[发明专利]样本数据生成方法、模型训练方法及设备指纹分类方法

说明书

一种样本数据生成方法、模型训练方法、设备指纹分类方法及装置，该样本数据生成方法包括：抓取智能变电站报文；解析智能变电站报文，并使用解析后的报文字段，结合SCD文件存储的智能变电站结构信息，获取设备类型标签以及更新设备标签表；基于更新后的设备标签表，得到设备类型标签值以及报文特征字段并将其封装为PTD数据集以作为智能变电站测控设备指纹分类模型的样本数据。利用本发明实施例提供的方法生成的样本数据对模型训练，可以提高模型的特征提取效果及泛化性，进而可以实现模型对智能变电站测控设备的识别分类。

技术领域

本发明涉及智能电网信息安全技术领域，具体而言，涉及一种样本数据生成方法、模型训练方法、设备指纹分类方法及装置。

背景技术

随着智能电网信息化的发展，电力工控系统面临的网络安全风险日益突出。电力工控系统作为智能电网的重要组成部分，既是提供服务的物理基础，也是遭受网络攻击的主要目标。近年来通过网络攻击引起电力设备或电网故障的事件频发，电力工控系统亟需更强的安全措施提高系统的安全性。变电站自动化系统作为电力工控系统的重要组成部分，通过通信网络及智能终端实现对变电站的自动监视、测量、控制及协调，并与其他多个系统存在信息交互，在电力系统中起着至关重要的作用。

设备指纹是指可以用于唯一标识出该设备的设备特征或者独特的设备标识。目前，设备指纹作为终端设备的识别认证方式之一，在PC端和移动终端具有广泛应用。现有的设备指纹获取方式主要分为主动式设备指纹获取和被动式设备指纹获取两种，主动式指纹获取使用探寻帧获取设备信息，而被动式设备指纹获取通过抓取网络流量提取特征从而实现设备识别。然而，主动式设备指纹获取需要针对设备发送探寻帧，在电力工控系统中的部署复杂，且对带宽有一定要求，容易造成电力工控设备网络资源的过度消耗；此外，虽然目前有结合设备指纹与Web应用指纹的Zoomeye、基于TCP/IP协议栈指纹的Nmap等多种具有主动式指纹获取能力的扫描工具，但是这些识别引擎和工具在电力工控领域并不适用；被动式指纹获取使用流量数据生成指纹特征，需要针对流量特征字段进行分析，目前的研究主要集中在对无线设备的识别，针对有线网络连接的电力工控网络设备的研究较为匮乏，针对智能变电站测控设备的被动式设备指纹获取方法有待提出。

发明内容

鉴于此，本发明提出了一种样本数据生成方法、模型训练方法、设备指纹分类方法及装置，旨在解决现有技术中设备指纹获取方式存在部署复杂、带宽要求高以及容易造成电力工控设备网络资源的过度消耗等问题，填补被动式设备指纹获取技术空白。

第一方面，本发明实施例提出了一种样本数据生成方法，所述方法包括：抓取智能变电站报文；解析所述智能变电站报文，并使用解析后的报文字段，结合SCD文件存储的智能变电站结构信息，获取设备类型标签以及更新设备标签表；基于更新后的设备标签表，得到设备类型标签值以及报文特征字段，并将所述报文特征字段和所述设备类型标签值封装为PTD数据集以作为智能变电站测控设备指纹分类模型的样本数据。

进一步地，解析所述智能变电站报文之前，包括：对所述智能变电站报文的内容进行检查。

进一步地，解析所述智能变电站报文，并使用解析后的报文字段，结合SCD文件存储的智能变电站结构信息，获取设备类型标签以及更新设备标签表，包括：解析所述智能变电站报文，得到MAC地址及APPID序号；在SCD文件中搜索当前解析得到的APPID序号，得到当前报文对应的设备类型信息；根据当前设备标签表中是否存在所述当前报文对应的设备类型信息以及当前解析得到的MAC地址，判断是否对当前设备标签表进行更新。

进一步地，所述方法还包括：初始化数据库表，创建用于存储标签信息和设备信息的设备标签表。