本發(fā)明涉及智能電網(wǎng)安全訪問，尤其涉及一種智能電網(wǎng)安全訪問控制方法、系統(tǒng)及終端設(shè)備。

背景技術(shù)：

1、本部分的陳述僅僅是提供了與本發(fā)明相關(guān)的背景技術(shù)信息，不必然構(gòu)成在先技術(shù)。

2、隨著智能電網(wǎng)技術(shù)的發(fā)展，變電站、發(fā)電站、配電站作為電力系統(tǒng)的關(guān)鍵節(jié)點(diǎn)，其網(wǎng)絡(luò)安全的重要性日益凸顯。智能電網(wǎng)集成了先進(jìn)的信息技術(shù)和自動(dòng)化控制技術(shù)，使得電力供應(yīng)更加高效、可靠。然而，由于智能電網(wǎng)的設(shè)備和系統(tǒng)需要通過互聯(lián)網(wǎng)進(jìn)行通信，這使得它們可能面臨網(wǎng)絡(luò)攻擊和未授權(quán)訪問的風(fēng)險(xiǎn)。

3、在傳統(tǒng)電網(wǎng)中，關(guān)鍵設(shè)備的監(jiān)控和控制主要依賴于人工操作和有限的自動(dòng)化系統(tǒng)，限制了其響應(yīng)速度和效率。隨著智能電表、遠(yuǎn)程終端單元（rtu）、數(shù)據(jù)采集與監(jiān)控系統(tǒng)（scada）等智能設(shè)備的廣泛應(yīng)用，電網(wǎng)的自動(dòng)化水平和數(shù)據(jù)收集能力得到了顯著提升。但與此同時(shí)，這些設(shè)備也成為潛在的網(wǎng)絡(luò)安全漏洞。其次，傳統(tǒng)安全機(jī)制，如靜態(tài)規(guī)則和特定模式識(shí)別算法，正面臨著日益嚴(yán)峻的考驗(yàn)。安全威脅的多樣化和不斷演進(jìn)的攻擊手段，使得傳統(tǒng)通信協(xié)議和加密技術(shù)難以為繼，存在被黑客利用的風(fēng)險(xiǎn)，可能導(dǎo)致敏感信息泄露，甚至威脅到電力系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施的安全。

技術(shù)實(shí)現(xiàn)思路

1、為了解決上述背景技術(shù)中存在的技術(shù)問題，本發(fā)明提供一種智能電網(wǎng)安全訪問控制方法、系統(tǒng)及終端設(shè)備，本發(fā)明通過持續(xù)不斷地分析通信行為，融合持續(xù)行為分析與零信任安全理念，能夠及時(shí)發(fā)現(xiàn)并有效應(yīng)對(duì)安全威脅的演變，從而確保智能電網(wǎng)通信過程的安全性和可靠性。

2、為了實(shí)現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案：

3、本發(fā)明的第一個(gè)方面提供了一種智能電網(wǎng)安全訪問控制方法。

4、一種智能電網(wǎng)安全訪問控制方法，應(yīng)用于關(guān)鍵設(shè)備，所述方法包括：

5、接收接入網(wǎng)絡(luò)設(shè)備發(fā)送的訪問請(qǐng)求；

6、響應(yīng)所述訪問請(qǐng)求，根據(jù)訪問過程中的關(guān)鍵設(shè)備的性能指標(biāo)數(shù)據(jù)和網(wǎng)絡(luò)流量數(shù)據(jù)以及接入網(wǎng)絡(luò)設(shè)備的所有訪問行為，分別計(jì)算接入網(wǎng)絡(luò)設(shè)備的性能指標(biāo)、網(wǎng)絡(luò)流量以及訪問行為各自對(duì)應(yīng)的信任值；

7、基于接入網(wǎng)絡(luò)設(shè)備的性能指標(biāo)、網(wǎng)絡(luò)流量以及訪問行為各自對(duì)應(yīng)的信任值與各自相應(yīng)閾值比較，確定出性能指標(biāo)授權(quán)級(jí)別、網(wǎng)絡(luò)流量授權(quán)級(jí)別以及訪問行為授權(quán)級(jí)別；

8、分別篩選出性能指標(biāo)授權(quán)級(jí)別、網(wǎng)絡(luò)流量授權(quán)級(jí)別以及訪問行為授權(quán)級(jí)別中的最低級(jí)別，并作為接入網(wǎng)絡(luò)設(shè)備最終授權(quán)級(jí)別，以確定出訪問范圍。

9、進(jìn)一步地，接收接入網(wǎng)絡(luò)設(shè)備發(fā)送的訪問請(qǐng)求之后還包括：根據(jù)預(yù)設(shè)安全策略和訪問控制列表，對(duì)接入網(wǎng)絡(luò)設(shè)備請(qǐng)求進(jìn)行評(píng)估，并決定授予接入網(wǎng)絡(luò)設(shè)備的初步訪問級(jí)別，以使接入網(wǎng)絡(luò)設(shè)備僅能訪問被授權(quán)資源范圍。

10、進(jìn)一步地，所述接入網(wǎng)絡(luò)設(shè)備的性能指標(biāo)、網(wǎng)絡(luò)流量以及訪問行為各自對(duì)應(yīng)的信任值分別為：接入網(wǎng)絡(luò)設(shè)備性能指標(biāo)信任值、接入網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)流量信任值和接入網(wǎng)絡(luò)設(shè)備訪問行為信任值；若接入網(wǎng)絡(luò)設(shè)備性能指標(biāo)信任值、接入網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)流量信任值或接入網(wǎng)絡(luò)設(shè)備訪問行為信任值中至少有一個(gè)低于各自相應(yīng)閾值時(shí)，終止訪問。

11、更進(jìn)一步地，接入網(wǎng)絡(luò)設(shè)備性能指標(biāo)信任值，通過根據(jù)不同模式下的控制信任值變化速率參數(shù)與所有性能指標(biāo)加權(quán)和的乘積得到。

12、更進(jìn)一步地，接入網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)流量信任值，通過1與決策樹預(yù)測(cè)異常次數(shù)與所有決策樹總數(shù)的比值的差值得到。

13、更進(jìn)一步地，根據(jù)訪問過程中的關(guān)鍵設(shè)備的性能指標(biāo)數(shù)據(jù)和網(wǎng)絡(luò)流量數(shù)據(jù)，分別計(jì)算接入網(wǎng)絡(luò)設(shè)備的性能指標(biāo)和網(wǎng)絡(luò)流量各自對(duì)應(yīng)的信任值；方法包括：

14、基于關(guān)鍵設(shè)備性能指標(biāo)數(shù)據(jù)，采用基于機(jī)器學(xué)習(xí)隨機(jī)森林分類器算法進(jìn)行分析，確定正常行為模式與異常行為模式的分類結(jié)果；根據(jù)分類結(jié)果，計(jì)算接入網(wǎng)絡(luò)設(shè)備性能指標(biāo)信任值；

15、基于關(guān)鍵設(shè)備網(wǎng)絡(luò)流量數(shù)據(jù)，采用基于機(jī)器學(xué)習(xí)的隨機(jī)森林分類器模型，輸出網(wǎng)絡(luò)流量是否存在異常的輸出結(jié)果；基于輸出結(jié)果，計(jì)算接入網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)流量信任值。

16、更進(jìn)一步地，所述接入網(wǎng)絡(luò)設(shè)備訪問行為信任值，通過前一時(shí)刻接入網(wǎng)絡(luò)設(shè)備訪問行為信任值與當(dāng)前的訪問行為是否在授權(quán)范圍相關(guān)系數(shù)的乘積得到。

17、進(jìn)一步地，所述關(guān)鍵設(shè)備性能指標(biāo)數(shù)據(jù)包括：cpu使用率、內(nèi)存使用率、磁盤使用率、網(wǎng)絡(luò)使用情況和設(shè)備連接數(shù)指標(biāo)；所述關(guān)鍵設(shè)備網(wǎng)絡(luò)流量數(shù)據(jù)包括：持續(xù)時(shí)間、數(shù)據(jù)包數(shù)量、數(shù)據(jù)包長(zhǎng)度、每秒流量字節(jié)數(shù)、每秒數(shù)據(jù)包數(shù)和平均流間到達(dá)時(shí)間；所述接入網(wǎng)絡(luò)設(shè)備的所有訪問行為包括：對(duì)關(guān)鍵設(shè)備上資源訪問請(qǐng)求和執(zhí)行操作，并按照標(biāo)準(zhǔn)化格式記錄在安全日志中。

18、進(jìn)一步地，所述接入網(wǎng)絡(luò)設(shè)備向關(guān)鍵設(shè)備發(fā)起訪問請(qǐng)求之后包括：關(guān)鍵設(shè)備依據(jù)最小特權(quán)原則，考慮接入網(wǎng)絡(luò)設(shè)備的訪問權(quán)限的重要性和數(shù)據(jù)敏感度，將關(guān)鍵設(shè)備中的資源劃分為最高級(jí)別、高級(jí)別、中級(jí)別和低級(jí)別四個(gè)不同等級(jí)，并對(duì)應(yīng)賦予最高級(jí)別訪問權(quán)限、高級(jí)別訪問權(quán)限、中級(jí)別訪問權(quán)限和低級(jí)別訪問權(quán)限。

19、本發(fā)明的第二個(gè)方面提供了一種智能電網(wǎng)安全訪問控制方法。

20、一種智能電網(wǎng)安全訪問控制方法，應(yīng)用于智能電網(wǎng)安全訪問控制系統(tǒng)，所述智能電網(wǎng)安全訪問控制系統(tǒng)包括關(guān)鍵設(shè)備和至少一接入網(wǎng)絡(luò)設(shè)備，所述方法包括：

21、一接入網(wǎng)絡(luò)設(shè)備向關(guān)鍵設(shè)備發(fā)送的訪問請(qǐng)求；

22、關(guān)鍵設(shè)備響應(yīng)所述訪問請(qǐng)求，根據(jù)訪問過程中的關(guān)鍵設(shè)備的性能指標(biāo)數(shù)據(jù)和網(wǎng)絡(luò)流量數(shù)據(jù)以及接入網(wǎng)絡(luò)設(shè)備的所有訪問行為，分別計(jì)算接入網(wǎng)絡(luò)設(shè)備的性能指標(biāo)、網(wǎng)絡(luò)流量以及訪問行為各自對(duì)應(yīng)的信任值；

23、所述關(guān)鍵設(shè)備基于接入網(wǎng)絡(luò)設(shè)備的性能指標(biāo)、網(wǎng)絡(luò)流量以及訪問行為各自對(duì)應(yīng)的信任值與各自相應(yīng)閾值比較，確定出性能指標(biāo)授權(quán)級(jí)別、網(wǎng)絡(luò)流量授權(quán)級(jí)別以及訪問行為授權(quán)級(jí)別；

24、所述關(guān)鍵設(shè)備分別篩選出性能指標(biāo)授權(quán)級(jí)別、網(wǎng)絡(luò)流量授權(quán)級(jí)別以及訪問行為授權(quán)級(jí)別中的最低級(jí)別，并作為接入網(wǎng)絡(luò)設(shè)備最終授權(quán)級(jí)別，以確定出訪問范圍。

25、進(jìn)一步地，若關(guān)鍵設(shè)備判斷出接入網(wǎng)絡(luò)設(shè)備的性能指標(biāo)、網(wǎng)絡(luò)流量以及訪問行為各自對(duì)應(yīng)的信任值中至少有一個(gè)低于各自相應(yīng)閾值時(shí)，終止訪問。

26、本發(fā)明的第三個(gè)方面提供了一種智能電網(wǎng)安全訪問控制系統(tǒng)。

27、一種智能電網(wǎng)安全訪問控制系統(tǒng)，配置于關(guān)鍵設(shè)備，所述系統(tǒng)包括：

28、請(qǐng)求接收模塊，用于接收接入網(wǎng)絡(luò)設(shè)備發(fā)送的訪問請(qǐng)求；

29、響應(yīng)模塊，用于響應(yīng)所述訪問請(qǐng)求，根據(jù)訪問過程中的關(guān)鍵設(shè)備的性能指標(biāo)數(shù)據(jù)和網(wǎng)絡(luò)流量數(shù)據(jù)以及接入網(wǎng)絡(luò)設(shè)備的所有訪問行為，分別計(jì)算接入網(wǎng)絡(luò)設(shè)備的性能指標(biāo)、網(wǎng)絡(luò)流量以及訪問行為各自對(duì)應(yīng)的信任值；

30、處理模塊，用于基于接入網(wǎng)絡(luò)設(shè)備的性能指標(biāo)、網(wǎng)絡(luò)流量以及訪問行為各自對(duì)應(yīng)的信任值與各自相應(yīng)閾值比較，確定出性能指標(biāo)授權(quán)級(jí)別、網(wǎng)絡(luò)流量授權(quán)級(jí)別以及訪問行為授權(quán)級(jí)別；

31、訪問模塊，用于分別篩選出性能指標(biāo)授權(quán)級(jí)別、網(wǎng)絡(luò)流量授權(quán)級(jí)別以及訪問行為授權(quán)級(jí)別中的最低級(jí)別，并作為接入網(wǎng)絡(luò)設(shè)備最終授權(quán)級(jí)別，以確定出訪問范圍。

32、進(jìn)一步地，所述訪問模塊，還用于在判斷接入網(wǎng)絡(luò)設(shè)備的性能指標(biāo)、網(wǎng)絡(luò)流量以及訪問行為各自對(duì)應(yīng)的信任值中至少有一個(gè)低于各自相應(yīng)閾值時(shí)，終止訪問；其中，所述接入網(wǎng)絡(luò)設(shè)備的性能指標(biāo)、網(wǎng)絡(luò)流量以及訪問行為各自對(duì)應(yīng)的信任值分別為：接入網(wǎng)絡(luò)設(shè)備性能指標(biāo)信任值、接入網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)流量信任值和接入網(wǎng)絡(luò)設(shè)備訪問行為信任值，

33、更進(jìn)一步地，所述各自相應(yīng)閾值包括：接入網(wǎng)絡(luò)設(shè)備性能指標(biāo)信任值閾值、接入網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)流量信任值閾值和接入網(wǎng)絡(luò)設(shè)備訪問行為信任值閾值；

34、所述處理模塊，還用于：根據(jù)實(shí)時(shí)分析結(jié)果和性能變化，采用百分位動(dòng)態(tài)閾值更新機(jī)制，動(dòng)態(tài)調(diào)整接入網(wǎng)絡(luò)設(shè)備性能指標(biāo)信任值閾值；根據(jù)網(wǎng)絡(luò)流量的變化，采用百分位算法，動(dòng)態(tài)調(diào)整接入網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)流量信任值閾值；根據(jù)接入網(wǎng)絡(luò)設(shè)備行為模式和通信環(huán)境變化，采用百分位算法，動(dòng)態(tài)調(diào)整接入網(wǎng)絡(luò)設(shè)備訪問行為信任值閾值。

35、更進(jìn)一步地，所述處理模塊，還用于：

36、根據(jù)接入網(wǎng)絡(luò)設(shè)備性能指標(biāo)信任值和接入網(wǎng)絡(luò)設(shè)備性能指標(biāo)信任值閾值，對(duì)性能指標(biāo)進(jìn)行評(píng)估，以根據(jù)性能指標(biāo)授予性能指標(biāo)授權(quán)級(jí)別；

37、根據(jù)接入網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)流量信任值和接入網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)流量信任值閾值，分析網(wǎng)絡(luò)流量數(shù)據(jù)，確定網(wǎng)絡(luò)流量授權(quán)級(jí)別；

38、根據(jù)接入網(wǎng)絡(luò)設(shè)備訪問行為信任值和接入網(wǎng)絡(luò)設(shè)備訪問行為信任值閾值，監(jiān)控和分析訪問行為，評(píng)估訪問行為對(duì)資源訪問模式和操作合規(guī)性，計(jì)算訪問行為授權(quán)級(jí)別。

39、本發(fā)明的第四個(gè)方面提供了一種終端設(shè)備。

40、一種終端設(shè)備，包括存儲(chǔ)器、處理器及存儲(chǔ)在所述存儲(chǔ)器上并能夠在所述處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述程序時(shí)實(shí)現(xiàn)如第一個(gè)方面或第二個(gè)方面所述的智能電網(wǎng)安全訪問控制方法。

41、與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：

42、本發(fā)明根據(jù)訪問過程中的關(guān)鍵設(shè)備的性能指標(biāo)數(shù)據(jù)和網(wǎng)絡(luò)流量數(shù)據(jù)以及接入網(wǎng)絡(luò)設(shè)備的所有訪問行為，分別計(jì)算接入網(wǎng)絡(luò)設(shè)備性能指標(biāo)信任值、接入網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)流量信任值以及接入網(wǎng)絡(luò)設(shè)備訪問行為信任值；根據(jù)接入網(wǎng)絡(luò)設(shè)備性能指標(biāo)信任值、接入網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)流量信任值以及接入網(wǎng)絡(luò)設(shè)備訪問行為信任值與各自相應(yīng)閾值比較，確定出性能指標(biāo)授權(quán)級(jí)別、網(wǎng)絡(luò)流量授權(quán)級(jí)別以及訪問行為授權(quán)級(jí)別；分別篩選出性能指標(biāo)授權(quán)級(jí)別、網(wǎng)絡(luò)流量授權(quán)級(jí)別以及訪問行為授權(quán)級(jí)別中的最低級(jí)別，并作為接入網(wǎng)絡(luò)設(shè)備最終授權(quán)級(jí)別，以確定出訪問范圍。本發(fā)明能夠確保即使在通信過程中出現(xiàn)信任值下降情況，接入網(wǎng)絡(luò)設(shè)備仍能維持必要訪問權(quán)限，除非其信任值降至低于最低安全閾值，此時(shí)訪問將果斷終止授權(quán)，以保障智能電網(wǎng)通信的高度安全。

43、本發(fā)明專注于智能電網(wǎng)中關(guān)鍵設(shè)備與相應(yīng)的接入網(wǎng)絡(luò)設(shè)備通信過程中的實(shí)時(shí)監(jiān)控，關(guān)鍵設(shè)備主要包括變電站、發(fā)電站、配電站。通過持續(xù)對(duì)關(guān)鍵設(shè)備性能指標(biāo)、網(wǎng)絡(luò)流量模式以及接入網(wǎng)絡(luò)設(shè)備訪問行為進(jìn)行深入分析，確保通信過程安全性和可靠性。通過全面行為的分析，本發(fā)明能夠有效地識(shí)別和響應(yīng)潛在安全威脅，從而為智能電網(wǎng)的通信過程提供一種高度動(dòng)態(tài)和自適應(yīng)安全保障措施。

44、在智能電網(wǎng)中，本發(fā)明能夠確保接入網(wǎng)絡(luò)設(shè)備與關(guān)鍵設(shè)備之間的安全通信。遵循最小特權(quán)原則，將關(guān)鍵設(shè)備中的資源訪問權(quán)限劃分為四個(gè)層級(jí)：最高級(jí)別、高級(jí)別、中級(jí)別和低級(jí)別，確保接入網(wǎng)絡(luò)設(shè)備僅被授予執(zhí)行其功能所必需最低級(jí)別訪問權(quán)限，從而最小化潛在安全風(fēng)險(xiǎn)。當(dāng)接入網(wǎng)絡(luò)設(shè)備向關(guān)鍵設(shè)備發(fā)出訪問請(qǐng)求時(shí)，關(guān)鍵設(shè)備將根據(jù)預(yù)設(shè)安全策略，初步授予最低授權(quán)級(jí)別，從而確保通信起始階段在可控范圍內(nèi)進(jìn)行。在接入網(wǎng)絡(luò)設(shè)備訪問關(guān)鍵設(shè)備過程中，本發(fā)明持續(xù)監(jiān)控關(guān)鍵設(shè)備性能指標(biāo)、網(wǎng)絡(luò)流量以及接入網(wǎng)絡(luò)設(shè)備的訪問行為，以檢測(cè)異常行為。