杨宏宇 施海兵 屈卫锋 颜玮玮 代荣 王海兵

摘 要：电力系统对民生大计具有非常大的影响，电力系统的安全性是非常重要的。在最近几年中，电力系统多次发生恶性攻击现象，引发极为严重的后果，引起人们的广泛关注。电力行业恶意代码的攻击途径和手段是非常多的，电力行业必须采取有效措施，检测和防护恶意代码。因此，本文对电力行业恶意代码检测和防护进行深入研究，以期能够为保证电力行业的可持续发展，提供一定的参考价值。

关键词：电力行业 恶意代码 检测 防护

中图分类号：TN918 文献标识码：A 文章编号：1674-098X（2018）02（a）-0010-02

恶意代码，就是指一种嵌入到电子邮件或者网页中的脚本代码，而破坏是恶意代码的主要目的。一般情况下，通过邮件收发软件、浏览器软件等途径，便能够在用户端下载到恶意代码，然后在用户不用介入或者进行最小限度调用等，便能够在用户端有效执行恶意代码。与传统意义中的病毒比较，恶意代码是完全不同的，恶意代码是不具有传染特性的，不过恶意代码却具有非常强的欺骗性、破坏性。

1 电力行业恶意代码的检测技术

恶意代码分析方法是非常多的，不过大致可以划分为3种类型，分别为基于代码行为的分析方法、基于代码语义的分析方法、基于代码特征的分析方法。到目前为止，大多数反恶意代码软件主要利用以下几种检查方法，即基于特征码的检测法、启发式检测法、基于行为的检测法等。

1.1 基于特征码的检测法

基于特征码的检测法是一种最为传统、使用最为广泛的检查方法。利用密罐系统，对恶意代码的样本进行提取，对其存在的指令序列进行采集和分析，在反病毒软件对病毒文件进行扫描时，便于比较病毒特征码库和当前的病毒文件，以确定是否存在文件片段，能够和已知特征码进行匹配。

1.2 启发式检测法

启发式检测法，就是指根据恶意代码的特征，设置一个闽值，在扫描器对文件进行分析时，当发现存在和恶意代码特征相类似的文件时，便判定这种文件是恶意代码。

1.3 基于病毒行为的检测法

基于病毒行为的检测法，就是指一种将病毒出现一些特征行为作为依据，对病毒进行监测的方法。在运行程序过程中，对病毒行为进行监视，一旦监测出有病毒行为产生，应及时报警，此外，应运用类神经网络方法，对分析器进行训练，有效识别病毒的行为特征，同时可以采用形式化方法，对恶意代码的特征进行准确定义。

1.4 基于特征函数的检测方法

要想使一些特定功能得以实现，恶意代码一定要运用对应的系统函数，所以假如一个程序对危险特定函数集合进行了调用，我们可以判断可能有恶意代码存在。在加载程序以前，应对代码获取的特定函数集合进行扫描，其中在这个过程中，虚拟机和代码逆向技术应进行有效配合，然后进行有关交集运算，便能够对程序文件利用的危险函数及其类型、功能进行深入了解。

2 电力行业恶意代码的防护技术

迄今为止，电力行业恶意代码的防护技术大致具有两种类型，即恶意代码的事前预防、恶意代码的事后清除。

2.1 恶意代码的事前预防

注册表、邮件收发软件、浏览器是当前恶意代码攻击的主要途径，因此通过对这些软件进行有效设置，能够实现防患于未然。

（1）浏览器的设置。通过对浏览器进行合理设置，能够对Java Applet、ActiveX 控件的运行进行有效控制，同时能够对脚本的运行进行有效禁止。本文以IE6.0为例，具体设置步骤为：第一，对“[Internet] 工具选项”进行选择；第二，对“安全”选项卡进行选定；第三，对某一个安全区域进行选定；第四，对“自定义级别”按钮进行选定，出现“安全设置”对话框；第五，在“安全设置”对话框中科学设置Java Applet、ActiveX 控件、脚本的行为，例如：对于“下载已签名的ActiveX 控件”，设置为“禁用”。IE内的安全区域、Outlook 的安全性、Outlook Express的安全性三者之间的关系是非常密切的，一般来说，为对全部脚本的运行进行有效阻止，常常会将以上3个部分的安全区域，设定为“受限制的站点”。

（2）注册表的锁定。只有对注册表进行有效修改，才能够重新激活恶意代码。所以，我们可以对注册表进行锁定，对注册表的修改功能进行禁止，要想打开注册表，必须要对有关合法软件进行安装。本文以Win2000为例，注册表锁定的具体步骤为以下两点。

第一，对Regedit.exe进行运行，然后进入注册表；第二，“DisableRegistry-Tools”是DWORD类型的键值名，将它的键值设置为1，然后加入到以下程序中，即：

"HKEY _CURRENT _USER＼sofware ＼Microsoft ＼windows ＼Current Version ＼Polices ＼System"

注册表解锁的具体步骤为：

第一，利用记事本，对.reg文件的名称进行任意编輯， 输入以下行内容：

Windows Re gistry Editor Version 5.00

[HKEY _CURRENT _USER＼sofware ＼Microsoft ＼windows ＼Current Version ＼Polices ＼System]

Disable Re gistryTool sn=dword∶00000000

第二，对上述文件进行双击，在注册表中自动导入这些文件。

（3）对防护软件进行安装。和传统意义中的病毒相比，尽管恶意代码和其是完全不一样的，现有的杀毒软件并不能对其起到较大的查杀作用，不过一些比较著名的杀毒软件，还是能够一定程度的防护恶意代码。

（4） 对于一些不良网站，应尽量不要对其进行访问，同时应对一些软件进行及时打补丁、升级。

2.2 恶意代码的事后清除

（1）采用手工方方式，对顽固的恶意代码进行事后清除。顽固的恶意代码一般采用某种方式，如Java applet、ActiveX等，对用户系统进行入侵，对注册表进行有效修改，以便在用户系统中进行长时间入驻。要想对恶意代码进 行有效清除，可以运用对注册表进行修改的方式。针对各种恶意代码，应采用不同的清除方法。

（2）利用一些软件工具，对恶意代码进行查杀、清除。例如，3721 上网助手软件，具有多种功能，包括对恶意网站进行屏蔽、对被锁定的注册表进行打开、对被篡改的IE 瀏览器进行恢复、对恶意代码进行查杀等，所以3721 上网助手软件是一种非常好用的上网辅助工具。

3 电力行业恶意代码防护技术的创新

目前，我国现有的电力行业恶意代码防护技术还是不够完善的，仍然存在较多的问题和缺陷。尽管对Java applet、ActiveX 控件、脚本进行禁用，能够对恶意代码的攻击进行有效预防，不够上网功能却会遭受影响和约束。尽管对注册表进行手工修复，能够对恶意代码进行清除，不够这些操作技巧是非常复杂的，不是任何人都能掌握的。当前已有的部分恶意代码防护软件均具有一样的问题，轻视恶意代码的预防，过于重视恶意代码的清除，导致我们始终处于被动状态之中，另外，不能对恶意代码进行彻底清除，特别是顽固的恶意代码。针对这种情况，本文认为，应对具有清除、预防功能的新型电力行业恶意代码防护系统进行研发。

新型电力行业恶意代码防护系统应高度重视恶意病毒的有效预防，本文从技术角度，将从3个方面进行设计和研发：（ 1） 对浏览器进行扼守。在浏览器执行脚本代码以前，将现有特征码作为依据，已进行有效匹配，对恶意代码进行捕捉，应建立恶意脚本代码特征库。（ 2） 对注册表进行有效监控。第一，针对网页脚本对注册表的修改，应对其进行阻止，同时应对Java applet 对注册表的读写行为、ActiveX 控件进行及时跟踪，一旦发现部分敏感内容被修改，则判定存在恶意代码，且将其列入黑名单中。如果一些读写行为不能进行精准确定，则应警告用户，促使用户参加到判断活动中。（ 3）对文件系统、 Cookie进行保护。警告或者阻止一些行为，如系统目录下对文件的删除行为、对Java applet访问Cookie 信息行为等。Java applet、ActiveX 控件是系统清除的主要对象，因为已实时跟踪Java applet、ActiveX 控件，因为Java applet、ActiveX 控件能够对文件、注册表进行读写，对应的行为也都记录下来，所以可以根据具体记录内容，进行有效修复。

参考文献

[1] 陈良.恶意代码检测中若干关键技术研究[D]. 扬州大学 2016

[2] 张海鹏.恶意代码的行为分析[D]. 南京邮电大学 2016

[3] 赵恒立.恶意代码检测与分类技术研究[D].杭州电子科技大学 2016