一种电力监控系统的病毒防护告警方法及系统技术方案

本发明专利技术提供一种电力监控系统的病毒防护告警方法及系统，包括，获取电力监控系统中的所有可执行应用程序信息；对所有可执行应用程序信息进行逐一指纹解析，得到程序指纹数据，并与预设的白名单指纹数据进行逐一查找验证；当验证不成功时，判断对应的可执行应用程序判定为未知程序；调取所述未知程序对应的指纹数据；将最新的安全软件名单与未知程序对应的指纹数据进行比对；若未知程序不是未注册安全软件，则判定位置程序为危险程序；通过沙箱对危险程序进行运行，根据运行结果与预设的危险等级进行匹配，根据匹配结果进行相应的告警。本发明专利技术对执行程序进行指纹验证，进行危险等级分级和告警，实现主动探测和分级查杀新病毒新木马。马。马。

【技术实现步骤摘要】
一种电力监控系统的病毒防护告警方法及系统


[0001]本专利技术涉及电力系统自动化
，特别是涉及一种电力监控系统的病毒防护告警方法及系统。

技术介绍

[0002]目前，在变电站电力监控系统运行的过程中，时常受到网络安全威胁，比如：病毒、高风险漏洞等，由于缺乏对变电站电力监控系统进行主动安全检测的手段，导致变电站电力监控系统的安全性较低。
[0003]现有电力监控系统病毒防护告警方法大多采用杀毒软件进行防护和告警，但由于电力监控系统一般与外网隔绝，杀毒软件更新较慢，无法针对新病毒或新木马进行防护告警。

技术实现思路

[0004]本专利技术的目的在于，提出一种电力监控系统的病毒防护告警方法及系统，解决现有方法无法针对新病毒或新木马进行防护告警的技术问题。
[0005]一方面，提供一种电力监控系统的病毒防护告警方法，包括：
[0006]获取电力监控系统中的所有可执行应用程序信息；
[0007]根据预设的指纹解析规则对所有可执行应用程序信息进行逐一指纹解析，得到程序指纹数据，并将所述程序指纹数据与预设的白名单指纹数据进行逐一查找验证，得到验证结果，其中，所述验证结果至少包括验证成功或验证不成功；
[0008]当验证结果为验证不成功时，判断对应的可执行应用程序判定为未知程序；并从所述程序指纹数据中调取所述未知程序对应的指纹数据；
[0009]获取最新的安全软件名单，并将最新的安全软件名单与所述未知程序对应的指纹数据进行比对判断所述未知程序是否为未注册安全软件；若所述未知程序不是未注册安全软件，则判定所述位置程序为危险程序；
[0010]通过预设的沙箱对所述危险程序进行运行，根据运行结果与预设的危险等级进行匹配，并根据匹配结果进行相应的告警。
[0011]优选地，所述程序指纹数据至少包括文件名、散列值、公司名、产品名、产品版本、是否经过指定公司签名、签名公司、文件类型、软件名称。
[0012]优选地，所述得到验证结果具体包括：
[0013]当所述程序指纹数据与所述白名单指纹数据中的各项完全一致时，判定验证结果为验证成功；
[0014]当所述程序指纹数据与所述白名单指纹数据中的有任一项不一致时，判定验证结果为验证不成功。
[0015]优选地，所述判断所述未知程序是否为未注册安全软件具体包括：
[0016]将所述未知程序对应的指纹数据中的信息与最新的安全软件名单中的程序进行
逐一比对；
[0017]若两者信息完全一致，则判定两者为同一程序，确定所述未知程序是未注册安全软件；
[0018]若两者信息有其中一项不一致，则判定两者不为同一程序，确定所述未知程序不是未注册安全软件。
[0019]优选地，还包括：
[0020]若所述未知程序是未注册安全软件，则对白名单数据进行更新；并将所述程序指纹数据与更新后的白名单指纹数据进行重新验证。
[0021]优选地，所述根据运行结果与预设的危险分级进行匹配具体包括：
[0022]通过预先训练的行为判定模型对所述运行结果进行判定；
[0023]若判定该危险程序仅在服务器中进行传播，且不对系统造成任何不良影响，或造成微弱影响，则判定该危险程序危机级别为一级；
[0024]若判定该危险程序仅在局域网范围或子网段传播或者在单机上混合多种平台传播，对系统造成不稳定因素，导致其他程序工作异常，以及部分耗用网络资源，则判定该危险程序危机级别为二级；
[0025]若判定该危险程序具备有限Internet传播能力，会造成系统软件崩溃，或者大量耗用网络资源，则判定该危险程序危机级别为三级；
[0026]若判定该危险程序病毒具备主动传播、攻击能力，或者具备两种预设的弱传播方式的蠕虫病毒，会造成数据丢失，或者堵塞网络，则判定该危险程序危机级别为四级；
[0027]若判定该危险程序具备三种以上预设的中传播能力或者两种预设的强传播能力的蠕虫，会造成大面积数据丢失，或者阻断网络通信，则判定该危险程序危机级别为五级。
[0028]优选地，所述根据匹配结果进行相应的告警具体包括：
[0029]当所述危险程序危机级别为一级时，发出蓝色告警信息；
[0030]当所述危险程序危机级别为二级时，发出绿色告警信息；
[0031]当所述危险程序危机级别为三级时，发出黄色告警信息；
[0032]当所述危险程序危机级别为四级时，发出橙色告警信息；
[0033]当所述危险程序危机级别为五级时，发出红色告警信息。
[0034]优选地，所述行为判定模型通过以下步骤进行训练：
[0035]获取多种带有不同危机级别的可执行病毒程序和正常安全程序；
[0036]对不同危机级别的可执行病毒程序和正常安全程序进行标注，并将其作为样本集；
[0037]将所述样本集按照预设比例划分为训练集和测试集；并将所述训练集作为输入数据输入预设的人工神经网络中进行样本训练，得到行为判定模型；
[0038]利用所述测试集对行为判定模型进行测试，若准确率达到预设的阈值，则输出最终的行为判定模型，否则，进行重采样并进行训练，直到准确率达到预设的阈值为止。
[0039]另一方面，还提供一种电力监控系统的病毒防护告警系统，用以实现所述的电力监控系统的病毒防护告警方法，包括：
[0040]数据采集模块，用以获取电力监控系统中的所有可执行应用程序信息；
[0041]白名单检测模块，用以根据预设的指纹解析规则对所有可执行应用程序信息进行
逐一指纹解析，得到程序指纹数据，并将所述程序指纹数据与预设的白名单指纹数据进行逐一查找验证，得到验证结果，其中，所述验证结果至少包括验证成功或验证不成功；当验证结果为验证不成功时，判断对应的可执行应用程序判定为未知程序；并从所述程序指纹数据中调取所述未知程序对应的指纹数据；
[0042]管理服务器，用以获取最新的安全软件名单，并将最新的安全软件名单与所述未知程序对应的指纹数据进行比对判断所述未知程序是否为未注册安全软件；若所述未知程序不是未注册安全软件，则判定所述位置程序为危险程序；以及，用以通过预设的沙箱对所述危险程序进行运行，根据运行结果与预设的危险等级进行匹配，并根据匹配结果进行相应的告警。
[0043]优选地，所述管理服务器还用于管理来源于可信软件厂商的可执行程序，并对其进行安全注册，生成安全软件名单。
[0044]综上，实施本专利技术的实施例，具有如下的有益效果：
[0045]本专利技术提供的电力监控系统的病毒防护告警方法及系统，基于白名单进行网络安全防护，即通过电力监控系统上执行程序进行指纹验证，确保只有在白名单中注册的软件版本(即可信软件)才能执行，未经注册的软件(即不可信软件)不可执行，使电力监控系统免受恶意代码及病毒的威胁，弥补杀毒软件等常见方案无法查杀新病毒新木马的缺陷；并采用沙箱技术对未注册应用进行安全测试分析，并根据其本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种电力监控系统的病毒防护告警方法，其特征在于，包括：获取电力监控系统中的所有可执行应用程序信息；根据预设的指纹解析规则对所有可执行应用程序信息进行逐一指纹解析，得到程序指纹数据，并将所述程序指纹数据与预设的白名单指纹数据进行逐一查找验证，得到验证结果，其中，所述验证结果至少包括验证成功或验证不成功；当验证结果为验证不成功时，判断对应的可执行应用程序判定为未知程序；并从所述程序指纹数据中调取所述未知程序对应的指纹数据；获取最新的安全软件名单，并将最新的安全软件名单与所述未知程序对应的指纹数据进行比对判断所述未知程序是否为未注册安全软件；若所述未知程序不是未注册安全软件，则判定所述位置程序为危险程序；通过预设的沙箱对所述危险程序进行运行，根据运行结果与预设的危险等级进行匹配，并根据匹配结果进行相应的告警。2.如权利要求1所述的方法，其特征在于，所述程序指纹数据至少包括文件名、散列值、公司名、产品名、产品版本、是否经过指定公司签名、签名公司、文件类型、软件名称。3.如权利要求1所述的方法，其特征在于，所述得到验证结果具体包括：当所述程序指纹数据与所述白名单指纹数据中的各项完全一致时，判定验证结果为验证成功；当所述程序指纹数据与所述白名单指纹数据中的有任一项不一致时，判定验证结果为验证不成功。4.如权利要求1所述的方法，其特征在于，所述判断所述未知程序是否为未注册安全软件具体包括：将所述未知程序对应的指纹数据中的信息与最新的安全软件名单中的程序进行逐一比对；若两者信息完全一致，则判定两者为同一程序，确定所述未知程序是未注册安全软件；若两者信息有其中一项不一致，则判定两者不为同一程序，确定所述未知程序不是未注册安全软件。5.如权利要求4所述的方法，其特征在于，还包括：若所述未知程序是未注册安全软件，则对白名单数据进行更新；并将所述程序指纹数据与更新后的白名单指纹数据进行重新验证。6.如权利要求5所述的方法，其特征在于，所述根据运行结果与预设的危险分级进行匹配具体包括：通过预先训练的行为判定模型对所述运行结果进行判定；若判定该危险程序仅在服务器中进行传播，且不对系统造成任何不良影响，或造成微弱影响，则判定该危险程序危机级别为一级；若判定该危险程序仅在局域网范围或子网段传播或者在单机上混合多种平台传播，对系统造成不稳定因素，导致其他程序工作异常，以及部分耗用网络资源，则判定该危险程序危机级别为二级；若判定该危险程序具备有限Internet传播能力，会造成系统软件崩溃，或者大量耗用网络资源，则判定该危险程序...

【专利技术属性】
技术研发人员：车向北，李曼，黄颖祺，叶睿显，宋劲扬，佘楚云，康文倩，欧阳宇宏，
申请(专利权)人：深圳供电局有限公司，
类型：发明
国别省市：