网络安全接入认证方法、装置、电子设备及可读存储介质制造方法及图纸

本发明专利技术公开了一种网络安全接入认证方法、装置、电子设备及可读存储介质，属于网络安全领域。该方法包括：对采集的网络接入设备的流量数据进行解析，得到目标信息；基于预先训练好的聚类模型对所述目标信息进行分类，得到所述目标信息的类型；基于预设的分级认证规则，根据所述目标信息的类型，对所述网络接入设备进行认证。本申请能够提高对网络接入设备认证的精度和效率。的精度和效率。的精度和效率。

【技术实现步骤摘要】
网络安全接入认证方法、装置、电子设备及可读存储介质


[0001]本专利技术属于网络安全领域，具体涉及一种基于数据驱动的网络安全接入认证方法、装置、电子设备及计算机可读存储介质。

技术介绍

[0002]随着5G网络的深入发展，海量异构设备将作为实时数据源接入到物联网，网络设备的安全得到了广泛关注。如果未经认证的不可信的设备接入网络，会引入众多安全风险，导致其他设备被攻击或者数据信息泄露。因此，为了保证网络环境安全稳定运行，需要进行网络接入设备的识别和认证。
[0003]现有的网络接入设备的认证方法，适合于对功能固定或者行为信息稳定的已知接入设备进行认证，随着数以亿计的设备接入网络，大量未知设备接入网络，和设备不断增长的功能维度和繁琐多样的网络交互行为，使得设备认证难度增加，从而造成认证的精度和效率较低。

技术实现思路

[0004]本专利技术实施例的目的是提供一种网络安全接入认证方法、装置、电子设备及计算机可读存储介质，以解决现有的网络接入设备的认证方法精度和效率较低的问题。
[0005]为了解决上述技术问题，本专利技术是这样实现的：
[0006]第一方面，本专利技术实施例提供了一种网络安全接入认证方法，该方法包括：
[0007]对采集的网络接入设备的流量数据进行解析，得到目标信息；
[0008]基于预先训练好的聚类模型对所述目标信息进行分类，得到所述目标信息的类型；
[0009]基于预设的分级认证规则，根据所述目标信息的类型，对所述网络接入设备进行认证。<br/>[0010]第二方面，本专利技术实施例提供了一种网络安全接入认证装置，该装置包括：
[0011]解析模块，用于对采集的网络接入设备的流量数据进行解析，得到目标信息；
[0012]设备分类模块，用于基于预先训练好的聚类模型对所述目标信息进行分类，得到所述目标信息的类型；
[0013]分级认证模块，用于基于预设的分级认证规则，根据所述目标信息的类型，对所述网络接入设备进行认证。
[0014]第三方面，本专利技术实施例提供了一种电子设备，该电子设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面所述的方法的步骤。
[0015]第四方面，本专利技术实施例提供了一种计算机可读存储介质，所述计算机可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如第一方面所述的方法的步骤。
[0016]在本专利技术实施例中，通过对采集的网络接入设备的流量数据进行解析，得到目标信息，基于预先训练好的聚类模型对所述目标信息进行分类，得到所述目标信息的类型，基于预设的分级认证规则，根据所述目标信息的类型，对所述网络接入设备进行认证；根据所述网络接入设备的认证结果和所述网络接入设备的行为特征，对所述网络接入设备进行可信度评估，可以实现对海量异构网络接入设备的快速分类和非侵入式认证，减少了人为参与，实现了对未知设备和功能行为多样的设备的认证，提高了认证的精度和效率。
附图说明
[0017]图1是本专利技术实施例提供的一种网络安全接入认证方法的流程图；
[0018]图2是本专利技术实施例提供的一种分级认证方法的流程图；
[0019]图3是本专利技术实施例提供的一种网络安全接入认证装置的结构示意图；
[0020]图4是本专利技术实施例提供的一种电子设备的结构示意图。
具体实施方式
[0021]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0022]本专利技术的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”等所区分的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。此外，说明书以及权利要求中“和/或”表示所连接对象的至少其中之一，字符“/”，一般表示前后关联对象是一种“或”的关系。
[0023]下面结合附图，通过具体的实施例及其应用场景对本专利技术实施例提供的网络安全接入认证方法进行详细地说明。
[0024]请参见图1，图1是本专利技术实施例提供的一种网络安全接入认证方法的流程图，该方法应用于电子设备，如图1所示，该方法包括如下步骤：
[0025]步骤101，对采集的网络接入设备的流量数据进行解析，得到目标信息。
[0026]在本专利技术实施例中，网络接入设备可以包括台式计算机、智能手机、打印机、平板电脑、车在计算机、机器人、可穿戴式设备等物联网接入设备，本专利技术实施例对网络接入设备的类型不作限定。本实施例中可以通过采集网络接入设备的动态网络流量数据，对所采集的网络接入设备的动态网络流量数据进行清洗和报文解析等处理，获得目标信息，目标信息反映了网络接入设备的功能。例如，目标信息可以包括源IP地址、目的IP地址、源端口、目的端口、报文类型等信息，本专利技术实施例对目标信息的内容不作限定。
[0027]步骤102，基于预先训练好的聚类模型对目标信息进行分类，得到目标信息的类型。
[0028]在本专利技术实施例中，可以通过预先采集各网络接入设备在一段时间内的流量数据，进行解析和存储，获得训练数据集，通过训练数据集对预设的聚类模型进行训练，获得
训练好的聚类模型，完成对聚类模型的线下训练。其中，预设的聚类模型可以采用现有的聚类算法，例如k
‑
means聚类算法，本专利技术实施例对聚类模型所采用的聚类算法的类型不作限定。
[0029]在本专利技术实施例中，在获得训练好的聚类模型后，可以将当前通过采集网络接入设备的流量数据获得的目标信息输入到预先训练好的聚类模型中，计算当前目标信息与聚类模型中各聚类簇质心信息的相似度，其中相似度越大表明当前目标信息与该聚类簇对应的设备的动态行为匹配度较高，当前目标信息属于该设备，因此可以将相似度最大的聚类簇对应的类型作为当前目标信息的类型。
[0030]可选地，计算相似度的方法可以采用欧式距离、余弦相似度，互信息等，本专利技术实施例对聚类模型进行分类时所采用的相似度计算方法不作限定。本专利技术实施例可以通过采用无监督的学习方法对网络接入设备的目标信息进行分类，克服了有监督的学习方法不能较好的应用于无标签数据的缺点，可以快速准确地对所有网络接入设备的功能进行分类，提高了聚类模型的适用性，可以满足实际工程中大量设备的数据缺乏标签和对算法简洁高效的要求，为更好的进行网络接入设备的认证提供了基础。
[0031]步骤103，基于预设的分级认证规则，根据目标信息的类型，对网络接入设备进行认证。
[0032]在本专利技术实施例中，可以通过对网络本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络安全接入认证方法，其特征在于，包括：对采集的网络接入设备的流量数据进行解析，得到目标信息；基于预先训练好的聚类模型对所述目标信息进行分类，得到所述目标信息的类型；基于预设的分级认证规则，根据所述目标信息的类型，对所述网络接入设备进行认证。2.根据权利要求1所述的方法，其特征在于，所述基于预设的分级认证规则，根据所述目标信息的类型，对所述网络接入设备进行认证，包括：根据所述目标信息的类型，判断所述网络接入设备在不同时间发出的目标信息的类型是否发生变化；若所述网络接入设备在不同时间发出的目标信息的类型发生变化，根据所述网络接入设备的身份标识信息对所述网络接入设备进行认证；若所述网络接入设备在不同时间发出的目标信息的类型未发生变化，根据所述目标信息所属类型的质心信息和预先确定的基准信息对所述网络接入设备进行认证；其中，所述基准信息是在通过身份标识信息对网络接入设备进行认证时，认证成功的网络接入设备对应的目标信息。3.根据权利要求2所述的方法，其特征在于，所述根据所述目标信息所属类型的质心信息和预先确定的基准信息对所述网络接入设备进行认证，包括：确定所述目标信息与所述质心信息的第一相似度，判断所述第一相似度是否小于第一预设阈值；若所述第一相似度小于第一预设阈值，确定对所述网络接入设备的认证成功；或者，若所述第一相似度大于或等于第一预设阈值，确定所述目标信息与预先确定的所有基准信息的第二相似度，判断是否存在小于第二预设阈值的第二相似度；若存在小于第二预设阈值的第二相似度，确定对所述网络接入设备的认证成功；或者，若确定的所述第二相似度均大于或等于所述第二预设阈值，根据所述网络接入设备的身份标识信息对所述网络接入设备进行认证。4.根据权利要求1至3中任一项所述的方法，其特征在于，所述方法还包括：根据所述网络接入设备的认证结果和所述网络接入设备的行为特征，对所述网络接入设备进行可信度评估。5.根据权利要求4所述的方法，所述根据所述网络接入设备的认证结果和所述网络接入设备的行为特征，对所述网络接入设备进行可信度评估，包括：根据由所述网络接入设备的认证结果和所述网络接入设备的行为特征构建的评价指标集，和由反映评价指标出现频率的预设评价等级构建的量化评价集，确定所述评价指标集中的各评价指标对所述量化评价集中的各评价等级的隶属度，得到隶属度矩阵；根据预设的评价指标权重集与所述隶属度矩阵，确定可信度评估向量；根据所述可信度评估向量，评估所述网络接入设备的可信度。6.根据权利要求5所述的方法，其特征在于，所述根据所述可信度评估向量，评估所述网络接入设备的可信度，包括：选取所述可信度评估向量中数值最大的元素；将所选取的元素与预设的信任等级进行匹配，确定所述网络接入设备的信任等级，所
述信任等级作为所述网络接入设备的可信度；或，确定所述可信度评估向量中的各元素与对应的各评价等级预设的分数的乘积之和，作为所述网络接入设备的信任评分；将所述信任评分与预设的信任等级进行匹配，确定所述网络接入设备的信任等级，所述信任等级作为所述网络接入设备的可信度。7.一种网络安全接入认证装置，其特征在于，包括：解析模块，用于对采集的网络接入设备的流量数据进行解析，得到目标信息；设备分类模块，用于基于预先训练好的聚类模型对所述目标信息进行分类，得到所述目标信息的类型；分级认证模块，用于基于预设的分级...

【专利技术属性】
技术研发人员：黄静，陈佳，张会娟，孙哲元，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：