[发明专利]一种边缘侧基于网络流量的异构终端特征生成及识别方法

说明书

本发明属于工业物联网信息安全领域，具体的说是一种应用于工业物联网下海量异构终端的流量特征生成、优化及识别方法。本发明包括以下步骤：流量提取：边缘网关对底层物联网设备的流量信息进行采集，生成设备流量特征缓存；特征选择：对设备流量特征进行降维，消除噪声特征；分类识别：对特征选择后的设备流量特征进行分类识别。应用到工业物联网边缘计算体系下物理和计算资源均有限的物联网设备中，边缘网关利用异构终端流量进行唯一特征识别，实现了边缘网关对底层接入的设备的全方位、多维度的识别，抵御MAC地址伪造等攻击威胁，支撑边缘网关对非法终端设备的接入认证和管控，保护系统敏感资源。

技术领域

本发明属于工业物联网信息安全领域，具体的说是一种应用于工业物联网下海量异构终端的流量特征生成、优化及识别方法。

背景技术

物联网促进了物理世界和数字世界的深度融合，加速了工业发展，但同时也引发了新的安全问题。工业控制网络也在朝着生产高度数字化、网络化、智能化发展，工控系统数据上“云”成为发展主流。在此过程中，大量终端设备直接暴露于互联网，这些设备存在的漏洞(如：心脏滴血、破壳等漏洞)一旦被利用，可导致设备被控、用户隐私泄露、云服务端数据被窃取等安全风险，甚至会对基础通信网络造成严重影响。感知层终端是整体系统的最外层边界，终端基数大、种类繁杂、地理分布广泛、工作和使用情况复杂、接触人员众多安全意识和习惯参差不齐，可以利用的终端的缺陷数量庞大，终端面对的风险众多，面临终端自身漏洞被利用、远程接入渗透攻击风险。

终端在系统应用中承担着数据输入、用户访问、数据输出职责，是整体系统的最外层边界。终端基数大、种类繁杂、地理分布广泛、工作和使用情况复杂、接触人员众多安全意识和习惯参差不齐，可以利用的终端的缺陷数量庞大，终端面对的风险众多，统计表明绝大多数的数据窃取、系统破坏都是从内部终端发起的。

为了避免恶意工控终端对网络系统的破坏，必须对终端进行精确识别从而采取有效的访问控制。然而传统的基于设备静态标识的识别方法难以避免静态特征易被攻击的缺陷。传统的终端识别方案通常采用设备ID、用户ID、IP地址、媒体访问控制(media accesscontrol,MAC)地址等信息进行识别。设备ID、用户ID的静态性，IP地址、MAC地址的开放性，均使得上述识别信息容易被黑客扫描、读取并仿冒。设备指纹将静态的设备信息与动态的用户行为数据相结合，构造更为动态复杂的标识信息组合，为物联网智能终端的准确识别提供了新的思路。

在提取终端设备指纹的过程中，存在着如何提取设备有效的数据特征和何时提取的问题。传统的提取方式仅提取设备启动阶段的流量特征，但因异构终端是轻量级的，开机时间较短，流量数据少且单一等问题导致生成的设备指纹信息不足，从而影响之后利用设备指纹进行分类的精度。对于通过设备指纹对终端进行精确识别，决策树、支持向量机、随机森林等机器学习算法的应用取得了良好的效果。

发明内容

针对在背景技术中提出的传统的认证方式需要依赖强大的加密协议或复杂的认证机制来保证通信的可靠性而不适用于物理和计算资源均有限的物联网设备的问题，本发明提出一种基于流量特征的异构终端特征生成及识别方法，降低了异构终端设备识别过程中的计算资源，提高了认证效率，有效地阻挡非法设备对工业控制系统的未授权访问，对终端设备进行有效的访问控制，保护系统的敏感资源。

本发明为实现上述目的所采用的技术方案是：

一种边缘侧基于网络流量的异构终端特征生成及识别方法，包括以下步骤：

1)流量提取：边缘网关对底层物联网设备的流量信息进行采集，生成设备流量特征缓存；

2)特征选择：对设备流量特征进行降维，消除噪声特征；

3)分类识别：对特征选择后的设备流量特征进行分类识别。

采用MGA-SVM算法对设备流量特征进行降维。

采用随机森林算法对特征选择后的设备流量特征进行分类识别。