电力行业恶意代码检测和防护
2018-07-26杨宏宇施海兵屈卫锋颜玮玮代荣王海兵
杨宏宇 施海兵 屈卫锋 颜玮玮 代荣 王海兵
摘 要:电力系统对民生大计具有非常大的影响,电力系统的安全性是非常重要的。在最近几年中,电力系统多次发生恶性攻击现象,引发极为严重的后果,引起人们的广泛关注。电力行业恶意代码的攻击途径和手段是非常多的,电力行业必须采取有效措施,检测和防护恶意代码。因此,本文对电力行业恶意代码检测和防护进行深入研究,以期能够为保证电力行业的可持续发展,提供一定的参考价值。
关键词:电力行业 恶意代码 检测 防护
中图分类号:TN918 文献标识码:A 文章编号:1674-098X(2018)02(a)-0010-02
恶意代码,就是指一种嵌入到电子邮件或者网页中的脚本代码,而破坏是恶意代码的主要目的。一般情况下,通过邮件收发软件、浏览器软件等途径,便能够在用户端下载到恶意代码,然后在用户不用介入或者进行最小限度调用等,便能够在用户端有效执行恶意代码。与传统意义中的病毒比较,恶意代码是完全不同的,恶意代码是不具有传染特性的,不过恶意代码却具有非常强的欺骗性、破坏性。
1 电力行业恶意代码的检测技术
恶意代码分析方法是非常多的,不过大致可以划分为3种类型,分别为基于代码行为的分析方法、基于代码语义的分析方法、基于代码特征的分析方法。到目前为止,大多数反恶意代码软件主要利用以下几种检查方法,即基于特征码的检测法、启发式检测法、基于行为的检测法等。
1.1 基于特征码的检测法
基于特征码的检测法是一种最为传统、使用最为广泛的检查方法。利用密罐系统,对恶意代码的样本进行提取,对其存在的指令序列进行采集和分析,在反病毒软件对病毒文件进行扫描时,便于比较病毒特征码库和当前的病毒文件,以确定是否存在文件片段,能够和已知特征码进行匹配。
1.2 启发式检测法
启发式检测法,就是指根据恶意代码的特征,设置一个闽值,在扫描器对文件进行分析时,当发现存在和恶意代码特征相类似的文件时,便判定这种文件是恶意代码。
1.3 基于病毒行为的检测法
基于病毒行为的检测法,就是指一种将病毒出现一些特征行为作为依据,对病毒进行监测的方法。在运行程序过程中,对病毒行为进行监视,一旦监测出有病毒行为产生,应及时报警,此外,应运用类神经网络方法,对分析器进行训练,有效识别病毒的行为特征,同时可以采用形式化方法,对恶意代码的特征进行准确定义。
1.4 基于特征函数的检测方法
要想使一些特定功能得以实现,恶意代码一定要运用对应的系统函数,所以假如一个程序对危险特定函数集合进行了调用,我们可以判断可能有恶意代码存在。在加载程序以前,应对代码获取的特定函数集合进行扫描,其中在这个过程中,虚拟机和代码逆向技术应进行有效配合,然后进行有关交集运算,便能够对程序文件利用的危险函数及其类型、功能进行深入了解。
2 电力行业恶意代码的防护技术
迄今为止,电力行业恶意代码的防护技术大致具有两种类型,即恶意代码的事前预防、恶意代码的事后清除。
2.1 恶意代码的事前预防
注册表、邮件收发软件、浏览器是当前恶意代码攻击的主要途径,因此通过对这些软件进行有效设置,能够实现防患于未然。
(1)浏览器的设置。通过对浏览器进行合理设置,能够对Java Applet、ActiveX 控件的运行进行有效控制,同时能够对脚本的运行进行有效禁止。本文以IE6.0为例,具体设置步骤为:第一,对“[Internet] 工具选项”进行选择;第二,对“安全”选项卡进行选定;第三,对某一个安全区域进行选定;第四,对“自定义级别”按钮进行选定,出现“安全设置”对话框;第五,在“安全设置”对话框中科学设置Java Applet、ActiveX 控件、脚本的行为,例如:对于“下载已签名的ActiveX 控件”,设置为“禁用”。IE内的安全区域、Outlook 的安全性、Outlook Express的安全性三者之间的关系是非常密切的,一般来说,为对全部脚本的运行进行有效阻止,常常会将以上3个部分的安全区域,设定为“受限制的站点”。
(2)注册表的锁定。只有对注册表进行有效修改,才能够重新激活恶意代码。所以,我们可以对注册表进行锁定,对注册表的修改功能进行禁止,要想打开注册表,必须要对有关合法软件进行安装。本文以Win2000为例,注册表锁定的具体步骤为以下两点。
第一,对Regedit.exe进行运行,然后进入注册表;第二,“DisableRegistry-Tools”是DWORD类型的键值名,将它的键值设置为1,然后加入到以下程序中,即:
"HKEY _CURRENT _USER\sofware \Microsoft \windows \Current Version \Polices \System"
注册表解锁的具体步骤为:
第一,利用记事本,对.reg文件的名称进行任意编輯, 输入以下行内容:
Windows Re gistry Editor Version 5.00
[HKEY _CURRENT _USER\sofware \Microsoft \windows \Current Version \Polices \System]
Disable Re gistryTool sn=dword∶00000000
第二,对上述文件进行双击,在注册表中自动导入这些文件。
(3)对防护软件进行安装。和传统意义中的病毒相比,尽管恶意代码和其是完全不一样的,现有的杀毒软件并不能对其起到较大的查杀作用,不过一些比较著名的杀毒软件,还是能够一定程度的防护恶意代码。
(4) 对于一些不良网站,应尽量不要对其进行访问,同时应对一些软件进行及时打补丁、升级。
2.2 恶意代码的事后清除
(1)采用手工方方式,对顽固的恶意代码进行事后清除。顽固的恶意代码一般采用某种方式,如Java applet、ActiveX等,对用户系统进行入侵,对注册表进行有效修改,以便在用户系统中进行长时间入驻。要想对恶意代码进 行有效清除,可以运用对注册表进行修改的方式。针对各种恶意代码,应采用不同的清除方法。
(2)利用一些软件工具,对恶意代码进行查杀、清除。例如,3721 上网助手软件,具有多种功能,包括对恶意网站进行屏蔽、对被锁定的注册表进行打开、对被篡改的IE 瀏览器进行恢复、对恶意代码进行查杀等,所以3721 上网助手软件是一种非常好用的上网辅助工具。
3 电力行业恶意代码防护技术的创新
目前,我国现有的电力行业恶意代码防护技术还是不够完善的,仍然存在较多的问题和缺陷。尽管对Java applet、ActiveX 控件、脚本进行禁用,能够对恶意代码的攻击进行有效预防,不够上网功能却会遭受影响和约束。尽管对注册表进行手工修复,能够对恶意代码进行清除,不够这些操作技巧是非常复杂的,不是任何人都能掌握的。当前已有的部分恶意代码防护软件均具有一样的问题,轻视恶意代码的预防,过于重视恶意代码的清除,导致我们始终处于被动状态之中,另外,不能对恶意代码进行彻底清除,特别是顽固的恶意代码。针对这种情况,本文认为,应对具有清除、预防功能的新型电力行业恶意代码防护系统进行研发。
新型电力行业恶意代码防护系统应高度重视恶意病毒的有效预防,本文从技术角度,将从3个方面进行设计和研发:( 1) 对浏览器进行扼守。在浏览器执行脚本代码以前,将现有特征码作为依据,已进行有效匹配,对恶意代码进行捕捉,应建立恶意脚本代码特征库。( 2) 对注册表进行有效监控。第一,针对网页脚本对注册表的修改,应对其进行阻止,同时应对Java applet 对注册表的读写行为、ActiveX 控件进行及时跟踪,一旦发现部分敏感内容被修改,则判定存在恶意代码,且将其列入黑名单中。如果一些读写行为不能进行精准确定,则应警告用户,促使用户参加到判断活动中。( 3)对文件系统、 Cookie进行保护。警告或者阻止一些行为,如系统目录下对文件的删除行为、对Java applet访问Cookie 信息行为等。Java applet、ActiveX 控件是系统清除的主要对象,因为已实时跟踪Java applet、ActiveX 控件,因为Java applet、ActiveX 控件能够对文件、注册表进行读写,对应的行为也都记录下来,所以可以根据具体记录内容,进行有效修复。
参考文献
[1] 陈良.恶意代码检测中若干关键技术研究[D]. 扬州大学 2016
[2] 张海鹏.恶意代码的行为分析[D]. 南京邮电大学 2016
[3] 赵恒立.恶意代码检测与分类技术研究[D].杭州电子科技大学 2016