一种电力系统的二次设备的恶意代码检测方法与系统与流程

1.本发明涉及电力系统的二次设备技术领域，具体涉及一种电力系统的二次设备的恶意代码检测方法与系统。


背景技术：

2.恶意代码是指没有作用却会带来危险的代码，一个最安全的定义是把所有不必要的代码都看作是恶意的，不必要代码比恶意代码具有更宽泛的含义，包括所有可能与某个组织安全策略相冲突的软件，其包括恶意软件、计算机病毒、木马、计算机蠕虫、后门以及逻辑炸弹，随着网络和计算技术地发展，恶意代码的传播方式在迅速地演化，从引导区传播，到某种类型文件传播，到宏病毒传播，到邮件传播，到网络传播，发作和流行的时间越来越短；而且不同领域的恶意代码情况不同，需要针对具体的应用领域提出针对性的方案。


技术实现要素：

3.本发明的目的在于提出一种电力系统的二次设备的恶意代码检测方法与系统，以对电力系统的二次设备的恶意代码进行检测和处理。
4.为实现上述目的，本发明的实施例提出一种电力系统的二次设备的恶意代码检测方法，所述方法包括：
5.周期性地采集电力系统的二次设备的当前运行状态，并提取所述当前运行状态的当前状态特征；
6.将所述当前状态特征输入预先训练好的神经网络模型进行异常检测得到异常检测结果；所述异常检测包括将所述当前状态特征与异常特征数据库中的多个预设异常状态特征进行匹配，若存在匹配的预设异常状态特征，则确定所述当前状态特征所对应的二次设备的当前运行状态异常；所述多个预设异常状态特征为根据恶意代码获得；
7.将所述异常检测结果输出给预设终端以反馈给对应用户。
8.优选地，所述方法还包括：
9.当确定所述当前状态特征所对应的二次设备的当前运行状态异常时，中断所述当前状态特征所对应的二次设备的运行，并启动所述当前状态特征所对应的电力系统的二次设备的备用二次设备。
10.优选地，所述方法还包括：
11.当确定所述当前状态特征所对应的二次设备的当前运行状态异常时，从方案数据库中获取异常状态对应的修复方案，并根据所述修复方案对所述当前状态特征所对应的二次设备进行自动修复；若修复成功，则记录修复日期和修复设备名称，若修复失败，则发送通知给预设终端以反馈给对应用户。
12.优选地，所述多个预设异常状态特征根据以下步骤获得：
13.获取多组恶意代码，将所述多组恶意代码输入虚拟二次设备运行模型，得到对应的多个运行状态，并根据所述多个运行状态获得多个预设异常状态特征。
14.优选地，所述方法还包括：
15.周期性地采集电力系统的二次设备的当前ip地址，并将所述当前ip地址与预设白名单中的ip地址进行对比，若所述当前ip地址存在于所述预设白名单中，则确定二次设备ip地址正常，若所述当前ip地址不存在于所述预设白名单中，则确定二次设备ip地址异常，将所述ip地址异常结果输出给预设终端以反馈给对应用户。
16.本发明的实施例还提出一种电力系统的二次设备的恶意代码检测系统，所述系统包括：
17.状态采集单元，用于周期性地采集电力系统的二次设备的当前运行状态，并提取所述当前运行状态的当前状态特征；
18.异常检测单元，用于将所述当前状态特征输入预先训练好的神经网络模型进行异常检测得到异常检测结果；所述异常检测包括将所述当前状态特征与异常特征数据库中的多个预设异常状态特征进行匹配，若存在匹配的预设异常状态特征，则确定所述当前状态特征所对应的二次设备的当前运行状态异常；所述多个预设异常状态特征为根据恶意代码获得；
19.反馈单元，用于将所述异常检测结果输出给预设终端以反馈给对应用户。
20.优选地，所述系统还包括：
21.异常处理单元，用于当确定所述当前状态特征所对应的二次设备的当前运行状态异常时，中断所述当前状态特征所对应的二次设备的运行，并启动所述当前状态特征所对应的电力系统的二次设备的备用二次设备。
22.优选地，所述异常处理单元，还用于：
23.当确定所述当前状态特征所对应的二次设备的当前运行状态异常时，从方案数据库中获取异常状态对应的修复方案，并根据所述修复方案对所述当前状态特征所对应的二次设备进行自动修复；若修复成功，则记录修复日期和修复设备名称，若修复失败，则发送通知给预设终端以反馈给对应用户。
24.优选地，所述多个预设异常状态特征根据以下方式获得：
25.获取多组恶意代码，将所述多组恶意代码输入虚拟二次设备运行模型，得到对应的多个运行状态，并根据所述多个运行状态获得多个预设异常状态特征。
26.优选地，所述异常检测单元，还用于：
27.周期性地采集电力系统的二次设备的当前ip地址，并将所述当前ip地址与预设白名单中的ip地址进行对比，若所述当前ip地址存在于所述预设白名单中，则确定二次设备ip地址正常，若所述当前ip地址不存在于所述预设白名单中，则确定二次设备ip地址异常，将所述ip地址异常结果输出给预设终端以反馈给对应用户。
28.本发明实施例的一种电力系统的二次设备的恶意代码检测方法与系统具有以下有益效果：
29.预先根据收集的二次设备常见恶意代码获得二次设备在运行该常见恶意代码时的设备状态特征，将该设备状态特征存储在异常特征数据库中；通过预先训练好的神经网络模型将二次设备的当前状态特征与异常特征数据库中的多个预设异常状态特征进行匹配，若存在匹配的预设异常状态特征，则确定所述当前状态特征所对应的二次设备的当前运行状态异常；能够有效地对电力系统的二次设备的恶意代码进行检测和处理。
30.本发明的实施例的其它特征和优点将在随后的说明书中阐述。
附图说明
31.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
32.图1为本发明实施例中一种电力系统的二次设备的恶意代码检测方法的流程示意图。
33.图2为本发明实施例中一种电力系统的二次设备的恶意代码检测系统的结构示意图。
具体实施方式
34.以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。另外，为了更好的说明本发明，在下文的具体实施例中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本发明同样可以实施。在一些实例中，对于本领域技术人员熟知的手段未作详细描述，以便于凸显本发明的主旨。
35.参阅图1，本发明的一实施例提出一种电力系统的二次设备的恶意代码检测方法，本实施例中所述二次设备主要指的是智能电表，当然也可以将本实施例的方法应用到其他二次设备中，本实施例方法包括如下步骤：
36.步骤s1、周期性地采集电力系统的二次设备的当前运行状态，并提取所述当前运行状态的当前状态特征；
37.步骤s2、将所述当前状态特征输入预先训练好的神经网络模型进行异常检测得到异常检测结果；所述异常检测包括将所述当前状态特征与异常特征数据库中的多个预设异常状态特征进行匹配，若存在匹配的预设异常状态特征，则确定所述当前状态特征所对应的二次设备的当前运行状态异常；所述多个预设异常状态特征为根据恶意代码获得；
38.具体而言，所述匹配的具体方式可以是计算所述当前状态特征与异常特征数据库中的多个预设异常状态特征之间的相似度，若当前状态特征与任一预设异常状态特征之间的相似度大于预设阈值，则确定两者匹配，若不存在与当前状态特征匹配的预设异常状态特征，则确定所述当前状态特征所对应的二次设备的当前运行状态正常；
39.步骤s3、将所述异常检测结果输出给预设终端以反馈给对应用户；
40.具体而言，所述预设终端可以是手机等智能终端，所述用户指的是电力系统二次设备管理的工作人员。
41.本发明实施例方法预先根据收集的二次设备常见恶意代码获得二次设备在运行该常见恶意代码时的设备状态特征，将该设备状态特征存储在异常特征数据库中；通过预先训练好的神经网络模型将二次设备的当前状态特征与异常特征数据库中的多个预设异常状态特征进行匹配，若存在匹配的预设异常状态特征，则确定所述当前状态特征所对应的二次设备的当前运行状态异常；能够有效地对电力系统的二次设备的恶意代码进行检测和处理。
42.在一些实施例中，所述方法还包括：
43.步骤s4、当确定所述当前状态特征所对应的二次设备的当前运行状态异常时，中断所述当前状态特征所对应的二次设备的运行，并启动所述当前状态特征所对应的电力系统的二次设备的备用二次设备。
44.具体而言，本实施例中对每一二次设备设置备用设备，以在主设备出现异常时，启用备用设备。
45.在一些实施例中，所述方法还包括：
46.步骤s5、当确定所述当前状态特征所对应的二次设备的当前运行状态异常时，从方案数据库中获取异常状态对应的修复方案，并根据所述修复方案对所述当前状态特征所对应的二次设备进行自动修复；若修复成功，则记录修复日期和修复设备名称，若修复失败，则发送通知给预设终端以反馈给对应用户。
47.具体而言，本实施例中对应每一种常见恶意代码预先设置好修复方案，修复方案实际为程序代码，二次设备通过运行该程序代码，来自动对其自身进行修复。
48.在一些实施例中，所述多个预设异常状态特征根据以下步骤获得：
49.获取多组恶意代码，将所述多组恶意代码输入虚拟二次设备运行模型，得到对应的多个运行状态，并根据所述多个运行状态获得多个预设异常状态特征。
50.具体而言，本实施例中设计了虚拟二次设备运行模型，能够基于恶意代码进行模拟运行，来得到二次设备运行恶意代码时的运行状态，进一步对该运行状态进行特征提取可以得到对应的预设异常状态特征。
51.在一些实施例中，所述方法还包括：
52.步骤s6、周期性地采集电力系统的二次设备的当前ip地址，并将所述当前ip地址与预设白名单中的ip地址进行对比，若所述当前ip地址存在于所述预设白名单中，则确定二次设备ip地址正常，若所述当前ip地址不存在于所述预设白名单中，则确定二次设备ip地址异常，将所述ip地址异常结果输出给预设终端以反馈给对应用户。
53.具体而言，本实施例中的二次设备为智能电表，智能电表用于采集电力用户的用电数据，正常情况下，每一智能电表的ip地址都是已知确定的，如果发生了变化，就可能存在智能电表被篡改，或者存在采集错误的问题，因此，需要对二次设备的ip地址进行监控，以在ip地址异常时中断所述当前状态特征所对应的二次设备的运行，并及时将所述ip地址异常结果输出给预设终端以反馈给对应用户。
54.参阅图2，本发明的另一实施例还提出一种电力系统的二次设备的恶意代码检测系统，所述系统可以用于实现上述实施例的方法，所述系统包括：
55.状态采集单元1，用于周期性地采集电力系统的二次设备的当前运行状态，并提取所述当前运行状态的当前状态特征；
56.异常检测单元2，用于将所述当前状态特征输入预先训练好的神经网络模型进行异常检测得到异常检测结果；所述异常检测包括将所述当前状态特征与异常特征数据库中的多个预设异常状态特征进行匹配，若存在匹配的预设异常状态特征，则确定所述当前状态特征所对应的二次设备的当前运行状态异常；所述多个预设异常状态特征为根据恶意代码获得；
57.反馈单元3，用于将所述异常检测结果输出给预设终端以反馈给对应用户。
58.在一些实施例中，所述系统还包括：
59.异常处理单元4，用于当确定所述当前状态特征所对应的二次设备的当前运行状态异常时，中断所述当前状态特征所对应的二次设备的运行，并启动所述当前状态特征所对应的电力系统的二次设备的备用二次设备。
60.在一些实施例中，所述异常处理单元4，还用于：
61.当确定所述当前状态特征所对应的二次设备的当前运行状态异常时，从方案数据库中获取异常状态对应的修复方案，并根据所述修复方案对所述当前状态特征所对应的二次设备进行自动修复；若修复成功，则记录修复日期和修复设备名称，若修复失败，则发送通知给预设终端以反馈给对应用户。
62.在一些实施例中，所述多个预设异常状态特征根据以下方式获得：
63.获取多组恶意代码，将所述多组恶意代码输入虚拟二次设备运行模型，得到对应的多个运行状态，并根据所述多个运行状态获得多个预设异常状态特征。
64.在一些实施例中，所述异常检测单元2，还用于：
65.周期性地采集电力系统的二次设备的当前ip地址，并将所述当前ip地址与预设白名单中的ip地址进行对比，若所述当前ip地址存在于所述预设白名单中，则确定二次设备ip地址正常，若所述当前ip地址不存在于所述预设白名单中，则确定二次设备ip地址异常，将所述ip地址异常结果输出给预设终端以反馈给对应用户。
66.以上所描述的系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
67.并且，上述实施例所述系统若以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。
68.以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。