电网安全事件管理方法与流程

1.本技术涉及智能电网技术领域，特别是涉及一种电网安全事件管理方法、装置、计算机设备和存储介质。


背景技术：

2.随着智能化与自动化技术的发展，出现了智能电网技术，在智能电网中由计算机来完成对各个电网设备的管控与运维，实现了高效且精准的控制，显著提高了电网运维管理的效率与安全性。
3.在智能电网的运维管理中，常常需要针对出现的电网安全事件进行分析，获知出现电网安全事件的位置、影响设备以及对应的解决方案等。通过对已发生的安全事件提供追踪管理，为各单位事件处理与响应提供数据支撑。提供网络流量元数据、日志和事件、威胁情报等的存储与分析，通过多种分析方法发现存在威胁、风险，并通过不同类型数据的综合关联，实现从“威胁攻击告警”追溯到相关的“安全事件”再追溯到相关的“网络流量信息”，最终追溯到威胁和攻击的“原始数据包”，通过对原始数据包的还原与分析，完成对安全威胁和攻击的调查取证。
4.然而，传统的电网安全事件追踪管理方案主要还是采用人工方式侦听、追踪电网安全事件，再由人工来完成数据归集与整理，在这个过程需要人员多次与管理设备进行交互、信息录入与读取，其管理效率低下。


技术实现要素：

5.基于此，有必要针对上述技术问题，提供一种高效的电网安全事件管理方法、装置、计算机设备和存储介质。
6.一种电网安全事件管理方法，方法包括：
7.采集电网安全事件，对采集的电网安全事件进行预处理；
8.对预处理后的电网安全事件进行范式化处理；
9.根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果；
10.可视化推送分析结果。
11.在其中一个实施例中，根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果包括：
12.根据范式化处理后的安全事件进行攻击分析，得到不同维度的攻击分析数据；
13.对不同维度的攻击分析数据进行关联融合，得到攻击路径数据以及攻击拓扑数据。
14.在其中一个实施例中，对不同维度的攻击分析数据进行关联融合，得到攻击路径数据以及攻击拓扑数据包括：
15.提取不同维度的攻击分析数据中表征攻击路径对应的数据以及表征攻击拓扑对应的数据，攻击路径对应的数据包括攻击类型、攻击分布、攻击关系、趋势以及攻击结果维
度对应的数据，攻击拓扑对应的数据包括攻击的源地址、攻击目的地址、攻击类型、攻击分布以及攻击结果维度对应的数据；
16.对表征攻击路径对应的数据以及表征攻击拓扑对应的数据进行可视化处理，得到攻击路径数据以及攻击拓扑数据。
17.在其中一个实施例中，采集电网安全事件，对采集的电网安全事件进行预处理包括：
18.采集电网安全事件；
19.对采集的电网安全事件进行泛化处理；
20.对泛化处理后的电网安全事件进行基于预设规则的多级过滤；
21.基于选定的时间或选定的数量对多级过滤后的电网安全事件进行归并。
22.在其中一个实施例中，对预处理后的电网安全事件进行范式化处理包括：
23.获取预设标准化事件处理框架；
24.基于预设标准化事件处理框架，对预处理后的电网安全事件进行范式化处理。
25.在其中一个实施例中，根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果包括：
26.获取基于特征的分析工具、基于行为的分析工具、基于统计的分析工具或基于机器学习的分析工具；
27.通过获取的分析工具对范式化处理后的电网安全事件进行安全事件分析，得到分析结果。
28.在其中一个实施例中，通过基于特征的分析工具对范式化处理后的电网安全事件进行安全事件分析，得到分析结果包括：
29.获取预设特征关联分析规则；
30.将预设特征关联分析规则编译为持续查询语言；
31.将持续查询语言导入至预设cep引擎(物联网规则引擎)，以对实时事件流进行模式匹配，识别攻击和违规行为，得到分析结果。
32.一种电网安全事件管理装置，装置包括：
33.采集模块，用于采集电网安全事件，对采集的电网安全事件进行预处理；
34.范式化处理模块，用于对预处理后的电网安全事件进行范式化处理；
35.分析模块，用于根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果；
36.可视化推送模块，用于可视化推送分析结果。
37.一种计算机设备，包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现以下步骤：
38.采集电网安全事件，对采集的电网安全事件进行预处理；
39.对预处理后的电网安全事件进行范式化处理；
40.根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果；
41.可视化推送分析结果。
42.一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
43.采集电网安全事件，对采集的电网安全事件进行预处理；
44.对预处理后的电网安全事件进行范式化处理；
45.根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果；
46.可视化推送分析结果。
47.上述电网安全事件管理方法、装置、计算机设备和存储介质，采集电网安全事件，对采集的电网安全事件进行预处理；对预处理后的电网安全事件进行范式化处理；根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果；可视化推送分析结果。整个过程中，针对采集到的电网安全事件依次进行预处理、范式化处理以有效整理原始采集到的数据，提高后续数据处理效率，并且还进行安全事件分析，识别电网安全事件中存在的攻击行为和违规行为，将这些安全事件分析结果通过可视化方式推送，便于管理人员查看、了解电网安全事件，提高电网安全事件管理效率。
附图说明
48.图1为一个实施例中电网安全事件管理方法的应用环境图；
49.图2为一个实施例中电网安全事件管理方法的流程示意图；
50.图3为另一个实施例中电网安全事件管理方法的流程示意图；
51.图4为一个实施例中电网安全事件管理装置的结构框图；
52.图5为一个实施例中计算机设备的内部结构图。
具体实施方式
53.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
54.本技术提供的电网安全事件管理方法，可以应用于如图1所示的应用环境中。其中，终端102通过网络与服务器104进行通信。终端102将发生的安全事件发送至服务器104，服务器104采集电网安全事件，对采集的电网安全事件进行预处理；对预处理后的电网安全事件进行范式化处理；根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果；可视化推送分析结果。服务器104可以将攻击分析结果推送至管理人员手持终端或者固定终端，例如管理人员的电脑等，以便于管理人员查看。其中，终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
55.在一个实施例中，如图2所示，提供了一种电网安全事件管理方法，以该方法应用于图1中的服务器104为例进行说明，包括以下步骤：
56.s200：采集电网安全事件，对采集的电网安全事件进行预处理。
57.在整个智能电网中可以包括多个下属终端，例如各地市县终端。终端在运行过程发生电网安全事件时，终端将电网安全事件上传至服务器。非必要的服务器还可以通过互联网获取由第三方平台反馈的针对当前电网的电网安全事件。更具体来说，在每个下属终端中可以设置电网安全事件采集器，电网安全事件采集器高速采集安全事件。服务器针对采集上来的电网安全事件进行预处理，以便于高效的数据处理。
58.s400：对预处理后的电网安全事件进行范式化处理。
59.范式化处理可以理解为基于标准框架的标准化处理。具体来说，进行范式化处理过程中需要注意以下原则和功能：1)支持长安全数据格式；2)自动识别安全事件源的安全事件格式；3)具有开放的插件式事件处理框架，无需编码的范式化策略；4)事件采集模块可以根据用户的不同需求自定义进行配置。5)能通过广泛和灵活的安全事件映射，对安全事件做标准化处理，如类别定义。可以按照安全设备识别名、事件类别、事件级别、事件关联情况等所有可能的条件及各种条件的组合对事件严重级别进行重定义。6)事件范式化属性不少于下述表1中数量。
60.表1 标准化日志基本属性表
61.62.[0063][0064]
s600：根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果。
[0065]
具体来说，可以借助不同的不同工具来对电网安全事件进行不同维度的攻击分析，例如可以基于特征的、基于行为的、基于统计的和基于机器学习的自动化或半自动化分析工具等。基于这些工具对实时采集处理后的电网安全事件进行安全事件分析，分析出其中包含的攻击行为和违规行为，并且还可以进一步针对攻击行为和违规行为细节(例如类型、方式、发生时间等)进一步系统性分析，得到分析结果。
[0066]
s800：可视化推送分析结果。
[0067]
针对分析得到的结果，为了直观展示给到管理人员，便于对电网安全事件高效管理，采用可视化的方式推送。例如针对攻击维度的分析结果可以进行攻击路径可视化和攻击拓扑可视化。
[0068]
在实际应用中，服务器平台具有十分丰富的信息可视化呈现能力，涵盖了安全管理的各种要素，包括资产、业务、事件、威胁、风险、流数据、镜像文件和网络流量等信息，帮助安全分析人员从海量数据中快速获取有价值的信息。平台提供良好的人机交互界面，帮助安全分析人员可视化解读查询结果。可视化分析是通过交互式可视化界面促进推理分析能力的科学。与追求高效计算和存储的技术相比，大数据中的人机交互受到的关注比较少，但它也是大数据分析达成目标必不可少的基础工具，因为它的目标是通过最有效的展示方式将信息传达给用户。随着数据变化速度的加快，经常也会有新的发现和问题出现，安全数据分析人员应该对那些变化敏感、对新发现好奇，并且找出应对新问题的方法，而这主要通过可视化分析完成。具体来说，服务器平台可以具备以下功能：1、提供列表形式的事件活动频道，操作人员可以在控制台上监视到设备或安全系统产生的实时事件，对相关信息进行告警确认、清除等操作，或启动相关事件历史信息查询浏览功能；2、可以通过图形化界面实时显示收集到的各种事件，包括原始日志和经过关联后产生的新事件；3、不同严重程度级别的事件通过不同的颜色显示。4、能够查看详细信息，关联性事件可以查看它的原始触发日志；5、能够提供多种三维形式的动态图表，实时显示某一时刻以来，满足特定条件的不同严重级别日志数量的变化情况；6、实时显示的内容可以根据不同的用户进行定制，确保不同的用户只看到自己关心的内容。7、对事件信息提供多场景显示功能，各个场景可以分别设置显示过滤条件。8、维护人员可以对各事件监视场景设置显示过滤条件，只有满足条件的事件信息才报告到监视窗口。事件显示条件可根据事件的级别、类别、日志的标题等条件
以及他们的组合来设定。9、加强安全事件信息的图形显示功能，能够很快并且直观地了解攻击的过程、攻击的源、目标、方法等等信息。10、支持事件追溯、事件调查、分段查询功能。
[0069]
上述电网安全事件管理方法，采集电网安全事件，对采集的电网安全事件进行预处理；对预处理后的电网安全事件进行范式化处理；根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果；可视化推送分析结果。整个过程中，针对采集到的电网安全事件依次进行预处理、范式化处理以有效整理原始采集到的数据，提高后续数据处理效率，并且还进行安全事件分析，识别电网安全事件中存在的攻击行为和违规行为，将这些安全事件分析结果通过可视化方式推送，便于管理人员查看、了解电网安全事件，提高电网安全事件管理效率。
[0070]
如图3所示，在其中一个实施例中，s600包括：
[0071]
s620：根据范式化处理后的安全事件进行攻击分析，得到不同维度的攻击分析数据；
[0072]
s640：对不同维度的攻击分析数据进行关联融合，得到攻击路径数据以及攻击拓扑数据。
[0073]
攻击分析是安全事件分析的主要部分，安全事件分析还可以包括违规行为分析。在本实施例中，重点进行攻击分析，得到不同维度的攻击分析数据，不同维度的攻击分析数据一方面包括遭受攻击、攻击的类型、分布、攻击关系、趋势、攻击结果等；另一方面还包括攻击的源地址、攻击目的地址、攻击类型、攻击分布以及攻击结果维度对应的数据等。将这些数据进行关联融合，关联融合的方式具体可以是针对按照攻击发生的时间、对象等进行关联融合，从而分析出实时的攻击路径数据以及攻击拓扑数据。
[0074]
在其中一个实施例中，对不同维度的攻击分析数据进行关联融合，得到攻击路径数据以及攻击拓扑数据包括：
[0075]
提取不同维度的攻击分析数据中表征攻击路径对应的数据以及表征攻击拓扑对应的数据，攻击路径对应的数据包括攻击类型、攻击分布、攻击关系、趋势以及攻击结果维度对应的数据，攻击拓扑对应的数据包括攻击的源地址、攻击目的地址、攻击类型、攻击分布以及攻击结果维度对应的数据；对表征攻击路径对应的数据以及表征攻击拓扑对应的数据进行可视化处理，得到攻击路径数据以及攻击拓扑数据。
[0076]
攻击路径可视从遭受攻击、攻击的类型、分布、攻击关系、趋势、攻击结果等维度进行攻击态势的呈现。包括分别从内部和外部的视角监视受攻击和发起攻击的态势，攻击在网络、主机、应用、数据层面上的分布和趋势等。攻击拓扑可视化根据攻击的源目关系态势，攻击类型在不同安全域及业务系统或资产类型上的分布，攻击成功与否的结果展示。
[0077]
如图3所示，在其中一个实施例中，s200包括：
[0078]
s220：采集电网安全事件；
[0079]
s240：对采集的电网安全事件进行泛化处理；
[0080]
s260：对泛化处理后的电网安全事件进行基于预设规则的多级过滤；
[0081]
s280：基于选定的时间或选定的数量对多级过滤后的电网安全事件进行归并。
[0082]
预处理包括泛化、过滤和归并三个部分。其中主要是过滤，通过多级过滤的方式来滤除采集的电网安全事件中杂乱、无效或者缺失的数据。多级过滤具体包括：1、过滤掉严重程度较低的安全数据信息；2、通过指定事件影响的设备、事件采用协议、事件类别、事件标
题等日志属性进行过滤；3、多级过滤，支持管理人员自定义预先设置规律规则进行多级过滤。上述的归并是一种组合技术，将基于选定的时间值或事件数量，合并成具有匹配字段值的多条电网安全事件。
[0083]
在其中一个实施例中，根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果包括：
[0084]
获取基于特征的分析工具、基于行为的分析工具、基于统计的分析工具或基于机器学习的分析工具；通过获取的分析工具对范式化处理后的电网安全事件进行安全事件分析，得到分析结果。
[0085]
在本实施例中，通过基于特征的分析工具、基于行为的分析工具、基于统计的分析工具或基于机器学习的分析工具来进行安全事件分析，可以高效且准确得到电网安全事件分析结果。
[0086]
在其中一个实施例中，通过基于特征的分析工具对范式化处理后的电网安全事件进行安全事件分析，得到分析结果包括：
[0087]
获取预设特征关联分析规则；将预设特征关联分析规则编译为持续查询语言；将持续查询语言导入至预设cep引擎，以对实时事件流进行模式匹配，识别攻击和违规行为，得到分析结果。
[0088]
预设特征关联分析规则是预先设定的规则，其具体可以由管理人员或者由模型分析人员预先设定并且支持自定义调整。在实际应用中，服务器平台采用了基于cep的流式计算框架，实现了对安全事件的实时动态分析。服务器平台将所有的关联规则都预编译为持续查询语言，送入cep引擎，对实时事件流进行模式匹配。模式匹配模型采用不确定有限状态机，并参考了前向规则快速匹配算法实现。通过基于特征的规则关联分析引擎，识别已知模式的攻击和违规的过程。
[0089]
在实际应用中，服务器平台还可以基于行为的事件关联分析的定位在于使安全分析实现向基于异常检测的主动分析模型逆转，从而使主流分析方式不再强依赖关联引擎。具体来说，事件行为分析是基于异常检测的主动分析模式，它并不是基于静态的关联规则，而是建立被观测对象正常基准行为，通过对实时活动与基准行为的对比来揭示可疑的攻击活动。事件行为分析可以智能发现隐藏的攻击行为，加速确定没有签名的威胁，减少管理人员必须调查的事故数量。基于行为分析具体包括动态基线技术和预测分析技术，下面将分别展开介绍这两种技术。
[0090]
动态基线技术
[0091]
用了周期性基线分析的方法，周期性基线根据历史数据计算得出，通常是一个单周期数据库轮廓线。这条曲线由若干数据轮廓点组成，每个轮廓点代表一个采样时点，一个新的实际测量值如果没有超过基线范围，则通过加权平均算法更新旧的轮廓值。如果新的实际测量值超过基线范围则丢弃，不参与新轮廓值计算，如此往复循环，基线始终处于动态变化中。将实时数据与动态基线比较发现存在的异常攻击行为。在实际应用中，把过去一个月时间，每一天的数据放一起，计数出过去30天中每个小时的平均数，那这个平均数就是基线，而且这个基线是动态的，因为这个数据是实时、循环计算的，就是每时每刻都在计数每个时刻的平均数，所以随时在变。拿实时实际情况的数据对比过去一个月的平均，发现差距很大的，那这个时刻的数据，就是判断是一个异常攻击行为。
[0092]
预测分析技术
[0093]
采用了基于时间窗置信区间的检测模型和方法。可以在实际运行中不断自我调整和逼近，自动剔除历史时间窗内的异常历史数据，实现历史时间窗数据与网络实际正常流量行为特征的高度吻合，从而提高了对异常行为报警的准确性。
[0094]
另外，还可以采用机器学习和统计学的分析技术进行安全事件分析。大数据为机器学习和统计分析提供了用武之地，首先海量的安全数据保证了机器学习的准确性，分布式处理技术为统计分析方法提供了快捷高效的计算方法，使海量数据的处理得以在短时间内完成。服务器平台可以采用map/reduce的方法将复杂的统计和计算分配给各个节点处理，各个节点计算完成将结果汇总至主节点，完成复杂的计算过程。服务器平台通过特定的统计算法，在特定的时间周期内从多个维度对事件进行统计，获得如均值、标准差等统计数据，计算一段时间的行为基线，通过置信区间的设置，可发现超出正常行为基线的异常安全事件。服务器平台使用了聚类/分类/推荐分析算法持续地从安全事件的多个维度(向量)朝设定的类别进行聚类运算，找到当前一段时间的事件热点，从而实现对海量事件的实时宏观分析。服务器平台采用了基于机器学习的算法，如决策树分析，数理统计、假设检验等通过对一定时间周期内的安全事件的多维度进行学习，建立正常的基线，通过分析安全事件的特征值与基线的偏差，超出置信区间的事件会作为异常事件，并可对安全趋势进行预测。机器学习算法可依据采集到的完整的安全数据始终不断地进行学习，以保持最新的基线模型，极大提高发现异常行为和未知威胁的准确性。大数据分析模型平台基于机器学习和统计学方法提供了地址熵分析、热点事件分析和威胁态势分析等功能，实现了对安全事件的实时分析。信息安全运营监测平台提供与统计分析工具r语言的接口，使用广泛的统计分析工具对安全数据进行分析，已发现异常安全事件。
[0095]
应该理解的是，虽然上述各流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，上述各流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0096]
如图4所示，本技术还提供一种电网安全事件管理装置，装置包括：
[0097]
采集模块200，用于采集电网安全事件，对采集的电网安全事件进行预处理；
[0098]
范式化处理模块400，用于对预处理后的电网安全事件进行范式化处理；
[0099]
分析模块600，用于根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果；
[0100]
可视化推送模块800，用于可视化推送分析结果。
[0101]
上述电网安全事件管理装置，采集电网安全事件，对采集的电网安全事件进行预处理；对预处理后的电网安全事件进行范式化处理；根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果；可视化推送分析结果。整个过程中，针对采集到的电网安全事件依次进行预处理、范式化处理以有效整理原始采集到的数据，提高后续数据处理效率，并且还进行安全事件分析，识别电网安全事件中存在的攻击行为和违规行为，将这些安
全事件分析结果通过可视化方式推送，便于管理人员查看、了解电网安全事件，提高电网安全事件管理效率。
[0102]
在其中一个实施例中，范式化处理模块400还用于根据范式化处理后的安全事件进行攻击分析，得到不同维度的攻击分析数据；对不同维度的攻击分析数据进行关联融合，得到攻击路径数据以及攻击拓扑数据。
[0103]
在其中一个实施例中，范式化处理模块400还用于提取不同维度的攻击分析数据中表征攻击路径对应的数据以及表征攻击拓扑对应的数据，攻击路径对应的数据包括攻击类型、攻击分布、攻击关系、趋势以及攻击结果维度对应的数据，攻击拓扑对应的数据包括攻击的源地址、攻击目的地址、攻击类型、攻击分布以及攻击结果维度对应的数据；对表征攻击路径对应的数据以及表征攻击拓扑对应的数据进行可视化处理，得到攻击路径数据以及攻击拓扑数据。
[0104]
在其中一个实施例中，采集模块200还用于采集电网安全事件；对采集的电网安全事件进行泛化处理；对泛化处理后的电网安全事件进行基于预设规则的多级过滤；基于选定的时间或选定的数量对多级过滤后的电网安全事件进行归并。
[0105]
在其中一个实施例中，范式化处理模块400还用于获取预设标准化事件处理框架；基于预设标准化事件处理框架，对预处理后的电网安全事件进行范式化处理。
[0106]
在其中一个实施例中，分析模块600还用于获取基于特征的分析工具、基于行为的分析工具、基于统计的分析工具或基于机器学习的分析工具；通过获取的分析工具对范式化处理后的电网安全事件进行安全事件分析，得到分析结果。
[0107]
在其中一个实施例中，分析模块600还用于获取预设特征关联分析规则；将预设特征关联分析规则编译为持续查询语言；将持续查询语言导入至预设cep引擎(物联网规则引擎)，以对实时事件流进行模式匹配，识别攻击和违规行为，得到分析结果。
[0108]
关于电网安全事件管理装置的具体限定可以参见上文中对于电网安全事件管理方法的限定，在此不再赘述。上述电网安全事件管理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0109]
在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储预处理方式和规则数据以及安全事件分析工具等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种电网安全事件管理方法。
[0110]
本领域技术人员可以理解，图5中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0111]
在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有
计算机程序，该处理器执行计算机程序时实现以下步骤：
[0112]
采集电网安全事件，对采集的电网安全事件进行预处理；
[0113]
对预处理后的电网安全事件进行范式化处理；
[0114]
根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果；
[0115]
可视化推送分析结果。
[0116]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0117]
根据范式化处理后的安全事件进行攻击分析，得到不同维度的攻击分析数据；对不同维度的攻击分析数据进行关联融合，得到攻击路径数据以及攻击拓扑数据。
[0118]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0119]
提取不同维度的攻击分析数据中表征攻击路径对应的数据以及表征攻击拓扑对应的数据，攻击路径对应的数据包括攻击类型、攻击分布、攻击关系、趋势以及攻击结果维度对应的数据，攻击拓扑对应的数据包括攻击的源地址、攻击目的地址、攻击类型、攻击分布以及攻击结果维度对应的数据；对表征攻击路径对应的数据以及表征攻击拓扑对应的数据进行可视化处理，得到攻击路径数据以及攻击拓扑数据。
[0120]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0121]
采集电网安全事件；对采集的电网安全事件进行泛化处理；对泛化处理后的电网安全事件进行基于预设规则的多级过滤；基于选定的时间或选定的数量对多级过滤后的电网安全事件进行归并。
[0122]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0123]
获取预设标准化事件处理框架；基于预设标准化事件处理框架，对预处理后的电网安全事件进行范式化处理。
[0124]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0125]
获取基于特征的分析工具、基于行为的分析工具、基于统计的分析工具或基于机器学习的分析工具；通过获取的分析工具对范式化处理后的电网安全事件进行安全事件分析，得到分析结果。
[0126]
在一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0127]
获取预设特征关联分析规则；将预设特征关联分析规则编译为持续查询语言；将持续查询语言导入至预设cep引擎，以对实时事件流进行模式匹配，识别攻击和违规行为，得到分析结果。
[0128]
在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
[0129]
采集电网安全事件，对采集的电网安全事件进行预处理；
[0130]
对预处理后的电网安全事件进行范式化处理；
[0131]
根据范式化处理后的电网安全事件进行安全事件分析，得到分析结果；
[0132]
可视化推送分析结果。
[0133]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0134]
根据范式化处理后的安全事件进行攻击分析，得到不同维度的攻击分析数据；对不同维度的攻击分析数据进行关联融合，得到攻击路径数据以及攻击拓扑数据。
[0135]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0136]
提取不同维度的攻击分析数据中表征攻击路径对应的数据以及表征攻击拓扑对应的数据，攻击路径对应的数据包括攻击类型、攻击分布、攻击关系、趋势以及攻击结果维度对应的数据，攻击拓扑对应的数据包括攻击的源地址、攻击目的地址、攻击类型、攻击分布以及攻击结果维度对应的数据；对表征攻击路径对应的数据以及表征攻击拓扑对应的数据进行可视化处理，得到攻击路径数据以及攻击拓扑数据。
[0137]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0138]
采集电网安全事件；对采集的电网安全事件进行泛化处理；对泛化处理后的电网安全事件进行基于预设规则的多级过滤；基于选定的时间或选定的数量对多级过滤后的电网安全事件进行归并。
[0139]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0140]
获取预设标准化事件处理框架；基于预设标准化事件处理框架，对预处理后的电网安全事件进行范式化处理。
[0141]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0142]
获取基于特征的分析工具、基于行为的分析工具、基于统计的分析工具或基于机器学习的分析工具；通过获取的分析工具对范式化处理后的电网安全事件进行安全事件分析，得到分析结果。
[0143]
在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
[0144]
获取预设特征关联分析规则；将预设特征关联分析规则编译为持续查询语言；将持续查询语言导入至预设cep引擎，以对实时事件流进行模式匹配，识别攻击和违规行为，得到分析结果。
[0145]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，上述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read
‑
only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
[0146]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0147]
以上实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。