[发明专利]基于电力网络环境下的安全威胁追溯方法及系统

权利要求书

1.一种基于电力网络环境下的安全威胁追溯方法，其特征在于，包括以下步骤，

根据配置的电力网络漏洞采集策略从网络公开的漏洞库中采集威胁情报信息，对于危害等级判别为高危的所述威胁情报信息进行情报预警公告；

获取安全威胁的各攻击场景，判断所述各攻击场景中所包含的攻击步骤在不同节点处所留下的行为轨迹以及系统进程影响是否存在相同的关联规则，其中每个所述攻击步骤对应多个不同的能够实现该攻击步骤的事件；

若存在所述相同的关联规则，则触发威胁的检测流程：若所述情报预警公告为攻击场景中任一的攻击步骤所对应的事件，则将当前电力网络中的原始事件直接作为该攻击场景所对应的一条新的攻击序列保存；

对得到的所述攻击序列进行追溯处理，保存溯源路径并进行输出。

2.如权利要求1所述的基于电力网络环境下的安全威胁追溯方法，其特征在于，将所述溯源路径通过共享接口发送到拓展平台。

3.如权利要求1所述的基于电力网络环境下的安全威胁追溯方法，其特征在于，将所述溯源路径发送到客户端，所述溯源路径还用于触发所述客户端产生协助警报。

4.如权利要求1或3所述的基于电力网络环境下的安全威胁追溯方法，其特征在于，根据电力网络的架构特征构建所述电力网络漏洞采集策略。

5.如权利要求1或3所述的基于电力网络环境下的安全威胁追溯方法，其特征在于，历史积累的所述威胁情报信息经分类后输出统计分析报表。

6.一种基于电力网络环境下的安全威胁追溯系统，其特征在于，包括：

采集装置，用于根据配置的电力网络漏洞采集策略从网络公开的漏洞库中采集威胁情报信息，对于危害等级判别为高危的所述威胁情报信息进行情报预警公告；

第一检测装置，用于获取安全威胁的各攻击场景，判断所述各攻击场景中所包含的攻击步骤在不同节点处所留下的行为轨迹以及系统进程影响是否存在相同的关联规则，其中每个所述攻击步骤对应多个不同的能够实现该攻击步骤的事件；

第二检测装置，若存在所述相同的关联规则，则触发威胁的检测流程：若所述情报预警公告为攻击场景中任一的攻击步骤所对应的事件，则将当前电力网络中的原始事件直接作为该攻击场景所对应的一条新的攻击序列保存；

追溯装置，用于对得到的所述攻击序列进行追溯处理，保存溯源路径并进行输出。

7.如权利要求6所述的基于电力网络环境下的安全威胁追溯系统，其特征在于，还包括第一发送装置，用于将所述溯源路径通过共享接口发送到拓展平台。

8.如权利要求6所述的基于电力网络环境下的安全威胁追溯系统，其特征在于，还包括第二发送装置，用于将所述溯源路径发送到客户端，所述溯源路径还用于触发所述客户端产生协助警报。

9.如权利要求6或8所述的基于电力网络环境下的安全威胁追溯系统，其特征在于，还包括采集策略构建装置，用于根据电力网络的架构特征构建所述电力网络漏洞采集策略。

10.如权利要求6或8所述的基于电力网络环境下的安全威胁追溯系统，其特征在于，还包括统计分析装置，用于历史积累的所述威胁情报信息经分类后输出统计分析报表。