安全防护方法、装置、计算机设备和存储介质与流程

1.本申请实施例涉及安全防护技术领域，特别是涉及一种安全防护方法、装置、计算机设备和存储介质。


背景技术：

2.电力计量系统承担着电网中所有发电厂、变电站、变压器和用户的数据采集、业务监控以及数据应用能功能。在电网系统中起着至关重要的作用。
3.在实际应用中，电力计量系统的终端可能需要与外网设备或者内网设备进行通信，在通信的过中，电力计量系统的终端可能会受到网络攻击。为了保护电力计量系统的安全，对电力计量系统进行攻击检测和响应是很有必要的。


技术实现要素：

4.本申请实施例提供一种安全防护方法、装置、计算机设备和存储介质，可以对电力计量系统进行安全防护。
5.一种安全防护方法，该方法包括：
6.获取入侵报告，并从入侵报告中提取入侵事件；
7.检测入侵事件是否构成入侵攻击链；
8.若入侵事件构成入侵攻击链，则根据入侵攻击链确定防护策略，防护策略为对入侵事件进行防护处理的策略。
9.在其中一个实施例中，获取入侵报告，包括：
10.对接收到的第一数据文件进行解析，获取第一数据文件的文件属性信息，文件属性信息包括标志位、数据包特征和/或各标志位的计数；
11.根据文件属性信息和预设的规则列表确定第一数据文件是否具有入侵风险，规则列表存储有存在入侵风险的文件属性信息及其风险类型；
12.若第一数据文件具有入侵风险，则根据文件属性信息和规则列表生成入侵报告。
13.在其中一个实施例中，获取入侵报告，包括：
14.对电力计量系统的终端进行日志监听；
15.若电力计量系统的终端的日志文件进行了更新，则从电力计量系统的终端获取入侵报告，入侵报告为电力计量系统对接收到的第二数据文件进行入侵检测后，在确定第二数据文件存在入侵风险的情况下生成的。
16.在其中一个实施例中，检测入侵事件是否构成入侵攻击链，包括：
17.对入侵事件进行解析，获取入侵事件的原子公式，原子公式为入侵事件包括的常量、谓词和函数；
18.根据原子公式遍历预先存储的多个攻击链模型，以确定原子公式对应的候选攻击链；
19.检测候选攻击链是否符合攻击条件，若符合，则确定入侵事件构成入侵攻击链。
20.在其中一个实施例中，根据原子公式遍历预先存储的多个攻击链模型，包括：
21.对预设时长内获取到的入侵事件的原子公式进行同类项合并处理，得到候选原子公式；
22.根据候选原子公式遍历预先存储的多个攻击链模型。
23.在其中一个实施例中，根据入侵攻击链确定防护策略，包括：
24.获取入侵攻击链确定入侵事件的攻击类型；
25.根据入侵报告获取入侵事件对应的信源地址；
26.根据攻击类型和信源地址确定防护策略。
27.在其中一个实施例中，根据攻击类型和信源地址确定防护策略，包括：
28.将信源地址放入黑名单，并删除与入侵事件对应的数据文件。
29.一种安全防护装置，该装置包括：
30.获取模块，用于获取入侵报告，并从入侵报告中提取入侵事件；
31.检测模块，用于检测入侵事件是否构成入侵攻击链；
32.防护模块，用于若入侵事件构成入侵攻击链，则根据入侵攻击链确定防护策略，防护策略为对入侵事件进行防护处理的策略。
33.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现以下步骤：
34.获取入侵报告，并从入侵报告中提取入侵事件；
35.检测入侵事件是否构成入侵攻击链；
36.若入侵事件构成入侵攻击链，则根据入侵攻击链确定防护策略，防护策略为对入侵事件进行防护处理的策略。
37.一种存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
38.获取入侵报告，并从入侵报告中提取入侵事件；
39.检测入侵事件是否构成入侵攻击链；
40.若入侵事件构成入侵攻击链，则根据入侵攻击链确定防护策略，防护策略为对入侵事件进行防护处理的策略。
41.本申请实施例提供的安全防护方法、装置、计算机设备和存储介质，可以对电力计量系统进行安全防护。该安全防护方法通过获取入侵报告，并从所述入侵报告中提取入侵事件；检测所述入侵事件是否构成入侵攻击链；若所述入侵事件构成所述入侵攻击链，则根据所述入侵攻击链确定防护策略，所述防护策略为对所述入侵事件进行防护处理的策略。由此可知，本申请提供的安全防护方法通过根据入侵事件构建入侵攻击链的方式提高了确定入侵行为的准确度，且通过构建入侵攻击链可以准确地对入侵行为进行评估，从而为下一步的拦截提供基础。
附图说明
42.图1为一个实施例中安全防护方法的应用环境图；
43.图2为一个实施例中安全防护方法的流程示意图；
44.图3为一个实施例中检测入侵事件是否构成入侵攻击链的方法的流程示意图；
45.图4为一个实施例中根据入侵攻击链确定防护策略的方法的流程示意图；
46.图5为另一个实施例中安全防护方法的流程示意图；
47.图6为一个实施例中对入侵事件继续安全分析的方法的流程示意图；
48.图7为一个实施例中安全防护装置的结构框图；
49.图8为一个实施例中计算机设备的内部结构图。
具体实施方式
50.为了使本申请实施例的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请实施例进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请实施例，并不用于限定本申请实施例。
51.电力计量系统作为智能电网的核心组成之一，承担着遍布全电网所有发电厂、变电站、变压器和用户的数据采集、业务监控、数据应用等重要功能，是一种典型的“电力物联网”。而且，由于电力计量系统的计量终端的泛在性，与智能电网现有的其它各类生产系统相比，电力计量系统的覆盖范围最广，运行环境最恶劣，物理防护最薄弱，因此，容易遭受网络攻击。而且，电力计量系统一旦遭受攻击，一是有可能引起用户计费错误，造成不良社会影响，二是有可能被用作跳板，进一步对智能电网内部的其它电力系统造成不利影响，从而引发电网安全事故。因此，为了保护电力计量系统的安全，对电力计量系统进行攻击检测和响应是很有必要的。
52.然而，在实际应用中，针对电力计量系统的风险监控、态势感知、纵深防御体系等方面的关注还比较匮乏，处于初级阶段。
53.对于多样化和潜在未知的电网攻击场景，传统的静态部署安全策略和针对已有的攻击进行手动搭建安全架构已经不能适应电网中各节点认证和电力计量系统中各类用户的动态安全需求。基于以上分析，本申请提出一种安全防护方法，该方法在智能电网中依据网络速度，协议握手、五元组特征，检测和发现网络中的攻击行为。
54.很多产品在实际使用中，采用手工维护入侵行为攻击链的查找和分析来降低误报率。这种方法存在效率不高，容易出错，且对新出现的入侵行为不能灵活应对并实时响应。因此，传统的攻击检测系统出现的误报率太高，导致很多正常的用户行为和攻击行为之间区分不明确。
55.针对该问题，本申请提供的安全防护方法可以结合网络上下文环境语义来有效区分正常行为和入侵行为，从而降低系统的检测误报率。网络的上下文环境语义通过攻击者能力的形式化定义和对应逻辑系统语义树来构造网络上下文提供判断基础。一系列网络事件的发生通过形式化转换，可以作为求解目标在攻击者能力空间中搜索攻击轨迹的存在性。本申请提供的安全防护方法为了能够将攻击者的攻击行为在能力空间中搜索从而以攻击链的方式找到攻击行为存在的证据，采用了告警事件驱动检测的方法。如果找到攻击迹，就可以区分事件行为是正常还是攻击的性质，从而为下一步的拦截提供基础。
56.为了能够合理的响应检测到攻击事件，需要对攻击者的攻击行为进行评估。找到求解过程中，攻击行为存在的实例化情况，从而根据实例的代入情况对响应的规则进行映射。由于响应的手段，是在五元组、时间、url(英文：uniform resource locator，中文：统一资源定位符)特征的维度上实现拦截阻断的。因此，在攻击迹实例当中找到这些维度的具体
参数值，并把它代入到部署规则对应的位置。通过这种方式生成的映射规则，通过网络实时的部署到相应的安全互联网关当中。
57.下面结合本申请实施例所应用的场景，对本申请实施例涉及的技术方案进行介绍。
58.本申请实施例提供的安全防护方法，可以应用于如图1所示的应用环境中。其中，该应用环境可以包括电力计量系统的服务器101和多个电力计量系统的终端102(图1中仅示例性地示出了1个)，其中，电力计量系统的服务器101可以与电力计量系统的终端102通过有线或者无线的方式进行通信。
59.在一个实施例中，如图2所示，提供了一种安全防护方法，应用于图1中的服务器中，该方法包括以下步骤：
60.步骤201，服务器获取入侵报告，并从入侵报告中提取入侵事件。
61.本申请实施例中，电力计量系统的终端在于外网或者内网中的其他网络设备进行通信时，终端可以接收到其他网络设备发送的数据文件。
62.在一种可选的实现方式中，服务器可以对电力计量系统的终端进行日志监听，若电力计量系统的终端的日志文件进行了更新，则服务器从电力计量系统的终端获取入侵报告。
63.其中，入侵报告为电力计量系统对接收到的第二数据文件进行入侵检测后，在确定第二数据文件存在入侵风险的情况下生成的。
64.终端在接收到第二数据文件之后，可以对第二数据文件进行入侵检测以确定第二数据文件是否存在入侵风险。具体的，终端可以对接收到的第二数据文件进行解析，得到第二数据文件的文件属性信息，其中，文件属性信息包括标志位、数据包特征和/或各标志位的计数。需要说明的是，不同的第二数据文件的文件属性信息包括的内容不同。然后终端可以调取预先存储的规则列表，规则列表中存储有存在入侵风险的文件属性信息以及各存在入侵风险的文件属性信息对应的风险类型，终端可以根据通过规则列表来筛查对第二数据文件解析后得到的文件属性信息，若对第二数据文件解析后得到的文件属性信息与规则列表中的某一文件属性信息一致，则说明该第二数据文件存在入侵风险，且风险类型为该存在入侵风险的文件属性信息对应的风险类型。这种情况下，终端可以在日志文件中写入入侵报告，当日志文件被更新时，日志文件的标志位会发生变化。服务器通过周期性检测日志文件的标志位是否发生变化，当检测到日志文件的标志位发生变化时，说明日志文件被更新，这种情况下服务器可以从电力计量系统的终端获取该入侵报告。
65.在另一种可选的实现方式中，终端在接收到第二数据文件之后，可以不对第二数据文件进行处理，而直接将第二数据文件发送给服务器，服务器接收到的数据文件被称为第一数据文件，由服务器判断第一数据文件是否存在入侵风险，若存在，则生成入侵报告。若不存在入侵风险，则向终端发送第一数据文件正常信息，这样终端可以打开该第一数据文件并执行相应的操作。
66.其中，服务器判断第一数据文件是否存在入侵风险的过程包括：服务器接收到第一数据文件之后，可以对接收到的第一数据文件进行解析，获取第一数据文件的文件属性信息，文件属性信息包括标志位、数据包特征和/或各标志位的计数；然后，服务器根据文件属性信息和预设的规则列表确定第一数据文件是否具有入侵风险，规则列表存储有存在入
侵风险的文件属性信息及其风险类型；若第一数据文件具有入侵风险，则根据文件属性信息和规则列表生成入侵报告。
67.可选的，服务器根据文件属性信息和规则列表生成入侵报告的过程包括：根据文件属性信息确定第一数据文件中的数据对象、常量、谓词和函数。根据规则列表确定文件属性信息对应的风险类型。根据第一数据文件中的数据对象、常量、谓词和函数以及文件属性信息对应的风险类型生成入侵报告。
68.步骤202，服务器检测入侵事件是否构成入侵攻击链。
69.入侵攻击链是指由至少一个入侵事件组成的一系列攻击动作的集合。在实际应用中，单个的攻击动作往往不会对电力计量系统构成威胁，而多个攻击动作配合则会对电力计量系统构成威胁。本申请中，检测入侵事件是否构成入侵攻击链即确定入侵事件是否会对电力计量系统构成威胁。
70.在一个实施例中，如图3所示，服务器检测入侵事件是否构成入侵攻击链的过程可以包括以下内容：
71.步骤301，服务器对入侵事件进行解析，获取入侵事件的原子公式。
72.其中，原子公式为入侵事件包括的常量、谓词和函数。
73.本申请实施例中，服务器对入侵事件进行解析的过程包括以下内容：对入侵事件的文本内容进行语义识别，获取入侵事件的文本内容中的常量、谓词以及函数等原子公式，其中原子公式为入侵事件的文本内容中的最小语义单元。
74.步骤302，服务器根据原子公式遍历预先存储的多个攻击链模型，以确定原子公式对应的候选攻击链。
75.本申请实施例中，服务器可以预先存储多个攻击链模型，每个攻击链模型中包含有至少一个原子公式。
76.服务器可以根据已经获取的原子公式与预先存储的多个攻击链模型进行匹配，将匹配上的原子公式攻击链模型确定为候选攻击链。
77.其中，候选攻击链模型中包括的所有原子公式与服务器获取的原子公式相同。
78.需要说明的是，本申请实施例中，服务器可以在预设时长内获取多个入侵报告，每个入侵报告可以对应一个或者多个入侵事件，服务器可以对预设时长内的所有入侵事件进行解析，以获取所有入侵事件的原子公式。
79.然后，服务器可以遍历所有的攻击链模型，确定包含的原子公式为入侵事件的原子公式中的部分或者全部的攻击链模型为候选攻击链。
80.在一种可选的实现方式中，多个原子公式中可能会出现相同的原子公式，这种情况下，服务器根据原子公式遍历预先存储的多个攻击链模型的过程包括：
81.对预设时长内获取到的所述入侵事件的所述原子公式进行同类项合并处理，得到候选原子公式；根据候选原子公式遍历预先存储的多个攻击链模型。
82.同类项合并是指将若出现多个相同的原子公式，则将该多个原子公式合并为一个原子公式，所谓合并可以理解为将该多个原子公式剔除，只保留一个。也可以理解为从该多个原子公式中任选一个原子公式。合并之后的原子公式称为候选原子公式。本申请实施例中，服务器可以根据候选原子公式遍历预先存储的多个攻击链模型，其中遍历的过程可以参考前述内容。
83.步骤303，服务器检测候选攻击链是否符合攻击条件，若符合，则确定入侵事件构成入侵攻击链。
84.本申请实施例中红，服务器可以检测候选攻击链的末端是否指向攻击，若指向攻击，则符合攻击条件。若不指向攻击，则不符合攻击条件。
85.在符合攻击条件的情况下，服务器可以确定入侵事件构成入侵攻击链。
86.步骤203，若入侵事件构成入侵攻击链，则服务器根据入侵攻击链确定防护策略。
87.其中，防护策略为对入侵事件进行防护处理的策略。
88.可选的，本申请实施例中，如图4所示，服务器根据入侵攻击链确定防护策略的过程可以包括以下内容：
89.步骤401，服务器获取入侵攻击链确定入侵事件的攻击类型。
90.本申请实施例中，服务器可以根据入侵事件确定入侵攻击链中的原子公式，从原子公式中确定入侵事件的攻击类型。
91.其中，攻击类型可以例如是侦听攻击、篡改攻击、伪造攻击、拒绝服务攻击等。例如，入侵事件的原子公式包括scan(x)则表示该入侵事件的攻击类型为侦听攻击。例如入侵事件的原子公式包括upload(x)则表示该入侵事件的攻击类型为篡改。
92.步骤402，服务器根据入侵报告获取入侵事件对应的信源地址。
93.本申请实施例中，入侵报告中携带有该入侵报告对应的数据文件的源ip和目标ip，其中，源ip即为发送该数据文件的设备的地址，即为信源地址。
94.步骤403，服务器根据入侵类型和信源地址确定防护策略。
95.本申请实施例中，服务器可以将信源地址放入黑名单，并删除与入侵事件对应的数据文件。
96.可选的，服务器可以向电力计量系统的终端发送防护指令，电力计量系统的终端在接收到防护指令之后，可以将信源地址放入黑名单，并删除与入侵事件对应的数据文件。
97.本申请实施例提供的安全防护方法通过获取入侵报告，并从所述入侵报告中提取入侵事件；检测所述入侵事件是否构成入侵攻击链；若所述入侵事件构成所述入侵攻击链，则根据所述入侵攻击链确定防护策略，所述防护策略为对所述入侵事件进行防护处理的策略。由此可知，本申请提供的安全防护方法通过根据入侵事件构建入侵攻击链的方式提高了确定入侵行为的准确度，且通过构建入侵攻击链可以准确地对入侵行为进行评估，从而为下一步的拦截提供基础。
98.下面结合具体的算法对本申请技术方案进行说明：
99.如图5所示，图5示出了本申请实施例中进行安全防护的方法的示意图，其包括以下步骤：
100.步骤501，入侵事件记录存储。
101.下面对攻击设备的攻击过程进行简要说明：
102.攻击设备会对靶机进行扫描，以查看靶机的开放端口。其中靶机即本申请中的电力计量系统的终端或者电力计量系统的服务器。
103.攻击设备可以对靶机开放的端口进行暴力破解，并上传病毒木马。进一步的，攻击设备可以使用连接软件对木马进行远程连接，通过一系列的入侵操作，攻击设备可以电力计量系统的终端或者电力计量系统的漏洞，并利用漏洞成功连接到终端或者服务器，并发
送网络入侵。
104.电力计量系统的终端或者电力计量系统的福气可以对接收到的数据包(数据文件)的实时分析，以确定是否发生入侵事件。若发生，则记录并存储入侵事件以及入侵事件对应的数据包。其中，电力计量系统的终端或者电力计量系统的服务器可以采用检测规则脚本对接收到的文件进行入侵检测，以确定接收到的文件是否为入侵文件。
105.其中，检测规则脚本信息可以如下：
106.alert tcp$external_net any
‑
>$home_net any(msg:"et scan nmap
‑
ss window 1024"；fragbits:！d；dsize:0；flags:s,12；ack:0；window:1024；threshold:type both,track by_dst,count 1,seconds 60；reference:url,doc.emergingthreats.net/2009582；classtype:attempted
‑
recon；sid:2009582；rev:3；metadata:created_at 2010_07_30,updated_at 2010_07_30；)
107.alert tcp any any
‑
>any any(msg:"dvwa
‑
brute漏洞攻击"；
108.flow:to_server,established；uricontent:"dvwa
‑
master/vulnerabilities/brute"；fast_pattern:only；uricontent:"username＝"；pcre:"/username[\s＝]+？.+？password[\s＝]\w+？/iu"；metadata:service http；sid:7；rev:1；)
[0109]
alert http any any
‑
>any any(msg:"et web_server php tags in http post"；flow:established,to_server；content:"post"；nocase；http_method；content:"<？php"；nocase；http_client_body；fast_pattern；reference:url,isc.sans.edu/diary.html？storyid＝9478；sid:2011768；rev:7；metadata:created_at 2010_09_28,updated_at 2019_10_07；)
[0110]
alert http any any
‑
>any any(msg:"sc antsword webshell"；flow:to_server,established；content:"antsword"；nocase；http_user_agent；con tent:"post"；nocase；http_method；classtype:trojan
‑
activity；rev:1；sid:7000360；)
[0111]
步骤502，生成待验证的目标公式。
[0112]
服务器在监听到存在入侵事件时，对入侵事件进行分析，得到原子公式，对原子公式进行组合，得到多种目标公式。
[0113]
步骤503，判断目标公式是否满足攻击条件。
[0114]
对于多种目标公式，进行逐一判断，以确定目标公式是否满足攻击条件。
[0115]
在一些情况下，入侵事件可能并不会电力计量系统造成安全威胁，而在另一些情况下，入侵事件会对电力计量系统造成安全威胁，因此，需要对入侵事件进行分析以确定是否威胁电力计量系统的安全。
[0116]
如图6所示，图6示出了本申请实施例提供的一种对入侵事件继续安全分析的方法的示意图。该对入侵事件进行安全分析的方法包括：
[0117]
步骤601，解析入侵事件得到原子公式。
[0118]
原子公式包括常量、谓词、函数，例如：attack、virus、exe。谓词包括了：upload/1、file/1、sqlinjext/1、chmod/2、extprogram/1。变量包括了：x。
[0119]
步骤602，对得到的原子公式进行简约。
[0120]
即将量词和蕴含符号从中消减。
[0121]
步骤603，构建二叉语义树。
[0122]
其中，构建二叉语义树的过程包括：s1将正在构建的二叉语义树的深度d设置为0，s2对深度d的二叉语义树进行深度优先构造，s3如果发现深度d以下的所有节点都是失败节点，则构造完成，算法终止。s4如果发现深度d处的节点m不是失败节点时，将d1增加，从子句所有的实例解释中选择一些原子，然后用这个原子或其否定值标记深度d处的所有分支。
[0123]
其中，构建的二叉语义树如下，本申请实施例中，该些二叉语义树即预先存储的攻击链模型。
[0124][0125][0126][0127]
其中，括号中的x/p为变量，scan/server/upload/port等为原子公式
[0128]
入侵者在主机上的入侵能力定义：
[0129][0130][0131]
upload(virus)&chmod(virus,exe)
→
attack
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(6)
[0132]
～upload(x)|file(x)
[0133]
～sqlinject(x)|chmod(x,exe)
[0134]
～chmod(x,exe)|～file(x)|extprogram(x)
[0135]
～extprogram(x)|attack
[0136]
upload(virus)
[0137]
chmod(virus,exe)
[0138]
～attack
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(6)
[0139]
～upload(virus)|file(virus)
[0140]
～sqlinject(virus)|chmod(virus,exe)
[0141][0142]
upload(virus)
[0143]
chmod(virus,exe)
[0144]
～upload(virus)|file(virus)
[0145]
～sqlinject(virus)|chmod(virus,exe)
[0146][0147]
upload(virus)
[0148]
chmod(virus,exe)
[0149]
步骤604，检测二叉语义树的深度是否超过允许的最大深度。
[0150]
若超过，则空间搜索证明过程失败，抛出异常。
[0151]
步骤605，若未超过，则判断所有子节点是否为null。
[0152]
若所有子节点为null，则证明成功，即该目标公式满足攻击条件。
[0153]
步骤504，若目标公式满足攻击条件则确定攻击来源及类型。
[0154]
最后，查看原子公式代入情况，可以得出x代换为virus，那么可以分析出，攻击类型为virus文件病毒类型。
[0155]
步骤505，确定响应策略并部署。
[0156]
通过映射算法，将查杀virus文件的响应指令部署到主机防护系统上，进行病毒查杀隔离。并对上传文件的服务进行细粒度检测阻断，停止上传
virus
关键字的文件服务。这样就可以将攻击者后续的其他未知攻击行为被阻断，不能够成功的进行后续的入侵操作。
[0157]
应该理解的是，虽然图2
‑
图6的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2
‑
图6中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0158]
在一个实施例中，如图7所示，提供了一种安全防护装置700，包括：获取模块701、检测模块702和防护模块703，其中：
[0159]
获取模块701，用于获取入侵报告，并从入侵报告中提取入侵事件；
[0160]
检测模块702，用于检测入侵事件是否构成入侵攻击链；
[0161]
防护模块703，用于若入侵事件构成入侵攻击链，则根据入侵攻击链确定防护策略，防护策略为对入侵事件进行防护处理的策略。
[0162]
在其中一个实施例中，获取模块701具体用于：
[0163]
对接收到的第一数据文件进行解析，获取第一数据文件的文件属性信息，文件属性信息包括标志位、数据包特征和/或各标志位的计数；
[0164]
根据文件属性信息和预设的规则列表确定第一数据文件是否具有入侵风险，规则列表存储有存在入侵风险的文件属性信息及其风险类型；
[0165]
若第一数据文件具有入侵风险，则根据文件属性信息和规则列表生成入侵报告。
[0166]
在其中一个实施例中，获取模块701具体用于：
[0167]
对电力计量系统的终端进行日志监听；
[0168]
若电力计量系统的终端的日志文件进行了更新，则从电力计量系统的终端获取入侵报告，入侵报告为电力计量系统对接收到的第二数据文件进行入侵检测后，在确定第二数据文件存在入侵风险的情况下生成的。
[0169]
在其中一个实施例中，检测模块702具体用于：
[0170]
对入侵事件进行解析，获取入侵事件的原子公式，原子公式为入侵事件包括的常量、谓词和函数；
[0171]
根据原子公式遍历预先存储的多个攻击链模型，以确定原子公式对应的候选攻击链；
[0172]
检测候选攻击链是否符合攻击条件，若符合，则确定入侵事件构成入侵攻击链。
[0173]
在其中一个实施例中，检测模块702具体用于：
[0174]
对预设时长内获取到的入侵事件的原子公式进行同类项合并处理，得到候选原子公式；
[0175]
根据候选原子公式遍历预先存储的多个攻击链模型。
[0176]
在其中一个实施例中，防护模块703具体用于：
[0177]
获取入侵攻击链确定入侵事件的攻击类型；
[0178]
根据入侵报告获取入侵事件对应的信源地址；
[0179]
根据攻击类型和信源地址确定防护策略。
[0180]
在其中一个实施例中，防护模块703具体用于：
[0181]
将信源地址放入黑名单，并删除与入侵事件对应的数据文件。
[0182]
关于安全防护装置的具体限定可以参见上文中对于安全防护方法的限定，在此不再赘述。上述安全防护装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以以硬件形式内嵌于或独立于共享车辆中的处理器中，也可以以软件形式存储于共享车辆中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0183]
在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图8所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储8数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种安全防护方法。
[0184]
本领域技术人员可以理解，图8中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0185]
在一个实施例中，提供了一种计算机设备，包括存储器和处理器，该存储器存储有计算机程序，该计算机程序被该处理器执行时实现：
[0186]
获取入侵报告，并从入侵报告中提取入侵事件；
[0187]
检测入侵事件是否构成入侵攻击链；
[0188]
若入侵事件构成入侵攻击链，则根据入侵攻击链确定防护策略，防护策略为对入侵事件进行防护处理的策略。
[0189]
在一个实施例中，该计算机程序被该处理器执行时还可以实现：
[0190]
对接收到的第一数据文件进行解析，获取第一数据文件的文件属性信息，文件属性信息包括标志位、数据包特征和/或各标志位的计数；
[0191]
根据文件属性信息和预设的规则列表确定第一数据文件是否具有入侵风险，规则列表存储有存在入侵风险的文件属性信息及其风险类型；
[0192]
若第一数据文件具有入侵风险，则根据文件属性信息和规则列表生成入侵报告。
[0193]
在一个实施例中，该计算机程序被该处理器执行时还可以实现：
[0194]
对电力计量系统的终端进行日志监听；
[0195]
若电力计量系统的终端的日志文件进行了更新，则从电力计量系统的终端获取入侵报告，入侵报告为电力计量系统对接收到的第二数据文件进行入侵检测后，在确定第二数据文件存在入侵风险的情况下生成的。
[0196]
在一个实施例中，该计算机程序被该处理器执行时还可以实现：
[0197]
对入侵事件进行解析，获取入侵事件的原子公式，原子公式为入侵事件包括的常量、谓词和函数；
[0198]
根据原子公式遍历预先存储的多个攻击链模型，以确定原子公式对应的候选攻击链；
[0199]
检测候选攻击链是否符合攻击条件，若符合，则确定入侵事件构成入侵攻击链。
[0200]
在一个实施例中，该计算机程序被该处理器执行时还可以实现：
[0201]
对预设时长内获取到的入侵事件的原子公式进行同类项合并处理，得到候选原子公式；
[0202]
根据候选原子公式遍历预先存储的多个攻击链模型。
[0203]
在一个实施例中，该计算机程序被该处理器执行时还可以实现：
[0204]
获取入侵攻击链确定入侵事件的攻击类型；
[0205]
根据入侵报告获取入侵事件对应的信源地址；
[0206]
根据攻击类型和信源地址确定防护策略。
[0207]
在一个实施例中，该计算机程序被该处理器执行时还可以实现：
[0208]
将信源地址放入黑名单，并删除与入侵事件对应的数据文件。
[0209]
本申请实施例提供的计算机设备，其实现原理和技术效果与上述方法实施例类似，在此不再赘述。
[0210]
在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
[0211]
获取入侵报告，并从入侵报告中提取入侵事件；
[0212]
检测入侵事件是否构成入侵攻击链；
[0213]
若入侵事件构成入侵攻击链，则根据入侵攻击链确定防护策略，防护策略为对入侵事件进行防护处理的策略。
[0214]
在一个实施例中，该计算机程序被处理器执行时还可以实现以下步骤：
[0215]
对接收到的第一数据文件进行解析，获取第一数据文件的文件属性信息，文件属性信息包括标志位、数据包特征和/或各标志位的计数；
[0216]
根据文件属性信息和预设的规则列表确定第一数据文件是否具有入侵风险，规则列表存储有存在入侵风险的文件属性信息及其风险类型；
[0217]
若第一数据文件具有入侵风险，则根据文件属性信息和规则列表生成入侵报告。
[0218]
在一个实施例中，该计算机程序被处理器执行时还可以实现以下步骤：
[0219]
对电力计量系统的终端进行日志监听；
[0220]
若电力计量系统的终端的日志文件进行了更新，则从电力计量系统的终端获取入侵报告，入侵报告为电力计量系统对接收到的第二数据文件进行入侵检测后，在确定第二数据文件存在入侵风险的情况下生成的。
[0221]
在一个实施例中，该计算机程序被处理器执行时还可以实现以下步骤：
[0222]
对入侵事件进行解析，获取入侵事件的原子公式，原子公式为入侵事件包括的常量、谓词和函数；
[0223]
根据原子公式遍历预先存储的多个攻击链模型，以确定原子公式对应的候选攻击链；
[0224]
检测候选攻击链是否符合攻击条件，若符合，则确定入侵事件构成入侵攻击链。
[0225]
在一个实施例中，该计算机程序被处理器执行时还可以实现以下步骤：
[0226]
对预设时长内获取到的入侵事件的原子公式进行同类项合并处理，得到候选原子公式；
[0227]
根据候选原子公式遍历预先存储的多个攻击链模型。
[0228]
在一个实施例中，该计算机程序被处理器执行时还可以实现以下步骤：
[0229]
获取入侵攻击链确定入侵事件的攻击类型；
[0230]
根据入侵报告获取入侵事件对应的信源地址；
[0231]
根据攻击类型和信源地址确定防护策略。
[0232]
在一个实施例中，该计算机程序被处理器执行时还可以实现以下步骤：
[0233]
将信源地址放入黑名单，并删除与入侵事件对应的数据文件。
[0234]
本实施例提供的计算机可读存储介质，其实现原理和技术效果与上述方法实施例类似，在此不再赘述。
[0235]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请实施例所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read
‑
only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
[0236]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0237]
以上所述实施例仅表达了本申请实施例的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请实施例构思的前提下，还可以做出若干变形和改进，这些都属于本申请实施例的保护范围。因此，本申请实施例专利的保护范围应以所附权利要求为准。