[发明专利]一种基于电力监控系统网络威胁的量化方法及系统

权利要求书

1.一种基于电力监控系统网络威胁的量化方法，其特征在于，包括：

获取电力监控系统采集的告警日志信息，根据告警日志信息绘制攻击路径；

将攻击路径输入到预先构建的基于关键主机的攻击量化评估模型，输出攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分；

将攻击路径输入到预先构建的基于告警级别的攻击量化评估模型，输出攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分；

将攻击路径输入到预先构建的基于重点事件的攻击量化评估模型，输出攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分；

将攻击路径输入到预先构建的基于漏洞利用的攻击量化评估模型，输出攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分；

利用预先根据各维度对威胁评估影响确定的权重以及所述攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分、攻击路径基于告警等级的攻击量化评估模型的威胁量化评估得分、攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分、攻击路径基于漏洞利用的攻击量化评估模型的威胁量化评估得分，计算攻击路径总的威胁值，所述维度包括关键主机维度、告警级别维度、重点事件维度和漏洞利用路径维度。

2.根据权利要求1所述的基于电力监控系统网络威胁的量化方法，其特征在于，所述基于关键主机的攻击量化评估模型的处理过程包括：

利用告警信息识别关键主机IP；

遍历告警信息中的每一条攻击路径，再遍历每条路径中的节点，如果节点IP不在关键主机IP序列中，则记为a1分；如果节点IP在关键主机IP序列中，但没有匹配到事件发生时间，则记为a2分；再则，如果匹配到了事件发生时间，但没有匹配到关键主机IP的对应安全事件，则记为a3分；如果匹配到了关键IP的对应安全事件，则记为a4分；其中，0≤a1＜a2＜a3＜a4≤1；

根据攻击路径中的每个节点与事件的匹配得分，取得分中的最大值为该攻击路径基于关键主机的攻击量化评估模型的威胁量化评估得分。

3.根据权利要求1所述的基于电力监控系统网络威胁的量化方法，其特征在于，所述利用原始告警信息识别关键主机IP的过程包括：

对原始告警信息进行预处理，得到稠密的时间序列，根据稠密的时间序列确定异常数量的起始点和结束点，判断起始点和结束点之间的时间段异常数量是否超过该IP的主机预先设置的阈值，若超过则确定该IP的主机为关键主机。

4.根据权利要求1所述的基于电力监控系统网络威胁的量化方法，其特征在于，所述基于告警级别的攻击量化评估模型的处理过程包括：

遍历告警信息中的每一条攻击路径，对于每条攻击路径，获得攻击路径中各个安全事件的告警等级并为其赋分值，其中0级威胁最高为b1分，1级次之为b2分，2级为b3分；其中，1≥b1＞b2＞b3≥0；

取攻击路径中的每个节点的安全事件评分中的最大值作为该攻击路径的基于告警等级的攻击量化评估模型的威胁量化评估得分。

5.根据权利要求1所述的基于电力监控系统网络威胁的量化方法，其特征在于，所述基于重点事件的攻击量化评估模型的处理过程包括：

根据告警信息提取电网的各种安全设备的日志，根据所述日志确定重点事件；

遍历告警信息中的每一条攻击路径，再对每条攻击路径遍历每一个告警事件，如果告警内容没有匹配重点事件，则记为c1分；如果匹配到了重点事件类型，则再匹配时间，如果告警事件发生时间不匹配，则记为c2分，如果重点事件类型和发生时间都匹配，但是重点事件的源IP和目的IP 和攻击路径中的源IP和目的IP不匹配，则记为c3分，如果重点事件类型、发生时间、重点事件的源IP和目的IP 和攻击路径中的源IP和目的IP都同时匹配，则记为c4分；其中，0≤c1＜c2＜c3＜c4≤1；

在计算得到攻击路径中的每个节点的告警事件的分值后取这些分值中的最大值作为该攻击路径基于重点事件的攻击量化评估模型的威胁量化评估得分。