(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111491099.6 (22)申请日 2021.12.08 (71)申请人 广东电网有限责任公司 地址 510600 广东省广州市越秀区东 风东 路757号 (72)发明人 曾纪钧　龙震岳　张小陆　梁哲恒　 (74)专利代理 机构 南京禹为知识产权代理事务 所(特殊普通 合伙) 32272 代理人 沈鑫 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种从多维度识别异常业务的终端安全接 入控制方法 (57)摘要 本发明公开了一种从多维度识别异常业务 的终端安全接入控制方法， 包括， 利用终端标识 对边缘终端和云中心进行双向身份认证； 根据终 端流量对边缘终端的身份进行鉴别和分类； 根据 分类结果对边缘终端进行监控分析， 预测边缘终 端是否异常； 本发明根据终端标识、 终端流量以 及终端行为模式进行多维度判断， 从而识别仿冒 终端和异常终端， 并自动对这些终端或流量进行 阻断和隔离， 提升系统安全防护的智能化水平。 权利要求书2页 说明书6页 附图1页 CN 114389838 A 2022.04.22 CN 114389838 A 1.一种从多维度识别异常业 务的终端安全接入 控制方法， 其特 征在于： 包括， 利用终端标识对边 缘终端和云中心进行双向身份认证； 根据终端流 量对边缘终端的身份进行鉴别和分类； 根据分类结果对边 缘终端进行监控分析， 预测边 缘终端是否异常。 2.如权利要求1所述的从多维度识别异常业务的终端安全接入控制方法， 其特征在于： 双向身份认证包括， 所述边缘终端向所述云中心发送 认证请求； 所述云中心根据认证请求验证签名信息与发送的信息是否一致， 若一致， 则计算会话 密钥， 通过所述会话密钥对时间戳进行加密， 并向云中心返回确认信息： {Et(tC||tEN)}， 其 中， Et(tC||tEN)为会话密钥加密收到的时间戳； 若不一致， 则向云中心返回边 缘终端认证不 通过的消息 。 3.如权利要求2所述的从多维度识别异常业务的终端安全接入控制方法， 其特征在于： 包括， 认证请求的格式如下： {SingEN||PKc(VIDEN||VIDC||tEN)} 其中， VIDEN为所述边缘终端； VIDC为所述云中心， PKc为云中心的公钥， tEN为时间戳， SingEN为边缘终端的身份标识。 4.如权利要求2或3所述的从多维度识别异常业务的终端安全接入控制方法， 其特征在 于： 包括， 根据下式计算会话密钥k： k＝H3(N) N＝N’ ‑SingENM； 其中， H为解密函数， N为加密后的边缘终端的公钥， M为边缘终端的密钥， N ’为边缘终端 的公钥。 5.如权利要求4所述的从多维度识别异常业务的终端安全接入控制方法， 其特征在于： 包括， 所述发送的信息为： {SingC||PKpub‑EN(VIDEN||VIDC||tEN||tC||M||N’)} 其中， SingC为云中心的身份标识， PKpub‑EN为边缘终端的公钥， tC为云中心加密时间戳。 6.如权利要求5所述的从多维度识别异常业务的终端安全接入控制方法， 其特征在于： 鉴别包括， 将静态流量特征的各个字段由字符串量化为数字， 并进行归一化处理， 获得特征向量 fknown和funknown； 利用余弦公式求得余弦相似度scs为： scs＝(fknownfunknown)/(|fknown||funknown|) 设定阈值， 当scs大于所述阈值时认为边缘终端的身份为合法终端， 允许入网； 否则禁止 入网； 其中， 静态流量特征的各个字段包括MAC地址、 终端类型、 ip地址、 开放端口号、 操作系 统、 供应商、 版本及网卡信息 。权　利　要　求　书 1/2 页 2 CN 114389838 A 27.如权利要求5或6所述的从多维度识别异常业务的终端安全接入控制方法， 其特征在 于： 分类包括， 当边缘终端信息通过所有类别的过滤器后， 统计该边缘终端在各类别上的票数， 若某 一类票数占总票数的5 0％以上， 则将该终端划为 票数最高一类； 否则定义为未知类型终端， 记录当前票数最高的一类， 并通过SVM算法对其进行分类， 将SVM算法分类的结果保存为PCAP文件。 8.如权利要求7所述的从多维度识别异常业务的终端安全接入控制方法， 其特征在于： 包括， 通过提取PCAP文件中的前60个数据包中的IAT和包负载长度， 计算IAT和包负载长度的 7种统计特性Fx： Fx＝{xmax， xmin， xq1， xq2， xq3， xmean， xvar} 其中， xmax为最大值， xmin为最小值， xq1为下4分位数， xq2为中位数， xq3为上4分位数， xmean 为平均数， xvar为方差。 9.如权利要求8所述的从多维度识别异常业务的终端安全接入控制方法， 其特征在于： 监控分析包括， 根据7种统计特性Fx和边缘终端的网络 行为标签， 对不同行业物联网终端进行离群点检 测， 分行业标注 异常样本点； 建立训练集， 根据所述训练集构建 分类器， 预测边 缘终端是否异常。 10.如权利要求9所述的从多维度识别异常业务的终端安全接入控制方法， 其特征在 于： 包括， 对样本集D进行聚类； 计算每个样本的离群因子， 将离群因子较大的对象判定为离群点； 假设样本集D被聚类算法划分为k个簇C＝{ C1,C2,…CK}， 样本x的离群因子OF(x)则被定 义为样本x与所有簇间距离的加权平均值： 计算所有样本离群因子均值AVG_OF及离群因子标准差STD_OF， 从而得到离群因子阈值 THRESHOLD_OF： THRESHOLD_OF＝A VG_OF+β·STD_OF 大于离群因子阈值THRESHOLD_OF的样本认为是异常样本， 否则， 则为正常样本， 根据所 述异常样本和正常样本建立训练集。权　利　要　求　书 2/2 页 3 CN 114389838 A 3