【技术实现步骤摘要】
一种面向配电云主站的零信任动态访问控制方法
[0001]本专利技术涉及配电网络安全防护
,并且更具体地,涉及一种面向配电云主站的零信任动态访问控制方法。
技术介绍
[0002]在配电自动化系统逐步向物联网化演进的过程中,配电主站的云化部署模式在提升计算、存储资源的利用率、系统运行效率的同时,也带来新的安全问题及新的安全需求。一是主站业务系统部署于云计算环境,失去了传统配电主站各业务系统间基于物理服务器的天然隔离,导致业务系统间边界模糊,为攻击蔓延提供了便利条件,可能会造成不同应用之间的非法访问或信息泄露;二是云平台多系统、多应用导致存在漏洞的概率上升,若云平台对异常行为的预防不到位,则面临攻击者可利用漏洞潜入系统,导致系统瘫痪或失控事件发生;三是目前的安全防护机制不能适应新型网络架构、配电业务云化部署的技术需求,不能保证配电网控制指令的正确下发,核心业务数据的机密性。此外,国际网络安全形势日益严峻,零日漏洞利用、APT等非常规攻击手段已成主流。当前成熟应用的配电自动化系统安全防护体系以“安全分区、网络专用、横向隔离、纵向认证”为基本原则,在配电主站方面,以国产商用密码算法为基础,重点研究与终端交互业务数据的分级加密策略,并利用可信计算等技术,对配电主站的主动防御技术开展了一定研究。当前配电主站的安全防护体系并不能适应新型配电业务云化部署的技术需求,在配电云主站虚拟资源隔离及访问控制技术方面,尚未出现成熟应用的安全防护技术。
[0003]配电云主站用户身份及访问形式不同,各业务之间交互频繁且形式各异,访问 ...
【技术保护点】
【技术特征摘要】
1.一种面向配电云主站的零信任动态访问控制方法,其特征在于,包括:收集配电终端的配电终端数据,并根据所述配电终端数据计算配电终端身份可信度;获取配电终端的网络流量,并根据所述网络流量计算配电终端业务行为可信度;根据预先设置的配电终端身份可信度权重、预先设置的配电终端业务行为可信度权重、所述配电终端身份可信度以及所述配电终端业务行为可信度,确定所述配电终端的信任评估结果,其中所述信任评估结果用于实现零信任下配电云主站的动态访问。2.根据权利要求1所述的方法,其特征在于,所述配电终端数据包括属性信息、风险事件、配电终端访问行为日志、外部风险事件、外部感知数据,并且根据所述配电终端数据计算配电终端身份可信度的操作,包括:利用深度学习算法对所述配电终端数据进行分析,确定所述配电终端数据中的异常事件集;对所述异常事件集进行组合分析成风险事件,并根据所述风险事件确定所述配电终端身份可信度。3.根据权利要求2所述的方法,其特征在于,还包括:对所述配电终端数据进行预处理,其中该操作包括:对所述配电终端数据进行清洗、补全、汇聚、标签化以及归类操作。4.根据权利要求1所述的方法,其特征在于,获取配电终端的网络流量,并根据所述网络流量计算配电终端业务行为可信度的操作,包括:利用所述网络流量的时间依赖性,生成网络流序列;利用预先训练的神经网络模型对所述网络流序列进行预测,输出所述配电终端的预测业务行为;对所述预测业务行为和所述配电终端的实际业务行为进行相似度计算,确定所述预测业务行为和所述实际业务行为的相似度;根据所述相似度,计算所述配电终端业务行为可信度。5.根据权利要求4所述的方法,其特征在于,利用所述网络流量的时间依赖性,生成网络流序列的操作,包括:对所述网络流量进行特征提取,得到统计信息,并根据所述统计信息确定所述网络流量的网络行为;利用所述网络流量的时间依赖性,根据所述网络行为,生成所述网络流序列。6.根据权利要求5所述的方法,其特征在于,对所述网络流量进行特征提取,得到统计信息,并根据所述统计信息确定所述网络流量的网络行为的操作之前,还包括:利用预先设定的规范化方法,对所述网络流量的尺度和维度进行规范化;利用最大最小归一化方法对所述网络流量进行数值规范化。7.根据权利要求4所述的方法,其特征在于,对所述预测业务行为和所述配电终端的实际业务行为进行相似度计算,确定所述预测业务行为和所述实际业务行为的相似度的操作,包括:利用所述预测业务行为的数据点集以及所述实际业务行为的数据点集分别计算所述预测业务行为的第一中心点以及所述实际业务行为的第二中心点;计算所述预测业务行为的数据点集中每两个点之间的第一平均距离,并计算所述实际
业务行为的数据点集中每两个点之间的第二平均距离;根据所述第一中心点以及所述第二中心点,确定所述预测业务行为与所述实际业务行为之间的距离;根据所述距离、所述第一平均距离以及所述第二平均距离,计算所述相似度。8.根据权利要求7所述的方法,其特征在于,根据所述相似度,计算所述配电终端业务行为可信度的操作,包括:根据所述第一平均距离、所述第二平均距离以及所述距离,计算所述配电终端业务行为可信度。9.一种面向配电云主站的零信任动态访问控制装置,其特征在于,包括:第一计算模块,用于收集配电终端的配电终端数据,并根据所述配电终端数据计算配电终端身份可信度;第二计算模块,用于获取配电终端的网络流量,并根据所述网络流量计算配电终端业务行为可信度;确定...
【专利技术属性】
技术研发人员:刘芸杉,李二霞,亢超群,王利,李玉凌,韩子龙,朱克琪,杜金陵,许保平,樊勇华,孙国齐,周振华,
申请(专利权)人:国网山东省电力公司国网山东省电力公司电力科学研究院国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。