【技术实现步骤摘要】
确定变电站系统中恶意文件的方法、电子设备及存储介质
[0001]本专利技术涉及恶意文件确定领域,特别是涉及一种确定变电站系统中恶意文件的方法、电子设备及存储介质。
技术介绍
[0002]变电站是指电力系统中对电压和电流进行变换,接受电能及分配电能的场所;目前,变电站中各种电力设备,如变压器、断路器等,通常是通过相关接入网络的电子设备进行远程控制;由于控制电力设备的电子设备接入到网络之中,那么,攻击者则能够利用网络漏洞在电子设备上植入恶意程序,对相关电力设备进行恶意控制;恶意程序运行时会向攻击者的电子设备发送心跳包序列,以保持通讯连接;即使能够获取到恶意程序向攻击者的电子设备发送心跳包序列,由于该心跳包序列没有包含与对应的恶意文件的映射关系,导致无法确定出对应的恶意文件。
技术实现思路
[0003]针对上述技术问题,本专利技术采用的技术方案为:根据本申请的第一方面,提供了一种确定变电站系统中恶意文件的方法,所述方法包括以下步骤:S100,获取目标设备在目标时间段内发送的所有的异常目标数据,以得到异常目标数据列表,进而得到目标设备对应的异常数据列表集Z=(Z1,Z2,
…
,Z
pe
…
,Z
qe
),pe=1,2,
…
,qe;其中,Z
pe
为第pe个异常数据列表,qe为异常数据列表的数量;所述目标设备为变电站系统中的任一能够发送数据的电子设备;所述异常目标数据列表根据目标设备发送的所有目标数据列表得到;S110 ...
【技术保护点】
【技术特征摘要】
1.一种确定变电站系统中恶意文件的方法,其特征在于,所述方法包括以下步骤:S100,获取目标设备在目标时间段内发送的所有的异常目标数据,以得到异常目标数据列表,进而得到目标设备对应的异常数据列表集Z=(Z1,Z2,
…
,Z
pe
,
…
,Z
qe
),pe=1,2,
…
,qe;其中,Z
pe
为第pe个异常数据列表,qe为异常数据列表的数量;所述目标设备为变电站系统中的任一能够发送数据的电子设备;所述异常目标数据根据目标设备发送的所有目标数据得到;S110,遍历Z,获取Z
pe
对应的特征向量,以得到Z对应的异常数据列表特征向量集Z
’
=(Z
’1,Z
’2,
…
,Z
’
pe
,
…
,Z
’
qe
);其中,Z
’
pe
为Z
pe
的异常数据列表特征向量;S120,将目标设备上存储的所有对应的历史数据列表特征向量中,与Z
’
pe
符合第二预设匹配条件的历史目标数据列表确定为异常历史目标数据列表,以得到Z
pe
对应的异常历史目标数据列表集SZ
pe
=(SZ
pe,1
,SZ
pe,2
,
…
,SZ
pe,w1
,
…
,SZ
pe,u(pe)
),w1=1,2,
…
,u(pe);其中,SZ
pe,w1
为Z
pe
对应的第w1个异常历史目标数据列表,u(pe)为Z
pe
对应的异常历史目标数据列表的数量;S130,遍历SZ
pe
,根据SZ
pe,w1
中各目标数据的发送时间,确定出SZ
pe
中各异常历史目标数据列表内各目标数据发送时间中的最早时间t3;S140,获取目标设备在目标时间段T=[t4,t3]内所有的下载文件作为SZ
pe,w1
对应的目标下载文件;t4为T的开始时间;t4早于t3;S150,若对应的异常数据列表特征向量相同的各异常数据列表对应的下载文件中存在至少两个相同的下载文件,则将所述相同的下载文件确定为恶意文件。2.根据权利要求1所述的确定变电站系统中恶意文件的方法,其特征在于,在所述步骤S150之后,将确定出的恶意文件的文件名发送至对应的目标设备,所述目标设备执行以下步骤:S160,响应于接收到恶意文件,根据恶意文件的文件名确定出所述恶意文件对应的目标进程;S161,获取所述目标进程发送的目标数据列表的数据列表特征向量;其中,目标进程发送的目标数据列表根据所述目标进程在预设时间段内发送的所有数据得到,目标进程发送的目标数据列表的数据列表特征向量根据目标进程发送的目标数据列表得到;S162,若目标进程发送的目标数据列表的数据列表特征向量与恶意文件对应的目标数据列表的数据列表特征向量相匹配,则确认所述恶意文件;否则,所述恶意文件判断错误。3.根据权利要求1所述的确定变电站系统中恶意文件的方法,其特征在于,在所述步骤S150之后,将确定出的恶意文件的文件名发送至对应的目标设备,所述目标设备执行以下步骤:S170,将确定出的恶意文件发送至对应的安全检测设备,以使得所述安全检测设备执行以下步骤:S171,响应于接收到恶意文件,将所述恶意文件在安全检测设备上预设的虚拟机内运行,以得到恶意文件的真实进程;S172,获取恶意文件的真实进程对应的日志;S173,根据恶意文件的真实进程对应的日志,获取恶意文件的真实进程对应的行为特征向量TP=(TP1,TP2,
…
,TP
ia
,
…
,TP
ma
),ia=1,2,
…
,ma;其中,TP
ia
为恶意文件的真实进程对
应的第ia个行为特征,ma为恶意文件的真实进程对应的行为特征的数量;S174,若TP与TP
’
相匹配,则判断TP
’
对应的进程为恶意进程;其中,TP
’
为恶意文件对应的目标设备上各进程对应的若干行为特征向量之一。4.根据权利要求1所述的确定变电站系统中恶意文件的方法,其特征在于,所述异常历史目标数据列表根据各历史目标数据列表得到,所述历史目标数据列表通过以下步骤得到:S200,获取目标设备在目标时间段内发出的所有数据;其中,每条数据包含对应的目的IP地址;S210,根据各条数据的目的IP地址和数据大小对各条数据进行聚类及筛选,以得到第一数据列表集A=(A1,A2,
…
,A
i
,
…
,A
m
),i=1,2,
…
,m;其中,A
i
为第i个第一数据列表,m为第一数据列表的数量;A
i
=(A
i,1
,A
i,2
,
…
,A
i,h
,
…
,A
i,f(i)
),h=1,2,
…
,f(i);A
i,h
为A
i
中的第h条数据,f(i)为A<...
【专利技术属性】
技术研发人员:和希文,王绍密,宿庆志,侯绪森,孙雨,
申请(专利权)人:山东溯源安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。