本发明涉及一种身份认证访问策略编排方法及系统,尤其是电力系统中多主体认证的访问策略编排方法及系统。
背景技术:
1、近年来,引发大范围停电、严重影响社会经济运转的网络安全攻击事件屡有发生,电力、能源等关键信息基础设施已成为网络攻击重点目标。通过网络空间入侵一国电力网络并控制电力系统、破坏电力安全运行已由设想变为现实。电力监控系统作为电网的中枢控制系统,是保证供电安全的关键环节,关系国家政治稳定、经济发展与社会和谐,电力监控系统安全是构建关键信息基础设施安全的重要基础。
2、现有认证及准入机制为实现全链覆盖,如现有纵向加密认证装置等仅能保证与对端之间数据通道安全,但对于加密通道外的接入主体身份辨识能力不足,难以有效防范仿冒身份违规接入的网络攻击。同时,接入主体对应不同的访问策略,如何实现多类型主体与多认证技术的匹配,寻找最优的访问策略编排方案,也是亟待解决的难题。
技术实现思路
1、发明目的:本发明的目的是提供一种电力系统中对多主体的多访问策略进行最优访问策略编排的方法及系统。
2、技术方案:本发明所述的电力系统中多主体认证的访问策略编排方法,其特征在于,包括如下步骤:
3、分别建立历史访问主体和历史访问主体对应的访问策略的数据集,通过聚类模型生成不同类别的访问主体聚类结果;
4、对于每个类别的访问主体聚类结果,计算访问主体对应的每个访问策略的得分,根据所述得分获得每个类别的访问主体聚类结果的最优访问策略编排方案。
5、进一步地,所述对于每个类别的访问主体聚类结果,计算访问主体对应的每个访问策略的得分包括:
6、根据历史访问主体对应的访问策略的数据集,对每个类别的访问主体聚类结果中,计算所有访问主体对应的访问策略出现的频率,根据所述频率从高到低对访问策略进行排序,保留其中排名前n的访问策略,删除产生策略冲突的访问策略,对剩余访问策略计算得分。
7、进一步地,所述对于每个类别的访问主体聚类结果,计算访问主体对应的每个访问策略的得分包括:
8、访问策略得分的计算方法为:
9、
10、其中nw是该访问策略在所有访问策略中出现的次数,n是所有访问策略的数量,y是所有访问主体的数量,yw是与该访问策略对应的所有访问主体的数量。
11、进一步地,所述通过聚类模型生成不同类别的访问主体聚类结果包括:
12、对历史访问主体数据集进行独热编码后作为训练数据,输入到聚类模型中进行训练。
13、进一步地,所述所述分别建立历史访问主体和历史访问主体对应的访问策略的数据集包括:
14、建立历史访问主体数据库:
15、kn={[k1,1,k1,2,...,k1,n],[k2,1,k2,2,...,k2,n],...,[ks,1,ks,2,...,ks,n]}
16、其中ks,1,ks,2,...,ks,n表示访问主体ks的n个特征信息;
17、建立历史访问主体对应的访问策略数据库:
18、lm={[l1,1,l1,2,...,l1,m],[l2,1,l2,2,...,l2,m],...,[ls,1,ls,2,...,ls,m]}
19、其中ls,1,ls,2,...,ls,m表示访问主体ks的m个访问策略,若访问主体ks使用了访问侧率ls,m,则ls,m=1,否则ls,m=0。
20、本发明所述电力系统中多主体认证的访问策略编排系统,包括:
21、数据集建立单元,用于分别建立历史访问主体和历史访问主体对应的访问策略的数据集;
22、访问主体聚类单元,用于通过聚类模型生成不同类别的访问主体聚类结果;
23、访问策略编排单元,用于对于每个类别的访问主体聚类结果,计算访问主体对应的每个访问策略的得分,根据所述得分获得每个类别的访问主体聚类结果的最优访问策略编排方案。
24、进一步地,所述访问策略编排单元中,对于每个类别的访问主体聚类结果,计算访问主体对应的每个访问策略的得分包括:
25、根据历史访问主体对应的访问策略的数据集,对每个类别的访问主体聚类结果中,计算所有访问主体对应的访问策略出现的频率,根据所述频率从高到低对访问策略进行排序,保留其中排名前n的访问策略,删除产生策略冲突的访问策略,对剩余访问策略计算得分。
26、进一步地,所述访问策略编排单元中,对于每个类别的访问主体聚类结果,计算访问主体对应的每个访问策略的得分包括:访问策略得分的计算方法为:
27、
28、其中nw是该访问策略在所有访问策略中出现的次数,n是所有访问策略的数量,y是所有访问主体的数量,yw是与该访问策略对应的所有访问主体的数量。
29、进一步地,所述访问主体聚类单元中,通过聚类模型生成不同类别的访问主体聚类结果包括:
30、对历史访问主体数据集进行独热编码后作为训练数据,输入到聚类模型中进行训练。
31、进一步地,所述数据集建立单元中,分别建立历史访问主体和历史访问主体对应的访问策略的数据集包括:
32、建立历史访问主体数据库:
33、kn={[k1,1,k1,2,...,k1,n],[k2,1,k2,2,...,k2,n],...,[ks,1,ks,2,...,ks,n]}
34、其中ks,1,ks,2,...,ks,n表示访问主体ks的n个特征信息;
35、建立历史访问主体对应的访问策略数据库:
36、lm={[l1,1,l1,2,...,l1,m],[l2,1,l2,2,...,l2,m],...,[ls,1,ls,2,...,ls,m]}
37、其中ls,1,ls,2,...,ls,m表示访问主体ks的m个访问策略,若访问主体ks使用了访问侧率ls,m,则ls,m=1,否则ls,m=0。
38、本发明所述的电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述计算机程序被加载至处理器时实现所述的电力系统中多主体认证的访问策略编排方法。
39、本发明所述的计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现所述的电力系统中多主体认证的访问策略编排方法。
40、有益效果:与现有技术相比,本发明的优点在于:本发明对电力系统对多主体身份辨识的安全需求差异,能够从多个访问策略组合中寻找到最优访问策略编排方案,提出安全策略的智能编排方法,实现多类型主体与多认证技术的策略的自动生成方法,在不同场景下的策略命中与收敛分析,优化冗余无用策略、通过对无用和过期策略检测和分析,实现检策略高效优化,有效地提升电网系统的安全稳定运行水平。
1.一种电力系统中多主体认证的访问策略编排方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的电力系统中多主体认证的访问策略编排方法,其特征在于,所述对于每个类别的访问主体聚类结果,计算访问主体对应的每个访问策略的得分包括:
3.根据权利要求1所述的电力系统中多主体认证的访问策略编排方法,其特征在于,所述对于每个类别的访问主体聚类结果,计算访问主体对应的每个访问策略的得分包括:
4.根据权利要求1所述的电力系统中多主体认证的访问策略编排方法,其特征在于,所述通过聚类模型生成不同类别的访问主体聚类结果包括:
5.根据权利要求1所述的电力系统中多主体认证的访问策略编排方法,其特征在于,所述分别建立历史访问主体和历史访问主体对应的访问策略的数据集包括:
6.一种电力系统中多主体认证的访问策略编排系统,其特征在于,包括:
7.根据权利要求6所述的电力系统中多主体认证的访问策略编排系统,其特征在于,所述访问策略编排单元中,对于每个类别的访问主体聚类结果,计算访问主体对应的每个访问策略的得分包括:
8.根据权利要求6所述的电力系统中多主体认证的访问策略编排系统,其特征在于,所述访问策略编排单元中,对于每个类别的访问主体聚类结果,计算访问主体对应的每个访问策略的得分包括:访问策略得分的计算方法为:
9.根据权利要求6所述的电力系统中多主体认证的访问策略编排系统,其特征在于,所述访问主体聚类单元中,通过聚类模型生成不同类别的访问主体聚类结果包括:
10.根据权利要求6所述的电力系统中多主体认证的访问策略编排系统,其特征在于,所述数据集建立单元中,分别建立历史访问主体和历史访问主体对应的访问策略的数据集包括:
11.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述计算机程序被加载至处理器时实现根据权利要求1-5任一项所述的电力系统中多主体认证的访问策略编排方法。
12.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现根据权利要求1-5任一项所述的电力系统中多主体认证的访问策略编排方法。