恶意攻击检测和分析

摘要

一种用于表征智能公用电网系统中的恶意活动的系统包括，包括系统储存器，系统储存器存储包括多个规则的数据库。收集器从智能电网系统收集并且在系统储存器中存储包括信息技术(IT)相关活动的IT数据。复杂事件处理(CEP)总线从多个电子来源接收包括位置特定事件数据的非IT数据，CEP总线忽略无法满足与多个与风险的事件之一的预定水平的相关性的非IT数据。处理器将多个规则应用于相关的非IT数据以：参照IT相关活动关联非希望事件；并且确定非希望事件指示恶意活动的概率。处理器还基于概率和IT相关活动将风险表征应用于非希望事件。

主权项

一种表征智能公用电网系统中的恶意活动的方法，所述方法可由具有至少一个处理器和至少一个存储器的计算机执行，所述方法包括：通过所述至少一个处理器从所述智能电网系统接收包括信息技术(IT)相关活动的IT数据；通过所述至少一个处理器从多个电子来源接收非IT数据，其中所述非IT数据包括：位置特定事件数据、电网模拟测量值、以及高价值目标和对应地理位置的列表，其中所述电网模拟测量值包括相量测量值；通过所述至少一个处理器预处理所述非IT数据，所述预处理包括忽略无法满足预定水平的相关性的所述非IT数据，所述相关性是与多个风险相关事件之一的相关性；通过所述至少一个处理器将多个规则应用于预处理的所述非IT数据，包括：将非希望事件与所述IT相关活动关联；确定所述非希望事件指示恶意活动的概率，确定所述非希望事件指示恶意活动的概率包括比较预定标准与所述非IT数据，以将多个概率水平中的一个概率水平生成为以下各项之和：(1)故意恶意攻击的出现概率和所述故意恶意攻击可利用的漏洞的存在概率的乘积；以及(2)意外危险的出现概率和与所述意外危险关联的漏洞的存在概率的乘积；其中所述故意恶意攻击和所述意外危险包括相互独立的事件；以及通过所述至少一个处理器基于所述概率水平和所述IT相关活动将风险表征应用于所述非希望事件。