[发明专利]用于电力监控系统的网络安全威胁溯源装置

权利要求书

1.用于电力监控系统的网络安全威胁溯源装置，其特征在于，包括溯源装置，溯源装置内设置有服务器，服务器通讯连接有发生树构建单元以及实时分析单元，其中，发生树构建单元通讯连接有发生链分析单元，实时分析单元通讯连接有树内分析单元和树外分析单元；树内分析单元和树外分析单元均通讯连接有正反溯源单元；

服务器生成发生树构建信号并将发生树构建信号发送至发生树构建单元，通过发生树构建单元用于根据电网历史故障构建故障发生树，将故障发生树发送至服务器，同时生成发生链分析信号并将发生链分析信号发送至发生链分析单元，发生链分析单元接收到发生链分析信号后，对故障发生树内故障发生链进行分析，通过实时分析单元将实时故障进行分析，判断实时故障设备是否处于故障发生树内，并生成树内分析信号和树外分析信号；通过树内分析单元将树内分析信号对应的实时故障进行分析；通过树外分析单元将树外分析信号对应的实时故障进行分析；通过正反溯源单元对树内分析信号对应的实时故障和树外分析信号对应的实时故障进行追溯；

发生树构建单元的构建过程如下：

将历史电网故障进行采集，并采集到电网内所有电力设备，将历史电网故障内涉及的电力设备设置为树状节点；根据树状节点对应电力设备在历史电网故障内发生先后顺序进行比较，将先发生故障的树状节点标记为自变节点；将后发生故障的树状节点标记为因变节点，并根据两两树状节点对应关系构建故障发生链，且发生链前端均为自变节点，发生链后端均为因变节点，单个自变节点与单个因变节点构建故障发生子链，各个连续故障发生子链构建故障发生链；通过各个自变节点与因变节点组建的故障发生链构建故障发生树，将故障发生树发送至服务器，同时生成发生链分析信号并将发生链分析信号发送至发生链分析单元；

发生链分析单元的发生链分析过程如下：

将故障发生树内存在的故障发生链设置标号i，i为大于1的自然数，采集到故障发生链内树状节点产生的分支数量，并将故障发生链内对应节点产生的分支数量标记为FSi；采集到故障发生链内存在的树状节点数量，并将故障发生链内存在的树状节点数量标记为SJi；树状节点包括自变节点和因变节点；分支数量表示为故障发生链始端自变节点对应因变节点数量；采集到故障发生链对应故障发生子链的数量，并将故障发生链对应故障发生子链的数量标记为ZSi；

通过公式获取到故障发生链的分析系数Xi，其中，a1、a2以及a3均为预设比例系数，且a1＞a2＞a3＞0，将故障发生链的分析系数与分析系数阈值范围进行比较：

若故障发生链的分析系数大于分析系数阈值范围，则将对应故障发生链标记为一级故障发生链；若故障发生链的分析系数位于分析系数阈值范围，则将对应故障发生链标记为二级故障发生链；若故障发生链的分析系数小于分析系数阈值范围，则将对应故障发生链标记为三级故障发生链；

将一级故障发生链和二级故障发生链对应故障发生链始端因变节点对应的电力设备标记为重要设备；

实时分析单元采集实时故障涉及电力设备，并将其标记为实时故障设备，将实时故障设备与故障发生树内树状节点对应电力设备进行比对，若实时故障设备与故障发生树内树状节点对应电力设备一致，则生成树内分析信号并将树内分析信号和实时故障设备发送至树内分析单元；若实时故障设备与故障发生树内树状节点对应电力设备不一致，则生成树外分析信号并将树外分析信号和实时故障设备发送至树外分析单元；

树内分析单元的树内分析过程如下：

将实时故障设备对应故障发生树的树状节点标记为实时分析节点，将实时分析节点设置标号k，k为大于1的自然数，采集到实时分析节点所处故障发生链位置前对应自变节点的数量和实时分析节点所处故障发生链位置后对应因变节点的数量，并将实时分析节点所处故障发生链位置前对应自变节点的数量和实时分析节点所处故障发生链位置后对应因变节点的数量分别标记为ZBSk和YBSk；采集到实时分析节点所处故障发生链位置对应故障发生子链的连接数量，并将实时分析节点所处故障发生链位置对应故障发生子链的连接数量标记为ZLSk；

通过公式获取到实时分析节点的故障威胁系数Ck，其中，b1、b2以及b3均为预设比例系数，且b1＞b2＞b3＞0，e为自然常数；将实时分析节点的故障威胁系数与故障威胁系数阈值进行比较：

若实时分析节点的故障威胁系数≥故障威胁系数阈值，则判定对应实时分析节点故障威胁异常，生成威胁异常信号并将威胁异常信号和对应实时分析节点发送至正反溯源单元；若实时分析节点的故障威胁系数＜故障威胁系数阈值，则判定对应实时分析节点故障威胁普遍，生成威胁普遍信号并将威胁普遍信号和对应实时分析节点发送至正反溯源单元；

正反溯源单元接收到威胁异常信号和威胁普遍信号后，将威胁异常信号对应实时故障进行优先处理，同时将威胁异常信号和威胁普遍信号对应实时故障设备按照对应实时分析节点的故障威胁系数数值从大到小的顺序进行排序，并按照实时故障设备的排序进行溯源，将实时故障设备所处故障发生链前的自变节点进行运行分析，若对应自变节点分析合格，则判定实时故障为自变故障，将实时故障设备标记为故障源头；若对应自变节点分析不合格，则判定实时故障为因变故障，将对应自变节点对应的电力设备标记为故障源头，将实时故障设备所处故障发生链后的因变节点进行运行分析，若对应因变节点分析合格，则判断实时故障未产生影响，生成及时维护信号并将实时故障设备进行维护；若对应因变节点分析不合格，则判断实时故障产生影响，将对应因变节点标记为因变设备，生成设备停用信号并将实时故障设备与因变设备进行停用维护，同时按照实时故障设备与因变设备对应故障发生链的顺序进行维护；

树外分析单元的树外分析过程如下：

采集到实时故障设备的上游设备数量与下游设备数量，并将实时故障设备的上游设备数量与下游设备数量分别标记为SYS和XYS；采集到实时故障设备发送指令至下游设备的间隔时长，并将实时故障设备发送指令至下游设备的间隔时长标记为JGS；通过公式获取到实时故障设备的追溯难度系数SS，其中，f1、f2以及f3均为预设比例系数，且f1＞f2＞f3＞0；

将实时故障设备的追溯难度系数与追溯难度系数阈值进行比较：

若实时故障设备的追溯难度系数≥追溯难度系数阈值，则判定对应实时故障设备标记为强难度追溯故障设备，并将强难度追溯故障设备发送至正反溯源单元；若实时故障设备的追溯难度系数小于追溯难度系数阈值，则判定对应实时故障设备标记为低难度追溯故障设备，并将低难度追溯故障设备发送至正反溯源单元；

正反追溯单元接收到强难度追溯故障设备和低难度追溯故障设备后，将强难度追溯故障设备进行标记，并将难度追溯故障设备的运行进行分步记录，将对应难度追溯故障设备设置运行日志，并将运行步骤发送至运行日志进行储存；同时对实时故障进行追溯；

采集到实时故障设备产生故障的时刻，并将其标记为故障时刻，将在故障时刻发送运行指令至实时故障设备的上游设备标记为预设上游故障设备；将在故障时刻接收实时故障设备运行指令的下游设备标记为预设下游故障设备；将预设上游故障设备与预设下游故障设备进行运行分析，并将运行不合格的预设上游故障设备与预设下游故障设备分别标记为选中上游故障设备和选中下游故障设备；

将选中上游故障设备和选中下游故障设备的运行指令进行判定，若选中上游故障设备和选中下游故障设备的运行指令为电网单次运行，则按照上游故障设备、实时故障设备以及下游故障设备的顺序进行维护；若选中上游故障设备和选中下游故障设备的运行指令为电网多次运行，则按照各个运行指令对应上游故障设备为起分步开始维护。