一种面向电力物联网的数据隔离交换和安全过滤方法技术

本发明专利技术提供一种面向电力物联网的数据隔离交换和安全过滤方法，所述方法包括：(1)构建一种基于前置代理和专有协议的隔离架构；(2)在前置代理部分进行特征向量提取；(3)在所述前置代理部分进行标签封装，在隔离服务侧进行标签解析；(4)在隔离服务侧实现标签过滤；(5)在所述隔离服务侧结合特征向量和标签过滤进行内容过滤。本发明专利技术通过引入前置代理和私有应用层协议实现了完善的协议隔离，大大提高了隔离强度。

【技术实现步骤摘要】

本专利技术设及一种安全隔离交换方法，具体设及一种面向电力物联网的数据隔离交 换和安全过滤方法。
技术介绍
安全隔离与信息交换技术的基本原理是，通过一种专用硬件一一隔离装置，使两 个或者两个W上网络在不连通的情况下进行网络之间的安全数据传输和资源共享。具体做 法一般是，隔离装置切断网络之间的TCP/IP连接，分解或重组TCP/IP数据包，进行安全审 查，然后与另一边的主机建立有效连接并把数据发送出去。 在智能电网发展背景下，电力物联网环境中存在海量智能终端、智能刀闽、作业终 端W及各种电力业务系统，运些终端和系统需要与电力信息网进行频繁的数据交互。由于 电力信息网属于设密网络，而上述终端和系统多通过移动APN网络或者互联网完成接入，两 者的交互对电力信息网来说存在明显的安全风险，因此必须采取隔离防护措施。然而现有 的安全隔离与信息交换技术存在明显不足，难W满足电力物联网的隔离交换需求，具体表 现为： 1、隔离强度不足 隔离与交换是一对矛盾，传统的安全隔离与信息交换技术基于TCP/IP数据包的分 解和重组，在解决隔离与交换的矛盾问题上存在明显不足。绝大多数特定的数据交换都需 要承载于特定的应用协议，而一旦在安全隔离与信息交换模型中加入应用层协议的考虑， 就会发现TCP/IP报文重组并不能完全消除应用层协议引入的安全风险。假设非设密网络通 过安全隔离与信息交换系统与设密网络中的化acle数据库进行数据交换，此时非设密网络 和设密网络都必须基于TNS协议进行通信，而TCP/IP报文在经过硬件交换矩阵后仍需还原 成TNS协议报文格式，运就导致非设密网络的攻击者实际上完全可W通过公开的TNS协议报 文实现对设密网络数据库的攻击。传统安全隔离与信息交换技术对运种攻击的防御措施是 尽可能增强应用层过滤能力，但运显然已经退化到应用层防火墙的水平。 2、过滤深度和效率存在矛盾 传统的安全隔离与信息交换技术体系中，安全过滤是重要的一环。许多相关产品 都声称具备内容级的过滤能力。然而内容过滤算法不可能是没有性能代价的，内容过滤的 深度越深，其造成的延迟和吞吐量下降情况越严重。传统的安全隔离与信息交换技术体系 试图在隔离装置上完成深度过滤，运在工业环境中很可能是不可行的。例如电力物联网环 境中设及的终端数W亿计，数据交换流量巨大，对数据交换延迟也有严格要求，传统的安全 隔离与信息交换技术体系只能通过关闭过滤功能或者降低过滤深度来应对，在解决过滤深 度和效率的矛盾方面存在明显不足。
技术实现思路
[000引为了克服上述现有技术的不足，本专利技术提供一种面向电力物联网的数据隔离交换 和安全过滤方法，本专利技术通过引入前置代理和私有应用层协议实现了完善的协议隔离，大 大提高了隔离强度。 为了实现上述专利技术目的，本专利技术采取如下技术方案： -种面向电力物联网的数据隔离交换和安全过滤方法，所述方法包括如下步骤： (1)构建一种基于前置代理和专有协议的隔离架构； (2)在前置代理部分进行特征向量提取； (3)在所述前置代理部分进行标签封装，在隔离服务侧进行标签解析； (4)在隔离服务侧实现标签过滤； (5)在所述隔离服务侧结合特征向量和标签过滤进行内容过滤。 优选的，所述步骤（1)中，所述隔离架构包括基于TCP/IP协议专有的应用层交换协 议、专用安全隔离装置和前置代理，所述隔离架构用于将用户交互过程映射为所述应用层 交换协议报文，W实现数据交换。优选的，所述步骤(2)中，包括如下步骤：[001引步骤2-1、对报文内容Τι进行预处理； 步骤2-2、对所述报文内容Τι进行特征提取； 步骤2-3、生成报文特征向量V '和隔离服务侧中敏感库的特征向量V; 步骤2-4、将提取的特征向量保存到报文的标签字段中。 优选的，所述步骤2-1中，所述预处理为通过ICTCLAS分词接口，将文本文件进行分 词解析，报文内容Τι分词后表示为如下形式： Ti 二,(iii2,li2,Pi2) ,......, (iiin , lin , Pin)) 式中：Ti表示报文i，ain表示划分出来的词组，lin表示词组的长度，Pin表示划分出 来的词组的词性。 优选的，所述步骤2-2中，包括如下步骤： 步骤2-2-1、对所述报文内容Τι进行词性选择，提取分析后的文本词组中的名词性 词组，删除其它词性，所述报文内容Τι经过词性选择后，表达式如下：[002引式中：Tai为提取名词之后的文本，(诚乂诚为名词，培为名词词组的长度； 步骤2-2-2、统计关键字的出现频率，形成分词Ξ元组，包含词组、词组在本文本中 出现的频率和词性，将化1增加一个词频项，表达式如下： 式中：Tbi为统计词频之后的文本，4为统计词频后的词组，//;为统计词频后词组 的长度，记为 < 的词频； 步骤2-2-3、计算每个关键字的长度并删除单个字的关键字，表达式如下： 式中：Tci为删除关键字为单个字之后的文本，其中诚为长度大于一个字的词组， 说为省词频； 步骤2-2-4、剔除关键字出现一次的词组，得到的最终表达式为： 其中：Tdi为剔除关键字出现一次之后的文本，端为剔除关键字出现一次之后的 词组，/；；：为端的词频，其中1。 优选的，所述步骤2-3中，包括如下步骤： 步骤2-3-1、基于TF-IDF公式对词组的权值进行计算，公式为： cUj = tij*log(N/nj)[OOW 其中，dij为词组au在文本Τι中出现的次数，等于Tdi中的.篇，N为文档的总数，nj为 文档库中包含词组aij的文档的个数； 步骤2-3-2、由敏感库数据组成的特征向量表示为： V= ((aii'dii), (ai2,di2),......, (aim,dim),......, (ani ,dni), (ani ,dni),......, (过恤，dnin)) 简记为： V=(dll,dl2,......,dlm,......, dnl, dn2 ,......,dnm) 步骤2-3-3、根据步骤2-3-2,得到报文的特征向量简记为： V' = ( d' 11，d' 12，......，d' Im，......，d' nl，d' n2，......，d' nm)。[004引优选的，所述步骤(3)中，所述标签包括用户信息lKk，v)、数据属性信息AcKk，v)， 特征向量V '、生成时间T和加密标识化信息，表达式为： Label = WA，v)，AcKk，v)，V'，T，Fe) 所述前置代理部分进行标签封装包括如下步骤： 步骤3-1-1、用户信息U、数据属性信息AcKk，v)，特征向量V'、生成时间T按序排列， 并分块成N块； 步骤3-1-2、随机选择N块中的N1块，设置加密标识，并对数据进行加密获得EN1; 步骤3-1 -3、记录随机选择过程R，将R作为块，设置加密标识，加密R获得ER; 步骤3-1-4、对剩余的N2 (N-N1)块不设置加密标识；[00对步骤3-1-5、计算所述EN1的长度和所述邸的长度，并连接EN1长度、EN1、邸长度、ER 和N2得标签封装后的私有协议数据E; 所述在隔离服务侧进行标签解析包括如下步骤： 步骤3-2-1、获取所述私有协议数据E;[0化引步骤3-2-2、提取所述EN1长度，通本文档来自技高网...

【技术保护点】
一种面向电力物联网的数据隔离交换和安全过滤方法，其特征在于，所述方法包括如下步骤：(1)构建一种基于前置代理和专有协议的隔离架构；(2)在前置代理部分进行特征向量提取；(3)在所述前置代理部分进行标签封装，在隔离服务侧进行标签解析；(4)在隔离服务侧实现标签过滤；(5)在所述隔离服务侧结合特征向量和标签过滤进行内容过滤。

【技术特征摘要】

【专利技术属性】
技术研发人员：周诚，张涛，马媛媛，李伟伟，汪晨，邵志鹏，费稼轩，何高峰，楚杰，黄秀丽，
申请(专利权)人：国网智能电网研究院，国家电网公司，
类型：发明
国别省市：北京;11