【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种自主可控的主控网络安全防护系统。
技术介绍
1、在相关技术中,cn114584345a涉及一种轨道交通网络安全处理方法、装置及设备,设计了一种面向城市轨道交通移动边缘计算的安全可信防护机制,构建了跨越云计算和移动边缘计算纵深的安全防护体系,能够有效抵御ddos攻击,使攻击流量被阻止在城市轨道交通系统之外。并且,考虑到攻击设备在城市轨道交通系统的位置随其移动在不断变化,经常冒用正常设备的身份信息,利用信息度量来检测攻击流量的方法,以在城市轨道网络边缘更准确、更快速地检测攻击流量。
2、cn109040083a公开了一种应用于轨道交通的信息安全防护系统及其防护方法,该系统包括控制中心、监控模块、监测模块、云端服务器、控制终端、报警模块和移动终端,所述控制中心分别连接监测模块、监控模块、云端服务器和控制终端,所述控制中心通过有线和无线连接两种方式中的任一种与云端服务器相连,用于与云端服务器之间接收和传递网络数据,控制中心通过通讯模块连接分析处理模块,并通过分析处理模块连接有用于接收分析处理后信息的报警模块,所述报警模块还通过无线网络或gprs网络与移动终端相连。该应用于轨道交通的信息安全防护系统和方法,便于调节控制,能够及时的对信息安全做出报警,保证了轨道交通信息的安全。
3、因此,相关技术中只提供了针对外部访问流量的安全防护方法,然而,在轨道交通的多个控制器组成的控制器网络内部,也存在不同保密等级的数据,其中部分较高保密等级的数据不宜被所有控制器直接访问和加载,但对于来自控
4、公开于本申请
技术介绍
部分的信息仅仅旨在加深对本申请的一般
技术介绍
的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。
技术实现思路
1、本专利技术提供一种自主可控的主控网络安全防护系统,能够解决来自工业控制器网络内部的访问请求难以进行验证,以及保密等级较高的数据存在被扩散以及泄密的风险的技术问题。
2、根据本专利技术,提供一种自主可控的主控网络安全防护系统,包括:
3、划分层级模块,用于将工业控制器网络划分为多个层级,其中,不同层级的工业控制器之间通过主控计算机间接连接,相同层级的工业控制器之间直接连接;
4、数据存储模块,用于将多种保密等级的数据分别存储于多个层级的工业控制器的存储器中,其中,一个层级的工业控制器的存储器中存储一种保密等级的数据,保密等级的序号与层级的序号一致;
5、请求访问模块,用于在第i个层级中的工业控制器请求访问第j个层级中的工业控制器的存储器中的数据时,如果i=j,则使请求方生成访问请求信息,发送至被请求方,其中,所述第i个层级中的工业控制器为所述请求方,所述第j个层级中的工业控制器为所述被请求方,所述访问请求信息包括被请求方的联机密钥以及被请求方的地址信息,i和j均为正整数,且i和j均小于或等于层级的数量n;
6、验证信息模块,用于如果i≠j,则使请求方生成验证信息,并发送至主控计算机,其中,所述验证信息包括请求方所属的层级以及被请求方所属的层级;
7、验证通过信息模块,用于如果i>j,则使主控计算机向请求方发送验证通过信息,并允许请求方向被请求方发送所述访问请求信息;
8、确定验证系数模块,用于如果i<j,则使主控计算机根据公式确定验证系数v;
9、信息收集指令模块,用于使主控计算机根据验证系数v生成信息收集指令,并发送至请求方;
10、待核查信息模块,用于使所述请求方根据所述信息收集指令,收集待核查信息,并根据所述待核查信息生成待核查信息集,发送至所述主控计算机;
11、安全验证结果模块,用于使所述主控计算机根据所述验证系数v和所述待核查信息集进行安全验证,获得安全验证结果;
12、允许发送模块,用于如果安全验证结果为验证通过,则允许请求方向被请求方发送所述访问请求信息;
13、允许访问模块,用于如果被请求方对所述联机密钥的验证通过,则允许请求方访问存储器中的数据。
14、技术效果:根据本专利技术,分层连接结构可提供更好的隔离和控制,防止潜在的安全威胁在网络中传播。使用保密等级管理可有效地保护敏感数据,防止未经授权的访问。根据请求方和被请求方所属的层级,采用不同的验证方式。主控计算机起到核心的控制作用,可自主进行安全验证和访问控制的决策,维护网络的安全性,实现对网络的自主可控管理,使得高保密等级的数据不会被随意访问,降低高保密等级的数据被扩散和泄密的风险,提高网络的可靠性和可控性。在确定第一访问记录收集次数时,可通过验证系数与访问成功率的数据口径,为访问成功率进行加权,提高了加权后的平均成功率的准确性和可靠性,并基于平均成功率和访问总次数获得第一访问记录收集次数,使得收集的访问记录中包括更多访问更高保密等级的数据且访问成功的访问记录,提升收集的访问记录的质量和参考价值。在确定第二访问记录的次数时,可利用第三次数和第四次数的比例,确定第二访问记录的次数。并可在确定最终的访问记录收集次数时,参考其他层级的工业控制器访问更高层级的工业控制器的成功率,使得访问记录收集次数能够表示工业控制器网络的整体访问成功率,使得依据访问记录收集次数收集的访问记录能够更好地体现工业控制器之间的访问模式和行为,从而使收集的访问记录更具参考价值。在选择目标访问记录时,可获取连续的目标访问记录,防止请求方自主选择访问记录,提升安全验证的有效性,并可基于第一条件、第二条件和第三条件在连续的目标访问记录中,选择出更多更具有参考价值的目标访问记录,提升安全验证的准确性,提高数据安全性。在进行安全验证时,综合考虑了行为特征向量、恶意行为特征向量、访问行为数量、时间间隔等多个因素,并可综合考虑访问行为与预设的恶意行为特征集相似度以及作弊行为的风险,可更全面地评估访问的风险。该系统可识别和过滤出潜在的恶意访问行为,提高系统的安全性和可靠性,保护系统的数据和隐私。
15、应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本专利技术。根据下面参考附图对示例性实施例的详细说明,本专利技术的其它特征及方面将更清楚。
本文档来自技高网...【技术保护点】
1.一种自主可控的主控网络安全防护系统,其特征在于,包括:
2.根据权利要求1所述的自主可控的主控网络安全防护系统,其特征在于,使主控计算机根据验证系数V生成信息收集指令,并发送至请求方,包括:
3.根据权利要求2所述的自主可控的主控网络安全防护系统,其特征在于,根据所述验证系数V,以及第i个层级的工业控制器在当前时刻之前的预设时间段内访问更高层级的工业控制器的第一次数,以及访问成功的第二次数,获得第一访问记录收集次数,包括:
4.根据权利要求2所述的自主可控的主控网络安全防护系统,其特征在于,根据第i个层级之外的其他层级的工业控制器在当前时刻之前的预设时间段内访问更高层级的工业控制器的第三次数,以及访问成功的第四次数,获得第二访问记录收集次数,包括:
5.根据权利要求2所述的自主可控的主控网络安全防护系统,其特征在于,使所述请求方根据所述信息收集指令,收集待核查信息,并根据所述待核查信息生成待核查信息集,发送至所述主控计算机,包括:
6.根据权利要求5所述的自主可控的主控网络安全防护系统,其特征在于,根据所述请求方在所
7.根据权利要求5所述的自主可控的主控网络安全防护系统,其特征在于,使所述主控计算机根据所述验证系数V和所述待核查信息集进行安全验证,获得安全验证结果,包括:
8.根据权利要求7所述的自主可控的主控网络安全防护系统,其特征在于,根据所述访问时刻、所述验证系数V和所述行为特征向量,确定安全验证结果,包括:
...【技术特征摘要】
1.一种自主可控的主控网络安全防护系统,其特征在于,包括:
2.根据权利要求1所述的自主可控的主控网络安全防护系统,其特征在于,使主控计算机根据验证系数v生成信息收集指令,并发送至请求方,包括:
3.根据权利要求2所述的自主可控的主控网络安全防护系统,其特征在于,根据所述验证系数v,以及第i个层级的工业控制器在当前时刻之前的预设时间段内访问更高层级的工业控制器的第一次数,以及访问成功的第二次数,获得第一访问记录收集次数,包括:
4.根据权利要求2所述的自主可控的主控网络安全防护系统,其特征在于,根据第i个层级之外的其他层级的工业控制器在当前时刻之前的预设时间段内访问更高层级的工业控制器的第三次数,以及访问成功的第四次数,获得第二访问记录收集次数,包括:
5.根据权利要求2所述的自...
【专利技术属性】
技术研发人员:余业祥,何春,朱彬,杨斌,任华彬,魏光燏,陈峰,黄柳,蒙博宇,
申请(专利权)人:东方电气风电股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。