本發(fā)明涉及電力系統(tǒng)安全，特別是涉及一種電力系統(tǒng)跨域威脅的檢測(cè)與防御方法及系統(tǒng)。

背景技術(shù)：

1、電力系統(tǒng)的完整架構(gòu)包括緊密相連且相互作用的信息域和物理域，且物理域主要包括發(fā)電、輸電、變電、配電和用電等環(huán)節(jié)中的物理設(shè)備和設(shè)施，且信息域主要涉及電力系統(tǒng)的監(jiān)測(cè)、控制、保護(hù)、調(diào)度和管理等方面。電力系統(tǒng)作為現(xiàn)代社會(huì)的重要基礎(chǔ)設(shè)施，其運(yùn)行的安全性和可靠性備受關(guān)注，相應(yīng)的安全威脅檢測(cè)防御問(wèn)題也成為業(yè)內(nèi)重點(diǎn)研究對(duì)象。

2、由于物理域和信息域涉及的多源數(shù)據(jù)存在時(shí)間粒度、數(shù)據(jù)格式和數(shù)據(jù)質(zhì)量等多方面顯著差異導(dǎo)致跨域異常事件關(guān)聯(lián)分析難度較大的特點(diǎn)，現(xiàn)有電力系統(tǒng)的安全威脅監(jiān)測(cè)防御方案大多僅限于對(duì)物理域或信息域的單域威脅安全防護(hù)，無(wú)法實(shí)現(xiàn)跨域異常事件關(guān)聯(lián)分析和跨域攻擊傳播路徑識(shí)別，面對(duì)實(shí)際電力系統(tǒng)運(yùn)行中存在的攻擊者利用多域漏洞實(shí)現(xiàn)跨域協(xié)同攻擊目標(biāo)的復(fù)雜攻擊場(chǎng)景，根本無(wú)法實(shí)現(xiàn)實(shí)時(shí)精準(zhǔn)感知安全威脅和追蹤防御，難以保證電力系統(tǒng)安全防護(hù)的全面性和可靠性。因此，亟需提供一種能夠?qū)崟r(shí)精準(zhǔn)識(shí)別跨域攻擊風(fēng)險(xiǎn)和進(jìn)行自適應(yīng)防御的跨域威脅防御方法。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的是提供一種電力系統(tǒng)跨域威脅的檢測(cè)與防御方法，通過(guò)分別利用物理域節(jié)點(diǎn)運(yùn)行監(jiān)測(cè)數(shù)據(jù)和信息域節(jié)點(diǎn)流量數(shù)據(jù)進(jìn)行物理域和信息域異常事件識(shí)別，并對(duì)不同域的異常事件進(jìn)行關(guān)聯(lián)分析以識(shí)別跨域異常傳播路徑構(gòu)建完整攻擊溯源圖譜，以及結(jié)合關(guān)鍵節(jié)點(diǎn)脆弱性分析生成主動(dòng)防御規(guī)則用于相應(yīng)物理域節(jié)點(diǎn)和信息域節(jié)點(diǎn)執(zhí)行安全防御，不僅能夠?qū)崟r(shí)精準(zhǔn)識(shí)別復(fù)雜的跨域攻擊風(fēng)險(xiǎn)，而且能及時(shí)進(jìn)行可靠的自適應(yīng)防御，進(jìn)而有效提升電力系統(tǒng)安全防護(hù)的全面性和可靠性。

2、為了實(shí)現(xiàn)上述目的，有必要針對(duì)上述技術(shù)問(wèn)題，提供一種電力系統(tǒng)跨域威脅的檢測(cè)與防御方法及系統(tǒng)。

3、第一方面，本發(fā)明實(shí)施例提供了一種電力系統(tǒng)跨域威脅的檢測(cè)與防御方法，所述方法包括以下步驟：

4、獲取目標(biāo)電網(wǎng)區(qū)域內(nèi)各個(gè)物理域節(jié)點(diǎn)的運(yùn)行監(jiān)測(cè)數(shù)據(jù)，并根據(jù)所述運(yùn)行監(jiān)測(cè)數(shù)據(jù)進(jìn)行狀態(tài)異常識(shí)別，得到對(duì)應(yīng)的物理域異常識(shí)別結(jié)果；所述物理域異常識(shí)別結(jié)果包括異常量測(cè)識(shí)別結(jié)果、異常開(kāi)關(guān)識(shí)別結(jié)果、故障設(shè)備識(shí)別結(jié)果和區(qū)域故障級(jí)別；

5、獲取所述目標(biāo)電網(wǎng)區(qū)域內(nèi)各個(gè)信息域節(jié)點(diǎn)的網(wǎng)絡(luò)流量數(shù)據(jù)，并根據(jù)所述網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行拒絕服務(wù)攻擊識(shí)別，得到對(duì)應(yīng)的信息域攻擊識(shí)別結(jié)果；

6、將所有物理域異常識(shí)別結(jié)果和所有信息域攻擊識(shí)別結(jié)果進(jìn)行異常事件關(guān)聯(lián)分析，得到攻擊跨域異常識(shí)別結(jié)果；

7、根據(jù)所述攻擊跨域異常識(shí)別結(jié)果對(duì)應(yīng)的電力系統(tǒng)拓?fù)鋱D和通信網(wǎng)絡(luò)拓?fù)鋱D，基于圖論算法生成對(duì)應(yīng)的跨域攻擊鏈；

8、識(shí)別所述跨域攻擊鏈中的關(guān)鍵節(jié)點(diǎn)和關(guān)鍵風(fēng)險(xiǎn)傳播路徑，并根據(jù)所述關(guān)鍵節(jié)點(diǎn)和所述關(guān)鍵風(fēng)險(xiǎn)傳播路徑，生成對(duì)應(yīng)的攻擊溯源圖譜；

9、根據(jù)所述攻擊溯源圖譜中關(guān)鍵節(jié)點(diǎn)的脆弱性信息，基于博弈論算法和強(qiáng)化學(xué)習(xí)算法迭代生成主動(dòng)防御規(guī)則并下發(fā)至對(duì)應(yīng)的物理域節(jié)點(diǎn)和信息域節(jié)點(diǎn)。

10、進(jìn)一步地，所述運(yùn)行監(jiān)測(cè)數(shù)據(jù)包括運(yùn)行參數(shù)信息和開(kāi)關(guān)保護(hù)信息；所述運(yùn)行參數(shù)信息包括電壓幅值、電流幅值、電壓相角、電流相角、電壓頻率和電流頻率；所述開(kāi)關(guān)保護(hù)信息包括設(shè)備開(kāi)關(guān)狀態(tài)和開(kāi)關(guān)分合狀態(tài)信息；

11、所述根據(jù)所述運(yùn)行監(jiān)測(cè)數(shù)據(jù)進(jìn)行狀態(tài)異常識(shí)別，得到對(duì)應(yīng)的物理域異常識(shí)別結(jié)果的步驟包括：

12、將各個(gè)運(yùn)行參數(shù)信息分別與對(duì)應(yīng)的預(yù)設(shè)參數(shù)安全閾值范圍進(jìn)行比對(duì)，得到異常量測(cè)識(shí)別結(jié)果；所述異常量測(cè)識(shí)別結(jié)果包括異常運(yùn)行參數(shù)和對(duì)應(yīng)的異常數(shù)據(jù)類(lèi)型與異常發(fā)生時(shí)間戳；

13、將所述開(kāi)關(guān)分合狀態(tài)信息與對(duì)應(yīng)的設(shè)備開(kāi)關(guān)狀態(tài)進(jìn)行比對(duì)，得到異常開(kāi)關(guān)識(shí)別結(jié)果；所述異常開(kāi)關(guān)識(shí)別結(jié)果包括各個(gè)異常開(kāi)關(guān)標(biāo)識(shí)號(hào)對(duì)應(yīng)的狀態(tài)異常類(lèi)型與狀態(tài)異常發(fā)生時(shí)間戳；

14、根據(jù)所述異常開(kāi)關(guān)識(shí)別結(jié)果和預(yù)設(shè)開(kāi)關(guān)母線關(guān)聯(lián)編碼表進(jìn)行異常開(kāi)關(guān)區(qū)域定位，得到對(duì)應(yīng)的故障設(shè)備識(shí)別結(jié)果；所述故障設(shè)備識(shí)別結(jié)果包括各個(gè)故障開(kāi)關(guān)標(biāo)識(shí)對(duì)應(yīng)的故障區(qū)域編碼與故障時(shí)間戳；

15、根據(jù)預(yù)設(shè)神經(jīng)網(wǎng)絡(luò)模型對(duì)各個(gè)故障設(shè)備識(shí)別結(jié)果對(duì)應(yīng)故障區(qū)域內(nèi)的異常量測(cè)識(shí)別結(jié)果進(jìn)行特征分析，生成對(duì)應(yīng)的特征異常權(quán)重矩陣，并根據(jù)所述特征異常權(quán)重矩陣進(jìn)行故障區(qū)域異常等級(jí)判定，得到對(duì)應(yīng)的區(qū)域故障級(jí)別。

16、進(jìn)一步地，所述信息域攻擊識(shí)別結(jié)果包括各個(gè)目標(biāo)攻擊端口的拒絕服務(wù)攻擊識(shí)別結(jié)果和對(duì)應(yīng)的攻擊等級(jí)；

17、所述根據(jù)所述網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行拒絕服務(wù)攻擊識(shí)別，得到對(duì)應(yīng)的信息域攻擊識(shí)別結(jié)果的步驟包括：

18、根據(jù)所述網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行異常流量集中識(shí)別，得到端口流量聚集識(shí)別結(jié)果；所述網(wǎng)絡(luò)流量數(shù)據(jù)包括網(wǎng)絡(luò)連接數(shù)和帶寬利用率；

19、根據(jù)所述端口流量聚集識(shí)別結(jié)果，獲取各個(gè)流量聚集端口的流入流量監(jiān)測(cè)數(shù)據(jù)，并根據(jù)所述流入流量監(jiān)測(cè)數(shù)據(jù)進(jìn)行拒絕服務(wù)攻擊識(shí)別，得到對(duì)應(yīng)的信息域攻擊識(shí)別結(jié)果。

20、進(jìn)一步地，所述根據(jù)所述網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行異常流量集中識(shí)別，得到端口流量聚集識(shí)別結(jié)果的步驟包括：

21、將各個(gè)網(wǎng)絡(luò)流量數(shù)據(jù)分別與對(duì)應(yīng)的預(yù)設(shè)額定閾值范圍進(jìn)行比對(duì)，得到流量異常信息；所述流量異常信息包括異常連接數(shù)、帶寬利用率和異常發(fā)生時(shí)間；

22、根據(jù)所述流量異常信息，獲取相關(guān)端口流量數(shù)據(jù)，并對(duì)所述相關(guān)端口流量數(shù)據(jù)進(jìn)行趨勢(shì)異常識(shí)別，得到對(duì)應(yīng)的端口異常識(shí)別結(jié)果；所述端口異常識(shí)別結(jié)果包括各個(gè)異常端口號(hào)對(duì)應(yīng)的流量數(shù)據(jù)；

23、根據(jù)預(yù)設(shè)端口流量判斷矩陣，對(duì)各個(gè)異常端口進(jìn)行流量異常等級(jí)劃分，得到對(duì)應(yīng)的端口流量異常分級(jí)結(jié)果；所述預(yù)設(shè)端口流量判斷矩陣基于預(yù)設(shè)等級(jí)判定指標(biāo)構(gòu)建；所述預(yù)設(shè)等級(jí)判定指標(biāo)包括端口流量波動(dòng)幅度、流量持續(xù)時(shí)長(zhǎng)和流量增長(zhǎng)速率；

24、根據(jù)各個(gè)端口流量異常分級(jí)結(jié)果，獲取對(duì)應(yīng)的相鄰端口流量數(shù)據(jù)，并根據(jù)所述相鄰端口流量數(shù)據(jù)進(jìn)行異常流量聚集分析，得到所述端口流量聚集識(shí)別結(jié)果；所述端口流量聚集識(shí)別結(jié)果包括各個(gè)流量聚集端口組對(duì)應(yīng)的組內(nèi)端口數(shù)目與聚集流量方向。

25、進(jìn)一步地，所述根據(jù)所述流入流量監(jiān)測(cè)數(shù)據(jù)進(jìn)行拒絕服務(wù)攻擊識(shí)別，得到對(duì)應(yīng)的信息域攻擊識(shí)別結(jié)果的步驟包括：

26、判斷所述流入流量監(jiān)測(cè)數(shù)據(jù)是否滿(mǎn)足預(yù)設(shè)流量聚集識(shí)別條件，若是，則判定對(duì)應(yīng)流量聚集端口為流量洪水攻擊端口，并獲取以所述流量洪水攻擊端口為目的端口的數(shù)據(jù)包源地址集；所述預(yù)設(shè)流量聚集識(shí)別條件為流入流量超過(guò)預(yù)設(shè)倍數(shù)的端口基準(zhǔn)流量且持續(xù)時(shí)間超過(guò)預(yù)設(shè)時(shí)長(zhǎng)；

27、根據(jù)所述數(shù)據(jù)包源地址集對(duì)應(yīng)的源地址連接數(shù)據(jù)記錄進(jìn)行分布式攻擊識(shí)別、半開(kāi)連接識(shí)別和畸形包識(shí)別，并根據(jù)預(yù)設(shè)機(jī)器學(xué)習(xí)模型對(duì)得到的異常特征識(shí)別結(jié)果進(jìn)行攻擊分類(lèi)處理，生成所述拒絕服務(wù)攻擊識(shí)別結(jié)果；所述拒絕服務(wù)攻擊識(shí)別結(jié)果包括攻擊源特征、攻擊類(lèi)型、攻擊持續(xù)時(shí)長(zhǎng)和檢測(cè)時(shí)間戳；

28、根據(jù)所述數(shù)據(jù)包源地址集和預(yù)設(shè)分散性識(shí)別條件進(jìn)行源地址分散分析，生成對(duì)應(yīng)的源地址分散標(biāo)識(shí)；所述預(yù)設(shè)分散性識(shí)別條件為地址間物理距離最小值大于預(yù)設(shè)距離閾值且各個(gè)源地址訪問(wèn)占比小于預(yù)設(shè)比值；所述源地址分散標(biāo)識(shí)包括各個(gè)源地址的訪問(wèn)記錄、地址位置和訪問(wèn)時(shí)間戳；

29、根據(jù)傳輸控制協(xié)議規(guī)范和預(yù)設(shè)檢驗(yàn)字段，對(duì)所述流量洪水攻擊端口的流入數(shù)據(jù)包進(jìn)行異常統(tǒng)計(jì)，并在異常數(shù)據(jù)包占比超過(guò)異常百分比閾值時(shí)，生成對(duì)應(yīng)的連接異常識(shí)別結(jié)果；所述預(yù)設(shè)檢驗(yàn)字段包括握手包標(biāo)志位序列、包頭長(zhǎng)度和校驗(yàn)和；所述連接異常識(shí)別結(jié)果包括異常包數(shù)量、流入數(shù)據(jù)包總量和檢驗(yàn)時(shí)間；

30、將所述流量洪水攻擊端口的流量洪水攻擊標(biāo)識(shí)、源地址分散標(biāo)識(shí)和連接異常識(shí)別結(jié)果進(jìn)行綜合分析，得到攻擊行為綜合得分，并根據(jù)所述攻擊行為綜合得分，得到對(duì)應(yīng)的攻擊等級(jí)；所述流量洪水攻擊標(biāo)識(shí)包括目標(biāo)端口、流入流量、基準(zhǔn)流量、攻擊起始時(shí)間和攻擊持續(xù)時(shí)長(zhǎng)。

31、進(jìn)一步地，所述將所有物理域異常識(shí)別結(jié)果和所有信息域攻擊識(shí)別結(jié)果進(jìn)行異常事件關(guān)聯(lián)分析，得到攻擊跨域異常識(shí)別結(jié)果的步驟包括：

32、將各個(gè)物理域異常識(shí)別結(jié)果與各個(gè)信息域攻擊識(shí)別結(jié)果進(jìn)行異常發(fā)生時(shí)間戳比對(duì)，并根據(jù)節(jié)點(diǎn)屬于同一物理區(qū)域且異常發(fā)生時(shí)間戳偏差小于預(yù)設(shè)故障響應(yīng)時(shí)長(zhǎng)的異常事件，生成跨域異常關(guān)聯(lián)數(shù)據(jù)；所述跨域異常關(guān)聯(lián)數(shù)據(jù)包括各個(gè)跨域異常事件對(duì)應(yīng)的物理域節(jié)點(diǎn)標(biāo)號(hào)、信息域節(jié)點(diǎn)標(biāo)號(hào)、時(shí)間關(guān)聯(lián)度、空間關(guān)聯(lián)度和關(guān)聯(lián)時(shí)間戳；

33、根據(jù)所述跨域異常關(guān)聯(lián)數(shù)據(jù)、以及所述目標(biāo)電網(wǎng)區(qū)域的設(shè)備物理連接關(guān)系和通信鏈路關(guān)系，構(gòu)建對(duì)應(yīng)的電氣一次設(shè)備拓?fù)鋱D與二次設(shè)備通信拓?fù)鋱D，并獲取所述電氣一次設(shè)備拓?fù)鋱D與所述二次設(shè)備通信拓?fù)鋱D中距離小于預(yù)設(shè)連接層數(shù)閾值的異常節(jié)點(diǎn)，生成對(duì)應(yīng)的關(guān)聯(lián)群組數(shù)據(jù)；所述關(guān)聯(lián)群組數(shù)據(jù)包括物理域設(shè)備列表、信息域設(shè)備列表、設(shè)備間物理距離、通信鏈路跳數(shù)和空間關(guān)聯(lián)程度；

34、根據(jù)預(yù)設(shè)特征匹配表對(duì)所述關(guān)聯(lián)群組數(shù)據(jù)內(nèi)異常事件進(jìn)行特征分析，并通過(guò)預(yù)設(shè)特征組合計(jì)數(shù)判斷原則進(jìn)行異常事件嚴(yán)重程度識(shí)別，得到高等級(jí)異常群組；

35、建立所述高等級(jí)異常群組對(duì)應(yīng)的設(shè)備連通圖，并根據(jù)所述設(shè)備連通圖中設(shè)備間連接緊密程度，得到對(duì)應(yīng)的群組擴(kuò)散風(fēng)險(xiǎn)值；

36、當(dāng)所述群組擴(kuò)散風(fēng)險(xiǎn)值超過(guò)預(yù)設(shè)警戒值時(shí)，生成所述攻擊跨域異常識(shí)別結(jié)果；所述攻擊跨域異常識(shí)別結(jié)果包括風(fēng)險(xiǎn)設(shè)備清單、擴(kuò)散預(yù)警級(jí)別和預(yù)警發(fā)布時(shí)間。

37、進(jìn)一步地，所述根據(jù)所述攻擊跨域異常識(shí)別結(jié)果對(duì)應(yīng)的電力系統(tǒng)拓?fù)鋱D和通信網(wǎng)絡(luò)拓?fù)鋱D，基于圖論算法生成對(duì)應(yīng)的跨域攻擊鏈的步驟包括：

38、建立所述電力系統(tǒng)拓?fù)鋱D中物理域節(jié)點(diǎn)與所述通信網(wǎng)絡(luò)拓?fù)鋱D中通信域節(jié)點(diǎn)間的節(jié)點(diǎn)映射關(guān)系矩陣；

39、通過(guò)深度優(yōu)先搜索算法對(duì)所述電力系統(tǒng)拓?fù)鋱D和所述通信網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行異常節(jié)點(diǎn)遍歷，并根據(jù)所述節(jié)點(diǎn)映射關(guān)系矩陣，對(duì)各個(gè)異常節(jié)點(diǎn)的物理相鄰節(jié)點(diǎn)和通信相鄰節(jié)點(diǎn)進(jìn)行匹配分析，生成異常傳播節(jié)點(diǎn)表；

40、通過(guò)戴克斯特拉算法分別計(jì)算所述異常傳播節(jié)點(diǎn)表中各個(gè)異常節(jié)點(diǎn)對(duì)在所述電力系統(tǒng)拓?fù)鋱D和所述通信網(wǎng)絡(luò)拓?fù)鋱D中的傳播最短路徑，并根據(jù)通信節(jié)點(diǎn)間鏈路帶寬利用率和物理節(jié)點(diǎn)間斷路器狀態(tài)量和保護(hù)裝置動(dòng)作信號(hào)對(duì)各個(gè)傳播最短路徑進(jìn)行傳播影響評(píng)估，以及根據(jù)對(duì)應(yīng)的影響評(píng)估結(jié)果生成級(jí)聯(lián)影響路徑；

41、根據(jù)預(yù)設(shè)路徑優(yōu)先級(jí)指標(biāo)，分別對(duì)各個(gè)級(jí)聯(lián)影響路徑進(jìn)行路徑優(yōu)先級(jí)評(píng)估，并根據(jù)對(duì)應(yīng)的優(yōu)先級(jí)評(píng)估結(jié)果將所述級(jí)聯(lián)影響路徑進(jìn)行排序，生成所述跨域攻擊鏈；所述預(yù)設(shè)路徑優(yōu)先級(jí)指標(biāo)包括節(jié)點(diǎn)連接緊密度、節(jié)點(diǎn)帶寬占用率、節(jié)點(diǎn)保護(hù)配置和節(jié)點(diǎn)通信時(shí)延；所述跨域攻擊鏈包括各條傳播路徑對(duì)應(yīng)的源節(jié)點(diǎn)、目的節(jié)點(diǎn)和路徑優(yōu)先級(jí)。

42、進(jìn)一步地，所述識(shí)別所述跨域攻擊鏈中的關(guān)鍵節(jié)點(diǎn)和關(guān)鍵風(fēng)險(xiǎn)傳播路徑，并根據(jù)所述關(guān)鍵節(jié)點(diǎn)和所述關(guān)鍵風(fēng)險(xiǎn)傳播路徑，生成對(duì)應(yīng)的攻擊溯源圖譜的步驟包括：

43、獲取所述跨域攻擊鏈的節(jié)點(diǎn)連接關(guān)系數(shù)據(jù)，并根據(jù)所述節(jié)點(diǎn)連接關(guān)系數(shù)據(jù)，計(jì)算各個(gè)節(jié)點(diǎn)的節(jié)點(diǎn)度和中介中心性指標(biāo)，以及根據(jù)所述節(jié)點(diǎn)度和中介中心性指標(biāo)，篩選得到關(guān)鍵節(jié)點(diǎn)；

44、根據(jù)所有關(guān)鍵節(jié)點(diǎn)的節(jié)點(diǎn)間連接關(guān)系，構(gòu)建對(duì)應(yīng)的傳播路徑，并根據(jù)預(yù)設(shè)路徑顯著性指標(biāo)對(duì)各個(gè)傳播路徑進(jìn)行風(fēng)險(xiǎn)評(píng)估，得到關(guān)鍵風(fēng)險(xiǎn)傳播路徑；

45、基于力導(dǎo)向布局算法，對(duì)各個(gè)關(guān)鍵風(fēng)險(xiǎn)傳播路徑進(jìn)行可視化布局，生成對(duì)應(yīng)的風(fēng)險(xiǎn)傳播布局方案；

46、根據(jù)所述風(fēng)險(xiǎn)傳播布局方案和預(yù)設(shè)圖形化標(biāo)注規(guī)則，將對(duì)應(yīng)的關(guān)鍵風(fēng)險(xiǎn)傳播路徑進(jìn)行標(biāo)注處理，生成所述攻擊溯源圖譜；所述預(yù)設(shè)圖形化標(biāo)注規(guī)則包括不同類(lèi)型節(jié)點(diǎn)的著色規(guī)則和圖標(biāo)尺寸、以及基于節(jié)點(diǎn)間影響程度的節(jié)點(diǎn)間連線像素設(shè)置規(guī)則。

47、進(jìn)一步地，所述脆弱性信息包括節(jié)點(diǎn)軟件版本滯后程度、通信協(xié)議漏洞數(shù)量和補(bǔ)丁更新?tīng)顟B(tài)；

48、所述根據(jù)所述脆弱性信息，通過(guò)博弈論算法和強(qiáng)化學(xué)習(xí)算法迭代生成主動(dòng)防御規(guī)則的步驟包括：

49、將各個(gè)關(guān)鍵節(jié)點(diǎn)的脆弱性信息進(jìn)加權(quán)綜合分析，得到對(duì)應(yīng)的節(jié)點(diǎn)脆弱性得分，并將所述節(jié)點(diǎn)脆弱性得分超過(guò)預(yù)設(shè)得分閾值的關(guān)鍵節(jié)點(diǎn)作為高風(fēng)險(xiǎn)節(jié)點(diǎn)；

50、根據(jù)各個(gè)高風(fēng)險(xiǎn)節(jié)點(diǎn)的脆弱性標(biāo)識(shí)和預(yù)設(shè)攻防博弈收益矩陣，基于非零和博弈算法進(jìn)行多輪博弈迭代計(jì)算，生成最優(yōu)防御策略；所述脆弱性標(biāo)識(shí)包括漏洞級(jí)別、攻擊難度系數(shù)和節(jié)點(diǎn)脆弱性得分；

51、根據(jù)所述最優(yōu)防御策略，生成對(duì)應(yīng)的初始防御規(guī)則；所述初始防御規(guī)則包括端口限制規(guī)則、流量管控規(guī)則和電氣參數(shù)調(diào)整規(guī)則；

52、根據(jù)預(yù)設(shè)規(guī)則評(píng)估指標(biāo)，基于強(qiáng)化學(xué)習(xí)算法對(duì)所述初始防御規(guī)則進(jìn)行防御效果模擬評(píng)估，并根據(jù)對(duì)應(yīng)的評(píng)估結(jié)果，對(duì)所述初始防御規(guī)則進(jìn)行優(yōu)化，生成所述主動(dòng)防御規(guī)則；所述預(yù)設(shè)規(guī)則評(píng)估指標(biāo)包括規(guī)則執(zhí)行后攻擊成功率下降百分比、設(shè)備運(yùn)行穩(wěn)定性提升百分比、業(yè)務(wù)影響程度降低百分比。

53、第二方面，本發(fā)明實(shí)施例提供了一種電力系統(tǒng)跨域威脅的檢測(cè)與防御系統(tǒng)，所述系統(tǒng)包括：

54、物理域異常識(shí)別模塊，用于獲取目標(biāo)電網(wǎng)區(qū)域內(nèi)各個(gè)物理域節(jié)點(diǎn)的運(yùn)行監(jiān)測(cè)數(shù)據(jù)，并根據(jù)所述運(yùn)行監(jiān)測(cè)數(shù)據(jù)進(jìn)行狀態(tài)異常識(shí)別，得到對(duì)應(yīng)的物理域異常識(shí)別結(jié)果；所述物理域異常識(shí)別結(jié)果包括異常量測(cè)識(shí)別結(jié)果、異常開(kāi)關(guān)識(shí)別結(jié)果、故障設(shè)備識(shí)別結(jié)果和區(qū)域故障級(jí)別；

55、信息域攻擊識(shí)別模塊，用于獲取所述目標(biāo)電網(wǎng)區(qū)域內(nèi)各個(gè)信息域節(jié)點(diǎn)的網(wǎng)絡(luò)流量數(shù)據(jù)，并根據(jù)所述網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行拒絕服務(wù)攻擊識(shí)別，得到對(duì)應(yīng)的信息域攻擊識(shí)別結(jié)果；

56、跨域異常分析模塊，用于將所有物理域異常識(shí)別結(jié)果和所有信息域攻擊識(shí)別結(jié)果進(jìn)行異常事件關(guān)聯(lián)分析，得到攻擊跨域異常識(shí)別結(jié)果；

57、攻擊鏈分析模塊，用于根據(jù)所述攻擊跨域異常識(shí)別結(jié)果對(duì)應(yīng)的電力系統(tǒng)拓?fù)鋱D和通信網(wǎng)絡(luò)拓?fù)鋱D，基于圖論算法生成對(duì)應(yīng)的跨域攻擊鏈；

58、溯源圖譜構(gòu)建模塊，用于識(shí)別所述跨域攻擊鏈中的關(guān)鍵節(jié)點(diǎn)和關(guān)鍵風(fēng)險(xiǎn)傳播路徑，并根據(jù)所述關(guān)鍵節(jié)點(diǎn)和所述關(guān)鍵風(fēng)險(xiǎn)傳播路徑，生成對(duì)應(yīng)的攻擊溯源圖譜；

59、攻擊防御處理模塊，用于根據(jù)所述攻擊溯源圖譜中關(guān)鍵節(jié)點(diǎn)的脆弱性信息，基于博弈論算法和強(qiáng)化學(xué)習(xí)算法迭代生成主動(dòng)防御規(guī)則并下發(fā)至對(duì)應(yīng)的物理域節(jié)點(diǎn)和信息域節(jié)點(diǎn)。

60、上述本技術(shù)提供了一種電力系統(tǒng)跨域威脅的檢測(cè)與防御方法及系統(tǒng)，通過(guò)所述方法實(shí)現(xiàn)了獲取目標(biāo)電網(wǎng)區(qū)域內(nèi)各個(gè)物理域節(jié)點(diǎn)的運(yùn)行監(jiān)測(cè)數(shù)據(jù)，根據(jù)運(yùn)行監(jiān)測(cè)數(shù)據(jù)進(jìn)行狀態(tài)異常識(shí)別得到包括異常量測(cè)識(shí)別結(jié)果、異常開(kāi)關(guān)識(shí)別結(jié)果、故障設(shè)備識(shí)別結(jié)果和區(qū)域故障級(jí)別的物理域異常識(shí)別結(jié)果，獲取所述目標(biāo)電網(wǎng)區(qū)域內(nèi)各個(gè)信息域節(jié)點(diǎn)的網(wǎng)絡(luò)流量數(shù)據(jù)，根據(jù)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行拒絕服務(wù)攻擊識(shí)別得到對(duì)應(yīng)的信息域攻擊識(shí)別結(jié)果后，將所有物理域異常識(shí)別結(jié)果和所有信息域攻擊識(shí)別結(jié)果進(jìn)行異常事件關(guān)聯(lián)分析，得到攻擊跨域異常識(shí)別結(jié)果，再根據(jù)攻擊跨域異常識(shí)別結(jié)果對(duì)應(yīng)的電力系統(tǒng)拓?fù)鋱D和通信網(wǎng)絡(luò)拓?fù)鋱D，基于圖論算法生成對(duì)應(yīng)的跨域攻擊鏈，并識(shí)別跨域攻擊鏈中的關(guān)鍵節(jié)點(diǎn)和關(guān)鍵風(fēng)險(xiǎn)傳播路徑，根據(jù)關(guān)鍵節(jié)點(diǎn)和關(guān)鍵風(fēng)險(xiǎn)傳播路徑，生成對(duì)應(yīng)的攻擊溯源圖譜，以及根據(jù)攻擊溯源圖譜中關(guān)鍵節(jié)點(diǎn)的脆弱性信息，基于博弈論算法和強(qiáng)化學(xué)習(xí)算法迭代生成主動(dòng)防御規(guī)則并下發(fā)至對(duì)應(yīng)的物理域節(jié)點(diǎn)和信息域節(jié)點(diǎn)的技術(shù)方案。與現(xiàn)有技術(shù)相比，該電力系統(tǒng)跨域威脅的檢測(cè)與防御方法，通過(guò)綜合利用物理域節(jié)點(diǎn)運(yùn)行監(jiān)測(cè)數(shù)據(jù)和信息域節(jié)點(diǎn)流量數(shù)據(jù)進(jìn)行異常事件識(shí)別，并通過(guò)對(duì)不同域的異常事件進(jìn)行關(guān)聯(lián)分析和跨域異常傳播路徑識(shí)別構(gòu)建完整攻擊溯源圖譜，以及結(jié)合關(guān)鍵節(jié)點(diǎn)脆弱性分析生成主動(dòng)防御規(guī)則用于自適應(yīng)安全防御的自動(dòng)檢測(cè)、分析和防御的智能防護(hù)方式，不僅能夠?qū)崟r(shí)精準(zhǔn)識(shí)別復(fù)雜的跨域攻擊風(fēng)險(xiǎn)，而且能及時(shí)進(jìn)行可靠的自適應(yīng)防御，進(jìn)而有效提升電力系統(tǒng)安全防護(hù)的全面性和可靠性，提高電力系統(tǒng)抵御復(fù)雜網(wǎng)絡(luò)攻擊的能力，為保證電網(wǎng)安全穩(wěn)定運(yùn)行提供有效的技術(shù)支持。