CN115802357A

CN115802357A - 一种5g配电网馈线自动化控制方法、装置及存储介质

Info

Publication number: CN115802357A
Application number: CN202310077582.2A
Authority: CN
Inventors: 张磐; 徐科; 郑悦; 吴磊; 梁海深; 刘明祥; 张腾飞; 周霞; 王录泽; 孙建东; 蔡月明
Original assignee: State Grid Corp of China SGCC; State Grid Tianjin Electric Power Co Ltd; Electric Power Research Institute of State Grid Tianjin Electric Power Co Ltd; Nanjing University of Posts and Telecommunications; NARI Nanjing Control System Co Ltd
Current assignee: State Grid Corp of China SGCC; State Grid Tianjin Electric Power Co Ltd; Electric Power Research Institute of State Grid Tianjin Electric Power Co Ltd; Nanjing University of Posts and Telecommunications; NARI Nanjing Control System Co Ltd
Priority date: 2023-02-08
Filing date: 2023-02-08
Publication date: 2023-03-14
Anticipated expiration: 2043-02-08
Also published as: CN115802357B

Abstract

本发明公开了一种5G配电网馈线自动化控制方法、装置及存储介质，所述方法包括：响应5G配电网中馈线自动化终端的资源访问请求，并对馈线自动化终端进行身份认证；身份认证成功后，采集馈线自动化终端的馈线自动化参数；基于实际高斯信任集计算第一信任期望和第一信任方差；基于理论高斯信任集计算第二信任期望和第二信任方差；分别分析信任期望和信任方差的相似度，并根据相似度确定馈线自动化终端的信任度；将信任度与预设的信任度阈值区间比较，根据比较结果进行馈线自动化控制。本发明能够解决现有5G配电网存在以合法馈线自动化终端作为跳板攻击内网等风险问题，阻断病毒在内部网络中的横向攻击，从而降低5G配电网馈线自动化控制的安全风险。

Description

一种5G配电网馈线自动化控制方法、装置及存储介质

技术领域

本发明涉及馈线自动化技术领域，尤其涉及一种5G配电网馈线自动化控制方法、装置及存储介质。

背景技术

馈线自动化是一种重要的配电网故障自愈控制技术，通过检测故障、隔离故障、最后再恢复供电的方式来提升供电可靠性。通信是实现馈线自动化的关键环节，目前智能分布式馈线终端在农村和城郊等不便铺设光纤的区域的应用仍受到制约。5G通信具有高带宽、低时延和海量连接等特点，可以为馈线终端提供超低时延的通信网络保证。

然而，馈线自动化5G网络依然存在如下安全风险：在能源物联网的大背景下，智能分布式馈线终端越来越多、所处位置环境复杂、情况多变，使得网络安全边界越来越模糊，造成原来物理隔离的网络安全边界逐渐瓦解。现有的网络防火墙和密钥认证方法虽然能在网关处杜绝非法用户的访问，但是却无法约束已经入网的用户的行为，“一次认证、始终信任”容易导致电力合法终端被利用，存在以合法终端作为跳板进入内网发起攻击的风险，无法保证馈线自动化控制指令的正确转发。

发明内容

本发明所要解决的技术问题在于，提供一种5G配电网馈线自动化控制方法、装置及存储介质，能够解决现有5G配电网存在以合法馈线自动化终端作为跳板攻击内网等风险问题，阻断病毒在内部网络中的横向攻击，从而降低5G配电网馈线自动化控制的安全风险。

为了实现上述目的，本发明实施例提供了一种5G配电网馈线自动化控制方法，包括：

响应5G配电网中馈线自动化终端的资源访问请求，并对所述馈线自动化终端进行身份认证；

当身份认证成功后，通过滑动窗口采集若干个时间周期所述馈线自动化终端的馈线自动化参数；其中，所述馈线自动化参数包括平均故障定位准确率、平均负荷恢复速率、平均负荷转供能力、平均故障隔离成功率、平均馈线自动化终端误码率、平均馈线自动化终端传输时延、平均馈线自动化终端成功访问频率、平均馈线自动化终端控制报文重放攻击次数、平均馈线自动化终端发送可疑数据包频率以及平均馈线自动化终端渗透次数；

基于预设的实际高斯信任集计算所述实际高斯信任集的第一信任期望和第一信任方差；基于预设的理论高斯信任集计算所述理论高斯信任集的第二信任期望和第二信任方差；

分析所述第一信任期望与所述第二信任期望之间的第一相似度以及所述第一信任方差与所述第二信任方差之间的第二相似度，并根据所述第一相似度和所述第二相似度确定所述馈线自动化终端的信任度；

将所述馈线自动化终端的信任度与预设的信任度阈值区间进行比较，根据比较结果进行馈线自动化控制。

作为上述方案的改进，所述方法还包括：

根据所述馈线自动化参数对信任度的影响，将所述馈线自动化参数划分为正向参数和逆向参数；其中，所述正向参数与所述信任度呈正相关，所述逆向参数与所述信任度呈负相关；所述正向参数包括所述平均故障定位准确率、所述平均负荷恢复速率、所述平均负荷转供能力、所述平均故障隔离成功率以及所述平均馈线自动化终端成功访问频率；所述逆向参数包括所述平均馈线自动化终端误码率、所述平均馈线自动化终端传输时延、所述平均馈线自动化终端控制报文重放攻击次数、所述平均馈线自动化终端发送可疑数据包频率以及所述平均馈线自动化终端渗透次数；

根据公式

对所述正向参数和所述逆向参数进行归一化处理；

式中，

为第i类馈线自动化参数中第j个实际值，

为第i类馈线自动化参数的最小值，

为第i类馈线自动化参数的最大值，

为归一化后第i类馈线自动化参数中第j个输出值，且

。

作为上述方案的改进，所述基于预设的实际高斯信任集计算所述实际高斯信任集的第一信任期望和第一信任方差，具体包括：

构建实际高斯信任集

，其中，所述实际高斯信任集

包括m个实际高斯信任子集

；

根据所述馈线自动化参数计算m个实际高斯信任子集的信任期望为：

式中，

为第i个实际高斯信任子集的信任期望，

为第i类馈线自动化参数对应的信任值，

；

根据所述馈线自动化参数计算m个实际高斯信任子集的信任方差为：

式中，

为第i个实际高斯信任子集的信任方差，

为归一化后第i类馈线自动化参数中第j个输出值；

根据所述实际高斯信任子集的信任期望计算所述实际高斯信任集

的第一信任期望为：

；根据所述实际高斯信任子集的信任方差计算所述实际高斯信任集

的第一信任方差为：

；

式中，

为第i类馈线自动化参数的权重系数，

。

作为上述方案的改进，所述基于预设的理论高斯信任集计算所述理论高斯信任集的第二信任期望和第二信任方差，具体包括：

根据访问资源的机密程度将信任值分割为L个区间，构建理论高斯信任集

；其中，所述理论高斯信任集

包括与L个区间相对应的L个理论高斯信任子集

；

根据所述馈线自动化参数计算L个理论高斯信任子集的信任期望为：

；

根据所述馈线自动化参数计算L个理论高斯信任子集的信任方差为：

；

式中，I _imax、I _imin分别为每个区间的最大值和最小值；

根据所述理论高斯信任子集的信任期望计算所述理论高斯信任集

的第二信任期望为：

；根据所述理论高斯信任子集的信任方差计算所述理论高斯信任集

的第二信任方差为：

；

式中，

为第i类馈线自动化参数的权重系数，

。

作为上述方案的改进，所述根据所述第一相似度和所述第二相似度确定所述馈线自动化终端的信任度，具体包括：

将第一相似度最高和第二相似度最高的理论高斯信任子集所表示的信任值作为所述馈线自动化终端的信任度。

作为上述方案的改进，所述将所述馈线自动化终端的信任度与预设的信任度阈值区间进行比较，根据比较结果进行馈线自动化控制，具体包括：

将所述馈线自动化终端的信任度与预设的信任度阈值区间进行比较；

若所述馈线自动化终端的信任度落入第一信任度阈值区间，则将所述馈线自动化终端定义为恶意用户，拒绝所述馈线自动化终端进行馈线自动化控制；

若所述馈线自动化终端的信任度落入第二信任度阈值区间，则将所述馈线自动化终端定义为普通用户，允许所述馈线自动化终端进行低级馈线自动化控制；

若所述馈线自动化终端的信任度落入第三信任度阈值区间，则将所述馈线自动化终端定义为可信用户，允许所述馈线自动化终端进行中级馈线自动化控制；

若所述馈线自动化终端的信任度落入第四信任度阈值区间，则将所述馈线自动化终端定义为高可信用户，允许所述馈线自动化终端进行高级馈线自动化控制。

作为上述方案的改进，所述预设的信任度阈值的计算公式为：

式中，TS _V为信任阈值，g为访问资源的机密程度，共有L个机密级别，

为访问资源所在的网段，共有

个网段，

值越大说明访问资源越靠近内网，且

，

为访问第

个网段的资源所需的最小特权，访问的资源越靠近内网则

越大，且

，

为访问最高机密资源时所需要的信任值，且

。

本发明实施例还提供了一种5G配电网馈线自动化控制装置，包括：

身份认证模块，用于响应5G配电网中馈线自动化终端的资源访问请求，并对所述馈线自动化终端进行身份认证；

参数采集模块，用于当身份认证成功后，通过滑动窗口采集若干个时间周期所述馈线自动化终端的馈线自动化参数；其中，所述馈线自动化参数包括平均故障定位准确率、平均负荷恢复速率、平均负荷转供能力、平均故障隔离成功率、平均馈线自动化终端误码率、平均馈线自动化终端传输时延、平均馈线自动化终端成功访问频率、平均馈线自动化终端控制报文重放攻击次数、平均馈线自动化终端发送可疑数据包频率以及平均馈线自动化终端渗透次数；

计算模块，用于基于预设的实际高斯信任集计算所述实际高斯信任集的第一信任期望和第一信任方差；基于预设的理论高斯信任集计算所述理论高斯信任集的第二信任期望和第二信任方差；

分析模块，用于分析所述第一信任期望与所述第二信任期望之间的第一相似度以及所述第一信任方差与所述第二信任方差之间的第二相似度，并根据所述第一相似度和所述第二相似度确定所述馈线自动化终端的信任度；

控制模块，用于将所述馈线自动化终端的信任度与预设的信任度阈值区间进行比较，根据比较结果进行馈线自动化控制。

本发明实施例还提供了一种5G配电网馈线自动化控制装置，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时实现上述任一项所述的5G配电网馈线自动化控制方法。

本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述任一项所述的5G配电网馈线自动化控制方法。

相对于现有技术，本发明实施例提供的一种5G配电网馈线自动化控制方法、装置及存储介质的有益效果在于：通过响应5G配电网中馈线自动化终端的资源访问请求，并对所述馈线自动化终端进行身份认证；当身份认证成功后，通过滑动窗口采集若干个时间周期所述馈线自动化终端的馈线自动化参数；其中，所述馈线自动化参数包括平均故障定位准确率、平均负荷恢复速率、平均负荷转供能力、平均故障隔离成功率、平均馈线自动化终端误码率、平均馈线自动化终端传输时延、平均馈线自动化终端成功访问频率、平均馈线自动化终端控制报文重放攻击次数、平均馈线自动化终端发送可疑数据包频率以及平均馈线自动化终端渗透次数；基于预设的实际高斯信任集计算所述实际高斯信任集的第一信任期望和第一信任方差；基于预设的理论高斯信任集计算所述理论高斯信任集的第二信任期望和第二信任方差；分析所述第一信任期望与所述第二信任期望之间的第一相似度以及所述第一信任方差与所述第二信任方差之间的第二相似度，并根据所述第一相似度和所述第二相似度确定所述馈线自动化终端的信任度；将所述馈线自动化终端的信任度与预设的信任度阈值区间进行比较，根据比较结果进行馈线自动化控制。本发明实施例能够解决现有5G配电网存在以合法馈线自动化终端作为跳板攻击内网等风险问题，阻断病毒在内部网络中的横向攻击，从而降低5G配电网馈线自动化控制的安全风险。

附图说明

图1是本发明提供的一种5G配电网馈线自动化控制方法的一个优选实施例的流程示意图；

图2是本发明提供的一种5G配电网馈线自动化控制装置的一个优选实施例的结构示意图；

图3是本发明提供的一种5G配电网馈线自动化控制装置的另一个优选实施例的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，图1是本发明提供的一种5G配电网馈线自动化控制方法的一个优选实施例的流程示意图。所述5G配电网馈线自动化控制方法，包括：

S1，响应5G配电网中馈线自动化终端的资源访问请求，并对所述馈线自动化终端进行身份认证；

S2，当身份认证成功后，通过滑动窗口采集若干个时间周期所述馈线自动化终端的馈线自动化参数；其中，所述馈线自动化参数包括平均故障定位准确率、平均负荷恢复速率、平均负荷转供能力、平均故障隔离成功率、平均馈线自动化终端误码率、平均馈线自动化终端传输时延、平均馈线自动化终端成功访问频率、平均馈线自动化终端控制报文重放攻击次数、平均馈线自动化终端发送可疑数据包频率以及平均馈线自动化终端渗透次数；

S3，基于预设的实际高斯信任集计算所述实际高斯信任集的第一信任期望和第一信任方差；基于预设的理论高斯信任集计算所述理论高斯信任集的第二信任期望和第二信任方差；

S4，分析所述第一信任期望与所述第二信任期望之间的第一相似度以及所述第一信任方差与所述第二信任方差之间的第二相似度，并根据所述第一相似度和所述第二相似度确定所述馈线自动化终端的信任度；

S5，将所述馈线自动化终端的信任度与预设的信任度阈值区间进行比较，根据比较结果进行馈线自动化控制。

具体的，本发明实施例响应5G配电网中馈线自动化终端发出的的资源访问请求，并对馈线自动化终端进行身份认证。当身份认证失败，则拒绝馈线自动化终端的资源访问请求。当身份认证成功后，通过滑动窗口采集若干个时间周期馈线自动化终端的馈线自动化参数。馈线自动化参数包括m类参数，每类参数采集n个数据。m类参数分别为平均故障定位准确率x1、平均负荷恢复速率x2、平均负荷转供能力x3、平均故障隔离成功率x4、平均馈线自动化终端误码率x5、平均馈线自动化终端传输时延x6、平均馈线自动化终端成功访问频率x7、平均馈线自动化终端控制报文重放攻击次数x8、平均馈线自动化终端发送可疑数据包频率x9以及平均馈线自动化终端渗透次数x10。其中，平均故障定位准确率x1、平均负荷恢复速率x2、平均负荷转供能力x3、平均故障隔离成功率x4为故障自愈控制参数；平均馈线自动化终端误码率x5、平均馈线自动化终端传输时延x6为5G通信行为参数；平均馈线自动化终端成功访问频率x7、平均馈线自动化终端控制报文重放攻击次数x8、平均馈线自动化终端发送可疑数据包频率x9、平均馈线自动化终端渗透次数x10安全行为参数。在采集到上述馈线自动化参数后，基于预设的实际高斯信任集计算实际高斯信任集的第一信任期望和第一信任方差；基于预设的理论高斯信任集计算理论高斯信任集的第二信任期望和第二信任方差。分析第一信任期望与第二信任期望之间的第一相似度以及第一信任方差与第二信任方差之间的第二相似度，并根据第一相似度和第二相似度确定馈线自动化终端的信任度。将馈线自动化终端的信任度与预设的信任度阈值区间进行比较，根据比较结果进行馈线自动化控制。

本实施例能够解决现有5G配电网存在以合法馈线自动化终端作为跳板攻击内网等风险问题，阻断病毒在内部网络中的横向攻击，从而降低5G配电网馈线自动化控制的安全风险。

在另一个优选实施例中，所述方法还包括：

根据公式

对所述正向参数和所述逆向参数进行归一化处理；

式中，

为第i类馈线自动化参数中第j个实际值，

为第i类馈线自动化参数的最小值，

为第i类馈线自动化参数的最大值，

为归一化后第i类馈线自动化参数中第j个输出值，且

。

具体的，本发明实施例在采集到馈线自动化终端的馈线自动化参数后，根据馈线自动化参数对信任度的影响，将馈线自动化参数划分为正向参数和逆向参数。其中，正向参数与信任度呈正相关，逆向参数与信任度呈负相关；正向参数包括平均故障定位准确率、平均负荷恢复速率、平均负荷转供能力、平均故障隔离成功率以及平均馈线自动化终端成功访问频率；逆向参数包括平均馈线自动化终端误码率、平均馈线自动化终端传输时延、平均馈线自动化终端控制报文重放攻击次数、平均馈线自动化终端发送可疑数据包频率以及平均馈线自动化终端渗透次数。然后，根据公式

对正向参数和逆向参数分别进行归一化处理。式中，

为第i类馈线自动化参数中第j个实际值，

为第i类馈线自动化参数的最小值，

为第i类馈线自动化参数的最大值，

为归一化后第i类馈线自动化参数中第j个输出值，且

。

在又一个优选实施例中，所述基于预设的实际高斯信任集计算所述实际高斯信任集的第一信任期望和第一信任方差，具体包括：

构建实际高斯信任集

，其中，所述实际高斯信任集

包括m个实际高斯信任子集

；

式中，

为第i个实际高斯信任子集的信任期望，

为第i类馈线自动化参数对应的信任值，

；

式中，

为第i个实际高斯信任子集的信任方差，

为归一化后第i类馈线自动化参数中第j个输出值；

的第一信任期望为：

的第一信任方差为：

；

式中，

为第i类馈线自动化参数的权重系数，

。

具体的，本发明实施例在基于预设的实际高斯信任集计算实际高斯信任集的第一信任期望和第一信任方差时，首先构建实际高斯信任集

，其中，实际高斯信任集

包括m个实际高斯信任子集

。根据公式

计算每类参数数据的期望；式中，

为第m类参数数据的期望。再将每类参数数据的期望量化为信任值，量化公式为：

；

式中，

为量化后第i类参数对应的信任值，对于正向参数，

为采集时间内采集到正向参数数据个数占总采集数据个数的百分比；对于逆向参数，

为采集时间内采集到逆向参数数据个数占总采集数据个数的百分比。

根据馈线自动化参数计算m个实际高斯信任子集的信任期望为：

式中，

为第i个实际高斯信任子集的信任期望，

为第i类馈线自动化参数对应的信任值，

；

根据馈线自动化参数计算m个实际高斯信任子集的信任方差为：

式中，

为第i个实际高斯信任子集的信任方差，

为归一化后第i类馈线自动化参数中第j个输出值；

根据实际高斯信任子集的信任期望计算实际高斯信任集

的第一信任期望为：

；根据实际高斯信任子集的信任方差计算实际高斯信任集

的第一信任方差为：

；

式中，

为第i类馈线自动化参数的权重系数，

。

在又一个优选实施例中，所述基于预设的理论高斯信任集计算所述理论高斯信任集的第二信任期望和第二信任方差，具体包括：

；其中，所述理论高斯信任集

包括与L个区间相对应的L个理论高斯信任子集

；

；

；

式中，I _imax、I _imin分别为每个区间的最大值和最小值；

的第二信任期望为：

的第二信任方差为：

；

式中，

为第i类馈线自动化参数的权重系数，

。

具体的，本发明实施例在基于预设的理论高斯信任集计算所述理论高斯信任集的第二信任期望和第二信任方差时，为实现细粒度访问控制，首先根据访问资源的机密程度将信任值分割为L个区间，构建理论高斯信任集

。其中，理论高斯信任集

包括与L个区间相对应的L个理论高斯信任子集

。每个区间的最大值、最小值分别为I _imax、I _imin，其中,i= 1,2, ... ,L。

根据馈线自动化参数计算L个理论高斯信任子集的信任期望为：

；

根据馈线自动化参数计算L个理论高斯信任子集的信任方差为：

；

式中，I _imax、I _imin分别为每个区间的最大值和最小值；

根据理论高斯信任子集的信任期望计算理论高斯信任集

的第二信任期望为：

；根据理论高斯信任子集的信任方差计算理论高斯信任集

的第二信任方差为：

；

式中，

为第i类馈线自动化参数的权重系数，

。

在又一个优选实施例中，所述根据所述第一相似度和所述第二相似度确定所述馈线自动化终端的信任度，具体包括：

具体的，本发明实施例使用作差法或作商法比较实际高斯信任集Y和L个理论高斯信任子集X _i的期望相似度（第一相似度）和方差相似度（第二相似度），确定期望与方差最接近实际高斯信任集Y的理论高斯信任子集X _i，将该理论高斯信任子集的期望作为馈线自动化终端的信任度。示例性的，用作差法或作商法比较实际高斯信任集Y和L个理论高斯信任子集X _i的期望相似度和方差相似度的方法如下：

作差法：比较实际高斯信任集Y和L个理论高斯信任子集X _i的期望差的绝对值

和方差差的绝对值

，选取使得这两个绝对值接近于0的理论高斯信任子集X _i。

作商法：比较实际高斯信任集Y和L个理论高斯信任子集X _i的期望的比值

和方差的比值

，选取使得这两个比值接近于1的理论高斯信任子集X _i。

选取期望与方差最接近实际高斯信任集Y的理论高斯信任子集X _i的期望

作为馈线自动化终端的信任度TD。

在又一个优选实施例中，所述将所述馈线自动化终端的信任度与预设的信任度阈值区间进行比较，根据比较结果进行馈线自动化控制，具体包括：

在又一个优选实施例中，所述预设的信任度阈值的计算公式为：

为访问资源所在的网段，共有

个网段，

值越大说明访问资源越靠近内网，且

，

为访问第

个网段的资源所需的最小特权，访问的资源越靠近内网则

越大，且

，

为访问最高机密资源时所需要的信任值，且

。

具体的，根据公式

计算信任阈值，确定信任度阈值区间。将馈线自动化终端的信任度与预设的信任度阈值区间进行比较，根据比较结果进行馈线自动化控制。若馈线自动化终端的信任度落入第一信任度阈值区间，则将馈线自动化终端定义为恶意用户，拒绝馈线自动化终端进行馈线自动化控制；若馈线自动化终端的信任度落入第二信任度阈值区间，则将馈线自动化终端定义为普通用户，允许馈线自动化终端进行低级馈线自动化控制；若馈线自动化终端的信任度落入第三信任度阈值区间，则将馈线自动化终端定义为可信用户，允许馈线自动化终端进行中级馈线自动化控制；若馈线自动化终端的信任度落入第四信任度阈值区间，则将馈线自动化终端定义为高可信用户，允许馈线自动化终端进行高级馈线自动化控制。

示例性的，本发明实施例将机密级别设为3个等级，

设为0.9，假设w= 10，访问的资源处于第10个网段上，S ₁₀= 0.9，P ₁₀= 0.9。根据公式

计算可得访问位于第10个网段上的Ⅰ级机密资源的信任阈值为0.66，访问Ⅱ级机密资源的信任阈值为0.8，访问最高级机密资源的信任阈值为定值0.9。

（1）当馈线自动化终端的信任度TD小于0.66时，则将该馈线自动化终端定义为恶意用户，由访问控制模块下发丢弃流表拒绝其访问馈线自动化5G网络。

（2）当馈线自动化终端的信任度TD大于等于0.66小于0.8时，则将该馈线自动化终端定义为普通用户，只允许其访问Ⅰ级机密资源，由访问控制模块下发短期允许流表允许其访问。

（3）当馈线自动化终端的信任度TD大于等于0.8小于0.9时，则将该馈线自动化终端定义为可信用户，允许其访问Ⅰ级机密资源和Ⅱ级机密资源，由访问控制模块下发短期允许流表允许其访问。

（4）当馈线自动化终端的信任度TD大于等于0.9时，则将该馈线自动化终端定义为高可信用户，允许其访问最高级机密资源，由访问控制模块下发长期允许流表允许其访问。

需要说明的是，针对普通用户、可信用户和高可信用户下发的流表具有有效时限，在流表失效后需再次评估馈线自动化终端的信任度，体现了零信任“从不信任，持续验证”的理念。当其重新被评估为普通用户时，并不完全禁止其访问馈线自动化5G网络，但禁止其访问高度机密资源；当其重新被评估为可信用户时，恢复其对馈线自动化5G网络的访问，但禁止其访问最高机密资源；当其重新被评估为高可信用户时，恢复其对馈线自动化5G网络所有资源的访问；当其重新被评估为恶意用户时，拒绝其继续访问馈线自动化5G网络。

本发明实施例通过对馈线自动化5G网络终端用户进行身份认证，再根据其信任度计算结果对其进行访问控制，并基于访问资源的机密程度和所在网段等参数动态确定信任阈值，实现对馈线自动化5G网络的细粒度访问，使用微隔离技术划分网段来阻断病毒在内部网络中的横向攻击，从而降低5G配电网馈线自动化控制的安全风险。

相应地，本发明还提供一种5G配电网馈线自动化控制装置，能够实现上述实施例中的5G配电网馈线自动化控制方法的所有流程。

请参阅图2，图2是本发明提供的一种5G配电网馈线自动化控制装置的一个优选实施例的结构示意图。所述5G配电网馈线自动化控制装置，包括：

身份认证模块201，用于响应5G配电网中馈线自动化终端的资源访问请求，并对所述馈线自动化终端进行身份认证；

参数采集模块202，用于当身份认证成功后，通过滑动窗口采集若干个时间周期所述馈线自动化终端的馈线自动化参数；其中，所述馈线自动化参数包括平均故障定位准确率、平均负荷恢复速率、平均负荷转供能力、平均故障隔离成功率、平均馈线自动化终端误码率、平均馈线自动化终端传输时延、平均馈线自动化终端成功访问频率、平均馈线自动化终端控制报文重放攻击次数、平均馈线自动化终端发送可疑数据包频率以及平均馈线自动化终端渗透次数；

计算模块203，用于基于预设的实际高斯信任集计算所述实际高斯信任集的第一信任期望和第一信任方差；基于预设的理论高斯信任集计算所述理论高斯信任集的第二信任期望和第二信任方差；

分析模块204，用于分析所述第一信任期望与所述第二信任期望之间的第一相似度以及所述第一信任方差与所述第二信任方差之间的第二相似度，并根据所述第一相似度和所述第二相似度确定所述馈线自动化终端的信任度；

控制模块205，用于将所述馈线自动化终端的信任度与预设的信任度阈值区间进行比较，根据比较结果进行馈线自动化控制。

优选地，所述装置还包括：

划分模块，用于根据所述馈线自动化参数对信任度的影响，将所述馈线自动化参数划分为正向参数和逆向参数；其中，所述正向参数与所述信任度呈正相关，所述逆向参数与所述信任度呈负相关；所述正向参数包括所述平均故障定位准确率、所述平均负荷恢复速率、所述平均负荷转供能力、所述平均故障隔离成功率以及所述平均馈线自动化终端成功访问频率；所述逆向参数包括所述平均馈线自动化终端误码率、所述平均馈线自动化终端传输时延、所述平均馈线自动化终端控制报文重放攻击次数、所述平均馈线自动化终端发送可疑数据包频率以及所述平均馈线自动化终端渗透次数；

归一化模块，用于根据公式

对所述正向参数和所述逆向参数进行归一化处理；

式中，

为第i类馈线自动化参数中第j个实际值，

为第i类馈线自动化参数的最小值，

为第i类馈线自动化参数的最大值，

为归一化后第i类馈线自动化参数中第j个输出值，且

。

优选地，所述基于预设的实际高斯信任集计算所述实际高斯信任集的第一信任期望和第一信任方差，具体包括：

构建实际高斯信任集

，其中，所述实际高斯信任集

包括m个实际高斯信任子集

；

式中，

为第i个实际高斯信任子集的信任期望，

为第i类馈线自动化参数对应的信任值，

；

式中，

为第i个实际高斯信任子集的信任方差，

为归一化后第i类馈线自动化参数中第j个输出值；

的第一信任期望为：

的第一信任方差为：

；

式中，

为第i类馈线自动化参数的权重系数，

。

优选地，所述基于预设的理论高斯信任集计算所述理论高斯信任集的第二信任期望和第二信任方差，具体包括：

；其中，所述理论高斯信任集

包括与L个区间相对应的L个理论高斯信任子集

；

；

；

式中，I _imax、I _imin分别为每个区间的最大值和最小值；

的第二信任期望为：

的第二信任方差为：

；

式中，

为第i类馈线自动化参数的权重系数，

。

优选地，所述根据所述第一相似度和所述第二相似度确定所述馈线自动化终端的信任度，具体包括：

优选地，所述控制模块205具体用于：

优选地，所述预设的信任度阈值的计算公式为：

为访问资源所在的网段，共有

个网段，

值越大说明访问资源越靠近内网，且

，

为访问第

个网段的资源所需的最小特权，访问的资源越靠近内网则

越大，且

，

为访问最高机密资源时所需要的信任值，且

。

在具体实施当中，本发明实施例提供的5G配电网馈线自动化控制装置的工作原理、控制流程及实现的技术效果，与上述实施例中的5G配电网馈线自动化控制方法对应相同，在此不再赘述。

请参阅图3，图3是本发明提供的一种5G配电网馈线自动化控制装置的另一个优选实施例的结构示意图。所述5G配电网馈线自动化控制装置包括处理器301、存储器302以及存储在所述存储器302中且被配置为由所述处理器301执行的计算机程序，所述处理器301执行所述计算机程序时实现上述任一实施例所述的5G配电网馈线自动化控制方法。

优选地，所述计算机程序可以被分割成一个或多个模块/单元（如计算机程序1、计算机程序2、……），所述一个或者多个模块/单元被存储在所述存储器302中，并由所述处理器301执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述5G配电网馈线自动化控制装置中的执行过程。

所述处理器301可以是中央处理单元（Central Processing Unit，CPU），还可以是其他通用处理器、数字信号处理器（Digital Signal Processor，DSP）、专用集成电路（Application SpecificIntegrated Circuit，ASIC）、现场可编程门阵列（Field-Programmable Gate Array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等，通用处理器可以是微处理器，或者所述处理器301也可以是任何常规的处理器，所述处理器301是所述5G配电网馈线自动化控制装置的控制中心，利用各种接口和线路连接所述5G配电网馈线自动化控制装置的各个部分。

所述存储器302主要包括程序存储区和数据存储区，其中，程序存储区可存储操作系统、至少一个功能所需的应用程序等，数据存储区可存储相关数据等。此外，所述存储器302可以是高速随机存取存储器，还可以是非易失性存储器，例如插接式硬盘，智能存储卡（Smart Media Card，SMC）、安全数字（Secure Digital，SD）卡和闪存卡（Flash Card）等，或所述存储器302也可以是其他易失性固态存储器件。

需要说明的是，上述5G配电网馈线自动化控制装置可包括，但不仅限于，处理器、存储器，本领域技术人员可以理解，图3的结构示意图仅仅是上述5G配电网馈线自动化控制装置的示例，并不构成对上述5G配电网馈线自动化控制装置的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件。

本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述任一实施例所述的5G配电网馈线自动化控制方法。

本发明实施例提供了一种5G配电网馈线自动化控制方法、装置及存储介质，通过响应5G配电网中馈线自动化终端的资源访问请求，并对所述馈线自动化终端进行身份认证；当身份认证成功后，通过滑动窗口采集若干个时间周期所述馈线自动化终端的馈线自动化参数；其中，所述馈线自动化参数包括平均故障定位准确率、平均负荷恢复速率、平均负荷转供能力、平均故障隔离成功率、平均馈线自动化终端误码率、平均馈线自动化终端传输时延、平均馈线自动化终端成功访问频率、平均馈线自动化终端控制报文重放攻击次数、平均馈线自动化终端发送可疑数据包频率以及平均馈线自动化终端渗透次数；基于预设的实际高斯信任集计算所述实际高斯信任集的第一信任期望和第一信任方差；基于预设的理论高斯信任集计算所述理论高斯信任集的第二信任期望和第二信任方差；分析所述第一信任期望与所述第二信任期望之间的第一相似度以及所述第一信任方差与所述第二信任方差之间的第二相似度，并根据所述第一相似度和所述第二相似度确定所述馈线自动化终端的信任度；将所述馈线自动化终端的信任度与预设的信任度阈值区间进行比较，根据比较结果进行馈线自动化控制。本发明实施例能够解决现有5G配电网存在以合法馈线自动化终端作为跳板攻击内网等风险问题，阻断病毒在内部网络中的横向攻击，从而降低5G配电网馈线自动化控制的安全风险。

需说明的是，以上所描述的系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本发明提供的系统实施例附图中，模块之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。