[发明专利]一种电力监控系统主机安全监控方法

说明书

本申请涉及一种电力监控系统主机安全监控方法。所述方法包括：获取网络通信中的流量数据包，所述流量数据包中包括至少一种流量数据；对所述流量数据进行特征提取，得到所述流量数据对应的流量特征，所述流量数据为所述网络通信对应的监听主机的应用层中的流量数据；将所述流量特征输入预先训练的支持向量机模型，得到所述流量数据对应的至少一种数据类型，并基于所述数据类型对所述流量数据进行安全判断，得到第一判断结果；若所述第一判断结果为所述流量数据为恶意数据，则获取主机对应的安全状态信息，并将所述安全状态信息保存至安全状态区域，生成安全状态日志。采用本方法能够提高安全监控的准确性和可信性。

技术领域

本申请涉及计算机技术领域，特别是涉及一种电力监控系统主机安全监控方法。

背景技术

随着计算机技术的发展，出现了监控技术，目前安全入侵检测主要分布在各网络节点、边缘，虽然可以发现攻击行为但无法确定攻击者是否成功攻陷目标主机，攻击成功后是否借助隐蔽通道造成了更大的影响，因此网络安全设备存在检测盲区，另外攻击者在攻陷主机后可能会删除日志记录，给漏洞影响排查带来一定影响。

基于新能源厂站监控系统的网络安全风险，在遭受安全攻击时最为关切的事情。电力厂站面临最高级别的定向攻击(Advanced Persistent Threat，APT，高级可持续性威胁)时，在安全识别中如何发现攻击行为、还原攻击路径、确定被攻击影响范围进行攻击取证等，因此，如何准确可信地进行主机安全监控是目前亟待解决的问题。

发明内容

基于此，有必要针对上述技术问题，提供一种能够进行主机安全监控方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。

第一方面，本申请提供了一种电力监控系统主机安全监控方法。所述方法包括：获取网络通信中的流量数据包，所述流量数据包中包括至少一种流量数据；对所述流量数据进行特征提取，得到所述流量数据对应的流量特征，所述流量数据为所述网络通信对应的监听主机的应用层中的流量数据；将所述流量特征输入预先训练的支持向量机模型，得到所述流量数据对应的至少一种数据类型，并基于所述数据类型对所述流量数据进行安全判断，得到第一判断结果；若所述第一判断结果为所述流量数据为恶意数据，则获取主机对应的安全状态信息，并将所述安全状态信息保存至安全状态区域，生成安全状态日志。

在其中一个实施例中，所述获取网络通信中的流量数据包之后，还包括：对数据流量包进行解析，得到数据流量信息，所述数据流量信息表征所述数据流量包的表达信息量的大小；对所述数据流量信息的大小与预设的流量阈值进行对比，得到第二判断结果；若所述第二判断结果为所述数据流量信息的大小大于所述预设的第一阈值，则禁止访问网络，若所述第二判断结果为所述数据流量信息的大小小于或者等于所述预设的第一阈值，则保持系统正常运行或者返回监听识别。

在其中一个实施例中，所述对数据流量包进行解析，得到数据流量信息，所述数据流量信息表征所述数据流量包的表达信息量的大小之前，还包括：获取所述监听主机对应的所有网卡的抓包文件信息，并将所述抓包文件信息按照预设格式进行存储；判断当前预设格式存储对应抓包文件信息对应的存储时间是否超过预设的第二阈值；得到第三判断结果；若所述第三判断结果为所述存储时间超过所述预设的第二阈值，则删除所述抓包文件信息对应的信息包；所所述第三判断结果为所述存储时间符合所述预设的第二阈值，则获取下一个对应的抓包文件信息。

在其中一个实施例中，所述对数据流量包进行解析，得到数据流量信息，所述数据流量信息表征所述数据流量包的表达信息量的大小之前，还包括：获取通过在网络中传输的所有所述流量数据包，所述流量数据包包括正常数据和所述恶意数据，所述正常数据是能够通过所述安全监控的数据，所述恶意数据是被所述安全监控所拦截的数据。