[发明专利]一种电力监控系统主机安全监控方法

权利要求书

1.一种电力监控系统主机安全监控方法，其特征在于，所述方法包括：

获取网络通信中的流量数据包，所述流量数据包中包括至少一种流量数据；

对所述流量数据进行特征提取，得到所述流量数据对应的流量特征，所述流量数据为所述网络通信对应的监听主机的应用层中的流量数据；

将所述流量特征输入预先训练的支持向量机模型，得到所述流量数据对应的至少一种数据类型，并基于所述数据类型对所述流量数据进行安全判断，得到第一判断结果；

若所述第一判断结果为所述流量数据为恶意数据，则获取主机对应的安全状态信息，并将所述安全状态信息保存至安全状态区域，生成安全状态日志。

2.根据权利要求1所述的方法，其特征在于，所述获取网络通信中的流量数据包之后，还包括：

对数据流量包进行解析，得到数据流量信息，所述数据流量信息表征所述数据流量包的表达信息量的大小；

对所述数据流量信息的大小与预设的第一阈值进行对比，得到第二判断结果；

若所述第二判断结果为所述数据流量信息的大小大于所述预设的第一阈值，则禁止访问网络，若所述第二判断结果为所述数据流量信息的大小小于或者等于所述预设的第一阈值，则保持系统正常运行或者返回监听识别。

3.根据权利要求2所述的方法，其特征在于，所述对数据流量包进行解析，得到数据流量信息，所述数据流量信息表征所述数据流量包的表达信息量的大小之前，还包括：

获取所述监听主机对应的所有网卡的抓包文件信息，并将所述抓包文件信息按照预设格式进行存储；

判断当前预设格式存储对应抓包文件信息对应的存储时间是否超过预设的第二阈值；得到第三判断结果；

若所述第三判断结果为所述存储时间超过所述预设的第二阈值，则删除所述抓包文件信息对应的信息包；若所述第三判断结果为所述存储时间符合所述预设的第二阈值，则获取下一个对应的抓包文件信息。

4.根据权利要求2所述的方法，其特征在于，所述对数据流量包进行解析，得到数据流量信息，所述数据流量信息表征所述数据流量包的表达信息量的大小之前，还包括：

获取通过在网络中传输的所有所述流量数据包，所述流量数据包包括正常数据和所述恶意数据，所述正常数据是能够通过所述安全监控的数据，所述恶意数据是被所述安全监控所拦截的数据。

5.根据权利要求1所述的方法，其特征在于，所述对所述流量数据进行特征提取，得到所述流量数据对应的流量特征，包括：

获取所述流量数据中的应用层协议流量，并对所述应用层协议流量进行特征提取，得到所述应用层协议流量对应的协议流量特征；

当所述应用层协议流量中存在文件对象时，对所述文件对象进行特征提取，得到所述文件对象对应的文件对象特征；

在所述主机中运行所述文件对象，并根据运行结果确定与所述主机相关的文件运行特征；

根据所述协议流量特征、所述文件对象特征以及所述文件运行特征，得到所述流量数据对应的流量特征。

6.根据权利要求1所述的方法，其特征在于，所述基于所述数据类型对所述流量数据进行安全判断，得到第一判断结果的之后，还包括：

若所述第一判断结果为所述流量数据为正常数据，则保持系统正常运行或者返回监听识别。

7.一种电力监控系统主机安全监控装置，其特征在于，所述装置包括：

流量数据包获取模块，用于获取网络通信中的流量数据包，所述流量数据包中包括至少一种流量数据；

流量特征得到模块，用于对所述流量数据进行特征提取，得到所述流量数据对应的流量特征，所述流量数据为所述网络通信对应的监听主机的应用层中的流量数据；

第一判断结果得到模块，用于将所述流量特征输入预先训练的支持向量机模型，得到所述流量数据对应的至少一种数据类型，并基于所述数据类型对所述流量数据进行安全判断，得到第一判断结果；

恶意数据处理模块，用于若所述第一判断结果为所述流量数据为恶意数据，则获取主机对应的安全状态信息，并将所述安全状态信息保存至安全状态区域，生成安全状态日志。