电网设备的接入验证系统和方法与流程

1.本技术涉及网络安全技术领域，特别是涉及一种电网设备的接入验证系统和方法。


背景技术：

2.互联网采用分组交换的方式进行数据传输。网络分组又称作ip(internet protocol address，互联网协议地址)报文，每个ip报文都有自己的源地址和目的地址。报文被发送到网络上后，路由器依据报文的目的地址来决定如何将报文转发至目的主机。
3.在这种传输模式下，报文的源地址只是用于让目的主机来识别发送者并进行可能的反向数据传输，而对报文的转发过程不起任何作用。因此，路由器在转发报文时通常忽略其源地址，不做检查。这样源主机在发送报文的时候可以填写任意的源地址，而不妨碍报文被转发到目的主机。如果源主机使用了没有被分配给它的ip地址作为源地址，那么这种行为被称作源地址伪造。这种方式使得设备可以使用假冒的源地址发送数据报文实现非法接入。
4.因此，确保设备的网络接入安全是目前亟待解决的问题。


技术实现要素：

5.基于此，有必要针对上述技术问题，提供一种能够保障设备网络接入的安全性的电网设备的接入验证系统和方法。
6.第一方面，本技术提供了一种电网设备的接入验证系统。所述系统包括：
7.子网接入节点，用于当电网设备接入子网时，获取由电网设备发送的包含目的地址的数据报文，所述数据报文为所述电网设备通过硬件连接电路对数据进行混合编程后得到的；
8.接入节点，用于对所述数据报文进行接入网源地址验证，并在所述接入网源地址验证通过的情况下，向自治域内的域内路由器发送所述数据报文；
9.域内路由器，用于对所述数据报文进行域内源地址验证，并在所述域内源地址验证通过的情况下，向自治域的边界路由器发送所述数据报文；
10.边界路由器，用于根据所部属的分类器对所述数据报文进行域间源地址验证，并在所述域间源地址验证通过的情况下，确定所述电网设备的接入验证通过，并将所述电网设备传输的数据报文发送至目的地址。
11.在其中一个实施例中，所述接入节点还用于提取所述数据报文中携带的源地址，所述源地址基于预先分配至所述电网设备的网络地址得到；基于预先配置的地址过滤表对所述源地址进行验证，当所述源地址存在于所述过滤表中时，确认所述源地址合法，并确定所述接入网源地址验证通过。
12.在其中一个实施例中，所述域内路由器还用于提取所述数据报文中携带的源地址，并确定所述源地址的源地址前缀；基于预先配置的子网过滤表，在确定所述源地址前缀
属于当前所接入的子网时，确定所述域内源地址验证通过。
13.在其中一个实施例中，所述边界路由器还用于提取所述数据报文中携带的源地址，并将所述源地址输入至预先训练好的分类器中；当所述分类器输出的结果为合法接入节点时，确定所述域间源地址验证通过；当所述分类器输出的结果为非法接入节点时，拒绝所述电网设备的接入。
14.在其中一个实施例中，所述系统还包括训练模块，所述训练模块用于获取训练集，所述训练集中包括合法接入节点和模拟非法接入节点；将所述训练集中各个节点对应的源地址依次输入至分类器中，并得到由所述分类器输出的样本分类结果；根据样本分类结果中正确结果的数量与训练集中全部节点的数量，计算分类器的认证率；将所述认证率与阈值进行比较，当所述认证率小于阈值时，对所述分类器的参数进行调整，并返回至将所述训练集中各个节点对应的源地址依次输入至分类器中的步骤继续训练，直至所述分类器的认证率达到阈值。
15.第二方面，本技术还提供了一种电网设备的接入验证方法。所述方法包括：
16.当电网设备接入子网时，通过子网接入节点获取由电网设备发送的包含目的地址的数据报文，所述数据报文为所述电网设备通过硬件连接电路对数据进行混合编程后得到的；
17.通过接入节点对所述数据报文进行接入网源地址验证，并在所述接入网源地址验证通过的情况下，向自治域内的域内路由器发送所述数据报文；
18.通过域内路由器对所述数据报文进行域内源地址验证，并在所述域内源地址验证通过的情况下，向自治域的边界路由器发送所述数据报文；
19.通过边界路由器根据所部属的分类器对所述数据报文进行域间源地址验证，并在所述域间源地址验证通过的情况下，确定所述电网设备的接入验证通过，并将所述电网设备传输的数据报文发送至目的地址。
20.在其中的一个实施例中，所述方法还包括：
21.通过接入节点提取所述数据报文中携带的源地址，所述源地址基于预先分配至所述电网设备的网络地址得到；基于预先配置的地址过滤表对所述源地址进行验证，当所述源地址存在于所述过滤表中时，确认所述源地址合法，并确定所述接入网源地址验证通过。
22.在其中的一个实施例中，所述方法还包括：
23.通过域内路由器提取所述数据报文中携带的源地址，并确定所述源地址的源地址前缀；基于预先配置的子网过滤表，在确定所述源地址前缀属于当前所接入的子网时，确定所述域内源地址验证通过。
24.在其中的一个实施例中，所述方法还包括：
25.通过边界路由器提取所述数据报文中携带的源地址，并将所述源地址输入至预先训练好的分类器中；当所述分类器输出的结果为合法接入节点时，确定所述域间源地址验证通过；当所述分类器输出的结果为非法接入节点时，拒绝所述电网设备的接入。
26.在其中的一个实施例中，所述分类器的训练步骤包括：
27.获取训练集，所述训练集中包括合法接入节点和模拟非法接入节点；
28.将所述训练集中各个节点对应的源地址依次输入至分类器中，并得到由所述分类器输出的样本分类结果；
29.根据样本分类结果中正确结果的数量与训练集中全部节点的数量，计算分类器的认证率；
30.将所述认证率与阈值进行比较，当所述认证率小于阈值时，对所述分类器的参数进行调整，并返回至将所述训练集中各个节点对应的源地址依次输入至分类器中的步骤继续训练，直至所述分类器的认证率达到阈值。
31.上述电网设备的接入验证系统和方法，通过子网接入节点获取电网设备发送的数据报文，并通过接入节点对数据报文进行接入网源地址验证，在接入网源地址验证验证通过的情况下由域内路由器进行域内源地址验证，在域内源地址验证验证通过的情况下再由边界路由器通过分类器进行域间源地址验证，从而确保源地址的安全性，防止源地址被伪造，进而保障电网设备和网络的安全性。
附图说明
32.图1为一个实施例中电网设备的接入验证系统的应用环境图；
33.图2为一个实施例中电网设备的接入验证系统的模块示意图；
34.图3为一个实施例中电网设备的接入验证方法的流程示意图；
35.图4为一个实施例中分类器的训练步骤的流程示意图；
36.图5为一个实施例中电网设备的电路示意图；
37.图6为一个实施例中计算机设备的内部结构图。
具体实施方式
38.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
39.本技术实施例提供的电网设备的接入验证系统，可以应用于如图1所示的应用环境中。电网设备102接入子网并与子网接入节点104通信连接，子网接入节点104与接入节点106通信连接，接入节点106与域内路由器108通信连接，域内路由器108与边界路由器110通信连接。电网设备102在接入子网时，子网接入节点104获取电网设备102发送的数据报文并上传至接入节点106，接入节点106对数据报文进行接入网源地址验证，在接入网源地址验证验证通过的情况下由域内路由器108进行域内源地址验证，在域内源地址验证验证通过的情况下再由边界路由器110通过分类器进行域间源地址验证。其中，电网设备包括但不限于是各种个人计算机、笔记本电脑、智能手机、电网检测仪表、以及物联网设备等。接入节点为距离电网设备网络层一跳的交换机，或者距离电网设备网络层一跳的无线接入点等。
40.在一个实施例中，如图2所示，提供了一种电网设备的接入验证系统200，该系统包括：子网接入节点202，用于当电网设备接入子网时，获取由电网设备发送的包含目的地址的数据报文，数据报文为电网设备通过硬件连接电路对数据进行混合编程后得到的。接入节点204，用于对数据报文进行接入网源地址验证，并在接入网源地址验证通过的情况下，向自治域内的域内路由器发送数据报文。域内路由器206，用于对数据报文进行域内源地址验证，并在域内源地址验证通过的情况下，向自治域的边界路由器发送数据报文。边界路由器208，用于根据所部属的分类器对数据报文进行域间源地址验证，并在域间源地址验证通
过的情况下，确定电网设备的接入验证通过，并将电网设备传输的数据报文发送至目的地址。
41.下面再详细说明该接入验证系统中的子网接入节点、接入节点、域内路由器以及边界路由器具体是如何实现对电网设备的接入验证的。
42.在其中一个实施例中，子网接入节点202，用于当电网设备接入子网时，获取由电网设备发送的包含目的地址的数据报文，数据报文为电网设备通过硬件连接电路对数据进行混合编程后得到的。
43.具体地，当电网设备接入子网时，子网接入节点与电网设备建立连接，并获取由电网设备传输的数据报文。数据报文中包括源地址和目的地址，目的地址用于指示数据报文的接收方。其中，数据报文是通过电网设备采集数据，并对采集到的数据根据数据类型进行协议选择，基于所选择的协议进行混合编程后通过以太网发送的。
44.在一些实施例中，网络服务器向电网设备发送采集指令，电网设备基于采集指令进行数据采集，并通过硬件连接电路将采集到的数据进行发送，例如通过网络接口传送到网络中，从而实现数据的收发。
45.接入节点204，用于对数据报文进行接入网源地址验证，并在接入网源地址验证通过的情况下，向自治域内的域内路由器发送数据报文。
46.具体地，接入节点对数据报文进行接入网源地址验证，以检测电网设备是否使用被分配的合法ip(internet protocol address，互联网协议地址)地址作为源地址来发送报文。在接入网源地址验证通过的情况下，向自治域内的域内路由器发送数据报文。其中，接入节点为电网设备在网络层中的下一跳地址范围内的交换机或者无线接入点。否则，若接入网源地址验证不通过，则接入节点拒绝转发该数据报文，例如可以将数据报文拦截、屏蔽或退回等。
47.域内路由器206，用于对数据报文进行域内源地址验证，并在域内源地址验证通过的情况下，向自治域的边界路由器发送数据报文。
48.具体地，域内路由器在接收到数据报文后，对数据报文进行域内源地址验证，完成子网地址前缀级别的验证，从而确保自治域内子网内的设备不能伪造属于其他子网的ip地址。在域内源地址验证通过的情况下，域内路由器向自治域的边界路由器发送数据报文。否则，若域内源地址验证不通过，则域内路由器拒绝转发该数据报文，例如可以将数据报文拦截、屏蔽或退回等。
49.边界路由器208，用于根据所部属的分类器对数据报文进行域间源地址验证，并在域间源地址验证通过的情况下，确定电网设备的接入验证通过，并将电网设备传输的数据报文发送至目的地址。
50.具体地，边界路由器在接收到数据报文后，根据所部属的分类器对数据报文进行域间源地址验证，由分类器输出数据报文对应的电网设备为合法接入节点或非法接入节点的结果。当分类器输出为合法接入节点的结果时，边界路由器确定域间源地址验证通过，即确定电网设备的接入验证通过，则边界路由器将数据报文转发至目的地址。当分类器输出为非法接入节点的结果时，边界路由器确定域间源地址验证不通过，则边界路由器拒绝将数据报文转发至目的地址，以确保本域发出去的报文的源地址属于本自治域，验证入域报文的源地址在自治域前缀级别上的正确性，减少本自治域接收到的伪造流量。
51.上述电网设备的接入验证系统中，通过子网接入节点获取电网设备发送的数据报文，并通过接入节点对数据报文进行接入网源地址验证，在接入网源地址验证验证通过的情况下由域内路由器进行域内源地址验证，在域内源地址验证验证通过的情况下再由边界路由器通过分类器进行域间源地址验证，从而确保源地址的安全性，防止源地址被伪造，进而保障电网设备和网络的安全性。本技术实施例提供的电网设备的接入验证系统能匹配路由器资源限制，在保证在为对等端提供完全保护的前提下，能够最小化非部署者得到的免费保护，从而最优化部署收益。利用源地址验证，通过识别和过滤伪造报文，在攻击发生的时候前摄地或主动地抑制伪造攻击。
52.在一个实施例中，接入节点还用于提取数据报文中携带的源地址，源地址基于预先分配至电网设备的网络地址得到；基于预先配置的地址过滤表对源地址进行验证，当源地址存在于过滤表中时，确认源地址合法，并确定接入网源地址验证通过。
53.其中，电网设备预先被分配有网络地址(即ip地址)，源地址即可根据ip地址得到。例如，源地址可以是通过ip地址加密后得到的。具体地，接入节点预先存储有地址过滤表，该地址过滤表中存储有预先分配出去的ip地址得到的源地址信息。当接入节点提取数据报文中的源地址，并比较地址过滤表后，确定提取得到的源地址存在于地址过滤表中时，接入节点确定该源地址合法，则确定该接入网源地址验证的验证结果为通过。反之，若接入节点确定提取得到的源地址不在地址过滤表中时，则确定该源地址不合法，则确定该接入网源地址验证的验证结果为不通过。
54.本实施例中，通过地址过滤表对数据报文中的源地址进行接入网源地址验证，保障了源地址的合法性，确保了电网设备使用被分配的合法ip地址作为源地址来发送报文。
55.在一个实施例中，域内路由器还用于提取数据报文中携带的源地址，并确定源地址的源地址前缀；基于预先配置的子网过滤表，在确定源地址前缀属于当前所接入的子网时，确定域内源地址验证通过。
56.具体地，域内路由器提取数据报文中携带的源地址，并提取源地址的源地址前缀。域内路由器基于预先配置的子网过滤表，确定所提取得到的源地址前缀是否存在于子网过滤表中。若域内路由器确定所提取得到的源地址前缀存在于子网过滤表中，则确定源地址前缀属于当前所接入的子网时，即确定域内源地址验证的验证结果为通过。
57.本实施例中，通过在自治域内的路由器上进行域内源地址验证部署，完成子网地址前缀级别的验证，确保自治域内接入子网的电网设备不能伪造属于其他子网的ip地址，完成子网地址前缀级别的验证。
58.在一个实施例中，边界路由器还用于提取数据报文中携带的源地址，并将源地址输入至预先训练好的分类器中；当分类器输出的结果为合法接入节点时，确定域间源地址验证通过；当分类器输出的结果为非法接入节点时，拒绝电网设备的接入。
59.具体地，边界路由器还用于提取数据报文中携带的源地址，并将源地址输入至预先训练好的分类器中，并由分类器输出对发出数据报文的电网设备的分类结果。当分类器输出的结果表示该电网设备为合法接入节点时，则边界路由器确定域间源地址验证的验证结果为通过；反之，当分类器输出的结果表示该电网设备为非法接入节点时，则边界路由器确定域间源地址验证的验证结果为不通过，并拒绝电网设备的接入。
60.本实施例中，通过在自治域的边界路由器上进行域间源地址验证部署，确定本域
发出去的报文的源地址属于本自治域，验证入域报文的源地址在自治域前缀级别上的正确性，减少本自治域接收到的伪造流量。
61.在一个实施例中，系统还包括训练模块，训练模块用于获取训练集，训练集中包括合法接入节点和模拟非法接入节点；将训练集中各个节点对应的源地址依次输入至分类器中，并得到由分类器输出的样本分类结果；根据样本分类结果中正确结果的数量与训练集中全部节点的数量，计算分类器的认证率；将认证率与阈值进行比较，当认证率小于阈值时，对分类器的参数进行调整，并返回至将训练集中各个节点对应的源地址依次输入至分类器中的步骤继续训练，直至分类器的认证率达到阈值。
62.具体地，分类器在训练阶段时，由训练模块获取训练集，该训练集中包括所收集的合法接入节点的样本和模拟的非法接入节点的样本，以及这些节点样本对应的源地址，并对样本数据进行预处理和数据提取，从而形成二分类训练集。训练模块将这些源地址依次输入至待训练的分类器中，并由分类器进行分类，输出样本分类结果。训练模块根据样本分类结果中正确结果的数量k1和全部节点样本的数量k的比值，计算分类器的认证率a＝k1/k，以此作为分类器的性能判断的依据。训练模块将认证率与阈值进行比较，当认证率小于阈值时，则对分类器的参数进行调整，并重新输入样本继续训练，直至分类器的认证率达到阈值。示例性地，训练模块可以采用adaboost分类算法训练二分类训练集生成最终的分类器，循环直到认证率a达到设定阈值。
63.本实施例中，通过边界路由器利用训练好的分类器对源地址进行验证，以此判断电网设备为合法接入节点还是非法接入节点，确定本域发出去的报文的源地址属于本自治域，验证入域报文的源地址在自治域前缀级别上的正确性，减少本自治域接收到的伪造流量。
64.基于同样的发明构思，本技术实施例还提供了一种电网设备的接入验证方法。该方法所记载的实现方案与上述实施例中系统的实现方案相似，故下面所提供的一个或多个电网设备的接入验证方法实施例中的具体限定可以参见上文中对于电网设备的接入验证系统的限定，在此不再赘述。
65.在一个实施例中，如图3所示，提供了一种电网设备的接入验证方法，包括如下步骤：
66.步骤s302，当电网设备接入子网时，通过子网接入节点获取由电网设备发送的包含目的地址的数据报文，数据报文为电网设备通过硬件连接电路对数据进行混合编程后得到的。
67.具体地，当电网设备接入子网时，子网接入节点与电网设备建立连接，并获取由电网设备传输的数据报文。数据报文中包括源地址和目的地址，目的地址用于指示数据报文的接收方。其中，数据报文是通过电网设备采集数据，并对采集到的数据根据数据类型进行协议选择，基于所选择的协议进行混合编程后通过以太网发送的。
68.在一些实施例中，网络服务器向电网设备发送采集指令，电网设备基于采集指令进行数据采集，并通过硬件连接电路将采集到的数据进行发送，例如通过网络接口传送到网络中，从而实现数据的收发。
69.步骤s304，通过接入节点对数据报文进行接入网源地址验证，并在接入网源地址验证通过的情况下，向自治域内的域内路由器发送数据报文。
70.具体地，接入节点对数据报文进行接入网源地址验证，以检测电网设备是否使用被分配的合法ip(internet protocol address，互联网协议地址)地址作为源地址来发送报文。在接入网源地址验证通过的情况下，向自治域内的域内路由器发送数据报文。其中，接入节点为电网设备在网络层中的下一跳地址范围内的交换机或者无线接入点。否则，若接入网源地址验证不通过，则接入节点拒绝转发该数据报文，例如可以将数据报文拦截、屏蔽或退回等。
71.步骤s306，通过域内路由器对数据报文进行域内源地址验证，并在域内源地址验证通过的情况下，向自治域的边界路由器发送数据报文。
72.具体地，域内路由器在接收到数据报文后，对数据报文进行域内源地址验证，完成子网地址前缀级别的验证，从而确保自治域内子网内的设备不能伪造属于其他子网的ip地址。在域内源地址验证通过的情况下，域内路由器向自治域的边界路由器发送数据报文。否则，若域内源地址验证不通过，则域内路由器拒绝转发该数据报文，例如可以将数据报文拦截、屏蔽或退回等。
73.步骤s308，通过边界路由器根据所部属的分类器对数据报文进行域间源地址验证，并在域间源地址验证通过的情况下，确定电网设备的接入验证通过，并将电网设备传输的数据报文发送至目的地址。
74.具体地，边界路由器在接收到数据报文后，根据所部属的分类器对数据报文进行域间源地址验证，由分类器输出数据报文对应的电网设备为合法接入节点或非法接入节点的结果。当分类器输出为合法接入节点的结果时，边界路由器确定域间源地址验证通过，即确定电网设备的接入验证通过，则边界路由器将数据报文转发至目的地址。当分类器输出为非法接入节点的结果时，边界路由器确定域间源地址验证不通过，则边界路由器拒绝将数据报文转发至目的地址，以确保本域发出去的报文的源地址属于本自治域，验证入域报文的源地址在自治域前缀级别上的正确性，减少本自治域接收到的伪造流量。
75.上述电网设备的接入验证方法，通过子网接入节点获取电网设备发送的数据报文，并通过接入节点对数据报文进行接入网源地址验证，在接入网源地址验证验证通过的情况下由域内路由器进行域内源地址验证，在域内源地址验证验证通过的情况下再由边界路由器通过分类器进行域间源地址验证，从而确保源地址的安全性，防止源地址被伪造，进而保障电网设备和网络的安全性。
76.在一些实施例中，所述方法还包括：通过接入节点提取所述数据报文中携带的源地址，所述源地址基于预先分配至所述电网设备的网络地址得到；基于预先配置的地址过滤表对所述源地址进行验证，当所述源地址存在于所述过滤表中时，确认所述源地址合法，并确定所述接入网源地址验证通过。
77.其中，电网设备预先被分配有网络地址(即ip地址)，源地址即可根据ip地址得到。例如，源地址可以是通过ip地址加密后得到的。具体地，接入节点预先存储有地址过滤表，该地址过滤表中存储有预先分配出去的ip地址得到的源地址信息。当接入节点提取数据报文中的源地址，并比较地址过滤表后，确定提取得到的源地址存在于地址过滤表中时，接入节点确定该源地址合法，则确定该接入网源地址验证的验证结果为通过。反之，若接入节点确定提取得到的源地址不在地址过滤表中时，则确定该源地址不合法，则确定该接入网源地址验证的验证结果为不通过。
78.本实施例中，通过地址过滤表对数据报文中的源地址进行接入网源地址验证，保障了源地址的合法性，确保了电网设备使用被分配的合法ip地址作为源地址来发送报文。
79.在一些实施例中，所述方法还包括：通过域内路由器提取所述数据报文中携带的源地址，并确定所述源地址的源地址前缀；基于预先配置的子网过滤表，在确定所述源地址前缀属于当前所接入的子网时，确定所述域内源地址验证通过。
80.具体地，域内路由器提取数据报文中携带的源地址，并提取源地址的源地址前缀。域内路由器基于预先配置的子网过滤表，确定所提取得到的源地址前缀是否存在于子网过滤表中。若域内路由器确定所提取得到的源地址前缀存在于子网过滤表中，则确定源地址前缀属于当前所接入的子网时，即确定域内源地址验证的验证结果为通过。
81.本实施例中，通过在自治域内的路由器上进行域内源地址验证部署，完成子网地址前缀级别的验证，确保自治域内接入子网的电网设备不能伪造属于其他子网的ip地址，完成子网地址前缀级别的验证。
82.在一些实施例中，所述方法还包括：通过边界路由器提取所述数据报文中携带的源地址，并将所述源地址输入至预先训练好的分类器中；当所述分类器输出的结果为合法接入节点时，确定所述域间源地址验证通过；当所述分类器输出的结果为非法接入节点时，拒绝所述电网设备的接入。
83.具体地，边界路由器还用于提取数据报文中携带的源地址，并将源地址输入至预先训练好的分类器中，并由分类器输出对发出数据报文的电网设备的分类结果。当分类器输出的结果表示该电网设备为合法接入节点时，则边界路由器确定域间源地址验证的验证结果为通过；反之，当分类器输出的结果表示该电网设备为非法接入节点时，则边界路由器确定域间源地址验证的验证结果为不通过，并拒绝电网设备的接入。
84.本实施例中，通过在自治域的边界路由器上进行域间源地址验证部署，确定本域发出去的报文的源地址属于本自治域，验证入域报文的源地址在自治域前缀级别上的正确性，减少本自治域接收到的伪造流量。
85.在一些实施例中，如图4所示，分类器的训练步骤包括：
86.步骤s402，获取训练集，训练集中包括合法接入节点和模拟非法接入节点。
87.步骤s404，将训练集中各个节点对应的源地址依次输入至分类器中，并得到由分类器输出的样本分类结果。
88.步骤s406，根据样本分类结果中正确结果的数量与训练集中全部节点的数量，计算分类器的认证率。
89.步骤s408，将认证率与阈值进行比较，当认证率小于阈值时，对分类器的参数进行调整，并返回至将训练集中各个节点对应的源地址依次输入至分类器中的步骤继续训练，直至分类器的认证率达到阈值。
90.具体地，分类器在训练阶段时，由训练模块获取训练集，该训练集中包括所收集的合法接入节点的样本和模拟的非法接入节点的样本，以及这些节点样本对应的源地址，并对样本数据进行预处理和数据提取，从而形成二分类训练集。训练模块将这些源地址依次输入至待训练的分类器中，并由分类器进行分类，输出样本分类结果。训练模块根据样本分类结果中正确结果的数量k1和全部节点样本的数量k的比值，计算分类器的认证率a＝k1/k，以此作为分类器的性能判断的依据。训练模块将认证率与阈值进行比较，当认证率小于
阈值时，则对分类器的参数进行调整，并重新输入样本继续训练，直至分类器的认证率达到阈值。示例性地，训练模块可以采用adaboost分类算法训练二分类训练集生成最终的分类器，循环直到认证率a达到设定阈值。
91.本实施例中，通过边界路由器利用训练好的分类器对源地址进行验证，以此判断电网设备为合法接入节点还是非法接入节点，确定本域发出去的报文的源地址属于本自治域，验证入域报文的源地址在自治域前缀级别上的正确性，减少本自治域接收到的伪造流量。
92.应该理解的是，虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
93.示例性地，本技术实施例中使用rfc5210定义了源地址验证的体系结构(sava)，它按照部署位置和功能的不同，将互联网上的源地址验证分为三个层。自底向上，分别是接入网源地址验证、域内源地址验证和域间源地址验证。本实施例中，接入网源地址验证部署在距离终端主机网络层一跳的交换机或者无线接入点上，控制主机仅能使用被分配的合法ip地址作为源地址来发送报文。本实施例中，域内源地址验证部署在自治域内的路由器上，控制域内子网的主机不能伪造属于其他子网ip地址，完成子网地址前缀级别的验证。本实施例中，域间源地址验证部署在自治域的边界路由器上，保证本域发出去的报文的源地址属于本自治域、并验证入域报文的源地址在自治域前缀级别上的正确性，尤其是保证后者，以减少本自治域接收到的伪造流量。本实施例接入网源地址验证和域内源地址验证的主要目的是进行网络的管控，主要差别在于管控的粒度；而域间源地址验证的主要作用是防御跨域的基于源地址伪造的网络攻击。
94.在一个实施例中，电网设备的网络硬件接口选择rtl8020芯片，该芯片的内部结果包括多个数据线接口和若干个地址线接口，接口芯片的内部结构可例如图5所示。按照图5所示的芯片分布对网络接入接口进行设计，使其可以应用在iom的isa接口网络适配器当中，方便数据采集系统的接入。电网设备的接口芯片主要由接收逻辑控制器、接收1发送crc校验、fifo逻辑对列等零件组成,每一个零件都有相应的寄存器加以控制，保证系统可以通过硬件顺利安装到网络上。本实施例网络的硬件接口除了芯片外，还需要设立i/o引脚，且i/o引脚的电压需维持在3.3v左右，接口的内核电压为1.8v。除了i/o引脚之外，在数据采集系统接入网络的过程中，会产生时钟发生现象，该部分需要借助时钟输入引脚和预设时钟模式引脚两个硬件设备。无论是i/o引脚还是时钟引脚，内部都不设计片内振荡电路，使用50mhz的晶体振荡器来代替片内电路。
95.在一个实施例中，硬件连接电路接入到网络中时，由i/o引脚引出空闲的地址线，将引出的引脚与双向总线缓冲器相连，缓冲器当中的dir控件用来控制数据流的走向，当输入的系统接口为低电平时，数据缓冲器有输出，且输出增强电平；若输入的为高电平，则缓冲器输出端为高阻态状态，输出的电平即为低电平0。
96.在一个实施例中，提供了一种计算机设备，该计算机设备可以是前述实施例中的子网接入节点、接入节点、域内路由器、以及边界路由器中的任一种，对于该计算机设备其内部结构图可以如图6所示。该计算机设备包括处理器、存储器、输入/输出接口(input/output，简称i/o)和通信接口。其中，处理器、存储器和输入/输出接口通过系统总线连接，通信接口通过输入/输出接口连接到系统总线。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储地址数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种电网设备的接入验证方法。
97.本领域技术人员可以理解，图6中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
98.在一个实施例中，提供了一种子网接入节点，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：当电网设备接入子网时，获取由电网设备发送的包含目的地址的数据报文，所述数据报文为所述电网设备通过硬件连接电路对数据进行混合编程后得到的。
99.在一个实施例中，提供了一种接入节点，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：对所述数据报文进行接入网源地址验证，并在所述接入网源地址验证通过的情况下，向自治域内的域内路由器发送所述数据报文。
100.在一个实施例中，接入节点的处理器执行计算机程序时还实现以下步骤：提取所述数据报文中携带的源地址，所述源地址基于预先分配至所述电网设备的网络地址得到；基于预先配置的地址过滤表对所述源地址进行验证，当所述源地址存在于所述过滤表中时，确认所述源地址合法，并确定所述接入网源地址验证通过。
101.在一个实施例中，提供了一种域内路由器，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：对所述数据报文进行域内源地址验证，并在所述域内源地址验证通过的情况下，向自治域的边界路由器发送所述数据报文。
102.在一个实施例中，域内路由器的处理器执行计算机程序时还实现以下步骤：提取所述数据报文中携带的源地址，并确定所述源地址的源地址前缀；基于预先配置的子网过滤表，在确定所述源地址前缀属于当前所接入的子网时，确定所述域内源地址验证通过。
103.在一个实施例中，提供了一种边界路由器，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：根据所部属的分类器对所述数据报文进行域间源地址验证，并在所述域间源地址验证通过的情况下，确定所述电网设备的接入验证通过，并将所述电网设备传输的数据报文发送至目的地址。
104.在一个实施例中，边界路由器的处理器执行计算机程序时还实现以下步骤：提取所述数据报文中携带的源地址，并将所述源地址输入至预先训练好的分类器中；当所述分类器输出的结果为合法接入节点时，确定所述域间源地址验证通过；当所述分类器输出的
结果为非法接入节点时，拒绝所述电网设备的接入。
105.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器(ferroelectric random access memory，fram)、相变存储器(phase change memory，pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
106.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
107.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。