[发明专利]安全防护方法、装置、计算机设备和存储介质

权利要求书

1.一种安全防护方法，其特征在于，所述方法包括：

获取入侵报告，并从所述入侵报告中提取入侵事件；

检测所述入侵事件是否构成入侵攻击链；

若所述入侵事件构成所述入侵攻击链，则根据所述入侵攻击链确定防护策略，所述防护策略为对所述入侵事件进行防护处理的策略。

2.根据权利要求1所述的方法，其特征在于，所述获取入侵报告，包括：

对接收到的第一数据文件进行解析，获取所述第一数据文件的文件属性信息，所述文件属性信息包括标志位、数据包特征和/或各标志位的计数；

根据所述文件属性信息和预设的规则列表确定所述第一数据文件是否具有入侵风险，所述规则列表存储有存在入侵风险的文件属性信息及其风险类型；

若所述第一数据文件具有入侵风险，则根据所述文件属性信息和所述规则列表生成所述入侵报告。

3.根据权利要求1所述的方法，其特征在于，所述获取入侵报告，包括：

对电力计量系统的终端进行日志监听；

若所述电力计量系统的终端的日志文件进行了更新，则从所述电力计量系统的终端获取所述入侵报告，所述入侵报告为所述电力计量系统对接收到的第二数据文件进行入侵检测后，在确定所述第二数据文件存在入侵风险的情况下生成的。

4.根据权利要求1所述的方法，其特征在于，所述检测所述入侵事件是否构成入侵攻击链，包括：

对所述入侵事件进行解析，获取所述入侵事件的原子公式，所述原子公式为所述入侵事件包括的常量、谓词和函数；

根据所述原子公式遍历预先存储的多个攻击链模型，以确定所述原子公式对应的候选攻击链；

检测所述候选攻击链是否符合攻击条件，若符合，则确定所述入侵事件构成所述入侵攻击链。

5.根据权利要求4所述的方法，其特征在于，所述根据所述原子公式遍历预先存储的多个攻击链模型，包括：

对预设时长内获取到的所述入侵事件的所述原子公式进行同类项合并处理，得到候选原子公式；

根据所述候选原子公式遍历预先存储的多个攻击链模型。

6.根据权利要求1所述的方法，其特征在于，所述根据所述入侵攻击链确定防护策略，包括：

获取所述入侵攻击链确定所述入侵事件的攻击类型；

根据所述入侵报告获取所述入侵事件对应的信源地址；

根据所述攻击类型和所述信源地址确定所述防护策略。

7.根据权利要求6所述的方法，其特征在于，所述根据所述攻击类型和所述信源地址确定所述防护策略，包括：

将所述信源地址放入黑名单，并删除与所述入侵事件对应的数据文件。

8.一种安全防护装置，其特征在于，所述装置包括：

获取模块，用于获取入侵报告，并从所述入侵报告中提取入侵事件；

检测模块，用于检测所述入侵事件是否构成入侵攻击链；

防护模块，用于若所述入侵事件构成所述入侵攻击链，则根据所述入侵攻击链确定防护策略，所述防护策略为对所述入侵事件进行防护处理的策略。

9.一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。

10.一种存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。