[发明专利]一种电力物联网网络安全风险预测方法

权利要求书

1.一种电力物联网网络安全风险预测方法，包括获取模块、过滤模块、预测模块和显示模块，其特征在于包括如下步骤：

步骤1、将单个告警事件中的攻击源IP、攻击行为、攻击目标IP作为一条有效告警信息，通过获取模块获取所有告警信息，针对每条告警信息，以当前告警事件为果，寻找该告警事件发生时间之前最相近的六个告警事件作为因，由此构建一条因果数据，将所有因果数据存入数据库中形成因果数据库；

步骤2、通过过滤模块对因果数据库中对低频的因果数据进行过滤；

步骤3、通过采用Levenshtein距离算法的预测模块对告警事件进行预测；

步骤4、通过显示模块实时显示预测的告警事件的有效告警信息以及所述预测的告警事件发生的风险大小和风险程度。

2.根据权利要求1所述的一种电力物联网网络安全风险预测方法，其特征在于，所述步骤1中，具体包括如下：

首先将所有告警事件以开始时间进行排序，然后以当前告警事件为果，并以该告警事件开始时间为基准点向前推进，将与基准点开始时间最相近且在它之前发生的六个告警事件作为因，由此构建出一条因果数据，将因果数据存入数据库中形成因果数据库。

3.根据权利要求2所述的电力物联网网络安全风险预测方法，其特征在于，所述步骤1中，还包括：

因果数据库采用链表散列的方式对因果数据进行存储，每当有新的因果数据加入数据库时，统计因果数据出现的次数，判断次数用x和y进行统计，其中，每当加入一条全新的因果数据时，则将其顺序加入数组中，同时对比其之前的所有具有相同果的数组数据，计算因之前的Levenshtein相似度，同时设置容忍度TOL，若存在容忍度大于TOL的项，则将该项连接在新数据的链表上，同时也将新数据连接在该项的链表上，然后更新数据，新数据的y值等于更新前的x值加上自己链表上所有数据的x值，同时在数组中更新这些链表数据的y值，其y值等于更新前的x值加上自己链表上所有数据的x值，每当加入一条已存在于数组中的因果数据时，则直接找到该条数据，令x＝x+1，同时更新y值等于更新前的x值加上自己链表上所有数据的x值，最后在数组中更新这条数据链表上的所有数据。

4.根据权利要求3所述的一种电力物联网网络安全风险预测方法，其特征在于，所述步骤2中，对因果数据库进行过滤的方法具体如下：

首先删除仅出现一次的因果数据，然后设定阈值，将低于阈值的因果数据删除，过滤因果数据库时均使用判断次数y。

5.根据权利要求4所述的一种电力物联网网络安全风险预测方法，其特征在于，所述阈值的公式为：

6.根据权利要求1-5任意一项所述的一种电力物联网网络安全风险预测方法，其特征在于，所述步骤3具体包括如下步骤：

步骤31、将当前已有告警事件按开始时间顺序排序；

步骤32、当发生告警事件后，选择包括该告警事件在内的开始时间最近的三个告警事件，同时选择这三个告警事件包含自己的前六个告警事件分别作为其因序列；

步骤33、将构建出的所有因序列分别与过滤后的因果库中的所有因序列使用Levenshtein距离算法来进行相似度的计算；

步骤34、将匹配到的因果数据中的果作为预测结果，表示为预测告警事件，并计算使用某个因序列得到的预测告警事件发生的风险大小；

步骤35、根据步骤34的结果计算该预测的告警事件在当前告警事件发生后可能会发生的风险程度。

7.根据权利要求6所述的一种电力物联网网络安全风险预测方法，其特征在于，所述步骤34中，使用某个因序列得到的预测告警事件发生的风险大小的计算公式为：

risk(num)_t＝∑(Similarity×logmx)；

其中，risk(num)_t为使用第num个因序列计算后得到的告警事件t发生的风险大小，Similarity为当前“因序列”与因果库中的“因序列”计算出的相似程度，m为因果库中“因序列”对应的果在初始数据库中出现的次数，x为该条因果数据的出现次数，risk为对所有预测结果为告警事件t的计算求和。

8.根据权利要求7所述的一种电力物联网网络安全风险预测方法，其特征在于，所述步骤35中，该预测的告警事件在当前告警事件发生后可能会发生的风险程度的计算公式为：

RISK_t＝0.2×risk(3)_t+0.3×risk(2)_t+0.5×risk(1)_t；

其中，RISK_t为告警事件t在当前告警事件发生后可能会发生的风险程度。