CN113420791B - 边缘网络设备接入控制方法、装置及终端设备 - Google Patents
边缘网络设备接入控制方法、装置及终端设备 Download PDFInfo
- Publication number
- CN113420791B CN113420791B CN202110616273.9A CN202110616273A CN113420791B CN 113420791 B CN113420791 B CN 113420791B CN 202110616273 A CN202110616273 A CN 202110616273A CN 113420791 B CN113420791 B CN 113420791B
- Authority
- CN
- China
- Prior art keywords
- equipment
- training
- accessed
- algorithm
- identification model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2413—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
- G06F18/24147—Distances to closest patterns, e.g. nearest neighbour classification
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明适用于安全管理技术领域,公开了一种边缘网络设备接入控制方法、装置及终端设备,上述方法应用于SDN架构中的控制层,SDN架构还包括分别与控制层连接的基础设施层和应用层;上述方法包括:采集来自基础设施层的训练样本,更新训练集,并基于训练集得到设备识别模型;基于设备识别模型和预设白名单识别待接入设备的类型,并根据待接入设备的类型确定待接入设备的接入策略;将待接入设备的接入策略通过应用层发送至安全管理员的终端,以使安全管理员根据待接入设备的接入策略对待接入设备进行安全管理。本发明可以提高边缘网络设备接入的安全性和可靠性。
Description
技术领域
本发明属于安全管理技术领域,尤其涉及一种边缘网络设备接入控制方法、装置及终端设备。
背景技术
随着物联网、5G、大数据技术等在工业上的应用,越来越多的设备被接入电力网络,可以实时对于设备进行监督、管理、使用,极大的促进了生产的发展。但是随之而来的是新的问题,如全局网络的管理、设备的兼容、设备的安全接入等,这些问题掣肘物联网等技术在电力系统的应用。
除此之外,有线通信的方式因为其成本的高昂逐渐被无线通信代替,同时其安全性也引起了大家的重视。因为无线通信具有广播特性,在安全方面不像有线通信系统需要接触到硬件设备才能攻击,所以更容易受到攻击,因此其安全性也有待提高。无线通信系统目前的安全机制依然建立在物理层以上,依靠的是传统的密匙加密技术,传输密匙的通道依然容易受到攻击,安全性和可靠性较差。
发明内容
有鉴于此,本发明实施例提供了一种边缘网络设备接入控制方法、装置及终端设备,以解决现有技术安全性和可靠性较差的问题。
本发明实施例的第一方面提供了一种边缘网络设备接入控制方法,应用于SDN架构中的控制层,SDN架构还包括分别与控制层连接的基础设施层和应用层;边缘网络设备接入控制方法包括:
采集来自基础设施层的训练样本,更新训练集,并基于训练集得到设备识别模型;
基于设备识别模型和预设白名单识别待接入设备的类型,并根据待接入设备的类型确定待接入设备的接入策略;
将待接入设备的接入策略通过应用层发送至安全管理员的终端,以使安全管理员根据待接入设备的接入策略对待接入设备进行安全管理。
本发明实施例的第二方面提供了一种边缘网络设备接入控制装置,应用于SDN架构中的控制层,SDN架构还包括分别与控制层连接的基础设施层和应用层;边缘网络设备接入控制装置包括:
训练模块,用于采集来自基础设施层的训练样本,更新训练集,并基于训练集得到设备识别模型;
分类模块,用于基于设备识别模型和预设白名单识别待接入设备的类型,并根据待接入设备的类型确定待接入设备的接入策略;
安全管理模块,用于将待接入设备的接入策略通过应用层发送至安全管理员的终端,以使安全管理员根据待接入设备的接入策略对待接入设备进行安全管理。
本发明实施例的第三方面提供了一种终端设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如第一方面所述的边缘网络设备接入控制方法的步骤。
本发明实施例的第四方面提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被一个或多个处理器执行时实现如第一方面所述的边缘网络设备接入控制方法的步骤。
本发明实施例与现有技术相比存在的有益效果是:本发明实施例通过SDN架构进行边缘网络设备接入控制,具体通过采集来自基础设施层的训练样本,更新训练集,并基于训练集得到设备识别模型;基于设备识别模型和预设白名单识别待接入设备的类型,并根据待接入设备的类型确定待接入设备的接入策略;将待接入设备的接入策略通过应用层发送至安全管理员的终端,以使安全管理员根据待接入设备的接入策略对待接入设备进行安全管理,可以提高边缘网络设备接入的安全性和可靠性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的边缘网络设备接入控制方法的实现流程示意图;
图2是本发明一实施例提供的SDN架构的示意图;
图3是本发明一实施例提供的设备识别流程的示意图;
图4是本发明一实施例提供的通信信道模型的示意图;
图5是本发明一实施例提供的边缘网络设备接入控制装置的示意框图;
图6是本发明一实施例提供的终端设备的示意框图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
图1是本发明一实施例提供的边缘网络设备接入控制方法的实现流程示意图,为了便于说明,仅示出了与本发明实施例相关的部分。本发明实施例的执行主体可以是终端设备。
上述边缘网络设备接入控制方法应用于SDN(Software Defined Network,软件定义网络)架构中的控制层,SDN架构还包括分别与控制层连接的基础设施层和应用层。SDN架构的结构可以参见图2。SDN作为一种极具创新的网络技术,很好的解决了大规模边缘网络管理的问题。它区别于传统的网络架构,将控制层与数据层(也就是基础设施层)进行分离且以软件为核心,它可以通过编程来控制网络,体现了灵活性、可扩展性、功能性等多种优点。而对于设备认证,物理层身份验证利用物理层不相关的空间属性,如接受信号强度指数、信道状态信息和射频指纹来区分合法的设备和攻击者。这样的方式既能增强系统的设备识别能力,也考虑了边缘设备的计算和存储能力。因此,本发明实施例将SDN与物理层认证技术相结合,用于大规模边缘网络设备的接入控制中。
如图2所示,SDN架构分为三层:应用层、控制层和基础设施层。应用层包含着各种适用于SDN的网络应用,可以通过编程来实现应用的部署;控制层主要由控制器构成,用来控制全局网络,可以通过编程来部署新的协议;基础设施层由路由器或交换机等网络设备构成,负责简单的数据转发功能。通过安全网关来采集和更新训练集,以及在控制层部署安全服务器起到设备识别和异常检测的作用。
如图1所示,上述边缘网络设备接入控制方法可以包括以下步骤:
S101:采集来自基础设施层的训练样本,更新训练集,并基于训练集得到设备识别模型。
在本发明的一些实施例中,上述“基于训练集得到设备识别模型”可以包括:
对于包含未知来源的训练样本的训练集,采用改进的聚类算法进行训练,得到设备识别模型;
对于训练样本全部已知来源的训练集,采用改进的KNN算法进行训练,得到设备识别模型。
在本发明的一些实施例中,在改进的聚类算法中,采用平均估计计算各个训练样本之间的距离;
在改进的KNN算法中,采用信道估计计算各个训练样本之间的距离。
假设通信信道模型如下图4所示,当恶意攻击者(Eve)存在时,合法访问者(Alice)必须被身份鉴权者(Bob)进行身份验证,Eve的目的是通过伪造Alice的消息来模仿Alice。通过物理层鉴权,Bob应该能识别来自合法设备的Alice而且拒绝来自Eve的信息。消息通过一组N条平行信道进行传输,这可以来模拟多载波或者正交频分复用(OrthogonalFrequency Division Multiplexing,OFDM)传输。每一条信道都被加性高斯白噪声破坏(Additive White Gaussian Noise,AWGN)而且被时延衰落所影响。信道变化的速度明显的影响着身份验证的质量,因为它使Bob更困难的去识别来自相同来源的信道估计。
信道估计代表了信道脉冲响应(Channel impulse response,CIR),它可以用一组复杂的向量h来终端表示,向量的项是零均值相关的圆对称复形高斯变量,每一个信道估计可以被写为h(xy)∝CG(0,R(xy))。
上式中,x和y代表了一组传输者和接收者,CG(0,R)表示分布为循环对称复高斯的随机向量(均值为零),R为协方差矩阵。
身份验证的过程的关键是信道估计,而且不要求其他的加密算法。通常,一个身份验证协议包括两部分,下面描述具体部分:
1)训练阶段:Bob观察一个或多个在固定时间间隔内来自Alice的数据包,这些数据包的来源可以通过利用更高层的协议或者物理方法(例如,手动部署建立连接发送数据包)来保证。通过利用这些数据包,Bob获得一组M个时间相关的信道估计其和时间间隔内的时延衰落有关,第m个信道估计可以被表示为
上式中,W(1)~CG(0,α2)是一个噪声向量,而[1×N]向量α表示时延衰落的影响,项的取值为[0,1]间的实数,随机向量W表示瑞利分布的单一方差。假设信道在缓慢时延衰落影响下,也就是传输每个数据包时衰落系数为常数。
2)分类阶段:在训阶阶段完成后,Bob收到未知来源的数据包时,Bob估计这些数据包到达的信道,并且利用这个估计来确定是否来自Alice。也就是比较分类阶段获得信道估计和训练阶段获得的信道估计,假设Eve可以伪造来自Alice的信道估计,相当于Alice的消息加入一个噪声向量。
而关于物理层认证的性能通过比较不同方法的漏检率(MD)和误报率(FA)来比较,误报的含义是Bob拒绝了来自Alice的消息,漏检的含义是Bob接受了来自Eve的消息,一般来说,减低误报的概率就会增加漏检的概率,因此要寻求两者的平衡。时延衰落虽然会对合法身份者的身份验证产生消极影响,但是对于攻击者来说具有积极影响,具体来说就是它会影响误报的概率,让Bob接受范围扩大,从而导致Eve的伪造消息被接受的机会增大,利用机器学习算法产生的FA和MD的概率可以通过混淆矩阵来评估。混淆矩阵如表1所示。
表1混淆矩阵
上式中,TPN=TP/TP+FN代表真阳率。
其他的传统分类算法要求Bob清楚的知道一个或者多个样本数据包的来源,这在实际应用中往往难以保证。为了解决这个问题,考虑用聚类算法来对训练阶段的数据包进行分类并分配标签。常用的K-means聚类速度虽然快,且能有效处理大数据集,但是因为大数据集中存在大量的噪声和异常数据,这会导致聚类精度降低,除此之外,k的值需要预先设定。因此,本发明实施例改进了聚类算法,结合了分布计算的想法,将聚类算法分为分裂和合并两个阶段。在分裂阶段,将整个训练集划分为叫小的聚类,然后下发到各个边缘服务器;在合并阶段,将多个服务器生成的多个聚类树合并到一起,生成最终的完整的聚类树,该算法即具有了K-means算法收敛快的优点还具有了分布计算精度高的优点,而且加快了计算时间。具体过程如下:
在本发明的一些实施例中,采用改进的聚类算法进行训练,得到设备识别模型,包括:
基于树冠算法,确定各个聚类中心和树层数;
以树层数作为k-means算法的k值,以各个聚类中心作为k-means算法的各个初始中心,采用k-means算法,得到k棵聚类树;
采用合并聚类算法,将k棵聚类树合并得到设备识别模型。
1)树冠算法(CanopyAlgorithm)
树冠算法只需要遍历一次数据就可以快速得到粗化结果,并且具有较好的抗噪性。因此,树冠算法适合用K-means算法进行初始化,以确定聚类的数量(树层数)和初始聚类中心。它的具体原理如下:
第一步,首先选择两个距离阈值:T1和T2,其中T1>T2.
第二步,从训练集中选择一个样本,如果当前没有树冠,将该样本作为树冠中心并从从训练集中删除它。如果树冠中心已经存在,则计算样本和所有树冠中心之间的距离S。
第三步,如果S>T1,将样本作为新的树层,从训练集中删除;若T2<S<T1,则将样本加入当前的树层,参与下一次聚类;若S<T2则表示样本距离树层足够的近。此时,从训练集中删除,不能作为另一个树层中心使用。
第四步,重复上述第二步和第三步直到训练集是空的。
通过树冠算法预先设定好聚类中心,避免了聚类中心的随机性。
2)K-means算法
以树层数作为k值,以树冠算法中选择的每个树层中心作为K-means初始中心点。然后使用K-means算法进行迭代运算,判断聚类中心是否发生变化或达到最大迭代次数。如果是,则输出聚类结果,否则,继续遍历,将样本划分到最类似于集群中心的集群中,并重新计算集群中心。而K-means算法的核心思想是设定好K个聚类中心m1,m2,……,mK,然后将Bob采集到的每一个例子yt,使得该例子和其最近的聚类中心mn的平方距离和最小,用公式可以表示为
算法的具体步骤分为五步:
①确定预处理得出的K个聚类中心(m1,m2,……,mK);
②找到距收集到的样本yt最近的聚类中心并给样本分配标签;
③将每一个聚类中心mn移到对应的分类的中心;
④根据上述公式计算偏差D;
⑤如果D收敛,则将分配的标签输出,否则返回到第二步。
3)合并聚类算法
利用预处理获得的k个类,形成一个约束空间,只允许在每个类内聚类。将每一个类利用k-means算法重新生成聚类树,然后将k棵聚类树视为中间类,最后将k棵聚类树合并成一个完整的聚类树。具体的步骤如下:
①将样本集中的每个数据点视为一个簇。
②计算每两个簇之间的距离,并合并最接近或最相似的两个簇。
③重复上述步骤,直到当前获得的集群数量是合并或达到其他终止条件之前集群数量的10%。
④该算法利用两个不同聚类中所有点对点距离的平均值来衡量两个聚类之间的相似性。
在本发明的一些实施例中,采用改进的KNN算法进行训练,得到设备识别模型,包括:
基于传统KNN算法,得到pret和prei,其中,pret为传统KNN算法在训练集上的求和平均精度,prei为传统KNN算法对缺少第i维特征的训练集的近似和;
根据pret和prei,计算第i维特征的分类识别能力值;
对各维特征的分类识别能力值进行归一化,得到各维特征的权重;
根据各维特征的权重,计算待分类样本与K个近邻之间的距离;
根据待分类样本与K个近邻之间的距离,计算K个近邻所属的各个类别的属性值;
根据各个类别的属性值确定待分类样本的类别;
将各个训练样本确定类别后得到的模型作为设备识别模型。
在本发明的一些实施例中,第i维特征的分类识别能力值Disci的计算公式为:
Disci=1-(prei-pret)
第i维特征的权重值wi为:
其中,n为特征的维数。
在本发明的一些实施例中,K个近邻所属的各个类别的属性值:
其中,CTj为K个近邻所属类别中的第j类的属性值;K为KNN算法中的K值;Nj为述K个近邻中属于第j类的训练样本个数;∑d(X,Yj)为待分类样本与K个近邻之间的距离之和;
确定待分类样本的类别CX的公式为:CX=indexof(min(CTj))。
KNN算法是一种经典的基于类比的分类算法,其基本过程是:当得到一个训练样本时,KNN算法寻找训练数据的n维模式空间,然后通过一定的距离测试方式找到距离样本最近K个训练样本,然后具有K个最近邻的被判定为一类。但是存在不少的问题,K的选取和距离公式的选取,而大于大规模样本的情况下,样本集的不均匀分布具有着明显的影响。因此,本发明实施例改进了KNN算法,通过样本的数据特征与自身相关的准确率来加权获得K近邻,然后结合样本数量和样本距离对样本进行分类。
1)传统KNN算法
②然后,根据k个邻近点的类别进行分类:
XK表示第k个最近邻,而Cy是标签,当y的标签等于j时返回值是1,此时,I(·)的值是正确的,否则I(·)=0。
2)改进的KNN算法
①首先,定义i维特征的分类识别能力:Disci=1-(prei-pret)。
上式中,pret是传统KNN算法在原始数据集(即训练集)上的求和平均精度,而prei是传统KNN算法对缺少第i个特征的训练集的近似和。
由上述公式可知,去掉第i维特征,分类方法的准确性明显降低。当Disci>1时,说明该特征在一定程度上有利于提高最终分类结果的正确性,所以在原有值的基础上增加相应的特征权重,这是合理的。相反,当Disci<1时,这表示缺少第i维特征会导致精度的提高,也就是说该特征不那么重要。很明显,重要程度取决于精度的差距,差距越大的特征越不重要。因此,i维特征的分类识别能力的定义可以有效地衡量每个特征对分类准确性的重要性,即确定特征分类的能力。最后,通过对特征进行归一化得到相应的权值wi,如下式所示,其中n为特征的维数:
从加权的欧氏距离可以看出,如果对两个具有不同分离能力的特征进行区别处理,则两个样本之间的距离区分会更准确。上面所做的将为下一步奠定基础,即确定不可见实例的标签。
上式中,K是KNN中K的值,Nj是K近邻中第j类的样本个数,∑d(X,Yj)是K近邻中所有样本的距离之和。等式右边的第一项是第j类在最近邻中的比例的倒数。当K值确定时,项越小,在x的最近点上的第j类点越多。右边第二项是第j个样本x类在k近邻中的平均距离。右边的第二项是k近邻中第j个样本的x类的平均距离。项目越小,第j个样本离x越近,因此选择CTj最小值的指标作为最终要排序的样本类别,判别式如下式所示CX=indexof(min(CTj)),i=1:l。
另外,如果K最近邻不包含某个类别的任何样本,即Nj=0,为了避免这种情况的无限运算,指定CTj=0,indexof()表示index。
具体算法过程如表2所示。
表2改进的KNN算法
S102:基于设备识别模型和预设白名单识别待接入设备的类型,并根据待接入设备的类型确定待接入设备的接入策略。
为了避免接入设备被攻击者所攻破进而威胁整个网络,因此在SDN网络部署设备识别系统来结合机器学习算法对接入网络的设备进行识别。通过建立白名单对要接入网络的设备进行控制,并且采取安全管理系统对网络进行管理。建立白名单相比于建立黑名单要简单很多,网络仅对于白名单内部的设备允许接入,而网络管理系统则实时对于接入网络的设备进行检测来更新训练集避免设备发生变化而影响接入。而整个的设备识别过程主要原理是维护白名单来限制非白名单设备接入网络,具体的识别流程如图3所示。
白名单可以预先设置,也可以将训练阶段采集到的训练集与设备的IP地址或MAC地址相关联形成白名单。在设备接入网络时比较采集到样本信息和训练集以及IP地址、MAC地址等,如果跟白名单相同则允许接入网络,如果不符合则上传到上层来决定是否允许设备接入。对于新接入网络的设备跟图3所示流程相同,由应用层和控制层对新接入的设备进行控制,下发命令到基础设施层来采集训练集并补充白名单。
而安全管理网络架构是为了保证已接入网络的设备未发现的漏洞不会影响网络,同时对接入网络的训练集进行更新。根据云服务器收集到的信息对接入设备进行通信限制和异常检测,本发明实施例提出的智能化的安全管理网络架构,如图2所示。
待接入设备的类型可以为正常设备和异常设备。对于正常设备的接入策略为允许接入;对于异常设备的接入策略,也可以称为通信限制,包括:
1)严格隔离:对于检测到异常的设备进行严格隔离,即仅允许严格隔离的设备互相进行通信,不允许接入网络。
2)受限隔离:仅允许受限隔离到的设备与网络中部分不重要设备通信,并不允许与优先级高的设备通信。
3)可信隔离:可以与其他可信隔离的设备进行通信,并且不影响自由接入网络。
该安全管理网络架构关键在于安全网关和安全服务器两种硬件设备,安全网关起采集训练集、管理白名单、更新训练集的作用,安全服务器起到对于安全网关所反馈的训练集、白名单识别设备类型判断其危险程度并关联安全信息知识库为安全管理员提供建议,安全管理员根据建议来进行安全管理。
在本发明实施例中,在确定待接入设备的类型时可以采用上述改进的聚类算法或改进的KNN算法实现,具体过程参见上述训练过程,在此不做具体限制。
S103:将待接入设备的接入策略通过应用层发送至安全管理员的终端,以使安全管理员根据待接入设备的接入策略对待接入设备进行安全管理。
在本发明实施例中,可以将待接入设备的接入策略发送至安全管理员的终端。安全管理员可以根据接收到的接入策略对待接入设备进行安全管理。
由上述描述可知,本发明实施例通过SDN架构进行边缘网络设备接入控制,具体通过采集来自基础设施层的训练样本,更新训练集,并基于训练集得到设备识别模型;基于设备识别模型和预设白名单识别待接入设备的类型,并根据待接入设备的类型确定待接入设备的接入策略;将待接入设备的接入策略通过应用层发送至安全管理员的终端,以使安全管理员根据待接入设备的接入策略对待接入设备进行安全管理,可以提高边缘网络设备接入的安全性和可靠性。
本发明实施例考虑到随着物联网等技术的发展,大规模边缘设备接入网络导致的网络可靠性低和设备管理差等问题,提出了一个结合SDN技术和物理层认证技术的网络架构,并对该框架的各层的构造和功能进行了设计。对算法进行了改进,设计了一套适合该网络框架的设备认证流程,将物理层认证融入了传统的设备识别流程当中。对检测出的异常的设备,设计了一系列不同的应对措施,即保证了安全也降低了因为错误判断所带来的风险。引入混淆矩阵,细化了在认证过程中所可能出现的所有情况,并引入TPN和TNP两种性能度量参数。对传统的k-means聚类算法进行了改进,融合了分布学习的思想,将大规模的样本细分成较小的训练集,然后分布计算最后合并,即提高了准确性也节省了资源。对训练集提前利用树冠算法进行了预处理,避免了k-means算法刚开始k值的随机性。对KNN算法进行了改进,传统的KNN算法计算最近邻时运用的是欧式距离,提出了根据数据特征与准确性的相关性来计算权重,进而重新计算距离的方法。还引入了分类贡献的概念,样本数量和样本在被测样本K个邻域内重要的距离。
本发明实施例提出了一种用于大规模边缘设备管理的SDN网络架构,考虑了无线通信的特点引入了物理层认证技术,可以提升大规模边缘网络的安全性和管理。改进了k-means聚类算法,使其更适合大规模边缘设备的场景,既提高了准确性和计算时间,又结合了边缘计算的概念节省了计算和存储资源。改进了KNN算法,考虑了特征权值和分类贡献的概念,有效降低了噪声和无效数据对分类准确性的影响。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
对应于上述边缘网络设备接入控制方法,本发明一实施例还提供了一种边缘网络设备接入控制装置,具有与上述边缘网络设备接入控制方法同样的有益效果。图5是本发明一实施例提供的边缘网络设备接入控制装置的示意框图,为了便于说明,仅示出与本发明实施例相关的部分。
在本发明实施例中,边缘网络设备接入控制装置30应用于SDN架构中的控制层,所述SDN架构还包括分别与所述控制层连接的基础设施层和应用层;边缘网络设备接入控制装置30可以包括训练模块301、分类模块302和安全管理模块303。
其中,训练模块301,用于采集来自基础设施层的训练样本,更新训练集,并基于训练集得到设备识别模型;
分类模块302,用于基于设备识别模型和预设白名单识别待接入设备的类型,并根据待接入设备的类型确定待接入设备的接入策略;
安全管理模块303,用于将待接入设备的接入策略通过应用层发送至安全管理员的终端,以使安全管理员根据待接入设备的接入策略对待接入设备进行安全管理。
可选地,训练模块301还可以用于:
对于包含未知来源的训练样本的训练集,采用改进的聚类算法进行训练,得到设备识别模型;
对于训练样本全部已知来源的训练集,采用改进的KNN算法进行训练,得到设备识别模型。
可选地,训练模块301还可以用于:
基于树冠算法,确定各个聚类中心和树层数;
以树层数作为k-means算法的k值,以各个聚类中心作为k-means算法的各个初始中心,采用k-means算法,得到k棵聚类树;
采用合并聚类算法,将k棵聚类树合并得到设备识别模型。
可选地,训练模块301还可以用于:
基于传统KNN算法,得到pret和prei,其中,pret为传统KNN算法在训练集上的求和平均精度,prei为传统KNN算法对缺少第i维特征的训练集的近似和;
根据pret和prei,计算第i维特征的分类识别能力值;
对各维特征的分类识别能力值进行归一化,得到各维特征的权重;
根据各维特征的权重,计算待分类样本与K个近邻之间的距离;
根据待分类样本与K个近邻之间的距离,计算K个近邻所属的各个类别的属性值;
根据各个类别的属性值确定待分类样本的类别;
将各个训练样本确定类别后得到的模型作为设备识别模型。
可选地,第i维特征的分类识别能力值Disci的计算公式为:
Disci=1-(prei-pret)
第i维特征的权重值wi为:
其中,n为特征的维数。
可选地,K个近邻所属的各个类别的属性值:
其中,CTj为K个近邻所属类别中的第j类的属性值;K为KNN算法中的K值;Nj为述K个近邻中属于第j类的训练样本个数;∑d(X,Yj)为待分类样本与K个近邻之间的距离之和;
确定待分类样本的类别CX的公式为:CX=indexof(min(CTj))。
可选地,在改进的聚类算法中,采用平均估计计算各个训练样本之间的距离;
在改进的KNN算法中,采用信道估计计算各个训练样本之间的距离。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述边缘网络设备接入控制装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述装置中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
图6是本发明一实施例提供的终端设备的示意框图。如图6所示,该实施例的终端设备40包括:一个或多个处理器401、存储器402以及存储在所述存储器402中并可在所述处理器401上运行的计算机程序403。所述处理器401执行所述计算机程序403时实现上述各个边缘网络设备接入控制方法实施例中的步骤,例如图1所示的步骤S101至S103。或者,所述处理器401执行所述计算机程序403时实现上述边缘网络设备接入控制装置实施例中各模块/单元的功能,例如图5所示模块301至303的功能。
示例性地,所述计算机程序403可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器402中,并由所述处理器401执行,以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序403在所述终端设备40中的执行过程。例如,所述计算机程序403可以被分割成训练模块、分类模块和安全管理模块,各模块具体功能如下:
训练模块,用于采集来自基础设施层的训练样本,更新训练集,并基于训练集得到设备识别模型;
分类模块,用于基于设备识别模型和预设白名单识别待接入设备的类型,并根据待接入设备的类型确定待接入设备的接入策略;
安全管理模块,用于将待接入设备的接入策略通过应用层发送至安全管理员的终端,以使安全管理员根据待接入设备的接入策略对待接入设备进行安全管理。
其它模块或者单元可参照图5所示的实施例中的描述,在此不再赘述。
所述终端设备40可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备40包括但不仅限于处理器401、存储器402。本领域技术人员可以理解,图6仅仅是终端设备40的一个示例,并不构成对终端设备40的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备40还可以包括输入设备、输出设备、网络接入设备、总线等。
所述处理器401可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器402可以是所述终端设备40的内部存储单元,例如终端设备40的硬盘或内存。所述存储器402也可以是所述终端设备40的外部存储设备,例如所述终端设备40上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器402还可以既包括终端设备40的内部存储单元也包括外部存储设备。所述存储器402用于存储所述计算机程序403以及所述终端设备40所需的其他程序和数据。所述存储器402还可以用于暂时地存储已经输出或者将要输出的数据。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的边缘网络设备接入控制装置和方法,可以通过其它的方式实现。例如,以上所描述的边缘网络设备接入控制装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括是电载波信号和电信信号。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (6)
1.一种边缘网络设备接入控制方法,其特征在于,应用于SDN架构中的控制层,所述SDN架构还包括分别与所述控制层连接的基础设施层和应用层;所述边缘网络设备接入控制方法包括:
采集来自所述基础设施层的训练样本,更新训练集,并基于所述训练集得到设备识别模型;
基于所述设备识别模型和预设白名单识别待接入设备的类型,并根据所述待接入设备的类型确定所述待接入设备的接入策略;
将所述待接入设备的接入策略通过所述应用层发送至安全管理员的终端,以使所述安全管理员根据所述待接入设备的接入策略对所述待接入设备进行安全管理;
所述基于所述训练集得到设备识别模型,包括:
对于包含未知来源的训练样本的训练集,采用改进的聚类算法进行训练,得到设备识别模型;
对于训练样本全部已知来源的训练集,采用改进的KNN算法进行训练,得到设备识别模型;
所述采用改进的KNN算法进行训练,得到设备识别模型,包括:
基于传统KNN算法,得到pret和prei,其中,pret为传统KNN算法在所述训练集上的求和平均精度,prei为传统KNN算法对缺少第i维特征的训练集的近似和;
根据pret和prei,计算第i维特征的分类识别能力值;
对各维特征的分类识别能力值进行归一化,得到各维特征的权重;
根据各维特征的权重,计算待分类样本与K个近邻之间的距离;
根据所述待分类样本与K个近邻之间的距离,计算所述K个近邻所属的各个类别的属性值;
根据各个类别的属性值确定待分类样本的类别;
将各个训练样本确定类别后得到的模型作为所述设备识别模型;
第i维特征的分类识别能力值Disci的计算公式为:
Disci=1-(prei-pret)
第i维特征的权重值wi为:
其中,n为特征的维数;
所述K个近邻所属的各个类别的属性值:
其中,CTj为所述K个近邻所属类别中的第j类的属性值;K为KNN算法中的K值;Nj为述K个近邻中属于第j类的训练样本个数;∑d(X,Yj)为所述待分类样本与K个近邻之间的距离之和;
确定待分类样本的类别CX的公式为:CX=indexof(min(CTj))。
2.根据权利要求1所述的边缘网络设备接入控制方法,其特征在于,所述采用改进的聚类算法进行训练,得到设备识别模型,包括:
基于树冠算法,确定各个聚类中心和树层数;
以所述树层数作为k-means算法的k值,以各个聚类中心作为k-means算法的各个初始中心,采用k-means算法,得到k棵聚类树;
采用合并聚类算法,将k棵聚类树合并得到所述设备识别模型。
3.根据权利要求1至2任一项所述的边缘网络设备接入控制方法,其特征在于,在所述改进的聚类算法中,采用平均估计计算各个训练样本之间的距离;
在所述改进的KNN算法中,采用信道估计计算各个训练样本之间的距离。
4.一种边缘网络设备接入控制装置,其特征在于,应用于SDN架构中的控制层,所述SDN架构还包括分别与所述控制层连接的基础设施层和应用层;所述边缘网络设备接入控制装置包括:
训练模块,用于采集来自所述基础设施层的训练样本,更新训练集,并基于所述训练集得到设备识别模型;
分类模块,用于基于所述设备识别模型和预设白名单识别待接入设备的类型,并根据所述待接入设备的类型确定所述待接入设备的接入策略;
安全管理模块,用于将所述待接入设备的接入策略通过所述应用层发送至安全管理员的终端,以使所述安全管理员根据所述待接入设备的接入策略对所述待接入设备进行安全管理;
所述训练模块具体用于:
对于包含未知来源的训练样本的训练集,采用改进的聚类算法进行训练,得到设备识别模型;
对于训练样本全部已知来源的训练集,基于传统KNN算法,得到pret和prei,其中,pret为传统KNN算法在所述训练集上的求和平均精度,prei为传统KNN算法对缺少第i维特征的训练集的近似和;
根据pret和prei,计算第i维特征的分类识别能力值;
对各维特征的分类识别能力值进行归一化,得到各维特征的权重;
根据各维特征的权重,计算待分类样本与K个近邻之间的距离;
根据所述待分类样本与K个近邻之间的距离,计算所述K个近邻所属的各个类别的属性值;
根据各个类别的属性值确定待分类样本的类别;
将各个训练样本确定类别后得到的模型作为所述设备识别模型;
第i维特征的分类识别能力值Disci的计算公式为:
Disci=1-(prei-pret)
第i维特征的权重值wi为:
其中,n为特征的维数;
所述K个近邻所属的各个类别的属性值:
其中,CTj为所述K个近邻所属类别中的第j类的属性值;K为KNN算法中的K值;Nj为述K个近邻中属于第j类的训练样本个数;∑d(X,Yj)为所述待分类样本与K个近邻之间的距离之和;
确定待分类样本的类别CX的公式为:CX=indexof(min(CTj))。
5.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至3任一项所述边缘网络设备接入控制方法的步骤。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被一个或多个处理器执行时实现如权利要求1至3任一项所述边缘网络设备接入控制方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110616273.9A CN113420791B (zh) | 2021-06-02 | 2021-06-02 | 边缘网络设备接入控制方法、装置及终端设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110616273.9A CN113420791B (zh) | 2021-06-02 | 2021-06-02 | 边缘网络设备接入控制方法、装置及终端设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113420791A CN113420791A (zh) | 2021-09-21 |
CN113420791B true CN113420791B (zh) | 2022-08-30 |
Family
ID=77713687
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110616273.9A Active CN113420791B (zh) | 2021-06-02 | 2021-06-02 | 边缘网络设备接入控制方法、装置及终端设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113420791B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115001790B (zh) * | 2022-05-27 | 2024-03-26 | 国网智能电网研究院有限公司 | 基于设备指纹的二级认证方法、装置及电子设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110602041A (zh) * | 2019-08-05 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于白名单的物联网设备识别方法、装置及网络架构 |
CN111162939A (zh) * | 2019-12-25 | 2020-05-15 | 广东省新一代通信与网络创新研究院 | 一种网络设备控制方法、装置、计算设备及网络系统 |
CN112769796A (zh) * | 2020-12-30 | 2021-05-07 | 华北电力大学 | 一种基于端侧边缘计算的云网端协同防御方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11363031B2 (en) * | 2018-08-27 | 2022-06-14 | Ciena Corporation | Network architecture providing device identification and redirection using whitelisting traffic classification |
-
2021
- 2021-06-02 CN CN202110616273.9A patent/CN113420791B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110602041A (zh) * | 2019-08-05 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于白名单的物联网设备识别方法、装置及网络架构 |
CN111162939A (zh) * | 2019-12-25 | 2020-05-15 | 广东省新一代通信与网络创新研究院 | 一种网络设备控制方法、装置、计算设备及网络系统 |
CN112769796A (zh) * | 2020-12-30 | 2021-05-07 | 华北电力大学 | 一种基于端侧边缘计算的云网端协同防御方法及系统 |
Non-Patent Citations (5)
Title |
---|
SDN环境下的DDoS攻击检测技术与防护机制研究;万凡;《中国优秀硕士学位论文全文数据库信息科技辑》;20180915;第1-50页 * |
万凡.SDN环境下的DDoS攻击检测技术与防护机制研究.《中国优秀硕士学位论文全文数据库信息科技辑》.2018, * |
基于改进 K-means 算法的入侵检测技术研究;张珂嘉;《中国优秀硕士学位论文全文数据库信息科技辑》;20201215;第1-43页 * |
基于机器学习的入侵检测技术研究;李明昭;《中国优秀硕士学位论文全文数据库信息科技辑》;20210315;第1-125页 * |
基于监督性学习的 LTE 自适应传输关键技术研究;张翠;《中国优秀硕士学位论文全文数据库信息科技辑》;20200115;第1-43页 * |
Also Published As
Publication number | Publication date |
---|---|
CN113420791A (zh) | 2021-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112953924B (zh) | 网络异常流量检测方法、系统、存储介质、终端及应用 | |
CN111565205A (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
US11516240B2 (en) | Detection of anomalies associated with fraudulent access to a service platform | |
CN111709022B (zh) | 基于ap聚类与因果关系的混合报警关联方法 | |
Possebon et al. | Improved network traffic classification using ensemble learning | |
CN109150859B (zh) | 一种基于网络流量流向相似性的僵尸网络检测方法 | |
Aamir et al. | Machine learning classification of port scanning and DDoS attacks: A comparative analysis | |
CN117216660A (zh) | 基于时序网络流量集成异常点和异常集群检测方法及装置 | |
CN113904795B (zh) | 一种基于网络安全探针的流量快速精确检测方法 | |
CN113328985A (zh) | 一种被动物联网设备识别方法、系统、介质及设备 | |
CN111935185B (zh) | 基于云计算构建大规模诱捕场景的方法及系统 | |
CN112671739B (zh) | 分布式系统的节点性质识别方法 | |
CN113420791B (zh) | 边缘网络设备接入控制方法、装置及终端设备 | |
He et al. | Ensemble feature selection for improving intrusion detection classification accuracy | |
Yin et al. | Detecting CAN overlapped voltage attacks with an improved voltage-based in-vehicle intrusion detection system | |
CN112468498B (zh) | 配电终端多源异构安全监测数据的跨模态聚合方法 | |
Nalavade et al. | Evaluation of k-means clustering for effective intrusion detection and prevention in massive network traffic data | |
CN117294497A (zh) | 一种网络流量异常检测方法、装置、电子设备及存储介质 | |
Samadzadeh et al. | Evaluating Security Anomalies by Classifying Traffic Using Deep Learning | |
CN111901137A (zh) | 一种利用蜜罐告警日志挖掘多步攻击场景的方法 | |
CN116192530A (zh) | 一种基于欺骗性防御的未知威胁自适应检测方法 | |
CN110197066B (zh) | 一种云计算环境下的虚拟机监控方法及监控系统 | |
Desta et al. | U-CAN: A Convolutional Neural Network Based Intrusion Detection for Controller Area Networks | |
Abreu et al. | Ominacs: Online ml-based iot network attack detection and classification system | |
CN111064724A (zh) | 一种基于rbf神经网络的网络入侵检测系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |