLC
启动过程进行完整性度量检查，如果出现违背信任度量安全启动策略的情况，终止运行系统，返回上一级进行重新度量；
[0010]S2
：
PLC
终端启动后，根据身份认证策略与工程师站进行通讯，验证工程师站的身份是否正确，如果工程师站的身份正确，建立双方安全通信通道；
[0011]S3
：设定时间间隔，根据时间间隔对
PLC
进行入侵检测，如果检测到异常，根据异常判断
PLC
内部节点出现信息安全问题的位置，进行攻击特征匹配，阻止入侵攻击；
[0012]具体地，所述
S1
中所述完整性度量检查包括哈希摘要更新
、
完整性度量验证
、
完整性度量报告公布和完整性度量结果存储，所述信任度量安全启动策略具体步骤如下：
[0013]S1.1
：当
PLC
终端加电启动后，通过可信任的第三方生成可信根，并向
PLC
的基本输入输出系统转发可信根；
[0014]S1.2
：基本输入输出系统接收可信根，对可信根进行解密，将解密的内容转发至可信任的第三方，可信任的第三方对解密内容进行验证，确认解密内容无误后进行基本输入输出系统完整性度量检查，度量通过后启动基本输入输出系统，并移交控制执行权给基本输入输出系统，基本输入输出系统将可信根扩展，并向
...

【技术保护点】

【技术特征摘要】
1.
一种基于人工智能的
PLC
信息安全保护方法，其特征在于，包括以下步骤；
S1
：当
PLC
终端启动时，根据信任度量安全启动策略对
PLC
启动过程进行完整性度量检查，如果出现违背信任度量安全启动策略的情况，终止运行系统，返回上一级进行重新度量；
S2
：
PLC
终端启动后，根据身份认证策略与工程师站进行通讯，验证工程师站的身份是否正确，如果工程师站的身份正确，建立双方安全通信通道；
S3
：设定时间间隔，根据时间间隔对
PLC
进行入侵检测，如果检测到异常，根据异常判断
PLC
内部节点出现信息安全问题的位置，进行攻击特征匹配，阻止入侵攻击
。2.
根据权利要求1所述一种基于人工智能的
PLC
信息安全保护方法，其特征在于，所述
S1
中所述完整性度量检查包括哈希摘要更新
、
完整性度量验证
、
完整性度量报告公布和完整性度量结果存储，所述信任度量安全启动策略具体步骤如下：
S1.1
：当
PLC
终端加电启动后，通过可信任的第三方生成可信根，并向
PLC
的基本输入输出系统转发可信根；
S1.2
：基本输入输出系统接收可信根，对可信根进行解密，将解密的内容转发至可信任的第三方，可信任的第三方对解密内容进行验证，确认解密内容无误后进行基本输入输出系统完整性度量检查，度量通过后启动基本输入输出系统，并移交控制执行权给基本输入输出系统，基本输入输出系统将可信根扩展，并向
PLC
的启动加载程序转发扩展的可信根；
S1.3
：启动加载程序接收扩展的可信根，对扩展的可信根进行解密，将解密的内容转发至基本输入输出系统，基本输入输出系统对解密内容进行验证，确认解密内容无误后进行启动加载程序完整性度量检查，度量通过后向启动加载程序移交控制执行权，启动加载程序继续扩展可信根，并向
PLC
的系统内核转发扩展的可信根；
S1.4
：系统内核接收扩展的可信根，对扩展的可信根进行解密，将解密的内容转发至启动加载程序，启动加载程序对解密内容进行验证，确认解密内容无误后进行系统内核完整性度量检查，度量通过后向系统内核移交控制执行权，系统内核执行
PLC
的启动流程
。3.
根据权利要求1所述一种基于人工智能的
PLC
信息安全保护方法，其特征在于，所述
S2
中所述身份认证策略具体步骤如下：
S2.1
：密钥生成服务器进行初始化，生成随机数，根据随机数计算密钥生成服务器的私钥，结合密钥生成服务器公钥生成密钥对，根据密钥对和工程师站身份标识计算工程师站的签名私钥；
S2.2
：密钥生成服务器将工程师站的签名私钥和密钥对通过安全信道发送给工程师站，并将工程师站的身份标识和密钥对通过安全信道发送给
PLC
，工程师站和
PLC
接收到后进行本地存储；
S2.3
：工程师站向
PLC
发起身份认证请求，
PLC
接收到请求身份认证的指令后，根据密钥对生成验证信息，并将验证信息发送给工程师站，工程师站接收到验证信息，根据签名私钥和密钥对对验证信息进行签名，并将签名完成的验证信息发送给
PLC
；
S3.4
：
PLC
接收到签名完成的验证信息后，根据工程师站身份标识对签名进行检验，将结果与密钥生成服务器的私钥进行对比，如果一致，与工程师站建立通信，如果不一致，拒绝工程师站的通信连接请求
。4.
根据权利要求3所述一种基于人工智能的
PLC
信息安全保护方法，其特征在于，所述
S2.1
中所述工程师站的签名私钥的计算公式为：，其中，表示工程师站的签名私钥，表示工程师站的身份标识，
m
和
n
表示工程师站的身份标识中任一位数，
...

【专利技术属性】
技术研发人员：陈思宁，陈锐，
申请(专利权)人：傲拓科技股份有限公司，
类型：发明
国别省市：