一种局域网终端设备入网合法性判别方法和系统与流程

本发明属于电力信息安全技术领域，具体涉及一种局域网终端设备入网合法性判别方法和系统。

背景技术：

电力系统作为关键信息基础设施，一直以来是“网络战”的重点攻击目标之一。为防范各种网络安全攻击，确保电网安全稳定运行，电网运营公司在网络安全防护方面开展了长期有效的工作。然而，随着数据通信骨干网以及终端接入网建设投运，各类智能终端设备尤其是营销类现场业务终端大规模接入电网运营公司网络甚至直接接入骨干网。由于现场终端设备自身防护薄弱，且所处环境不可控，一旦被非法利用，将直接影响电网运营公司整体安全防护体系，安全威胁极大。

分析产生终端仿冒并攻击电网运营公司内网的原因是营销现场未能对接入现场局域网的设备进行合法性判别，从而允许非法设备随意接入现场的局域网络，从而进一步危害电网运营公司的内网系统。所以，研制一种可以对终端身份合法性进行判别的终端准入方法和系统对保护公司信息安全可谓迫在眉睫。目前，市面上和研究领域针对终端准入技术产品和研究，主要是通过判断终端设备的mac地址进行身份合法性判别。该种方法虽然利用mac地址的全球唯一性进行终端身份合法性判别，但是忽略了mac地址的可伪造性；也有学者针对android系统终端准入技术进行研究，提出了一种单因子模糊匹配算法，然而该方法仅仅适用于有且仅有一种终端特性发生改变的情况下进行终端合法性判别，且欠缺终端类型的普适性。

技术实现要素：

为克服上述现有技术的不足，本发明提出一种局域网终端设备入网合法性判别方法，其改进之处在于，包括：

在固定时间间隔，基于接入工作局域网终端设备的固定特征获取所述终端设备的行为特征；

基于所述行为特征，为所述终端设备生成特征指纹；

基于所述终端的特征指纹与所述终端预先存储的行为指纹样本的比对情况确定所述终端设备行为的合法性。

优选的，所述基于接入工作局域网终端设备的固定特征获取所述终端设备的行为特征，包括：

基于所述终端设备的固定特征对所述终端设备的动态行为进行采样，得到动态行为数据；

根据所述动态行为数据，得到所述终端设备的行为特征。

优选的，所述终端设备的固定特征是由终端种类确定的。

优选的，所述获取所述终端设备的行为特征之前，还包括：

对所述终端设备是否允许接入工作局域网进行判断：

当所述终端设备的多项固定特征均分别符合预先存储的固定特征样本时，允许接入工作局域网；否则，不允许接入工作局域网。

优选的，所述基于所述终端的特征指纹与所述终端预先存储的行为指纹样本的比对情况确定所述终端设备行为的合法性，包括：

利用模糊匹配算法计算所述终端的特征指纹与所述终端预先存储的行为指纹样本间的相似度；

判断所述相似度是否大于给定阈值：是则判断所述终端设备行为合法并用所述特征指纹更新行为指纹样本；否则判断所述终端设备行为非法。

优选的，所述相似度的计算式如下：

s＝s’+wi*si

式中，si表示第i项行为特征对应的相似程度，wi表示第i项行为特征的权重，s’表示考虑第i项行为特征前的相似度，s表示考虑第i项行为特征后的相似度；s的初值为0。

优选的，所述第i项行为特征对应的相似程度si的计算式如下：

式中，ai-last代表行为指纹样本中第i项行为特征的均值，bi-last代表行为指纹样本中第i项行为特征的标准差；ai-new代表第i项动态行为特征的均值，bi-new代表第i项行为特征的标准差。

优选的，所述终端设备行为指纹样本的初值的设定包括：

所述终端设备初次接入工作局域网后，在预设时长内，对所述终端设备的动态行为进行采样，得到初始动态行为数据；

根据所述初始动态行为数据得到所述终端设备的行为特征的初值；

根据所述终端设备的行为特征的初值生成所述终端设备行为指纹样本的初值。

基于同一发明构思，本发明还提供了一种局域网终端设备入网合法性判别系统，其特征在于，包括：行为特征模块、特征指纹模块和合法性判断模块；

所述行为特征模块，用于在固定时间间隔，基于接入工作局域网终端设备的固定特征获取所述终端设备的行为特征；

所述特征指纹模块，用于基于所述行为特征，为所述终端设备生成特征指纹；

所述合法性判断模块，用于基于所述终端的特征指纹与所述终端预先存储的行为指纹样本的比对情况确定所述终端设备行为的合法性。

优选的，所述合法性判断模块包括：相似度单元和合法性单元；

所述相似度单元，用于利用模糊匹配算法计算所述终端的特征指纹与所述终端预先存储的行为指纹样本间的相似度；

所述合法性单元，用于判断所述相似度是否大于给定阈值：是则判断所述终端设备行为合法并用所述特征指纹更新行为指纹样本；否则判断所述终端设备行为非法。

与最接近的现有技术相比，本发明具有的有益效果如下：

本发明提供了一种局域网终端设备入网合法性判别方法和系统，包括：在固定时间间隔，基于接入工作局域网终端设备的固定特征获取终端设备的行为特征；基于行为特征，为终端设备生成特征指纹；基于终端的特征指纹与终端预先存储的行为指纹样本的比对情况确定终端设备行为的合法性。和传统的准入系统相比，本申请结合终端固定特征和动态行为特征作为终端合法性评判的依据，可以发现合法终端的违规行为，或精确仿冒的非法终端的违法行为。

和传统的准入系统相比，本申请采用多种固定特征因子作为设备准入的凭据，改善了仅仅使用mac地址作为准入凭证的脆弱性，有效加强了终端合法性评判的可信度。

和当前研究领域研究现状相比，本申请所采用的模糊匹配算法，可适用于接入终端多种动态行为特征同时发生改变时的情景，有效改善当前研究领域同类型算法仅支持有且仅有一种特征发生改变的应用场景，提高算法的普适性和匹配精确性。

和当前研究领域研究现状相比，适用于本申请的受测终端不再局限于android系统终端，而是支持电力营销现场所有接入工作局域网的终端。

附图说明

图1为本发明提供的一种局域网终端设备入网合法性判别方法流程示意图；

图2为本发明提供的一个局域网终端设备入网合法性判别方法具体实施例的流程示意图；

图3为本发明提供的一个局域网终端设备入网合法性判别方法中模糊近似匹配算法实现流程示意图；

图4为本发明提供的一种局域网终端设备入网合法性判别系统基本结构示意图；

图5为本发明提供的一种局域网终端设备入网合法性判别系统详细结构示意图。

具体实施方式

下面结合附图对本发明的具体实施方式做进一步的详细说明。

实施例1：

本发明提供的一种局域网终端设备入网特征指纹合法性判别方法流程示意图如图1所示，包括：

步骤1：在固定时间间隔，基于接入工作局域网终端设备的固定特征获取终端设备的行为特征；

步骤2：基于行为特征，为终端设备生成特征指纹；

步骤3：基于终端的特征指纹与终端预先存储的行为指纹样本的比对情况确定终端设备行为的合法性。

首先，在设备特征的选取方面，本申请将营销现场终端设备包含的固定特征和动态行为进行罗列，并为相应特征选取主动、被动或主被动相结合的采样方法制动采样策略；其次，通过设备固定特征的匹配成功，允许终端设备接入局域网络，并保留一定权限留以观察，将固定特征匹配不成功的设备信息递送校核模块进行决策；再次，在准入期限内或经正式准入后的时间内，通过使用模糊近似匹配算法对终端的行为特征进行考察，如果发现某台终端一段时间内行为超出算法允许的阈值范围内，则判定该终端为问题终端；最后，使用隔离vlan(virtuallocalareanetwork虚拟局域网)和tcp(transmissioncontrolprotocol传输控制协议)阻断技术，将问题终端进行断线处理，并问题终端的信息递送校核模块进行审核。本发明提供的一种局域网终端设备入网特征指纹合法性判别方法和系统，提高了电力营销现场终端合法性判别的能力，极大降低了仿冒、非法终端接入现场网络的威胁性，从而进一步保护了内网不受恶意网络攻击，具有广泛的工程实用价值。校核模块根据预先定义的规则，或者管理员的判断，再次决定终端是否允许接入局域网。

具体的，本发明提出一种基于模糊近似匹配算法的局域网终端设备入网特征指纹合法性判别方法。该方法提高了电力营销现场终端合法性判别的能力，极大降低了仿冒、非法终端接入现场网络的威胁性，从而进一步保护了公司内网不受恶意网络攻击，具有广泛的工程实用价值。该方法包括如下步骤：

步骤101：通过对电力营销现场所包含的终端种类进行调研，得到终端种类清单。

步骤102：针对终端种类清单的各类终端，为其分别选取合适的终端固定特征。例如，在设备分配静态ip的前提下，当一台电脑接入局域网后，应对电脑本机ip地址、mac地址、电脑本机名称、操作系统版本和浏览器信息进行采集；当一台打印机接入局域网时，应对其本机ip地址、mac地址、设备名称、操作系统版本、打印机内置网页标题和打印机专用协议端口进行采集。采集分析终端固定特征的作用是为待入终端提供准入许可。当某新上终端需要连入现场工作局域网内时，需要通过准入系统预先对终端的固定特征进行录入。如果该终端下线后在此需要上线，则需要对该终端的每一项固定特征进行精确匹配。终端固定特征及其采样的方式如下表所示。

表1终端固定特征及其采样的方式

步骤103：针对终端种类清单的各类终端，为其分别选取合适的终端动态行为特征即行为特征，例如对于电力营业厅内营销缴费终端，应时刻监测其通信报文的访问目的地址、单位时间内访问数据流量、运行过程中端口开放列表、应用层协议使用情况以及使用当天是否根据上下班时间而开关机等动态特征；对于视频监控终端，应采集其视频专用协议流量稳定性指标、视频报文传输目的地址、端口开放列表等以及是否全天24小时工作等。采集分析终端动态行为特征的作用是为授权入网的终端提供合法行为的建模以及违规行为的发现。终端动态行为特征及其采样的方式如下表所示。

表2终端动态行为特征及其采样的方式

步骤104：某一终端在入网过程中，一旦确定待入终端的每一项固定特征均成功完成匹配环节，则赋予该终端接入工作局域网的权利。如果发现待入终端固定指标匹配失败，则递送该终端信息给系统校核模块，根据实际情况进行阻断和放行。

步骤105：新上的合法终端首次接入局域网后，准入系统应当在该终端接入后一定时间范围内对其进行终端行为的采集、记录和分析，结合各项动态行为特征的计算值形成初始终端动态特征指纹，并将指纹录入指纹库。

步骤106：指纹初始化成功后，准入系统应周期性探测该终端设备的行为特征，生成新的行为特征指纹并录入指纹库，并利用模糊匹配算法将新指纹与初始指纹进行对比。如果新指纹与初始指纹的相似度大于算法中给定的阈值，则判定为合法终端，并更新指纹库中的初始行为特征指纹；反之则指纹匹配失败，该终端进行违规操作或该终端为非法仿冒终端，终端信息被递送到系统校核模块做决策。

在步骤106中，模糊匹配算法的实现流程如图3所示，其中，w是待准入设备的类型特征权重矩阵，n是类型特征数目。wi为待准入设备类型的第i项权重系数，越重要的特征被分配的权重系数越大，实际使用中各项指标的权重可按需调节。矩阵w满足：

w＝[w1,w2,...,wn]，且w1+w2+...+wn＝1

ai-last代表指纹库内记录的第i项动态行为特征采集的均值，bi-last代表指纹库内第i项动态行为特征采集值的标准差，ai-last、bi-last两点共同组成坐标系下的pi-last点；ai-new代表一定时间内第i项动态行为特征采集的均值，bi-new代表一定时间内第i项动态行为特征采集值的标准差，ai-new、bi-new两点共同组成坐标系下的pi-new点。si表示第i项指标的测量值和指纹库中存储值的相似程度，通过公式(1)进行计算；s表示测量所有指标后计算出的设备指纹与该设备在指纹库中录入的指纹的相似程度即相似度。

将相似程度s和各项si初始化为0，从i＝1开始依次比较各项动态行为特征的pi-last点和pi-new点：若任一项动态行为特征的pi-last和pi-new间的相似度si不大于第一阈值，则清除所有的pi-new和s的值，判断该设备行为异常，并结束；若si大于第一阈值，则用公式(2)更新s的值并开始下一项动态行为特征的比较，直到将所有动态行为特征比较判断完毕。其中s’表示更新前的相似度。

s＝s’+wi*si(2)

将所有动态行为特征比较判断完毕后，判断设备指纹与该设备在指纹库中录入的指纹的相似程度s是否大于或等于第二阈值：若否，则清除所有的pi-new和s的值，判断该设备行为异常，并结束；反之，则计算各项动态行为特征的pi-last和pi-new的中间点pi-m，并分别用各项动态行为特征的中间点pi-m替代指纹库中的pi-last，然后结束。

其中，第一阈值可设为0.8，第二阈值可设为0.85。

实施例2：

下面结合附图2，给出一个局域网终端设备入网特征指纹合法性判别方法的实施例。

局域网终端设备入网特征指纹合法性判别方法流程开始后，包括：

步骤201：终端种类划分。

步骤202：终端固定特征和动态行为特征策略选取。

即针对终端种类清单的各类终端，为其分别选取合适的终端固定特征。

步骤203：等待设备入网。

本实施例的设备也即终端。

步骤204：判断是否存在设备正在入网：若是，转入步骤205，否则转入步骤203。

步骤205：查询终端mac地址。

步骤206：判断mac地址是否已登记于准入库：若是，转入步骤207，否则转入步骤215。

步骤207：进行设备固定特征精确匹配。

步骤208：判断设备固定特征匹配是否成功：若是，转入步骤209，否则转入步骤215。

步骤209：设备通过准入，周期性对动态行为特征进行采集并生成动态设备指纹。

步骤210：使用模糊匹配算法与指纹库中的初始指纹进行相似度计算。

步骤211：判断动态行为特征指纹相似度是否大于阈值：若是，则转入步骤209，同时执行步骤219；否则，转入步骤212；

步骤212：提交校核模块进行审核。

步骤213：校核模块判断是否通过审核：若是，则转入步骤209，同时执行步骤219；否则转入步骤214。

步骤214：阻止该设备连接，结束。

步骤215：提交校核模块进行审核。

步骤216：核模块判断是否通过审核：若是，则转入步骤217，否则转入步骤214.

步骤217：更新准入库。

步骤218：在一定时间内采集动态行为特征，生成初始动态行为特征指纹，并转入步骤209，同时执行步骤219。

步骤219：更新指纹库。

实施例3：

下面给出一个局域网终端设备入网特征指纹合法性判别方法的具体实施例。

步骤301：为某电力营销网点进行终端类型调研，调研结果发现终端类型分为工作电脑、营销缴费终端、打印机、摄像头、pos机和打卡仪等。

步骤302：在核心交换机处旁路部署使用该方法的终端准入系统，并通过镜像端口镜像所有通过核心交换机的数据流量。

步骤303：为每一种终端配置相应的终端固定特征和终端动态行为特征，例如：为电脑终端配置如表1、表2的所有终端特性。

步骤304：准备两台型号、操作系统完全相同的电脑做测试机。电脑a作为合法终端接入该局域网，其固定特征被预先录入准入库中，并且经过动态行为特征一段时间内的采样，生成终端动态特征指纹并录入指纹库。电脑b作为对照组，其固定特征未被预先录入准入库中。将电脑b直接接入测试局域网络，系统校核模块从管理员处获取电脑b的接入请求，可对其电脑b的接入进行阻断响应。

步骤305：下线电脑a，修改电脑b的本机ip地址为原先电脑a的ip地址，修改电脑b的mac地址为电脑a的mac地址，确保电脑b的系统端口和服务开启状态与原先电脑a一致，随后将伪造后的电脑b接入测试局域网，顶替电脑a的角色，电脑b临时接入网络成功。

步骤306：对电脑b执行一些违规操作行为，包括但不限于访问非法主机和域名、高频率ping局域网内某一主机地址、开放未知高危端口，安装并运行禁用的未知软件等。一段时间过后，电脑b被准入系统踢出下线，并且其终端信息被递送给系统校核模块，由管理员等待阻断决策。

实施例4：

基于同一发明构思，本发明还提供了一种局域网终端设备入网合法性判别系统，由于这些设备解决技术问题的原理与局域网终端设备入网合法性判别方法相似，重复之处不再赘述。

该系统基本结构如图4所示，包括：行为特征模块、特征指纹模块和合法性判断模块；

其中，行为特征模块，用于在固定时间间隔，基于接入工作局域网终端设备的固定特征获取终端设备的行为特征；

特征指纹模块，用于基于行为特征，为终端设备生成特征指纹；

合法性判断模块，用于基于终端的特征指纹与终端预先存储的行为指纹样本的比对情况确定终端设备行为的合法性。

局域网终端设备入网合法性判别系统详细结构如图5所示。

其中，合法性判断模块包括：相似度单元和合法性单元；

相似度单元，用于利用模糊匹配算法计算终端的特征指纹与终端预先存储的行为指纹样本间的相似度；

合法性单元，用于判断相似度是否大于给定阈值：是则判断终端设备行为合法并用特征指纹更新行为指纹样本；否则判断终端设备行为非法。

其中，行为特征模块包括：动态行为数据单元和行为特征单元；

动态行为数据单元，用于基于终端设备的固定特征对终端设备的动态行为进行采样，得到动态行为数据；

行为特征单元，用于根据动态行为数据，得到终端设备的行为特征。

其中，局域网终端设备入网合法性判别系统还包括入网判断模块；

入网判断模块，用于对终端设备是否允许接入工作局域网进行判断：当终端设备的多项固定特征均分别符合预先存储的固定特征样本时，允许接入工作局域网；否则，不允许接入工作局域网。

其中，局域网终端设备入网合法性判别系统还包括行为指纹样本初始化模块；指纹样本初始化模块包括：初始动态行为数据单元、行为特征初值单元和行为指纹样本初值单元；

初始动态行为数据单元，用于终端设备初次接入工作局域网后，在预设时长内，对终端设备的动态行为进行采样，得到初始动态行为数据；

行为特征初值单元，用于根据初始动态行为数据得到终端设备的行为特征的初值；

行为指纹样本初值单元，用于根据终端设备的行为特征的初值生成终端设备行为指纹样本的初值。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是:以上实施例仅用于说明本申请的技术方案而非对其保护范围的限制,尽管参照上述实施例对本申请进行了详细的说明,所属领域的普通技术人员应当理解:本领域技术人员阅读本申请后依然可对申请的具体实施方式进行种种变更、修改或者等同替换，但这些变更、修改或者等同替换，均在申请待批的权利要求保护范围之内。