(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210939713.9 (22)申请日 2022.08.05 (71)申请人 云南电网有限责任公司信息中心 地址 650000 云南省昆明市拓东路73号 (72)发明人 谢林江　吕垚　向华伟　杭菲璐　 张振红　李寒箬　尹君　王海林　 廖莹璐　唐旭玥　 (74)专利代理 机构 北京卓恒知识产权代理事务 所(特殊普通 合伙) 11394 专利代理师 龙世和 (51)Int.Cl. H04L 9/40(2022.01) H04W 4/38(2018.01) H04W 4/02(2018.01) H04W 64/00(2009.01) (54)发明名称 一种网络行为可信性分析系统及处 理装置 (57)摘要 本发明公开了一种网络行为可信性分析系 统及处理装置， 包括可信云网络节 点安全分级系 统、 多级可信安全防护配置系统、 网络安全监测 系统和云服务系统， 所述网络节 点安全分级系统 通过计算网络节点的重要性值将网络节点分为4 个不同的安全等级。 本发明提出了一种将网络节 点安全分级和可信计算的核心加密技术有机结 合的安全防护云系统， 使 得不同安全等级的网络 节点之间可信度以及计算量能自适应调整； 安全 网络系统节点安全分级系统采用最小生成树为 基础的节点重要性计算， 能较精确、 计算量较小 地计算网络节 点的重要性， 并以此为依据对网络 内的节点进行安全分级。 权利要求书3页 说明书6页 附图1页 CN 115514515 A 2022.12.23 CN 115514515 A 1.一种网络行为可信性分析系统， 其特征在于， 包括可信云网络节点安全分级系统、 多 级可信安全防护配置系统、 网络安全监测系统和云服务系统， 所述网络节点安全分级系统 通过计算网络节点的重要性值将网络节点分为4个不同的安全等级， 所述多级可信安全防 护配置系统根据可信云 网络节点安全分级系统的分级 结果， 为不同安全等级的网络节点以 及节点之间的链路提供不同的安全加密服务， 确保数据不会被随意获取， 保证系统的可信 性； 所述网络安全监测系统用于监测网络节点状态， 所述云服务系统为整个安全防护云系 统提供云支撑； (1)可信云网络节点安全分级系统包括关联矩阵生成模块、 最小生成树模 块、 分级模块和更替模块， 通过计算网络节点的重要性值将网络节点分为4个不同的安全等 级， 构建整体信任环境和可信数据平台， 所述可信云 网络节点分级系统为可信链的起点， 所 述可信云网络节点安全分级系统、 多级可信安全防护配置系统、 网络安全监测系统和云服 务系统生成共同构成可信链， 上述各系统均设置有3G模块和数据收发应用程序， 数据通过 3G模块进行传输， 3G模块上电后， 由所述可信数据平台进行上电检测： a、 关联矩阵生成模 块： 用G表示一个具有m个网络节点V和n条链路E的无向图， 其中V＝{V1， V2， …Vm}， E＝{E1， E2，…En}， 用一个m ×n的关联矩阵R表示网络结构中节点和链路的连接关系， 矩阵R的一行 对应网络中的一个网络节点， R的一列表示网络节点与对应边的关联属性的值， R中每个元 素的值均为0或1， 其中0代表链路与网络节 点不关联， 1代表链路与网络节点关联； b.最小生 成树模块： 用(i， j)代表无向图G中连接网络节点Vi与网络节点Vj的链路， ω(Vi， Vj)代表此 链路的权重， 若存在 T为E的子集且为无循环图， 使得ω(T)最小， 就将T称为G的最小生 成树， 则G中最小生成树总数τ(G)＝ det(RRT)， 其中det(.)代表行列式生成函数； c.分级模块： 由 下式得到节点Vi的重要性值ri： 其中τ(G)为由最小生成树计算模块得到的最小生成树总 数； k为关联矩阵R 中第i行非零元素的数量， Z 是移除R的第i行和第i行的非零元素所在列之 后得到的新的矩阵， det(Zi)代表Z的行列式； ri的值越大， 即节点显示出越高的重要性， 当 ri的值取1的时候， 则表示V i是该网络中最重要的网络节 点， 一旦该网络节 点被破坏图的连 通性就会极大程度地被破坏， 从而造成网络通信中断； 分别计算所有网络节点的重要性值， 同时设定分级阈值T1、 T2、 T3， 且T1＞T2＞T3， 如果ri＞T1， 则将该网络节点标记为重要节 点， 如果T1＞ri＞T2， 则将该网络节点标记为次重要节点， 如果T2＞ri＞T3， 则将该网络节 点标记为中间节点， 如果ri小于T3， 则将该网络节点标记为边缘节点， 并且将重要节点、 次 重要节点、 中间节点和边缘节点的安全等级分别记为等级1、 等级2、 等级3和等级4； d.更替 模块： 每当网络节点数量或者节点位置发生变化时， 自动重新计算每个网络节点的重要性 值， 并重新进行安全分级和标记； (2)多级可信安全防护配置系统： 在安全等级相同的网络 节点之间， 认证进 行信息收集的网络中的硬件节 点， 判断网络硬件节点可信度， 建立所采集 信息的信任关系， 采用基于网络层的安全网际协 议IPSec进 行信息交互， 提供通道级的信息 安全防护， IPSec协议将密码技术应用于网络层， 提供点到点数据传输的包括安全认证、 数 据加密、 访问控制、 完整性鉴别的安全服务； 不同安全等级的网络节点之 间采用工作在网络 层协议之上的应用层协 议进行信息交互， 应用层的安全以PKI系统为基础， 用密码技术确保 信息文件传输、 共享和使用的安全， 确保数据不会被随意 获取； (3)网络安全监测系统， 用于 监测网络节点数和网络节点位置， 配合网络节点安全分级系统共同构建安全信任环境， 其 包括感知模块和传输模块： 所述感知模块通过在 网络节点周围部署大量无线传感器实现， 所述无线传感器通过接受网络节点无线信号， 结合自身与其他无线传感器位置关系， 对网权　利　要　求　书 1/3 页 2 CN 115514515 A 2络节点位置进行定位； (4)云服务系统， 包括云存储模块和云计算模块； 所述云存储模块包 括公有云存储子模块和私有云存储子模块， 所述 公有存储云子模块主要存储网络节点分级 数据， 其存储内容外界可进行自由访问， 所述私有云存储子模块主要存储密匙和解密函数， 只有通过身份验证的人员才能够进行访问， 在已建立的的安全信任环境下进一步 实现数据 的安全可信储存和访问； 所述云计算模块通过部署SOA 服务器实现， 包括 公有云计算子模块 和私有云计算子模块， 所述 公有云计算子模块为可信云 网络节点安全分级系统和网络安全 监测系统提供计算支撑， 所述私有云计算子模块为多级可信安全防护配置系统提供计算支 撑， 各类用户通过终端程序获取云端 数据； 所述云服务系统还提供可信软件系统， 所述可信 软件系统为操作系统和应用软件提供使用可信数据平台的接口， 同时对所述可信数据 平台 后续软件提供完整性度量， 并对不可控操作系统的特定行为进行行为审计和分析； 所述后 续软件包括核心加载 软件和不可控操作系统软件。 2.根据权利要求1所述的一种网络行为可信性分析系统， 其特征在于， 所述多级可信安 全防护配置系统具体来说采用以下的加密方式进行加密， 确保数据不会被随意获取： a.对 于安全等级为n1的网络节 点A和安全等级为n2的网络节 点B， 当A要向B传送信息MES时， 首先 由A向B发送请求， B返回丨n1 ‑n2丨个随机数RD1， B保留RD1； b.A用预先分配的密匙对每个 RD1进行数字签名， 并产生丨n1 ‑n2丨个对应的随机数RD2； 将RD1和RD2组成一个丨n1 ‑n2丨 ×丨n1‑n2丨阶的矩阵， 利用矩阵加密技术对信息MES进行加密， 将加密结果发送到B； c.B调 用解密函数对加密后的信息进行解密， 得到RD1 ′和信息MES， 将RD1和RD1 ′进行比较匹配， 如 果匹配成功则接收并保留MES， 如果不一致则将MES返还A或者将其丢弃； 所述网络安全监测 系统中网络节 点的具体定位操作如下： (1)以网络节点为圆心， r 为半径画圆， 落在圆内的无 线传感器数量为n； (2)第i个无线传感器接受到该网络节点的信号强度对应为qi， i＝1, 2,…,n； (3)网络节点的位置(x,y)如下： 所述传输模块用于将感知模块的监测结果传输到 云服务系统。 3.一种网络行为可信性分析处理装置， 其特征在于， 包括数据生成模块与区块链网络 节点， 其特征在于： 所述数据生成模块包括客户用应程序， 所述客户用应程序电性输出连接 MDBREST通用接口， 所述MDBREST通用接口电性输出连接数据核验模块， 所述数据核验模块 电性输入连接数据接 收模块， 所述数据核验模块电性输出连接数据转换模块， 所述数据核 验模块电性输出连接MDB区块链网络平台， 所述MDB区块链网络平台电性输出连接数据确认 记录模块， 且MDBREST通用接口电性输入连接数据确认记录模块， 所述数据确认记录模块电 性输出连接数据输送模块， 所述数据输送模块电性输出连接数据库， 所述数据库电性输出 连接存储模块。 4.根据权利要求3所述的一种网络行为可信性分析处理装置， 其特征在于， 所述 区块链 网络节点采用分布式多节点部署方式， 且区块链网络节点双向电性输出连接节点一、 节点 二、 节点三与节点四。 5.根据权利要求4所述的一种网络行为可信性分析处理装置， 其特征在于， 所述节点 一、 节点二、 节