[发明专利]一种电力终端设备的安全访问评估方法及装置

说明书

本发明公开了一种电力终端设备的安全访问评估方法及装置，该方法用于在零信任网络中对终端设备的信任度和安全威胁进行持续评估，该方法在终端设备上安装采集探针，采集终端的安全状态，基于电力业务系统上服务器的网络连接关系构建网络拓扑图，并采用WL子树核算法将所构建的网络拓扑图转化为R‑跳的带权攻击树；针对接入的终端设备计算服务器节点R‑跳内的风险值，对带权攻击树进行剪枝，得到最终安全可访问的电力业务系统。本发明不仅考虑终端设备的安全状态，同时考虑终端设备在云端的访问权限、业务系统的安全防护能力等，并最终给出终端可以安全访问的最小安全业务集。

技术领域

本发明属于通信安全技术领域，具体涉及一种电力终端设备的安全访问评估方法及装置。

背景技术

在电力物联网场景下，传统的访问控制模型一般结合网络结构，采用静态部署、模块化的设计方法，未结合应用的业务流程和终端用户的行为特性，主要采取“一次认证、一次授权，长期有效”的防护措施，网络一旦被突破，攻击者将渗透到内部应用进行恶意操作。

发明内容

本发明的目的在于提供一种电力终端设备的安全访问评估方法及装置，使得业务系统可基于采集数据快速评估安全威胁，实现对终端设备的安全访问控制，提升电力物联网的安全接入与主动防御能力。

为达到上述目的，本发明采用的技术方案如下：

本发明提供一种基于图同构算法的快速终端安全访问评估方法，包括：

基于电力业务系统服务器的网络连接关系构建网络拓扑图；

将所构建的网络拓扑图转换为R-跳的带权攻击树，并计算带权攻击树中电力业务系统服务器的风险值；所述带权攻击树的顶点为接入的电力终端设备，其余节点为电力业务系统服务器；

基于电力业务系统服务器的风险值对R-跳的带权攻击树进行剪枝；

对剪枝后的R-跳的带权攻击树的节点进行安全访问。

进一步的，所述基于电力业务系统上服务器的网络连接关系构建网络拓扑图，包括：

周期性采集电力业务系统服务器的网络连接关系，根据解析的源地址和目的地址构建出服务器之间的网络拓扑关系；以所有电力业务系统服务器为节点，两台相连的电力业务系统服务器之间为边构建网络拓扑图；

将去重后的目的端口的数量将作为两个服务器之间网络拓扑图中边的权值，边的方向为服务器上网络连接的方向；

计算节点的权值为：

其中，G(h)表示服务器节点h的权值，k表示入度的系数，表示网络拓扑图中指向服务器h的边的个数，表示网络拓扑图中由服务器h连出的边的个数，n表示电力业务系统中服务器个数；

计算边的传播概率为：

其中，q_i，j表示服务器节点i向服务器节点j的风险传播概率；

以此构建电力业务系统有向带权网络拓扑图。

进一步的，采用WL子树核算法对电力业务系统的网络拓扑图进行计算，得到R-跳的带权攻击树。

进一步的，在计算带权攻击树的子树核时，边的权值和节点的权值不变。

进一步的，所述计算电力业务系统服务器的风险值包括：

E^(r)(j)＝∑_iq_i，jE^(r-1)(i)E^(r-1)(j)，对于