CN108471413A - 边缘网络安全准入防御系统及其方法 - Google Patents
边缘网络安全准入防御系统及其方法 Download PDFInfo
- Publication number
- CN108471413A CN108471413A CN201810238489.4A CN201810238489A CN108471413A CN 108471413 A CN108471413 A CN 108471413A CN 201810238489 A CN201810238489 A CN 201810238489A CN 108471413 A CN108471413 A CN 108471413A
- Authority
- CN
- China
- Prior art keywords
- equipment
- characteristic value
- intelligent hardware
- module
- hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种边缘网络安全准入防御系统,包括设备、边缘智能软硬件平台、上行业务平台和风控平台部署中心。设备、上行业务平台和风控平台部署中心与边缘智能软硬件平台信号相连。边缘智能软硬件平台获取所接入的设备特征值及行为特征值建立特征数据池,并根据特征数据池生成唯一标识码,根据唯一标识码允许/拒绝该设备的接入。本发明还公开一种利用上述系统进行边缘网络安全准入防御方法,通过特定保密算法,由机器自动生成唯一标识码,用来对接入设备合法性进行有效识别,提高安全防御的效率,硬件性能要求低,适用于边缘分布式安全防御成本要求,同时适用于各行业网络边缘安全防御。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种边缘网络安全准入防御系统及其方法。
背景技术
人工智能(AI),雪亮工程(社会面接入公安)、物联网等均依托于网络畅通的必要条件,而信息业务与设备的安全性同等急需解决;传统的解决方式为先将数据放进来再进行解决,该种解决方式难应对当前数据爆炸的形式。
如社会面接入公安(公网或专网),公安网络入口安全性门槛无形被放低,及时识别接入设备的合性法是最大的挑战;现有技术中先将数据放进门再进行集中处理甄别,不适用于应对爆炸性数据处理。
现有技术主要存在以下问题:
现有传统的防火墙,网闸均部署于中心机房或局端,大量数据汇聚集中化处理,目前此瓶颈难以解决,而且增加延时。
现有安全准入设备,一般只针对接入设备的协议进行处理,很容易被非法模拟。
现有安全设备一般采用集中式处理,无法应对当前数据的业务,分布式可更好应对。
现有安全设备针对数据的合法与非法,一般采用病毒库比对来识别处理,设备耗能太大。
综上,需要对现有技术进行改进。
发明内容
本发明要解决的技术问题是提供一种通过唯一标识码进行身份识别,无病毒库类匹配要求边缘网络安全准入防御方法,以及所采用的系统。
为解决上述技术问题,本发明提供一种边缘网络安全准入防御系统,包括设备和上行业务平台;
所述边缘网络安全准入防御系统还包括风控平台部署中心和边缘智能软硬件平台;
所述边缘智能软硬件平台分别与设备、上行业务平台和风控平台部署中心信号相连;
所述边缘智能软硬件平台用于获取设备的设备特征值及行为特征值,并根据设备特征值及行为特征值生成唯一标识码,识别该设备的合法性,允许/拒绝该设备的接入;
所述风控平台部署中心用于安全统一全网前端准入设备的管控策略,还用于展示设备的安全态势。
作为本发明边缘网络安全准入防御系统的改进:
所述边缘智能软硬件平台包括智能硬件,以及均与智能硬件相连的设备信息发现模块、设备行为数据化统计模块、多维信息加解密身份生成算法模块和接入设备身份识别算法模块;
所述智能硬件分别与上行业务平台、风控平台部署中心和设备信号相连;
所述智能硬件用于接收风控平台部署中心下发的指令,并根据指令对设备信息发现模块、设备行为数据化统计模块、多维信息加解密身份生成算法模块和接入设备身份识别算法模块模块进行相应的控制(即,调用与其相连的模块工作),控制设备的通信并上报结果至风控平台部署中心;
所述设备信息发现模块用于接入设备并收集设备特征值,并将所收集的每个设备的设备特征值发送至智能硬件单独建档进行保存;
所述设备行为数据化统计模块用于对设备的行为进行机器自动周期学习,获取其行为特征值,并将所收集的每个设备的设备特征值发送至智能硬件单独建档进行保存;
所述智能硬件还用于接收设备信息发现模块发送的设备特征值和设备行为数据化统计模块发送的行为特征值,将对应设备的设备特征值和行为特征值建立特征数据池;
所述多维信息加解密身份生成算法模块从设备的特征数据池中随机提取设备特征值和行为特征值,采用特定算法自动生成该设备的唯一标识码;
所述接入设备身份识别算法模块根据多维信息加解密身份生成算法模块所生成的加密唯一标识码,采用特定保密算法匹配,快速识别接入设备身份的合法性。
作为本发明边缘网络安全准入防御系统的进一步改进:
所述设备特征值至少包含该设备的设备ID、IP地址、设备MAC、型号、厂家、名称、系统和软件版本;
所述行为特征值至少包括该设备的合法带宽域值和设备的合法访问请求项;
所述特定保密为HASH(哈希)或私有算法。
为了解决上述问题,本发明还提出一种边缘网络安全准入防御方法,包括以下步骤:
S1、所述设备信息发现模块接入并获取子网内设备的设备特征值,之后将其发送至智能硬件保存;
S2、所述设备行为数据化统计模块获取子网内设备的行为特征值,之后将其发送至智能硬件保存;
S3、所述多维信息加解密身份生成算法模块从智能硬件中随机提取步骤S1所得的设备特征值及步骤S2所得的行为特征值,并通过特定保密算法生成该设备的唯一标识码,之后将该唯一标识码发送至智能硬件保存;
S4、所述接入设备身份识别算法模块调用并依据步骤S3所得的唯一标识码对接入设备进行合法识别。
作为本发明边缘网络安全准入防御方法的改进:
所述风控平台部署中心向智能硬件下发撤防/布防指令;
所述智能硬件根据风控平台部署中心下发撤防指令进入机器学习周期;
所述智能硬件根据风控平台部署中心下发布防指令进入布防周期。
作为本发明边缘网络安全准入防御方法的进一步改进:
所述步骤S3中多维信息加解密身份生成算法模块从智能硬件中随机提取步骤S1所得的设备特征值及步骤S2所得的行为特征值的具体方法为:
所述智能硬件接收设备由步骤S1所得的设备特征值及步骤S2所得的行为特征值,进行结构化保存并加密;
所述设备在机器学习周期中进行接入时,智能硬件根据设备特征值及行为特征值建立该设备的初始特征数据池;
所述设备在布防周期中进行接入时,智能硬件根据设备特征值及行为特征值建立该设备的特征数据池;
所述多维信息加解密身份生成算法模块从对应设备的初始特征数据池/特征数据池中随机提取设备特征值及行为特征值。
作为本发明边缘网络安全准入防御方法的进一步改进:
所述步骤S4中接入设备身份识别算法模块调取并依据步骤S3所得的唯一标识码对接入设备进行合法识别的具体方法为:
所述机器学习周期中接入设备身份识别算法模块不识别所接入设备的合法性;
所述布防周期中接入设备身份识别算法模块调取步骤S3所得的唯一标识码,并利用特定保密算法与初始特征数据池(步骤S3所得的初始特征数据池,或,更新后的初始特征数据池)进行匹配;
S4.1、匹配成功允许设备通过,同时智能硬件利用步骤S3建立的特征数据池更新初始特征数据池;
S4.2、匹配失败阻止设备通过,同时智能硬件将该阻止行为发送至风控平台部署中心。
作为本发明边缘网络安全准入防御方法的进一步改进:
所述边缘网络端设备接入身份唯一生成和识别准入方法还包括更新维护方法,具体为:
所述风控平台部署中心通过人工/自动向下发智能硬件扫描指令,智能硬件接收并根据扫描指令重新进入机器学习周期,重新获取设备的设备特征值和/或行为特征值,全部/部分更新初始特征数据池。
本发明所提供的系统可软硬一体或软件模块化加载于边缘设备,采用边缘分布架构,在边缘算力单元上分布完成安全准入处理。
本发明与现有技术相比,具有如下技术优势:
1、本发明采用特定保密算法,由机器自动生成设备唯一标识码,新建与更新均遵循机器自动完成,无人为干预,特定保密算法随机选定并周期更替,规避信息泄漏。
2、本发明将设备特征值(IP、MAC、软件版本和序列号等)采用统一统计建档,随机提取参与唯一标识码生成,但仅将其作为唯一标识码生成的一部份资源,规避基础设备的不唯一性。本发明还将行为特征值(Session和码流域值等)采用统一统计建档,随机提取参与唯一标识码生成,但仅作为唯一标识码生成的一部份资源,进一步规避基础设备的不唯一性,提升模拟难度。
3、本发明基于准入原则,无数据包拆分需求,无病毒库类匹配要求(规避无休止的病毒库升级问题)。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细说明。
图1为本发明边缘网络安全准入防御方法的流程图;
图2为实施例中具体应用示意图;
图3为本发明边缘网络安全准入防御系统的模块示意图。
具体实施方式
下面结合具体实施例对本发明进行进一步描述,但本发明的保护范围并不仅限于此。
实施例1、本发明边缘网络安全准入防御系统(全文中简称为系统),如图1-3所示,包括位于边缘接入端的设备4和边缘智能软硬件平台1,以及位于中心机房端的上行业务平台3和风控平台部署中心2,其中设备4和上行业务平台3为现有装置,例如本实施例中设备4包括摄像头、DVR、NVR、DVS或NVS等,上行业务平台3为现有的综合业务平台。设备4、上行业务平台3和风控平台部署中心2与边缘智能软硬件平台1信号相连。
边缘智能软硬件平台1用于获取所接入的设备特征值及行为特征值,并根据设备特征值及行为特征值生成唯一标识码,从而快速识别该设备4的合法性,允许/拒绝该设备4的接入。边缘智能软硬件平台1包括智能硬件10,以及均与智能硬件10相连的设备信息发现模块11、设备行为数据化统计模块12、多维信息加解密身份生成算法模块13和接入设备身份识别算法模块14。智能硬件10分别与上行业务平台3、风控平台部署中心2和设备4信号相连。
智能硬件10为接收风控平台部署中心2下发指令的计算节点,如,扫描指令(即风控平台部署中心2根据管控策略下发的指令),根据指令对设备信息发现模块11、设备行为数据化统计模块12、多维信息加解密身份生成算法模块13和接入设备身份识别算法模块14模块进行相应的控制(即,调用与其相连的模块工作),控制设备4的通信并上报结果至风控平台部署中心2。智能硬件10还用于接收并保存设备信息发现模块11所发送的设备特征值和设备行为数据化统计模块12所发送的行为特征值,将对应设备4的设备特征值和行为特征值建立特征数据池。智能硬件10根据对设备4合法性的识别结果(非视频前端执行非法阻止入网处理),允许/阻止设备4的接入,并在阻止设备4接入后,将阻止行为上报至风控平台部署中心2。
注:智能硬件10将在监视下所建立或更新后的特征数据池存储至本地,同时发送至风控平台部署中心2进行同步。
设备信息发现模块11通过智能硬件10接入设备4,用于收集设备信息(设备特征值),所收集的设备信息将作为设备4的唯一标识码生成元素的一部份。设备信息发现模块11针对接入所需防护的每一台设备4,将其设备信息单独建档。上述所建档的设备信息至少包含该设备4的设备ID,以及保存在对应设备ID下的IP地址、设备MAC、型号、厂家、名称、系统(此处指设备4所用的系统)、软件版本等信息,设备信息发现模块11通过各厂家的开放协议或标准协议收集接入设备信息;设备信息发现模块11将所收集的设备信息发送至智能硬件10,智能硬件10接收、结构化保存、加密并更新该设备信息(即设备特征值保存在智能硬件10)。
设备行为数据化统计模块12通过智能硬件10对边缘接入局域子网内(子网是指设备4原有局域子网络)设备4的行为进行机器自动周期学习,获取其行为特征值(即,设备行为数据化统计模块12主动访问或被动扫描,轮询发起对该设备4的数据调用,获得统计周期内可靠域值;模拟正常访问,统计合法请求的类别结构化数据),并对该行为特征值进行统计并数据结构化建档,所建档的信息至少包含该设备4的合法带宽域值和设备4合法访问请求项等信息(如Session和码流域值),设备行为数据化统计模块12针对边缘接入网络内的设备4进行单机设备4行为数据化统计,获得设备4行为结构化数据;设备行为数据化统计模块12将所统计的行为特征值发送至智能硬件10,智能硬件10接收、结构化保存、加密该行为特征值(即行为特征值保存在智能硬件10)。
注:智能硬件10将所接收的行为特征值保存在对应设备4的设备ID下。
多维信息加解密身份生成算法模块13根据机器自动周期学习信息项,采用特定保密算法,随机提取信息项自动生成加密的设备4的唯一标识码,该唯一标识码在本地(即,智能硬件10)与局端(即,风控平台部署中心2)备份,支持全网同步更新。多维信息加解密身份生成算法模块13针对机器自动周期学习信息项处理生成加密的设备4的唯一标识码建档,为接入设备身份识别算法模块14合法性匹配提供处理依据。多维信息加解密身份生成算法模块13将每个设备4的唯一标识码发送至智能硬件10,智能硬件10接收、结构化保存并加密该唯一标识码,智能硬件10将获得的唯一标识码同步至风控平台部署中心2。
具体步骤为:当设备4接入边缘智能软硬件平台1时,设备信息发现模块11通过智能硬件10接入该设备4并获取并保存其设备特征值;同时设备行为数据化统计模块12对通过智能硬件10设备行为进行机器自动周期学习(即,主动网内访问/被动网内扫描,轮询发起设备4的数据调用,获得统计周期内可靠域值;模拟正常访问,统计合法请求的类别结构化数据),从而获取其行为特征值并保存。多维信息加解密身份生成算法模块13根据智能硬件10所建立对应设备4的特征数据池,采用哈希或私有算法自动生成加密的设备4的唯一标识码。注:智能硬件10将所接收的唯一标识码保存在对应设备4的设备ID下。
机器自动周期学习信息项:主要指设备行为数据化统计模块12所学习到的对应设备4行为特征结构化数据与设备信息发现模块11统计阶段的结构化数据(设备特征值)。智能硬件10将每个设备4的设备特征值及其对应的行为特征值共同构成特征数据池,从而为多维信息加解密身份生成算法模块13提供机器自动周期学习信息项。
特定保密算法:本实施例中采用特定的HASH(哈希)或私有算法,由最终用户持有,对外保密,以防止明文泄漏。本实施例中将所有特定保密算法建立算法池。本发明按照实际需要将算法池中的特定保密算法进行周期更替,且在多维信息加解密身份生成算法模块13自动加密生成设备4的唯一标识码时,所采用的特定保密算法为随机选定算法池中任一特定保密算法或按照客户自定义所选的特定保密算法,特定保密算法随机选定并周期更替,从而规避信息泄漏,提高安全性。
接入设备身份识别算法模块14根据多维信息加解密身份生成算法模块13所生成的加密唯一标识码,采用特定保密算法(即HASH(哈希)或私有算法)匹配,快速识别所接入的设备4身份的合法性,非法的设备4依据风控平台部署中心2布防要求执行通过或阻止策略;合法的设备4快速通行。其工作原理为:接入设备身份识别算法模块14根据接入的设备4的唯一标识码利用HASH(哈希)或私有算法与其保存在智能硬件10中的属性项(设备特征值和行为特征值)进行匹配,匹配结果一致允许通过,不一致拒绝通过。
具体步骤为:设备4在第一次接入边缘智能软硬件平台1时在监视下完成,建立对应设备的特征数据池,即,初始特征值数据池;之后设备4断电重新接入边缘智能软硬件平台1时,设备信息发现模块11采集此时设备4的设备特征值,行为数据化统计模块12采集此时设备4的行为特征值,建立对应设备4的特征数据池;多维信息加解密身份生成算法模块13从上述新建立的特征数据池中随机提取信息项自动生成加密的设备4的唯一标识码,智能硬件10调用接入设备身份识别算法模块14;接入设备身份识别算法模块14接收唯一标识码后利用HASH(哈希)或私有算法将该唯一标识码由密文转换为明文,并将转换后的明文与保存在智能硬件10中的该设备4的初始特征数据池中属性项进行匹配(根据设备4的设备ID实现);匹配结果则允许通过,此时智能硬件10采用新建的特征数据池对初始特征数据池进行更新,并将更新后的特征数据池同步至风控平台部署中心2;下一次该设备4再重新接入边缘智能软硬件平台1时,则采用更新后的初始特征数据池(上一次合法性识别通过的特征数据池)对该设备4合法性进行验证。
每次设备4断电重新接入边缘智能软硬件平台1时都会根据新采集的设备特征值和行为特征值生成新的唯一标识码(可选算法池中任一算法),其合法性验证通过时,利用该并设备特征值和行为特征值更新边缘端与中心端特征数据池,从而每次进行合法性识别时,所调用识别合法性的特征数据池为上一次合法性验证通过的特征数据池,有效的规避信息人为或在线泄露。
风控平台部署中心2,用于安全统一全网前端准入设备4的策略管控(即,策略设定与下发计划执行),兼顾展示设备4的安全态势等信息(即,预警信息上报平台展示类)。
本发明能够自动收集设备信息,并通过特定保密算法自动生成设备4唯一标识码(动态),通过分布式架构(即,边缘智能软硬件平台1各功能模块,执行统一设定策略,在边缘端完成业务处理,分布式部署架构),对所接入的设备4本地化实时识别处理,防御执行策略由风控平台部署中心2统一设定,边缘配合中心实现立体防控。
考虑信息本身的安全性,由机器通过特定保密算法自动生成设备4唯一标识码,为合法性识别提供唯一保密的依据,由于唯一标识码随机生成并加密,降低泄漏的风险,极大的提高了人侵的门槛;特定保密算法由客户最高级别人员管控,防止来自于外部的安全问题,同时防止来自于内部的安全问题。针对于长期使用可能的信息泄漏,风控平台部署中心2支持周期更新下放布防策略(即,设备4准入执行策略)。
本发明所随机生成的唯一标识码同时包含设备特征值和行为特征值;在实际使用过程中,单从设备4的行为分析;如果非法的设备4进行入侵执行破坏时,必增加网络请求项和增加数据流量,从而使其行为特征值不匹配,发生阻止并报警。
本发明利用上述系统进行边缘网络端设备4接入身份唯一生成和识别准入方法,其具体实现方法包括以下步骤:
具体实现方法如下:
1、风控平台部署中心2控制全网撤防,即,边缘智能软硬件平台1下发撤防指令,边缘智能软硬件平台1根据指令关闭布防,为项目的新建或更新提供机器学习周期。周期策略由局端统一下放配置(默认一周学习时间)。
此阶段,设备4准入策略失效,即,设备4接入时不匹配唯一标识码。
2、边缘智能软硬件平台1旁路网络,并与风控平台部署中心2通讯(通过专网/互联网等通讯方式),风控平台部署中心2对管控下边缘智能软硬件平台1按需设定策略,即,下发对应的布防指令。
3、边缘智能软硬件平台1中的设备信息发现模块11接入并获取子网内设备4的设备特征值,并进行学习统计,建档。具体包括以下步骤:
设备信息发现模块11针对接入所需防护的每一台设备4,将其设备信息单独建档。上述所建档的设备信息至少包含该设备4的设备ID,以及保存在对应设备ID下的IP地址、设备MAC、型号、厂家、名称、系统和软件版本等信息,设备信息发现模块11通过各厂家的开放协议收集接入设备信息,设备信息发现模块11将所收集的设备信息发送至智能硬件10。
4、边缘智能软硬件平台1中的设备行为数据化统计模块12获取子网内设备4的行为特征值,并进行学习统计,建档。
具体包括以下步骤:
设备行为数据化统计模块12主动访问或被动扫描,轮询发起对该设备4的数据调用,获得统计周期内可靠域值;还模拟正常访问,统计合法请求的类别结构化数据;从而实现对设设备4的行为进行机器自动周期学习。设备行为数据化统计模块12对机器自动周期学习获得的行为特征值进行统计并数据结构化建档,所建档的信息至少包含该设备4的合法带宽域值和设备4合法访问请求项等信息,设备行为数据化统计模块12针对边缘接入网络内的设备4进行单机设备4行为数据化统计,获得设备4行业结构化数据,设备行为数据化统计模块12将所统计的行为特征值发送至智能硬件10。
5、边缘智能软硬件平台1中的智能硬件10接收上述步骤3由设备信息发现模块11所发送的设备特征值和步骤4由设备行为数据化统计模块12所发送的行为特征值,进行结构化保存并加密,智能硬件10根据每个设备4的设备特征值及行为特征值建立对应的特征数据池。
上述机器学习周期内,每个接入的设备4在人工监视下根据步骤3和步骤4完成其设备特征值和行为特征值的采集,此时智能硬件10根据每个设备4的设备特征值及行为特征值建立对应的特征数据池为其初始特征数据池,并将该初始特征数据池发送至风控平台部署中心2进行同步。机器学习周期完成后,风控平台部署中心2可人工/自动执行布防。
恢复布防后,设备4主动访问边缘智能软硬件平台1,智能硬件10调取接入设备身份识别算法模块14,并依据步骤6所得的唯一标识码进行接入设备4的合法识别。
6、边缘智能软硬件平台1中的多维信息加解密身份生成算法模块13通过特定保密算法生成设备4唯一标识码,并与风控平台部署中心2进行信息同步。
具体包括以下步骤:
多维信息加解密身份生成算法模块13从步骤5所得对应设备4的特征数据池中随机提取信息项,通过HASH(哈希)或私有算法加密生成该设备4的唯一标识码,并将所得的唯一标识码发送至智能硬件10加密保存,并由智能硬件10与风控平台部署中心进行信息同步。
7、边缘智能软硬件平台1的接入设备身份识别算法模块14调取并依据步骤6所得的唯一标识码进行接入设备4的合法识别,比对不一致时阻止通过,并将阻止行为数据上报风控平台部署中心2;比对成功,直接通行。
上述机器学习周期内(撤防时),边缘智能软硬件平台1不匹配接入的设备4的唯一标识码,即,边缘智能软硬件平台1此时仅进行步骤3-步骤6。
布防周期内,设备4重新接入边缘智能软硬件平台1,此时边缘智能软硬件平台1进行步骤3-步骤7,完成对该设备4合法性的识别。
识别的具体方法为:当设备4重新接入边缘智能软硬件平台1时,进行步骤3-步骤7采集此时设备4的设备特征值和行为特征值,并根据新采集的设备特征值和行为特征值重新生成该设备4的唯一标识码,即,唯一标识码为动态码值,每次识别都会生成新的唯一标识码。接入设备身份识别算法模块14获得该唯一标识码,利用HASH(哈希)或私有算法初始特征数据池中的设备特征值和行为特征值进行匹配,匹配成功允许其通过,并利用新获得设备特征值和行为特征值更新初始特征数据池,匹配不成功阻止通过并将阻止行为数据上报风控平台部署中心2。
注:同一布防周期内,设备4第一次断电重连进行合法性识别时,接入设备身份识别算法模块14将唯一标识码在步骤5所得初始特征数据池内进行匹配;匹配成功允许设备通过的同时,利用新获得设备特征值和行为特征值更新初始特征数据池,即,新建立的特征数据池作为初始特征数据池。
设备4第n断电重连进行合法性识别时,接入设备身份识别算法模块14将唯一标识码在更新后的初始特征数据内进行匹配,即,与上一次通过合法性识别的特征数据池进行匹配。
8、针对系统后续的更新,维护,系统重新执行步骤1-7,可选全新更新或部份指定更新。
如图2所示,风控平台部署中心2向智能硬件10定时下发扫描指令(下发策略由使用者按需求设定,扫描指令至少包括全新更新或部份指定更新(如仅更新设备特征值/行为特征值)等信息,智能硬件10接收扫描指令并根据扫描指令控制设备信息发现模块11、设备行为数据化统计模块12,多维信息加解密身份生成算法模块13和接入设备身份识别算法模块14进行相应的操作,使所接入的每个设备4重新进行步骤1-步骤7,实现其初始特征数据池的更新,提高了安全性。
即,重复步骤1-5进行机器学习,从而全新更新或部份指定更新每个设备4的初始特征数据池,再按照步骤3-步骤7进行工作,识别接入设备4的合法性。
9、局端周期性安全要求,风控平台部署中心2通过人为启动更新策略,系统会重新执行步骤1-7,规避系统长期运行可能的信息泄漏问题(长期运行,唯一标识码泄漏或算法泄漏),从而提高安全性。
即,工作人员可以根据实际工作的需要,控制风控平台部署中心2向智能硬件10下发扫描指令,智能硬件10接收到扫描指令后根据步骤8对所接入设备4进行更新维护。
本发明基于边缘智能软硬件平台1加载准入规则,构筑边缘准入安全防御。本发明主要特点:唯一标识码由机器加载的特定保密算法自动生成,且为动态形式,参考元素多样(设备信息、数据行为等多维),最大化提升了准入的门槛,同时由于逻辑简单,误差率极小。相较传统准入设备4,本发明设备4部署于边缘分布式部署,规避传统局端与中心集中安全设备4部署的性能瓶颈问题;同时采用更为多维元素的识别方式,系统化解决行业前端准入的问题。
如图2所示,本发明边缘网络端设备4接入身份唯一生成和识别准入方法具体工作流程如下:
注:智能硬件10中已建立该设备4的初始特征数据池。
S1、设备4实时新接入,边缘智能软硬件平台1的设备信息发现模块11和设备行为数据化统计模块12通过智能硬件10与设备4信号相连,从而获得其设备特征值和行为特征值。
具体为:设备4接入被发现,设备信息发现模块11对行为特征值进行获取并发送至智能硬件10进行保存;设备行为数据化统计模块12对设备4的行为特征值获取并发送至智能硬件10进行保存。智能硬件10接收设备特征值和行为特征值,并建立特征数据池。
S2、边缘智能软硬件平台1的多维信息加解密身份生成算法模块13通过步骤S1所得的特征数据池中随机抽取设备特征值和行为特征值通过哈希算法生成唯一标识码,并将该唯一标识码发送至智能硬件10。
S3、边缘智能软硬件平台1的接入设备身份识别算法模块14将步骤S2所得唯一标识码进行匹配,匹配成功则将其接入上行业务平台3,匹配不成功则阻止。
进行匹配的步骤具体为:设备4接入时,智能硬件10将唯一标识码发送至接入设备身份识别算法模块14,接入设备身份识别算法模块14接收并利用HASH(哈希)或私有算法将唯一标识码与初始特征数据池中的设备特征值和行为特征值进行匹配。
S3.1、匹配成功后的步骤;步骤3匹配成功,设备4数据允许通讯,此时智能硬件10允许设备4与其上行业务平台3相互通讯;同时,智能硬件10利用步骤S1建立的特征数据池更新初始特征数据池,并将更新后的初始特征数据池同步至风控平台部署中心2。
S3.2、匹配不成功的步骤:步骤3匹配成功,设备4数据中断通讯,此时智能硬件10阻止设备4与其上行业务平台3相互通讯,并将该阻止行为发送至风控平台部署中心2。
风控平台部署中心2接收、统计和保存所有智能硬件10上报的阻止行为,从而向工作人员展示前端设备4的安全态势等信息。
S4、风控平台部署中心2定时下发扫描指令至边缘智能软硬件平台1,此时边缘智能软硬件平台1接收指令并按照指令调用相应的模块,并执行扫描。具体为:调用设备信息发现模块11和设备行为数据化统计模块12,对网内设备信息获取,重新建立该设备4的初始特征数据池。
注:调用设备信息发现模块11执行上述步骤3,调用设备行为数据化统计模块12执行上述步骤4。
本发明通过自动生成边缘接入设备4的唯一标识码,并将该唯一标识码以加密方法存储于边缘端与局端,实现本地及时识别与局端备份统一管控。此方式不依赖传统安全设备4病毒库检测方式,通过特定保密算法,由机器自动生成唯一标识码,用来对接入设备4合法性进行有效识别,提高安全防御的效率,硬件性能要求低,适用于边缘分布式安全防御成本要求,主要应用于安防行业,同时适用于各行业网络边缘安全防御。
最后,还需要注意的是,以上列举的仅是本发明的若干个具体实施例。显然,本发明不限于以上实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (8)
1.边缘网络安全准入防御系统,包括设备(4)和上行业务平台(3);其特征在于:
所述边缘网络安全准入防御系统还包括风控平台部署中心(2)和边缘智能软硬件平台(1);
所述边缘智能软硬件平台(1)分别与设备(4)、上行业务平台(3)和风控平台部署中心(2)信号相连;
所述边缘智能软硬件平台(1)用于获取设备(4)的设备特征值及行为特征值,并根据设备特征值及行为特征值生成唯一标识码,识别该设备(4)的合法性,允许/拒绝该设备(4)的接入;
所述风控平台部署中心(2)用于安全统一全网前端准入设备(4)的管控策略,还用于展示设备(4)的安全态势。
2.根据权利要求1所述的边缘网络安全准入防御系统,其特征在于:
所述边缘智能软硬件平台(1)包括智能硬件(10),以及均与智能硬件(10)相连的设备信息发现模块(11)、设备行为数据化统计模块(12)、多维信息加解密身份生成算法模块(13)和接入设备身份识别算法模块(14);
所述智能硬件(10)分别与上行业务平台(3)、风控平台部署中心(2)和设备(4)信号相连;
所述智能硬件(10)用于接收风控平台部署中心(2)下发的指令,并根据指令对设备信息发现模块(11)、设备行为数据化统计模块(12)、多维信息加解密身份生成算法模块(13)和接入设备身份识别算法模块(14)模块进行相应的控制,控制设备(4)的通信并上报结果至风控平台部署中心(2);
所述设备信息发现模块(11)用于接入设备(4)并收集设备特征值,并将所收集的每个设备(4)的设备特征值发送至智能硬件(10)单独建档进行保存;
所述设备行为数据化统计模块(12)用于对设备(4)的行为进行机器自动周期学习,获取其行为特征值,并将所收集的每个设备(4)的设备特征值发送至智能硬件(10)单独建档进行保存;
所述智能硬件(10)还用于接收设备信息发现模块(11)发送的设备特征值和设备行为数据化统计模块(12)发送的行为特征值,将对应设备(4)的设备特征值和行为特征值建立特征数据池;
所述多维信息加解密身份生成算法模块(13)从设备(4)的特征数据池中随机提取设备特征值和行为特征值,采用特定算法自动生成该设备(4)的唯一标识码;
所述接入设备(4)身份识别算法模块根据多维信息加解密身份生成算法模块所生成的加密唯一标识码,采用特定保密算法匹配,快速识别接入设备(4)身份的合法性。
3.根据权利要求2所述的边缘网络安全准入防御系统,其特征在于:
所述设备特征值至少包含该设备(4)的设备ID、IP地址、设备MAC、型号、厂家、名称、系统和软件版本;
所述行为特征值至少包括该设备(4)的合法带宽域值和设备(4)的合法访问请求项;
所述特定保密为HASH或私有算法。
4.利用如权利要求1-3任一所述的系统实现的边缘网络安全准入防御方法,其特征在于以下步骤:
S1、所述设备信息发现模块(11)接入并获取子网内设备(4)的设备特征值,之后将其发送至智能硬件(10)保存;
S2、所述设备行为数据化统计模块(12)获取子网内设备(4)的行为特征值,之后将其发送至智能硬件(10)保存;
S3、所述多维信息加解密身份生成算法模块(13)从智能硬件(10)中随机提取步骤S1所得的设备特征值及步骤S2所得的行为特征值,并通过特定保密算法生成该设备(4)的唯一标识码,之后将该唯一标识码发送至智能硬件(10)保存;
S4、所述接入设备身份识别算法模块(14)调用并依据步骤S3所得的唯一标识码对接入设备(4)进行合法识别。
5.根据权利要求4所述的边缘网络安全准入防御方法,其特征在于:
所述风控平台部署中心(2)向智能硬件(10)下发撤防/布防指令;
所述智能硬件(10)根据风控平台部署中心(2)下发撤防指令进入机器学习周期;
所述智能硬件(10)根据风控平台部署中心(2)下发布防指令进入布防周期。
6.根据权利要求5所述的边缘网络安全准入防御方法,其特征在于:
所述步骤S3中多维信息加解密身份生成算法模块(13)从智能硬件(10)中随机提取步骤S1所得的设备特征值及步骤S2所得的行为特征值的具体方法为:
所述智能硬件(10)接收设备(4)由步骤S1所得的设备特征值及步骤S2所得的行为特征值,进行结构化保存并加密;
所述设备(4)在机器学习周期中进行接入时,智能硬件(10)根据设备特征值及行为特征值建立该设备的初始特征数据池;
所述设备(4)在布防周期中进行接入时,智能硬件(10)根据设备特征值及行为特征值建立该设备的特征数据池;
所述多维信息加解密身份生成算法模块(13)从对应设备(4)的初始特征数据池/特征数据池中随机提取设备特征值及行为特征值。
7.根据权利要求6所述的边缘网络安全准入防御方法,其特征在于:
所述步骤S4中接入设备身份识别算法模块(14)调取并依据步骤S3所得的唯一标识码对接入设备(4)进行合法识别的具体方法为:
所述机器学习周期中接入设备身份识别算法模块(14)不识别所接入设备(4)的合法性;
所述布防周期中接入设备身份识别算法模块(14)调取步骤S3所得的唯一标识码,并利用特定保密算法与初始特征数据池进行匹配;
S4.1、匹配成功允许设备(4)通过,同时智能硬件(10)利用步骤S3建立的特征数据池更新初始特征数据池;
S4.2、匹配失败阻止设备(4)通过,同时智能硬件(10)将该阻止行为发送至风控平台部署中心(2)。
8.根据权利要求7所述的边缘网络安全准入防御方法,其特征在于:
所述设备(4)接入身份唯一生成和识别准入方法还包括更新维护方法,具体为:
所述风控平台部署中心(2)通过人工/自动向下发智能硬件(10)扫描指令,智能硬件(10)接收并根据扫描指令重新进入机器学习周期,重新获取设备(4)的设备特征值和/或行为特征值,全部/部分更新初始特征数据池。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810238489.4A CN108471413B (zh) | 2018-03-22 | 2018-03-22 | 边缘网络安全准入防御系统及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810238489.4A CN108471413B (zh) | 2018-03-22 | 2018-03-22 | 边缘网络安全准入防御系统及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108471413A true CN108471413A (zh) | 2018-08-31 |
| CN108471413B CN108471413B (zh) | 2020-09-29 |
Family
ID=63264629
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810238489.4A Active CN108471413B (zh) | 2018-03-22 | 2018-03-22 | 边缘网络安全准入防御系统及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108471413B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109218318A (zh) * | 2018-09-25 | 2019-01-15 | 北京镇远网安科技有限公司 | 一种基于设备知识的物联网网关登录检测方法 |
| CN111432036A (zh) * | 2020-04-26 | 2020-07-17 | 恩亿科(北京)数据科技有限公司 | 一种边缘云平台的管理系统及管理方法 |
| CN112153067A (zh) * | 2020-09-28 | 2020-12-29 | 周口师范学院 | 基于区块链的边缘计算安全模型 |
| CN115277134A (zh) * | 2022-07-13 | 2022-11-01 | 深圳铸泰科技有限公司 | 基于物联网安全平台的预准入管理系统及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800753A (zh) * | 2010-03-16 | 2010-08-11 | 中国电子科技集团公司第三十研究所 | 基于一体化网络安全服务架构的综合安全防护方法 |
| US20120151223A1 (en) * | 2010-09-20 | 2012-06-14 | Conde Marques Ricardo Nuno De Pinho Coelho | Method for securing a computing device with a trusted platform module-tpm |
| CN104348809A (zh) * | 2013-08-02 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 网络安全监控方法及系统 |
| CN107770117A (zh) * | 2016-08-15 | 2018-03-06 | 台山市金讯互联网络科技有限公司 | 一种安全的网络准入控制方法 |
-
2018
- 2018-03-22 CN CN201810238489.4A patent/CN108471413B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800753A (zh) * | 2010-03-16 | 2010-08-11 | 中国电子科技集团公司第三十研究所 | 基于一体化网络安全服务架构的综合安全防护方法 |
| US20120151223A1 (en) * | 2010-09-20 | 2012-06-14 | Conde Marques Ricardo Nuno De Pinho Coelho | Method for securing a computing device with a trusted platform module-tpm |
| CN104348809A (zh) * | 2013-08-02 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 网络安全监控方法及系统 |
| CN107770117A (zh) * | 2016-08-15 | 2018-03-06 | 台山市金讯互联网络科技有限公司 | 一种安全的网络准入控制方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109218318A (zh) * | 2018-09-25 | 2019-01-15 | 北京镇远网安科技有限公司 | 一种基于设备知识的物联网网关登录检测方法 |
| CN111432036A (zh) * | 2020-04-26 | 2020-07-17 | 恩亿科(北京)数据科技有限公司 | 一种边缘云平台的管理系统及管理方法 |
| CN112153067A (zh) * | 2020-09-28 | 2020-12-29 | 周口师范学院 | 基于区块链的边缘计算安全模型 |
| CN112153067B (zh) * | 2020-09-28 | 2022-08-12 | 周口师范学院 | 基于区块链的边缘计算安全系统 |
| CN115277134A (zh) * | 2022-07-13 | 2022-11-01 | 深圳铸泰科技有限公司 | 基于物联网安全平台的预准入管理系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108471413B (zh) | 2020-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108471413A (zh) | 边缘网络安全准入防御系统及其方法 | |
| CN107734502B (zh) | 基于区块链的微基站通信管理方法、系统及设备 | |
| CN101350745B (zh) | 一种入侵检测方法及装置 | |
| CN108600236B (zh) | 视频监控网络智能信息安全综合管理系统 | |
| CN103561004B (zh) | 基于蜜网的协同式主动防御系统 | |
| KR102153673B1 (ko) | 엣지 블록체인을 이용한 지능형 cctv 영상데이터의 저장 및 전송을 처리하는 방법, 시스템 그리고 기록매체 | |
| CN108667811A (zh) | 一种自主构建电子证据的方法和监控设备 | |
| CN108768917B (zh) | 一种基于网络日志的僵尸网络检测方法及系统 | |
| CN101938460B (zh) | 全程全网安全协同防御系统的协同防御方法 | |
| CN110012015A (zh) | 一种基于区块链的物联网数据共享方法及系统 | |
| CN109218981B (zh) | 基于位置信号特征共识的Wi-Fi接入认证方法 | |
| CN113068187B (zh) | 一种无人机辅助的终端接入认证方法、系统、设备及应用 | |
| CN106341372A (zh) | 终端的认证处理、认证方法及装置、系统 | |
| CN108063751A (zh) | 一种用于新能源电厂的公网安全接入方法 | |
| CN101938459A (zh) | 全程全网安全协同防御系统 | |
| CN106850690A (zh) | 一种蜜罐构造方法及系统 | |
| CN106895553A (zh) | 空调及其控制方法和装置、报警方法和装置 | |
| CN111476171A (zh) | 分布式对象识别系统、方法及边缘计算设备 | |
| CN101162992A (zh) | 容忍入侵的密码协议安全运行防护方法和系统 | |
| CN109756579A (zh) | 一种基于区块链的物联网信息安全传输系统及传输方法 | |
| CN106127625A (zh) | 一种基于指纹识别的保障房管理系统及方法 | |
| CN114071462B (zh) | 一种无人机群防御卫星导航诱骗方法 | |
| KR101847618B1 (ko) | 영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법 및 이러한 방법을 사용하는 영상 보안 시스템 | |
| CN108810892A (zh) | 一种无线网络管理方法、智能设备及路由器 | |
| CN109474567A (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |