[发明专利]一种基于端侧边缘计算的云网端协同防御方法及系统

权利要求书

1.一种基于端侧边缘计算的云网端协同防御方法，其特征在于，包含以下步骤：

利用设置于电力工控系统终端侧的边缘计算中心采集工控系统终端设备信息，根据终端设备信息建立设备指纹，将设备指纹发送至云计算中心，云计算中心建立设备指纹识别模型，根据设备指纹识别模型对电力工控系统的终端设备进行智能动态认证；其中所述边缘计算中心采集工控系统终端设备信息，根据终端设备信息建立设备指纹具体包括：边缘计算中心获取工控系统终端设备IP地址，根据IP地址进行Nmap嗅探，获取该IP地址所在设备的相关信息，包括终端在线状态、开放端口、服务协议、设备应用程序名、版本号、设备名、设备类型，并对这些信息进行组合作为设备的指纹；

利用设置于边缘计算中心的交换机的镜像功能获取终端设备通信流量以及工控系统内部控制通信流量，并将流量数据发送给智能监测主机，由智能监测主机统一发送至云计算中心，云计算中心建立流量安全基线并下发至智能监测主机，智能监测主机根据流量安全基线进行终端设备流量检测；

获取电力工控系统网络内部网络流量数据，发送至云计算中心，云计算中心按照网络流量特征属性进行熵值量化，并利用聚类分析模型产生正常流量聚类中心和异常流量聚类中心，根据正常流量聚类中心建立正常流量模型库，基于正常流量模型库对异常网络流量进行检测。

2.根据权利要求1所述的基于端侧边缘计算的云网端协同防御方法，其特征在于，所述云计算中心建立设备指纹识别模型包括：将采集的工控系统终端设备信息设计成字段包括在线状态、开放端口、服务协议、设备应用程序名、版本号、设备名、设备类型的数据表，通过Python的csv模块完成指纹数据到文件的导入、转换以及导出，将已生成的csv文件中的数据导入集成了决策树算法的Sklearn模块，从而创建分类训练模型。

3.根据权利要求1所述的基于端侧边缘计算的云网端协同防御方法，其特征在于，所述智能监测主机根据流量安全基线进行终端设备流量检测包括：智能监测主机切换到工作的运行模式下，实时采集设备通信流量，根据流量安全基线，针对每个设备进行异常流量的判别，判别维度包括流出流量、流入流量及总体流量和被访问的端口，当有安全基线之外的操作出现时，产生异常流量告警并记录日志。

4.根据权利要求1所述的基于端侧边缘计算的云网端协同防御方法，其特征在于，所述获取电力工控系统网络内部流量数据按照如下数据采集策略进行：根据设备所在区域的安全等级，匹配不同的采集频率系数；根据功能和用途的不同，设定不同的采集频率系数；根据链路的拥塞情况，合理地改变当前的采集频率；根据设备的负荷情况，合理地改变对当前设备的采集频率，从而保障工控系统本身功能的正常运行。

5.根据权利要求1所述的基于端侧边缘计算的云网端协同防御方法，其特征在于，所述云计算中心按照网络流量特征属性进行熵值量化包括：获取捕获到的N个数据包按时间顺序划分的一个单位流量内某特征属性出现的次数，记为X{X₁,X₂,……X_N}，按单位流量计算攻击事件的属性熵值，所述属性包括IP地址、工控协议、源端口、目的端口中的一种或多种，熵值计算公式如下：

其中Y＝{n_i,(i＝1,2……M)}表示在测量数据中某特征属性的第i个实例发生了n次；表示该特征属性发生的总次数，M为单位流量中该特征属性的不同实例总数目，将代入公式(1)，即得到单位流量的特征属性熵值。