本發明公開了一種確定電力監控系統安全事件的方法、裝置及系統，包括：獲取告警日志，所述告警日志中包含若干條告警記錄；基于各條告警記錄之間的關聯對告警日志進行樹狀圖建模，構建攻擊樹；對所述攻擊樹進行聚合處理后得到初始的攻擊鏈集合；分別對所述初始的攻擊鏈集合中的各個初始的攻擊鏈進行剪枝和降噪，形成最終的攻擊鏈集合，確定出電力監控系統安全事件。本發明能夠自動化地對電力監控系統的告警數據進行有效分析，提取攻擊事件，并以可視化的方式呈現出來，幫助網絡管理員了解網絡安全狀態，便于及時作出安全處置措施，保障網絡、數據及設備等安全。

技術領域

本發明屬于電力監控系統技術領域，具體涉及一種確定電力監控系統安全事件的方法、裝置及系統。

背景技術

現有安全事件的分析主要包括告警預處理和告警關聯。告警預處理主要包括誤報去除和告警聚合。安全設備的告警中經常存在著大量的誤報，因此通常的安全分析系統為了提高攻擊檢測的準確率，會對其認為的低級別或誤報告警進行去除。然而，電力系統生產環境需要很高的可靠性，去除誤報實際上有可能將真正的告警去除。在進行告警聚合時，通常的做法是將具有相同告警內容源、目的IP進行聚合，形成超級告警，或者將具有相同源、目的IP的告警事件進行聚合，或者利用聚類的方式利用相似性聚合告警。以上的告警聚合方法都不能在電力監控系統中完全適用。通過告警內容進行聚合會隱藏IP信息，通過IP 進行聚合隱藏了攻擊沿IP跳轉的路徑，而利用聚類的方式則更是將告警聚合交給了無監督學習，單純通過告警相似性進行聚合很有可能將不同的攻擊聚合在一起。

告警關聯通常分為：基于相似度的關聯方法、基于攻擊序列的關聯方法和基于攻擊樣例的關聯方法；所述基于相似度的關聯方法之的是設計算法計算告警之間相似度，并將相似度高的告警歸為一個攻擊場景之中，這種方法難以檢測多步攻擊事件；所述基于攻擊序列的關聯方法通常需要建立攻擊模式庫，然后根據模式庫的定義在告警中匹配攻擊行為，攻擊模式庫的構建又分為根據攻擊知識庫直接構建、根據系統漏洞構建潛在攻擊圖，這種方法在電網的告警數據和網絡環境下都難以直接施行；所述基于攻擊樣例的關聯方法中，攻擊樣例的關聯方法主要利用統計概率學習樣例中的攻擊模式，通常使用的有貝葉斯模型、隱馬爾科夫模型、關聯規則模型等，使用該方法的前提是必須擁有含有攻擊的樣本。

可見，現有的告警預處理和告警關聯安全分析方法在當前條件下都難以直接應用，需要針對電力監控系統的數據、環境以及需求做出適應性調整。

發明內容

針對上述問題，本發明提出一種確定電力監控系統安全事件的方法，能夠自動化地對電力監控系統的告警數據進行分析，提取攻擊事件，并以可視化的方式呈現出來，幫助網絡管理員了解網絡安全狀態，便于及時作出安全處置措施，保障網絡、數據及設備等安全。

為了實現上述技術目的，達到上述技術效果，本發明通過以下技術方案實現：

第一方面，本發明提供了一種確定電力監控系統安全事件的方法，包括：

獲取告警日志，所述告警日志中包含若干條告警記錄；

基于各條告警記錄之間的關聯對告警日志進行樹狀圖建模，獲得攻擊樹；

對所述攻擊樹進行聚合處理后得到初始的攻擊鏈集合；

分別對所述初始的攻擊鏈集合中的各個初始的攻擊鏈進行剪枝，形成最終的攻擊鏈集合，確定出電力監控系統安全事件。

優選地，所述獲取告警日志，具體包括以下子步驟：

獲取源告警日志；