[发明专利]一种面向电力监控系统的网络安全威胁溯源方法

权利要求书

1.一种面向电力监控系统的网络安全威胁溯源方法，其特征是，包括以下过程：

依据电力监控系统的日志信息为告警事件建立事件发生树；

对事件发生树进行拆分得到事件发生链；

计算事件发生链的威胁值；

依据事件发生链的威胁值判断其是否是危险事件；

若判断为危险事件，则依据事件发生链进行可视化展示得到攻击图，实现网络安全威胁溯源。

2.根据权利要求1所述的一种面向电力监控系统的网络安全威胁溯源方法，其特征是，所述依据电力监控系统的日志信息为告警事件建立事件发生树的具体过程为：

从电力监控系统的日志信息中提取多个告警事件；告警事件包括源IP地址、目的IP地址、告警事件类型、开始时间和结束时间；

以各告警事件的主机IP地址作为网络节点，连接两节点之间的边表示从源IP地址到目的IP地址的告警事件；多个告警事件的树状图形式的结构化表现形式即为事件发生树。

3.根据权利要求2所述的一种面向电力监控系统的网络安全威胁溯源方法，其特征是，所述建立事件发生树后，对事件发生树进行聚合处理：

如果在设定的一段时间内，事件发生树中遍历一个节点的子节点集合，如果出现后一个子节点与前一个子节点的告警类型、源IP、目的IP均相同，则对二者进行聚合操作，即将后者的结束时间覆盖前者的结束时间，并删除后一个子节点。

4.根据权利要求1所述的一种面向电力监控系统的网络安全威胁溯源方法，其特征是，所述对事件发生树进行拆分得到事件发生链的具体过程为：

1）首先找到链首告警，链首告警包括两种情况：一种是告警源IP对应的节点为无双亲节点；另一种是告警源IP对应的节点有双亲，但对应双亲告警的开始时间晚于该告警的开始时间；

2）对事件发生树的深度遍历将进行两次，第一次，从所有的无双亲节点开始进行深度遍历，得到最终的事件发生链集合C；第二次，再对剩余树节点进行深度遍历，得到剩下的发生链，并加入到最终的链集合C中。

5.根据权利要求4所述的一种面向电力监控系统的网络安全威胁溯源方法，其特征是，所述获得事件发生链之后，还需要进行剪枝处理：

如拆分的事件发生链的前后事件并不具备构成攻击行为的因果关系或继发关系，则进行断链处理。

6.根据权利要求1所述的一种面向电力监控系统的网络安全威胁溯源方法，其特征是，所述计算事件发生链的威胁值的具体过程包括：

计算事件发生链的威胁值的评价因素包括告警等级和攻击尝试事件；其中告警等级和攻击尝试事件各占预设比重；

告警等级的评分和攻击尝试事件的评分组合起来作为事件发生链的威胁值。

7.根据权利要求6所述的一种面向电力监控系统的网络安全威胁溯源方法，其特征是，所述告警等级和攻击尝试事件各占预设比重包括：告警等级占60%比重，攻击尝试事件占40%比重。

8.根据权利要求1所述的一种面向电力监控系统的网络安全威胁溯源方法，其特征是，所述依据事件发生链的威胁值判断其是否是危险事件的具体过程为：

若事件发生链的威胁值大于预设的安全阀值，则判断此事件发生链为危险事件。