[发明专利]一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统

说明书

本发明公开了一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统，方法包括：获取智能变电站的各告警设备的告警信息；对告警信息进行分类；确定告警设备之间的告警关联关系，建立告警设备之间的告警相似度矩阵；建立告警设备之间的因果关系矩阵；计算任意两个告警设备之间的攻击传播概率，确定告警设备之间的最终的攻击传播路径；根据预先建立的已知的攻击类型的攻击特征库，获取已知的攻击类型的攻击特征；将告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与已知的攻击类型的攻击特征进行攻击支持度分析；将攻击场景中各个节点的告警设备出现最多的攻击类型确定为当前攻击场景的攻击类型。

技术领域

本发明涉及智能变电站入侵攻击还原技术领域，更具体地，涉及一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统。

背景技术

智能变电站是智能电网建设的重要环节，随着信息与通信技术在智能变电站中的广泛应用，信息网络中的各种漏洞也给智能变电站带来了更严重的网络攻击威胁。针对这些安全威胁，国内外专家学者在智能变电站的信息安全领域开展了大量的研究，现有技术研究的主要内容包括攻击检测技术和攻击防护技术两部分。但是由于现在一些高级的网络攻击(例如APT攻击等)往往采用入侵逃逸技术来躲避安全设备等的检测，因此仅仅依靠攻击检测和攻击防御已经不足以对所有的攻击进行隔离。

在电力系统信息安全领域一个新兴研究方向是入侵场景还原技术，其通过收集电力系统遭受到攻击后系统各节点设备的报警日志作为攻击证据，然后从中提取攻击事件信息并利用攻击事件关联分析生成攻击场景图，进而还原出整个攻击过程。通过场景还原可以更完整、可靠地刻画所遭受的攻击，并更清晰地展现出攻击者意图，同时也可以发现电力系统潜在的安全漏洞，进而研究相应的攻击防御手段、指导电力系统的安全管理。

目前入侵场景还原技术的研究主要是针对网络攻击进行，这方面产生了很多研究成果，现有技术提出了一种基于多元报警日志的网络攻击场景生成方法，其通过收集多种网络安全防护设备的报警日志来进行攻击事件信息提取和关联分析，从而实现网络攻击场景的还原。现有技术还提出了一种网络攻击场景的因果知识挖掘方法、装置及服务器，通过对网络安全设备的告警信息进行因果知识挖掘来还原攻击场景。从目前的研究成果来看：入侵场景还原均基于网络安全防护设备的告警日志信息来实现，但是在智能变电站中，原始采样报文等数据的传输由于实时性要求往往没有设置网络安全防护，因此目前这些方法很难适用于变电站攻击场景的还原；并且电力系统中信息网和电力网紧密耦合，攻击的最终目标一般是要破坏电力网运行，而现有的场景还原技术往往没有考虑对电力网数据进行告警信息提取与分析。针对目前现状，在智能变电站的入侵场景还原技术研究上存在迫切的需求。

因此，需要一种技术，以实现对基于时空相似度匹配的智能变电站入侵场景的还原。

发明内容

本发明技术方案提供了一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统，以解决如何基于时空相似度匹配的智能变电站入侵场景还原的问题。

为了解决上述问题，本发明提供了一种基于时空相似度匹配的智能变电站入侵场景还原的方法，所述方法包括：

获取智能变电站的各告警设备的告警信息；

对所述告警信息进行分类；

基于同一分类的所述告警信息，从时间维度和空间维度分析所述告警设备之间的告警信息相似度，确定所述告警设备之间的告警关联关系，建立所述告警设备之间的告警相似度矩阵；

分析所述告警设备之间的告警关联关系，建立所述告警设备之间的因果关系矩阵；

基于所述告警相似度矩阵和所述告警设备之间的因果关系矩阵，计算任意两个所述告警设备之间的攻击传播概率，确定所述告警设备之间的最终的攻击传播路径；