一种从多维度识别异常业务的终端安全接入控制方法技术

本发明专利技术公开了一种从多维度识别异常业务的终端安全接入控制方法，包括，利用终端标识对边缘终端和云中心进行双向身份认证；根据终端流量对边缘终端的身份进行鉴别和分类；根据分类结果对边缘终端进行监控分析，预测边缘终端是否异常；本发明专利技术根据终端标识、终端流量以及终端行为模式进行多维度判断，从而识别仿冒终端和异常终端，并自动对这些终端或流量进行阻断和隔离，提升系统安全防护的智能化水平。提升系统安全防护的智能化水平。提升系统安全防护的智能化水平。

【技术实现步骤摘要】
一种从多维度识别异常业务的终端安全接入控制方法


[0001]本专利技术涉及终端控制的
，尤其涉及一种从多维度识别异常业务的终端安全接入控制方法。

技术介绍

[0002]针对终端安全接入的技术，传统的有PKI公钥，它是一套支持实体鉴别，系统化可扩展公钥分发方法的完整的安全基础设施。但是PKI无法支持对数量庞大终端的证书维护和密钥的管理备份；边缘侧设备接入接出频繁，认证中心亦需频繁更新证书列表；并且在份认证过程中，证书的认证过程开销较多，对于资源受限的边缘侧设备并不适用。另外有学者提出一种基于机器学习的终端安全策略选择方法，边缘侧设备每次可以从n种安全策略中选取一种或者多种安全策略对终端进行保护，但采用机器学习方法等按各终端量化值进行选择，需要满足预设阈值，并且在机器学习机的性能评价值不能满足预设阈值，需要提前时间重新进行训练。无论哪种方法，都只是采用了单一的安全接入措施，在终端数量和产生的数据量都在指数级增长的背景下，不能保证终端安全接入的可靠性。

技术实现思路

[0003]本部分的目的在于概述本专利技术的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和专利技术名称中可能会做些简化或省略以避免使本部分、说明书摘要和专利技术名称的目的模糊，而这种简化或省略不能用于限制本专利技术的范围。
[0004]鉴于上述现有存在的问题，提出了本专利技术。
[0005]为解决上述技术问题，本专利技术提供如下技术方案：包括，利用终端标识对边缘终端和云中心进行双向身份认证；根据终端流量对边缘终端的身份进行鉴别和分类；根据分类结果对边缘终端进行监控分析，预测边缘终端是否异常。
[0006]作为本专利技术所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案，其中：双向身份认证包括，所述边缘终端向所述云中心发送认证请求；所述云中心根据认证请求验证签名信息与发送的信息是否一致，若一致，则计算会话密钥，通过所述会话密钥对时间戳进行加密，并向云中心返回确认信息：{E
t
(t
C
||t
EN
)}，其中，E
t
(t
C
||t
EN
)为会话密钥加密收到的时间戳；若不一致，则向云中心返回边缘终端认证不通过的消息。
[0007]作为本专利技术所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案，其中：包括，认证请求的格式如下：
[0008]{Sing
EN
||PK
c
(VID
EN
||VID
C
||t
EN
)}
[0009]其中，VID
EN
为所述边缘终端；VID
C
为所述云中心，PK
c
为云中心的公钥，t
EN
为时间戳，Sing
EN
为边缘终端的身份标识。
[0010]作为本专利技术所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案，其中：包括，根据下式计算会话密钥k：
[0011]k＝H3(N)
[0012]N＝N
’‑
Sing
EN
M；
[0013]其中，H为解密函数，N为加密后的边缘终端的公钥，M为边缘终端的密钥，N
’
为边缘终端的公钥。
[0014]作为本专利技术所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案，其中：包括，所述发送的信息为：
[0015]{Sing
C
||PK
pub
‑
EN
(VID
EN
||VID
C
||t
EN
||t
C
||M||N
’
)}
[0016]其中，Sing
C
为云中心的身份标识，PK
pub
‑
EN
为边缘终端的公钥，t
C
为云中心加密时间戳。
[0017]作为本专利技术所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案，其中：鉴别包括，将静态流量特征的各个字段由字符串量化为数字，并进行归一化处理，获得特征向量f
known
和f
unknown
；利用余弦公式求得余弦相似度s
cs
为：
[0018]s
cs
＝(f
known
f
unknown
)/(|f
known
||f
unknown
|)
[0019]设定阈值，当s
cs
大于所述阈值时认为边缘终端的身份为合法终端，允许入网；否则禁止入网；
[0020]其中，静态流量特征的各个字段包括MAC地址、终端类型、ip地址、开放端口号、操作系统、供应商、版本及网卡信息。
[0021]作为本专利技术所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案，其中：分类包括，当边缘终端信息通过所有类别的过滤器后，统计该边缘终端在各类别上的票数，若某一类票数占总票数的50％以上，则将该终端划为票数最高一类；否则定义为未知类型终端，记录当前票数最高的一类，并通过SVM算法对其进行分类，将SVM算法分类的结果保存为PCAP文件。
[0022]作为本专利技术所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案，其中：包括，通过提取PCAP文件中的前60个数据包中的IAT和包负载长度，计算IAT和包负载长度的7种统计特性F
x
：
[0023]F
x
＝{x
max
，x
min
，x
q1
，x
q2
，x
q3
，x
mean
，x
var
}
[0024]其中，x
max
为最大值，x
min
为最小值，x
q1
为下4分位数，x
q2
为中位数，x
q3
为上4分位数，x
mean
为平均数，x
var
为方差。
[0025]作为本专利技术所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案，其中：监控分析包括，根据7种统计特性Fx和边缘终端的网络行为标签，对不同行业物联网终端进行离群点检测，分行业标注异常样本点；建立训练集，根据所述训练集构建分类器，预测边缘终端是否异常。
[0026]作为本专利技术所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案，其中：包括，对样本集D进行聚类；计算每个样本的离群因子，将离群因子较大的对象判定为离群点；假设样本集D被聚类算法划分为k个簇C＝{C1,C2,
…本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种从多维度识别异常业务的终端安全接入控制方法，其特征在于：包括，利用终端标识对边缘终端和云中心进行双向身份认证；根据终端流量对边缘终端的身份进行鉴别和分类；根据分类结果对边缘终端进行监控分析，预测边缘终端是否异常。2.如权利要求1所述的从多维度识别异常业务的终端安全接入控制方法，其特征在于：双向身份认证包括，所述边缘终端向所述云中心发送认证请求；所述云中心根据认证请求验证签名信息与发送的信息是否一致，若一致，则计算会话密钥，通过所述会话密钥对时间戳进行加密，并向云中心返回确认信息：{E
t
(t
C
||t
EN
)}，其中，E
t
(t
C
||t
EN
)为会话密钥加密收到的时间戳；若不一致，则向云中心返回边缘终端认证不通过的消息。3.如权利要求2所述的从多维度识别异常业务的终端安全接入控制方法，其特征在于：包括，认证请求的格式如下：{Sing
EN
||PK
c
(VID
EN
||VID
C
||t
EN
)}其中，VID
EN
为所述边缘终端；VID
C
为所述云中心，PK
c
为云中心的公钥，t
EN
为时间戳，Sing
EN
为边缘终端的身份标识。4.如权利要求2或3所述的从多维度识别异常业务的终端安全接入控制方法，其特征在于：包括，根据下式计算会话密钥k：k＝H3(N)N＝N
’‑
Sing
EN
M；其中，H为解密函数，N为加密后的边缘终端的公钥，M为边缘终端的密钥，N
’
为边缘终端的公钥。5.如权利要求4所述的从多维度识别异常业务的终端安全接入控制方法，其特征在于：包括，所述发送的信息为：{Sing
C
||PK
pub
‑
EN
(VID
EN
||VID
C
||t
EN
||t
C
||M||N
’
)}其中，Sing
C
为云中心的身份标识，PK
pub
‑
EN
为边缘终端的公钥，t
C
为云中心加密时间戳。6.如权利要求5所述的从多维度识别异常业务的终端安全接入控制方法，其特征在于：鉴别包括，将静态流量特征的各个字段由字符串量化为数字，并进行归一化处理，获得特征向量f
known
和f
unknown
；利用余弦公式求得余弦相似度s
cs
...

【专利技术属性】
技术研发人员：曾纪钧，龙震岳，张小陆，梁哲恒，
申请(专利权)人：广东电网有限责任公司，
类型：发明
国别省市：