[0001] 本实用新型涉及电力管理信息技术领域，具体为基于电力管理信息系统的业务资产网络攻击还原溯源设备。

[0002] 基于电力管理信息系统的业务资产信息数据库，结合深圳供电局认知安全模型中的攻击链模型，针对资产进行深度分析并辨别攻击类型，研判攻击是否成功，传统的防护设备只能对攻击行为进行告警，无法对还原整个攻击过程(侦察-入侵-命令控制-横向渗透-数据外泄/痕迹清理)进行直观的查看，也无法向用户描述整个攻击过程以及给予相应的处置方案。

[0003] 基于此，本实用新型设计了基于电力管理信息系统的业务资产网络攻击还原溯源设备，以解决上述提到的问题。实用新型内容

[0004] 本实用新型的目的在于提供基于电力管理信息系统的业务资产网络攻击还原溯源设备，以解决上述背景技术中提出的问题。

[0005] 为实现上述目的，本实用新型提供如下技术方案：基于电力管理信息系统的业务资产网络攻击还原溯源设备，包括溯源主机和远端工控机，所述溯源主机和远端工控机通过双绞线连接到同一路由器上，并通过互联网与云平台相连接，所述云平台分别连接专家端和用户终端，所述远端工控机分别连接有显示器和打印机。

[0006] 优选的，所述溯源主机包括设置在内部的处理器和散热模块，所述溯源主机的外侧面板上分别设有数字接线口、485串口、USB接口、网络接口和电源开关。

[0007] 优选的，所述散热模块包括风扇和开设在所述溯源主机上的散热孔，所述散热孔位于所述风扇的一侧。

[0008] 优选的，所述处理器包括

[0009] 控制芯片，用于接收溯源模块还原攻击过程生成的溯源结果有向图；

[0010] 溯源模块，用于从攻击链的维度将攻击行为进行重新划分，对风险攻击进行调查和分析，还原整个攻击过程，并生成溯源结果有向图；

[0011] 存储器，用于存储控制芯片接收的溯源结果有向图。

[0012] 优选的，所述专家端和用户终端接入4G或者5G通信网络的为手机终端。

[0013] 与现有技术相比，本实用新型的有益效果是：该基于电力管理信息系统的业务资产网络攻击还原溯源设备通过溯源主机生成的溯源结果有向图通过远端工控机可采集溯源主机集的溯源结果有向图，然后通过显示器进行显示，并通过打印机可将其打印出来，便于进行直观的查看和分析；而且通过云平台分别与专家端和用户终端连接，通过专家端可对云平台接收到的溯源结果有向图进行积累的经验给出相应的处置方案。

[0020] 下面将结合本实用新型实施例中的附图，对本实用新型实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本实用新型一部分实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本实用新型保护的范围。

[0021] 实施例1

[0022] 请参阅图1-3，本实用新型提供一种技术方案：基于电力管理信息系统的业务资产网络攻击还原溯源设备，包括溯源主机1和远端工控机2，溯源主机1和远端工控机2通过双绞线3连接到同一路由器4上，通过远端工控机2可采集溯源主机1采集的溯源模块从攻击链的维度将攻击行为进行重新划分，对风险攻击进行调查和分析，还原整个攻击过程，包括侦察-入侵-命令控制-横向渗透-数据外泄/痕迹清理，并生成溯源结果有向图，并通过互联网与云平台5相连接，通过云平台5实现该采集数据的分享，云平台5分别连接专家端6和用户终端7，通过专家端6可对云平台5接收到的溯源结果有向图进行积累的经验给出相应的处置方案，用户终端7则可以通过云平台5接收到该溯源结果有向图和专家端6给出的处置方案，远端工控机2分别连接有显示器8和打印机9，通过显示器8可将远端工控机2接收到的溯源结果有向图进行显示，而通过打印机9可将其打印出来，便于进行直观的查看和分析。

[0023] 其中，溯源主机1包括设置在内部的处理器101和散热模块106，溯源主机1的外侧面板上分别设有数字接线口102、485串口103、USB接口104、网络接口105和电源开关107。

[0024] 其中，散热模块106包括风扇1061和开设在溯源主机1上的散热孔1062，散热孔1062位于风扇1061的一侧，在溯源主机1工作时，风扇1061自动开启，通过散热孔1062将热量向外排出，以提高溯源主机1的使用寿命。

[0025] 其中，处理器101包括

[0026] 控制芯片，用于接收溯源模块还原攻击过程生成的溯源结果有向图；

[0027] 溯源模块，用于从攻击链的维度将攻击行为进行重新划分，对风险攻击进行调查和分析，还原整个攻击过程，并生成溯源结果有向图；

[0028] 存储器，用于存储控制芯片接收的溯源结果有向图。

[0029] 其中，专家端6和用户终端7接入4G或者5G通信网络的为手机终端。

[0030] 其中，电器元件溯源主机1、远端工控机2、双绞线3、路由器4、云平台5、专家端6、用户终端7、显示器8、打印机9等部件均为通用标准件或本领域技术人员知晓的部件，其结构和原理都为本技术人员均可通过技术手册得知或通过常规实验方法获知，本实用新型的处理器101的具体实施，可能涉及到使用软件，但所使用的软件均是本领域技术人员最常用的软件，并且，并非本专利申请权利要求所要保护的范围。

[0031] 本实用新型通过溯源主机1内部的处理器101对电力管理信息系统的业务资产信息数据库被攻击时，能够用于从攻击链的维度将攻击行为进行重新划分，对风险攻击进行调查和分析，还原整个攻击过程，并生成溯源结果有向图；并将生成溯源结果有向图通过双绞线3和路由器4实现与远端工控机2的通讯，通过远端工控机2可采集溯源主机1采集的溯源结果有向图通过显示器8进行显示，并通过打印机9可将其打印出来，便于进行直观的查看和分析，同时溯源主机1采集的溯源结果有向图实现与云平台5连接，通过专家端6可对云平台5接收到的溯源结果有向图进行积累的经验给出相应的处置方案，用户终端7则可以通过云平台5接收到该溯源结果有向图和专家端6给出的处置方案，从而对面向电力管理信息系统的业务资产进行清晰的还原整个风险攻击过程，能够及时分享查看和给予相应的处置方案。

[0032] 在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本实用新型的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

[0033] 以上公开的本实用新型优选实施例只是用于帮助阐述本实用新型。优选实施例并没有详尽叙述所有的细节，也不限制该实用新型仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本实用新型的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本实用新型。本实用新型仅受权利要求书及其全部范围和等效物的限制。