(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211094919.2 (22)申请日 2022.09.05 (71)申请人 国网江苏省电力有限公司 地址 210000 江苏省南京市上海路215号 申请人 南京通衡信息科技有限公司 　 仇晨光　李艺丰 (72)发明人 仇晨光　赵玉林　丁超杰　梁文腾　 王博仑　李蓝青　李艺丰　王余阳　 (51)Int.Cl. H04L 9/40(2022.01) H02J 3/00(2006.01) (54)发明名称 一种用于电网伪装响应设备的业务模式指 纹识别检测方法 (57)摘要 本发明提供一种用于电网伪装响应设备的 业务模式指纹识别检测方法。 所述用于电网伪装 响应设备的业务模式指纹识别检测方法包括 以 下步骤S1.设备业务流量数据采集、 频繁模式挖 掘的报文序列生成与指纹构建和无监督学习模 型的伪装响应设备检测； S2.在设备业务流量数 据采集阶段， 可利用深度包检测技术对报文应用 层所携带的不同内容进行分析识别和规则匹配， 将不同业务的请求报文进行分类。 本发明提供的 用于电网伪装响应设备的业务模式指纹识别检 测方法实现对伪装响应设备的虚假响应行为的 精准辨识， 实现对智能电网非法接入设备的快速 检测和精 准识别， 提升智能电网基础设施的信息 安全水平的优点。 权利要求书2页 说明书4页 附图1页 CN 115473723 A 2022.12.13 CN 115473723 A 1.一种用于电网伪装响应设备的业务模式指纹识别检测方法， 其特征在于， 包括以下 步骤 S1.设备业务流量数据采集、 频繁模式挖掘的报文序列生成与指纹构建和无监督学习 模型的伪装响应设备检测； S2.在设备业务流量数据采集阶段， 可利用深度包检测技术对报文应用层所携带的不 同内容进行分析识别和规则匹配， 将不同业 务的请求报文 进行分类； S3.在对请求报文特征字段的分类统计和分析基础上， 批量生成深度包检测规则， 并基 于Snort系统实现对不同业务请求报文的分类采集， 所述Snort是一款基于规则匹配的网络 入侵检测系统， 其具有实时流量分析和记录IP网络数据报文的能力， 可以进 行协议分析， 并 基于预定义 规则对网络报文的内容进行搜索和匹配； S4.在基于频繁模式挖掘的业务序列生成和指纹构建阶段， 借助数据挖掘领域的 PrefixSpan算法挖掘频繁序列模式， 且在算法中， 序列的支持度指报文序列出现次数占总 序列数据集的比重， 频繁序列指支持度超过支持度阈值的序列， 前缀指序列数据前面部分 的子序列， 后缀/前缀投影指序列里 前缀后面剩下的子序列； S5.对Pre fixSpan算法进行改进， 在递归过程 中， 对长序列判定是否属于频繁序列时允 许使用更小的支持度阈值， 在得到长度不同的频繁序列集合后， 对不同长度的频繁序列， 分 别选取其中支持度最高的若干组， 用于后续的特 征提取， 其特 征提取包括如下： (1).在提取出代表典型业务的频繁报文序列后， 可进一步提取其时间特征， 考虑长度 为l的特征序列seqk， 各数据包为 可从历史流 量数据中抽取一下请求 报文的时间特 征， 具体如下： 上述式中， 其中， 各报文之间的时间间隔可以体现出业务流程中各请求的整体时间分 布特征/序列长度为1的业务无此特征， 即 各请求的设备响应时间则是改业务中各 请求的基础特征， 最终得到的 代表业务特征序列seqk的时间特征， 对K组频 繁报文序列的时间特征进行汇总， 可得到列向量vr×1＝[v1,v2,…,vK]T， 作为能精确刻画设 备不同业 务差异性的设备业 务模式指纹。 2.根据权利要求1所述的用于电网伪装响应设备的业务模式指纹识别检测方法， 其特 征在于： 所述PrefixSpan算法的基本思想为： 从长度为1的前缀开始挖掘序列模式， 搜索对 应的投影数据库得到长度为 1的前缀对应的频繁序列， 然后递归地挖掘长度为2的前缀所对 应的频繁序列， 以此类 推， 一直递归到不能挖掘到更长的前缀 为止。 3.根据权利要求1所述的用于电网伪装响应设备的业务模式指纹识别检测方法， 其特 征在于： 所述设备业务流量数据采集是通过利用深度包检测技术采集不同业务的请求报 文， 用于构建智能电网通信网络的设备业 务模式指纹。 4.根据权利要求1所述的用于电网伪装响应设备的业务模式指纹识别检测方法， 其特 征在于： 所述频繁模式挖掘的报文序列生成与指纹构建是利用频繁模式挖掘算法挖掘出和 业务密切相关的请求报文序列， 并结合报文的响应时间和序列间隔时间特征， 构建智能电权　利　要　求　书 1/2 页 2 CN 115473723 A 2网通信网络的设备业 务模式指纹。 5.根据权利要求1所述的用于电网伪装响应设备的业务模式指纹识别检测方法， 其特 征在于： 所述无监督学习模型的伪装响应设备检测是先对设备业务模式指纹进行特征降 维， 再采用单类支持向量机这种 无监督学习模型进行聚类并设定正常设备 的判决边界,之 后利用该边界检测设备响应是否异常。权　利　要　求　书 2/2 页 3 CN 115473723 A 3