电力监控系统安全防护告警方法与流程

本发明涉及电力监控系统安全领域，特别是涉及电力监控系统安全防护告警方法。

背景技术：

这里的陈述仅提供与本申请有关的背景信息，而不必然地构成现有技术。

近年来随着国内外网络安全形势发展，网际空间已经成为继海、陆、空、天之后的第五空间，成为新形势下国家安全的重要领域之一。电力监控系统成为国际网络战的首选攻击目标，是国际军事网络部队的战术手段，电力监控系统面临严重网络安全风险，威胁着电网安全运行电力行业是国家重要的基础行业之一，电力安全事关国家安全，影响国计民生；攻击伊朗核设施的震网事件、乌克兰西部地区遭受网络安全发生电网大面积停电事件和、委内瑞拉电力系统受到网络安全事件而造成的多次大面积停电等，都在提醒我们电力监控系统正面临着严重的网络安全风险。

目前，当发生网络安全事件时，多需要工作人员采用计算机等设备接入该电力监控系统网络中，进行网络安全事件起因进行排查，对于一些影响程度较大的网络安全事件，不能及时进行后续处理，造成巨大的经济损失、社会危害和安全隐患。

技术实现要素：

基于此，有必要针对电力监控系统网络安全问题，提供一种电力监控系统安全防护告警方法。

一方面，本发明实施例提供了一种电力监控系统安全防护告警方法，包括：

获取电力监控系统各网段网络的原始信息；

对各网段网络的原始信息进行预处理，获得各网段网络的处理信息；

根据各网段网络的处理信息进行网络安全事件检测；

若检测到网络安全事件，则判断网络安全事件危险等级，并根据判定的网络事件危险等级输出对应等级的告警信号；

告警信号用于指示告警执行模块分级告警。

本发明提供的电力监控系统安全防护告警方法，通过获取电力监控系统中各网段网络的原始信息，并对该原始信息进行预处理得到可以处理信息，根据该处理信息判断各网络网段是否发生网络安全事件，若判断发生网络安全事件，则进一步判断该攻击事件的危险等级，根据该网络安全事件的危险等级输出对应等级的告警信号至告警模块，告警模块根据该告警信号进行分级告警，工作人员可以根据告警情况快速掌握电力监控系统网络安全事件的严重程度，本着“发生网络安全事件时，应快速发现并定位事件原因，立即隔离危险源，杜绝网络安全风险蔓延，最大限度减少网络安全事件的危害与影响”原则，对于危险等级高的告警，可以采取强制断网等紧急措施来保护网络安全，避免重大网络安全事故。

在其中一个实施例中，判断网络安全事件危险等级，并根据判定的网络事件危险等级输出对应等级的告警信号的步骤包括：

从各网段网络的处理信息提取网络安全事件的攻击特征；

根据网络安全事件的攻击特征判定危险等级；

根据危险等级，输出对应的告警信号。

在其中一个实施例中，网络安全事件包括网络设备攻击；

网络设备攻击的检测步骤包括：

检测各网段网络接入的设备是否有白名单之外的设备；

若检测到白名单之外的设备，则判定发生网络安全事件。

在其中一个实施例中，电力监控系统安全防护告警方法还包括步骤：

记录网络安全事件。

在其中一个实施例中，电力监控系统安全防护告警方法还包括：

对各电力监控系统各网段网络中各存活主机的操作系统进行漏洞扫描。

在其中一个实施例中，电力监控系统安全防护告警方法还包括：

若根据处理信息检测到各网段网络发生网络入侵事件，则进行入侵防御。

在其中一个实施例中，电力监控系统安全防护告警方法还包括：

根据原始信息、处理信息、网络安全事件和网络入侵事件，进行综合日志审计。

在其中一个实施例中，危险等级包括第一级、第二级、第三级和第四级，告警信息包括第一信号、第二信号、第三信号和第四信号，告警执行模块包括显示器、扬声器和供电开关；各供电开关对应串接在各网段网络的网络接口的供电回路中；

判断网络安全事件危险等级，并根据判定的网络事件危险等级输出对应等级的告警信号的步骤包括：

若判断网络安全事件危险等级为第一级，则输出第一信号，第一信号用于驱动显示器工作在第一状态；

若判断网络安全事件危险等级为第二级，则输出第二信号，第二信号用于驱动显示器工作在第二状态；

若判断网络安全事件危险等级为第三级，则输出第三信号，第三信号用于驱动第二信号用于指示显示器工作在第一状态，且用于驱动扬声器工作；

若判断网络安全事件危险等级为第四级，则输出第四信号，第四信号用于驱动发生网络安全时间的网段网络对应的供电开关断开。

在其中一个实施例中，在进行综合日志审计之后还包括步骤：

生成日志信息；

根据日志查询指令，发送相应的日志信息至显示器。

在其中一个实施例中，处理信息包括电力规约解析数据，对各网段网络的原始信息进行预处理并输出各网段网络的处理信息的步骤包括：

根据预设的通信规约标准对原始信息进行规约解析，获得电力规约解析数据。

附图说明

图1为一个实施例中电力监控系统安全防护告警方法的流程示意图；

图2为一个实施例中判断网络攻击事件危险等级，并根据判定的网络事件危险等级输出对应等级的告警信号的步骤流程示意图；

图3为一个实施例中网络设备攻击的检测步骤的流程示意图；

图4为另一个实施例中电力监控系统安全防护告警方法的流程示意图；

图5为一个实施例中判断网络安全事件危险等级，并根据判定的网络事件危险等级输出对应等级的告警信号的步骤的流程示意图；

图6为一个实施例中对各网段网络的原始信息进行预处理并输出各网段网络的处理信息的步骤的流程示意图；

图7为一个实施例中电力监控系统安全防护告警装置的结构示意图；

图8为一个实施例中计算机设备内部的结构示意图。

具体实施方式

为了便于理解本发明，下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的首选实施例。但是，本发明可以以许多不同的形式来实现，并不限于本文所描述的实施例。相反地，提供这些实施例的目的是使对本发明的公开内容更加透彻全面。

需要说明的是，当一个元件被认为是“连接”另一个元件，它可以是直接连接到另一个元件并与之结合为一体，或者可能同时存在居中元件。本文所使用的术语“安装”、“一端”、“另一端”以及类似的表述只是为了说明的目的。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。

一方面，如图1所示，本发明实施例提供了一种电力监控系统安全防护告警方法，包括：

s10：获取电力监控系统各网段网络的原始信息；

s20：对各网段网络的原始信息进行预处理，获得各网段网络的处理信息；

s30：根据各网段网络的处理信息进行网络安全事件检测；

s40：若检测到网络网段发生网络安全事件，则判断网络安全事件危险等级，并根据判定的网络事件危险等级输出对应等级的告警信号；

告警信号用于指示告警执行模块分级告警。

其中，电力监控系统是用于监视和控制电力生产和供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络等。网段(networksegment)一般指一个计算机网络中使用同一物理层设备(传输介质，中继器，集线器等)能够直接通讯的那一部分。例如，从192.168.0.1到192.168.255.255这之间就是一个网段。各网段网络的原始信息，是指单个网段的网络上传输的各种数据信息，例如，可以包括网络地址、网络连接设备名称、网络传输的电压、电流等数据信息。对各网络网段的预处理可以是对原始信息按照网络防火墙协议进行筛选，将筛选后的安全数据进行规约解析，规约解析得到的电力规约数据存储起来，作为处理信息。网络安全事件是指通过网络或其他技术手段，利用系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络安全事件危险等级可以是用户根据实际应用场景定义的。例如，可以将电力监控系统中内部资料的访问的危险等级设置为第四级，将白名单之外的设备访问的危险等级设置为第三级，将非法用户登录的危险等级设置为第二级，将网络传输数据包丢失的危险等级设置为第一级等。为方便用户快速知晓网络安全事件的危险程度，对于不同危险等级的网络安全事件，输出不同的告警信号，只是告警执行模块进行不同的告警动作，直观提醒用户网络安全事件危险等级。例如，对于第一级危险等级的网络安全事件，可以以提醒和记录为目的，可以输出第一信号，该第一信号用于驱动告警执行模块中的显示器亮起，以提醒用户发生低威胁网络安全事件，主要以提醒和记录为目的，为后续用户对系统进行完善提供数据依据。对于第二级危险等级的网络安全事件，可以输出第二信号，该第二信号用于驱动告警执行模块中的显示器闪烁，提醒工作人员发生一般性网络安全事件。对于第三级危险等级的网络安全事件，可以输出第三信号，该第三信号用于驱动告警执行模块中的显示器亮起，且用户驱动告警执行模块中的扬声器工作，以提示工作人员当前发生较严重的网络安全事件。对于第四级危险等级的网络安全事件，可以输出第四信号，该第四信号用于告警执行模块中对应的供电开关断开，隔离不同网段设备之间的通信，防止事故蔓延，该供电开关用于控制各网段中设备的联网/断网。对于如第四级这种高危险等级的网络安全事件，可以直接强制执行断电断网等应急预案，对于低危险等级的网络安全事件，可以以提醒和数据记录为主，在保障网络安全的前提下，有利于提高网络安全防护工作的有效性和人力资源安排的合理性。告警执行模块可以包括显示器和/或扬声器和/或远程通信模块等。

具体的，为了帮助工作人员能够在发生网络安全事件时，快速做出应对方案，合理分配资源，在对电网运行影响最小的情况下，进行网络安全事件处理。本申请实施例提供的电力监控系统安全防护告警方法，通过从电力监控系统中获取各网段网络的原始信息，然后对该原始信息进行预处理，得到处理信息，对该处理信息进行分析，判断是否发生网络安全等级，并进一步判定该网络安全事件的危险等级，根据危险等级输出相应等级的告警信号给告警执行模块，驱动告警执行模块执行相应的动作，提醒用户电力监控系统发生网络安全事件，且提醒用户该攻击事件的危险等级如何，以便用户可以进行后续的工作安排。

例如，告警执行模块可以包括显示器和扬声器，处理信息中可以包括接入电力监控系统中的设备名单和访问设备的网络地址等，若判断该设备名单中存在白名单以外的设备，则可以判定有非法设备访问，若预先定义非法设备访问为低危险等级事件，则可以输出告警信号驱动显示器和扬声器工作，进行报警，提醒现场工作人员发生网络安全事件。处理信息中还可以包括网络访问的目标地址，若访问的目标地址为内部重要材料的存放地址，则可以判定该网络安全属于高危险等级事件，输出告警信号驱动显示器屏幕闪烁，且控制扬声器特定的预警声音，提醒用户发生重大网络安全事件，以便用户第一时间进行断网等安防应急预案，立即隔离危险源，杜绝网络安全风险蔓延，最大限度减少网络安全事件的危害与影响，并及时将该情况上报领导，进行后续工作安排。需要说明的是，举例是为了更好的说明电力监控系统安全防护告警方法的工作过程，并不对本申请的保护范围造成限定，可以根据实际应用中电力监控系统网络安全事件造成的后果的严重程度，进行危险等级划分。

本发明提供的电力监控系统安全防护告警方法，通过对网络安全事件的危险等级进行判定，并根据该网络安全事件的危险等级输出对应等级的告警信号至告警模块，驱动告警模块进行分级告警，以便工作人员能够快速掌握电力监控系统网络安全事件的严重程度，对于危险等级高的告警，工作人员可以及时启动安防应急预案来保护电力监控系统网络安全，避免重大网络安全事故和经济损失发生。

在其中一个实施例中，如图2所示，判断网络安全事件危险等级，并根据判定的网络事件危险等级输出对应等级的告警信号的步骤包括：

s41：从各网段网络的处理信息提取网络安全事件的攻击特征；

s42：根据网络安全事件的攻击特征判定危险等级；

s43：根据危险等级，输出对应的告警信号。

其中，攻击特征的提取可以是先采用基于可疑数据分类器等的方法获取攻击样本，然后对攻击样本进行特征提取，获取攻击特征，例如可以采用基于有限状态自动机、基于可变长度负载出现频率和基于固定长度负载出现频率等方法进行攻击特征提取。

在判定发生网络安全事件时，可以先提取网络安全事件的攻击特征，然后根据该攻击特征判定危险等级，根据该危险等级输出对应的告警信号，例如，得到攻击特征后，可以将该攻击特征与数据库中存储的攻击特征-危险等级对照表(预存的攻击特征和危险等级的对照表)进行匹配，获得该网络安全事件的危险等级，将得到的危险等级与预存的危险等级-告警信号对照表(危险等级与该等级告警信号之间的对照表)进行比对，获取并输出与该危险等级对应的告警信号至告警执行模块，驱动告警执行模块执行相应的告警动作，以便工作人员对于网络安全事件危险等级进行了解。例如，可以如上述实施例中所述，将危险等级分为4级，每一级根据用户设置对应不同的网络安全事件。对于不同危险等级的网络安全事件，输出不同的告警信号至告警执行模块，驱动该告警执行模块执行相应动作。需要说明的是，多级告警实现时，对于同一危险等级的网络安全事件，根据用户的不同设置，其输出的告警信号也可能不同，驱动告警执行模块所执行的动作也不同，上述多等级告警实现的例子只是为了更好的说明本申请的实现过程，并不对本申请的保护范围造成限定，能够实现多个危险等级不同告警动作的驱动实现，均是本申请实施例所要保护的范围。

在其中一个实施例中，如图3所示，网络安全事件包括：网络设备攻击；网络设备攻击的检测步骤包括：

s31：检测各网段网络接入的设备是否有白名单之外的设备；

s32：若检测到白名单之外的设备，则判定发生网络安全事件。

由于电力监控系统应用场景的特殊性，要求电力监控系统不与外界设备联网，以免对电力监控系统设备造成威胁。所以本申请实施例中提供的电力监控系统安全防护告警方法中，还包括对网络设备攻击(网络设备非法接入)的检测。电力监控系统的原始信息中包括能够反映接入设备名称的数据，相应的，原始信息经过处理后得到的处理信息中可以包括接入各网段网络的设备名称，若在该设备名称中发现白名单之外的设备，则判定当前发生网络设备攻击，进一步根据用户预设的网络设备攻击所对应的危险等级，输出对应的告警信号，驱动告警执行模块进行告警，以提醒工作人员展开相应的处置措施。其中，网络安全事件还可以包括通用网关接口访问异常等。

在其中一个实施例中，如图4所示，电力监控系统安全防护告警方法还包括步骤：

s50：记录网络安全事件。

为了方便查询电力监控系统各网段网络的网络安全事件，为后续系统更新和升级提供数据依据，在检测到网络网段发生网络安全事件后，还可以记录、存储网络安全事件，生成数据库，后续发生此类网络安全事件时，可以加快检测速度，且为后续的系统更新和修复提供数据依据。

在其中一个实施例中，如图4所示，电力监控系统安全防护告警方法还包括：

s60：对各电力监控系统各网段网络中各存活主机的操作系统进行漏洞扫描。

本申请实施例提供的电力监控系统安全防护告警方法还可以对电力监控系统中各网段网络中存活主机的操作系统进行漏洞扫描，识别操作系统中的漏洞，漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测的手段。由于电力监控系统的特殊性要求，需要与外网隔离，所以漏洞数据库的更新，可以通过usb接口等通信接口，周期性载入更新。进行漏洞扫描后，还可以存储安全代码，生成安全代码库，可以更快的实现漏洞扫描。另一方面，由于现场工作人员常无法直接对电力监控系统网络故障问题进行判定，需要调配专业的网络专家到现场进行故障检测和判断，操作不便，效率低。所以还可以通过usb接口，获取电力监控系统的操作日志和运行日志等信息，工作人员可以采用u盘等计算机存储介质从usb接口拷贝该操作日志和运行日志等信息，然后，可以进一步利用联网设备，例如个人pc，将该u盘中存储的操作日志和运行日志等信息经网络发送给网络专家，在满足电力监控系统不与外网联网的操作要求的前提下，缩短网络故障分析周期，提高工作效率。用户还可以通过访问usb接口，获取安防控制器的存储器中存储的其他据数据信息，例如，电力监控系统运行数据等。

在其中一个实施例中，如图4所示，电力监控系统安全防护告警方法还包括：

s70：若根据处理信息检测到各网段网络发生网络入侵事件，则进行入侵防御。

本申请实施例提供的电力监控系统安全防护告警方法还可以进行网络入侵防御，具体的，检查处理信息中入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内网，若检测到该数据包携带有病毒等时，则阻值该数据包访问网络，避免该数据包中携带的病毒等对电力监控系统中其他设备造成危害，实现主动防御。其中，入侵防御可以采用旁路模式进行部署，适合不同用户需要。

在其中一个实施例中，如图4所示，电力监控系统安全防护告警方法还包括：

s80：根据原始信息、处理信息、网络安全事件和网络入侵事件，进行综合日志审计。

其中，综合日志审计，是指通过集中电力监控系统获取的原始信息、处理信息、网络安全事件和网络入侵事件，还可以集中用户访问记录、电力监控系统运行数据等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储、管理和分析的过程。目前，电力监控系统各网段网络涉及到的网络安全事件类型复杂，一般技术人员对于网络安全事件的分析能力不足，依赖于网络安全专家对具体的网络安全事件进行分析，不利于网络安全防护工作进行。为方便网络安全专利对于电力监控系统运行过程中的网络安全事件进行针对性分析，本申请实施例提供的电力监控系统安全防护告警方法，还包括日志审计，通过对原始信息、网络安全事件进行分类统计和关联分析，得到日志报表，为后续网络专家对电力监控系统网络安全事件的分析提供了重要数据，节省分析时间，提高对于网络安全事件的解决效率。

在其中一个实施例中，如图5所示，危险等级包括第一级、第二级、第三级和第四级，告警信息包括第一信号、第二信号、第三信号和第四信号，告警执行模块包括显示器、扬声器和供电开关；各供电开关对应串接在各网段网络的网络接口的供电回路中；

s40：判断网络安全事件危险等级，并根据判定的网络事件危险等级输出对应等级的告警信号的步骤包括：

s44：若判断网络安全事件危险等级为第一级，则输出第一信号，第一信号用于驱动显示器工作在第一状态；

s45：若判断网络安全事件危险等级为第二级，则输出第二信号，第二信号用于驱动显示器工作在第二状态；

s46：若判断网络安全事件危险等级为第三级，则输出第三信号，第三信号用于驱动第二信号用于指示显示器工作在第一状态，且用于驱动扬声器工作；

s47：若判断网络安全事件危险等级为第四级，则输出第四信号，第四信号用于驱动发生网络安全时间的网段网络对应的供电开关断开。

其中，危险等级为第一级、第二级、第三级和第四级时所对应的网络安全事件可以是用户根据具体电力监控系统情况进行设定的。具体的网络安全事件的危险等级的判断过程可以参照上述实施例中的描述。对于不同危险等级的网络安全事件，本申请实施例中的方法，可以控制告警执行模块实现不同的告警，通过分级告警实现，来帮助工作人员快速掌握当前网络安全事件的严重程度，以判断是否需要启动安防应急预案，而对于一般性的网络安全攻击事件(例如危险等级为第一级)，无需断网断电等操作，可以在保证电力监控系统中其他设备正常运行的情况下，进行主动入侵防御等，避免因突然断电造成的数据丢失等，合理分配资源。危险等级还可以包括如上述实施例中所述的第三级和第四级，具体分级和告警信号的输出，可以根据应用场景进行提前设定。例如，可以通过提前设置危险等级-告警信号对照表中的内容来实现。

在其中一个实施例中，如图5所示，电力监控系统安全防护告警方法还包括：

s90：在检测到所述网络安全事件结束时输出第五信号，所述第五信号用于指示所述扬声器停止工作。

为方便工作人员对网络安全事件的是否消除进行了解，以便工作人员对后续工作进行安排，例如，当网络安全事件时进行了断网操作，则需要在网络安全事件结束时，恢复电力监控系统内部网络。本申请实施例提供的电力监控系统安全防护告警方法，通过在监测到网络安全事件结束时，输出第五信号驱动告警执行模块中的停止工作，工作人员听到扬声器由响到静，则可以判断网络安全事件结束，可以操控电力监控系统正常工作。

在其中一个实施例中，如图4所示，在进行综合日志审计之后还包括步骤：

s91：生成日志信息；

s92：根据日志查询指令，发送相应的日志信息至显示器。

为方便现场工作人员或者网络专家在现场对网络安全防护情况进行初步了解，该电力监控系统安全防护告警方法在综合日志审计之后还生成日志信息，当收到日志查询指令时，发送该日志信息至显示器进行显示。其中，日志查询指令可以是用户在输入设备输入信号时触发的。

在其中一个实施例中，如图6所示，处理信息包括电力规约解析数据，对各网段网络的原始信息进行预处理并输出各网段网络的处理信息的步骤包括：

s21：根据预设的通信规约标准对原始信息进行规约解析，获得电力规约解析数据。

由于电力监控系统所联设备错综复杂，包括串行连接方式及多种网络连接方式，本申请实施例中提供的电力监控系统对于电力监控系统各网段网络传输的原始信息进行电力规约解析，生成电力规约解析数据，解析后的数据，可以供后续进行网络安全事件检测、网络入侵检测等提供可识别的数据。

应该理解的是，虽然图1-6的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1-6中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

一种电力监控系统安全防护告警装置，如图7所示，包括：

原始信息获取单元1，用于获取电力监控系统各网段网络的原始信息；

信息处理单元2，用于对各网段网络的原始信息进行预处理，获得各网段网络的处理信息；

网络安全检测单元3，用于根据各网段网络的处理信息进行网络安全事件检测；

分级告警单元4，用于在检测到网络安全事件时，判断网络安全事件危险等级，并根据判定的网络事件危险等级输出对应等级的告警信号；

所述告警信号用于指示告警执行模块分级告警。

其中，关于电力监控系统安全防护告警装置的具体限定可以参见上文中对于电力监控系统安全防护方法的限定，在此不再赘述。上述电力监控系统安全防护告警装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图8所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示器和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种电力监控系统安全防护告警方法。该计算机设备的显示器可以是液晶显示器或者电子墨水显示器，该计算机设备的输入装置可以是显示器上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图8中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

一种计算机设备，包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现以下步骤：

s10：获取电力监控系统各网段网络的原始信息；

s20：对各网段网络的原始信息进行预处理，获得各网段网络的处理信息；

s30：根据各网段网络的处理信息进行网络安全事件检测；

s40：若检测到网络网段发生网络安全事件，则判断网络安全事件危险等级，并根据判定的网络事件危险等级输出对应等级的告警信号；

告警信号用于指示告警执行模块分级告警。

一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：

s10：获取电力监控系统各网段网络的原始信息；

s20：对各网段网络的原始信息进行预处理，获得各网段网络的处理信息；

s30：根据各网段网络的处理信息进行网络安全事件检测；

s40：若检测到网络网段发生网络安全事件，则判断网络安全事件危险等级，并根据判定的网络事件危险等级输出对应等级的告警信号；

告警信号用于指示告警执行模块分级告警。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。