电力系统网络攻击检测方法、装置、电子设备及存储介质与流程

1.本发明涉及电力监控领域，特别涉及一种电力系统网络攻击检测方法、装置、电子设备及计算机可读存储介质。


背景技术：

2.电力监控系统作为电力环境的“感知”枢纽，在监控电力网络状态的同时需要感知电力网络的安全隐患，以识别或阻断恶意的攻击行为。相关技术中，对网络攻击的识别依赖于防火墙、ids、ips等电力系统中的安防设备，而电力监控系统则根据安防设备生成的网络安全事件确定完整的攻击链路。然而，电力系统中传统的安防设备一般使用特征库进行检测，这导致其生成的网络安全事件的数量多、精度差，容易对电力监控系统的正常处理造成干扰。此外，电力监控系统对网络攻击的映射精细程度较低，无法充分展示攻击者使用的技术手段与攻击意图。
3.因此，如何对电力系统中的网络攻击进行检测，是本领域技术人员所需解决的技术问题。


技术实现要素：

4.本发明的目的是提供一种电力系统网络攻击检测方法、装置、电子设备及计算机可读存储介质，可组合检测多网络安全事件，并可将异常事件映射至具体的网络攻击技战术，以提升网络攻击检测的可靠性。
5.为解决上述技术问题，本发明提供一种电力系统网络攻击检测方法，包括：获取电力系统安防设备生成的多个网络安全事件，并根据所述网络安全事件包含的源ip地址将所述网络安全事件分组至对应的事件序列；提取所述事件序列的特征信息，并利用所述特征信息对所述事件序列进行异常检测；当确定所述事件序列异常时，根据事件类型与网络攻击的技战术间的预设映射关系，确定所述事件序列中的各网络安全事件对应的目标技战术；将所述目标技战术标记至攻击矩阵模板中对应的展示位置，得到攻击矩阵，以基于所述攻击矩阵进行输出显示；所述攻击矩阵模板预设有各所述技战术对应的展示位置。
6.可选地，所述根据所述网络安全事件包含的源ip地址将所述网络安全事件分组至对应的事件序列，包括：根据所述网络安全事件包含的源ip地址将所述网络安全事件分组至对应的初始事件序列，并根据事件生成时间对所述初始事件序列中的网络安全事件进行排序；利用预设滑动窗口对所述初始事件序列进行滑动截取，得到多个所述事件序列；所述预设滑动窗口的窗口大小为第一预设时长，所述预设滑动窗口的步长为第二预设时长。
7.可选地，在根据所述网络安全事件包含的源ip地址将所述网络安全事件分组至对
应的事件序列之前，还包括：根据预设字段转换关系，对所述网络安全事件中的字段进行转换；利用转换后的网络安全事件执行所述根据所述网络安全事件包含的源ip地址将所述网络安全事件分组至对应的事件序列的步骤。
8.可选地，所述提取所述事件序列的特征信息，包括：统计多个目标信息在所述事件序列中出现的次数，得到所述事件序列的特征信息。
9.可选地，所述利用所述特征信息对所述事件序列进行异常检测，包括：将所述事件序列的特征信息转换为特征向量；将所述特征向量输入至多个异常检测器，得到多个异常检测结果；各所述异常检测器使用的检测算法不同；对所述多个异常检测结果进行融合处理，得到综合检测结果；当确定所述综合检测结果大于预设阈值时，判定所述事件序列异常。
10.可选地，在确定所述事件序列中的各网络安全事件对应的目标技战术之后，还包括：依照所述事件序列中各网络安全事件的生成顺序，将各所述目标技战术转换为攻击链；将所述攻击链输入至已训练的隐马尔科夫模型中进行技战术预测，得到预测技战术；将所述预测技战术标记至所述事件序列对应的攻击矩阵中。
11.可选地，所述隐马尔科夫模型的训练过程，包括：获取训练攻击链；所述训练攻击链中包含多个顺序执行的技战术；利用所述训练攻击链构建状态转移矩阵，并利用所述状态转移矩阵训练所述隐马尔科夫模型；所述状态转移矩阵中的各行及各列均对应一种技战术，所述状态转移矩阵中的每个元素均表示从一种技战术转移至另一种技战术的概率。
12.本发明还提供一种电力系统网络攻击检测装置，包括：分组模块，用于获取电力系统安防设备生成的多个网络安全事件，并根据所述网络安全事件包含的源ip地址将所述网络安全事件分组至对应的事件序列；异常检测模块，用于提取所述事件序列的特征信息，并利用所述特征信息对所述事件序列进行异常检测；映射模块，用于当确定所述事件序列异常时，根据事件类型与网络攻击的技战术间的预设映射关系，确定所述事件序列中的各网络安全事件对应的目标技战术；攻击矩阵生成模块，用于将所述目标技战术标记至攻击矩阵模板中对应的展示位置，得到攻击矩阵，以基于所述攻击矩阵进行输出显示；所述攻击矩阵模板预设有各所述技战术对应的展示位置。
13.本发明还提供一种电子设备，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现如上所述的电力系统网络攻击检测方法。
14.本发明还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器加载并执行时，实现如上所述的网络攻击检测方法。
15.本发明提供一种电力系统网络攻击检测方法，包括：获取电力系统安防设备生成的多个网络安全事件，并根据所述网络安全事件包含的源ip地址将所述网络安全事件分组至对应的事件序列；提取所述事件序列的特征信息，并利用所述特征信息对所述事件序列进行异常检测；当确定所述事件序列异常时，根据事件类型与网络攻击的技战术间的预设映射关系，确定所述事件序列中的各网络安全事件对应的目标技战术；将所述目标技战术标记至攻击矩阵模板中对应的展示位置，得到攻击矩阵，以基于所述攻击矩阵进行输出显示；所述攻击矩阵模板预设有各所述技战术对应的展示位置。
16.可见，本发明首先可获取电力系统安防设备生成的多个网络安全事件，并根据该事件包含的源ip地址将网络安全事件分组至对应的事件序列；随后，可提取事件序列的特征信息，并利用特征信息对事件序列进行异常检测；当确定事件序列异常时，本发明可根据事件类型与网络攻击的技战术间的预设映射关系，确定事件序列中的各网络安全事件对应的目标技战术，并将目标技战术标记至攻击矩阵模板中对应的展示位置，得到攻击矩阵，以基于攻击矩阵进行输出显示。换句话说，本发明将会以序列的形式，对电力系统安防设备生成的包含相同源ip地址的多个网络安全事件进行组合检测，以此可降低网络安全事件的处理量，并可提升网络攻击检测的精准度；随后，在确定事件序列异常时，本发明可根据事件类型与网络攻击的技战术间的预设映射关系，确定事件序列中的各网络安全事件映射至具体的技战术，以基于具体的技战术进行输出显示，从而可充分展示攻击者使用的技术手段与攻击意图，并能够更加有效地检测电力系统中的网络攻击。本发明还提供一种电力系统网络攻击检测装置、电子设备及计算机可读存储介质，具有上述有益效果。
附图说明
17.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
18.图1为本发明实施例所提供的一种电力系统网络攻击检测方法的流程图；图2为本发明实施例所提供的一种电力系统网络攻击检测装置的结构框图。
具体实施方式
19.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.相关技术中，对电力系统中网络攻击的识别依赖于防火墙、ids（intrusion detection system，入侵检测系统）、ips（intrusion prevention system，入侵防御系统）等电力系统中的安防设备，而电力监控系统则根据安防设备生成的网络安全事件确定完整
的攻击链路。然而，传统的安防设备一般使用特征库进行检测，这导致其生成的网络安全事件的数量多、精度差，容易对电力监控系统的正常处理造成干扰。此外，电力监控系统对网络攻击的映射精细程度较低，无法充分展示攻击者使用的技术手段与攻击意图。有鉴于此，本发明可提供一种电力系统网络攻击检测方法，可组合检测多网络安全事件，并可将异常事件映射至具体的网络攻击技战术，以提升网络攻击检测的可靠性。
21.需要说明的是，本发明实施例并不限定执行本方法的具体硬件设备，例如可以为个人电脑、服务器等，可根据实际应用需求进行设定。
22.请参考图1，图1为本发明实施例所提供的一种电力系统网络攻击检测方法的流程图，该方法可以包括：s101、获取电力系统安防设备生成的多个网络安全事件，并根据网络安全事件包含的源ip地址将网络安全事件分组至对应的事件序列。
23.应当说明的是，安防设备可对监控域中的行为及流量进行检测，并将在判定某行为或流量异常时生成对应的网络安全事件。该事件具有事件类型，如违规、入侵、流量异常等，并记录有异常行为或流量的具体信息，如ip地址、端口、流量字节数等。由于电力系统中传统的安防设备一般基于特征库进行异常检测，导致其生成的网络安全事件存在数量多、精度差的问题，容易对电力监控系统的处理造成干扰，因此本发明实施例将采用对网络安全事件进行组合检测的方式来解决上述问题。
24.具体的，本发明实施例在采集到多个网络安全事件时，可根据网络安全事件包含的源ip地址将网络安全事件分组至对应的事件序列，即每一事件序列对应一个源ip地址。随后，本发明实施例将基于事件序列进行网络攻击检测。显然，事件序列的数量将小于网络安全事件的数量，因此本发明能够降低电力监控系统的处理量。此外，由于网络攻击者通常会采取多种攻击手段进行网络攻击，因此将多个网络安全事件进行组合检测的方式，更能贴近攻击者的实际操作情况，进而能够提升网络攻击检测的准确度。
25.需要说明的是，本发明实施例并不限定如何生成事件序列，例如可仅依照源ip地址将网络安全事件分组至对应的事件序列，以确保每个事件序列包含一定数量网络安全事件，或包含一定时间范围内生成的网络安全事件。又例如，还可先依照源ip地址将网络安全事件分组至对应的初始事件序列，并依照事件生成时间对初始事件序列中的网络安全事件进行排序；随后，可利用预设滑动窗口对初始事件序列进行滑动截取，得到多个事件序列，即首先可生成较长的初始事件序列，再通过滑动截取的方式将初始事件序列截取成多个较短的事件序列。考虑到采用滑动截取方式可确保相邻的事件序列具有重叠部分，避免简单截取对网络安全事件序列的破坏，并可提升检测的可靠性，因此本发明实施例可采取可生成较长的初始事件序列，再通过滑动截取的方式将初始事件序列截取成多个较短的事件序列的方式生成事件序列。
26.进一步，本发明实施例并不限定滑动窗口的具体设置方式，例如滑动窗口的窗口大小及步长可基于时间进行设置，也可基于事件数量进行设置。考虑到基于时间设置滑动窗口更为可靠，因此本发明实施例将基于时间设置滑动窗口的窗口大小及步长。
27.基于此，根据网络安全事件包含的源ip地址将网络安全事件分组至对应的事件序列，可以包括：步骤11：根据网络安全事件包含的源ip地址将网络安全事件分组至对应的初始事
件序列，并根据事件生成时间对初始事件序列中的网络安全事件进行排序；步骤12：利用预设滑动窗口对初始事件序列进行滑动截取，得到多个事件序列；预设滑动窗口的窗口大小为第一预设时长，预设滑动窗口的步长为第二预设时长。
28.需要说明的是，本发明实施例并不限定第一预设时长和第二预设时长的具体数值，可根据实际应用需求进行设定。为便于理解，下面将基于一个具体的例子解释上述事件序列生成方式。例如，初始事件序列中包含最近10分钟内生成的网络安全事件，滑动窗口的窗口大小为5分钟，步长为1分钟，则初始事件序列将被滑动截取为0分钟~5分钟、1分钟~6分钟、2分钟~7分钟、3分钟~8分钟、4分钟~9分钟、5分钟~10分钟五段事件序列。可以理解的是，由于网络安全事件的生成频率并不固定，因此各事件序列中包含的网络安全事件数量并不固定。
29.进一步，考虑到电力系统中的不同安防设备生成网络安全事件的标注可能存在差异，即相同内容在不同安防设备生成的网络安全事件中对应的描述可能不同。为统一标准，便于后续进行特征提取，在将网络安全事件分组至各个事件序列之前，还可根据预设字段转换关系，对网络安全事件中的字段进行转换。该字段转换关系可依照安防设备的厂商、设备类型进行设定。
30.基于此，在根据网络安全事件包含的源ip地址将网络安全事件分组至对应的事件序列之前，还可以包括：步骤21：根据预设字段转换关系，对网络安全事件中的字段进行转换；步骤22：利用转换后的网络安全事件执行根据网络安全事件包含的源ip地址将网络安全事件分组至对应的事件序列的步骤。
31.需要说明的是，本发明实施例并不限定预设字段转换关系的具体设置方式，可根据实际应用需求进行设定。
32.s102、提取事件序列的特征信息，并利用特征信息对事件序列进行异常检测。
33.在完成事件序列的构造之后，本发明实施例将基于从事件序列中提取出的特征信息对其进行异常检测。具体的，本发明实施将统计多个目标信息在事件序列中出现的次数，得到事件序列的特征信息。
34.基于此，提取事件序列的特征信息，包括：步骤31：统计多个目标信息在事件序列中出现的次数，得到事件序列的特征信息。
35.需要说明的是，本发明实施例并不限定具体的目标信息，可根据实际应用需求进行设定。例如可以为目的ip、目的端口、会话数、总字节数、总包数、tcp标志位、数据包平均速率、字节交互平均速率。
36.进一步，本发明实施例并不限定利用特征信息对事件序列进行异常检测的具体方式，例如可基于支持向量机、孤立森林、robust协方差等任一种算法进行检测。然而，受算法特性影响，仅使用一种算法进行异常检测并不能达到较好的检测效果，因此本发明还可构造多个异常检测器，每种异常检测器使用不同的检测算法，进而可将事件序列的特征信息输入至这多个异常检测器进行检测，得到多个异常检测结果，并对多个异常检测结果进行融合处理，得到综合检测结果，以通过多种检测算法综合评定事件序列是否异常，从而可提升网络攻击检测的可靠性。进一步，由于上述算法一般基于向量进行检测，因此可先将事件序列的特征信息转换为特征向量，再将该向量并行输入这多个异常检测器进行检测。
37.基于此，利用特征信息对事件序列进行异常检测，可以包括：步骤41：将事件序列的特征信息转换为特征向量；步骤42：将特征向量输入至多个异常检测器，得到多个异常检测结果；各异常检测器使用的检测算法不同；步骤43：对多个异常检测结果进行融合处理，得到综合检测结果；步骤44：当确定综合检测结果大于预设阈值时，判定事件序列异常。
38.需要说明的是，本发明实施例并不限定异常检测器的具体数量，也不限定各异常检测器使用的检测算法，可根据实际应用需求进行设定。为达到较好的检测效果，各异常检测器所使用的检测算法可均为无监督异常检测算法。本发明实施例也不限定具体的融合方式，例如可简单对这多个异常检测结果进行平均处理，也可对这多个异常检测结果进行加权平均处理，可根据实际应用需求进行设定。本发明实施例也不限定预设阈值的具体数值，同样可根据实际应用需求进行设定。
39.s103、当确定事件序列异常时，根据事件类型与网络攻击的技战术间的预设映射关系，确定事件序列中的各网络安全事件对应的目标技战术。
40.网络攻击技战术为网络攻击战术和网络攻击技术的统称，具体的战术类型及技术类型可参考att&ck for ics（面向工业控制系统的att&ck威胁模型）的相关技术。由于每种战术及技术可能对应有一种或多种网络安全事件，为方便相关人员查看与分析，在确定事件序列异常时，需依照根据事件类型与网络攻击的技战术间的预设映射关系，将确定事件序列中的各网络安全事件对应的目标技战术。本发明实施例并不限定上述映射关系的具体形式，可依照实际应用需求进行设定，例如一种可能的映射关系可参考下表：
41.s104、将目标技战术标记至攻击矩阵模板中对应的展示位置，得到攻击矩阵，以基于攻击矩阵进行输出显示；攻击矩阵模板预设有各技战术对应的展示位置。
42.在确定事件序列中各网络安全事件对应的目标技战术之后，本发明实施例可见这些目标技战术映射至攻击矩阵模板中对应的展示位置，得到该事件序列对应的攻击矩阵，以基于该攻击矩阵进行输出显示，其中该攻击矩阵模板预设有各技战术对应的展示位置。换句话说，本发明实施例将基于技战术形式为相关人员展示网络攻击的细节，从而能够提升网络攻击展示的全面性。
43.需要说明的是，本发明实施例并不限定攻击矩阵模板的具体形式，可根据实际应用需求进行设置。
44.基于上述实施例，本发明首先可获取电力系统安防设备生成的多个网络安全事件，并根据该事件包含的源ip地址将网络安全事件分组至对应的事件序列；随后，可提取事件序列的特征信息，并利用特征信息对事件序列进行异常检测；当确定事件序列异常时，本发明可根据事件类型与网络攻击的技战术间的预设映射关系，确定事件序列中的各网络安全事件对应的目标技战术，并将目标技战术标记至攻击矩阵模板中对应的展示位置，得到攻击矩阵，以基于攻击矩阵进行输出显示。换句话说，本发明将会以序列的形式，对电力系
统安防设备生成的包含相同源ip地址的多个网络安全事件进行组合检测，以此可降低网络安全事件的处理量，并可提升网络攻击检测的精准度；随后，在确定事件序列异常时，本发明可根据事件类型与网络攻击的技战术间的预设映射关系，确定事件序列中的各网络安全事件映射至具体的技战术，以基于具体的技战术进行输出显示，从而可充分展示攻击者使用的技术手段与攻击意图，并能够更加有效地检测网络攻击。
45.基于上述实施例，除了对当前已发生的网络攻击进行检测，本发明实施例还可利用已训练的模型对事件序列进行技战术预测，以预测出攻击者下一步可能采取的技战术，从而方便相关人员采取针对性措施。
46.基于此，在确定事件序列中的各网络安全事件对应的目标技战术之后，还可以包括：s201、依照事件序列中各网络安全事件的生成顺序，将各目标技战术转换为攻击链。
47.本发明实施例将首先依照事件序列中各网络安全事件的生成顺序，将各目标技战术转换为攻击链，即依照各目标技战术对应的网络安全事件的生成顺序，将这些目标技战术进行顺序连接，得到上述攻击链。当然，需要指出的是，为方便模型处理，攻击链中的目标技战术均已经过编码处理。
48.s202、将攻击链输入至已训练的隐马尔科夫模型中进行技战术预测，得到预测技战术。
49.本发明实施例具体可采用隐马尔科夫模型（hhm，hidden markov model）来进行技战术预测。该模型已利用从电力监控系统中获取的相关攻击链进行训练，能够根据当前执行的技战术来预测接下来可能执行的技战术。其具体的训练过程可以包括：步骤51：获取训练攻击链；训练攻击链中包含多个顺序执行的技战术；步骤52：利用训练攻击链构建状态转移矩阵，并利用状态转移矩阵训练隐马尔科夫模型；状态转移矩阵中的各行及各列均对应一种技战术，状态转移矩阵中的每个元素均表示从一种技战术转移至另一种技战术的概率。
50.需要说明的是，本发明实施例并不限定训练隐马尔科夫模型所需的攻击链数量，可根据实际应用需求进行设定。可以理解的是，训练量越大，则训练效果越好。
51.在经过上述训练之后，本发明实施例仅需将事件序列转换为攻击链，并将其输入至隐马尔科夫模型进行预测，即可得到技战术预测结果。
52.s203、将预测技战术标记至事件序列对应的攻击矩阵中。
53.为方便相关人员及时采取应对措施，本发明实施例在得到预测技战术后，也可将其标注至该事件序列对应的攻击矩阵中，以在输出展示该攻击矩阵之后，可告知相关人员攻击者接下来可能执行的技战术。
54.基于上述实施例，除了对当前已发生的电力系统网络攻击进行检测，本发明实施例还可利用已训练的模型对事件序列进行技战术预测，以预测出攻击者下一步可能采取的技战术，从而方便相关人员采取针对性措施。
55.下面将基于具体的例子完整介绍上述电力系统网络攻击检测方法。本方法共分为安全事件处理、无监督异常检测、攻击矩阵技战术映射、攻击行为预测四个部分。
56.1、安全事件处理：
①
获取安全事件。
57.②
对安全事件进行字段转换，以将安全事件统一映射至相同的数据模型。
58.③
将
②
中获取到的数据模型按照源ip+事件发生时间进行分组，组内按照事件发生时间升序排列。
59.④
给定滑动窗口w(t,s)，其中t为窗口时间跨度，s为滑动步长；使用滑动窗口w(t,s)在
③
中的每一个分组内进行滑动，获取事件序列。
60.⑤
对步骤
④
中获取到的每一个事件序列进行特征提取，获取特征向量。
61.2、无监督异常检测：
①
使用支持向量机、孤立深林、robust协方差等n种算法构建mimo（multiple-input multiple-output，多入多出）检测器；
②
将获取到的特征向量并行灌入各个检测器，获取输出；
③
对于同一个事件序列，存在n个输出结果，对这n个输出结果进行加权平均，获取加权后的输出，若加权输出超出既定阈值则判定此事件序列为异常。
62.3、攻击矩阵技战术映射：将mimo检测器判定为异常的事件序列，与att&ck for ics中的技战术进行映射。
63.4、攻击行为预测：将mimo检测器判定为异常的事件序列进行转换后，输入hhm模型，推理攻击的下一阶段。
64.①
从电力监控系统中获取攻击行为相关的攻击链；
②
将攻击链中的各个步骤进行分类编码；
③
基于分类编码后的攻击步骤，构建攻击行为状态转移矩阵;状态转移矩阵中的行，列表示各个类型的攻击步骤，矩阵中的每一个点，表示从当前攻击步骤转至另一个攻击步骤的概率；
④
基于获取的攻击行为转移矩阵，训练hhm（隐马尔科夫）模型；
⑤
将无监督异常检测判定为异常的事件序列进行攻击链转换后，输入hhm模型进行推理，获取攻击行为的下一步动作。
65.下面对本发明实施例提供的电力系统网络攻击检测装置、电子设备及计算机可读存储介质进行介绍，下文描述的电力系统网络攻击检测装置、电子设备及计算机可读存储介质与上文描述的电力系统网络攻击检测方法可相互对应参照。
66.请参考图2，图2为本发明实施例所提供的一种电力系统网络攻击检测装置的结构框图，该装置可以包括：分组模块201，用于获取电力系统安防设备生成的多个网络安全事件，并根据网络安全事件包含的源ip地址将网络安全事件分组至对应的事件序列；异常检测模块202，用于提取事件序列的特征信息，并利用特征信息对事件序列进行异常检测；映射模块203，用于当确定事件序列异常时，根据事件类型与网络攻击的技战术间的预设映射关系，确定事件序列中的各网络安全事件对应的目标技战术；攻击矩阵生成模块204，用于将目标技战术标记至攻击矩阵模板中对应的展示位置，得到攻击矩阵，以基于攻击矩阵进行输出显示；攻击矩阵模板预设有各技战术对应的展
示位置。
67.可选地，分组模块201，可以包括：初始事件序列生成子模块，用于根据网络安全事件包含的源ip地址将网络安全事件分组至对应的初始事件序列，并根据事件生成时间对初始事件序列中的网络安全事件进行排序；事件序列生成子模块，用于利用预设滑动窗口对初始事件序列进行滑动截取，得到多个事件序列；预设滑动窗口的窗口大小为第一预设时长，预设滑动窗口的步长为第二预设时长。
68.可选地，该装置还可以包括：字段转换模块，用于根据预设字段转换关系，对网络安全事件中的字段进行转换；分组模块201，还用于利用转换后的网络安全事件执行根据网络安全事件包含的源ip地址将网络安全事件分组至对应的事件序列的步骤。
69.可选地，异常检测模块，包括：特征信息提取子模块，用于统计多个目标信息在事件序列中出现的次数，得到事件序列的特征信息。
70.可选地，异常检测模块202，包括：特征向量转换子模块，用于将事件序列的特征信息转换为特征向量；异常检测子模块，用于将特征向量输入至多个异常检测器，得到多个异常检测结果；各异常检测器使用的检测算法不同；结果融合子模块，用于对多个异常检测结果进行融合处理，得到综合检测结果；判断子模块，用于当确定综合检测结果大于预设阈值时，判定事件序列异常。
71.可选地，该装置还可以包括：攻击链转换模块，用于依照事件序列中各网络安全事件的生成顺序，将各目标技战术转换为攻击链；预测模块，用于将攻击链输入至已训练的隐马尔科夫模型中进行技战术预测，得到预测技战术；预测技战术标记模块，用于将预测技战术标记至事件序列对应的攻击矩阵中。
72.可选地，该装置还可以包括：训练攻击链获取模块，用于获取训练攻击链；训练攻击链中包含多个顺序执行的技战术；模型训练模块，用于利用训练攻击链构建状态转移矩阵，并利用状态转移矩阵训练隐马尔科夫模型；状态转移矩阵中的各行及各列均对应一种技战术，状态转移矩阵中的每个元素均表示从一种技战术转移至另一种技战术的概率。
73.本发明实施例还提供一种电子设备，包括：存储器，用于存储计算机程序；处理器，用于执行计算机程序时实现如上述的电力系统网络攻击检测方法的步骤。
74.由于电子设备部分的实施例与电力系统网络攻击检测方法部分的实施例相互对应，因此电子设备部分的实施例请参见电力系统网络攻击检测方法部分的实施例的描述，
这里暂不赘述。
75.本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述任意实施例的电力系统网络攻击检测方法的步骤。
76.由于计算机可读存储介质部分的实施例与电力系统网络攻击检测方法部分的实施例相互对应，因此计算机可读存储介质部分的实施例请参见电力系统网络攻击检测方法部分的实施例的描述，这里暂不赘述。
77.说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
78.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
79.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器（ram）、内存、只读存储器（rom）、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

技术特征：
1.一种电力系统网络攻击检测方法，其特征在于，包括：获取电力系统安防设备生成的多个网络安全事件，并根据所述网络安全事件包含的源ip地址将所述网络安全事件分组至对应的事件序列；提取所述事件序列的特征信息，并利用所述特征信息对所述事件序列进行异常检测；当确定所述事件序列异常时，根据事件类型与网络攻击的技战术间的预设映射关系，确定所述事件序列中的各网络安全事件对应的目标技战术；将所述目标技战术标记至攻击矩阵模板中对应的展示位置，得到攻击矩阵，以基于所述攻击矩阵进行输出显示；所述攻击矩阵模板预设有各所述技战术对应的展示位置。2.根据权利要求1所述的电力系统网络攻击检测方法，其特征在于，所述根据所述网络安全事件包含的源ip地址将所述网络安全事件分组至对应的事件序列，包括：根据所述网络安全事件包含的源ip地址将所述网络安全事件分组至对应的初始事件序列，并根据事件生成时间对所述初始事件序列中的网络安全事件进行排序；利用预设滑动窗口对所述初始事件序列进行滑动截取，得到多个所述事件序列；所述预设滑动窗口的窗口大小为第一预设时长，所述预设滑动窗口的步长为第二预设时长。3.根据权利要求1所述的电力系统网络攻击检测方法，其特征在于，在根据所述网络安全事件包含的源ip地址将所述网络安全事件分组至对应的事件序列之前，还包括：根据预设字段转换关系，对所述网络安全事件中的字段进行转换；利用转换后的网络安全事件执行所述根据所述网络安全事件包含的源ip地址将所述网络安全事件分组至对应的事件序列的步骤。4.根据权利要求1所述的电力系统网络攻击检测方法，其特征在于，所述提取所述事件序列的特征信息，包括：统计多个目标信息在所述事件序列中出现的次数，得到所述事件序列的特征信息。5.根据权利要求1所述的电力系统网络攻击检测方法，其特征在于，所述利用所述特征信息对所述事件序列进行异常检测，包括：将所述事件序列的特征信息转换为特征向量；将所述特征向量输入至多个异常检测器，得到多个异常检测结果；各所述异常检测器使用的检测算法不同；对所述多个异常检测结果进行融合处理，得到综合检测结果；当确定所述综合检测结果大于预设阈值时，判定所述事件序列异常。6.根据权利要求1至5任一项所述的电力系统网络攻击检测方法，其特征在于，在确定所述事件序列中的各网络安全事件对应的目标技战术之后，还包括：依照所述事件序列中各网络安全事件的生成顺序，将各所述目标技战术转换为攻击链；将所述攻击链输入至已训练的隐马尔科夫模型中进行技战术预测，得到预测技战术；将所述预测技战术标记至所述事件序列对应的攻击矩阵中。7.根据权利要求6所述的电力系统网络攻击检测方法，其特征在于，所述隐马尔科夫模型的训练过程，包括：获取训练攻击链；所述训练攻击链中包含多个顺序执行的技战术；利用所述训练攻击链构建状态转移矩阵，并利用所述状态转移矩阵训练所述隐马尔科
夫模型；所述状态转移矩阵中的各行及各列均对应一种技战术，所述状态转移矩阵中的每个元素均表示从一种技战术转移至另一种技战术的概率。8.一种电力系统网络攻击检测装置，其特征在于，包括：分组模块，用于获取电力系统安防设备生成的多个网络安全事件，并根据所述网络安全事件包含的源ip地址将所述网络安全事件分组至对应的事件序列；异常检测模块，用于提取所述事件序列的特征信息，并利用所述特征信息对所述事件序列进行异常检测；映射模块，用于当确定所述事件序列异常时，根据事件类型与网络攻击的技战术间的预设映射关系，确定所述事件序列中的各网络安全事件对应的目标技战术；攻击矩阵生成模块，用于将所述目标技战术标记至攻击矩阵模板中对应的展示位置，得到攻击矩阵，以基于所述攻击矩阵进行输出显示；所述攻击矩阵模板预设有各所述技战术对应的展示位置。9.一种电子设备，其特征在于，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述的电力系统网络攻击检测方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器加载并执行时，实现如权利要求1至7任一项所述的电力系统网络攻击检测方法。

技术总结
本发明提供一种电力系统网络攻击检测方法、装置、电子设备及存储介质，涉及电力监控领域，方法包括：获取电力系统安防设备生成的多个网络安全事件，并根据网络安全事件包含的源IP地址将网络安全事件分组至对应的事件序列；提取事件序列的特征信息，并利用特征信息对事件序列进行异常检测；当确定事件序列异常时，根据事件类型与网络攻击的技战术间的预设映射关系，确定事件序列中的各网络安全事件对应的目标技战术；将目标技战术标记至攻击矩阵模板中对应的展示位置，得到攻击矩阵，以基于攻击矩阵进行输出显示；攻击矩阵模板预设有各技战术对应的展示位置；可组合检测多网络安全事件，并将异常事件映射至网络攻击技战术，以提升检测可靠性。升检测可靠性。升检测可靠性。


技术研发人员：喻显茂 牛小俊 黄杨 黄显斌 刘洵源 唐超 李继尧 曹越 贾峰 袁佳逻 严思予 唐毅 熊双卡
受保护的技术使用者：四川新立高科科技有限公司
技术研发日：2023.08.11
技术公布日：2023/9/13