基于自学习零可信的融合终端安全交互实现方法及系统与流程

本发明涉及配电物联网、云计算、边缘技术和深度学习领域，具体涉及基于自学习零可信的融合终端安全交互实现方法及系统。

背景技术：

1、台区智能融合终端是物联网在配电领域中的关键设备，它连接传感网络层和传输网络层，具备采集各类感知终端数据并向网络层发送数据的功能。该终端担负着配电台区各类型数据采集、处理、加密、传输等多种功能，是配电物联网建设的重要组成部分。

2、台区智能融合终端的主要组成部分包括以下几个关键部分：

3、中央处理器(cpu)，整个系统的核心，执行各种指令和运算，确保终端的正常运行。内存模块，用于存储临时数据和程序，确保系统运行的流畅性和高效性。

4、存储模块，如硬盘或闪存，用于永久存储数据，如系统配置、用户信息和历史记录等。

5、通信接口，支持多种通信协议和接口，分本地通信接口和远程通信接口，如以太网接口、rs485接口、无线通信模块等，用于实现终端与主站、其他设备或系统之间的数据交换和通信。电源模块，为整个系统提供稳定的电力供应，确保终端的连续运行。

6、台区智能融合终端的应用场景非常广泛，主要涉及配网需要实时监测和管理配电系统及其相关设备的领域，如：配电台区状态监测与故障研判、电能质量监测与优化、负荷管理与需求侧响应、台区新能源及相关设备的接入与管理等。随着物联网技术的不断发展和普及，台区智能融合终端的应用将更加深入和广泛。

7、它指的是(一台)变压器的供电范围或区域。通常根据负荷类型的不同，可以细分为城市居民台区、商业台区、工业台区和农业台区等。

8、台区作为面向电力用户供电的“核心单元”，是低压电能管控的“中枢”。其运营状况直接决定了电力用户能否“用上电、用好电”。在新型电力系统建设的背景下，台区的管理和运营面临着诸多挑战，如光伏、充电桩等非传统负荷的涌入，电能质量、电力平衡问题，以及变压器重过载现象等。

9、因此，对于台区的管理和运营需要高度的专业性和技术性，以确保电力系统的稳定运行和电力用户的正常供电。而现有的台区管理和运营存在以下问题：

10、数据安全问题：台区智能融合终端在运行时会产生大量的数据，包括遥测、遥信、遥控、摇调等敏感信息。尽管通过在终端侧内嵌安全芯片的方式来保障与配电主站之间的身份认证和数据交互安全，但是在终端层级对数据安全性并未采取有效手段进行防护，这导致终端随时面临泄露、篡改或非法访问的风险，对配网的安全运行构成威胁。

11、依赖外部网络环境：台区智能融合终端通常需要依赖外部网络环境进行数据传输和远程控制。然而，网络环境的稳定性和安全性直接影响到终端的运行效果。一旦网络出现故障或被攻击，就可能影响终端的正常工作。

12、人机交互体验有待提高：现阶段的人机交互体验仍存在不够便捷和高效的问题。

13、当前台区智能融合终端面临的风险和威胁主要来自内部和外部两个方面。

14、内部风险主要源于台区智能融合终端自身的设计、制造、运营和维护等方面。这些风险可能导致设备性能下降、数据泄露或系统崩溃，从而对电力系统的稳定运行构成威胁。

15、技术缺陷与漏洞：台区智能融合终端在设计和制造过程中可能存在技术缺陷或安全漏洞。这些漏洞可能被黑客利用，通过远程攻击或物理接触的方式，获取设备的控制权，进而对电力系统进行非法操作。由于技术的不断更新和演进，一些旧的终端可能面临兼容性和安全性问题，容易受到新型攻击手段的影响。

16、数据安全隐患：如果设备的数据加密和存储机制不完善，或者存在未经授权的访问和泄露风险，可能导致数据被非法获取或滥用。数据泄露可能给电力系统带来安全风险，如恶意攻击者利用泄露的数据进行破坏活动，或者利用数据进行非法交易和谋取私利。

17、系统稳定性与可靠性问题：台区智能融合终端的稳定性和可靠性直接影响到电力系统的正常运行。若设备存在故障率高、性能不稳定等问题，可能导致电力供应中断或服务质量下降。一些终端可能由于硬件老化、软件更新不及时等原因，导致性能下降和安全隐患增加。

18、外部风险主要来自于台区智能融合终端所处的外部环境，包括网络攻击、政策法规等因素。网络攻击与威胁：由于台区智能融合终端依赖于网络通信进行数据传输和远程控制，因此面临着来自网络的各种攻击和威胁。黑客可能利用漏洞进行入侵、篡改数据或制造拒绝服务攻击，导致设备失控或系统瘫痪。随着物联网技术的广泛应用，网络攻击手段也在不断升级和演变。

技术实现思路

1、为了解决现阶段的数据安全隐患、依赖外部网络环境，以及人机交互体验仍存在不够便捷和高效的问题，本发明提出了基于自学习零可信的融合终端安全交互实现方法，包括：

2、获取网络流量和用户行为数据；

3、采用部署在融合终端上的专家系统的误用检测技术对网络流量、用户行为数据进行有效检测；

4、将通过有效检测的网络流量、用户行为数据采用部署在云端上的预先训练好的混合模型进行异常检测；

5、通过与云端连接的融合终端接受云端反馈的检测结果；

6、其中，所述预先训练好的混合模型包括卷积神经网络和长短时记忆网络；

7、所述预先训练好的混合模型是基于异常的网络流量数据和对应的用户行为异常模式分别对卷积神经网络和长短期记忆网络进行训练得到的。

8、可选的，所述采用部署在融合终端上的专家系统的误用检测技术对网络流量、用户行为数据进行有效检测，包括：

9、将网络流量和用户行为数据输入专家系统中，与所述专家系统中预先构建的专家知识库和推理规则进行匹配，得到有效检测结果；

10、其中，所述预先构建的专家知识库和推理规则是通过收集、整理和分析已知的电网业务场景、数据特征、攻击模式、系统漏洞以及异常行为特征构建的。

11、可选的，所述将网络流量和用户行为数据输入专家系统中，与所述专家系统中预先构建的专家知识库和推理规则进行匹配，得到有效检测结果，包括：

12、若网络流量和用户行为数据与预先构建的专家知识库和推理规则中的某个攻击模式或异常行为匹配成功，则有效检测结果为恶意攻击或误用行为；否则有效检测结果为正常。

13、可选的，还包括：通过所述预先训练好的混合模型根据异常检测结果计算得到新的安全知识；

14、基于所述新的安全知识更新专家系统的知识库；

15、其中，所述新的安全知识包括：误用模式和攻击手段。

16、可选的，所述将通过有效检测的网络流量、用户行为数据采用部署在云端上的预先训练好的混合模型进行异常检测，包括：

17、采用预先训练好的卷积神经网络对网络流量和用户行为数据进行特征提取，得到局部特征；

18、将所述局部特征作为输入到预先训练好的长短时记忆网络中，捕捉数据中的长期依赖关系；

19、基于所述长期依赖关系判断所述网络流量数据是否存在异常行为。

20、可选的，所述混合模型的训练包括：

21、获取历史的入侵数据、入侵行为，以及对应的入侵类型；

22、采用独热编码将所述入侵类型、所述入侵行为和入侵类型转换为二进制向量，并将所述二进制向量作为数值特征；

23、对所述数值特征进行标准分数归一化处理，得到标准正态分布；

24、由所述标准正态分布构建二维矩阵；

25、由所述二维矩阵对所述卷积神经网络进行训练，得到训练好的卷积神经网络；

26、将所述二维矩阵带入所述训练好的卷积神经网络中进行特征提取，输出局部特征；

27、将所述局部特征按时间窗组成序列数据；

28、将所述序列数据带入长短期记忆网络中捕捉数据中的长期依赖关系，得到训练好的长短期记忆网络；

29、由训练好的卷积神经网络和训练好的长短期记忆网络构建训练好的混合模型。

30、可选的，在采用专家系统的误用检测技术对网络流量、用户行为数据进行有效检测之后，还包括：

31、如果有效检测结果为某个数据特征与知识库中的某个攻击模式或异常行为匹配，触发报警机制。

32、可选的，所述通过与云端连接的融合终端接受云端反馈的检测结果，包括：

33、当网络流量和用户行为数据通过异常检测时，云端向融合终端反馈通过；

34、当网络流量和用户行为数据未通过异常检测时，云端向融合终端反馈未通过，以及最新规则。

35、再一方面本发明还提供了基于自学习零可信的融合终端安全交互实现系统，包括：

36、流量解析模块，用于捕捉网络环境运行中的网络流量和用户行为数据；

37、网络模型管理模块，用于采用部署在融合终端上的专家系统的误用检测技术对网络流量、用户行为数据进行有效检测；并将通过有效检测的网络流量、用户行为数据采用部署在云端上的预先训练好的混合模型进行异常检测；

38、前后端交互模块，用于通过与云端连接的融合终端接受云端反馈的检测结果；

39、其中，所述预先训练好的混合模型包括卷积神经网络和长短时记忆网络；

40、所述预先训练好的混合模型是基于异常的网络流量数据和对应的用户行为异常模式分别对卷积神经网络和长短期记忆网络进行训练得到的。

41、可选的，网络模型管理模块包括：

42、有效检测子模块，用于将网络流量和用户行为数据输入专家系统中，与所述专家系统中预先构建的专家知识库和推理规则进行匹配，得到有效检测结果；

43、异常检测子模块，用于将通过有效检测的网络流量、用户行为数据采用预先训练好的混合模型进行异常检测；

44、其中，所述预先构建的专家知识库和推理规则是通过收集、整理和分析已知的电网业务场景、数据特征、攻击模式、系统漏洞以及异常行为特征构建的。

45、可选的，有效检测子模块具体用于：

46、若网络流量和用户行为数据与预先构建的专家知识库和推理规则中的某个攻击模式或异常行为匹配成功，则有效检测结果为恶意攻击或误用行为；否则有效检测结果为正常。

47、基于自学习零可信的融合终端安全交互实现系统，还包括：更新模块，用于通过所述预先训练好的混合模型根据异常检测结果计算得到新的安全知识；基于所述新的安全知识更新专家系统的知识库；

48、其中，所述新的安全知识包括：误用模式和攻击手段。

49、可选的，异常检测子模块具体用于：

50、采用预先训练好的卷积神经网络对网络流量和用户行为数据进行特征提取，得到局部特征；

51、将所述局部特征作为输入到预先训练好的长短时记忆网络中，捕捉数据中的长期依赖关系；

52、基于所述长期依赖关系判断所述网络流量数据是否存在异常行为。

53、基于自学习零可信的融合终端安全交互实现系统，还包括：训练模块，用于训练混合模型。

54、所述训练模块具体用于：

55、获取历史的入侵数据、入侵行为，以及对应的入侵类型；

56、采用独热编码将所述入侵类型、所述入侵行为和入侵类型转换为二进制向量，并将所述二进制向量作为数值特征；

57、对所述数值特征进行标准分数归一化处理，得到标准正态分布；

58、由所述标准正态分布构建二维矩阵；

59、由所述二维矩阵对所述卷积神经网络进行训练，得到训练好的卷积神经网络；

60、将所述二维矩阵带入所述训练好的卷积神经网络中进行特征提取，输出局部特征；

61、将所述局部特征按时间窗组成序列数据；

62、将所述序列数据带入长短期记忆网络中捕捉数据中的长期依赖关系，得到训练好的长短期记忆网络；

63、由训练好的卷积神经网络和训练好的长短期记忆网络构建训练好的混合模型。

64、可选的，还包括：报警模块，用于如果有效检测结果为某个数据特征与知识库中的某个攻击模式或异常行为匹配，触发报警机制。

65、可选的，还包括：数据管理模块，用于管理和存储实时网络入侵系统中的数据，管理文件中的原始网络流量包和解析后储存到数据库的特征数据，另外将网络模型检测的结果信息存储到数据库中。

66、再一方面，本技术还提供了一种计算设备，包括：至少一个处理器和存储器；

67、所述存储器，用于存储一个或多个程序；

68、当所述一个或多个程序被所述至少一个处理器执行时，实现如上述所述的基于自学习零可信的融合终端安全交互实现方法。

69、再一方面，本技术还提供了一种计算机可读存储介质，其上存有计算机程序，所述计算机程序被执行时，实现如上述所述的基于自学习零可信的融合终端安全交互实现方法。

70、与现有技术相比，本发明的有益效果为：

71、本发明提供了基于自学习零可信的融合终端安全交互实现方法，包括获取网络流量和用户行为数据；采用部署在融合终端上的专家系统的误用检测技术对网络流量、用户行为数据进行有效检测；将通过有效检测的网络流量、用户行为数据采用部署在云端上的预先训练好的混合模型进行异常检测；通过与云端连接的融合终端接受云端反馈的检测结果；其中，所述预先训练好的混合模型包括卷积神经网络和长短时记忆网络；所述预先训练好的混合模型是基于异常的网络流量数据和对应的用户行为异常模式分别对卷积神经网络和长短期记忆网络进行训练得到的。本发明提高了内部运行安全性，有效提升终端自身通信的安全防护，结合基于专家系统的误用检测技术，进一步提高了基于深度学习的网络入侵检测方法的效果。