楊宏宇 施海兵 屈衛(wèi)鋒 顏瑋瑋 代榮 王海兵

摘 要：電力系統(tǒng)對(duì)民生大計(jì)具有非常大的影響，電力系統(tǒng)的安全性是非常重要的。在最近幾年中，電力系統(tǒng)多次發(fā)生惡性攻擊現(xiàn)象，引發(fā)極為嚴(yán)重的后果，引起人們的廣泛關(guān)注。電力行業(yè)惡意代碼的攻擊途徑和手段是非常多的，電力行業(yè)必須采取有效措施，檢測(cè)和防護(hù)惡意代碼。因此，本文對(duì)電力行業(yè)惡意代碼檢測(cè)和防護(hù)進(jìn)行深入研究，以期能夠?yàn)楸ＷC電力行業(yè)的可持續(xù)發(fā)展，提供一定的參考價(jià)值。

關(guān)鍵詞：電力行業(yè) 惡意代碼 檢測(cè) 防護(hù)

中圖分類號(hào)：TN918 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2018）02（a）-0010-02

惡意代碼，就是指一種嵌入到電子郵件或者網(wǎng)頁(yè)中的腳本代碼，而破壞是惡意代碼的主要目的。一般情況下，通過郵件收發(fā)軟件、瀏覽器軟件等途徑，便能夠在用戶端下載到惡意代碼，然后在用戶不用介入或者進(jìn)行最小限度調(diào)用等，便能夠在用戶端有效執(zhí)行惡意代碼。與傳統(tǒng)意義中的病毒比較，惡意代碼是完全不同的，惡意代碼是不具有傳染特性的，不過惡意代碼卻具有非常強(qiáng)的欺騙性、破壞性。

1 電力行業(yè)惡意代碼的檢測(cè)技術(shù)

惡意代碼分析方法是非常多的，不過大致可以劃分為3種類型，分別為基于代碼行為的分析方法、基于代碼語(yǔ)義的分析方法、基于代碼特征的分析方法。到目前為止，大多數(shù)反惡意代碼軟件主要利用以下幾種檢查方法，即基于特征碼的檢測(cè)法、啟發(fā)式檢測(cè)法、基于行為的檢測(cè)法等。

1.1 基于特征碼的檢測(cè)法

基于特征碼的檢測(cè)法是一種最為傳統(tǒng)、使用最為廣泛的檢查方法。利用密罐系統(tǒng)，對(duì)惡意代碼的樣本進(jìn)行提取，對(duì)其存在的指令序列進(jìn)行采集和分析，在反病毒軟件對(duì)病毒文件進(jìn)行掃描時(shí)，便于比較病毒特征碼庫(kù)和當(dāng)前的病毒文件，以確定是否存在文件片段，能夠和已知特征碼進(jìn)行匹配。

1.2 啟發(fā)式檢測(cè)法

啟發(fā)式檢測(cè)法，就是指根據(jù)惡意代碼的特征，設(shè)置一個(gè)閩值，在掃描器對(duì)文件進(jìn)行分析時(shí)，當(dāng)發(fā)現(xiàn)存在和惡意代碼特征相類似的文件時(shí)，便判定這種文件是惡意代碼。

1.3 基于病毒行為的檢測(cè)法

基于病毒行為的檢測(cè)法，就是指一種將病毒出現(xiàn)一些特征行為作為依據(jù)，對(duì)病毒進(jìn)行監(jiān)測(cè)的方法。在運(yùn)行程序過程中，對(duì)病毒行為進(jìn)行監(jiān)視，一旦監(jiān)測(cè)出有病毒行為產(chǎn)生，應(yīng)及時(shí)報(bào)警，此外，應(yīng)運(yùn)用類神經(jīng)網(wǎng)絡(luò)方法，對(duì)分析器進(jìn)行訓(xùn)練，有效識(shí)別病毒的行為特征，同時(shí)可以采用形式化方法，對(duì)惡意代碼的特征進(jìn)行準(zhǔn)確定義。

1.4 基于特征函數(shù)的檢測(cè)方法

要想使一些特定功能得以實(shí)現(xiàn)，惡意代碼一定要運(yùn)用對(duì)應(yīng)的系統(tǒng)函數(shù)，所以假如一個(gè)程序?qū)ξｋU(xiǎn)特定函數(shù)集合進(jìn)行了調(diào)用，我們可以判斷可能有惡意代碼存在。在加載程序以前，應(yīng)對(duì)代碼獲取的特定函數(shù)集合進(jìn)行掃描，其中在這個(gè)過程中，虛擬機(jī)和代碼逆向技術(shù)應(yīng)進(jìn)行有效配合，然后進(jìn)行有關(guān)交集運(yùn)算，便能夠?qū)Τ绦蛭募玫奈ｋU(xiǎn)函數(shù)及其類型、功能進(jìn)行深入了解。

2 電力行業(yè)惡意代碼的防護(hù)技術(shù)

迄今為止，電力行業(yè)惡意代碼的防護(hù)技術(shù)大致具有兩種類型，即惡意代碼的事前預(yù)防、惡意代碼的事后清除。

2.1 惡意代碼的事前預(yù)防

注冊(cè)表、郵件收發(fā)軟件、瀏覽器是當(dāng)前惡意代碼攻擊的主要途徑，因此通過對(duì)這些軟件進(jìn)行有效設(shè)置，能夠?qū)崿F(xiàn)防患于未然。

（1）瀏覽器的設(shè)置。通過對(duì)瀏覽器進(jìn)行合理設(shè)置，能夠?qū)ava Applet、ActiveX 控件的運(yùn)行進(jìn)行有效控制，同時(shí)能夠?qū)δ_本的運(yùn)行進(jìn)行有效禁止。本文以IE6.0為例，具體設(shè)置步驟為：第一，對(duì)“[Internet] 工具選項(xiàng)”進(jìn)行選擇；第二，對(duì)“安全”選項(xiàng)卡進(jìn)行選定；第三，對(duì)某一個(gè)安全區(qū)域進(jìn)行選定；第四，對(duì)“自定義級(jí)別”按鈕進(jìn)行選定，出現(xiàn)“安全設(shè)置”對(duì)話框；第五，在“安全設(shè)置”對(duì)話框中科學(xué)設(shè)置Java Applet、ActiveX 控件、腳本的行為，例如：對(duì)于“下載已簽名的ActiveX 控件”，設(shè)置為“禁用”。IE內(nèi)的安全區(qū)域、Outlook 的安全性、Outlook Express的安全性三者之間的關(guān)系是非常密切的，一般來說，為對(duì)全部腳本的運(yùn)行進(jìn)行有效阻止，常常會(huì)將以上3個(gè)部分的安全區(qū)域，設(shè)定為“受限制的站點(diǎn)”。

（2）注冊(cè)表的鎖定。只有對(duì)注冊(cè)表進(jìn)行有效修改，才能夠重新激活惡意代碼。所以，我們可以對(duì)注冊(cè)表進(jìn)行鎖定，對(duì)注冊(cè)表的修改功能進(jìn)行禁止，要想打開注冊(cè)表，必須要對(duì)有關(guān)合法軟件進(jìn)行安裝。本文以Win2000為例，注冊(cè)表鎖定的具體步驟為以下兩點(diǎn)。

第一，對(duì)Regedit.exe進(jìn)行運(yùn)行，然后進(jìn)入注冊(cè)表；第二，“DisableRegistry-Tools”是DWORD類型的鍵值名，將它的鍵值設(shè)置為1，然后加入到以下程序中，即：

"HKEY _CURRENT _USER＼sofware ＼Microsoft ＼windows ＼Current Version ＼Polices ＼System"

注冊(cè)表解鎖的具體步驟為：

第一，利用記事本，對(duì).reg文件的名稱進(jìn)行任意編輯， 輸入以下行內(nèi)容：

Windows Re gistry Editor Version 5.00

[HKEY _CURRENT _USER＼sofware ＼Microsoft ＼windows ＼Current Version ＼Polices ＼System]

Disable Re gistryTool sn=dword∶00000000

第二，對(duì)上述文件進(jìn)行雙擊，在注冊(cè)表中自動(dòng)導(dǎo)入這些文件。

（3）對(duì)防護(hù)軟件進(jìn)行安裝。和傳統(tǒng)意義中的病毒相比，盡管惡意代碼和其是完全不一樣的，現(xiàn)有的殺毒軟件并不能對(duì)其起到較大的查殺作用，不過一些比較著名的殺毒軟件，還是能夠一定程度的防護(hù)惡意代碼。

（4） 對(duì)于一些不良網(wǎng)站，應(yīng)盡量不要對(duì)其進(jìn)行訪問，同時(shí)應(yīng)對(duì)一些軟件進(jìn)行及時(shí)打補(bǔ)丁、升級(jí)。

2.2 惡意代碼的事后清除

（1）采用手工方方式，對(duì)頑固的惡意代碼進(jìn)行事后清除。頑固的惡意代碼一般采用某種方式，如Java applet、ActiveX等，對(duì)用戶系統(tǒng)進(jìn)行入侵，對(duì)注冊(cè)表進(jìn)行有效修改，以便在用戶系統(tǒng)中進(jìn)行長(zhǎng)時(shí)間入駐。要想對(duì)惡意代碼進(jìn) 行有效清除，可以運(yùn)用對(duì)注冊(cè)表進(jìn)行修改的方式。針對(duì)各種惡意代碼，應(yīng)采用不同的清除方法。

（2）利用一些軟件工具，對(duì)惡意代碼進(jìn)行查殺、清除。例如，3721 上網(wǎng)助手軟件，具有多種功能，包括對(duì)惡意網(wǎng)站進(jìn)行屏蔽、對(duì)被鎖定的注冊(cè)表進(jìn)行打開、對(duì)被篡改的IE 瀏覽器進(jìn)行恢復(fù)、對(duì)惡意代碼進(jìn)行查殺等，所以3721 上網(wǎng)助手軟件是一種非常好用的上網(wǎng)輔助工具。

3 電力行業(yè)惡意代碼防護(hù)技術(shù)的創(chuàng)新

目前，我國(guó)現(xiàn)有的電力行業(yè)惡意代碼防護(hù)技術(shù)還是不夠完善的，仍然存在較多的問題和缺陷。盡管對(duì)Java applet、ActiveX 控件、腳本進(jìn)行禁用，能夠?qū)阂獯a的攻擊進(jìn)行有效預(yù)防，不夠上網(wǎng)功能卻會(huì)遭受影響和約束。盡管對(duì)注冊(cè)表進(jìn)行手工修復(fù)，能夠?qū)阂獯a進(jìn)行清除，不夠這些操作技巧是非常復(fù)雜的，不是任何人都能掌握的。當(dāng)前已有的部分惡意代碼防護(hù)軟件均具有一樣的問題，輕視惡意代碼的預(yù)防，過于重視惡意代碼的清除，導(dǎo)致我們始終處于被動(dòng)狀態(tài)之中，另外，不能對(duì)惡意代碼進(jìn)行徹底清除，特別是頑固的惡意代碼。針對(duì)這種情況，本文認(rèn)為，應(yīng)對(duì)具有清除、預(yù)防功能的新型電力行業(yè)惡意代碼防護(hù)系統(tǒng)進(jìn)行研發(fā)。

新型電力行業(yè)惡意代碼防護(hù)系統(tǒng)應(yīng)高度重視惡意病毒的有效預(yù)防，本文從技術(shù)角度，將從3個(gè)方面進(jìn)行設(shè)計(jì)和研發(fā)：（ 1） 對(duì)瀏覽器進(jìn)行扼守。在瀏覽器執(zhí)行腳本代碼以前，將現(xiàn)有特征碼作為依據(jù)，已進(jìn)行有效匹配，對(duì)惡意代碼進(jìn)行捕捉，應(yīng)建立惡意腳本代碼特征庫(kù)。（ 2） 對(duì)注冊(cè)表進(jìn)行有效監(jiān)控。第一，針對(duì)網(wǎng)頁(yè)腳本對(duì)注冊(cè)表的修改，應(yīng)對(duì)其進(jìn)行阻止，同時(shí)應(yīng)對(duì)Java applet 對(duì)注冊(cè)表的讀寫行為、ActiveX 控件進(jìn)行及時(shí)跟蹤，一旦發(fā)現(xiàn)部分敏感內(nèi)容被修改，則判定存在惡意代碼，且將其列入黑名單中。如果一些讀寫行為不能進(jìn)行精準(zhǔn)確定，則應(yīng)警告用戶，促使用戶參加到判斷活動(dòng)中。（ 3）對(duì)文件系統(tǒng)、 Cookie進(jìn)行保護(hù)。警告或者阻止一些行為，如系統(tǒng)目錄下對(duì)文件的刪除行為、對(duì)Java applet訪問Cookie 信息行為等。Java applet、ActiveX 控件是系統(tǒng)清除的主要對(duì)象，因?yàn)橐褜?shí)時(shí)跟蹤Java applet、ActiveX 控件，因?yàn)镴ava applet、ActiveX 控件能夠?qū)ξ募?、注?cè)表進(jìn)行讀寫，對(duì)應(yīng)的行為也都記錄下來，所以可以根據(jù)具體記錄內(nèi)容，進(jìn)行有效修復(fù)。

參考文獻(xiàn)

[1] 陳良.惡意代碼檢測(cè)中若干關(guān)鍵技術(shù)研究[D]. 揚(yáng)州大學(xué) 2016

[2] 張海鵬.惡意代碼的行為分析[D]. 南京郵電大學(xué) 2016

[3] 趙恒立.惡意代碼檢測(cè)與分類技術(shù)研究[D].杭州電子科技大學(xué) 2016