[发明专利]一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统

权利要求书

1.一种基于时空相似度匹配的智能变电站入侵场景还原的方法，所述方法包括：

获取智能变电站的各告警设备的告警信息；

对所述告警信息进行分类；

基于同一分类的所述告警信息，从时间维度和空间维度分析所述告警设备之间的告警信息相似度，确定所述告警设备之间的告警关联关系，建立所述告警设备之间的告警相似度矩阵；

分析所述告警设备之间的告警关联关系，建立所述告警设备之间的因果关系矩阵；

基于所述告警相似度矩阵和所述告警设备之间的因果关系矩阵，计算任意两个所述告警设备之间的攻击传播概率，确定所述告警设备之间的最终的攻击传播路径；

根据预先建立的已知的攻击类型的攻击特征库，获取已知的攻击类型的攻击特征；将所述告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与所述已知的攻击类型的攻击特征进行攻击支持度分析，确定各个节点告警设备的攻击类型；将攻击场景中各个节点的告警设备出现最多的攻击类型确定为当前攻击场景的攻击类型。

2.根据权利要求1所述的方法，所述对所述告警信息进行分类，包括：将所述告警信息分为：事故告警、异常告警、变位告警、越限告警和告知告警。

3.根据权利要求1所述的方法，所述对同一分类的所述告警信息从时间维度和空间维度分析所述告警设备之间的告警相似度，确定所述告警设备之间的告警关联关系，建立所述告警设备之间的告警相似度矩阵，包括：

根据所述告警信息的分类结果，将相同类型的所述告警信息从匹配数量和告警时间两个方面计算所述告警设备之间的告警信息相似度，确定所述告警设备之间的告警关联关系，建立所述告警设备之间的告警相似度矩阵；设变电站中任意两个设备j、j，定义i和j之间的告警相似度关系为：

其中：p_ij表示设备i、j之间的告警相似度大小；m_ij表示i、j设备中匹配的同类告警对数；N_ij表示i、j设备总告警数量；表示设备i、j中相匹配的同类告警信息的告警时间；α、β是调节因子，α用来调节式中告警类型相似度和告警时间相似度的所占比重，β用于调整时间相似度中归一化的方法；

假设系统存在n个告警设备，利用告警相似度公式来计算各设备两两之间的告警相似度，并组成告警相似度矩阵P：

。

4.根据权利要求1所述的方法，所述分析所述告警设备之间的告警关联关系，建立所述告警设备之间的因果关系矩阵，包括：

根据所述智能变电站二次系统的系统结构以及信息传递逻辑，分析各层级告警设备之间的关联关系，并建立设备间的因果关系矩阵：

其中：C表示因果关联矩阵；n表示告警设备总数；c_ij表示其中第i个设备和第j个设备之间是否存在攻击因果关系，如果攻击可以从第i个设备直接渗透到第j个设备，则c_ij＝1，否则c_ij＝0。

5.根据权利要求1所述的方法，所述基于所述告警相似度矩阵和所述告警设备之间的因果关系矩阵，计算任意两个所述告警设备之间的攻击传播概率，确定所述告警设备之间的最终的攻击传播路径，包括：

所述基于所述告警相似度矩阵P和所述告警设备之间的因果关系矩阵C，计算任意两个所述告警设备之间的攻击传播概率，p_ij表示设备i和j的告警信息的相似度大小，而c_ij表示设备i和j是否存在攻击可达性的关联关系，p_ij和c_ij的乘积就可以表示设备i和j为攻击路径中节点的概率；定义攻击路径中各节点概率所组成矩阵G为：

G的计算公式为：

矩阵G描述了智能变电站中告警设备两两之间的攻击传播概率；定义路径选取阈值δ，选取矩阵G中概率大于阈值δ的所有元素组成集合集合中的任一元素的下标均代表了攻击路径中的相邻的两个告警设备，将所有元素的下标进行首尾相连即可得到最终的攻击传播路径。