[发明专利]基于规约深度解析的电网工控安全协同监测方法及装置

权利要求书

1.一种基于规约深度解析的电网工控安全协同监测方法，其特征在于，包括：

采集电网工控系统中的多个数据包；

建立由针对已知攻击的规则和针对未知攻击的脚本组成的策略库；

对所述多个数据包进行规约解析，生成规约异常事件；

对所述规约异常事件进行聚合，生成聚合告警分组；

根据所述策略库及聚合告警分组生成安全威胁评估结果；

其中，建立由针对已知攻击的规则和针对未知攻击的脚本组成的策略库，包括：

S21：根据识别电网工控系统的安全威胁的策略建立原始策略库，所述原始策略库中包含针对已知攻击的规则和针对未知攻击的脚本；

S22：以所述多个数据包为训练数据集进行机器学习，根据训练结果对所述原始策略库进行修改，生成修改后的策略库；

S23：以所述原始策略库对修改后的策略库进行一致性检验；

S24：将通过一致性检验的修改后的策略库作为新的策略库，将所述新的策略库替换所述原始策略库，重复执行步骤S22-S24，对所述原始策略库进行更新，生成更新后的策略库；

其中，对所述多个数据包进行规约解析，生成规约异常事件，包括：

对所述多个数据包进行网络层规约解析，当有异常时生成网络层异常事件；

当所述网络层规约解析没有异常时，对所述多个数据包进行传输层规约解析，当有异常时生成传输层异常事件；

当所述传输层规约解析没有异常时，对所述多个数据包进行应用层规约解析，当有异常时生成应用层异常事件；

对所述网络层异常事件、传输层异常事件和应用层异常事件进行整合，生成规约异常事件。

2.根据权利要求1所述的基于规约深度解析的电网工控安全协同监测方法，其特征在于，对所述多个数据包进行应用层规约解析，当有异常时生成应用层异常事件，包括：

提取数据包的应用层字段；

根据数据包的应用层字段识别数据包的操作类型和操作频度；

检测数据包中是否包含工控特种攻击，得到数据包的检测结果；

根据数据包的操作类型和操作频度，以及数据包的检测结果，判断是否存在异常；

当存在异常时，生成应用层异常事件。

3.根据权利要求2所述的基于规约深度解析的电网工控安全协同监测方法，其特征在于，根据所述策略库及聚合告警分组生成安全威胁评估结果，包括：

根据关联规则确定所述聚合告警分组的安全威胁类型，建立安全威胁评估；

根据所述更新后的策略库对所述安全威胁评估进行校正，生成所述安全威胁评估结果。

4.根据权利要求1-3任一所述的基于规约深度解析的电网工控安全协同监测方法，其特征在于，还包括：对生成的安全威胁评估结果进行综合审计，生成安全威胁报告。