本发明专利技术公开了一种非受控异构接入终端的行为检测方法、装置及存储介质,通过被动旁路监测获取的设备流量生成设备正常行为特征,采用深度学习技术中的皮质学习算法,对设备正常行为特征的计算和预测,生成设备安全行为指纹。采用该安全行为指纹与当前获取的行为特征进行预测误差和分布计算,确定终端的异常概率,最后通过对该异常概率的判断检测终端当前行为是否异常。由此保证了非受控异构终端接入的安全性,解决合法终端被仿冒或者恶意利用进行接入而无法认证识别的问题。行接入而无法认证识别的问题。行接入而无法认证识别的问题。
【技术实现步骤摘要】
非受控异构接入终端的行为检测方法、装置及存储介质
[0001]本专利技术涉及电力系统安全
,具体涉及一种非受控异构接入终端的行为检测方法、装置及存储介质。
技术介绍
[0002]随着新型电力系统建设发展,国网公司对外服务终端呈现海量接入、网络层通信方式多样化、平台层数据跨应用共享、应用层业务访问入口灵活化及业务互联互通等特征,并且逐渐有大量非受控异构终端接入,在目前新型业务终端非受控的现状下,由于终端海量、异构且计算资源受限,难以进行定制化、强改造安全防护,存在“硬件-软件
‑
用户”可信认证技术不足导致的非法终端接入问题,更严重的是存在合法终端被仿冒或者恶意利用进行接入而无法认证识别的问题。
[0003]在当前的技术手段中,为了保障接入终端的安全,使用了终端物理防护、终端系统加固等技术,采用足够的物理安全防护措施以保证工作期间自身物理实体不被损坏,通过安装主机级的安全系统及软件实现终端系统层面的防护等。基于可信组件、虚拟化等技术构造终端可信环境,主要有可信计算、沙箱、虚拟机、无盘工作站和桌面云等技术。以上三类防护方法是终端防护的通用技术,但由于电力新型业务终端具有计算、存储、供电能力受限以及非受控特性,仅有终端物理防护的方法可以由终端归属主体应用于非受控新型业务终端的安全防护,但其余两类均不适合。因此,需要提出一种新的非受控新型业务终端的安全防护方法。
[0004]物联网终端身份的正确识别是建立物联网安全连接的重要前提,其中智能终端的身份识别问题尤为重要。现有技术方案包括:(1)终端标识识别;(2)设备特征标识识别;(3)设备指纹识别等。目前物联网终端识别认证领域涌现出的多种技术方法,对终端的认证均只能覆盖硬件或软件或用户某单一层面,无法对非受控电力新型终端进行“硬件-软件-用户”全层次的身份认证,因此难以解决非法终端、合法终端被伪造接入的问题。
技术实现思路
[0005]有鉴于此,本专利技术实施例提供了涉及一种非受控异构接入终端的行为检测方法、装置及存储介质,以解决现有技术中难以解决非法终端、合法终端被伪造接入的技术问题。
[0006]本专利技术提出的技术方案如下:
[0007]本专利技术实施例第一方面提供一种非受控异构接入终端的行为检测方法,包括:基于被动旁路监测获取的流量提取非受控异构接入终端历史时刻的正常行为特征和当前时刻的行为特征;对历史时刻的正常行为特征和当前时刻的行为特征分别进行稀疏编码,得到对应正常行为特征的第一编码结果和对应行为特征的第二编码结果;基于所述第一编码结果,采用皮质学习算法预测得到当前时刻的安全行为指纹;根据所述第二编码结果和当前时刻的安全行为指纹,采用预测误差及其分布计算非受控异构接入终端当前时刻的行为异常概率;根据当前时刻的行为异常概率判断非受控异构接入终端是否存在异常行为。
[0008]可选地,所述历史时刻的正常行为特征或当前时刻的行为特征包括:协议首部字段值、时间戳的时钟偏差以及数据流分布特征。
[0009]可选地,对历史时刻的正常行为特征和当前时刻的行为特征分别进行稀疏编码,得到对应正常行为特征的第一编码结果和对应行为特征的第二编码结果,包括:根据三个编码器对协议首部字段值、时间戳的时钟偏差以及数据流分布特征分别进行稀疏编码,得到相应的编码结果;将相应的编码结果串联得到对应正常行为特征的第一编码结果和对应行为特征的第二编码结果。
[0010]可选地,基于所述第一编码结果,采用皮质学习算法预测得到当前时刻的安全行为指纹,包括:采用空间池化算法提取所述第一编码结果的空间相关性,将历史时刻的正常行为特征映射为具有固定稀疏度的向量;采用序列记忆算法对具有固定稀疏度的向量预测得到当前时刻的安全行为指纹。
[0011]可选地,根据所述第二编码结果和当前时刻的安全行为指纹,采用预测误差及其分布计算非受控异构接入终端当前时刻的行为异常概率,包括:计算所述第二编码结果和当前时刻的安全行为指纹的标量值作为预测误差;基于所述预测误差的分布计算非受控异构接入终端当前时刻的行为异常概率。
[0012]可选地,基于所述预测误差的分布计算非受控异构接入终端当前时刻的行为异常概率,包括:计算预测误差在第一预设时间窗口内的分布和第二预设时间窗口内的分布;根据第一预设时间窗口内的分布和第二预设时间窗口内的分布,采用高斯尾部概率计算当前时刻的行为异常概率。
[0013]可选地,根据当前时刻的行为异常概率判断非受控异构接入终端是否存在异常行为,包括:判断当前时刻的行为异常概率是否大于等于阈值参数;若当前时刻的行为异常概率大于等于阈值参数,则判定非受控异构接入终端存在异常行为。
[0014]本专利技术实施例第二方面提供一种非受控异构接入终端的行为检测装置,包括:特征提取模块,用于基于被动旁路监测获取的流量提取非受控异构接入终端历史时刻的正常行为特征和当前时刻的行为特征;编码模块,用于对历史时刻的正常行为特征和当前时刻的行为特征分别进行稀疏编码,得到对应正常行为特征的第一编码结果和对应行为特征的第二编码结果;预测模块,用于基于所述第一编码结果,采用皮质学习算法预测得到当前时刻的安全行为指纹;概率计算模块,用于根据所述第二编码结果和当前时刻的安全行为指纹,采用预测误差及其分布计算非受控异构接入终端当前时刻的行为异常概率;行为检测模块,用于根据当前时刻的行为异常概率判断非受控异构接入终端是否存在异常行为。
[0015]可选地,所述历史时刻的正常行为特征或当前时刻的行为特征包括:协议首部字段值、时间戳的时钟偏差以及数据流分布特征。
[0016]可选地,编码模块具体用于:根据三个编码器对协议首部字段值、时间戳的时钟偏差以及数据流分布特征分别进行稀疏编码,得到相应的编码结果;将相应的编码结果串联得到对应正常行为特征的第一编码结果和对应行为特征的第二编码结果。
[0017]可选地,预测模块具体用于:采用空间池化算法提取所述第一编码结果的空间相关性,将历史时刻的正常行为特征映射为具有固定稀疏度的向量;采用序列记忆算法对具有固定稀疏度的向量预测得到当前时刻的安全行为指纹。
[0018]可选地,概率计算模块包括:误差计算模块,用于计算所述第二编码结果和当前时
刻的安全行为指纹的标量值作为预测误差;概率计算子模块,用于基于所述预测误差的分布计算非受控异构接入终端当前时刻的行为异常概率。
[0019]可选地,概率计算子模块具体用于:计算预测误差在第一预设时间窗口内的分布和第二预设时间窗口内的分布;根据第一预设时间窗口内的分布和第二预设时间窗口内的分布,采用高斯尾部概率计算当前时刻的行为异常概率。
[0020]可选地,行为检测模块具体用于:判断当前时刻的行为异常概率是否大于等于阈值参数;若当前时刻的行为异常概率大于等于阈值参数,则判定非受控异构接入终端存在异常行为。
[0021]本专利技术实施例第三方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如本专利技术本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种非受控异构接入终端的行为检测方法,其特征在于,包括:基于被动旁路监测获取的流量提取非受控异构接入终端历史时刻的正常行为特征和当前时刻的行为特征;对历史时刻的正常行为特征和当前时刻的行为特征分别进行稀疏编码,得到对应正常行为特征的第一编码结果和对应行为特征的第二编码结果;基于所述第一编码结果,采用皮质学习算法预测得到当前时刻的安全行为指纹;根据所述第二编码结果和当前时刻的安全行为指纹,采用预测误差及其分布计算非受控异构接入终端当前时刻的行为异常概率;根据当前时刻的行为异常概率判断非受控异构接入终端是否存在异常行为。2.根据权利要求1所述的非受控异构接入终端的行为检测方法,其特征在于,所述历史时刻的正常行为特征或当前时刻的行为特征包括:协议首部字段值、时间戳的时钟偏差以及数据流分布特征。3.根据权利要求2所述的非受控异构接入终端的行为检测方法,其特征在于,对历史时刻的正常行为特征和当前时刻的行为特征分别进行稀疏编码,得到对应正常行为特征的第一编码结果和对应行为特征的第二编码结果,包括:根据三个编码器对协议首部字段值、时间戳的时钟偏差以及数据流分布特征分别进行稀疏编码,得到相应的编码结果;将相应的编码结果串联得到对应正常行为特征的第一编码结果和对应行为特征的第二编码结果。4.根据权利要求1所述的非受控异构接入终端的行为检测方法,其特征在于,基于所述第一编码结果,采用皮质学习算法预测得到当前时刻的安全行为指纹,包括:采用空间池化算法提取所述第一编码结果的空间相关性,将历史时刻的正常行为特征映射为具有固定稀疏度的向量;采用序列记忆算法对具有固定稀疏度的向量预测得到当前时刻的安全行为指纹。5.根据权利要求1所述的非受控异构接入终端的行为检测方法,其特征在于,根据所述第二编码结果和当前时刻的安全行为指纹,采用预测误差及其分布计算非受控异构接入终端当前时刻的行为异常概率,包括:计算所述第二编码结果和当前时刻的安全行为指纹的标量值作为预测误差;基于所述预测误差的分布计算非受控异构接入终端当前时刻的行为异常概率。6.根据权利要求5所述的非受控异构接入终端的行为检测方法,其特征在于,基于所述预测误差的分布计算非受控异构接入终端当前时刻的行为异常概率,包括:计算预测误差在第一预设时间窗口内的分布和第二预设时间窗口内的分布;根据第一预设时间窗口内的分布和第二预设时间窗口内的分布,采用高斯尾部概率计算当前时刻的行为异常概率。7.根据权利要求1所述的非受控异构接入终端的行为检测方法,其特征在于,根据当前时刻的行为异常概率判断非受控异构接入终端是否存在异常行为,包括:判断当前时刻的行为异常概率是否大于等于阈值参数;若当前时刻的行为异常概率大于等于阈值参数,则判定非受控异构接入终端存在异常行为。
8.一种非受控异构接入终端的行为检测装置,其特征在于,包括:特征提取模块,用于基于被...
【专利技术属性】
技术研发人员:张波,席泽生,田峥,王云帆,何川,孙毅臻,田建伟,
申请(专利权)人:国网湖南省电力有限公司信息通信分公司国网湖南省电力有限公司国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。