一种电力监控系统的病毒防护告警方法及系统与流程

1.本发明涉及电力系统自动化技术领域，特别是涉及一种电力监控系统的病毒防护告警方法及系统。


背景技术：

2.目前，在变电站电力监控系统运行的过程中，时常受到网络安全威胁，比如：病毒、高风险漏洞等，由于缺乏对变电站电力监控系统进行主动安全检测的手段，导致变电站电力监控系统的安全性较低。
3.现有电力监控系统病毒防护告警方法大多采用杀毒软件进行防护和告警，但由于电力监控系统一般与外网隔绝，杀毒软件更新较慢，无法针对新病毒或新木马进行防护告警。


技术实现要素：

4.本发明的目的在于，提出一种电力监控系统的病毒防护告警方法及系统，解决现有方法无法针对新病毒或新木马进行防护告警的技术问题。
5.一方面，提供一种电力监控系统的病毒防护告警方法，包括：
6.获取电力监控系统中的所有可执行应用程序信息；
7.根据预设的指纹解析规则对所有可执行应用程序信息进行逐一指纹解析，得到程序指纹数据，并将所述程序指纹数据与预设的白名单指纹数据进行逐一查找验证，得到验证结果，其中，所述验证结果至少包括验证成功或验证不成功；
8.当验证结果为验证不成功时，判断对应的可执行应用程序判定为未知程序；并从所述程序指纹数据中调取所述未知程序对应的指纹数据；
9.获取最新的安全软件名单，并将最新的安全软件名单与所述未知程序对应的指纹数据进行比对判断所述未知程序是否为未注册安全软件；若所述未知程序不是未注册安全软件，则判定所述位置程序为危险程序；
10.通过预设的沙箱对所述危险程序进行运行，根据运行结果与预设的危险等级进行匹配，并根据匹配结果进行相应的告警。
11.优选地，所述程序指纹数据至少包括文件名、散列值、公司名、产品名、产品版本、是否经过指定公司签名、签名公司、文件类型、软件名称。
12.优选地，所述得到验证结果具体包括：
13.当所述程序指纹数据与所述白名单指纹数据中的各项完全一致时，判定验证结果为验证成功；
14.当所述程序指纹数据与所述白名单指纹数据中的有任一项不一致时，判定验证结果为验证不成功。
15.优选地，所述判断所述未知程序是否为未注册安全软件具体包括：
16.将所述未知程序对应的指纹数据中的信息与最新的安全软件名单中的程序进行
逐一比对；
17.若两者信息完全一致，则判定两者为同一程序，确定所述未知程序是未注册安全软件；
18.若两者信息有其中一项不一致，则判定两者不为同一程序，确定所述未知程序不是未注册安全软件。
19.优选地，还包括：
20.若所述未知程序是未注册安全软件，则对白名单数据进行更新；并将所述程序指纹数据与更新后的白名单指纹数据进行重新验证。
21.优选地，所述根据运行结果与预设的危险分级进行匹配具体包括：
22.通过预先训练的行为判定模型对所述运行结果进行判定；
23.若判定该危险程序仅在服务器中进行传播，且不对系统造成任何不良影响，或造成微弱影响，则判定该危险程序危机级别为一级；
24.若判定该危险程序仅在局域网范围或子网段传播或者在单机上混合多种平台传播，对系统造成不稳定因素，导致其他程序工作异常，以及部分耗用网络资源，则判定该危险程序危机级别为二级；
25.若判定该危险程序具备有限internet传播能力，会造成系统软件崩溃，或者大量耗用网络资源，则判定该危险程序危机级别为三级；
26.若判定该危险程序病毒具备主动传播、攻击能力，或者具备两种预设的弱传播方式的蠕虫病毒，会造成数据丢失，或者堵塞网络，则判定该危险程序危机级别为四级；
27.若判定该危险程序具备三种以上预设的中传播能力或者两种预设的强传播能力的蠕虫，会造成大面积数据丢失，或者阻断网络通信，则判定该危险程序危机级别为五级。
28.优选地，所述根据匹配结果进行相应的告警具体包括：
29.当所述危险程序危机级别为一级时，发出蓝色告警信息；
30.当所述危险程序危机级别为二级时，发出绿色告警信息；
31.当所述危险程序危机级别为三级时，发出黄色告警信息；
32.当所述危险程序危机级别为四级时，发出橙色告警信息；
33.当所述危险程序危机级别为五级时，发出红色告警信息。
34.优选地，所述行为判定模型通过以下步骤进行训练：
35.获取多种带有不同危机级别的可执行病毒程序和正常安全程序；
36.对不同危机级别的可执行病毒程序和正常安全程序进行标注，并将其作为样本集；
37.将所述样本集按照预设比例划分为训练集和测试集；并将所述训练集作为输入数据输入预设的人工神经网络中进行样本训练，得到行为判定模型；
38.利用所述测试集对行为判定模型进行测试，若准确率达到预设的阈值，则输出最终的行为判定模型，否则，进行重采样并进行训练，直到准确率达到预设的阈值为止。
39.另一方面，还提供一种电力监控系统的病毒防护告警系统，用以实现所述的电力监控系统的病毒防护告警方法，包括：
40.数据采集模块，用以获取电力监控系统中的所有可执行应用程序信息；
41.白名单检测模块，用以根据预设的指纹解析规则对所有可执行应用程序信息进行
逐一指纹解析，得到程序指纹数据，并将所述程序指纹数据与预设的白名单指纹数据进行逐一查找验证，得到验证结果，其中，所述验证结果至少包括验证成功或验证不成功；当验证结果为验证不成功时，判断对应的可执行应用程序判定为未知程序；并从所述程序指纹数据中调取所述未知程序对应的指纹数据；
42.管理服务器，用以获取最新的安全软件名单，并将最新的安全软件名单与所述未知程序对应的指纹数据进行比对判断所述未知程序是否为未注册安全软件；若所述未知程序不是未注册安全软件，则判定所述位置程序为危险程序；以及，用以通过预设的沙箱对所述危险程序进行运行，根据运行结果与预设的危险等级进行匹配，并根据匹配结果进行相应的告警。
43.优选地，所述管理服务器还用于管理来源于可信软件厂商的可执行程序，并对其进行安全注册，生成安全软件名单。
44.综上，实施本发明的实施例，具有如下的有益效果：
45.本发明提供的电力监控系统的病毒防护告警方法及系统，基于白名单进行网络安全防护，即通过电力监控系统上执行程序进行指纹验证，确保只有在白名单中注册的软件版本(即可信软件)才能执行，未经注册的软件(即不可信软件)不可执行，使电力监控系统免受恶意代码及病毒的威胁，弥补杀毒软件等常见方案无法查杀新病毒新木马的缺陷；并采用沙箱技术对未注册应用进行安全测试分析，并根据其进行危险等级分级和告警，从而有有利于实现对新病毒新木马的主动探测和分级，进而有利于安全技术人员进行针对性的快速安全处理。
附图说明
46.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，根据这些附图获得其他的附图仍属于本发明的范畴。
47.图1为本发明实施例中一种电力监控系统的病毒防护告警方法的主流程示意图。
48.图2为本发明实施例中一种电力监控系统的病毒防护告警系统的示意图。
具体实施方式
49.为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述。
50.如图1所示，为本发明提供的一种电力监控系统的病毒防护告警方法的一个实施例的示意图。在该实施例中，所述方法包括以下步骤：
51.获取电力监控系统中的所有可执行应用程序信息。
52.进一步的，根据预设的指纹解析规则对所有可执行应用程序信息进行逐一指纹解析，得到程序指纹数据，并将所述程序指纹数据与预设的白名单指纹数据进行逐一查找验证，得到验证结果，其中，所述验证结果至少包括验证成功或验证不成功；也就是，对所有可执行应用程序进行逐一指纹解析得到程序指纹数据，并将其与白名单数据库中的白名单指纹数据进行逐一查找验证。
53.具体实施例中，当所述程序指纹数据与所述白名单指纹数据中的各项完全一致时，判定验证结果为验证成功；当所述程序指纹数据与所述白名单指纹数据中的有任一项不一致时，判定验证结果为验证不成功，也就是，查找验证成功需满足程序指纹数据与白名单指纹数据中的各项完全一致。具体地，所述程序指纹数据至少包括文件名、散列值、公司名、产品名、产品版本、是否经过指定公司签名、签名公司、文件类型、软件名称。
54.进一步的，当验证结果为验证不成功时，判断对应的可执行应用程序判定为未知程序；并从所述程序指纹数据中调取所述未知程序对应的指纹数据；也就是，若上述验证成功，则判断其对应的可执行应用程序为安全，并允许使用，反之，则判断其对应的可执行应用程序为未知程序。
55.进一步的，获取最新的安全软件名单，并将最新的安全软件名单与所述未知程序对应的指纹数据进行比对判断所述未知程序是否为未注册安全软件；若所述未知程序不是未注册安全软件，则判定所述位置程序为危险程序；也就是，获取未知程的对应指纹数据，并将其上传至管理服务器进行查询，判断其是否为未注册安全软件，若是，则进行白名单数据库数据更新，并进行重检测，反之，判断其为危险程序。
56.具体实施例中，判断所述未知程序是否为未注册安全软件具体包括：将所述未知程序对应的指纹数据中的信息与最新的安全软件名单中的程序进行逐一比对；若两者信息完全一致，则判定两者为同一程序，确定所述未知程序是未注册安全软件；若两者信息有其中一项不一致，则判定两者不为同一程序，确定所述未知程序不是未注册安全软件。具体地，若所述未知程序是未注册安全软件，则对白名单数据进行更新；并将所述程序指纹数据与更新后的白名单指纹数据进行重新验证。
57.进一步的，通过预设的沙箱对所述危险程序进行运行，根据运行结果与预设的危险等级进行匹配，并根据匹配结果进行相应的告警。也就是，通过沙箱模块对步骤四危险程序进行运行变化分析，并根据分析进行危险分级和告警；还根据危险分级和告警进行病毒库更新及相应的安全维护处理。具体的，该沙箱又叫沙盘，即是一个虚拟系统程序，允许你在沙盘环境中运行浏览器或其他程序，因此运行所产生的变化可以随后删除，它创造了一个类似沙盒的独立作业环境，在其内部运行的程序并不能对硬盘产生永久性的影响，在网络安全中，沙箱指在隔离环境中，用以测试不受信任的文件或应用程序等行为的工具。
58.具体实施例中，沙箱分析及危险分级和告警的具体过程：首先，获取危险程序，并将其置于沙箱中进行运行分析；然后，通过危险分级模块中的内置行为判定模型进行危险等级划分和告警，具体如下：
59.通过预先训练的行为判定模型对所述运行结果进行判定；若判定该危险程序仅在服务器中进行传播，且不对系统造成任何不良影响，或造成微弱影响，则判定该危险程序危机级别为一级；若判定该危险程序仅在局域网范围或子网段传播或者在单机上混合多种平台传播，对系统造成不稳定因素，导致其他程序工作异常，以及部分耗用网络资源，则判定该危险程序危机级别为二级；若判定该危险程序具备有限internet传播能力，会造成系统软件崩溃，或者大量耗用网络资源，则判定该危险程序危机级别为三级；若判定该危险程序病毒具备主动传播、攻击能力，或者具备两种预设的弱传播方式的蠕虫病毒，会造成数据丢失，或者堵塞网络，则判定该危险程序危机级别为四级；若判定该危险程序具备三种以上预设的中传播能力或者两种预设的强传播能力的蠕虫，会造成大面积数据丢失，或者阻断网
络通信，则判定该危险程序危机级别为五级。具体地，当所述危险程序危机级别为一级时，发出蓝色告警信息；当所述危险程序危机级别为二级时，发出绿色告警信息；当所述危险程序危机级别为三级时，发出黄色告警信息；当所述危险程序危机级别为四级时，发出橙色告警信息；当所述危险程序危机级别为五级时，发出红色告警信息。
60.再具体地，行为判定模型通过以下步骤进行训练：获取多种带有不同危机级别的可执行病毒程序和正常安全程序；对不同危机级别的可执行病毒程序和正常安全程序进行标注，并将其作为样本集；将所述样本集按照预设比例划分为训练集和测试集；并将所述训练集作为输入数据输入预设的人工神经网络中进行样本训练，得到行为判定模型；利用所述测试集对行为判定模型进行测试，若准确率达到预设的阈值，则输出最终的行为判定模型，否则，进行重采样并进行训练，直到准确率达到预设的阈值为止。也就是，首先，获取大量带有一级、二级、三级、四级和五级的可执行病毒程序和正常安全程序；然后，对一级、二级、三级、四级和五级的可执行病毒程序和正常安全程序进行人为标注，并将其作为样本集；接着将样本集划分为70％的训练集和30％的测试集；之后构建人工神经网络，并将70％的训练集作为输入数据输入进行人工神经网络中进行样本训练，即得到行为判定模型；最后利用30％的测试集对行为判定模型进行测试，若准确率达到95％，则输出该模型，否则，进行重采样。
61.如图2所示，为本发明提供的一种电力监控系统的病毒防护告警系统的一个实施例的示意图。在该实施例中，所述系统用以实现所述电力监控系统的病毒防护告警方法，包括：
62.数据采集模块，用以获取电力监控系统中的所有可执行应用程序信息；
63.白名单检测模块，用以根据预设的指纹解析规则对所有可执行应用程序信息进行逐一指纹解析，得到程序指纹数据，并将所述程序指纹数据与预设的白名单指纹数据进行逐一查找验证，得到验证结果，其中，所述验证结果至少包括验证成功或验证不成功；当验证结果为验证不成功时，判断对应的可执行应用程序判定为未知程序；并从所述程序指纹数据中调取所述未知程序对应的指纹数据；
64.管理服务器，用以获取最新的安全软件名单，并将最新的安全软件名单与所述未知程序对应的指纹数据进行比对判断所述未知程序是否为未注册安全软件；若所述未知程序不是未注册安全软件，则判定所述位置程序为危险程序；以及，用以通过预设的沙箱对所述危险程序进行运行，根据运行结果与预设的危险等级进行匹配，并根据匹配结果进行相应的告警。
65.具体地，所述管理服务器还用于管理来源于可信软件厂商的可执行程序，并对其进行安全注册，生成安全软件名单。
66.需说明的是，上述实施例所述系统与上述实施例所述方法对应，因此，上述实施例所述系统未详述部分可以参阅上述实施例所述方法的内容得到，此处不再赘述。
67.综上，实施本发明的实施例，具有如下的有益效果：
68.本发明提供的电力监控系统的病毒防护告警方法及系统，基于白名单进行网络安全防护，即通过电力监控系统上执行程序进行指纹验证，确保只有在白名单中注册的软件版本(即可信软件)才能执行，未经注册的软件(即不可信软件)不可执行，使电力监控系统免受恶意代码及病毒的威胁，弥补杀毒软件等常见方案无法查杀新病毒新木马的缺陷；并
采用沙箱技术对未注册应用进行安全测试分析，并根据其进行危险等级分级和告警，从而有有利于实现对新病毒新木马的主动探测和分级，进而有利于安全技术人员进行针对性的快速安全处理。
69.以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。