一种面向配电云主站的零信任动态访问控制方法技术

本发明专利技术公开了一种面向配电云主站的零信任动态访问控制方法。其中，方法包括：收集配电终端的配电终端数据，并根据配电终端数据计算配电终端身份可信度；获取配电终端的网络流量，并根据网络流量计算配电终端业务行为可信度；根据预先设置的配电终端身份可信度权重、预先设置的配电终端业务行为可信度权重、配电终端身份可信度以及配电终端业务行为可信度，确定配电终端的信任评估结果，其中信任评估结果用于实现零信任下配电云主站的动态访问，从而保证了配电主站的运维安全。而保证了配电主站的运维安全。而保证了配电主站的运维安全。

【技术实现步骤摘要】
一种面向配电云主站的零信任动态访问控制方法


[0001]本专利技术涉及配电网络安全防护
，并且更具体地，涉及一种面向配电云主站的零信任动态访问控制方法。

技术介绍

[0002]在配电自动化系统逐步向物联网化演进的过程中，配电主站的云化部署模式在提升计算、存储资源的利用率、系统运行效率的同时，也带来新的安全问题及新的安全需求。一是主站业务系统部署于云计算环境，失去了传统配电主站各业务系统间基于物理服务器的天然隔离，导致业务系统间边界模糊，为攻击蔓延提供了便利条件，可能会造成不同应用之间的非法访问或信息泄露；二是云平台多系统、多应用导致存在漏洞的概率上升，若云平台对异常行为的预防不到位，则面临攻击者可利用漏洞潜入系统，导致系统瘫痪或失控事件发生；三是目前的安全防护机制不能适应新型网络架构、配电业务云化部署的技术需求，不能保证配电网控制指令的正确下发，核心业务数据的机密性。此外，国际网络安全形势日益严峻，零日漏洞利用、APT等非常规攻击手段已成主流。当前成熟应用的配电自动化系统安全防护体系以“安全分区、网络专用、横向隔离、纵向认证”为基本原则，在配电主站方面，以国产商用密码算法为基础，重点研究与终端交互业务数据的分级加密策略，并利用可信计算等技术，对配电主站的主动防御技术开展了一定研究。当前配电主站的安全防护体系并不能适应新型配电业务云化部署的技术需求，在配电云主站虚拟资源隔离及访问控制技术方面，尚未出现成熟应用的安全防护技术。
[0003]配电云主站用户身份及访问形式不同，各业务之间交互频繁且形式各异，访问过程中产生的风险点众多，访问控制面对的客体也复杂多变，导致配电云主站的安全性难以得到保障。

技术实现思路

[0004]针对现有技术的不足，本专利技术提供一种面向配电云主站的零信任动态访问控制方法。
[0005]根据本专利技术的一个方面，提供了一种面向配电云主站的零信任动态访问控制方法，包括：
[0006]收集配电终端的配电终端数据，并根据配电终端数据计算配电终端身份可信度；
[0007]获取配电终端的网络流量，并根据网络流量计算配电终端业务行为可信度；
[0008]根据预先设置的配电终端身份可信度权重、预先设置的配电终端业务行为可信度权重、配电终端身份可信度以及配电终端业务行为可信度，确定配电终端的信任评估结果，其中信任评估结果用于实现零信任下配电云主站的动态访问。
[0009]可选地，配电终端数据包括属性信息、风险事件、配电终端访问行为日志、外部风险事件、外部感知数据，并且根据配电终端数据计算配电终端身份可信度的操作，包括：
[0010]利用深度学习算法对配电终端数据进行分析，确定配电终端数据中的异常事件
集；
[0011]对异常事件集进行组合分析成风险事件，并根据风险事件确定配电终端身份可信度。
[0012]可选地，还包括：对配电终端数据进行预处理，其中该操作包括：
[0013]对配电终端数据进行清洗、补全、汇聚、标签化以及归类操作。
[0014]可选地，获取配电终端的网络流量，并根据网络流量计算配电终端业务行为可信度的操作，包括：
[0015]利用网络流量的时间依赖性，生成网络流序列；
[0016]利用预先训练的神经网络模型对网络流序列进行预测，输出配电终端的预测业务行为；
[0017]对预测业务行为和配电终端的实际业务行为进行相似度计算，确定预测业务行为和实际业务行为的相似度；
[0018]根据相似度，计算配电终端业务行为可信度。
[0019]可选地，利用网络流量的时间依赖性，生成网络流序列的操作，包括：
[0020]对网络流量进行特征提取，得到统计信息，并根据统计信息确定网络流量的网络行为；
[0021]利用网络流量的时间依赖性，根据网络行为，生成网络流序列。
[0022]可选地，对网络流量进行特征提取，得到统计信息，并根据统计信息确定网络流量的网络行为的操作之前，还包括：
[0023]利用预先设定的规范化方法，对网络流量的尺度和维度进行规范化；
[0024]利用最大最小归一化方法对网络流量进行数值规范化。
[0025]可选地，对预测业务行为和配电终端的实际业务行为进行相似度计算，确定预测业务行为和实际业务行为的相似度的操作，包括：
[0026]利用预测业务行为的数据点集以及实际业务行为的数据点集分别计算预测业务行为的第一中心点以及实际业务行为的第二中心点；
[0027]计算预测业务行为的数据点集中每两个点之间的第一平均距离，并计算实际业务行为的数据点集中每两个点之间的第二平均距离；
[0028]根据第一中心点以及第二中心点，确定预测业务行为与实际业务行为之间的距离；
[0029]根据距离、第一平均距离以及第二平均距离，计算相似度。
[0030]可选地，根据相似度，计算配电终端业务行为可信度的操作，包括：
[0031]根据第一平均距离、第二平均距离以及距离，计算配电终端业务行为可信度。
[0032]根据本专利技术的另一个方面，提供了一种面向配电云主站的零信任动态访问控制装置，包括：
[0033]第一计算模块，用于收集配电终端的配电终端数据，并根据配电终端数据计算配电终端身份可信度；
[0034]第二计算模块，用于获取配电终端的网络流量，并根据网络流量计算配电终端业务行为可信度；
[0035]确定模块，用于根据预先设置的配电终端身份可信度权重、预先设置的配电终端
业务行为可信度权重、配电终端身份可信度以及配电终端业务行为可信度，确定配电终端的信任评估结果，其中信任评估结果用于实现零信任下配电云主站的动态访问。
[0036]根据本专利技术的又一个方面，提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行本专利技术上述任一方面所述的方法。
[0037]根据本专利技术的又一个方面，提供了一种电子设备，所述电子设备包括：处理器；用于存储所述处理器可执行指令的存储器；所述处理器，用于从所述存储器中读取所述可执行指令，并执行所述指令以实现本专利技术上述任一方面所述的方法。
[0038]从而，本申请针对配电终端访问主站的安全需求，提出了基于属性和资源的配电终端准入授权策略，依据配电终端的属性分配其访问权限与身份，并基于配电通信协议对终端的访问流量进行动态监测，最后根据终端属性与访问行为进行持续信任评估，从而保证配电主站的运维安全。
附图说明
[0039]通过参考下面的附图，可以更为完整地理解本专利技术的示例性实施方式：
[0040]图1是本专利技术一示例性实施例提供的面向配电云主站的零信任动态访问控制方法的流程示意图；
[0041]图2是本专利技术一示例性实施例提供的配电终端身份信任建模示意图；
[0042]图3是本专利技术一示例性实施例提供的生成序列的滑动窗口示意图；
[0043]图4是本专利技术一示例性实施例提供的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向配电云主站的零信任动态访问控制方法，其特征在于，包括：收集配电终端的配电终端数据，并根据所述配电终端数据计算配电终端身份可信度；获取配电终端的网络流量，并根据所述网络流量计算配电终端业务行为可信度；根据预先设置的配电终端身份可信度权重、预先设置的配电终端业务行为可信度权重、所述配电终端身份可信度以及所述配电终端业务行为可信度，确定所述配电终端的信任评估结果，其中所述信任评估结果用于实现零信任下配电云主站的动态访问。2.根据权利要求1所述的方法，其特征在于，所述配电终端数据包括属性信息、风险事件、配电终端访问行为日志、外部风险事件、外部感知数据，并且根据所述配电终端数据计算配电终端身份可信度的操作，包括：利用深度学习算法对所述配电终端数据进行分析，确定所述配电终端数据中的异常事件集；对所述异常事件集进行组合分析成风险事件，并根据所述风险事件确定所述配电终端身份可信度。3.根据权利要求2所述的方法，其特征在于，还包括：对所述配电终端数据进行预处理，其中该操作包括：对所述配电终端数据进行清洗、补全、汇聚、标签化以及归类操作。4.根据权利要求1所述的方法，其特征在于，获取配电终端的网络流量，并根据所述网络流量计算配电终端业务行为可信度的操作，包括：利用所述网络流量的时间依赖性，生成网络流序列；利用预先训练的神经网络模型对所述网络流序列进行预测，输出所述配电终端的预测业务行为；对所述预测业务行为和所述配电终端的实际业务行为进行相似度计算，确定所述预测业务行为和所述实际业务行为的相似度；根据所述相似度，计算所述配电终端业务行为可信度。5.根据权利要求4所述的方法，其特征在于，利用所述网络流量的时间依赖性，生成网络流序列的操作，包括：对所述网络流量进行特征提取，得到统计信息，并根据所述统计信息确定所述网络流量的网络行为；利用所述网络流量的时间依赖性，根据所述网络行为，生成所述网络流序列。6.根据权利要求5所述的方法，其特征在于，对所述网络流量进行特征提取，得到统计信息，并根据所述统计信息确定所述网络流量的网络行为的操作之前，还包括：利用预先设定的规范化方法，对所述网络流量的尺度和维度进行规范化；利用最大最小归一化方法对所述网络流量进行数值规范化。7.根据权利要求4所述的方法，其特征在于，对所述预测业务行为和所述配电终端的实际业务行为进行相似度计算，确定所述预测业务行为和所述实际业务行为的相似度的操作，包括：利用所述预测业务行为的数据点集以及所述实际业务行为的数据点集分别计算所述预测业务行为的第一中心点以及所述实际业务行为的第二中心点；计算所述预测业务行为的数据点集中每两个点之间的第一平均距离，并计算所述实际
业务行为的数据点集中每两个点之间的第二平均距离；根据所述第一中心点以及所述第二中心点，确定所述预测业务行为与所述实际业务行为之间的距离；根据所述距离、所述第一平均距离以及所述第二平均距离，计算所述相似度。8.根据权利要求7所述的方法，其特征在于，根据所述相似度，计算所述配电终端业务行为可信度的操作，包括：根据所述第一平均距离、所述第二平均距离以及所述距离，计算所述配电终端业务行为可信度。9.一种面向配电云主站的零信任动态访问控制装置，其特征在于，包括：第一计算模块，用于收集配电终端的配电终端数据，并根据所述配电终端数据计算配电终端身份可信度；第二计算模块，用于获取配电终端的网络流量，并根据所述网络流量计算配电终端业务行为可信度；确定...

【专利技术属性】
技术研发人员：刘芸杉，李二霞，亢超群，王利，李玉凌，韩子龙，朱克琪，杜金陵，许保平，樊勇华，孙国齐，周振华，
申请(专利权)人：国网山东省电力公司国网山东省电力公司电力科学研究院国家电网有限公司，
类型：发明
国别省市：