[发明专利]一种电力终端设备的安全访问评估方法及装置

权利要求书

1.一种电力终端设备的安全访问评估方法，其特征在于，包括：

基于电力业务系统服务器的网络连接关系构建网络拓扑图；

将所构建的网络拓扑图转换为R-跳的带权攻击树，并计算带权攻击树中电力业务系统服务器的风险值；所述带权攻击树的顶点为接入的电力终端设备，其余节点为电力业务系统服务器；

基于电力业务系统服务器的风险值对R-跳的带权攻击树进行剪枝；

对剪枝后的R-跳的带权攻击树的节点进行安全访问。

2.根据权利要求1所述的一种电力终端设备的安全访问评估方法，其特征在于，所述基于电力业务系统服务器的网络连接关系构建网络拓扑图，包括：

周期性采集电力业务系统服务器的网络连接关系，根据解析的源地址和目的地址构建出服务器之间的网络拓扑关系；以所有电力业务系统服务器为节点，两台相连的电力业务系统服务器之间为边构建网络拓扑图；

将去重后的目的端口的数量将作为两个服务器之间网络拓扑图中边的权值，边的方向为服务器上网络连接的方向；

计算节点的权值为：

其中，G(h)表示服务器节点h的权值，k表示入度的系数，表示网络拓扑图中指向服务器h的边的个数，表示网络拓扑图中由服务器h连出的边的个数，n表示电力业务系统中服务器个数；

计算边的传播概率为：

其中，q_i,j表示服务器节点i向服务器节点j的风险传播概率；

以此构建电力业务系统有向带权网络拓扑图。

3.根据权利要求2所述的一种电力终端设备的安全访问评估方法，其特征在于，采用WL子树核算法对电力业务系统的网络拓扑图进行计算，得到R-跳的带权攻击树。

4.根据权利要求3所述的一种电力终端设备的安全访问评估方法，其特征在于，在计算带权攻击树的子树核时，边的权值和节点的权值不变。

5.根据权利要求2所述的一种电力终端设备的安全访问评估方法，其特征在于，所述计算电力业务系统服务器的风险值包括：

E^(r)(j)＝∑_iq_i,jE^(r-1)(i)E^(r-1)(j),对于

其中，E^(r)(j)为第r跳计算时服务器节点j的风险值，e_ij表示在网络拓扑图中存在一跳从服务器节点i到服务器节点j的边，G表示网络拓扑图，E^(r-1)(i)表示第r-1跳计算时计算的服务器节点i的风险值。

6.根据权利要求5所述的一种电力终端设备的安全访问评估方法，其特征在于，计算过程中，服务器节点第1跳的风险值为电力终端设备的风险值。

7.根据权利要求1所述的一种电力终端设备的安全访问评估方法，其特征在于，还包括：

采集电力终端设备的安全状态信息，基于采集的信息计算电力终端设备的风险值。

8.根据权利要求6所述的一种电力终端设备的安全访问评估方法，其特征在于，所述电力终端设备的风险值计算如下：

采用多种评估方式对电力终端设备进行打分，得到综合打分结果作为电力终端设备的风险值：

其中，E(t)表示电力终端设备t的综合打分值，x_s表示第s种评估方式的评估结果，a_s表示第s种评估方式的权重，m为采用的评估方式个数；

所述评分方式包括基线核查评估，漏洞检测评估，等级保护评估和行为异常评估中的至少一种。