用于电力监控系统的网络安全威胁溯源装置的制作方法

1.本发明涉及电力故障追溯技术领域，具体为用于电力监控系统的网络安全威胁溯源装置。


背景技术：

2.电力监控系统中的安全威胁主要来自计算机网络内部威胁、计算机病毒、黑客攻击以及拒绝服务攻击等，导致文件被删除、篡改、程序运行错误或者死机，严重的将导致机密文件泄露。国内外受网络攻击影响频繁发生的大停电事故不仅造成了巨大的经济损失，影响了电力系统的正常运行，也严重影响社会稳定，电力网络过程中故障设备追溯也是电力监控重要的一部分。
3.但是在现有技术中，无法根据历史故障构建故障发生树，导致实时故障无法准确分析，同时不能够对树内树外的故障均进行准确分析，导致电力监控的准确性降低，此外，针对故障设备无法进行正反追索，导致追溯效率低下，同时增加了维护查询的成本，大大延长了电网维护时间。
4.针对上述的技术缺陷，现提出一种解决方案。


技术实现要素：

5.本发明的目的就在于为了解决的问题，而提出用于电力监控系统的网络安全威胁溯源装置，根据电网历史故障构建故障发生树，从而根据历史发生的故障准确判断电网内故障影响；对故障发生树内故障发生链进行分析，判断故障发生链的影响程度，并将对应发生链内的电力设备进行标记，便于对实时发生故障进行预防，防止实时故障的处理力度不够导致故障带来的影响最大化，降低了电网的工作效率同时增加了维修成本；对树外和树内故障设备均进行正反追溯，通过分析缩小维护查询范围，提高了维护的效率，增强了维护的针对性，同时有针对的维护能够减少电网故障维护带来的成本消耗。
6.本发明的目的可以通过以下技术方案实现：
7.用于电力监控系统的网络安全威胁溯源装置，包括溯源装置，溯源装置内设置有服务器，服务器通讯连接有发生树构建单元以及实时分析单元，其中，发生树构建单元通讯连接有发生链分析单元，实时分析单元通讯连接有树内分析单元和树外分析单元；树内分析单元和树外分析单元均通讯连接有正反溯源单元；
8.服务器生成发生树构建信号并将发生树构建信号发送至发生树构建单元，通过发生树构建单元用于根据电网历史故障构建故障发生树，将故障发生树发送至服务器，同时生成发生链分析信号并将发生链分析信号发送至发生链分析单元，发生链分析单元接收到发生链分析信号后，对故障发生树内故障发生链进行分析，通过实时分析单元将实时故障进行分析，判断实时故障设备是否处于故障发生树内，并生成树内分析信号和树外分析信号；通过树内分析单元将树内分析信号对应的实时故障进行分析；通过树外分析单元将树外分析信号对应的实时故障进行分析；通过正反溯源单元对树内分析信号对应的实时故障
和树外分析信号对应的实时故障进行追溯。
9.作为本发明的一种优选实施方式，发生树构建单元的构建过程如下：
10.将历史电网故障进行采集，并采集到电网内所有电力设备，将历史电网故障内涉及的电力设备设置为树状节点；根据树状节点对应电力设备在历史电网故障内发生先后顺序进行比较，将先发生故障的树状节点标记为自变节点；将后发生故障的树状节点标记为因变节点，并根据两两树状节点对应关系构建故障发生链，且发生链前端均为自变节点，发生链后端均为因变节点，单个自变节点与单个因变节点构建故障发生子链，各个连续故障发生子链构建故障发生链；通过各个自变节点与因变节点组建的故障发生链构建故障发生树，将故障发生树发送至服务器，同时生成发生链分析信号并将发生链分析信号发送至发生链分析单元。
11.作为本发明的一种优选实施方式，发生链分析单元的发生链分析过程如下：
12.将故障发生树内存在的故障发生链设置标号i，i为大于1的自然数，采集到故障发生链内树状节点产生的分支数量，并将故障发生链内对应节点产生的分支数量标记为fsi；采集到故障发生链内存在的树状节点数量，并将故障发生链内存在的树状节点数量标记为sji；树状节点包括自变节点和因变节点；分支数量表示为故障发生链始端自变节点对应因变节点数量；采集到故障发生链对应故障发生子链的数量，并将故障发生链对应故障发生子链的数量标记为zsi；
13.通过分析获取到故障发生链的分析系数xi，将故障发生链的分析系数与分析系数阈值范围进行比较：
14.若故障发生链的分析系数大于分析系数阈值范围，则将对应故障发生链标记为一级故障发生链；若故障发生链的分析系数位于分析系数阈值范围，则将对应故障发生链标记为二级故障发生链；若故障发生链的分析系数小于分析系数阈值范围，则将对应故障发生链标记为三级故障发生链；
15.将一级故障发生链和二级故障发生链对应故障发生链始端因变节点对应的电力设备标记为重要设备。
16.作为本发明的一种优选实施方式，实时分析单元采集实时故障涉及电力设备，并将其标记为实时故障设备，将实时故障设备与故障发生树内树状节点对应电力设备进行比对，若实时故障设备与故障发生树内树状节点对应电力设备一致，则生成树内分析信号并将树内分析信号和实时故障设备发送至树内分析单元；若实时故障设备与故障发生树内树状节点对应电力设备不一致，则生成树外分析信号并将树外分析信号和实时故障设备发送至树外分析单元。
17.作为本发明的一种优选实施方式，树内分析单元的树内分析过程如下：
18.将实时故障设备对应故障发生树的树状节点标记为实时分析节点，将实时分析节点设置标号k，k为大于1的自然数，采集到实时分析节点所处故障发生链位置前对应自变节点的数量和实时分析节点所处故障发生链位置后对应因变节点的数量，并将实时分析节点所处故障发生链位置前对应自变节点的数量和实时分析节点所处故障发生链位置后对应因变节点的数量分别标记为zbsk和ybsk；采集到实时分析节点所处故障发生链位置对应故障发生子链的连接数量，并将实时分析节点所处故障发生链位置对应故障发生子链的连接数量标记为zlsk；
19.通过分析获取到实时分析节点的故障威胁系数ck；将实时分析节点的故障威胁系数与故障威胁系数阈值进行比较：
20.若实时分析节点的故障威胁系数≥故障威胁系数阈值，则判定对应实时分析节点故障威胁异常，生成威胁异常信号并将威胁异常信号和对应实时分析节点发送至正反溯源单元；若实时分析节点的故障威胁系数＜故障威胁系数阈值，则判定对应实时分析节点故障威胁普遍，生成威胁普遍信号并将威胁普遍信号和对应实时分析节点发送至正反溯源单元。
21.作为本发明的一种优选实施方式，正反溯源单元接收到威胁异常信号和威胁普遍信号后，将威胁异常信号对应实时故障进行优先处理，同时将威胁异常信号和威胁普遍信号对应实时故障设备按照对应实时分析节点的故障威胁系数数值从大到小的顺序进行排序，并按照实时故障设备的排序进行溯源，将实时故障设备所处故障发生链前的自变节点进行运行分析，若对应自变节点分析合格，则判定实时故障为自变故障，将实时故障设备标记为故障源头；若对应自变节点分析不合格，则判定实时故障为因变故障，将对应自变节点对应的电力设备标记为故障源头，将实时故障设备所处故障发生链后的因变节点进行运行分析，若对应因变节点分析合格，则判断实时故障未产生影响，生成及时维护信号并将实时故障设备进行维护；若对应因变节点分析不合格，则判断实时故障产生影响，将对应因变节点标记为因变设备，生成设备停用信号并将实时故障设备与因变设备进行停用维护，同时按照实时故障设备与因变设备对应故障发生链的顺序进行维护。
22.作为本发明的一种优选实施方式，树外分析单元的树外分析过程如下：
23.采集到实时故障设备的上游设备数量与下游设备数量，并将实时故障设备的上游设备数量与下游设备数量分别标记为sys和xys；采集到实时故障设备发送指令至下游设备的间隔时长，并将实时故障设备发送指令至下游设备的间隔时长标记为jgs；通过分析获取到实时故障设备的追溯难度系数ss；
24.将实时故障设备的追溯难度系数与追溯难度系数阈值进行比较：
25.若实时故障设备的追溯难度系数≥追溯难度系数阈值，则判定对应实时故障设备标记为强难度追溯故障设备，并将强难度追溯故障设备发送至正反溯源单元；若实时故障设备的追溯难度系数小于追溯难度系数阈值，则判定对应实时故障设备标记为低难度追溯故障设备，并将低难度追溯故障设备发送至正反溯源单元。
26.作为本发明的一种优选实施方式，正反追溯单元接收到强难度追溯故障设备和低难度追溯故障设备后，将强难度追溯故障设备进行标记，并将难度追溯故障设备的运行进行分步记录，将对应难度追溯故障设备设置运行日志，并将运行步骤发送至运行日志进行储存；同时对实时故障进行追溯；
27.采集到实时故障设备产生故障的时刻，并将其标记为故障时刻，将在故障时刻发送运行指令至实时故障设备的上游设备标记为预设上游故障设备；将在故障时刻接收实时故障设备运行指令的下游设备标记为预设下游故障设备；将预设上游故障设备与预设下游故障设备进行运行分析，并将运行不合格的预设上游故障设备与预设下游故障设备分别标记为选中上游故障设备和选中下游故障设备；
28.将选中上游故障设备和选中下游故障设备的运行指令进行判定，若选中上游故障设备和选中下游故障设备的运行指令为电网单次运行，则按照上游故障设备、实时故障设
备以及下游故障设备的顺序进行维护；若选中上游故障设备和选中下游故障设备的运行指令为电网多次运行，则按照各个运行指令对应上游故障设备为起分步开始维护。
29.与现有技术相比，本发明的有益效果是：
30.本发明中，根据电网历史故障构建故障发生树，从而根据历史发生的故障准确判断电网内故障影响；对故障发生树内故障发生链进行分析，判断故障发生链的影响程度，并将对应发生链内的电力设备进行标记，便于对实时发生故障进行预防，防止实时故障的处理力度不够导致故障带来的影响最大化，降低了电网的工作效率同时增加了维修成本；对实时故障进行分析，判断实时故障的威胁值，从而准确判断实时故障对电网的预计影响程度，提高了电网故障维护和防护的准确性能；实时故障进行分析，根据实时故障设备运行相关设备分析实时故障排除的难易程度，防止实时电网故障为首次出现故障导致故障维护效率降低，提高了故障维护的全面性和准确性；
31.此外，对树外和树内故障设备均进行正反追溯，通过分析缩小维护查询范围，提高了维护的效率，增强了维护的针对性，同时有针对的维护能够减少电网故障维护带来的成本消耗。
附图说明
32.为了便于本领域技术人员理解，下面结合附图对本发明作进一步的说明。
33.图1为本发明的原理框图。
具体实施方式
34.下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
35.请参阅图1所示，用于电力监控系统的网络安全威胁溯源装置，包括溯源装置，溯源装置内设置有服务器，服务器通讯连接有发生树构建单元以及实时分析单元，其中，发生树构建单元通讯连接有发生链分析单元，实时分析单元通讯连接有树内分析单元和树外分析单元；树内分析单元和树外分析单元均通讯连接有正反溯源单元；
36.服务器生成发生树构建信号并将发生树构建信号发送至发生树构建单元，发生树构建单元用于根据电网历史故障构建故障发生树，从而根据历史发生的故障准确判断电网内故障影响，发生树表示为电网内各个设备运行构成的树状图，具体构建过程如下：
37.将历史电网故障进行采集，并采集到电网内所有电力设备，将历史电网故障内涉及的电力设备设置为树状节点，电力设备包括变压器和发电机等电网相关设备；根据树状节点对应电力设备在历史电网故障内发生先后顺序进行比较，将先发生故障的树状节点标记为自变节点；将后发生故障的树状节点标记为因变节点，并根据两两树状节点对应关系构建故障发生链，且发生链前端均为自变节点，发生链后端均为因变节点，单个自变节点与单个因变节点构建故障发生子链，各个连续故障发生子链构建故障发生链；通过各个自变节点与因变节点组建的故障发生链构建故障发生树，将故障发生树发送至服务器，同时生成发生链分析信号并将发生链分析信号发送至发生链分析单元；
38.发生链分析单元接收到发生链分析信号后，对故障发生树内故障发生链进行分析，判断故障发生链的影响程度，并将对应发生链内的电力设备进行标记，便于对实时发生故障进行预防，防止实时故障的处理力度不够导致故障带来的影响最大化，降低了电网的工作效率同时增加了维修成本，具体发生链分析过程如下：
39.将故障发生树内存在的故障发生链设置标号i，i为大于1的自然数，采集到故障发生链内树状节点产生的分支数量，并将故障发生链内对应节点产生的分支数量标记为fsi；采集到故障发生链内存在的树状节点数量，并将故障发生链内存在的树状节点数量标记为sji；树状节点包括自变节点和因变节点；分支数量表示为故障发生链始端自变节点对应因变节点数量；采集到故障发生链对应故障发生子链的数量，并将故障发生链对应故障发生子链的数量标记为zsi；
40.通过公式获取到故障发生链的分析系数xi，其中，a1、a2以及a3均为预设比例系数，且a1＞a2＞a3＞0；
41.将故障发生链的分析系数与分析系数阈值范围进行比较：
42.若故障发生链的分析系数大于分析系数阈值范围，则将对应故障发生链标记为一级故障发生链；若故障发生链的分析系数位于分析系数阈值范围，则将对应故障发生链标记为二级故障发生链；若故障发生链的分析系数小于分析系数阈值范围，则将对应故障发生链标记为三级故障发生链；
43.将一级故障发生链和二级故障发生链对应故障发生链始端因变节点对应的电力设备标记为重要设备；
44.服务器接收到故障发生树后，生成实时分析信号并将实时分析信号发送至实时分析单元，实时分析单元用于将实时故障进行分析，判断实时故障设备是否处于故障发生树内，采集实时故障涉及电力设备，并将其标记为实时故障设备，将实时故障设备与故障发生树内树状节点对应电力设备进行比对，若实时故障设备与故障发生树内树状节点对应电力设备一致，则生成树内分析信号并将树内分析信号和实时故障设备发送至树内分析单元；若实时故障设备与故障发生树内树状节点对应电力设备不一致，则生成树外分析信号并将树外分析信号和实时故障设备发送至树外分析单元；
45.树内分析单元接收到树内分析信号和实时故障设备后，对实时故障进行分析，判断实时故障的威胁值，从而准确判断实时故障对电网的预计影响程度，提高了电网故障维护和防护的准确性能，具体树内分析过程如下：
46.将实时故障设备对应故障发生树的树状节点标记为实时分析节点，将实时分析节点设置标号k，k为大于1的自然数，采集到实时分析节点所处故障发生链位置前对应自变节点的数量和实时分析节点所处故障发生链位置后对应因变节点的数量，并将实时分析节点所处故障发生链位置前对应自变节点的数量和实时分析节点所处故障发生链位置后对应因变节点的数量分别标记为zbsk和ybsk；采集到实时分析节点所处故障发生链位置对应故障发生子链的连接数量，并将实时分析节点所处故障发生链位置对应故障发生子链的连接数量标记为zlsk；
47.通过公式获取到实时分析节点
的故障威胁系数ck，其中，b1、b2以及b3均为预设比例系数，且b1＞b2＞b3＞0，e为自然常数；将实时分析节点的故障威胁系数与故障威胁系数阈值进行比较：
48.若实时分析节点的故障威胁系数≥故障威胁系数阈值，则判定对应实时分析节点故障威胁异常，生成威胁异常信号并将威胁异常信号和对应实时分析节点发送至正反溯源单元；若实时分析节点的故障威胁系数＜故障威胁系数阈值，则判定对应实时分析节点故障威胁普遍，生成威胁普遍信号并将威胁普遍信号和对应实时分析节点发送至正反溯源单元；
49.正反溯源单元接收到威胁异常信号和威胁普遍信号后，将威胁异常信号对应实时故障进行优先处理，同时将威胁异常信号和威胁普遍信号对应实时故障设备按照对应实时分析节点的故障威胁系数数值从大到小的顺序进行排序，并按照实时故障设备的排序进行溯源，将实时故障设备所处故障发生链前的自变节点进行运行分析，若对应自变节点分析合格，则判定实时故障为自变故障，将实时故障设备标记为故障源头；若对应自变节点分析不合格，则判定实时故障为因变故障，将对应自变节点对应的电力设备标记为故障源头，将实时故障设备所处故障发生链后的因变节点进行运行分析，若对应因变节点分析合格，则判断实时故障未产生影响，生成及时维护信号并将实时故障设备进行维护；若对应因变节点分析不合格，则判断实时故障产生影响，将对应因变节点标记为因变设备，生成设备停用信号并将实时故障设备与因变设备进行停用维护，同时按照实时故障设备与因变设备对应故障发生链的顺序进行维护；
50.树外分析单元接收到树外分析信号和实时故障设备后，对实时故障进行分析，根据实时故障设备运行相关设备分析实时故障排除的难易程度，防止实时电网故障为首次出现故障导致故障维护效率降低，提高了故障维护的全面性和准确性，具体树外分析过程如下：
51.采集到实时故障设备的上游设备数量与下游设备数量，并将实时故障设备的上游设备数量与下游设备数量分别标记为sys和xys；采集到实时故障设备发送指令至下游设备的间隔时长，并将实时故障设备发送指令至下游设备的间隔时长标记为jgs；通过公式获取到实时故障设备的追溯难度系数ss，其中，f1、f2以及f3均为预设比例系数，且f1＞f2＞f3＞0；
52.将实时故障设备的追溯难度系数与追溯难度系数阈值进行比较：
53.若实时故障设备的追溯难度系数≥追溯难度系数阈值，则判定对应实时故障设备标记为强难度追溯故障设备，并将强难度追溯故障设备发送至正反溯源单元；若实时故障设备的追溯难度系数小于追溯难度系数阈值，则判定对应实时故障设备标记为低难度追溯故障设备，并将低难度追溯故障设备发送至正反溯源单元；上游设备表示为发送运行指令至实时故障设备的设备；下游设备表示为接收实时故障设备发送的运行指令的设备；
54.正反追溯单元接收到强难度追溯故障设备和低难度追溯故障设备后，将强难度追溯故障设备进行标记，并将难度追溯故障设备的运行进行分步记录，将对应难度追溯故障设备设置运行日志，并将运行步骤发送至运行日志进行储存；同时对实时故障进行追溯；
55.采集到实时故障设备产生故障的时刻，并将其标记为故障时刻，将在故障时刻发
送运行指令至实时故障设备的上游设备标记为预设上游故障设备；将在故障时刻接收实时故障设备运行指令的下游设备标记为预设下游故障设备；将预设上游故障设备与预设下游故障设备进行运行分析，并将运行不合格的预设上游故障设备与预设下游故障设备分别标记为选中上游故障设备和选中下游故障设备；
56.将选中上游故障设备和选中下游故障设备的运行指令进行判定，若选中上游故障设备和选中下游故障设备的运行指令为电网单次运行，则按照上游故障设备、实时故障设备以及下游故障设备的顺序进行维护；若选中上游故障设备和选中下游故障设备的运行指令为电网多次运行，则按照各个运行指令对应上游故障设备为起分步开始维护；发送指令表示为电网运行相关的运行指令。
57.上述公式均是采集大量数据进行软件模拟得出且选取与真实值接近的一个公式，公式中的系数是由本领域技术人员根据实际情况进行设置；
58.本发明在使用时，服务器生成发生树构建信号并将发生树构建信号发送至发生树构建单元，通过发生树构建单元用于根据电网历史故障构建故障发生树，将故障发生树发送至服务器，同时生成发生链分析信号并将发生链分析信号发送至发生链分析单元，发生链分析单元接收到发生链分析信号后，对故障发生树内故障发生链进行分析，通过实时分析单元将实时故障进行分析，判断实时故障设备是否处于故障发生树内，并生成树内分析信号和树外分析信号；通过树内分析单元将树内分析信号对应的实时故障进行分析；通过树外分析单元将树外分析信号对应的实时故障进行分析；通过正反溯源单元对树内分析信号对应的实时故障和树外分析信号对应的实时故障进行追溯。
59.以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

技术特征：
1.用于电力监控系统的网络安全威胁溯源装置，其特征在于，包括溯源装置，溯源装置内设置有服务器，服务器通讯连接有发生树构建单元以及实时分析单元，其中，发生树构建单元通讯连接有发生链分析单元，实时分析单元通讯连接有树内分析单元和树外分析单元；树内分析单元和树外分析单元均通讯连接有正反溯源单元；服务器生成发生树构建信号并将发生树构建信号发送至发生树构建单元，通过发生树构建单元用于根据电网历史故障构建故障发生树，将故障发生树发送至服务器，同时生成发生链分析信号并将发生链分析信号发送至发生链分析单元，发生链分析单元接收到发生链分析信号后，对故障发生树内故障发生链进行分析，通过实时分析单元将实时故障进行分析，判断实时故障设备是否处于故障发生树内，并生成树内分析信号和树外分析信号；通过树内分析单元将树内分析信号对应的实时故障进行分析；通过树外分析单元将树外分析信号对应的实时故障进行分析；通过正反溯源单元对树内分析信号对应的实时故障和树外分析信号对应的实时故障进行追溯。2.根据权利要求1所述的用于电力监控系统的网络安全威胁溯源装置，其特征在于，发生树构建单元的构建过程如下：将历史电网故障进行采集，并采集到电网内所有电力设备，将历史电网故障内涉及的电力设备设置为树状节点；根据树状节点对应电力设备在历史电网故障内发生先后顺序进行比较，将先发生故障的树状节点标记为自变节点；将后发生故障的树状节点标记为因变节点，并根据两两树状节点对应关系构建故障发生链，且发生链前端均为自变节点，发生链后端均为因变节点，单个自变节点与单个因变节点构建故障发生子链，各个连续故障发生子链构建故障发生链；通过各个自变节点与因变节点组建的故障发生链构建故障发生树，将故障发生树发送至服务器，同时生成发生链分析信号并将发生链分析信号发送至发生链分析单元。3.根据权利要求1所述的用于电力监控系统的网络安全威胁溯源装置，其特征在于，发生链分析单元的发生链分析过程如下：将故障发生树内存在的故障发生链设置标号i，i为大于1的自然数，采集到故障发生链内树状节点产生的分支数量，并将故障发生链内对应节点产生的分支数量标记为fsi；采集到故障发生链内存在的树状节点数量，并将故障发生链内存在的树状节点数量标记为sji；树状节点包括自变节点和因变节点；分支数量表示为故障发生链始端自变节点对应因变节点数量；采集到故障发生链对应故障发生子链的数量，并将故障发生链对应故障发生子链的数量标记为zsi；通过分析获取到故障发生链的分析系数xi，将故障发生链的分析系数与分析系数阈值范围进行比较：若故障发生链的分析系数大于分析系数阈值范围，则将对应故障发生链标记为一级故障发生链；若故障发生链的分析系数位于分析系数阈值范围，则将对应故障发生链标记为二级故障发生链；若故障发生链的分析系数小于分析系数阈值范围，则将对应故障发生链标记为三级故障发生链；将一级故障发生链和二级故障发生链对应故障发生链始端因变节点对应的电力设备标记为重要设备。4.根据权利要求1所述的用于电力监控系统的网络安全威胁溯源装置，其特征在于，实
时分析单元采集实时故障涉及电力设备，并将其标记为实时故障设备，将实时故障设备与故障发生树内树状节点对应电力设备进行比对，若实时故障设备与故障发生树内树状节点对应电力设备一致，则生成树内分析信号并将树内分析信号和实时故障设备发送至树内分析单元；若实时故障设备与故障发生树内树状节点对应电力设备不一致，则生成树外分析信号并将树外分析信号和实时故障设备发送至树外分析单元。5.根据权利要求1所述的用于电力监控系统的网络安全威胁溯源装置，其特征在于，树内分析单元的树内分析过程如下：将实时故障设备对应故障发生树的树状节点标记为实时分析节点，将实时分析节点设置标号k，k为大于1的自然数，采集到实时分析节点所处故障发生链位置前对应自变节点的数量和实时分析节点所处故障发生链位置后对应因变节点的数量，并将实时分析节点所处故障发生链位置前对应自变节点的数量和实时分析节点所处故障发生链位置后对应因变节点的数量分别标记为zbsk和ybsk；采集到实时分析节点所处故障发生链位置对应故障发生子链的连接数量，并将实时分析节点所处故障发生链位置对应故障发生子链的连接数量标记为zlsk；通过分析获取到实时分析节点的故障威胁系数ck；将实时分析节点的故障威胁系数与故障威胁系数阈值进行比较：若实时分析节点的故障威胁系数≥故障威胁系数阈值，则判定对应实时分析节点故障威胁异常，生成威胁异常信号并将威胁异常信号和对应实时分析节点发送至正反溯源单元；若实时分析节点的故障威胁系数＜故障威胁系数阈值，则判定对应实时分析节点故障威胁普遍，生成威胁普遍信号并将威胁普遍信号和对应实时分析节点发送至正反溯源单元。6.根据权利要求5所述的用于电力监控系统的网络安全威胁溯源装置，其特征在于，正反溯源单元接收到威胁异常信号和威胁普遍信号后，将威胁异常信号对应实时故障进行优先处理，同时将威胁异常信号和威胁普遍信号对应实时故障设备按照对应实时分析节点的故障威胁系数数值从大到小的顺序进行排序，并按照实时故障设备的排序进行溯源，将实时故障设备所处故障发生链前的自变节点进行运行分析，若对应自变节点分析合格，则判定实时故障为自变故障，将实时故障设备标记为故障源头；若对应自变节点分析不合格，则判定实时故障为因变故障，将对应自变节点对应的电力设备标记为故障源头，将实时故障设备所处故障发生链后的因变节点进行运行分析，若对应因变节点分析合格，则判断实时故障未产生影响，生成及时维护信号并将实时故障设备进行维护；若对应因变节点分析不合格，则判断实时故障产生影响，将对应因变节点标记为因变设备，生成设备停用信号并将实时故障设备与因变设备进行停用维护，同时按照实时故障设备与因变设备对应故障发生链的顺序进行维护。7.根据权利要求1所述的用于电力监控系统的网络安全威胁溯源装置，其特征在于，树外分析单元的树外分析过程如下：采集到实时故障设备的上游设备数量与下游设备数量，并将实时故障设备的上游设备数量与下游设备数量分别标记为sys和xys；采集到实时故障设备发送指令至下游设备的间隔时长，并将实时故障设备发送指令至下游设备的间隔时长标记为jgs；通过分析获取到实时故障设备的追溯难度系数ss；
将实时故障设备的追溯难度系数与追溯难度系数阈值进行比较：若实时故障设备的追溯难度系数≥追溯难度系数阈值，则判定对应实时故障设备标记为强难度追溯故障设备，并将强难度追溯故障设备发送至正反溯源单元；若实时故障设备的追溯难度系数小于追溯难度系数阈值，则判定对应实时故障设备标记为低难度追溯故障设备，并将低难度追溯故障设备发送至正反溯源单元。8.根据权利要求7所述的用于电力监控系统的网络安全威胁溯源装置，其特征在于，正反追溯单元接收到强难度追溯故障设备和低难度追溯故障设备后，将强难度追溯故障设备进行标记，并将难度追溯故障设备的运行进行分步记录，将对应难度追溯故障设备设置运行日志，并将运行步骤发送至运行日志进行储存；同时对实时故障进行追溯；采集到实时故障设备产生故障的时刻，并将其标记为故障时刻，将在故障时刻发送运行指令至实时故障设备的上游设备标记为预设上游故障设备；将在故障时刻接收实时故障设备运行指令的下游设备标记为预设下游故障设备；将预设上游故障设备与预设下游故障设备进行运行分析，并将运行不合格的预设上游故障设备与预设下游故障设备分别标记为选中上游故障设备和选中下游故障设备；将选中上游故障设备和选中下游故障设备的运行指令进行判定，若选中上游故障设备和选中下游故障设备的运行指令为电网单次运行，则按照上游故障设备、实时故障设备以及下游故障设备的顺序进行维护；若选中上游故障设备和选中下游故障设备的运行指令为电网多次运行，则按照各个运行指令对应上游故障设备为起分步开始维护。

技术总结
本发明公开了用于电力监控系统的网络安全威胁溯源装置，涉及电力故障追溯技术领域，解决了现有技术中无法针对实时故障进行正反追溯的技术问题，根据电网历史故障构建故障发生树，从而根据历史发生的故障准确判断电网内故障影响；对故障发生树内故障发生链进行分析，判断故障发生链的影响程度，并将对应发生链内的电力设备进行标记，便于对实时发生故障进行预防，防止实时故障的处理力度不够导致故障带来的影响最大化，降低了电网的工作效率同时增加了维修成本；对树外和树内故障设备均进行正反追溯，通过分析缩小维护查询范围，提高了维护的效率，增强了维护的针对性，同时有针对的维护能够减少电网故障维护带来的成本消耗。耗。耗。


技术研发人员：王丽君 李圆智 高博 徐斌 马金辉 王同文 赵龙 陈伟 王为臻 杨文涛 王松 赵恒阳
受保护的技术使用者：国网安徽省电力有限公司电力科学研究院
技术研发日：2022.02.14
技术公布日：2022/5/25