[发明专利]一种从多维度识别异常业务的终端安全接入控制方法

权利要求书

1.一种从多维度识别异常业务的终端安全接入控制方法，其特征在于：包括，

利用终端标识对边缘终端和云中心进行双向身份认证；

根据终端流量对边缘终端的身份进行鉴别和分类；

根据分类结果对边缘终端进行监控分析，预测边缘终端是否异常。

2.如权利要求1所述的从多维度识别异常业务的终端安全接入控制方法，其特征在于：双向身份认证包括，

所述边缘终端向所述云中心发送认证请求；

所述云中心根据认证请求验证签名信息与发送的信息是否一致，若一致，则计算会话密钥，通过所述会话密钥对时间戳进行加密，并向云中心返回确认信息：{E_t(t_C||t_EN)}，其中，E_t(t_C||t_EN)为会话密钥加密收到的时间戳；

若不一致，则向云中心返回边缘终端认证不通过的消息。

3.如权利要求2所述的从多维度识别异常业务的终端安全接入控制方法，其特征在于：包括，

认证请求的格式如下：

{Sing_EN||PK_c(VID_EN||VID_C||t_EN)}

其中，VID_EN为所述边缘终端；VID_C为所述云中心，PK_c为云中心的公钥，t_EN为时间戳，Sing_EN为边缘终端的身份标识。

4.如权利要求2或3所述的从多维度识别异常业务的终端安全接入控制方法，其特征在于：包括，

根据下式计算会话密钥k：

k＝H₃(N)

N＝N’-Sing_ENM；

其中，H为解密函数，N为加密后的边缘终端的公钥，M为边缘终端的密钥，N’为边缘终端的公钥。

5.如权利要求4所述的从多维度识别异常业务的终端安全接入控制方法，其特征在于：包括，

所述发送的信息为：

{Sing_C||PK_pub-EN(VID_EN||VID_C||t_EN||t_C||M||N’)}

其中，Sing_C为云中心的身份标识，PK_pub-EN为边缘终端的公钥，t_C为云中心加密时间戳。

6.如权利要求5所述的从多维度识别异常业务的终端安全接入控制方法，其特征在于：鉴别包括，

将静态流量特征的各个字段由字符串量化为数字，并进行归一化处理，获得特征向量f_known和f_unknown；

利用余弦公式求得余弦相似度s_cs为：

s_cs＝(f_knownf_unknown)/(|f_known||f_unknown|)

设定阈值，当s_cs大于所述阈值时认为边缘终端的身份为合法终端，允许入网；否则禁止入网；

其中，静态流量特征的各个字段包括MAC地址、终端类型、ip地址、开放端口号、操作系统、供应商、版本及网卡信息。

7.如权利要求5或6所述的从多维度识别异常业务的终端安全接入控制方法，其特征在于：分类包括，

当边缘终端信息通过所有类别的过滤器后，统计该边缘终端在各类别上的票数，若某一类票数占总票数的50％以上，则将该终端划为票数最高一类；

否则定义为未知类型终端，记录当前票数最高的一类，并通过SVM算法对其进行分类，将SVM算法分类的结果保存为PCAP文件。