电网异常事件的关联规则匹配方法及装置与流程

本发明涉及电力信息安全
技术领域：
，具体涉及一种电网异常事件的关联规则匹配方法及装置。
背景技术：
：电力工业控制系统是电网安全稳定运行的关键部分，是保障国民经济、社会运行的重要基础。随着信息通信技术在电网中的广泛应用，电力工业控制系统面临的网络安全问题更加突出。如2010年伊朗核设施遭“震网”病毒攻击，2015年乌克兰电网遭恶意代码攻击致大面积停电，都是典型的工控安全事件，工控安全形势日趋严峻。分析由网络攻击导致的大停电事故的原因，主要是在攻击者对电网发动的一系列攻击阶段，没有及时发现攻击者的意图，并对攻击者行为产生的异常事件进行高精度关联分析，采取相关措施，进而错失了控制网络安全事故发展的最佳时期。因此，应对复杂多变的环境，需要研究电网异常事件的关联规则自动生成方法，根据实时多变的电网环境以及不同的攻击手段，实时对关联规则进行更新，以便实时对电网产生的异常事件进行关联分析，挖掘潜在的攻击行为，提高电网网络安全防御能力。具体地，若在黑客攻击电网阶段，对于产生的报警等异常事件，没有及时、快速的进行关联匹配，以发现黑客的攻击意图，进而在网络安全事故发展阶段，不能及时进行控制，未能及时阻止事故的蔓延，最终导致大停电事故发生。因此，及时快速地对黑客攻击行为产生的异常事件进行关联匹配，发现黑客的攻击行为并采取相应措施，对保障电网安全稳定运行具有重要意义。发明人在对现有的电网异常事件关联匹配方法(例如，基于单线程的关联规则匹配方法、基于多线程的关联规则匹配方法、基于启发式的关联分析引擎等)进行研究的过程中发现，上述方法主要对网络产生的异常事件进行关联匹配，对工业控制系统产生的异常事件的处理效率较低；然而，电网的异常事件不仅仅是包括网络所产生的异常事件，还包括电力工业控制系统产生的网络安全异常事件以及电气量异常事件等等，因此，现有技术中的电网异常事件的关联匹配方法的匹配速度较低。技术实现要素：有鉴于此，本发明实施例提供了一种电网异常事件的关联规则匹配方法及装置，以解决现有方法的关联匹配速度较低的问题。根据第一方面，本发明实施例提供了一种电网异常事件的关联规则匹配方法，包括：获取关联规则以及多个待匹配异常事件；其中，所述关联规则包括多个预设异常事件，所述关联规则对应于预设攻击场景；将异常事件转换为数值向量；其中，所述异常事件为所述预设异常事件以及所述待匹配异常事件，所述预设异常事件对应于第一数值向量，所述待匹配异常事件对应于第二数值向量；根据所述第一数值向量以及所述第二数值向量，计算关联匹配度，以确定攻击场景。本发明实施例提供的电网异常事件的关联规则匹配方法，通过将关联规则中的预设异常事件以及待匹配异常事件按照同一方式转换为数值向量，利用转换后的数值向量进行关联匹配度的计算，相当于将预设异常事件以及待匹配异常事件进行数值量化，利用向量计算预设异常事件与待匹配异常事件进行关联匹配，能够提高关联匹配的计算速度。结合第一方面，在第一方面第一实施方式中，所述将所述异常事件转换为数值向量，包括：获取所述异常事件的属性参数；其中，所述属性参数包括源ip地址、目的ip地址、发生时间以及事件类型中的至少之一；依次将各个所述属性参数转换为数值；基于转换后的数值，形成所述数值向量。本发明实施例提供的电网异常事件的关联规则匹配方法，利用异常事件的属性参数表示异常事件，并以属性参数作为异常事件数值量化的基础，即同构异常事件自身的属性参数对其进行数值量化，具有较高的量化准确性。结合第一方面第一实施方式，在第一方面第二实施方式中，采用如下公式将所述异常事件转换为数值向量：其中，当所述第i个异常事件为电气量异常事件时，式中，yi为第i个异常事件对应的数值向量；为第i个异常事件对应的源ip地址的模型；为第i个异常事件对应的目的ip地址的模型；xti(i)为第i个异常事件对应的时间属性的模型；xty(i)为第i个异常事件对应的事件类型的模型；为第i个异常事件的源ip地址；第i个异常事件的目的ip地址；di、hi、mi、si分别为第i个异常事件发生的天、小时、分钟、秒；p1、p2、p3、p4、q1、q2、q3以及q4均为常数。结合第一方面，在第一方面第三实施方式中，所述将异常事件转换为数值向量的步骤之前，还包括：基于产生所述待匹配异常事件的地点，对所述待匹配异常事件进行分类；按照预设规则剔除与所述预设攻击场景不相关的所述待匹配异常事件；基于时序对剔除后的所述待匹配异常事件进行排序。本发明实施例提供的电网异常事件的关联规则匹配方法，根据地址范围将变电站及其连接所有终端、交换机产生的异常事件分为一类，减少了需要关联匹配的异常事件数量，提高了关联匹配的速度；此外，将不属于预设攻击场景的待匹配异常事件剔除，减少了需要关联匹配的异常事件数量，提高了关联匹配速度和关联精度。结合第一方面第三实施方式，在第一方面第四实施方式中，所述待匹配异常事件包括信息量异常事件与电气量异常事件；其中，所述按照预设规则剔除与所述预设攻击场景不相关的所述待匹配异常事件，包括：提取所述待匹配异常事件中的所述电气量异常事件；剔除所述待匹配异常事件中与所述电气量异常事件不相关的所述信息量异常事件。本发明实施例提供的电网异常事件的关联规则匹配方法，由于电网攻击在扫描和获取权限阶段不会产生异响电气系统，只有在攻击阶段才会对电气系统产生影响，在某一攻击场景下，所产生的电气量异常事件远远少于信息量异常事件，因此，通过电气量异常事件剔除与其不相关的信息量异常事件，能够提高剔除的效率。结合第一方面第三实施方式，在第一方面第四实施方式中，所述将异常事件转换为数值向量的步骤之前，还包括：将所述关联规则转换为多个线性结构的关联规则；基于时序对各个所述线性结构的关联规则中的所述预设异常事件进行排序，以形成多个待匹配关联规则。本发明实施例提供的电网异常事件关联规则匹配方法，通过对预设异常事件进行排序，以便于后续利用时序与待匹配异常事件进行匹配，能够提高关联匹配的速度，可实现对恶意攻击的精准检测，极大的提高其工程实用性，具有广泛的工程使用价值。结合第一方面第四实施方式，在第一方面第五实施方式中，所述根据所述第一数值向量以及所述第二数值向量，计算关联匹配度，以确定攻击场景，包括：基于每个所述待匹配关联规则，利用所述第一数值向量以及所述第二数值向量计算所述关联匹配度；基于所述关联匹配度，判断所有所述待匹配异常事件是否与当前所述待匹配关联规则中的预设异常事件匹配；当所有所述待匹配异常事件是否与当前所述待匹配关联规则中的预设异常事件匹配时，确定所述攻击场景为所述预设攻击场景。本发明实施例提供的电网异常事件的关联规则匹配方法，使用向量计算对两个异常事件(预设异常事件以及待匹配异常事件)进行关联匹配，提高了关联匹配计算速度。结合第一方面第五实施方式，在第一方面第六实施方式中，所述根据所述关联匹配度，确定攻击场景，还包括：当所述待匹配异常事件与当前所述待匹配关联规则中的预设异常事件匹配失败时，提取下一个所述待匹配关联规则；基于所述关联匹配度，判断所有所述待匹配异常事件是否与下一个所述待匹配关联规则中的预设异常事件匹配；当所述待匹配异常事件与所有所述待匹配关联规则中的预设异常事件匹配失败时，确定所述预设攻击场景未发生。结合第一方面第五实施方式或第一方面第六实施方式，在第一方面第七实施方式中，采用如下公式计算关联匹配度：式中，cij为第i个所述预设异常事件与第j个所述待匹配异常事件的关联匹配度；为第i个所述预设异常事件对应的所述第一数值向量；为第j个所述待匹配异常事件对应的所述第二数值向量。根据第二方面，本发明实施例还提供了一种电网异常事件的关联规则匹配装置，包括：获取模块，用于获取关联规则以及多个待匹配异常事件；其中，所述关联规则包括多个预设异常事件，所述关联规则对应于预设攻击场景；转换模块，用于将异常事件转换为数值向量；其中，所述异常事件为所述预设异常事件以及所述待匹配异常事件，所述预设异常事件对应于第一数值向量，所述待匹配异常事件对应于第二数值向量；攻击场景确定模块，用于根据所述第一数值向量以及所述第二数值向量，计算关联匹配度，以确定攻击场景。本发明实施例提供的电网异常事件关联规则匹配装置，通过将关联规则中的预设异常事件以及待匹配异常事件按照同一方式转换为数值向量，利用转换后的数值向量进行关联匹配度计算，相当于将预设异常事件以及待匹配异常事件进行数值量化，利用向量计算预设异常事件与待匹配异常事件进行关联匹配，能够提高关联匹配的计算速度。根据第三方面，本发明实施例还提供了一种电子设备，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行本发明第一方面，或第一方面任一项实施方式中所述的电网异常事件的关联规则匹配方法。根据第四方面，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行本发明第一方面，或第一方面任一项实施方式中所述的电网异常事件的关联规则匹配方法。附图说明为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是根据本发明实施例的电网异常事件的关联规则匹配方法的流程图；图2是根据本发明实施例的电网异常事件的关联规则匹配方法的流程图；图3是根据本发明实施例的电网异常事件的关联规则匹配方法的流程图；图4是根据本发明实施例的电网异常事件的关联规则匹配方法的流程图；图5是根据本发明实施例的各方法匹配速度对比示意图；图6是根据本发明实施例的电网异常事件的关联规则匹配方法的流程图；图7是根据本发明实施例的电网异常事件的关联规则匹配装置的结构框图；图8是根据本发明实施例的电网异常事件的关联规则匹配装置的结构框图；图9是本发明实施例提供的电子设备的硬件结构示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。根据本发明实施例，提供了一种电网异常事件的关联规则匹配方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。在本实施例中提供了一种电网异常事件的关联规则匹配方法，可用于上述的电子设备中，图1是根据本发明实施例的电网异常事件的关联规则匹配方法的流程图，如图1所示，该流程包括如下步骤：s11，获取预设攻击场景的关联规则以及多个待匹配异常事件。其中，所述关联规则包括多个预设异常事件。由于不同攻击场景对应于多个关联规则，且每个关联规则内所包括的预设异常事件可能不同，因此，在对电网异常事件的关联规则进行匹配时，利用多个待匹配异常事件与某一具体攻击场景的关联规则进行匹配。例如，若某一具体攻击场景的关联规则包括：关联规则1，关联规则2，以及关联规则3；关联规则1包括的预设异常事件包括预设异常事件11，预设异常事件12；关联规则2包括的预设异常事件包括预设异常事件21，预设异常事件22以及预设异常事件23；关联规则3包括的预设异常事件包括预设异常事件31，预设异常事件32，预设异常事件33以及预设异常事件34。电子设备获取若干待匹配异常事件，后续利用待匹配异常事件与预设攻击场景每一个关联规则中的预设异常事件进行匹配。s12，将异常事件转换为数值向量。其中，所述异常事件为预设异常事件以及待匹配异常事件，所述预设异常事件对应于第一数值向量，所述待匹配异常事件对应于第二数值向量。电子设备分别将每一个关联规则中的所有预设异常事件以及获取到的待匹配异常事件按照同一方式转换为数值向量。例如，可以利用产生异常事件时的网络信息、产生异常事件的电气设备、或异常事件的属性等等，将上述各个参数转换为数值，利用转化后的数值组成数值向量。具体在件该参数转换为数值时，可以采用二进制编码、十进制编码，或其他编码方式等等。例如，(1)对应于每个异常事件，选取3个参数作为数值向量的转化对象，则：对应于关联规则1，每个预设异常事件对应的数值向量由3个参数组成；对应于关联规则2，每个预设异常事件对应的数值向量由3个参数组成；对应于关联规则3，每个预设异常事件对应的数值向量由3个参数组成。(2)对应于每个待匹配异常事件，选取同样的3个参数作为数值向量的转化对象，则：对应于待匹配异常事件1对应的数值向量由3个参数组成；对应于待匹配异常事件2对应的数值向量由3个参数组成；对应于待匹配异常事件3对应的数值向量由3个参数组成。s13，根据第一数值向量以及第二数值向量，计算关联匹配度，以确定攻击场景。电子设备在将所有关联规则中的预设异常事件以及待匹配异常事件转换为数值向量之后，利用待匹配异常事件依次与各个关联规则进行匹配，即利用待匹异常事件与各个关联规则中的各个预设异常事件进行匹配，计算第一数值向量以及第二数值向量对应的关联匹配度。例如，可以计算第一数值向量与第二数值向量的差值，也可以计算第一数值向量与第二数值向量的相似度，等等，再利用计算结果与预设阈值进行比较，即可确定待匹配异常事件与预设异常事件的匹配程度，从而确定对应的关联规则，即可确定攻击场景。本实施例提供的电网异常事件关联规则匹配方法，通过将关联规则中的预设异常事件以及待匹配异常事件按照同一方式转换为数值向量，利用转换后的数值向量进行关联匹配度计算，相当于将预设异常事件以及待匹配异常事件进行数值量化，利用向量计算预设异常事件与待匹配异常事件进行关联匹配，能够提高关联匹配的计算速度。在本实施例中提供了一种电网异常事件的关联规则匹配方法，可用于上述的电子设备中，图2是根据本发明实施例的电网异常事件的关联规则匹配方法的流程图，如图2所示，该流程包括如下步骤：s21，获取预设攻击场景的关联规则以及多个待匹配异常事件。其中，所述关联规则包括多个预设异常事件。详细请参见图1所示实施例的s11，在此不再赘述。s22，将异常事件转换为数值向量。其中，所述异常事件为预设异常事件以及待匹配异常事件，所述预设异常事件对应于第一数值向量，所述待匹配异常事件对应于第二数值向量。电子设备在将异常事件转换为数值向量时，通过对异常事件的属性参数进行量化，进而转化为对应的数值向量。即，每个异常事件对应于一个数值向量。具体包括以下步骤：s221，获取异常事件的属性参数。其中，所述属性参数包括源ip地址、目的ip地址、发生时间以及事件类型中的至少之一。电子设置可以获取各个异常事件的源ip地址、目的ip地址、发生时间以及事件类型中的一个或多个，也可以获取各个异常事件的其他属性参数，例如异常事件的序号，异常事件的流量协议等等。具体需要的属性参数可以根据实际情况进行具体获取。在本实施例中，电子设备获取异常事件的属性参数为4个，分别为源ip地址、目的ip地址、异常事件的发生事件以及事件类型。对应于每个异常事件其属性参数可以采用下表表示，其中，表1示出了常规扫描事件的表示形式，表2示出了电压异常事件的表示形式。表1扫描事件编号字段名称描述示例0timestamp发生时间05/30-19:09:311source源ip地址：源端口188.72.248.160:802destination目的ip地址：目的端口192.168.88.10:10413protocol流量协议{104}4classification事件分类扫描事件5description事件id2014892表2电压异常事件s222，依次将各个属性参数转换为数值。电子设备在获取到各个异常事件对应的属性参数之后，可以利用如下公式将各个属性参数转换为数值，即采用如下公式将异常事件转换为数值向量：其中，当所述第i个异常事件为电气量异常事件时，式中，yi为第i个异常事件对应的数值向量；为第i个异常事件对应的源ip地址的模型；为第i个异常事件对应的目的ip地址的模型；xti(i)为第i个异常事件对应的时间属性的模型；xty(i)为第i个异常事件对应的事件类型的模型；为第i个异常事件的源ip地址；第i个异常事件的目的ip地址；di、hi、mi、si分别为第i个异常事件发生的天、小时、分钟、秒；p1、p2、p3、p4、q1、q2、q3以及q4均为常数。具体地，每个异常事件对应的数值向量，由4个部分组成，即源ip地址的模型、目的ip地址的模型、时间属性的模型以及事件类型的模型。其中，xty(i)的取值可以是：终端异常事件类型为1、网络类异常事件类型为2、业务应用层异常事件类型为3、电压异常事件类型为4、电流异常事件类型为5……。其中，关于di的计算可以为：例如，当产生该异常事件为2018年10月2日，则di＝2018+10+2；也可以是di＝2018×365+10×31+2。作为上述公式的一种可选实施方式，其中的常数具体化，上述公式可以表示为：其中，当所述第i个异常事件为电气量异常事件时，s223，基于转换后的数值，形成数值向量。其中，当所述第i个异常事件为信息量异常事件时，数值向量采用上述公式计算，即当所述第i个异常事件为电气量异常事件时，数值向量表示为s23，根据第一数值向量以及第二数值向量，计算关联匹配度，以确定攻击场景。详细请参见图1所示实施例的s13，在此不再赘述。与图1所示实施例相比，本实施例提供的电网异常事件的关联规则匹配方法，利用异常事件的属性参数表示异常事件，并以属性参数作为异常事件数值量化的基础，即基于异常事件自身的属性参数对其进行数值量化，具有较高的量化准确性。在本实施例中提供了一种电网异常事件的关联规则匹配方法，可用于上述的电子设备中，图3是根据本发明实施例的电网异常事件的关联规则匹配方法的流程图，如图3所示，该流程包括如下步骤：s31，获取预设攻击场景的关联规则以及多个待匹配异常事件。其中，所述关联规则包括多个预设异常事件。详细请参见图2所示实施例的s21，在此不再赘述。s32，基于产生待匹配异常事件的地点，对待匹配异常事件进行分类。电子设备利用地址范围件电网中变电站及其连接所有终端、交换机产生的待匹配异常事件分为一类，从而减少需要关联匹配的待匹配异常事件的数量，提高了关联匹配的速度。s33，按照预设规则剔除与预设攻击场景不相关的待匹配异常事件。待匹配异常事件可以包括信息量异常事件以及电气量异常事件，其中，信息量异常事件与电气量异常事件相关联，电子设备可以利用待匹配异常事件中确定出的信息量异常事件剔除与预设攻击场景不相关的电气量异常事件，也可以利用待匹配异常事件中确定给出的信息量异常事件提取与预设攻击场景不相关的信息量异常事件。此外，将不属于预设攻击场景的待匹配异常事件剔除，减少了需要关联匹配的异常事件数量，提高了关联匹配速度和关联精度。具体地包括：s331，提取待匹配异常事件中的所述电气量异常事件。由于电网攻击在扫描和获取权限阶段不会产生异响电气系统，只有在攻击阶段才会对电气连刚产生影响，在某一攻击场景下，所产生的电气量异常事件远远少于信息量异常事件，因此提取待匹配异常事件中提取电气量异常事件的效率较高。s332，剔除待匹配异常事件中与电气量异常事件不相关的信息量异常事件。由于信息量异常事件与电气量异常事件相关联，因此，电气量异常事件剔除与其不相关的信息量异常事件，能够提高剔除的效率。s34，基于时序对剔除后的待匹配异常事件进行排序。电子设备基于时序对剔除不相关的待匹配异常事件之后，剩余的待匹配异常事件进行排序，可以根据事件属性对剩余的待匹配异常事件进行编号，从而进一步减少了需要关联匹配的待匹配异常事件的数量。s35，将关联规则转换为多个线性结构的关联规则。电子设备将获取到的关联规则转换为多个线性结构的关联规则，例如，获取到的关联规则采用树形结构表示，则利用and，or，将树形结构的关联规则，转换为多个线性结构的关联规则。s36，基于时序对各个线性结构的关联规则中的预设异常事件进行排序，以形成多个待匹配关联规则。电子设备同样地基于时序对各个线性结构的关联规则中的预设异常事件进行排序，以形成多个待匹配关联规则，以便于后续在匹配过程中，将待匹配关联规则中最先发生的预设异常事件与待匹配异常事件进行逐条匹配，一旦匹配成功，记住该预设异常事件发生的时间，从待匹配关联规则中第二条预设异常事件从该时间点依次与剩下的预设异常事件进行匹配…，直至所有待匹配关联规则中的预设异常事件全部匹配完成，输出结果。s37，将异常事件转换为数值向量。其中，所述异常事件为所述预设异常事件以及所述待匹配异常事件，所述预设异常事件对应于第一数值向量，所述待匹配异常事件对应于第二数值向量。详细请参见图2所示实施例的s22，在此不再赘述。s38，根据第一数值向量以及第二数值向量，计算关联匹配度，以确定攻击场景。详细请参见图2所示实施例的s23，在此不再赘述。与图2所示实施例相比，本实施例提供的电网异常事件的关联规则匹配方法，根据地址范围将变电站及其连接所有终端、交换机产生的异常事件分为一类，减少了需要关联匹配的异常事件数量，提高了关联匹配的速度；此外，将不属于预设攻击场景的待匹配异常事件剔除，减少了需要关联匹配的异常事件数量，提高了关联匹配速度和关联精度。在本实施例中提供了一种电网异常事件的关联规则匹配方法，可用于上述的电子设备中，图4是根据本发明实施例的电网异常事件的关联规则匹配方法的流程图，如图4所示，该流程包括如下步骤：s41，获取预设攻击场景的关联规则以及多个待匹配异常事件。其中，所述关联规则包括多个预设异常事件。详细请参见图3所示实施例的s31，在此不再赘述。s42，基于产生待匹配异常事件的地点，对待匹配异常事件进行分类。详细请参见图3所示实施例的s32，在此不再赘述。s43，按照预设规则剔除与预设攻击场景不相关的待匹配异常事件。详细请参见图3所示实施例的s33，在此不再赘述。s44，基于时序对剔除后的待匹配异常事件进行排序。详细请参见图3所示实施例的s34，在此不再赘述。s45，将关联规则转换为多个线性结构的关联规则。详细请参见图3所示实施例的s35，在此不再赘述。s46，基于时序对各个线性结构的关联规则中的预设异常事件进行排序，以形成多个待匹配关联规则。详细请参见图3所示实施例的s36，在此不再赘述。s47，将异常事件转换为数值向量。其中，所述异常事件为预设异常事件以及待匹配异常事件，所述预设异常事件对应于第一数值向量，所述待匹配异常事件对应于第二数值向量。详细请参见图3所示实施例的s37，在此不再赘述。s48，根据第一数值向量以及第二数值向量，计算关联匹配度，以确定攻击场景。电子设备通过计算第一数值向量与第二数值向量的叉乘，得到关联匹配度。具体地包括以下步骤：s481，基于每个待匹配关联规则，利用第一数值向量以及第二数值向量计算关联匹配度。针对每个待匹配关联规则，依次计算预设异常事件与待匹配异常事件的关联匹配度，具体采用如下公式计算关联匹配度：式中，cij为第i个所述预设异常事件与第j个所述待匹配异常事件的关联匹配度；为第i个所述预设异常事件对应的所述第一数值向量；为第j个所述待匹配异常事件对应的所述第二数值向量。具体地，例如对应于某一具体的攻击场景，各个待匹配关联规则，以及对应的预设异常事件采用下表表示：表3某一攻击场景的待匹配关联规则如表3所示，待匹配关联规则1包括有3个预设异常事件，待匹配关联规则2包括有4个预设异常事件，待匹配关联规则3包括有4个预设异常事件。对应于每个待匹配关联规则，依次计算其中各个预设异常事件与s44排序后的待匹配异常事件进行匹配，即计算对应的关联匹配度。s482，基于关联匹配度，判断所有待匹配异常事件是否与当前待匹配关联规则中的预设异常事件匹配。由于s46所形成的待匹配关联规则中的预设异常事件是按照时序进行排序的，且s44也已经对待匹配异常事件进行排序，因此，在匹配是可以按照时序先后进行匹配。具体在匹配时，例如当前待匹配关联规则为待匹配关联规则2，则按照时序先后，依次计算待匹配关联规则2中最先的预设异常事件与时间最先的待匹配异常事件之间的关联匹配度。由于在计算关联匹配度时，采用两个数值向量的叉乘，因此，当关联匹配度为0时，表示最先的预设异常事件与时间最先的待匹配异常事件匹配成功；当关联匹配度不为0时，表示最先的预设异常事件与时间最先的待匹配异常事件匹配失败。电子设备在匹配过程中，采用时序逐条匹配策略，匹配异常事件。将当前待匹配关联规则中最先发生的预设异常事件与待匹配异常事件进行逐条匹配，一旦匹配成功，记住该预设异常事件发生的时间；下次匹配时，对于当前待匹配关联规则中第二条预设异常事件，从该时间点依次与剩下的预设异常事件进行匹配…，直至当前待匹配关联规则中的预设异常事件全部匹配完成。当所有待匹配异常事件是否与当前待匹配关联规则中的预设异常事件匹配时，执行s483；否则，执行s484。s483，确定攻击场景为预设攻击场景。电子设备在确定攻击场景为预设攻击场景时，表示此次关联规则匹配完成，可以输出确定出的攻击场景。s484，提取下一个待匹配关联规则。电子设备在当前待匹配关联规则匹配失败之后，可以提取下一个待匹配关联规则。例如，若当前待匹配关联规则为待匹配关联规则2，而待匹配关联规则2匹配失败，则提取待匹配关联规则3，利用待匹配关联规则3与待匹配异常事件进行匹配。再次计算待匹配关联规则3中的预设异常事件与待匹配异常事件之间的关联匹配度。s485，基于关联匹配度，判断待匹配异常事件是否与下一个待匹配关联规则中的预设异常事件匹配。电子设备再次利用s482中的方法，判断待匹配异常事件是否与下一个待匹配关联规则中的预设异常事件匹配。当待匹配异常事件与下一个待匹配关联规则中的预设异常事件匹配时，执行s483；否则，执行s486。s486，判断下一个待匹配关联规则是否为最后一个待匹配关联规则。当下一个待匹配关联规则为最后一个待匹配关联规则时，执行s487；否则，执行再次执行s484-s485。s487，确定预设攻击场景未发生。与图3所示实施例相比，本实施例提供的电网异常事件关联规则匹配方法，使用向量计算对两个异常事件(预设异常事件以及待匹配异常事件)进行关联匹配，提高了关联匹配计算的速度。本发明实施例提供的方法与单线程关联规则匹配方法以及多线程关联规则匹配方法进行对比实验，实验结果如图5所示。以电网正常运行要求速度为1，从图5中可以看出，单线程关联规则匹配速度低于多线程关联规则匹配方法，多线程关联规则匹配速度低于本发明实施例所提方法，本发明实施例的匹配速度最接近于电网运行速度要求，即本发明实施例方法可极大地提高电网恶意攻击关联匹配速度，具有广泛的工程实用价值。作为本实施例的一个具体应用实例，如图6所示，对本发明的技术方案进一步详细描述，包括以下步骤：(1).输入某攻击场景下的关联规则，若关联规则为非线性结构，将其转换为线性结构。(2).对转换后得到的线性结构关联规则中的预设异常事件，按照时间序列进行编号(a＝预设异常事件1，预设异常事件2，预设异常事件3，……，预设异常事件n)。(3).对编号后的预设关联规则中的事件进行预处理，按照一定的规则，将其转换为数值向量结构。(4).输入现场采集的电网信息量异常事件(终端rtos系统异常事件、终端通信异常事件、终端配置变更事件、终端业务状态变更事件、网络拒绝服务事件、网络流量异常事件、扫描事件等)、电气量异常事件(电压异常事件、电流异常事件、拒动事件、误动事件等)。(5).根据地址范围，对采集的电网待匹配异常事件进行分类。ip地址相同的异常事件由同一个地点产生，将同一个地点产生的异常事件归为一类，方便后续进行关联规则匹配。(6).根据业务逻辑，对非相关异常事件进行剔除。根据业务逻辑，一旦发现了某攻击场景下的电气量异常事件，将不属于该攻击场景的信息量异常事件进行剔除，进一步减少了需要关联匹配的待匹配异常事件数量，提高关联匹配速度和关联精度。(7).对分类后的待匹配异常事件按时间进行排序。按照待匹配异常事件发生的时间顺序，对待匹配异常事件进行排序以及编号(b＝待匹配异常事件1，待匹配异常事件2、待匹配异常事件3，……，待匹配异常事件n)。(8).对编号后的现场采集电网待匹配异常事件进行预处理，按照步骤(3)中的规则，将其转换为数值向量结构。(9).将现场采集的待匹配异常事件与预设异常事件进行匹配，匹配过程中采用向量计算。采用时序逐条匹配策略，匹配异常事件。方法将关联规则中最先发生的预设异常事件与待匹配事件逐条匹配，一旦匹配成功，记住该预设异常事件时间，关联规则中第二条事件从该时间点依次与剩下的待匹配异常事件进行匹配…，直到关联事件匹配完成。基于前次匹配结果，减少了不必要的匹配次数，提高了关联匹配效率。(10).输出匹配结果。若关联规则匹配失败，则未发生该种攻击，继续匹配其他关联规则。若匹配成功，则判断发生该种攻击。输出判断结果，采取相关措施。本发明实施例提供的电网异常事件的关联规则匹配方法，具有如下特点：(1)根据地址范围将变电站及其连接所有终端、交换机产生的待匹配异常事件分为一类，减少了需要关联匹配的待匹配异常事件数量，提高了关联匹配速度。(2)根据业务逻辑，一旦发现了某攻击场景下的电气量异常事件，将不属于该攻击场景的信息量异常事件进行剔除，进一步减少了需要关联匹配的待匹配异常事件数量，提高关联匹配速度和关联精度。(3)在匹配过程中，基于前次匹配结果，减少了不必要的匹配次数，提高了关联匹配效率。(4)使用向量计算对两个异常事件进行关联匹配，相对于传统字符型匹配方法，提高了关联计算匹配速度。(5)基于时序和业务逻辑的关联规则匹配算法提高了对大量异常事件的关联匹配速度，可实现对恶意攻击的精准监测，极大的提高其工程实用性，具有广泛的工程实用价值。在本实施例中还提供了一种电网异常事件的关联规则匹配装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。本实施例提供一种电网异常事件的关联规则匹配装置，如图7所示，包括：获取模块51，用于获取关联规则以及多个待匹配异常事件；其中，所述关联规则包括多个预设异常事件，所述关联规则对应于预设攻击场景。转换模块52，用于将异常事件转换为数值向量；其中，所述异常事件为所述预设异常事件以及所述待匹配异常事件，所述预设异常事件对应于第一数值向量，所述待匹配异常事件对应于第二数值向量。攻击场景确定模块53，用于根据所述第一数值向量以及所述第二数值向量，计算关联匹配度，以确定攻击场景。本实施例提供的电网异常事件的关联规则匹配装置，通过将关联规则中的预设异常事件以及待匹配异常事件按照同一方式转换为数值向量，利用转换后的数值向量进行关联匹配度的计算，相当于将预设异常事件以及待匹配异常事件进行数值量化，利用向量计算预设异常事件与待匹配异常事件进行关联匹配，能够提高关联匹配的计算速度。作为本实施例的一种可选实施方式，如图8所示，转换模块52包括：获取单元521，用于获取所述异常事件的属性参数；其中，所述属性参数包括源ip地址、目的ip地址、发生时间以及事件类型中的至少之一。转换单元522，用于依次将各个所述属性参数转换为数值。数值向量形成单元523，用于基于转换后的数值，形成所述数值向量。本实施例中的电网异常事件的关联规则匹配装置是以功能单元的形式来呈现，这里的单元是指asic电路，执行一个或多个软件或固定程序的处理器和存储器，和/或其他可以提供上述功能的器件。上述各个模块的更进一步的功能描述与上述对应实施例相同，在此不再赘述。本发明实施例还提供一种电子设备，具有上述图7或图8所示的电网异常事件的关联规则匹配装置。请参阅图9，图9是本发明可选实施例提供的一种电子设备的结构示意图，如图9所示，该电子设备可以包括：至少一个处理器61，例如cpu(centralprocessingunit，中央处理器)，至少一个通信接口63，存储器64，至少一个通信总线62。其中，通信总线62用于实现这些组件之间的连接通信。其中，通信接口63可以包括显示屏(display)、键盘(keyboard)，可选通信接口63还可以包括标准的有线接口、无线接口。存储器64可以是高速ram存储器(randomaccessmemory，易挥发性随机存取存储器)，也可以是非不稳定的存储器(non-volatilememory)，例如至少一个磁盘存储器。存储器64可选的还可以是至少一个位于远离前述处理器61的存储装置。其中处理器61可以结合图7或图8所描述的电网异常事件的关联规则匹配装置，存储器64中存储应用程序，且处理器61调用存储器64中存储的程序代码，以用于执行上述任一方法步骤。其中，通信总线62可以是外设部件互连标准(peripheralcomponentinterconnect，简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，简称eisa)总线等。通信总线62可以分为地址总线、数据总线、控制总线等。为便于表示，图9中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。其中，存储器64可以包括易失性存储器(英文：volatilememory)，例如随机存取存储器(英文：random-accessmemory，缩写：ram)；存储器也可以包括非易失性存储器(英文：non-volatilememory)，例如快闪存储器(英文：flashmemory)，硬盘(英文：harddiskdrive，缩写：hdd)或固态硬盘(英文：solid-statedrive，缩写：ssd)；存储器64还可以包括上述种类的存储器的组合。其中，处理器61可以是中央处理器(英文：centralprocessingunit，缩写：cpu)，网络处理器(英文：networkprocessor，缩写：np)或者cpu和np的组合。其中，处理器61还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文：application-specificintegratedcircuit，缩写：asic)，可编程逻辑器件(英文：programmablelogicdevice，缩写：pld)或其组合。上述pld可以是复杂可编程逻辑器件(英文：complexprogrammablelogicdevice，缩写：cpld)，现场可编程逻辑门阵列(英文：field-programmablegatearray，缩写：fpga)，通用阵列逻辑(英文：genericarraylogic,缩写：gal)或其任意组合。可选地，存储器64还用于存储程序指令。处理器61可以调用程序指令，实现如本申请图1至4实施例中所示的电网异常事件的关联规则匹配方法。本发明实施例还提供了一种非暂态计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的电网异常事件的关联规则匹配方法。其中，所述存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)、随机存储记忆体(randomaccessmemory，ram)、快闪存储器(flashmemory)、硬盘(harddiskdrive，缩写：hdd)或固态硬盘(solid-statedrive，ssd)等；所述存储介质还可以包括上述种类的存储器的组合。虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。当前第1页12