[发明专利]面向设备监测分布式系统主站的恶意代码监控方法在审
| 申请号: | 201710830120.8 | 申请日: | 2017-09-15 |
| 公开(公告)号: | CN107612905A | 公开(公告)日: | 2018-01-19 |
| 发明(设计)人: | 张炜;黎新;邬蓉蓉;吕泽承 | 申请(专利权)人: | 广西电网有限责任公司电力科学研究院 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 南宁东智知识产权代理事务所(特殊普通合伙)45117 | 代理人: | 戴燕桃,巢雄辉 |
| 地址: | 530023 广西*** | 国省代码: | 广西;45 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明属于电力设备状态监测与故障诊断技术领域,具体涉及面向设备监测分布式系统主站的恶意代码监控方法,本发明通过在建设设备监测评价系统时建立所有通信协议的通信协议规则集合Xn,并穷举设置监测评价业务所涉及的网络端口集合Yn,对于单位时间内发送或接收的每个报文mi,遍历通信协议规则集合Xn中所有的通信协议规则,判断报文mi是否与该通信协议规则匹配;如果报文mi的端口特征、长度特征或者内容特征与通信协议规则的中某一条不匹配,则判定发送报文mi为的通信协议异常协议。本发明方便部署、易于推广,可以有效避免出现恶意代码导致的电力监控系统网络安全事件,提升了系统安全稳定运行水平,杜绝了因此导致的电力安全事件。 | ||
| 搜索关键词: | 面向 设备 监测 分布式 系统 恶意代码 监控 方法 | ||
【主权项】:
面向设备监测分布式系统主站的恶意代码监控方法,其特征在于:包括以下步骤:(1)在建设设备监测评价系统时建立所有通信协议的通信协议规则集合Xn,并穷举设置监测评价业务所涉及的网络端口集合Yn,每个通信协议规则的表示方式为:r=<port,minlen,maxlen,value>;其中,r是指通信协议规则,;port是指通信协议具有特定源端口或目标端口,;minlen表示该通信协议规则规定的报文长度的最小值;maxlen表示该通信协议规则规定的报文长度的最大值;value是指该通信协议规则规定的报文内容中的固定字段;(2)对于单位时间内发送或接收的每个报文mi,遍历通信协议规则集合Xn中所有的通信协议规则,判断报文mi是否与该通信协议规则的匹配特征匹配;通信协议规则的匹配特征包括端口特征、长度特征、内容特征,具体如下:1)端口特征:报文mi的源端口或者目标端口与该通信协议规则中规定的端口一致,则表示报文mi的端口特征与该通信协议规则匹配;即:;上式中,DstPort是指发送报文的目标端口,SrcPort是指抽取报文的源端口;反之,则不匹配;2)长度特征:当该通信协议规则规定的报文长度的最大值maxlen为null时,并且该通信协议规则规定的报文长度的最小值minlen也为null时,则报文mi的长度特征与该通信协议规则不匹配;当该通信协议规则规定的报文长度的最大值maxlen不为null时,且报文mi的长度的最大值小于等于该通信协议规则中规定的最大值maxlen;并且当该通信协议规则规定的报文长度的最小值minlen不为null时,且报文mi的长度的最小值大于等于该通信协议规则中规定的报文长度的最小值minlen,则表示报文mi的长度特征与该通信协议规则匹配;即:&&;反之,则不匹配;3)内容特征:该通信协议规则中规定的该类报文内容中的固定字段的取值value为null时,则报文mi的内容与该通信协议规则不匹配;或者报文mi的内容与该通信协议规则中规定的该类报文内容中的固定字段的取值value一致,则表示报文mi的内容与该通信协议规则匹配;;(3)报文mi的端口特征、长度特征、内容特征皆与通信协议规则匹配,则认为报文mi与该通信协议规则匹配,如果报文mi的端口特征、长度特征、内容特征与通信协议规则中的任一规定不匹配,则判定发送报文mi为的通信协议异常协议,即认为执行此通信协议的进程疑似为恶意代码,而承载该恶意代码的移动存储介质或硬盘疑似染毒。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于广西电网有限责任公司电力科学研究院,未经广西电网有限责任公司电力科学研究院许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710830120.8/,转载请声明来源钻瓜专利网。
