[发明专利]用于电力二次系统内网安全监视平台的告警解析归并方法

说明书

技术领域

本发明涉及一种告警数据处理方法，尤其涉及一种用于电力二次系统内网安全监视平台的告警解析归并方法，属于网络安全技术领域。

背景技术

电力二次系统是由各级电网运行监控系统、调度数据网络、管理信息系统和电力数据通信网络构成的大系统。随着计算机网络技术的广泛应用，电力调度自动化水平日益提高，远程控制的大量运用对电力系统内部网络的安全性、可靠性提出了新的严峻挑战。为防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害，避免由此引起的电力系统事故，保障电力系统的安全稳定运行，需要建立和完善电网和电厂计算机监控系统及调度数据网络的安全防护体系。

电力二次系统内网安全监视平台（简称内网安全监视平台）主要用于电力二次系统内部网络的安全事件监视、安全事件分析、统计报表、资产管理等，是维护电力二次系统安全稳定运行的重要技术保障。但是在现有的内网安全监视平台中，告警事件多为一个个孤立、没有关联性的信息，对于用户来说多而杂乱，不利于用户实时掌握告警事件，从整体上理解电力二次系统的安全运行状态。同时，现有的内网安全监视平台主要实现告警数据汇总功能，并没有对海量告警数据进行二次分析，造成现场告警繁多、信息关联性不强，不仅不利于反映电力二次系统的安全风险指标，还会造成现场用户疲于解决各类告警事件，严重影响内网安全监视平台的工作效能。

在公开号为CN101222725A的中国发明专利申请中，公开了一种利用告警归并减少北向接口告警数量的方法，其中，网元管理系统EMS通过北向接口向网络管理系统口NMS上报告警或告警恢复，预先配置告警归并规则以及判断相同告警的规则，当EMS收到满足同一告警归并规则的多条相同的告警时，EMS只上报首次发生的告警，即首告警，而其余的相同告警即从告警不上报。当EMS收到满足同一告警归并规则的多条相同告警对应的告警恢复时，EMS只上报首告警对应的告警恢复，而从告警对应的告警恢复不上报。该技术方案减少了需要上报的告警数量，有效降低了告警系统的负担，也方便了技术人员的管理维护工作。

发明内容

针对现有技术所存在的不足，本发明所要解决的技术问题在于提供一种用于电力二次系统内网安全监视平台的告警解析归并方法。利用该方法可以有效提高告警数据的入库效率。

为实现上述的发明目的，本发明采用下述的技术方案：

一种用于电力二次系统内网安全监视平台的告警解析归并方法，包括如下步骤：

构建含有告警数据的平衡二叉树；

接收原始的告警数据；

根据告警数据的合法性决定是否加入合法告警队列，根据告警数据的源IP范围决定是否加入监视范围内告警队列；

按照告警设备类型对告警队列进行分类，对已分类的告警队列计算告警特征值；

将所述告警特征值在所述平衡二叉树中进行匹配，并更新所述平衡二叉树；

保存所述平衡二叉树对应的告警数据。

其中较优地，所述构建含有告警数据的平衡二叉树的步骤进一步包括：

构建空的平衡二叉树；

从告警信息表中获取已存储的告警数据并逐条计算告警特征值；

将所述告警特征值插入空的平衡二叉树中，构建含有告警数据的平衡二叉树。

其中较优地，在接收原始的告警数据过程中，局域网安全监视单元通过主机安全监视代理、主机安全监视管理中心向电力二次系统内网安全监视平台发送告警数据。

其中较优地，所述主机安全监视管理中心接收到告警数据后，将所述主机安全监视代理发出的告警数据转发至所述调度自动化系统基础平台的安全告警服务进行处理，并发送该告警数据到所述电力二次系统内网安全监视平台。

其中较优地，所述告警数据的合法性校验包括校验接收到的告警数据的内容格式是否符合Syslog格式，告警内容是否符合规范格式。

其中较优地，根据告警数据的源IP是否在所述电力二次系统内网安全监视平台的监视范围内，对所述告警数据的源IP范围合法性进行判断。

其中较优地，所述计算告警特征值的步骤进一步包括：

去除告警数据中的告警时间；

去除告警数据中存在的空格；

计算MD5值并简化计算结果。

其中较优地，更新所述平衡二叉树的步骤进一步包括：

将告警特征值与所述平衡二叉树进行比较，查找是否存在所述告警特征值的节点；

如果不存在，则将所述节点插入所述平衡二叉树和告警信息表中；