一种用于电网伪装响应设备的业务模式指纹识别检测方法技术

本发明专利技术提供一种用于电网伪装响应设备的业务模式指纹识别检测方法。所述用于电网伪装响应设备的业务模式指纹识别检测方法包括以下步骤S1.设备业务流量数据采集、频繁模式挖掘的报文序列生成与指纹构建和无监督学习模型的伪装响应设备检测；S2.在设备业务流量数据采集阶段，可利用深度包检测技术对报文应用层所携带的不同内容进行分析识别和规则匹配，将不同业务的请求报文进行分类。本发明专利技术提供的用于电网伪装响应设备的业务模式指纹识别检测方法实现对伪装响应设备的虚假响应行为的精准辨识，实现对智能电网非法接入设备的快速检测和精准识别，提升智能电网基础设施的信息安全水平的优点。安全水平的优点。安全水平的优点。

【技术实现步骤摘要】
一种用于电网伪装响应设备的业务模式指纹识别检测方法


[0001]本专利技术属于电网伪装响应设备的业务模式指纹识别检测
，尤其涉及一种用于电网伪装响应设备的业务模式指纹识别检测方法。

技术介绍

[0002]如何检测出电网中的非法接入设备，减轻攻击对系统的破坏，是智能电网安全领域中不可忽视的难题，针对通信网络中非法接入设备的检测和识别问题，目前有两类主流解决方案：(1)利用入侵检测技术识别具有异常行为的设备；(2)利用身份识别技术辨识设备的合法身份，而伪装响应设备是指在对设备进行注册管理和状态监测的网络中接入的活跃非法设备，试图利用中间人攻击、状态量伪造等技术构造合法的响应报文，伪装成网络内的合法通信设备，伪装响应设备可以通过精心伪装得到与正常设备几乎无异的报文内容和流量统计特征，这种非法接入设备行为的高度隐蔽性，使得现有基于报文内容和流量统计特征的入侵检测方法基本失效。因此与本专利技术最相近似的技术方案是被动式设备指纹识别技术；
[0003]指纹识别技术可结合通信设备的差异化特性构建指纹信息库，实现对设备身份的识别和检测，其主要分为主动式与被动式两大类，主动式设备指纹识别方法是通过发送报文等方式主动收集被认证设备的信息，这种方法可获得较多的设备信息，识别精准度较高，但可能会干扰工控系统的正常业务，而被动式设备指纹识别方法是通过监测通信流量等方式分析提取出被认证设备的信息，至于如何检测出电网中的非法接入设备，减轻攻击对系统的破坏，是智能电网安全领域中不可忽视的难题。
[0004]因此，有必要提供一种新的用于电网伪装响应设备的业务模式指纹识别检测方法解决上述技术问题。

技术实现思路

[0005]本专利技术解决的技术问题是提供一种实现对伪装响应设备的虚假响应行为的精准辨识，实现对智能电网非法接入设备的快速检测和精准识别，提升智能电网基础设施的信息安全水平的用于电网伪装响应设备的业务模式指纹识别检测方法。
[0006]为解决上述技术问题，本专利技术提供的用于电网伪装响应设备的业务模式指纹识别检测方法包括以下步骤
[0007]S1.设备业务流量数据采集、频繁模式挖掘的报文序列生成与指纹构建和无监督学习模型的伪装响应设备检测；
[0008]S2.在设备业务流量数据采集阶段，可利用深度包检测技术对报文应用层所携带的不同内容进行分析识别和规则匹配，将不同业务的请求报文进行分类；
[0009]S3.在对请求报文特征字段的分类统计和分析基础上，批量生成深度包检测规则，并基于Snort系统实现对不同业务请求报文的分类采集，所述Snort是一款基于规则匹配的网络入侵检测系统，其具有实时流量分析和记录IP网络数据报文的能力，可以进行协议分
析，并基于预定义规则对网络报文的内容进行搜索和匹配；
[0010]S4.在基于频繁模式挖掘的业务序列生成和指纹构建阶段，借助数据挖掘领域的PrefixSpan算法挖掘频繁序列模式，且在算法中，序列的支持度指报文序列出现次数占总序列数据集的比重，频繁序列指支持度超过支持度阈值的序列，前缀指序列数据前面部分的子序列，后缀/前缀投影指序列里前缀后面剩下的子序列；
[0011]S5.对PrefixSpan算法进行改进，在递归过程中，对长序列判定是否属于频繁序列时允许使用更小的支持度阈值，在得到长度不同的频繁序列集合后，对不同长度的频繁序列，分别选取其中支持度最高的若干组，用于后续的特征提取，其特征提取包括如下：
[0012](1).在提取出代表典型业务的频繁报文序列后，可进一步提取其时间特征，考虑长度为l的特征序列seq
k
，各数据包为可从历史流量数据中抽取一下请求报文的时间特征，具体如下：
[0013][0014][0015]上述式中，其中，各报文之间的时间间隔可以体现出业务流程中各请求的整体时间分布特征/序列长度为1的业务无此特征，即各请求的设备响应时间则是改业务中各请求的基础特征，最终得到的代表业务特征序列seq
k
的时间特征，对K组频繁报文序列的时间特征进行汇总，可得到列向量v
r
×1＝[v1,v2,
…
,v
K
]T
，作为能精确刻画设备不同业务差异性的设备业务模式指纹。
[0016]作为本专利技术的进一步方案，所述PrefixSpan算法的基本思想为：从长度为1的前缀开始挖掘序列模式，搜索对应的投影数据库得到长度为1的前缀对应的频繁序列，然后递归地挖掘长度为2的前缀所对应的频繁序列，以此类推，一直递归到不能挖掘到更长的前缀为止。
[0017]作为本专利技术的进一步方案，所述设备业务流量数据采集是通过利用深度包检测技术采集不同业务的请求报文，用于构建智能电网通信网络的设备业务模式指纹。
[0018]作为本专利技术的进一步方案，所述频繁模式挖掘的报文序列生成与指纹构建是利用频繁模式挖掘算法挖掘出和业务密切相关的请求报文序列，并结合报文的响应时间和序列间隔时间特征，构建智能电网通信网络的设备业务模式指纹。
[0019]作为本专利技术的进一步方案，所述无监督学习模型的伪装响应设备检测是先对设备业务模式指纹进行特征降维，再采用单类支持向量机这种无监督学习模型进行聚类并设定正常设备的判决边界,之后利用该边界检测设备响应是否异常。
[0020]与相关技术相比较，本专利技术提供的用于电网伪装响应设备的业务模式指纹识别检测方法具有如下有益效果：
[0021]1、本专利技术基于设备业务模式指纹识别的检测方法，实现对伪装响应设备的虚假响应行为的精准辨识，实现对智能电网非法接入设备的快速检测和精准识别，提升智能电网基础设施的信息安全水平。
附图说明
[0022]为了便于本领域技术人员理解，下面结合附图对本专利技术作进一步的说明。
[0023]图1为本专利技术的原理框图；
[0024]图2为本专利技术业务报文序列及其时间特征的原理框图。
具体实施方式
[0025]请结合参阅图1和图2，其中，图1为本专利技术的原理框图；图2为本专利技术业务报文序列及其时间特征的原理框图。用于电网伪装响应设备的业务模式指纹识别检测方法包括：S1.设备业务流量数据采集、频繁模式挖掘的报文序列生成与指纹构建和无监督学习模型的伪装响应设备检测；
[0026]S2.在设备业务流量数据采集阶段，可利用深度包检测技术对报文应用层所携带的不同内容进行分析识别和规则匹配，将不同业务的请求报文进行分类；
[0027]S3.在对请求报文特征字段的分类统计和分析基础上，批量生成深度包检测规则，并基于Snort系统实现对不同业务请求报文的分类采集，所述Snort是一款基于规则匹配的网络入侵检测系统，其具有实时流量分析和记录IP网络数据报文的能力，可以进行协议分析，并基于预定义规则对网络报文的内容进行搜索和匹配；
[0028]S4.在基于频繁模式挖掘的业务序列生成和指纹构建阶段，借助数据挖掘领域的PrefixSpan算法挖掘频繁序列模式，且在算法本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于电网伪装响应设备的业务模式指纹识别检测方法，其特征在于，包括以下步骤S1.设备业务流量数据采集、频繁模式挖掘的报文序列生成与指纹构建和无监督学习模型的伪装响应设备检测；S2.在设备业务流量数据采集阶段，可利用深度包检测技术对报文应用层所携带的不同内容进行分析识别和规则匹配，将不同业务的请求报文进行分类；S3.在对请求报文特征字段的分类统计和分析基础上，批量生成深度包检测规则，并基于Snort系统实现对不同业务请求报文的分类采集，所述Snort是一款基于规则匹配的网络入侵检测系统，其具有实时流量分析和记录IP网络数据报文的能力，可以进行协议分析，并基于预定义规则对网络报文的内容进行搜索和匹配；S4.在基于频繁模式挖掘的业务序列生成和指纹构建阶段，借助数据挖掘领域的PrefixSpan算法挖掘频繁序列模式，且在算法中，序列的支持度指报文序列出现次数占总序列数据集的比重，频繁序列指支持度超过支持度阈值的序列，前缀指序列数据前面部分的子序列，后缀/前缀投影指序列里前缀后面剩下的子序列；S5.对PrefixSpan算法进行改进，在递归过程中，对长序列判定是否属于频繁序列时允许使用更小的支持度阈值，在得到长度不同的频繁序列集合后，对不同长度的频繁序列，分别选取其中支持度最高的若干组，用于后续的特征提取，其特征提取包括如下：(1).在提取出代表典型业务的频繁报文序列后，可进一步提取其时间特征，考虑长度为l的特征序列seq
k
，各数据包为可从历史流量数据中抽取一下请求报文的时间特征，具体如下：报文的时间特征，具体如下：上述式中，其中，各报文之间的时间间隔可以体现出业务流程中各请求的整体时间分布特征/序列长度为...

【专利技术属性】
技术研发人员：仇晨光，赵玉林，丁超杰，梁文腾，王博仑，李蓝青，李艺丰，王余阳，
申请(专利权)人：南京通衡信息科技有限公司仇晨光李艺丰，
类型：发明
国别省市：