[发明专利]一种基于端侧边缘计算的云网端协同防御方法及系统

说明书

本发明公开了一种基于端侧边缘计算的云网端协同防御方法及系统，涉及电力工控系统的信息安全。方法包括：在终端侧设置边缘计算中心，采集工控系统终端设备信息和通信流量信息，利用设备指纹对电力工控终端的属性特征进行定义与标识，利用Nmap扫描方法自动采集电力工控终端设备指纹，决策树算法建立训练模型，实现终端设备指纹动态认证；通过设置交换机镜像、智能监测主机流量控制、云计算中心训练流量基线，实现工控终端设备流量异常检测，实现基于边缘计算的“云端”协同防御技术。通过流量数据采集、信息熵量化流量特征属性预处理、改进的半监督聚类K‑means算法训练，实现电力工控内网异常流量检测，实现了基于异常流量检测的“云网”实时防御。

技术领域

本发明涉及电力工控系统的信息安全保护，具体涉及一种基于端侧边缘计算的云网端协同防御方法及系统。

背景技术

随着智能电网迅猛发展，电力工控系统本身的安全问题也日趋严峻。近年来电力工控系统安全事件频发，尤其是“震网”“火焰”“毒区”等APT攻击的出现，充分反映出工控系统信息安全所面临的形势的严峻性。

工控系统终端设备由于位于工控系统的边缘、形态的多样性、特征的复杂性，使得其往往成为了攻击者们首要目标，利用非法接入的工控终端攻击或入侵服务器和其他合法设备，从而挑战整个工控系统安全体系。传统工控终端易仿冒的根源在于终端识别信息的静态性。常规的工控终端认证方案通常采用设备ID、用户ID、IP地址等信息进行认证。设备ID、用户ID的静态性，IP地址、MAC地址的开放性，均使得上述信息容易被黑客扫描、读取并仿冒。

在工业控制系统网络和移动互联网两网融合趋势下，攻击者一旦突破电力工控系统网络安全防护边界，就会给工控网络造成极大的破坏。目前智能变电站网络异常流量检测需要有能够镜像流量的交换机进行配合，将镜像的流量进行捕获，从而得到原始的报文信息，再通过对这些原始报文进行简单统计从而得到流量是否异常，当异常时会发送异常情况给远方调度系统，并将这些报文进行存储。这种检测方式的缺陷是：检测异常只是在端口镜像交换机进行报文比对，只能对比通信数据包的数量、长度、协议，并没有根据云平台对数据包进行解析，训练而得出通信数据包的特征，误报率和检测率效果都不是很好。公开号为CN106357622A的专利申请公开了基于软件定义网络的网络异常流量检测防御系统，软件定义网络与传统网络对异常流量的检测方法大有不同，使得传统的检测方法不再适用，通过运用网络控制平面和数据平面分离的思想，软件定义网络为研发网络新应用和处理网络安全问题提供了新的解决方案。然而，软件定义网络只是站在单个网络会话的角度去度量是否异常，并没有站在设备的角度去整体度量流量是否异常，不能从源头保证接入正常。

目前，对于电力工控系统安全防御取得了很多研究成果，为电力工控系统安全防御提供了解决方案。但是，工控系统需要低延迟、实时网络控制，云计算中心随着计算业务的增多，服务模式也以实时处理工控系统设备产生的海量数据，由于工控系统设备产生的海量数据，数据全都给云计算中心运算分析，不能保证实时性，需要基于边缘计算和云计算平台协同工作，然而现有技术中尚未见到这样方案提出。

发明内容

发明目的：针对现有技术的不足，本发明提供了一种基于端侧边缘计算的云网端协同防御方法，提高电力工控系统应对攻击的能力。

本发明的另一目的是提供一种基于端侧边缘计算的云网端协同防御系统。

技术方案：根据本发明实施例的第一方面，提供一种基于端侧边缘计算的云网端协同防御方法，包括以下步骤：

利用设置于电力工控系统终端侧的边缘计算中心采集工控系统终端设备信息，根据终端设备信息建立设备指纹，将设备指纹发送至云计算中心，云计算中心建立设备指纹识别模型，根据设备指纹识别模型对电力工控系统的终端设备进行智能动态认证；