(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210981790.0 (22)申请日 2022.08.16 (71)申请人 国网河北省电力有限公司电力科 学 研究院 地址 050021 河北省石家庄市裕华区体 育 南大街238号 申请人 国家电网有限公司 (72)发明人 侯波涛　卢宁　刘欣　郭禹伶　 郗波　王颖　 (74)专利代理 机构 石家庄轻拓知识产权代理事 务所(普通 合伙) 13128 专利代理师 张培元 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/12(2022.01) (54)发明名称 一种电力系统网络攻击预测系统及其预测 方法 (57)摘要 本发明公开了一种电力系统网络攻击预测 系统， 包括物理层数据获取模块， 用于获取电力 系统物理层的数据； 网络层数据获取模块， 用于 获取电力系统网络层的数据； 电力系统状态获取 模块， 用于获取电力系统的实时状态数据； 数据 处理模块， 分别 与物理层数据获取模块和网络层 数据获取模块通讯连接， 用于对获取的数据进行 处理； 预测模块， 与数据处理模块和电力系统状 态获取模块通讯连接， 根据处理后的数据对网络 攻击行为进行预测， 本发明能够改进现有技术的 不足， 实现对于不同类型网络攻击行为的有效预 测。 权利要求书2页 说明书6页 附图1页 CN 115412314 A 2022.11.29 CN 115412314 A 1.一种电力系统网络攻击预测系统， 其特 征在于： 包括， 物理层数据获取模块 （1） ， 用于获取电力系统物理层的数据； 网络层数据获取模块 （2） ， 用于获取电力系统网络层的数据； 电力系统状态获取模块 （3） ， 用于获取电力系统的实时状态数据； 数据处理模块 （4） ， 分别与物理层数据获取模块 （1） 和网络层数据获取模块 （2） 通讯连 接， 用于对获取的数据进行处 理； 预测模块 （5） ， 与数据处理模块 （4） 和电力系统状态获取模块 （3） 通讯连接， 根据处理后 的数据对网络攻击行为进行 预测。 2.一种权利要求1所述的电力系统网络攻击预测系统的预测方法， 其特征在于包括以 下步骤： A、 物理层数据获取模块 （1） 对电力系 统物理层的数据进行获取， 网络层数据获取模块 （2） 对电力系统网络层的数据进 行获取， 电力系统状态获取模块 （3） 对电力系统的实时状态 数据进行获取； B、 数据处 理模块 （4） 对电力系统物理层的数据进行处 理， 建立安全事件模型； C、 数据处 理模块 （4） 对电力系统网络层的数据进行处 理， 建立攻击特征数据集； D、 预测模块 （5） 使用安全 事件模型和攻击特 征数据集对网络攻击行为进行 预测。 3.根据权利要求2所述的电力系统网络攻击预测系统 的预测方法， 其特征在于： 电力系 统物理层的数据包括数据传输 速率、 数据传输节点物理地址、 数据传输节点拓扑 结构； 电力系统网络层的数据包括安全事件节点IP、 系统安全日志信息、 数据包校验信息、 数 据包传输信息； 电力系统的实时状态数据包括系统负载、 系统无功 功率、 系统电压 。 4.根据权利要求3所述的 电力系统网络攻击预测系统的预测方法， 其特征在于： 步骤B 中， 建立安全事件模型包括以下步骤， B1、 建立安全事件模型架构； B2、 在安全 事件模型架构内设立 安全事件节点； B3、 在安全 事件模型架构内设立 攻击行为 规则。 5.根据权利要求4所述的电力系统网络攻击预测系统 的预测方法， 其特征在于： 步骤B1 中， 对数据传输节 点拓扑结构进 行层次分解， 建立与拓扑层次相同的安全事件模 型架构， 对 安全事件模型架构中的每一层设置优先级， 安全事件模型架构中每一层的优先级按照其对 应的拓扑层次由底层至顶层逐渐增高。 6.根据权利要求5所述的电力系统网络攻击预测系统 的预测方法， 其特征在于： 步骤B2 中， 对数据传输节点按照其物理地址的拓扑结构进行聚类分组， 每组数据传输节点设置一 个安全事件节点。 7.根据权利要求6所述的 电力系统网络攻击预测系统的预测方法， 其特征在于：  步骤 B3中， 统计与每个安全事件节点相关的数据传输速率， 建立与数据传输速率变化线性相关 的攻击行为 规则。 8.根据权利要求7所述的 电力系统网络攻击预测系统的预测方法， 其特征在于： 步骤C 中， 建立攻击特征数据集包括以下步骤， C1、 建立电力系统网络层的稳态模型；权　利　要　求　书 1/2 页 2 CN 115412314 A 2C2、 构建虚拟攻击向量， 注入步骤C1建立的稳态模型， 然后对比稳态模型的前后 变化得 到攻击特 征； C3、 对步骤C2中得到的攻击特 征进行关联和验证， 得到攻击特 征数据集。 9.根据权利要求8所述的电力系统网络攻击预测系统 的预测方法， 其特征在于： 步骤C1 中， 对系统安全日志信息涉及到的安全事件节 点IP按照安全风险高低分为高风险IP和低风 险IP， 使用低风险IP建立稳态模型的IP范围， 然后提取与低风险IP有直接连接关系的高风 险IP作为 攻击注入IP。 10.根据权利要求9所述的电力系统网络攻击预测系统的预测方法， 其特征在于： 步骤 C2中， 对数据包校验信息和数据包传输信息进 行遍历， 提取异常数据包， 根据异常数据包关 联的IP对异常数据包进 行分组， 构建出包含关联到高风险IP组别异常数据包的虚拟攻击向 量， 然后使用包含关联到低风险IP组别异常数据包对虚拟攻击向量进行伪装， 然后将虚拟 攻击向量通过攻击注入IP注入稳态模 型， 然后使用注入的虚拟攻击向量和稳态模型的变化 向量组成状态 矩阵， 对状态 矩阵进行 特征提取， 得到攻击特 征。 11.根据权利要求10所述的电力系统网络攻击预测系统 的预测方法， 其特征在于： 步骤 C3中， 通过时间特征和逻辑特征对攻击特征进 行关联， 得到攻击特征链， 对攻击特征链进 行 补全， 然后在稳态模 型中建立一个攻击场景， 在攻击场景内对攻击特征链进行验证， 具体为 根据攻击特征链的攻击进程相似度对其进行聚类， 在每个聚类类别中提取相同公共特征， 将公共特 征组合为攻击特征数据集。 12.根据权利要求11所述的电力系统网络攻击预测系统 的预测方法， 其特征在于： 步骤 D中， 对网络攻击行为进行 预测包括以下步骤， D1、 使用攻击特征数据集拟合出若干个攻击向量， 在每个安全事件节点上按照攻击行 为规则运行攻击向量； D2、 采集每 个安全事件节点所对应的数据传输节点的数据传输 速率变化数据； D3、 采集电力系统的实时状态的变化数据； D4、 根据攻击向量反解出与之相关的数据包校验信息和数据包传输信息； D5、 使用数据传输速率变化数据、 数据包校验信息和数据包传输信息建立电力系统的 实时状态数据的状态转移 矩阵； D6、 使用状态转移矩阵对未来电力系统的实时状态进行计算评估， 然后根据计算出的 未来电力系统的实时状态与当前电力系统的实时状态的变化对网络攻击行为进行 预测。权　利　要　求　书 2/2 页 3 CN 115412314 A 3