发明内容
有鉴于此,本申请实施例提供了一种终端设备可信度度量方法及装置,旨在从多个维度对终端设备的可信度进行度量,从而使得可信度度量结果更加准确。
一种终端设备可信度度量方法,所述方法包括:
获取终端设备的设备信息,所述设备信息包括所述终端设备的名称、型号、生产厂家、物理地址、网络地址中的一个或多个;
将所述设备信息整理为设备指纹信息;
将所述设备指纹信息输入第一参数度量模型,得到第一参数度量结果,所述第一参数度量模型为稳定性度量模型、安全性度量模型、易用性度量模型中的任意一个;
将所述设备指纹信息输入第二参数度量模型,得到第二参数度量结果,所述第二参数度量模型为稳定性度量模型、安全性度量模型、易用性度量模型中任意一个不同于所述第一参数度量模型的模型;
根据所述第一参数度量结果和所述第二参数度量结果确定所述终端设备的可信度度量结果。
可选地,所述方法还包括:
将所述设备指纹信息输入第三参数度量模型,得到第三参数度量结果,所述第三参数度量模型为稳定性度量模型、安全性度量模型、易用性度量模型中不同于所述第一参数度量模型和第二参数度量模型的模型;
所述根据所述第一参数度量结果和所述第二参数度量结果确定所述终端设备的可信度度量结果还包括:
根据所述第一参数度量结果、第二参数度量结果和第三参数度量结果确定所述终端设备的可信度度量结果。
可选地,所述将所述设备信息整理为设备指纹信息包括:
判断所述设备信息是否完整;
当所述设备信息不完整时,补全所述设备信息;
对所述完整的设备信息进行特征提取,得到所述设备指纹信息。
可选地,在对所述完整的设备信息特征提取后,所述方法还包括:
对所述设备信息提取后的特征进行流形学习,得到归一化后的特征作为设备指纹信息。
可选地,所述根据所述第一参数度量结果和所述第二参数度量结果确定所述终端设备的可信度度量结果包括:
根据所述第一参数度量模型和第二参数度量模型的类型,从稳定性度量参数、安全性度量参数选择和易用性度量参数中选择第一度量参数和第二度量参数;
根据所述第一度量参数和第一参数度量结果的乘积计算第一可信度度量结果,根据所述第二度量参数和第二参数度量结果的乘积计算第二可信度度量结果;
根据所述第一可信度度量结果和所述第二可信度度量之和结果确定所述终端设备的可信度度量结果。
可选地,,所述稳定性度量模型是通过以下方法得到的:
获取训练数据集,所述训练数据集中包括历史终端设备的设备指纹信息和稳定性度量结果;其中,所述设备指纹信息是对所述历史终端设备的设备信息进行特征提取得到的,所述稳定性度量结果是对所述历史终端设备进行稳定性度量得到的;
根据所述训练数据集训练预构建的机器学习模型,得到所述稳定性度量模型。
一种终端设备可信度度量装置,所述装置包括:
信息获取模块,用于获取终端设备的设备信息,所述设备信息包括所述终端设备的名称、型号、生产厂家、物理地址、网络地址中的一个或多个;
指纹整理模块,用于将所述设备信息整理为设备指纹信息;
第一计算模块,用于将所述设备指纹信息输入第一参数度量模型,得到第一参数度量结果,所述第一参数度量模型为稳定性度量模型、安全性度量模型、易用性度量模型中的任意一个;
第二计算模块,用于将所述设备指纹信息输入第二参数度量模型,得到第二参数度量结果,所述第二参数度量模型为稳定性度量模型、安全性度量模型、易用性度量模型中任意一个不同于所述第一参数度量模型的模型;
可信度确定模块,用于根据所述第一参数度量结果和所述第二参数度量结果确定所述终端设备的可信度度量结果。
可选地,所述装置还包括:
第三计算模块,用于将所述设备指纹信息输入第三参数度量模型,得到第三参数度量结果,所述第三参数度量模型为稳定性度量模型、安全性度量模型、易用性度量模型中不同于所述第一参数度量模型和第二参数度量模型的模型。
可选地,所述指纹整理模块包括:
完整性判断模块,用于判断所述设备信息是否完整;
信息补全模块,用于当所述设备信息不完整时,补全所述设备信息;
特征提取模块,用于对所述完整的设备信息进行特征提取,得到所述设备指纹信息。
可选地,所述可信度确定模块包括:
参数选择模块,用于根据所述第一参数度量模型和第二参数度量模型的类型,从稳定性度量参数、安全性度量参数选择和易用性度量参数中选择第一度量参数和第二度量参数;
乘积计算模块,用于根据所述第一度量参数和第一参数度量结果的乘积计算第一可信度度量结果,根据所述第二度量参数和第二参数度量结果的乘积计算第二可信度度量结果;
可信度计算模块,用于根据所述第一可信度度量结果和所述第二可信度度量之和结果确定所述终端设备的可信度度量结果。
本申请提供了一种终端设备可信度度量方法及装置,可以先获取终端设备的设备信息,然后将设备信息整理为设备指纹信息;接着将所述设备指纹信息输入稳定性度量模型、安全性度量模型、易用性度量模型中至少两个模型进行分析处理,得到第一参数度量结果和第二参数度量结果,最后再根据所述第一参数度量结果和所述第二参数度量结果确定所述终端设备的可信度度量结果。这样一来,对终端设备的设备信息进行整理得到的设备指纹信息可以唯一地标识出该终端设备,而且还具有该终端设备的软硬件信息;综合第一参数度量结果和第二参数度量结果得到的可信度包含了从两个维度进行度量的可信度度量结果。如此,通过将设备指纹信息输入不同的度量模型,即可得到从不同维度进行度量的结果,将多个模型的结果进行综合,即可从多个维度对终端设备进行可信度度量。
具体实施方式
目前,我国工业互联网系统信息安全管理工作中存在不少问题,特别是随着互联网高速发展带来的信息安全问题,时时刻刻威胁着工业生产安全和社会正常运转。作为网络与外界交互的重要通道,保证终端设备的安全是保证信息安全的重要一环。如果不安全或有安全缺陷的终端设备接入了安全网络,攻击者可以很容易地利用终端设备作为跳板对网络进行攻击。
为了解决这个问题,一方面可以确保终端设备本身的安全,可以在终端设备上安装杀毒软件、防火墙等程序,从而让终端设备具有一定能的防御攻击能力;另一方面可以从网关的角度确保接入网络中的终端设备的安全性,例如可以对新入网的终端设备进行可信度度量,或者对已入网的设备定期进行可信度度量,从而确保接入网络的终端设备的安全。
现有的终端设备可信度度量方法在对终端设备进行可信度度量时,可以针对设备的大量硬件或者软件特征进行分析,然后根据分析结果得到可信度度量结果。但是这种可信度度量方法都是从单一维度对可信度进行度量,得到的度量结果并不准确。而且这种方法相对较为复杂,不具有普适性。
为了给出能够从多个维度对终端设备进行可信度度量的方法,本申请提供了一种终端设备可信度度量方法及装置,以下将结合新终端设备入网时的应用场景,从后台服务器的角度对本申请优选实施例进行说明。需要特殊说明的是,本申请提供的可信度度量方法既可以用于新设备入网时的安全性判断,也可以用于对网络中设备的周期性检测或其他需要可信度度量的场景。
参见图1,图1为本申请实施例提供的可信度度量方法的方法流程图,包括:
S101:获取终端设备的设备信息。
在对终端设备进行可信度度量时,服务器可以先获取终端设备的设备信息。具体地,服务器可以通过访问终端设备的底层系统获取终端设备的名称、型号、生产厂家等硬件信息;通过接口获取终端设备的网络地址(IP地址)、物理地址(MAC地址)等网络信息;通过访问终端设备的软件采集终端设备中安装的软件版本、名称等软件信息。设备信息的数量越多,最终得到的度量结果的就越准确。
S102:将所述设备信息整理为设备指纹信息。
在获取到终端设备的设备信息后,服务器可以将设备信息整理为唯一的设备指纹信息。由于设备指纹信息是通过终端设备的设备信息整理得到的,其中隐含了终端设备的大量信息。
由于设备信息数量相对较多,在将设备信息整理为设备指纹信息时,可以采用特征提取的方法。具体地,如果设备信息的数量和进行特征提取所需的数量一致,说明设备信息较为完整,可以直接进行特征提取。如果设备信息数量少于进行特征提取所需的数量,说明设备信息并不完整,服务器可以通过网络获取剩余的设备信息,也可以直接由技术人员进行输入。这样一来,可以通过网络或手动输入补充不完整的设备信息,并对完整的设备信息进行特征提取得到设备指纹信息,如此,得到的设备指纹信息具有终端设备完整的特征信息,对设备指纹信息进行处理即可得到的准确地可信度度量结果。
进一步地,如果设备信息的数量较多,对其进行特征提取得到的结果可能是高维向量,不便于直接作为设备指纹信息进行后续处理。对于这种情况,服务器可以采用流形学习(Manifold Learning)对特征提取后的设备信息进行归一化,并将归一化后的特征作为设备指纹信息。流形学习可以从高维采样数据中恢复低维流形结构,并求出相应的嵌入映射,以实现维数降低或者数据可视化。如此,通过采用流形学习方法对特征提取后的数据进行归一化降维,得到的设备指纹信息维数较低,特征之间具有较强的非线性关系,便于输入第一参数度量模型和第二参数度量模型进行处理。
S103-1:将设备指纹信息输入第一参数度量模型,得到第一参数度量结果。
S103-2:将设备指纹信息输入第二参数度量模型,得到第二参数度量结果。
在获取到设备指纹信息后,服务器可以将设备指纹信息输入第一参数度量模型和第二参数度量模型,得到第一参数度量结果和第二参数度量结果。其中,所述第一参数度量模型和第二参数度量模型可以是稳定性度量模型、安全性度量模型、易用性度量模型中的任意两个模型,用于对设备指纹信息进行分析处理得到对应度量结果。
例如,假设第一参数度量模型为稳定性度量模型,第二参数度量模型为安全性度量模型;那么对设备指纹信息进行分析得到的第一参数度量结果为稳定性度量结果,可以体现出的所述终端设备的稳定性,第二参数度量结果为安全性度量结果,可以体现出的所述终端设备的安全性。
具体地,稳定性度量模型可以根据终端设备的设备指纹进行设备稳定性的分析,其输出为终端设备的稳定性度量标准;安全性度量模型可以根据终端设备的设备指纹进行设备安全性的分析,其输出为终端设备的安全性度量标准;易用性度量模型可以根据终端设备的设备指纹进行设备易用的分析,其输出为终端设备的易用性度量标准。
考虑到一些网络安全要求较为严格,在对终端设备进行可信度度量时还可以从更多维度对设备指纹进行分析。具体地,如图2所示,服务器可以将稳定性度量模型、安全性度量模型、易用性度量模型中不同于所述第一参数度量模型和第二参数度量模型的模型作为第三参数度量模型。然后将设备指纹信息输入第三参数度量模型,得到第三参数度量结果。这样一来,增加了一维对设备指纹信息的分析标准,可以从另一个方面对设备的可信度进行度量。如此,通过增加可信度度量的评判标准,可以提高最终得到的可信度度量结果的准确性。
当然,考虑到实际情况,所述第三参数度量模型也可以是其他维度的度量模型,也可以使用三个以上的模型对设备指纹信息进行处理,本申请对此不作额外限定。另外,所述步骤S103-1和S103-2可以是同时进行的两个步骤,也可以具有一定的顺序关系,本申请对此不作限定。
S104:根据所述第一参数度量结果和所述第二参数度量结果确定所述终端设备的可信度度量结果。
在得到第一参数度量结果和第二参数度量后,服务器可以综合两个维度的度量结果确定终端设备的可信度度量结果。如果还采用如第三参数度量模型等其他模型对设备指纹信息进行分析时,服务器还可以根据所述第一参数度量结果、第二参数度量结果和第三参数度量结果确定所述终端设备的可信度度量结果。
具体地,服务器可以先根据第一参数度量模型和第二参数度量模型的类型从稳定性度量参数、安全性度量参数选择和易用性度量参数中选择第一度量参数和第二度量参数。例如,假设第一参数度量模型是稳定性度量模型,对应的第一度量参数则为稳定性度量参数。接着,服务器可以将第一度量参数和第一参数度量结果相乘,计算第一可信度度量结果,将第二度量参数和第一参数度量结果相乘,计算第二可信度度量结果。最后,服务器可以将第一可信度度量结果和第二可信度度量结果相加,并根据两个可信度度量结果之和确定终端设备的可信度度量结果。如此,根据参数度量模型的类型选择对应的度量参数,从而为第一、第二度量参数选择合适的权重,确保最终得到的可信度度量结果准确无误。
本实施例提供了一种终端设备可信度度量方法,可以先获取终端设备的设备信息,然后将设备信息整理为设备指纹信息;接着将所述设备指纹信息输入稳定性度量模型、安全性度量模型、易用性度量模型中至少两个模型进行分析处理,得到第一参数度量结果和第二参数度量结果,最后再根据所述第一参数度量结果和所述第二参数度量结果确定所述终端设备的可信度度量结果。这样一来,对终端设备的设备信息进行整理得到的设备指纹信息可以唯一地标识出该终端设备,而且还具有该终端设备的软硬件信息;综合第一参数度量结果和第二参数度量结果得到的可信度包含了从两个维度进行度量的可信度度量结果。如此,通过将设备指纹信息输入不同的度量模型,即可得到从不同维度进行度量的结果,将多个模型的结果进行综合,即可从多个维度对终端设备进行可信度度量。
在本申请实施例中,所述稳定性度量模型、安全性度量模型、易用性度量模型可以是技术人员手动设计的,也可以是训练得到的。例如,服务器可以先获取历史终端设备的设备指纹信息和度量结果作为训练数据集进行训练。其中,所述历史终端设备可以是进行过可信度度量的终端设备,所述训练数据集中的书记可以是对历史终端设备进行可信度度量的过程中得到的。由于稳定性和安全性不具备很强的线性特征使用随机森林的方法训练、易用性是用户直观反馈具备很强的线性关系,可以直接利用线性回归的方法以减小模型的复杂性。
具体地,以稳定性度量模型的建立为例,服务器可以先获取训练数据集,然后再利用所述训练数据集训练预构建的机器学习模型,得到稳定性度量模型。其中,所述设备指纹信息可以是对所述历史终端设备的设备信息进行特征提取得到的,所述稳定性度量结果可以是对所述历史终端设备进行稳定性度量得到的。如此,利用对历史终端设备进行可信度度量时得到的数据对模型进行训练,最终得到的模型更加准确,可以确保得到的可信度度量结果准确无误。当然,所述建立稳定性度量模型的方法也可以用于安全性度量模型和易用性度量模型的建立。
以上为本申请实施例提供终端设备可信度度量方法的一些具体实现方式,基于此,本申请还提供了对应的装置。下面将从功能模块化的角度对本申请实施例提供的上述装置进行介绍。
参见图3所示的终端设备可信度度量装置的结构示意图,该装置300包括:
信息获取模块310,用于获取终端设备的设备信息,所述设备信息包括所述终端设备的名称、型号、生产厂家、物理地址、网络地址中的一个或多个。
指纹整理模块320,用于将所述设备信息整理为设备指纹信息。
第一计算模块330,用于将所述设备指纹信息输入第一参数度量模型,得到第一参数度量结果,所述第一参数度量模型为稳定性度量模型、安全性度量模型、易用性度量模型中的任意一个。
第二计算模块340,用于将所述设备指纹信息输入第二参数度量模型,得到第二参数度量结果,所述第二参数度量模型为稳定性度量模型、安全性度量模型、易用性度量模型中任意一个不同于所述第一参数度量模型的模型。
可信度确定模块350,用于根据所述第一参数度量结果和所述第二参数度量结果确定所述终端设备的可信度度量结果。
本实施例提供了一种终端设备可信度度量装置,可以先获取终端设备的设备信息,然后将设备信息整理为设备指纹信息;接着将所述设备指纹信息输入稳定性度量模型、安全性度量模型、易用性度量模型中至少两个模型进行分析处理,得到第一参数度量结果和第二参数度量结果,最后再根据所述第一参数度量结果和所述第二参数度量结果确定所述终端设备的可信度度量结果。这样一来,对终端设备的设备信息进行整理得到的设备指纹信息可以唯一地标识出该终端设备,而且还具有该终端设备的软硬件信息;综合第一参数度量结果和第二参数度量结果得到的可信度包含了从两个维度进行度量的可信度度量结果。如此,通过将设备指纹信息输入不同的度量模型,即可得到从不同维度进行度量的结果,将多个模型的结果进行综合,即可从多个维度对终端设备进行可信度度量。
可选地,参见图4,在图3所示装置的基础上,所述装置300还包括:
第三计算模块360,用于将所述设备指纹信息输入第三参数度量模型,得到第三参数度量结果,所述第三参数度量模型为稳定性度量模型、安全性度量模型、易用性度量模型中不同于所述第一参数度量模型和第二参数度量模型的模型。
这样一来,增加了一维对设备指纹信息的分析标准,可以从另一个方面对设备的可信度进行度量。如此,通过增加可信度度量的评判标准,可以提高最终得到的可信度度量结果的准确性。
可选地,参见图5,在图3所示装置的基础上,所述指纹整理模块320还包括:
完整性判断模块321,用于判断所述设备信息是否完整。
信息补全模块322,用于当所述设备信息不完整时,补全所述设备信息。
特征提取模块323,用于对所述完整的设备信息进行特征提取,得到所述设备指纹信息。
这样一来,可以通过网络或手动输入补充不完整的设备信息,并对完整的设备信息进行特征提取得到设备指纹信息,如此,得到的设备指纹信息具有终端设备完整的特征信息,对设备指纹信息进行处理即可得到的准确地可信度度量结果。
可选地,参见图6,在图3所示装置的基础上,所述可信度确定模块350还包括:
参数选择模块351,用于根据所述第一参数度量模型和第二参数度量模型的类型,从稳定性度量参数、安全性度量参数选择和易用性度量参数中选择第一度量参数和第二度量参数。
乘积计算模块352,用于根据所述第一度量参数和第一参数度量结果的乘积计算第一可信度度量结果,根据所述第二度量参数和第二参数度量结果的乘积计算第二可信度度量结果。
可信度计算模块353,用于根据所述第一可信度度量结果和所述第二可信度度量之和结果确定所述终端设备的可信度度量结果。
如此,根据参数度量模型的类型选择对应的度量参数,从而为第一、第二度量结果选择合适的权重,再结合相应的权重对第一、第二度量结果进行处理,可以确保最终得到的可信度度量结果准确无误。
本申请实施例中提到的“第一参数度量模型”、“第二参数度量模型”、“第一可信度度量结果”、“第二可信度度量结果”、“第一度量参数”、“第一度量参数”等名称中的“第一”、“第二”只是用来做名字标识,并不代表顺序上的第一、第二。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如只读存储器(英文:read-only memory,ROM)/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者诸如路由器等网络通信设备)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本申请示例性的实施方式,并非用于限定本申请的保护范围。