一种基于自培养的电力工控网络恶意代码防护系统技术方案

一种基于自培养的电力工控网络恶意代码防护系统，该系统包括恶意代码管控引擎、恶意代码库、培养室、自培养算法模型和电力工控网络用户端；电力工控网络用户端包括通知接收模块、流量分析模块、查杀模块和查询统计模块；本发明专利技术的优点是：能在与互联网物理隔离的电力工控网络环境中，通过系统对一定时期的流量进行机器学习，掌握区分正常文件和病毒、木马、蠕虫等恶意代码的规则，从而由系统自动完成新出现的恶意代码的识别、更新，然后联动用户端计算机进行查杀，从而解决在完全物理隔离的工控网络中，恶意代码防护系统病毒库、特征库难以更新的问题。

【技术实现步骤摘要】
一种基于自培养的电力工控网络恶意代码防护系统
本专利技术属于网络安全
，具体涉及一种基于自培养的电力工控网络恶意代码防护系统。
技术介绍
随着大规模、有组织的网络攻击行为越来越普遍，关系国民经济命脉的电力基础设施的工控网络成为网络攻击者攻击的目标，而病毒、木马、蠕虫等恶意代码成为了攻击者获取攻击目标信息、突破攻击目标安全防护、制造远控后门的主要手段。电力工控网络是火电厂、水电站、风电场、光伏电站等发电厂部署的各类生产、管理信息系统实现数据采集、数据传输、命令下发、信号报警等各项功能的网络，是发电厂能够正常生产运行的基础设施。为了保证电厂工控网络不受到来自互联网的网络攻击，电力工控系统通常采用与互联网之间没有任何物理线路通道的物理隔离方式，同时，为了保证电力工控网络中的应用系统免受病毒、木马、蠕虫等恶意代码的感染，电力工控网络用户端会部署有恶意代码防护系统，对应用系统提供恶意代码识别、分析、查杀等保护功能，但由于网络采用物理隔离，系统的病毒库、特征库无法在线更新，只能通过人员定期用光盘、U盘等方式离线更新病毒库、特征库，常常出现更新本文档来自技高网...

【技术保护点】
1.一种基于自培养的电力工控网络恶意代码防护系统，其特征在于：包括恶意代码管控引擎(1)，与恶意代码管控引擎(1)连接的恶意代码库(2)、培养室(3)、自培养算法模块(4)和电力工控网络用户端平台(5)；所述电力工控网络用户端平台(5)包括流量分析模块(6)、通知接收模块(7)、查杀模块(8)和查询统计模块(9)；其中：/n所述恶意代码管控引擎(1)负责接收电力工控网络用户端平台(5)发送过来的待分析文件和用户计算机环境配置包，并在恶意代码库(2)中查找待分析文件，然后根据查找情况将待分析文件和用户计算机环境配置包送到培养室(3)中进行培养，然后接收自培养算法模块(4)计算出的威胁系数，根据威...

【技术特征摘要】
1.一种基于自培养的电力工控网络恶意代码防护系统，其特征在于：包括恶意代码管控引擎(1)，与恶意代码管控引擎(1)连接的恶意代码库(2)、培养室(3)、自培养算法模块(4)和电力工控网络用户端平台(5)；所述电力工控网络用户端平台(5)包括流量分析模块(6)、通知接收模块(7)、查杀模块(8)和查询统计模块(9)；其中：
所述恶意代码管控引擎(1)负责接收电力工控网络用户端平台(5)发送过来的待分析文件和用户计算机环境配置包，并在恶意代码库(2)中查找待分析文件，然后根据查找情况将待分析文件和用户计算机环境配置包送到培养室(3)中进行培养，然后接收自培养算法模块(4)计算出的威胁系数，根据威胁系数进行判断并执行相应的动作；
所述恶意代码库(2)用于存储已经识别的恶意代码文件；
所述培养室(3)根据恶意代码管控引擎(1)发送过来的用户计算机环境配置包，利用虚拟化技术创建和用户计算机环境一致的容器，然后把恶意代码管控引擎(1)发送过来的待分析文件放入容器中进行执行，并详细监控文件执行过程和效果，记录到文本中，然后发送给自培养算法模块(4)；
所述自培养算法模块(4)根据培养室(3)发送过来的执行过程记录文本，采用改进的神经网络算法，得出待分析文件的威胁系数，然后发送给恶意代码管控引擎(1)；
所述电力工控网络用户端平台(5)负责调度流量分析模块(6)、通知接收模块(7)、查杀模块(8)和查询统计模块(9)，并负责和恶意代码管控引擎(1)之间的数据交换；
所述流量分析模块(6)负责对电力工控网络用户计算机的全部网络流量进行监控、分析，并将其中的文件数据提取出来，通过电力工控网络用户端平台(5)发送给恶意代码管控引擎(1)；
所述通知接收模块(7)负责接收恶意代码管控引擎(1)发送过来的通知，然后根据通知内容驱动查杀模块(8)执行；
所述查杀模块(8)负责根据通知接收模块(7)发送过来的执行命令，查找电力工控网络用户计算机中对应的恶意代码文件，并执行查杀动作；
所述查询统计模块(9)用于查询、统计恶意代码查杀日志。


2.根据权利要求1所述的一种基于自培养的电力工控网络恶意代码防护系统，其特征在于，所述的用户计算机环境配置包为一个记录了用户计算机操作系统类型、版本信息、子版本信息、内存大小、磁盘分区和大小和系统目录结构的文本文件。


3.根据权利要求1所述的一种基于自培养的电力工控网络恶意代码防护系统，其特征在于，所述详细监控文件执行过程和效果，记录到文本中的记录信息包括：注册表信息变化、进程变化、内存变化、文件系统变化、网络流量变化、操作系统画面变化和用户组变化。


4.根据权利要求1所述的一种基于自培养的电力工控网络恶意代码防护系统，其特征在于，所述采用改进的神经网络算法，得出待分析文件的威胁系数，其中的改进的神经网络算法采用基于Kohonen自组织特征映射算法结果的加权算法，威胁系...

【专利技术属性】
技术研发人员：毕玉冰，刘超飞，崔逸群，陈燕，殷儒希，朱博迪，介银娟，王文庆，董夏昕，邓楠轶，高原英，
申请(专利权)人：华能国际电力股份有限公司，西安热工研究院有限公司，
类型：发明
国别省市：北京;11