(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113872993A(43)申请公布日2021.12.31(21)申请号202111438655.3(22)申请日2021.11.29(71)申请人广东电网有限责任公司佛山供电局地址528000广东省佛山市禅城区汾江南路1号(72)发明人朱延廷欧阳卫年李高明陈锦荣李响谭振鹏张文骏彭飞进曾晓丹郭为斌(74)专利代理机构北京集佳知识产权代理有限公司11227代理人杨小红(51)Int.Cl.H04L29/06(2006.01)H04L29/08(2006.01)权利要求书2页说明书6页附图3页(54)发明名称一种电力监控系统网络风险感知方法和系统(57)摘要本发明公开了一种电力监控系统网络风险感知方法和系统，涉及网络安全技术领域，采集电力监控系统的网络边界的多类型或多厂商的网络安防设备感知的网络威胁信息，对网络威胁信息进行分析，计算网络威胁识别准确度，在网络威胁识别准确度超过阈值时向用户展示本次网络威胁信息，对网络风险的感知能力不依赖于单独某台设备或厂商，而依赖于多台设备组成的体系，整体稳定性更高，抗风险能力更强，解决了目前的电力监控系统对网络威胁的识别依赖于网络边界的各网络安全防护设备单独对网络威胁进行感知，易存在网络威胁的遗漏或者错判，导致电力监控系统的网络风险识别能力不高的技术问题。CN113872993ACN113872993A权利要求书1/2页1.一种电力监控系统网络风险感知方法，其特征在于，包括：在电力监控系统的网络边界部署多类型或多厂商的网络安防设备，网络安防设备上配置预置网络安全策略；实时采集各网络安防设备感知的网络威胁信息；判断各网络安防设备的网络威胁信息是否能合并，若是，则将同一事项的网络威胁信息进行合并，根据合并网络威胁信息涉及的网络安防设备的网络威胁识别准确度计算第一网络威胁识别准确度，否则，取当前网络威胁识别准确度最高的网络安防设备的网络威胁识别准确度作为第二网络威胁识别准确度；若第一网络威胁识别准确度或第二网络威胁识别准确度超过阈值，则向用户展示本次网络威胁信息。2.根据权利要求1所述的电力监控系统网络风险感知方法，其特征在于，判断各网络安防设备的网络威胁信息是否能合并，包括：当各网络安防设备的网络威胁信息的威胁发生时间一致、源IP地址一致、目的IP地址一致、源端口一致和网络行为一致时，各网络安防设备的网络威胁信息是同一事项，能合并网络威胁信息，否则，各网络安防设备的网络威胁信息不是同一事项，不能合并网络威胁信息。3.根据权利要求1所述的电力监控系统网络风险感知方法，其特征在于，第一网络威胁识别准确度的计算公式为：其中，为第一网络威胁识别准确度，为合并网络威胁信息的第一台网络安防设备的网络威胁识别准确度，为合并网络威胁信息的第二台网络安防设备的网络威胁识别准确度，为合并网络威胁信息的第i台网络安防设备的网络威胁识别准确度。4.根据权利要求1所述的电力监控系统网络风险感知方法，其特征在于，通过Syslog、邮件或其他数据文本或数据接口实时采集各网络安防设备的网络威胁信息。5.一种电力监控系统网络风险感知系统，其特征在于，包括若干个网络安防设备、威胁信息采集服务器和威胁信息分析展示服务器；若干个网络安防设备包括多类型或多厂商的网络安防设备，各网络安防设备上配置预置网络安全策略，部署在电力监控系统的网络边界；威胁信息采集服务器，用于实时采集各网络安防设备感知的网络威胁信息；威胁信息分析展示服务器，用于判断各网络安防设备的网络威胁信息是否能合并，若是，则将同一事项的网络威胁信息进行合并，根据合并网络威胁信息涉及的网络安防设备的网络威胁识别准确度计算第一网络威胁识别准确度，否则，取当前网络威胁识别准确度最高的网络安防设备的网络威胁识别准确度作为第二网络威胁识别准确度；威胁信息分析展示服务器，还用于若第一网络威胁识别准确度或第二网络威胁识别准确度超过阈值，则向用户展示本次网络威胁信息。6.根据权利要求5所述的电力监控系统网络风险感知系统，其特征在于，威胁信息分析展示服务器具体用于：2CN113872993A权利要求书2/2页当各网络安防设备的网络威胁信息的威胁发生时间一致、源IP地址一致、目的IP地址一致、源端口一致和网络行为一致时，各网络安防设备的网络威胁信息是同一事项，能合并网络威胁信息，否则，各网络安防设备的网络威胁信息不是同一事项，不能合并网络威胁信息；若各网络安防设备的网络威胁信息是同一事项，能合并网络威胁信息，则将同一事项的网络威胁信息进行合并，根据合并网络威胁信息涉及的网络安防设备的网络威胁识别准确度计算第一网络威胁识别准确度；若各网络安防设备的网络威胁信息不是同一事项，不能合并网络威胁信息，则取当前网络威胁识别准确度最高的