[发明专利]适用于电力工控网络的基于自培养算法的恶意代码防护方法

说明书

本发明公开了适用于电力工控网络的基于自培养算法的恶意代码防护方法，对电力工控网络中所有文件上传、下载流量进行分析，提取文件放入培养室中执行并监控，监控文件运行过程和效果，基于监控情况采用自培养算法计算该文件的威胁系数，如果威胁系数超过规定阈值则标记为恶意代码，放入恶意代码库中，并反馈监控结果到用户主机，用户主机查找是否存在该文件，若存在，则与恶意代码库中的文件进行匹配，匹配成功，则启动恶意代码查杀过程。能够在无需人工干预的情况下，自动识别、自动更新、自动查杀电力工控网络中的恶意代码，有效解决电力工控系统内外网物理隔离导致的内网恶意代码防护系统无法及时更新特征库、病毒库，导致查杀功能失效的问题。

技术领域

本发明属于网络技术领域，具体涉及适用于电力工控网络的基于自培养算法的恶意代码防护方法。

背景技术

电力工控网络是火电厂、水电站、风电场、光伏电站等各类型的发电厂生产、管理信息系统实现数据采集、设备控制、数据传输、参数调节以及各类信号报警等各项功能的网络，是发电厂能够正常生产运行的基础设施。为了保证电厂工控网络不受到来自互联网的网络攻击，电力工控系统通常采用物理隔离的方式，与互联网实现物理隔离，同时，为了保证电力工控网络中的应用系统免受病毒、木马、蠕虫等恶意代码的感染，应用系统会部署有恶意代码防护程序，对应用系统提供恶意代码识别、分析、查杀等保护功能，但由于网络采用物理隔离，现有的防护程序采用病毒库、特征库识别恶意代码的方式需要人员定期离线更新病毒库、特征库，常常出现更新不及时、更新不完整的问题，导致恶意代码存在感染工控网络的风险。

因此，需要结合电力工控网络实际业务特点，提出一种能够自动识别、自动更新、自动查杀恶意代码的防护方法。

发明内容

本发明的目的在于提供适用于电力工控网络的基于自培养算法的恶意代码防护方法，有效解决电力工控系统内外网物理隔离导致的内网恶意代码防护系统无法及时更新特征库、病毒库，导致查杀功能失效的问题。

为实现上述发明目的，本发明采用如下技术方案：

适用于电力工控网络的基于自培养算法的恶意代码防护方法，该方法包括：

对电力工控网络中的所有文件上传、下载流量进行分析，提取出其中的文件放入培养室中进行执行，并持续一定时间的监控，监控文件在培养室中的运行过程和效果，然后基于监控情况采用自培养算法计算该文件的威胁系数，如果文件威胁系数超过规定阈值，则将该文件标记为恶意代码，然后放入恶意代码库中，并反馈监控结果到用户主机，用户主机启动自扫描程序，查找是否存在该文件，如果存在，则与恶意代码库中的文件进行匹配，匹配成功，则启动恶意代码查杀过程。

由此可见，本发明为解决工控网络物理隔离导致无法及时更新病毒库、特征库的问题，通过自动提取恶意代码文件，并创建与生产主机环境一致的培养室，然后将恶意代码放入培养室中对其运行过程进行监控、记录，然后通过自培养算法对记录数据进行分析、计算，得到文件的威胁系数，然后与实验统计得出的阈值进行对比，实现恶意代码的自动识别，然后自动将文件放入恶意代码库中，实现了病毒库、特征库的自动更新，最后自动触发工控主机的防护程序，启动查杀过程，实现了恶意代码的自动查杀。

因此，应用本发明后，有效地解决了电力工控网络物理隔离情况下，如何及时更新恶意代码防护程序的病毒库、特征库，解决现有防护程序依赖人工进行离线更新存在的更新不及时、更新不完整，导致系统感染恶意代码的问题，提高了电力工控网络的安全性，保证电力生产的安全。

附图说明

图1是本发明实施例基于自培养算法的恶意代码防护方法的流程示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本发明所述方案做进一步地详细说明。

实施例