一种基于设备画像的终端信任度评估方法和装置制造方法及图纸

本发明专利技术涉及一种基于设备画像的终端信任度评估方法和装置，方法包括：采集配电终端的业务流量；从所述业务流量中提取报文的基本属性信息，并构建流量基本向量，采用报文属性聚类方法完成对流量基本向量的良性特征提取，基于白名单匹配实现对配电终端的异常监测，得到配电终端业务流量的基本特征；对所述业务流量从语法和语义上进行协议解析，提取协议中的语法关键字段和语义关键字段，得到语法关键字特征和语义关键字特征；基于实验分析确定配电终端业务流量的基本特征、语义关键字特征和语法关键字特征，建立配电终端网络访问行为基线，构建设备画像；基于所述设备画像对所述配电终端的访问特征进行监测与识别，实现配电终端业务访问的安全控制。务访问的安全控制。务访问的安全控制。

【技术实现步骤摘要】
一种基于设备画像的终端信任度评估方法和装置


[0001]本专利技术涉及终端评估
，特别是涉及一种基于设备画像的终端信任度评估方法和装置。

技术介绍

[0002]配电系统的安全防护以“安全分区、网络专用、横向隔离、纵向认证”为原则，建立了纵深防御体系，有效地防止了来自电网系统外部的网络攻击。但内网及终端安全仍需加固，当前来自系统内部的入侵及潜伏式攻击的危害性更大。
[0003]配电终端是配电系统的重要组成部分，承担着配电系统的数据采集和控制指令执行任务，是确保电网高效、盈利、安全稳定运行的关键设施。然而，在当前配电终端的设计中，开发人员更多地关注终端的功能，而较少关注终端的信息安全保护。随着智能电网的不断完善和发展，针对配电终端与配电主站之间通信的恶意攻击层出不穷。与主站相比，配电终端具有数量多、范围广、户外操作、接入方便等特点，容易成为攻击者的目标。攻击者可以通过攻击主站信任的终端轻松获取大量数据，这将影响整个智能电网的安全。因此，有必要建立配电终端的信任评估机制，以确保主站能够实时获取终端的安全状态。

技术实现思路

[0004]本专利技术所要解决的技术问题是提供一种基于设备画像的终端信任度评估方法和装置，能够保障配电终端的业务安全，进而增强对配电系统的安全防护。
[0005]本专利技术解决其技术问题所采用的技术方案是：提供一种基于设备画像的终端信任度评估方法，包括以下步骤：
[0006]采集配电终端的业务流量；
[0007]从所述业务流量中提取报文的基本属性信息，并构建流量基本向量，采用报文属性聚类方法完成对流量基本向量的良性特征提取，基于白名单匹配实现对配电终端的异常监测，得到配电终端业务流量的基本特征；
[0008]对所述业务流量从语法上进行协议解析，提取协议中的语法关键字段，并利用先验知识对语法关键字段进行匹配，得到语法关键字特征；
[0009]对所述业务流量从语义上进行协议解析，提取协议中的语义关键字段，并通过语义关键字段出现的频率与时间点建立语义关键字特征；
[0010]基于实验分析确定配电终端业务流量的基本特征、语义关键字特征和语法关键字特征，建立配电终端网络访问行为基线，构建设备画像；
[0011]基于所述设备画像，从应用层、传输层与网络层多层次对所述配电终端的访问特征进行监测与识别，实现配电终端业务访问的安全控制。
[0012]所述流量基本向量由报文的首部信息构成，其中报文的首部信息包括：源IP、目的IP、流量类型、报文长度、报文频率和会话时间。
[0013]所述提取所述业务流量的基本属性信息构建流量基本向量，采用报文属性聚类方
法完成对流量基本向量的良性特征提取，基于白名单匹配实现对配电终端的异常监测，得到配电终端业务流量的基本特征，具体包括：
[0014]从业务流量中提取报文的源IP、目的IP、流量类型、报文长度、报文频率和会话时间，并构建三元组集合U＝(M,A,B)表示流量基本向量，其中，M为报文集合，A为流量基本向量中的属性信息a
i
组成的集合，B为属性信息a
i
中的具体值组成的集合；
[0015]对于属性信息a
i
，若报文之间的b
i
是相等的，则这些报文属于同一类报文，将其归为同一簇，得到聚类结果；统计聚类结果中b
i
出现的次数，并除以总报文数得到属性值对应的报文数量的比例，将所述比例低于阈值的聚类结果滤除；
[0016]根据聚类结果得到集合B中b
i
出现次数最多的几种属性，并对b
i
所对应的每个报文m
i
进行交运算，得到属性值的特征词集合，基于特征词集合构建流量基本属性白名单；
[0017]基于白名单匹配实现对配电终端的异常监测，得到配电终端业务流量的基本特征。
[0018]所述对所述业务流量从语法上进行协议解析，提取协议中的语法关键字段时，使用同步解析方法将报文切割为若干段，并对每一段进行单独解析。
[0019]在对所述报文进行切割时，当语法关键字的位置已知时，先匹配已知位置的语法关键字组合，根据语法关键字的数量设置多个不同的切入点；当语法关键字的位置未知时，将报文数据切割为多个子块，不同子块进行同步解析，将解析出的语法关键字与有效关键字进行匹配，完成对语法关键字未知位置的快速定位。
[0020]所述对所述业务流量从语义上进行协议解析，提取协议中的语义关键字段，并通过语义关键字段出现的频率与时间点建立语义关键字特征，具体包括：
[0021]统计报文段中高频字段出现的次数s
i
，最后通过计算s
i
与总报文数量的比值得到各个语义关键字的频率f
i
；
[0022]对于每个语义关键字，在总报文中筛选出该语义关键字出现的报文集合，再对报文集合中的高频字段进行统计，得到报文集合中所有的语义关键字，得到该语义关键字的语义关键字集合，并统计所有语义关键字集合出现的频率；
[0023]统计临近的语义关键字首次出现时的时间戳差值，其中，最大值记为最慢响应时间，最小值记为最快响应时间。
[0024]本专利技术解决其技术问题所采用的技术方案是：提供一种基于设备画像的终端信任度评估装置，包括：
[0025]采集模块，用于采集配电终端的业务流量；
[0026]流量基本属性监测模块，用于从所述业务流量中提取报文的基本属性信息，并构建流量基本向量，采用报文属性聚类方法完成对流量基本向量的良性特征提取，基于白名单匹配实现对配电终端的异常监测，得到配电终端业务流量的基本特征；
[0027]语法分析模块，用于对所述业务流量从语法上进行协议解析，提取协议中的语法关键字段，并利用先验知识对语法关键字段进行匹配，得到语法关键字特征；
[0028]语义分析模块，用于对所述业务流量从语义上进行协议解析，提取协议中的语义关键字段，并通过语义关键字段出现的频率与时间点建立语义关键字特征；
[0029]画像构建模块，用于基于实验分析确定配电终端业务流量的基本特征、语义关键字特征和语法关键字特征，建立配电终端网络访问行为基线，构建设备画像；
[0030]安全控制模块，用于基于所述设备画像，从应用层、传输层与网络层多层次对所述配电终端的访问特征进行监测与识别，实现配电终端业务访问的安全控制。
[0031]所述流量基本属性监测模块包括：
[0032]提取构建单元，用于从业务流量中提取报文的源IP、目的IP、流量类型、报文长度、报文频率和会话时间，并构建三元组集合U＝(M,A,B)表示流量基本向量，其中，M为报文集合，A为流量基本向量中的属性信息a
i
组成的集合，B为属性信息a
i
中的具体值组成的集合；
[0033]聚类统计单元，对于属性信息a
i
，若报文之间的b
i...

【技术保护点】

【技术特征摘要】
1.一种基于设备画像的终端信任度评估方法，其特征在于，包括以下步骤：采集配电终端的业务流量；从所述业务流量中提取报文的基本属性信息，并构建流量基本向量，采用报文属性聚类方法完成对流量基本向量的良性特征提取，基于白名单匹配实现对配电终端的异常监测，得到配电终端业务流量的基本特征；对所述业务流量从语法上进行协议解析，提取协议中的语法关键字段，并利用先验知识对语法关键字段进行匹配，得到语法关键字特征；对所述业务流量从语义上进行协议解析，提取协议中的语义关键字段，并通过语义关键字段出现的频率与时间点建立语义关键字特征；基于实验分析确定配电终端业务流量的基本特征、语义关键字特征和语法关键字特征，建立配电终端网络访问行为基线，构建设备画像；基于所述设备画像，从应用层、传输层与网络层多层次对所述配电终端的访问特征进行监测与识别，实现配电终端业务访问的安全控制。2.根据权利要求1所述的基于设备画像的终端信任度评估方法，其特征在于，所述流量基本向量由报文的首部信息构成，其中报文的首部信息包括：源IP、目的IP、流量类型、报文长度、报文频率和会话时间。3.根据权利要求1所述的基于设备画像的终端信任度评估方法，其特征在于，所述提取所述业务流量的基本属性信息构建流量基本向量，采用报文属性聚类方法完成对流量基本向量的良性特征提取，基于白名单匹配实现对配电终端的异常监测，得到配电终端业务流量的基本特征，具体包括：从业务流量中提取报文的源IP、目的IP、流量类型、报文长度、报文频率和会话时间，并构建三元组集合U＝(M,A,B)表示流量基本向量，其中，M为报文集合，A为流量基本向量中的属性信息a
i
组成的集合，B为属性信息a
i
中的具体值组成的集合；对于属性信息a
i
，若报文之间的b
i
是相等的，则这些报文属于同一类报文，将其归为同一簇，得到聚类结果；统计聚类结果中b
i
出现的次数，并除以总报文数得到属性值对应的报文数量的比例，将所述比例低于阈值的聚类结果滤除；根据聚类结果得到集合B中b
i
出现次数最多的几种属性，并对b
i
所对应的每个报文m
i
进行交运算，得到属性值的特征词集合，基于特征词集合构建流量基本属性白名单；基于白名单匹配实现对配电终端的异常监测，得到配电终端业务流量的基本特征。4.根据权利要求1所述的基于设备画像的终端信任度评估方法，其特征在于，所述对所述业务流量从语法上进行协议解析，提取协议中的语法关键字段时，使用同步解析方法将报文切割为若干段，并对每一段进行单独解析。5.根据权利要求4所述的基于设备画像的终端信任度评估方法，其特征在于，在对所述报文进行切割时，当语法关键字的位置已知时，先匹配已知位置的语法关键字组合，根据语法关键字的数量设置多个不同的切入点；当语法关键字的位置未知时，将报文数据切割为多个子块，不同子块进行同步解析，将解析出的语法关键字与有效关键字进行匹配，完成对语法关键字未知位置的快速定位。6.根据权利要求1所述的基于设备画像的终端信任度评估方法，其特征在于，所述对所
述业务流量从语义上进行协议解析，提取协议中的语义关键字段，并通过语义关键字段出现的频率与时间点建立语义关键字特征，具体包括：统计报文段中高频字段出现的次数s
i
，最后通过计算s
i
与总报文数量的比值得到各个语义关键字的频率f
i
；对于每个语义关键字，在总报文中筛选出该语义关键字出现的报文集合，再对报文集合中的高频字段进行统计，得到报文集合中所有的语义关键字，...

【专利技术属性】
技术研发人员：刘芸杉，李二霞，向佳霓，崔勇，亢超群，王利，李玉凌，韩子龙，许保平，朱克琪，樊勇华，周振华，孙国齐，杜金陵，孔令达，
申请(专利权)人：国网上海市电力公司中国电力科学研究院有限公司，
类型：发明
国别省市：