CN114389838A - 一种从多维度识别异常业务的终端安全接入控制方法 - Google Patents
一种从多维度识别异常业务的终端安全接入控制方法 Download PDFInfo
- Publication number
- CN114389838A CN114389838A CN202111491099.6A CN202111491099A CN114389838A CN 114389838 A CN114389838 A CN 114389838A CN 202111491099 A CN202111491099 A CN 202111491099A CN 114389838 A CN114389838 A CN 114389838A
- Authority
- CN
- China
- Prior art keywords
- terminal
- edge
- control method
- access control
- multiple dimensions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 44
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 7
- 238000012544 monitoring process Methods 0.000 claims abstract description 6
- 238000012549 training Methods 0.000 claims description 9
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 claims description 6
- CPJSUEIXXCENMM-UHFFFAOYSA-N phenacetin Chemical compound CCOC1=CC=C(NC(C)=O)C=C1 CPJSUEIXXCENMM-UHFFFAOYSA-N 0.000 claims description 6
- 108010064775 protein C activator peptide Proteins 0.000 claims description 6
- 230000003068 static effect Effects 0.000 claims description 6
- MKIMSXGUTQTKJU-UHFFFAOYSA-N Propamocarb hydrochloride Chemical compound [Cl-].CCCOC(=O)NCCC[NH+](C)C MKIMSXGUTQTKJU-UHFFFAOYSA-N 0.000 claims description 3
- 238000012790 confirmation Methods 0.000 claims description 3
- 238000010606 normalization Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 claims description 2
- 239000000203 mixture Substances 0.000 claims 6
- 239000002994 raw material Substances 0.000 claims 6
- 238000003860 storage Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013450 outlier detection Methods 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 238000010187 selection method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种从多维度识别异常业务的终端安全接入控制方法,包括,利用终端标识对边缘终端和云中心进行双向身份认证;根据终端流量对边缘终端的身份进行鉴别和分类;根据分类结果对边缘终端进行监控分析,预测边缘终端是否异常;本发明根据终端标识、终端流量以及终端行为模式进行多维度判断,从而识别仿冒终端和异常终端,并自动对这些终端或流量进行阻断和隔离,提升系统安全防护的智能化水平。
Description
技术领域
本发明涉及终端控制的技术领域,尤其涉及一种从多维度识别异常业务的终端安全接入控制方法。
背景技术
针对终端安全接入的技术,传统的有PKI公钥,它是一套支持实体鉴别,系统化可扩展公钥分发方法的完整的安全基础设施。但是PKI无法支持对数量庞大终端的证书维护和密钥的管理备份;边缘侧设备接入接出频繁,认证中心亦需频繁更新证书列表;并且在份认证过程中,证书的认证过程开销较多,对于资源受限的边缘侧设备并不适用。另外有学者提出一种基于机器学习的终端安全策略选择方法,边缘侧设备每次可以从n种安全策略中选取一种或者多种安全策略对终端进行保护,但采用机器学习方法等按各终端量化值进行选择,需要满足预设阈值,并且在机器学习机的性能评价值不能满足预设阈值,需要提前时间重新进行训练。无论哪种方法,都只是采用了单一的安全接入措施,在终端数量和产生的数据量都在指数级增长的背景下,不能保证终端安全接入的可靠性。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有存在的问题,提出了本发明。
为解决上述技术问题,本发明提供如下技术方案:包括,利用终端标识对边缘终端和云中心进行双向身份认证;根据终端流量对边缘终端的身份进行鉴别和分类;根据分类结果对边缘终端进行监控分析,预测边缘终端是否异常。
作为本发明所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案,其中:双向身份认证包括,所述边缘终端向所述云中心发送认证请求;所述云中心根据认证请求验证签名信息与发送的信息是否一致,若一致,则计算会话密钥,通过所述会话密钥对时间戳进行加密,并向云中心返回确认信息:{Et(tC||tEN)},其中,Et(tC||tEN)为会话密钥加密收到的时间戳;若不一致,则向云中心返回边缘终端认证不通过的消息。
作为本发明所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案,其中:包括,认证请求的格式如下:
{SingEN||PKc(VIDEN||VIDC||tEN)}
其中,VIDEN为所述边缘终端;VIDC为所述云中心,PKc为云中心的公钥,tEN为时间戳,SingEN为边缘终端的身份标识。
作为本发明所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案,其中:包括,根据下式计算会话密钥k:
k=H3(N)
N=N’-SingENM;
其中,H为解密函数,N为加密后的边缘终端的公钥,M为边缘终端的密钥,N’为边缘终端的公钥。
作为本发明所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案,其中:包括,所述发送的信息为:
{SingC||PKpub-EN(VIDEN||VIDC||tEN||tC||M||N’)}
其中,SingC为云中心的身份标识,PKpub-EN为边缘终端的公钥,tC为云中心加密时间戳。
作为本发明所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案,其中:鉴别包括,将静态流量特征的各个字段由字符串量化为数字,并进行归一化处理,获得特征向量fknown和funknown;利用余弦公式求得余弦相似度scs为:
scs=(fknownfunknown)/(|fknown||funknown|)
设定阈值,当scs大于所述阈值时认为边缘终端的身份为合法终端,允许入网;否则禁止入网;
其中,静态流量特征的各个字段包括MAC地址、终端类型、ip地址、开放端口号、操作系统、供应商、版本及网卡信息。
作为本发明所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案,其中:分类包括,当边缘终端信息通过所有类别的过滤器后,统计该边缘终端在各类别上的票数,若某一类票数占总票数的50%以上,则将该终端划为票数最高一类;否则定义为未知类型终端,记录当前票数最高的一类,并通过SVM算法对其进行分类,将SVM算法分类的结果保存为PCAP文件。
作为本发明所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案,其中:包括,通过提取PCAP文件中的前60个数据包中的IAT和包负载长度,计算IAT和包负载长度的7种统计特性Fx:
Fx={xmax,xmin,xq1,xq2,xq3,xmean,xvar}
其中,xmax为最大值,xmin为最小值,xq1为下4分位数,xq2为中位数,xq3为上4分位数,xmean为平均数,xvar为方差。
作为本发明所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案,其中:监控分析包括,根据7种统计特性Fx和边缘终端的网络行为标签,对不同行业物联网终端进行离群点检测,分行业标注异常样本点;建立训练集,根据所述训练集构建分类器,预测边缘终端是否异常。
作为本发明所述的从多维度识别异常业务的终端安全接入控制方法的一种优选方案,其中:包括,对样本集D进行聚类;计算每个样本的离群因子,将离群因子较大的对象判定为离群点;假设样本集D被聚类算法划分为k个簇C={C1,C2,…CK},样本x的离群因子OF(x)则被定义为样本x与所有簇间距离的加权平均值:
计算所有样本离群因子均值AVG_OF及离群因子标准差STD_OF,从而得到离群因子阈值THRESHOLD_OF:
THRESHOLD_OF=AVG_OF+β·STD_OF
大于离群因子阈值THRESHOLD_OF的样本认为是异常样本,否则,则为正常样本,根据所述异常样本和正常样本建立训练集。
本发明的有益效果:本发明根据终端标识、终端流量以及终端行为模式进行多维度判断,从而识别仿冒终端和异常终端,并自动对这些终端或流量进行阻断和隔离,提升系统安全防护的智能化水平。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明第一个实施例所述的从多维度识别异常业务的终端安全接入控制方法的流程示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1,为本发明的第一个实施例,该实施例提供了一种从多维度识别异常业务的终端安全接入控制方法,包括:
S1:利用终端标识对边缘终端和云中心进行双向身份认证。
当边缘终端VIDEN想要接入网络时,首先向云中心发送认证请求,进行双向身份认证,具体的,
(1)边缘终端向云中心发送认证请求;
认证请求的格式如下:
{SingEN||PKc(VIDEN||VIDC||tEN)}
其中,VIDEN为边缘终端;VIDC为云中心,PKc为云中心的公钥,tEN为时间戳,SingEN为边缘终端的身份标识。
较佳的是,发送时间戳可防止攻击者伪装成边缘终端对云中心发起重放攻击。
(2)云中心根据认证请求验证签名信息与发送的信息是否一致。
发送的信息为:
{SingC||PKpub-EN(VIDEN||VIDC||tEN||tC||M||N’)}
其中,SingC为云中心的身份标识,PKpub-EN为边缘终端的公钥,tC为云中心加密时间戳。
①若一致,则计算会话密钥,通过会话密钥对时间戳进行加密,并向云中心返回确认信息:{Et(tC||tEN)},其中,Et(tC||tEN)为会话密钥加密收到的时间戳;
根据下式计算会话密钥k:
k=H3(N)
N=N’-SingENM;
其中,H为解密函数,N为加密后的边缘终端的公钥,M为边缘终端的密钥,N’为边缘终端的公钥。
②若不一致,则向云中心返回边缘终端认证不通过的消息。
验证通过后保存会话密钥k为后续通信加密,至此完成双向身份认证。
S2:根据终端流量对边缘终端的身份进行鉴别和分类。
(1)鉴别
将静态流量特征的各个字段由字符串量化为数字,并进行归一化处理,获得特征向量fknown和funknown;
利用余弦公式求得余弦相似度scs为:
scs=(fknownfunknown)/(|fknown||funknown|)
设定阈值,根据阈值来判断指纹结果是否合法;通过反复实验,为了得到一个较低的误报率和漏报率,本实施例将阈值设置为93%,当scs大于93%时认为边缘终端的身份为合法终端,允许入网;否则禁止入网;
其中,静态流量特征的各个字段包括MAC地址、终端类型、ip地址、开放端口号、操作系统、供应商、版本及网卡信息。
(2)分类
当边缘终端信息通过所有类别的过滤器后,统计该边缘终端在各类别上的票数,若某一类票数占总票数的50%以上,则将该终端划为票数最高一类;
否则定义为未知类型终端,记录当前票数最高的一类,并通过SVM算法对其进行分类,将SVM算法分类的结果保存为PCAP文件。
较佳的是,本实施例采用概率模式输出分类结果,有效减少误报率。
S3:根据分类结果对边缘终端进行监控分析,预测边缘终端是否异常。
(1)通过提取PCAP文件中的前60个数据包中的IAT和包负载长度,计算IAT和包负载长度的7种统计特性Fx:
Fx={xmax,xmin,xq1,xq2,xq3,xmean,xvar}
其中,xmax为最大值,xmin为最小值,xq1为下4分位数,xq2为中位数,xq3为上4分位数,xmean为平均数,xvar为方差。
(2)根据7种统计特性Fx和边缘终端的网络行为标签,对不同行业物联网终端进行离群点检测,分行业标注异常样本点;
①对样本集D进行聚类。
②计算每个样本的离群因子,将离群因子较大的对象判定为离群点;
③假设样本集D被聚类算法划分为k个簇C={C1,C2,…CK},样本x的离群因子OF(x)则被定义为样本x与所有簇间距离的加权平均值:
④计算所有样本离群因子均值AVG_OF及离群因子标准差STD_OF,从而得到离群因子阈值THRESHOLD_OF:
THRESHOLD_OF=AVG_OF+β·STD_OF
⑤大于离群因子阈值THRESHOLD_OF的样本认为是异常样本,否则,则为正常样本,根据异常样本和正常样本建立训练集。
(3)建立训练集,根据训练集构建分类器,预测边缘终端是否异常。
实施例2
为了对本方法中采用的技术效果加以验证说明,本实施例选择传统的技术方案和采用本方法进行对比测试,以科学论证的手段对比试验结果,以验证本方法所具有的真实效果。
为验证本方法相对传统的技术方案对终端异常具有较高的检测性能,本实施例中将采用传统的技术方案和本方法分别对1000个边缘终端进行实时检测,结果如下表所示。
表1:边缘终端检测结果。
正常边缘终端识别率 | 异常边缘终端识别率 | |
传统的技术方案 | 86.7% | 84.5% |
本方法 | 93.6% | 97.2% |
由上表可见,本方法对边缘终端的状态识别率要高于传统的技术方案。
应当认识到,本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现,其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
进一步,所述方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时,本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时,本发明还包括计算机本身。计算机程序能够应用于输入数据以执行本文所述的功能,从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中,转换的数据表示物理和有形的对象,包括显示器上产生的物理和有形对象的特定视觉描绘。
如在本申请所使用的,术语“组件”、“模块”、“系统”等等旨在指代计算机相关实体,该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如,组件可以是,但不限于是:在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例,在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中,并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外,这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如,来自一个组件的数据,该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它系统进行交互)的信号,以本地和/或远程过程的方式进行通信。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种从多维度识别异常业务的终端安全接入控制方法,其特征在于:包括,
利用终端标识对边缘终端和云中心进行双向身份认证;
根据终端流量对边缘终端的身份进行鉴别和分类;
根据分类结果对边缘终端进行监控分析,预测边缘终端是否异常。
2.如权利要求1所述的从多维度识别异常业务的终端安全接入控制方法,其特征在于:双向身份认证包括,
所述边缘终端向所述云中心发送认证请求;
所述云中心根据认证请求验证签名信息与发送的信息是否一致,若一致,则计算会话密钥,通过所述会话密钥对时间戳进行加密,并向云中心返回确认信息:{Et(tC||tEN)},其中,Et(tC||tEN)为会话密钥加密收到的时间戳;
若不一致,则向云中心返回边缘终端认证不通过的消息。
3.如权利要求2所述的从多维度识别异常业务的终端安全接入控制方法,其特征在于:包括,
认证请求的格式如下:
{SingEN||PKc(VIDEN||VIDC||tEN)}
其中,VIDEN为所述边缘终端;VIDC为所述云中心,PKc为云中心的公钥,tEN为时间戳,SingEN为边缘终端的身份标识。
4.如权利要求2或3所述的从多维度识别异常业务的终端安全接入控制方法,其特征在于:包括,
根据下式计算会话密钥k:
k=H3(N)
N=N’-SingENM;
其中,H为解密函数,N为加密后的边缘终端的公钥,M为边缘终端的密钥,N’为边缘终端的公钥。
5.如权利要求4所述的从多维度识别异常业务的终端安全接入控制方法,其特征在于:包括,
所述发送的信息为:
{SingC||PKpub-EN(VIDEN||VIDC||tEN||tC||M||N’)}
其中,SingC为云中心的身份标识,PKpub-EN为边缘终端的公钥,tC为云中心加密时间戳。
6.如权利要求5所述的从多维度识别异常业务的终端安全接入控制方法,其特征在于:鉴别包括,
将静态流量特征的各个字段由字符串量化为数字,并进行归一化处理,获得特征向量fknown和funknown;
利用余弦公式求得余弦相似度scs为:
scs=(fknownfunknown)/(|fknown||funknown|)
设定阈值,当scs大于所述阈值时认为边缘终端的身份为合法终端,允许入网;否则禁止入网;
其中,静态流量特征的各个字段包括MAC地址、终端类型、ip地址、开放端口号、操作系统、供应商、版本及网卡信息。
7.如权利要求5或6所述的从多维度识别异常业务的终端安全接入控制方法,其特征在于:分类包括,
当边缘终端信息通过所有类别的过滤器后,统计该边缘终端在各类别上的票数,若某一类票数占总票数的50%以上,则将该终端划为票数最高一类;
否则定义为未知类型终端,记录当前票数最高的一类,并通过SVM算法对其进行分类,将SVM算法分类的结果保存为PCAP文件。
8.如权利要求7所述的从多维度识别异常业务的终端安全接入控制方法,其特征在于:包括,
通过提取PCAP文件中的前60个数据包中的IAT和包负载长度,计算IAT和包负载长度的7种统计特性Fx:
Fx={xmax,xmin,xq1,xq2,xq3,xmean,xvar}
其中,xmax为最大值,xmin为最小值,xq1为下4分位数,xq2为中位数,xq3为上4分位数,xmean为平均数,xvar为方差。
9.如权利要求8所述的从多维度识别异常业务的终端安全接入控制方法,其特征在于:监控分析包括,
根据7种统计特性Fx和边缘终端的网络行为标签,对不同行业物联网终端进行离群点检测,分行业标注异常样本点;
建立训练集,根据所述训练集构建分类器,预测边缘终端是否异常。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111491099.6A CN114389838B (zh) | 2021-12-08 | 2021-12-08 | 一种从多维度识别异常业务的终端安全接入控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111491099.6A CN114389838B (zh) | 2021-12-08 | 2021-12-08 | 一种从多维度识别异常业务的终端安全接入控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114389838A true CN114389838A (zh) | 2022-04-22 |
CN114389838B CN114389838B (zh) | 2024-08-09 |
Family
ID=81195590
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111491099.6A Active CN114389838B (zh) | 2021-12-08 | 2021-12-08 | 一种从多维度识别异常业务的终端安全接入控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114389838B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150379253A1 (en) * | 2014-05-19 | 2015-12-31 | Kadenze, Inc. | User Identity Authentication Techniques for On-Line Content or Access |
CN106228178A (zh) * | 2016-07-06 | 2016-12-14 | 吴本刚 | 网络用户行为预测系统 |
US20190220967A1 (en) * | 2018-01-15 | 2019-07-18 | Tata Consultancy Services Limited | Systems and methods for automated inferencing of changes in spatio-temporal images |
CN112073379A (zh) * | 2020-08-12 | 2020-12-11 | 国网江苏省电力有限公司南京供电分公司 | 一种基于边缘计算的轻量级物联网安全密钥协商方法 |
-
2021
- 2021-12-08 CN CN202111491099.6A patent/CN114389838B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150379253A1 (en) * | 2014-05-19 | 2015-12-31 | Kadenze, Inc. | User Identity Authentication Techniques for On-Line Content or Access |
CN106228178A (zh) * | 2016-07-06 | 2016-12-14 | 吴本刚 | 网络用户行为预测系统 |
US20190220967A1 (en) * | 2018-01-15 | 2019-07-18 | Tata Consultancy Services Limited | Systems and methods for automated inferencing of changes in spatio-temporal images |
CN112073379A (zh) * | 2020-08-12 | 2020-12-11 | 国网江苏省电力有限公司南京供电分公司 | 一种基于边缘计算的轻量级物联网安全密钥协商方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114389838B (zh) | 2024-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113574838B (zh) | 通过客户端指纹过滤互联网流量的系统和方法 | |
US10104061B2 (en) | Method and system for distinguishing humans from machines and for controlling access to network services | |
US20180204215A1 (en) | Detecting electronic intruders via updatable data structures | |
US8312521B2 (en) | Biometric authenticaton system and method with vulnerability verification | |
CN109299135A (zh) | 基于识别模型的异常查询识别方法、识别设备及介质 | |
US20230086187A1 (en) | Detection of anomalies associated with fraudulent access to a service platform | |
CN112581259B (zh) | 账户风险识别方法及装置、存储介质、电子设备 | |
CN112182519A (zh) | 一种计算机存储系统安全访问方法及访问系统 | |
JP7014898B2 (ja) | Id認証方法、装置、サーバ及びコンピュータ読み取り可能な媒体 | |
CN107046516B (zh) | 一种识别移动终端身份的风控控制方法及装置 | |
CN112069242B (zh) | 基于大数据和云计算的数据处理方法及大数据服务平台 | |
WO2019143360A1 (en) | Data security using graph communities | |
CN111783073A (zh) | 黑产识别方法、装置及可读存储介质 | |
CN114826946A (zh) | 未授权访问接口的检测方法、装置、设备及存储介质 | |
WO2019159809A1 (ja) | アクセス分析システム及びアクセス分析方法 | |
CN114389838A (zh) | 一种从多维度识别异常业务的终端安全接入控制方法 | |
US10003464B1 (en) | Biometric identification system and associated methods | |
CN114329516A (zh) | 一种智慧交通数据保护方法及系统 | |
CN113452648A (zh) | 检测网络攻击的方法、装置、设备和计算机可读介质 | |
US10467403B1 (en) | Methods and apparatus for evaluating classification performance of risk engine models | |
EP4016924A1 (en) | Risk-aware access control system and related methods | |
CN115967542B (zh) | 基于人因的入侵检测方法、装置、设备及介质 | |
CN114221824B (zh) | 一种私域网络的安全访问控制方法、系统和可读存储介质 | |
CN117201144A (zh) | 基于人工智能的请求处理方法、装置、设备及存储介质 | |
CN117910010A (zh) | 一种分布式安全存储方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |