本发明属于网络安全领域,具体涉及一种基于多维属性的分布式终端实体身份标识方法及系统。
背景技术:
1、随着风能、太阳能、生物质能等新能源的不断发展,各类终端、系统并网点大幅增加,静态网络边界防护措施难以覆盖复杂的系统结构和应对不断变化的攻击手段。新能源电站终端种类繁多、数量庞大,面临着终端伪造、数据篡改等网络攻击风险。随着网络延伸扩展、边界逐渐模糊,基于静态地址的终端身份认证方法难以保证终端的可信性,缺乏对终端行为的监测和动态授权及访问控制。因此,确保准确识别新能源终端的唯一身份标识并能够动态的对权限进行授权管控成为新型电力系统源网互动发展最为重要的前提条件。
2、在现有技术中,基于静态地址的终端身份认证方法难以保证终端的可信性,缺乏对终端行为的监测和动态授权及访问控制,新能源电站面临终端安全接入风险。其中一种方法是使用加密哈希函数,将新能源终端实体的属性值作为输入,并生成一个固定长度的哈希值作为标识符。另一种方法是使用分布式账本技术,如区块链,将实体的属性信息存储在分布式网络中,并使用链上的唯一标识符来表示实体身份。然而,现有技术也存在一些问题和缺点。首先,属性的选择和组合可能存在主观性和不一致性,这可能导致标识符的唯一性受到影响。其次,对于分布式账本技术,存在存储和传输大量属性数据的挑战,以及链上数据的隐私和安全性问题。此外,技术的实施和采用也需要广泛的合作和标准化;随着新能源迅速发展,分布式新能源并网需求大幅增加。传统的静态性、同构性和确定性的安全防护架构难以应对网络边界模糊化、攻击手段自动化的形势。
3、随着集中式与分布式并举的新能源发电设施大力发展,当前新能源电源侧及其并网系统的防护存在较大隐患,其网络的静态属性导致在集团式、大规模网络攻击面前抵御能力较弱。若攻击者以新能源侧系统为主要攻击目标,将可能影响电力安全稳定供应,迫切需要形成面向新能源电站终端、集控站、安防设施等对象的高效、便捷、易推广的防护新模式。
技术实现思路
1、鉴于上述现有存在的问题,提出了本发明。本发明提出了一种基于多维属性的分布式终端实体身份标识方法及系统,该方法及系统通过将分布式电源侧的终端实体的多维属性结合起来形成唯一的标识符,以确保在网络中对实体进行准确的身份识别,从而实现新能源电站分布式电源终端安全高效的接入、细粒度精细化访问控制和快速的安全事件监测响应,支撑新型电力系统安全防护能力提升。
2、为解决上述技术问题,提出了一种基于多维属性的分布式终端实体身份标识方法,包括,
3、识别网络中的存活设备,通过两个扫描空间维度对存活设备的探测的顺序进行规划;若设备存活,则提取网络存活设备中实体终端特征与行为要素信息;基于提取网络存活设备中实体终端特征与行为要素信息,对网络实体的行为特征进行隐式表示,并与实体终端的属性要素特征结合作为不同维度,构建网络实体的唯一身份标识进行身份多维度刻画与身份识别。
4、作为本发明所述的一种基于多维属性的分布式终端实体身份标识方法的一种优选方案,其中:所述识别网络中的存活设备包括采用无状态端口探测目标终端,扫描器向目标终端发送syn探测包并不阻塞等待响应的报文,所述syn探测包中包含目标终端ip的消息校验码和本次探测的随机探测编码数据包,并置于报文中任意字段,目标终端接收探测包和编码数据包,并回复响应报文syn+ack,扫描器接收响应报文并发送rst关闭连接,扫描器提取响应报文中标识信息包括提取目标ip和目标终端ip的消息校验码值进行比对,并检查随机探测编码数据包是否有篡改痕迹,判断当前报文是否属于扫描器响应报文以及端口状态,其中,syn为半连接请求包,syn+ack为半连接确认加请求包,rst为重置包。
5、若扫描器接收到目标终端的syn+ack响应,表明端口是开放的且目标终端存活,目标终端正在监听该端口上的连接请求并检查随机探测编码数据包是否有篡改痕迹,与目标终端建立连接,进行身份识别,如果扫描器接收到的是一个rst响应,表明端口是关闭的且目标终端存活,目标终端没有在当前目标端口上监听连接请求,并检查随机探测编码数据包是否有篡改痕迹,判断是否为无影响端口,若端口不处在目标终端业务流程中且端口未被授权,则继续保持端口关闭并取消当前端口探测,若端口处在目标终端业务流程中且端口被授权,则发送继续发送探测包和端口请求开放的报文,等待端口回应。
6、其中,当扫描器接收响应时,响应时间不超过3秒时,认为目标终端存活状态活跃,存活状态强,允许进行与目标终端的连接,当扫描器接收响应时,响应时间超过3秒,认为目标终端存活状态不活跃,存活状态弱,并进行重复探测和历史数据确认,检测故障并修复后重新发送探测包和编码数据包,若存活状态为不活跃,则放弃当前端口,重新探测。
7、若扫描器没有收到任何响应,但目标终端存在,表明端口被网络中的防火墙和安全设备过滤,导致探测包或响应包被丢弃,此时扫描器将随机探测编码数据包发送给防火墙或安全设备进行登记,并重新发送向目标终端发送syn探测包,若此时还是没有响应,判断目标设备不存活,通知工作人员进行维修检查并放弃当前端口,重新探测。
8、当随机探测编码数据包改变且有篡改痕迹时,系统认为探测过程出现攻击行为,存在安全隐患,属于危险阶段,不进行标识信息对比,扫描器发送rst关闭连接,同时发送关闭目标终端的指令,防止攻击数据进入。
9、当随机探测编码数据包没有篡改痕迹时,系统认为过程中没有出现被攻击行为,属于安全阶段,对比标识信息,提取目标ip和目标终端ip的消息校验码值相匹配且消息校验码值与探测包中的值一致,判断为当前响应报文属于扫描器的响应报文,如果响应报文中的目标ip与扫描器发送的syn探测包的目标ip不匹配,或消息校验码值与探测包中的值不一致,则判断为该响应报文不属于扫描器的响应报文,此外,如果响应报文超出了扫描器预期的响应时间窗口ttest,也判断为不属于扫描器的响应报文。
10、作为本发明所述的一种基于多维属性的分布式终端实体身份标识方法的一种优选方案,其中:所述对探测的顺序进行规划包括采用随机探针生成技术从目标ip地址和端口两个扫描空间维度,相邻发送的探针数据包不允许发送至同一网段和同一个目标地址,对探测的顺序进行规划:
11、
12、基于二维正态分布的概率密度函数计算探测函数p(i,j):
13、
14、结果函数表达为:
15、
16、其中,s(i,j)为扫描顺序函数,表示i号ip地址和j号端口的扫描顺序;p(i,j)为探测函数,表示探测i号ip地址和j号端口的概率;r(i,j)为结果函数,表示探测i号ip地址和j号端口的结果;i为目标ip地址的数量,j为端口的数量,sin(·)和cos(·)分别用于将ip地址和端口映射到周期函数上,ηi、ηj、和ρ分别是ip地址和端口分布的均值、标准差和相关性,θi和θj是调整参数。
17、根据s(i,j)的值由大至小进行优先级排序,s(i,j)越大,表示i号ip地址和j号端口的扫描顺序越靠前,并建立所述最优探测模型对全网目标按优先级顺序进行探测:
18、
19、其中,w(u,v)表示最优探测模型,值越高表示探测效果越好,值越低表示探测效果越差,重新更新;u和v分别代表目标ip地址和端口两个扫描空间维度,u0和v0别表示扫描空间的初始值,n和m分别表示在ip地址和端口维度上的探测次数,αn表示ip地址第n次探测的效率或成功率,βn表示ip地址探测信号在ip地址空间中的衰减速率,γn代表目标ip地址的特定特征值,δn用于调整ip地址探测函数的形状的调节系数,∈n代表ip地址探测信号受环境因素影响的程度,ωn表示ip地址探测函数的中心位置,αm表示端口维度第m次探测的效率或成功率,βm描述探测信号在端口空间中的衰减速率,γm代表端口维度目标端口的特定特征,δm用于调整端口维度探测函数的形状的调节系数,∈m表示端口维度探测信号受环境因素影响的程度,ωm表示端口维度探测函数的中心位置,s代表在ip地址维度上的探测过程中的某一具体ip地址的位置,t代表在端口维度上的探测过程中的某一具体端口的位置。
20、作为本发明所述的一种基于多维属性的分布式终端实体身份标识方法的一种优选方案,其中:所述提取网络实体终端特征与行为要素信息包括将构成实体身份的要素分为两类,第一类为终端属性要素,第二类为终端行为要素。
21、所述终端属性要素包括操作系统属性和设备类型属性,操作系统属性包括ip/mac地址、端口号、协议类型,设备类型属性通过nmap主动扫描技术和are自动化搜索框架提取包括功能信息、软件硬件信息、厂商与型号信息。
22、所述终端行为要素包括终端在一段时间内的行为表现,利用网络流量分析检测电网设备在网络中的行为模式的网络行为和流量内容属性、数据包发送速率,由接收端特定的硬件结合信道状态信息提取信道状态信息csi。
23、基于网络行为和流量内容属性、信道状态信息csi、操作系统属性和设备类型属性的四类终端要素进行四维高强度身份标识。
24、作为本发明所述的一种基于多维属性的分布式终端实体身份标识方法的一种优选方案,其中:所述构建唯一网络实体身份标识包括利用深度学习中的transformer模型对网络实体的行为特征进行隐式表示,对提取到的终端行为要素矩阵(f1,f2,f3,……,fm)进行初始位置标记填充,在序列的开头添加一个cls标记,表示序列的起始位置,填充得到(cls,f1,f2,f3,……,fm),经过输入数据向量化处理将其转换为向量矩阵(xcls,x1,x2,x3,……,xm),其中,m为提取终端行为的时间长度。
25、通过位置编码方式为序列中每个输入向量引入位置信息,即通过位置映射函数posenc(p,i)将代表时间顺序的索引值映射到一个向量上,再与向量矩阵中当前位置对应的向量相加,表示当前位置的输入向量,为终端行为要素引入时序特征:
26、
27、将引入时序特征的向量矩阵输入transformer模型中,向量经过transformer模型的隐藏层输出(c,t1,t2,t3,…,tm),其中,c为模型分析所得的终端行为隐式表示,将获得的隐式表示c与终端属性要素特征结合作为不同维度,经过使用激励函数的全连接层,全连接层的输出作为输出层的输入,完成对输入数据的分类,构建网络实体身份唯一标识a。
28、利用信道状态信息辅助生成唯一身份标识b,获取到信道状态信息矩阵后进行归一化处理,从归一化处理之后的csi数据中提取幅度和相位两个特征,参与之后的全连接层计算,生成信道状态信息对应的身份标识b,与上述过程产生的标识a一起对网络实体画像,构成最终唯一身份标识z。
29、作为本发明所述的一种基于多维属性的分布式终端实体身份标识方法的一种优选方案,其中:所述全连接层计算包括,
30、
31、其中,b是生成的信道状态信息对应的身份标识,r是幅度特征,rk表示第k个数据点的幅度,rmin和rmax分别是幅度的最小值和最大值,φ是相位特征,φk表示第k个数据点的相位,φmin和φmax分别是相位的最小值和最大值,l和k分别是幅度和相位数据点的数量,λ和κ是调整参数,rref是参考幅度,是相位特征φk映射到复数平面的实部,r'k是经过对数变换的幅度特征,r'k=log(1+rk),γ表示增强较小幅值的信号,ζ表示分析相位的分布特性。
32、身份标识b与标识a一起对网络实体画像,构成最终唯一身份标识z:
33、
34、其中,z为最终唯一身份标识,f为整合函数将各部分信息结合形成最终标识,μ为c的均值,σ2为c的方差,ω代表所有可能的属性组合,q为属性组合的数量,q为求和的索引变量,ψ为结合隐式表示和终端属性特征的函数:
35、
36、其中,cq和aq分别为第i个属性组合的隐式表示和标识,λo为第j个属性的权重参数,o为属性特征的数量。
37、作为本发明所述的一种基于多维属性的分布式终端实体身份标识方法的一种优选方案,其中:所述身份多维度刻画与身份识别包括收集扩充生物指纹、软硬件特征信息、运行状态、环境上下文的属性和行为特征信息进行用户身份验证,系统将收集到的所有数据综合评估并利用无线通信中的信道特征,进行多维度刻画,将刻画结果进行匹配计算和最终唯一身份标识z进行识别,如果身份标识z检验通过且刻画结果的匹配得分超过0.8,用户成功通过身份验证,如果身份标识z检验不通过且刻画结果匹配得分小于0.8,身份验证不通过,拒绝访问,系统将启动二次验证过程,系统要求用户提供额外的身份证明包括接收短信验证码、进行生物识别验证,用户完成二次验证后,如果验证成功,将获得访问权限,如果失败,系统将记录事件并锁定账户,进行快速的安全事件检测响应,在信道条件良好时提高匹配得分阈值,在信道条件较差时降低匹配得分阈值。
38、本发明的另外一个目的是提供了一种基于多维属性的分布式终端实体身份标识系统,本发明为了在网络环境中实现高效且安全的终端实体身份识别与管理,通过整合无状态端口探测技术、深度学习、transformer模型、信道状态信息csi以及其他多维属性信息,系统解决了传统身份识别方法在复杂网络环境中存在的局限性问题,例如设备状态的难以判断、行为特征的不可靠以及单一身份标识的易被篡改性。
39、系统利用无状态端口探测技术准确判断网络设备的存活状态,通过扫描空间优化探测技术提高探测效率。同时,提取并分析网络实体的属性与行为特征,采用深度学习中的transformer模型对行为特征进行隐式表示,并与属性特征结合,构建出唯一的网络实体身份标识。
40、系统提高身份标识的唯一性和难以被篡改性,而且通过多维度刻画和匹配计算对用户身份的高精度验证,并且系统在确保安全性的同时,也提升了身份识别的效率和准确性,达到对网络实体全面监控和管理的效果,为网络安全和设备管理提供了强有力的技术支撑。
41、作为本发明所述的一种基于多维属性的分布式终端实体身份标识系统的一种优选方案,其特征在于,包括存活状态判断与探测规划模块、特征与行为信息提取模块以及身份标识构建模块。
42、所述存活状态判断与探测规划模块,识别网络中的存活设备,通过两个扫描空间维度对存活设备的探测的顺序进行规划。
43、所述特征与行为信息提取模块,若设备存活,则提取网络存活设备中实体终端特征与行为要素信息。
44、所述身份标识构建模块,基于提取网络存活设备中实体终端特征与行为要素信息,对网络实体的行为特征进行隐式表示,并与实体终端的属性要素特征结合作为不同维度,构建网络实体的唯一身份标识进行身份多维度刻画与身份识别。
45、一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现一种基于多维属性的分布式终端实体身份标识所述的方法的步骤。
46、一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现一种基于多维属性的分布式终端实体身份标识所述的方法的步骤。
47、本发明的有益效果:本发明基于网络行为和流量内容属性、信道状态信息csi、操作系统属性和设备类型属性这四类属性行为特征,实现网络空间终端设备安全、人员安全、应用/服务安全和操作安全四维高强度身份标识;扩充生物指纹、软硬件特征信息、运行状态、环境上下文等属性和行为特征,并利用无线通信中的信道特征,实现对网络空间访问人员、应用、终端设备的多维度刻画与身份鉴别。
48、融合零信任理念,扩充生物指纹、软硬件特征信息、运行状态、环境上下文等属性和行为特征;利用了无线通信中的信道特征,实现对网络空间访问人员、应用、终端设备的多维度刻画与身份鉴别;更充分的要素提取,使用transformer模型可以有效地融合和处理这些多模态特征,捕捉输入特征之间的关系和依赖关系;具有更好的鲁棒性和可扩展性,与现有技术相比,进行了更充分的要素提取,并且使用transformer模型可以有效地融合和处理这些多模态特征,捕捉输入特征之间的关系和依赖关系。
49、本发明是为了弥补分布式新能源电源侧及其并网系统的防御体系薄弱的不足,解决新能源电站安全防护安全性和经济性之间的平衡的问题。
1.一种基于多维属性的分布式终端实体身份标识方法,其特征在于:包括,
2.如权利要求1所述的一种基于多维属性的分布式终端实体身份标识方法,其特征在于:所述识别网络中的存活设备包括采用无状态端口探测目标终端,扫描器向目标终端发送syn探测包并不阻塞等待响应的报文,所述syn探测包中包含目标终端ip的消息校验码和本次探测的随机探测编码数据包,并置于报文中任意字段,目标终端接收探测包和编码数据包,并回复响应报文syn+ack,扫描器接收响应报文并发送rst关闭连接,扫描器提取响应报文中标识信息包括提取目标ip和目标终端ip的消息校验码值进行比对,并检查随机探测编码数据包是否有篡改痕迹,判断当前报文是否属于扫描器响应报文以及端口状态,其中,syn为半连接请求包,syn+ack为半连接确认加请求包,rst为重置包;
3.如权利要求2所述的一种基于多维属性的分布式终端实体身份标识方法,其特征在于:所述对探测的顺序进行规划包括采用随机探针生成技术从目标ip地址和端口两个扫描空间维度,相邻发送的探针数据包不允许发送至同一网段和同一个目标地址,对探测的顺序进行规划:
4.如权利要求3所述的一种基于多维属性的分布式终端实体身份标识方法,其特征在于:所述提取网络实体终端特征与行为要素信息包括将构成实体身份的要素分为两类,第一类为终端属性要素,第二类为终端行为要素;
5.如权利要求4所述的一种基于多维属性的分布式终端实体身份标识方法,其特征在于:所述构建唯一网络实体身份标识包括利用深度学习中的transformer模型对网络实体的行为特征进行隐式表示,对提取到的终端行为要素矩阵(f1,f2,f3,……,fm)进行初始位置标记填充,在序列的开头添加一个cls标记,表示序列的起始位置,填充得到(cls,f1,f2,f3,……,fm),经过输入数据向量化处理将其转换为向量矩阵(xcls,x1,x2,x3,……,xm),其中,m为提取终端行为的时间长度;
6.如权利要求5所述的一种基于多维属性的分布式终端实体身份标识方法,其特征在于:所述全连接层计算包括,
7.如权利要求6所述的一种基于多维属性的分布式终端实体身份标识方法,其特征在于:所述身份多维度刻画与身份识别包括收集扩充生物指纹、软硬件特征信息、运行状态、环境上下文的属性和行为特征信息进行用户身份验证,系统将收集到的所有数据综合评估并利用无线通信中的信道特征,进行多维度刻画,将刻画结果进行匹配计算和最终唯一身份标识z进行识别,如果身份标识z检验通过且刻画结果的匹配得分超过0.8,用户成功通过身份验证,如果身份标识z检验不通过且刻画结果匹配得分小于0.8,身份验证不通过,拒绝访问,系统将启动二次验证过程,系统要求用户提供额外的身份证明包括接收短信验证码、进行生物识别验证,用户完成二次验证后,如果验证成功,将获得访问权限,如果失败,系统将记录事件并锁定账户,进行快速的安全事件检测响应,在信道条件良好时提高匹配得分阈值,在信道条件较差时降低匹配得分阈值。
8.一种采用如权利要求1~7任一所述的一种基于多维属性的分布式终端实体身份标识方法的系统,其特征在于:包括存活状态判断与探测规划模块、特征与行为信息提取模块以及身份标识构建模块;
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
