确定变电站系统中恶意文件的方法、电子设备及存储介质技术方案

本发明专利技术提供了一种确定变电站系统中恶意文件的方法、电子设备及存储介质，涉及恶意文件确定领域，所述方法包括以下步骤：获取目标设备对应的异常数据列表集Z；获取Z对应的异常数据列表特征向量集Z

【技术实现步骤摘要】
确定变电站系统中恶意文件的方法、电子设备及存储介质


[0001]本专利技术涉及恶意文件确定领域，特别是涉及一种确定变电站系统中恶意文件的方法、电子设备及存储介质。

技术介绍

[0002]变电站是指电力系统中对电压和电流进行变换，接受电能及分配电能的场所；目前，变电站中各种电力设备，如变压器、断路器等，通常是通过相关接入网络的电子设备进行远程控制；由于控制电力设备的电子设备接入到网络之中，那么，攻击者则能够利用网络漏洞在电子设备上植入恶意程序，对相关电力设备进行恶意控制；恶意程序运行时会向攻击者的电子设备发送心跳包序列，以保持通讯连接；即使能够获取到恶意程序向攻击者的电子设备发送心跳包序列，由于该心跳包序列没有包含与对应的恶意文件的映射关系，导致无法确定出对应的恶意文件。

技术实现思路

[0003]针对上述技术问题，本专利技术采用的技术方案为：根据本申请的第一方面，提供了一种确定变电站系统中恶意文件的方法，所述方法包括以下步骤：S100，获取目标设备在目标时间段内发送的所有的异常目标数据，以得到异常目标数据列表，进而得到目标设备对应的异常数据列表集Z=(Z1,Z2,
…
,Z
pe
…
,Z
qe
)，pe=1,2,
…
,qe；其中，Z
pe
为第pe个异常数据列表，qe为异常数据列表的数量；所述目标设备为变电站系统中的任一能够发送数据的电子设备；所述异常目标数据列表根据目标设备发送的所有目标数据列表得到；S110，遍历Z，获取Z
pe
对应的特征向量，以得到Z对应的异常数据列表特征向量集Z
’
=(Z
’1,Z
’2,
…
,Z
’
pe
…
,Z
’
qe
)；其中，Z
’
pe
为Z
pe
的异常数据列表特征向量；S120，将目标设备上存储的所有对应的历史数据列表特征向量中，与Z
’
pe
符合第二预设匹配条件的历史目标数据列表确定为异常历史目标数据列表，以得到Z
pe
对应的异常历史目标数据列表集SZ
pe
=(SZ
pe,1
,SZ
pe,2
,
…
,SZ
pe,w1
,
…
,SZ
pe,u(pe)
)，w1=1,2,
…
,u(pe)；其中，SZ
pe,w1
为Z
pe
对应的第w1个异常历史目标数据列表，u(pe)为Z
pe
对应的异常历史目标数据列表的数量；S130，遍历SZ
pe
，根据SZ
pe,w1
中各目标数据的发送时间，确定出SZ
pe
中各异常历史目标数据列表内各目标数据发送时间中的最早时间t3；S140，获取目标设备在目标时间段T=[t4,t3]内所有的下载文件作为SZ
pe,w1
对应的目标下载文件；t4为T的开始时间；t4早于t3；S150，若对应的异常数据列表特征向量相同的各异常数据列表对应的下载文件中存在至少两个相同的下载文件，则将所述相同的下载文件确定为恶意文件。
[0004]根据本申请的另一方面，还提供了一种非瞬时性计算机可读存储介质，存储介质
中存储有至少一条指令或至少一段程序，至少一条指令或至少一段程序由处理器加载并执行以实现上述确定变电站系统中恶意文件的方法。
[0005]根据本申请的另一方面，还提供了一种电子设备，包括处理器和上述非瞬时性计算机可读存储介质。
[0006]本专利技术至少具有以下有益效果：本专利技术的确定变电站系统中恶意文件的方法，获取目标设备发送的所有异常目标数据列表，即异常心跳包序列，不同的目标数据列表，各自对应的特征向量也是不同的，基于此，能够将所有历史目标数据列表的特征向量与异常目标数据列表对应的特征向量进行比对，从而确定出异常历史目标数据列表；目标设备上的应用程序在发送第一个目标数据之前，需要先下载相应的文件，因此，在确定异常目标数据列表对应的下载文件时，首先确定异常目标数据列表内的各目标数据发送时间中的最早时间t3，然后获取目标设备在t3前的预设时间段t4内所有的下载文件，这些文件则有可能包含有恶意文件；由此，能够避免所找到的下载文件的下载时间位于t3之后，确保找到的下载文件的正确性；进一步的，攻击者在向目标设备植入恶意文件时，通常会针对多个目标设备；基于此，如果数据列表特征向量相同的各异常目标数据列表对应的下载文件中存在至少两个相同的下载文件，那么该下载文件可判断为异常文件，从而达到确定出恶意文件的目的。
附图说明
[0007]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0008]图1为本专利技术实施例提供的确定变电站系统中恶意文件的方法的流程图；图2为本专利技术实施例提供的确定变电站系统中恶意文件的方法的应用场景图；图3为本专利技术实施例提供的一种电子设备的结构图。
具体实施方式
[0009]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0010]需要说明的是，下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见，本文中所描述的方面可体现于广泛多种形式中，且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开，所属领域的技术人员应了解，本文中所描述的一个方面可与任何其它方面独立地实施，且可以各种方式组合这些方面中的两者或两者以上。举例来说，可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外，可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
[0011]参见图1，为本实施例提供的确定变电站系统中恶意文件的方法的流程图，所述方
法包括以下步骤：S100，获取目标设备在目标时间段内发送的所有的异常目标数据，以得到异常目标数据列表，进而得到目标设备对应的异常数据列表集Z=(Z1,Z2,
…
,Z
pe
,
…
,Z
qe
)，pe=1,2,
…
,qe；其中，Z
pe
为第pe个异常数据列表，qe为异常数据列表的数量；所述目标设备为变电站系统中的任一能够发送数据的电子设备；所述异常目标数据根据目标设备本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种确定变电站系统中恶意文件的方法，其特征在于，所述方法包括以下步骤：S100，获取目标设备在目标时间段内发送的所有的异常目标数据，以得到异常目标数据列表，进而得到目标设备对应的异常数据列表集Z=(Z1,Z2,
…
,Z
pe
,
…
,Z
qe
)，pe=1,2,
…
,qe；其中，Z
pe
为第pe个异常数据列表，qe为异常数据列表的数量；所述目标设备为变电站系统中的任一能够发送数据的电子设备；所述异常目标数据根据目标设备发送的所有目标数据得到；S110，遍历Z，获取Z
pe
对应的特征向量，以得到Z对应的异常数据列表特征向量集Z
’
=(Z
’1,Z
’2,
…
,Z
’
pe
,
…
,Z
’
qe
)；其中，Z
’
pe
为Z
pe
的异常数据列表特征向量；S120，将目标设备上存储的所有对应的历史数据列表特征向量中，与Z
’
pe
符合第二预设匹配条件的历史目标数据列表确定为异常历史目标数据列表，以得到Z
pe
对应的异常历史目标数据列表集SZ
pe
=(SZ
pe,1
,SZ
pe,2
,
…
,SZ
pe,w1
,
…
,SZ
pe,u(pe)
)，w1=1,2,
…
,u(pe)；其中，SZ
pe,w1
为Z
pe
对应的第w1个异常历史目标数据列表，u(pe)为Z
pe
对应的异常历史目标数据列表的数量；S130，遍历SZ
pe
，根据SZ
pe,w1
中各目标数据的发送时间，确定出SZ
pe
中各异常历史目标数据列表内各目标数据发送时间中的最早时间t3；S140，获取目标设备在目标时间段T=[t4,t3]内所有的下载文件作为SZ
pe,w1
对应的目标下载文件；t4为T的开始时间；t4早于t3；S150，若对应的异常数据列表特征向量相同的各异常数据列表对应的下载文件中存在至少两个相同的下载文件，则将所述相同的下载文件确定为恶意文件。2.根据权利要求1所述的确定变电站系统中恶意文件的方法，其特征在于，在所述步骤S150之后，将确定出的恶意文件的文件名发送至对应的目标设备，所述目标设备执行以下步骤：S160，响应于接收到恶意文件，根据恶意文件的文件名确定出所述恶意文件对应的目标进程；S161，获取所述目标进程发送的目标数据列表的数据列表特征向量；其中，目标进程发送的目标数据列表根据所述目标进程在预设时间段内发送的所有数据得到，目标进程发送的目标数据列表的数据列表特征向量根据目标进程发送的目标数据列表得到；S162，若目标进程发送的目标数据列表的数据列表特征向量与恶意文件对应的目标数据列表的数据列表特征向量相匹配，则确认所述恶意文件；否则，所述恶意文件判断错误。3.根据权利要求1所述的确定变电站系统中恶意文件的方法，其特征在于，在所述步骤S150之后，将确定出的恶意文件的文件名发送至对应的目标设备，所述目标设备执行以下步骤：S170，将确定出的恶意文件发送至对应的安全检测设备，以使得所述安全检测设备执行以下步骤：S171，响应于接收到恶意文件，将所述恶意文件在安全检测设备上预设的虚拟机内运行，以得到恶意文件的真实进程；S172，获取恶意文件的真实进程对应的日志；S173，根据恶意文件的真实进程对应的日志，获取恶意文件的真实进程对应的行为特征向量TP=(TP1,TP2,
…
,TP
ia
,
…
,TP
ma
)，ia=1,2,
…
,ma；其中，TP
ia
为恶意文件的真实进程对
应的第ia个行为特征，ma为恶意文件的真实进程对应的行为特征的数量；S174，若TP与TP
’
相匹配，则判断TP
’
对应的进程为恶意进程；其中，TP
’
为恶意文件对应的目标设备上各进程对应的若干行为特征向量之一。4.根据权利要求1所述的确定变电站系统中恶意文件的方法，其特征在于，所述异常历史目标数据列表根据各历史目标数据列表得到，所述历史目标数据列表通过以下步骤得到：S200，获取目标设备在目标时间段内发出的所有数据；其中，每条数据包含对应的目的IP地址；S210，根据各条数据的目的IP地址和数据大小对各条数据进行聚类及筛选，以得到第一数据列表集A=(A1,A2,
…
,A
i
,
…
,A
m
)，i=1,2,
…
,m；其中，A
i
为第i个第一数据列表，m为第一数据列表的数量；A
i
=(A
i,1
,A
i,2
,
…
,A
i,h
,
…
,A
i,f(i)
)，h=1,2,
…
,f(i)；A
i,h
为A
i
中的第h条数据，f(i)为A<...

【专利技术属性】
技术研发人员：和希文，王绍密，宿庆志，侯绪森，孙雨，
申请(专利权)人：山东溯源安全科技有限公司，
类型：发明
国别省市：