一种基于设备画像的终端信任度评估方法和装置与流程

本发明涉及终端评估，特别是涉及一种基于设备画像的终端信任度评估方法和装置。

背景技术：

1、配电系统的安全防护以“安全分区、网络专用、横向隔离、纵向认证”为原则，建立了纵深防御体系，有效地防止了来自电网系统外部的网络攻击。但内网及终端安全仍需加固，当前来自系统内部的入侵及潜伏式攻击的危害性更大。

2、配电终端是配电系统的重要组成部分，承担着配电系统的数据采集和控制指令执行任务，是确保电网高效、盈利、安全稳定运行的关键设施。然而，在当前配电终端的设计中，开发人员更多地关注终端的功能，而较少关注终端的信息安全保护。随着智能电网的不断完善和发展，针对配电终端与配电主站之间通信的恶意攻击层出不穷。与主站相比，配电终端具有数量多、范围广、户外操作、接入方便等特点，容易成为攻击者的目标。攻击者可以通过攻击主站信任的终端轻松获取大量数据，这将影响整个智能电网的安全。因此，有必要建立配电终端的信任评估机制，以确保主站能够实时获取终端的安全状态。

技术实现思路

1、本发明所要解决的技术问题是提供一种基于设备画像的终端信任度评估方法和装置，能够保障配电终端的业务安全，进而增强对配电系统的安全防护。

2、本发明解决其技术问题所采用的技术方案是：提供一种基于设备画像的终端信任度评估方法，包括以下步骤：

3、采集配电终端的业务流量；

4、从所述业务流量中提取报文的基本属性信息，并构建流量基本向量，采用报文属性聚类方法完成对流量基本向量的良性特征提取，基于白名单匹配实现对配电终端的异常监测，得到配电终端业务流量的基本特征；

5、对所述业务流量从语法上进行协议解析，提取协议中的语法关键字段，并利用先验知识对语法关键字段进行匹配，得到语法关键字特征；

6、对所述业务流量从语义上进行协议解析，提取协议中的语义关键字段，并通过语义关键字段出现的频率与时间点建立语义关键字特征；

7、基于实验分析确定配电终端业务流量的基本特征、语义关键字特征和语法关键字特征，建立配电终端网络访问行为基线，构建设备画像；

8、基于所述设备画像，从应用层、传输层与网络层多层次对所述配电终端的访问特征进行监测与识别，实现配电终端业务访问的安全控制。

9、所述流量基本向量由报文的首部信息构成，其中报文的首部信息包括：源ip、目的ip、流量类型、报文长度、报文频率和会话时间。

10、所述提取所述业务流量的基本属性信息构建流量基本向量，采用报文属性聚类方法完成对流量基本向量的良性特征提取，基于白名单匹配实现对配电终端的异常监测，得到配电终端业务流量的基本特征，具体包括：

11、从业务流量中提取报文的源ip、目的ip、流量类型、报文长度、报文频率和会话时间，并构建三元组集合u＝(m,a,b)表示流量基本向量，其中，m为报文集合，a为流量基本向量中的属性信息ai组成的集合，b为属性信息ai中的具体值组成的集合；

12、对于属性信息ai，若报文之间的bi是相等的，则这些报文属于同一类报文，将其归为同一簇，得到聚类结果；统计聚类结果中bi出现的次数，并除以总报文数得到属性值对应的报文数量的比例，将所述比例低于阈值的聚类结果滤除；

13、根据聚类结果得到集合b中bi出现次数最多的几种属性，并对bi所对应的每个报文mi进行交运算，得到属性值的特征词集合，基于特征词集合构建流量基本属性白名单；

14、基于白名单匹配实现对配电终端的异常监测，得到配电终端业务流量的基本特征。

15、所述对所述业务流量从语法上进行协议解析，提取协议中的语法关键字段时，使用同步解析方法将报文切割为若干段，并对每一段进行单独解析。

16、在对所述报文进行切割时，当语法关键字的位置已知时，先匹配已知位置的语法关键字组合，根据语法关键字的数量设置多个不同的切入点；当语法关键字的位置未知时，将报文数据切割为多个子块，不同子块进行同步解析，将解析出的语法关键字与有效关键字进行匹配，完成对语法关键字未知位置的快速定位。

17、所述对所述业务流量从语义上进行协议解析，提取协议中的语义关键字段，并通过语义关键字段出现的频率与时间点建立语义关键字特征，具体包括：

18、统计报文段中高频字段出现的次数si，最后通过计算si与总报文数量的比值得到各个语义关键字的频率fi；

19、对于每个语义关键字，在总报文中筛选出该语义关键字出现的报文集合，再对报文集合中的高频字段进行统计，得到报文集合中所有的语义关键字，得到该语义关键字的语义关键字集合，并统计所有语义关键字集合出现的频率；

20、统计临近的语义关键字首次出现时的时间戳差值，其中，最大值记为最慢响应时间，最小值记为最快响应时间。

21、本发明解决其技术问题所采用的技术方案是：提供一种基于设备画像的终端信任度评估装置，包括：

22、采集模块，用于采集配电终端的业务流量；

23、流量基本属性监测模块，用于从所述业务流量中提取报文的基本属性信息，并构建流量基本向量，采用报文属性聚类方法完成对流量基本向量的良性特征提取，基于白名单匹配实现对配电终端的异常监测，得到配电终端业务流量的基本特征；

24、语法分析模块，用于对所述业务流量从语法上进行协议解析，提取协议中的语法关键字段，并利用先验知识对语法关键字段进行匹配，得到语法关键字特征；

25、语义分析模块，用于对所述业务流量从语义上进行协议解析，提取协议中的语义关键字段，并通过语义关键字段出现的频率与时间点建立语义关键字特征；

26、画像构建模块，用于基于实验分析确定配电终端业务流量的基本特征、语义关键字特征和语法关键字特征，建立配电终端网络访问行为基线，构建设备画像；

27、安全控制模块，用于基于所述设备画像，从应用层、传输层与网络层多层次对所述配电终端的访问特征进行监测与识别，实现配电终端业务访问的安全控制。

28、所述流量基本属性监测模块包括：

29、提取构建单元，用于从业务流量中提取报文的源ip、目的ip、流量类型、报文长度、报文频率和会话时间，并构建三元组集合u＝(m,a,b)表示流量基本向量，其中，m为报文集合，a为流量基本向量中的属性信息ai组成的集合，b为属性信息ai中的具体值组成的集合；

30、聚类统计单元，对于属性信息ai，若报文之间的bi是相等的，则这些报文属于同一类报文，将其归为同一簇，得到聚类结果；统计聚类结果中bi出现的次数，并除以总报文数得到属性值对应的报文数量的比例，将所述比例低于阈值的聚类结果滤除；

31、白名单构建单元，用于根据聚类结果得到集合b中bi出现次数最多的几种属性，并对bi所对应的每个报文mi进行交运算，得到属性值的特征词集合，基于特征词集合构建流量基本属性白名单；

32、监测单元，用于基于白名单匹配实现对配电终端的异常监测，得到配电终端业务流量的基本特征。

33、所述语法分析模块使用同步解析方法将报文切割为若干段，并对每一段进行单独解析；在对所述报文进行切割时，当语法关键字的位置已知时，先匹配已知位置的语法关键字组合，根据语法关键字的数量设置多个不同的切入点；当语法关键字的位置未知时，将报文数据切割为多个子块，不同子块进行同步解析，将解析出的语法关键字与有效关键字进行匹配，完成对语法关键字未知位置的快速定位。

34、所述语义分析模块包括：

35、第一统计单元，用于统计报文段中高频字段出现的次数si，最后通过计算si与总报文数量的比值得到各个语义关键字的频率fi；

36、第二统计单元，用于对于每个语义关键字，在总报文中筛选出该语义关键字出现的报文集合，再对报文集合中的高频字段进行统计，得到报文集合中所有的语义关键字，得到该语义关键字的语义关键字集合，并统计所有语义关键字集合出现的频率；

37、第三统计单元，用于统计临近的语义关键字首次出现时的时间戳差值，其中，最大值记为最慢响应时间，最小值记为最快响应时间。

38、有益效果

39、由于采用了上述的技术方案，本发明与现有技术相比，具有以下的优点和积极效果：本发明设计了基于设备画像的配电终端信任评估模型，该模型主要通过两方面对配电终端进行安全监测与评估：流量基本属性评估和语法语义特征评估。通过采集配电专用协议报文首部的基础属性，通过报文属性聚类与特征词提取得到配电终端业务流量的基本特征。其次，从语法与语义两层面深度解析协议，提取协议中的关键字段并通过关键字段出现的频率与时间点建立协议语法语义安全基线。最后，通过实验分析进一步确定提取的特征与关键词字段，建立配电终端网络访问行为基线，进而构建设备画像。实验证明，本发明构建的设备画像能够有效通过网络流量特征对终端安全状态进行评估，实现了配电主站对终端的主动动态防御，保障了配电系统的安全防护。