[发明专利]恶意攻击检测和分析

权利要求书

1.一种表征智能公用电网系统中的恶意活动的方法，所述方法可由具有至少一个处理器和至少一个存储器的计算机执行，所述方法包括：

通过所述至少一个处理器从所述智能电网系统接收包括信息技术(IT)相关活动的IT数据；

通过所述至少一个处理器从多个电子来源接收包括位置特定事件数据的非IT数据；

通过所述至少一个处理器预处理所述非IT数据，所述预处理包括忽略无法满足预定水平的相关性的所述非IT数据，所述相关性是与多个风险相关事件之一的相关性；

通过所述至少一个处理器将多个规则应用于预处理的所述非IT数据以：

参照所述IT相关活动关联非希望事件；以及

确定所述非希望事件指示恶意活动的概率；以及

通过所述至少一个处理器基于所述概率和所述IT相关活动将风险表征应用于所述非希望事件。

2.根据权利要求1所述的方法，其中所述非希望事件尚未出现。

3.根据权利要求1所述的方法，其中所述风险表征包括工程风险或者安全风险。

4.根据权利要求1所述的方法，其中应用所述多个规则包括比较预定标准与针对其生成多个不同概率水平之一的所述非IT数据。

5.根据权利要求4所述的方法，其中基于威胁和对应漏洞的共存来生成所述概率水平，所述对应漏洞是在所述威胁可利用的所述IT相关数据或者非IT数据中发现的。

6.根据权利要求4所述的方法，其中所述概率水平被生成为以下各项之和：(1)具体恶意攻击的出现概率和所述具体恶意攻击可利用的漏洞的存在概率的乘积；以及(2)意外危险的出现概率和与所述意外危险关联的漏洞的存在概率的乘积。

7.根据权利要求1所述的方法，其中所述非IT数据还包括从事件日志、与所述智能公用电网系统的对应部分关联的地理位置和操作数据取回的历史数据；并且其中应用所述多个规则包括比较所述IT相关活动与所述历史数据。

8.根据权利要求1所述的方法，其中所述IT相关活动的至少部分包括来自智能电表的事件消息；并且应用所述风险表征包括确定所述智能公用电网系统内的其中出现所述恶意活动的区域。

9.根据权利要求1所述的方法，其中所述非IT数据还包括：电网模拟测量值、以及高价值目标和对应地理位置的列表，其中所述电网模拟测量值包括相量测量值。

10.根据权利要求1所述的方法，其中所述非IT数据的电子来源包括以下输入中的一个输入或者其组合：天气馈送；扰动记录器馈送；数字缺陷记录器馈送；谐波记录器馈送；电力质量监视器馈送；设备状态；连接性状态；控制限制；US CERT馈送；GPS馈送；电源管理单元(PMU)馈送；传感器馈送；负载预报；以及可再生发电预报。

11.一种用于表征智能公用电网系统中的恶意活动的系统，包括：

系统储存器，在所述系统储存器中存储包括多个规则的数据库；

收集器，可操作以从所述智能电网系统收集包括信息技术(IT)相关活动的IT数据并且在所述系统储存器中存储所述IT数据；

复杂事件处理(CEP)总线，可操作以从多个电子来源接收包括位置特定事件数据的非IT数据，所述CEP总线还可操作以忽略无法满足预定水平的相关性的所述非IT数据，所述相关性是与多个风险相关事件之一的相关性；

处理器，可操作以将所述多个规则应用于相关的非IT数据以：参照所述IT相关活动关联非希望事件，以及确定所述非希望事件指示恶意活动的概率；并且

所述处理器还用于基于所述概率和所述IT相关活动将风险表征应用于所述非希望事件。

12.根据权利要求11所述的系统，还包括与以下非IT数据的电子来源中的一个电子来源或者其组合耦合的所述CEP总线：Web爬取设备；具有搜索引擎功能的计算设备；Web访问设备；GPS设备；社交媒体线索监视设备；温度计；以及紧急响应通信器。

13.根据权利要求11所述的系统，其中所述非希望事件尚未出现，并且其中所述风险表征包括工程风险或者安全风险。

14.根据权利要求11所述的系统，其中为了应用所述多个规则，所述处理器比较预定标准与针对其生成多个不同概率水平之一的所述非IT数据。