一種基于白名單機制的電力監(jiān)控主機惡意代碼防御方案

胡 海 生

(廣東電網(wǎng)有限責任公司電力科學研究院 廣東 廣州 510080)

一種基于白名單機制的電力監(jiān)控主機惡意代碼防御方案

胡 海 生

(廣東電網(wǎng)有限責任公司電力科學研究院 廣東 廣州 510080)

殺毒軟件等基于黑名單匹配的惡意代碼防御方案無法應(yīng)對新惡意代碼(即利用0day漏洞的惡意代碼)，針對該問題提出基于白名單的電力監(jiān)控主機惡意代碼防御方案。該方案在監(jiān)控主機上構(gòu)建一個可信執(zhí)行軟件模塊，利用白名單匹配指紋的方法保護可信軟件的啟動、阻止不可信軟件的執(zhí)行，提高監(jiān)控主機的安全性；此外設(shè)計管理服務(wù)器對可信執(zhí)行模塊進行集中管理，同時對白名單進行維護。根據(jù)方案研發(fā)系統(tǒng)，并在電力現(xiàn)場環(huán)境進行試點應(yīng)用和實驗。實驗證明本方案能夠識別可信程序和不可信程序，阻止新老惡意代碼執(zhí)行，同時其時間消耗和新增流量不大，處于可控范圍。

白名單 電力監(jiān)控主機 惡意代碼防御

0 引 言

電力監(jiān)控系統(tǒng)作為電力調(diào)度控制的大腦中樞，為輸、變、配電等系統(tǒng)的實時數(shù)據(jù)采集、開關(guān)狀態(tài)檢測及遠程控制提供了基礎(chǔ)平臺[1]。電力監(jiān)控系統(tǒng)包括監(jiān)控主機、服務(wù)器、通信設(shè)備、測控單元等，作為最重要的電力設(shè)施，其安全性決定整個電力生產(chǎn)和服務(wù)的安全可靠性[2]。隨著電力監(jiān)控系統(tǒng)的快速發(fā)展，其面臨的惡意代碼問題也越發(fā)嚴峻。2008年震網(wǎng)病毒給以電力監(jiān)控系統(tǒng)為代表的工控系統(tǒng)敲響了警鐘[3-4]，2015年烏克蘭停電事件則是第一起對電力基礎(chǔ)設(shè)施具有針對性的惡意軟件攻擊事件[5]，2016年初以色列電力局稱遭受到嚴重的網(wǎng)絡(luò)攻擊，其監(jiān)控主機重要存儲被加密以致無法正常工作[6]。在這些事件中，黑客利用病毒、木馬等惡意代碼攻擊控制系統(tǒng)、監(jiān)控主機造成系統(tǒng)和主機工作異常且難以恢復，造成嚴重的攻擊后果[7]。

針對當前電力監(jiān)控系統(tǒng)遭受惡意代碼攻擊的現(xiàn)狀，現(xiàn)階段通用的做法是在監(jiān)控系統(tǒng)的服務(wù)器和工作站安裝殺毒軟件，并在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)邊界處安裝防火墻、加密網(wǎng)關(guān)或防病毒網(wǎng)關(guān)設(shè)備等[8-9]。但是這些方法存在如下不足：

1) 殺毒軟件采用黑名單的方法對匹配病毒特征值，對新惡意代碼(利用0 day漏洞的惡意代碼)無能為力，無法應(yīng)對類似“震網(wǎng)事件”、“烏克蘭停電事件”的APT攻擊[10-13]。

2) 殺毒軟件容易誤殺電力監(jiān)控軟件和漏殺惡意代碼，嚴重影響電力監(jiān)控系統(tǒng)的可靠性和功能連續(xù)性。

針對電力監(jiān)控系統(tǒng)目前防御方案存在的不足，本文引入基于白名單的可信執(zhí)行機制[14,16]，提出一種基于白名單機制的電力監(jiān)控主機惡意代碼防御方案。該方案在監(jiān)控主機上構(gòu)建一個可信程序執(zhí)行模塊，對監(jiān)控主機上執(zhí)行程序進行指紋驗證，確保只有在白名單中注冊的軟件版本(即可信軟件)才能執(zhí)行，未經(jīng)注冊的軟件(即不可信軟件)不可執(zhí)行。本方案引入一個管理服務(wù)器維護白名單，并對可信執(zhí)行模塊的統(tǒng)一管理和配置。基于白名單機制的惡意代碼防御方案通過對監(jiān)控主機的驗證和執(zhí)行約束，保證除已注冊軟件外的所有惡意代碼不再具備執(zhí)行發(fā)作的機會，從根本上切斷病毒木馬等惡意代碼的破壞途徑。

根據(jù)方案設(shè)計，本研究開發(fā)基于白名單機制的電力監(jiān)控主機惡意代碼防御系統(tǒng)，并在變電站監(jiān)控系統(tǒng)中進行了試點運行和實驗驗證。實驗結(jié)果表明，本系統(tǒng)能夠識別可信和不可信程序，有效阻止不可信程序代碼的運行。同時對具備新特征的惡意代碼(如利用0day漏洞的惡意代碼)具備良好的攔截能力，彌補現(xiàn)有防御方案無法抵御新惡意代碼的問題。

1 相關(guān)研究

1.1 殺毒軟件

常見的惡意代碼防控技術(shù)方案為殺毒軟件、防病毒網(wǎng)關(guān)等[9-10,12]。這一類技術(shù)方案可歸納為基于黑名單的防控方案，其將可疑代碼的特征或者行為作為評判標準，通過與病毒庫、惡意代碼庫進行匹配，確認可疑代碼是否是惡意的攻擊代碼。基于黑名單的惡意代碼防控技術(shù)本質(zhì)上為被動查殺方法，針對電力監(jiān)控系統(tǒng)的惡意代碼防御時，其存在如下不足：1) 較少考慮電力監(jiān)控系統(tǒng)可靠性、功能連續(xù)性的要求，容易造成電力監(jiān)控系統(tǒng)計算、網(wǎng)絡(luò)、存儲負載過大，以致影響功能穩(wěn)定性[15]；2) 無法應(yīng)對新的惡意代碼或者新病毒；3) 惡意代碼庫在使用過程中需要不斷獲取惡意代碼特征更新，導致庫的規(guī)模不斷擴大，其存儲、查詢、計算效率不斷降低，嚴重影響主機、系統(tǒng)的正常運行[16]。

基于對當前惡意代碼防御技術(shù)方案的不足，包括殺毒軟件在內(nèi)的現(xiàn)有方案無法適用于電力監(jiān)控系統(tǒng)。因此急需一種新的技術(shù)方案實現(xiàn)對電力監(jiān)控系統(tǒng)惡意代碼防御。

1.2 白名單技術(shù)

白名單與黑名單主要作為一種訪問控制的形式，白名單對應(yīng)于允許的行為或?qū)嶓w，黑名單對應(yīng)于不允許的行為和實體[17-19]。與黑名單相反，白名單其將“好”的特征或者“可信”的特征作為匹配的標準，將“可信”特征構(gòu)建成一個白名單匹配庫，執(zhí)行和訪問的時候，通過匹配白名單庫，查看訪問實體和執(zhí)行實體是否可信，從而確定是否允許該實體執(zhí)行和訪問。

白名單技術(shù)適用于功能單一、程序數(shù)量少、安全需求高的主機和網(wǎng)絡(luò)設(shè)備。電力監(jiān)控主機在生產(chǎn)現(xiàn)場中僅安裝監(jiān)控程序，其程序簡單；同時其安全需求級別較高[1-2]，因此適合采用白名單技術(shù)進行安全防護。

白名單技術(shù)目前在產(chǎn)業(yè)界應(yīng)用較為廣泛，國外大型安全廠商Lumension 、卡巴斯基、CoreTrace均推出沿用白名單思想的安全防護方案，國內(nèi)也出現(xiàn)中網(wǎng)S3、E盾等基于白名單的安全產(chǎn)品，這些方案和產(chǎn)品目前僅針對通用主機、服務(wù)器的防護，缺乏對電力監(jiān)控系統(tǒng)主機具有針對性的防護方案。

1.3 常見電力監(jiān)控主機與其軟件特性[1-2]

常見的電力監(jiān)控系統(tǒng)包括能量管理系統(tǒng)(即EMS)、繼電保護與故障信息管理系統(tǒng)、計量自動化系統(tǒng)、變電站視頻監(jiān)控及環(huán)境系統(tǒng)等。這些系統(tǒng)由各類功能子系統(tǒng)、服務(wù)器、數(shù)據(jù)庫、工作站、應(yīng)用軟件、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備等構(gòu)成。一般意義上的電力監(jiān)控主機包括各類服務(wù)器(包括應(yīng)用服務(wù)器、中間件服務(wù)器、采集服務(wù)器、前置服務(wù)器、Web服務(wù)器、網(wǎng)管服務(wù)器等)與工作站(維護工作站、調(diào)度員工作站、培訓工作站等)。電力監(jiān)控主機常采用“胖服務(wù)器和瘦工作站”的形式。

電力監(jiān)控系統(tǒng)服務(wù)器的軟件一般為“精簡操作系統(tǒng)-中間件-單個應(yīng)用”的模式，其軟硬件均為成熟的可靠性高的產(chǎn)品，其具備軟件版本固定、軟件更新周期長等特點。后臺工作站一般為瘦終端，具備遠程登錄和簡單的操作，一般包括登錄client、瀏覽器、常見的ssh服務(wù)、ftp服務(wù)等。

根據(jù)電力監(jiān)控主機的工作模式，其具備如下的特點：

1) 軟件功能和行為單一，合法的軟件行為特征易識別，生成維護軟件白名單較容易。

2) 監(jiān)控軟件更新緩慢，更新?lián)Q代周期為幾年甚至是十幾年。其白名單幾乎沒有維護的成本。

根據(jù)1.2節(jié)的分析，白名單技術(shù)從“未知的軟件中識別可信的程序”，因此，其適用于功能單一、程序數(shù)量少、安全需求高的電力監(jiān)控主機。

2 基于白名單機制的惡意代碼防御方案

本文基于白名單的思想，設(shè)計基于白名單機制的電力監(jiān)控主機惡意代碼防御方案，對電力監(jiān)控主機、服務(wù)器上運行代碼執(zhí)行指紋生成和白名單匹配驗證，確保只有在白名單注冊的合法程序才能執(zhí)行，使電力監(jiān)控主機免受惡意代碼的威脅，彌補殺毒軟件等常見方案無法查殺新病毒新木馬的缺陷。

2.1 整體架構(gòu)

本方案整體架構(gòu)為客戶端-服務(wù)器架構(gòu)，如圖1所示，其包含兩個部分：白名單管理服務(wù)器和可信執(zhí)行模塊。

圖1 基于白名單機制的惡意代碼防御方案整體架構(gòu)

其中管理服務(wù)器連接在主干網(wǎng)交換機上，提供對電力監(jiān)控系統(tǒng)中監(jiān)控主機和服務(wù)器的可信軟件的認證、白名單庫的生成、維護、白名單管理、安全審計、可信執(zhí)行模塊的配置管理?？尚懦绦驁?zhí)行模塊作為agent程序安裝在監(jiān)控主機和業(yè)務(wù)服務(wù)器上，受管理服務(wù)器的集中控制，其提供對業(yè)務(wù)服務(wù)器、監(jiān)控主機的程序執(zhí)行驗證功能，包括程序執(zhí)行攔截、指紋值計算、白名單匹配、執(zhí)行判定等操作。保護可信程序(在白名單中有注冊的程序)正常執(zhí)行，攔截并阻止不可信程序或不可信代碼執(zhí)行，有效切斷不可信程序(如惡意代碼、非授權(quán)軟件等)的執(zhí)行途徑，保護電力監(jiān)控主機的安全。

2.2 管理服務(wù)器

管理服務(wù)器的設(shè)計目的是實現(xiàn)對主機本地可信執(zhí)行模塊和白名單緩存的有效管理。管理服務(wù)器對分散在電力監(jiān)控主機上的可信執(zhí)行模塊進行集中配置，并針對電力監(jiān)控主機上的軟件安裝、版本更新、軟件卸載等過程更新維護白名單庫，確保白名單庫和白名單緩存的時效性。

管理服務(wù)器包含如下幾大功能：可信執(zhí)行模塊配置、可信軟件管理、白名單生成、白名單維護、白名單下發(fā)、白名單撤銷管理、日志管理和審計。

可信執(zhí)行模塊配置該功能集中配置各可信執(zhí)行模塊，對不同的監(jiān)控主機、業(yè)務(wù)服務(wù)器提供配置模板和可定制配置接口，允許運行維護人員對可信執(zhí)行模塊的有效配置。

可信軟件管理該功能提供對軟件可信性的認證：1) 運維人員將干凈的軟件版本(即未受惡意代碼感染的軟件版本，一般為經(jīng)過安全驗證的出廠軟件)上傳到管理服務(wù)器；2) 對軟件的版本、權(quán)限、使用者進行認證，確保在電力監(jiān)控主機上運行的軟件都是來源于可信的軟件廠商，其版本正確，且對應(yīng)使用者的權(quán)限準確無誤。

白名單生成管理服務(wù)器需對可信軟件、程序進程關(guān)鍵區(qū)域(如關(guān)鍵的數(shù)據(jù)段和代碼段等)、腳本等內(nèi)容生成白名單，白名單為一個7元組WHITELIST：{ID, name,version,hash,softsize,authority,description}Sig_server 其中白名單7個字段分別為軟件ID、軟件名、版本號、指紋值、軟件大小、執(zhí)行權(quán)限、軟件描述，除了description可選，其他字段必須提供。整個白名單需要由管理服務(wù)器簽名。值得注意的是，白名單最重要的字段為指紋值、執(zhí)行權(quán)限和整個白名單的簽名，這三個字段供主機端的可信執(zhí)行模塊進行匹配和驗證，保證只有與白名單匹配的程序才能執(zhí)行。

白名單維護該功能提供對白名單的增、查、改功能。

白名單下發(fā)管理服務(wù)器提供兩種方法供可信執(zhí)行模塊查詢白名單：1) 白名單下發(fā)。管理服務(wù)器定時向或者實時向監(jiān)控主機推送下發(fā)白名單，由于電力監(jiān)控軟件更新頻率低，也就決定下發(fā)推送的頻率不高，不會造成顯著的流量增加；2) 白名單主動查詢。工作站和業(yè)務(wù)服務(wù)器運行軟件時，發(fā)現(xiàn)該軟件指紋無法匹配本地白名單緩存，需要向管理服務(wù)器進行主動查詢，管理服務(wù)器收到消息對白名單庫進行搜索，將搜索結(jié)果反饋給主機的可信執(zhí)行模塊。

白名單撤銷管理當工作站和服務(wù)器軟件失效或者過期，需要對軟件白名單進行撤銷管理，該過程需要運維人員的參與，必須提供運維人員的賬戶口令和對應(yīng)權(quán)限才能執(zhí)行這一操作。

日志管理和審計當可信執(zhí)行模塊無法在主機本地匹配白名單時，需要訪問管理服務(wù)器；管理服務(wù)器接收到消息，將相關(guān)操作記錄在日志以供后續(xù)審計。該功能提供對本地非匹配執(zhí)行情況進行記錄，為后續(xù)判定疑似惡意代碼執(zhí)行提供審計日志支撐。

管理服務(wù)器利用可信軟件管理功能，完成對電力監(jiān)控主機上的軟件安裝、版本更新、軟件卸載等過程的管控，并通過白名單生成、維護、下發(fā)、撤銷等功能實現(xiàn)對主機本地白名單緩存的有效管理，確保白名單的時效性，完成對可信執(zhí)行模塊的有效管理。

2.3 可信執(zhí)行模塊

可信執(zhí)行模塊為一個軟件模塊，其作為目標保護主機和目標保護服務(wù)器上的agent程序，如圖2所示。從底向上分為四層：驅(qū)動層、核心處理層、接口層和應(yīng)用層。其中驅(qū)動層為核心處理層提供必要的底層驅(qū)動程序，包括進程消息攔截驅(qū)動等。核心處理層實現(xiàn)可信執(zhí)行模塊核心功能，包括軟件執(zhí)行管理模塊、白名單緩存管理模塊、證書管理模塊和告警日志生成模塊。接口層為提供給本地配置管理和遠程配置管理的接口；應(yīng)用層提供可信執(zhí)行模塊全部的功能，包括程序攔截、指紋值計算、白名單匹配、白名單緩存更新和程序執(zhí)行判定。

圖2 可信執(zhí)行模塊層次圖

需要重點提到的是，可信執(zhí)行模塊中的白名單緩存和證書均是通過加密存儲在本地，加密密鑰和證書的簽發(fā)和管理由管理服務(wù)器進行統(tǒng)一管理。此外，白名單緩存的訪問權(quán)限由可信執(zhí)行模塊控制，確保白名單不會被外部攻擊者竊取和篡改。

2.4 防護方案的執(zhí)行流程

基于白名單機制的惡意代碼防御方案執(zhí)行流程如圖3所示。

圖3 應(yīng)用白名單保護方案的程序執(zhí)行流程

1) 程序加載進內(nèi)存，準備獲取CPU執(zhí)行權(quán)；2) 由可信執(zhí)行模塊截獲執(zhí)行的進程消息，并將該進程掛起；3) 可信執(zhí)行模塊計算該進程關(guān)鍵代碼區(qū)、數(shù)據(jù)區(qū)等關(guān)鍵區(qū)域的指紋；4) 將該指紋作為關(guān)鍵字在本地的白名單緩存中匹配查找和驗證；5) 判斷驗證結(jié)果，如果白名單緩存有記錄且驗證成功則直接運行并結(jié)束，如果無記錄或驗證不成功則向管理服務(wù)器請求在服務(wù)器端的白名單中查找指紋記錄；6) 客戶端接收管理服務(wù)器反饋的結(jié)果，如果該指紋未注冊，則交由管理員決定是否運行；否則7)將管理服務(wù)器的白名單更新本地緩存，并進入到4)。

值得一提的是，白名單緩存存在于可信執(zhí)行模塊本地，受到可信執(zhí)行模塊的保護。管理服務(wù)器管理電力監(jiān)控主機上的軟件的安裝、更新、卸載等過程，并主動對主機本地白名單緩存進行更新，確保白名單的時效性。

3 實驗驗證

本研究開發(fā)基于白名單機制的惡意代碼防御系統(tǒng)，并將該系統(tǒng)在某供電局調(diào)度控制中心EMS系統(tǒng)(調(diào)度自動化系統(tǒng))進行實驗和試點應(yīng)用。

3.1 實 驗

地點：某供電局EMS系統(tǒng)及其備用EMS系統(tǒng)機房。

工作站配置：工作站#1、工作站#2和工作站#3主機配備 Intel (R) Core(TM) i3 CPU;2 GB RAM; Windows 2000 NT 5.0;應(yīng)用為open3000 login client；在工作站#1安裝Windows版可信執(zhí)行模塊。

服務(wù)器配置： 服務(wù)器#1、服務(wù)器#2和服務(wù)器#3配備Intel(R) Xeon(R) CPU E7-4830,32 GB RAM ;Linux NewWatch2-1 2.6.18-194 ；應(yīng)用為DF8003；在服務(wù)器#1安裝Linux版可信執(zhí)行模塊。

實驗1在工作站#1(安裝可信執(zhí)行模塊)和工作站#2(普通監(jiān)控主機)上分別運行可信程序(白名單注冊過的)和非可信程序(未在白名單注冊過的)20次；在服務(wù)器#1(安裝有可信執(zhí)行模塊)和服務(wù)器#2(普通服務(wù)器)上分別運行可信程序(已經(jīng)在白名單中注冊)與非可信程序(未在白名單中注冊)20次，查看運行情況和平均運行時間。實驗效果如表1和表2所示。

表1 安裝有可信執(zhí)行模塊的機器與普通機器的程序執(zhí)行對比情況

表2 程序啟動20次平均增加的時間

根據(jù)表1，工作站#1和服務(wù)器#1能夠識別可信和不可信程序，并對不可信程序?qū)嵤r截；根據(jù)表2，相比普通主站#2，工作站#1成功啟動程序增加的平均時間為9.2 s-8.7 s=0.5 s，增長率為0.5 s/8.7 s=5.7%；相比普通服務(wù)器#2，服務(wù)器#1成功啟動程序增加的平均時間為21.1 s-19.4 s=1.7 s，增長率為1.7 s/19.4 s=8.8%。

由表1和表2可得，安裝有可信執(zhí)行模塊的工作站和服務(wù)器能夠有效識別可信程序和不可信程序，保證可信程序正常啟動運行，阻止不可信程序運行；同時本系統(tǒng)對程序啟動時間的影響不大。

實驗2測試安裝有可信執(zhí)行模塊的工作站#1、安裝有可信執(zhí)行模塊服務(wù)器#1，普通工作站#2、普通服務(wù)器#2，安裝有殺毒軟件的工作站#3和安裝有殺毒軟件的服務(wù)器#3對新老惡意代碼的檢測防御能力。如表3所示，本實驗采用4個漏洞編寫相應(yīng)的POC(漏洞驗證攻擊代碼)。其中新漏洞尚未發(fā)布相關(guān)的補丁，可以作為攻擊入口編寫新攻擊代碼POC#1、POC#2。同理，舊攻擊代碼POC#3和POC#4均以舊漏洞為攻擊入口。

表3 Windows和Linux攻擊代碼

攻擊代碼POC#1和POC#2分別執(zhí)行對三臺工作站的攻擊；攻擊代碼POC#3和POC#4分別執(zhí)行對三臺服務(wù)器的攻擊；查看運行攻擊結(jié)果，如表4所示。

表4 工作站針對新老惡意代碼的防護對比情況

根據(jù)表4可得，安裝殺毒軟件的工作站#3和服務(wù)器#3只能對老惡意代碼有識別能力，無法識別新惡意代碼。而配有可信執(zhí)行模塊的工作站#1和服務(wù)器#1對新老惡意代碼均具備良好的防御能力。

實驗3部署惡意代碼防御方案的系統(tǒng)新增的流量情況。即測試與管理服務(wù)器和工作站連接的骨干交換機的流量，測試時間段為24小時，每隔3小時采樣一次。

如表5，安裝防御系統(tǒng)的平均流量為398.625 KB/s，未安裝防御系統(tǒng)的流量為374.25 KB/s，平均新增流量為(398.625-374.25) KB/s=24.375 KB/s,增長率為24.375/374.25=6.5%。如圖4所示，流量增加處于較為平穩(wěn)的狀態(tài)，24小時內(nèi)未出現(xiàn)流量陡增的情況。

表5 部署安全防御系統(tǒng)的流量與普通流量的對比

圖4 部署安全防御系統(tǒng)的流量與普通流量的對比

3.2 討 論

本文對電力監(jiān)控主機白名單防護系統(tǒng)的安全功能、效率進行了實驗，實驗證明基于白名單的電力監(jiān)控主機防護系統(tǒng)對新老攻擊代碼均具備良好的防控能力，且額外增加的時間消耗不大。但是將該系統(tǒng)部署于電力監(jiān)控系統(tǒng)中，需要結(jié)合電力監(jiān)控主機可靠性要求高、功能連續(xù)性的特點對基于白名單的防護系統(tǒng)進行進一步改進和優(yōu)化。

1) 基于白名單機制的電力監(jiān)控系統(tǒng)惡意代碼防御方案目前適用于Windows版和Linux環(huán)境，針對其他環(huán)境如AIX等尚需進行擴展和完善。

2) 可信執(zhí)行模塊在軟件啟動前需要進行指紋生成、比對等操作，本次實驗中Windows版可信執(zhí)行模塊時間消耗增加了5.7%；服務(wù)器版可信執(zhí)行模塊時間消耗增加了8.8%，需要進一步提高效率，降低額外增加的時間消耗。

3) 本方案保護對象為增量和存量電力監(jiān)控主機，針對大量存量主機軟硬件老化嚴重的現(xiàn)狀，需要做針對性的定制，降低可信執(zhí)行模塊的計算存儲資源的消耗，保證安裝有可信執(zhí)行模塊的存量系統(tǒng)的正常運行。

4 結(jié) 語

本文針對電力監(jiān)控系統(tǒng)的惡意代碼防御問題，提出基于白名單的電力監(jiān)控主機惡意代碼防御方案。該方案利用白名單對執(zhí)行前的程序進行指紋驗證，確保只有在白名單中注冊過的程序(即可信的程序)才能執(zhí)行，切斷惡意代碼在電力監(jiān)控主機和服務(wù)器上執(zhí)行的條件。本研究開發(fā)基于白名單的惡意代碼防御系統(tǒng)，包括Windows版和Linux版，將兩個版本的系統(tǒng)在電力調(diào)控中心主站系統(tǒng)環(huán)境進行實驗和試點運行。實驗結(jié)果表明，防護系統(tǒng)對Windows和Linux版本的新老惡意代碼均具備良好的識別能力和阻止其運行的能力。同時本系統(tǒng)的時間消耗不大，此外基于白名單的惡意代碼防御系統(tǒng)所產(chǎn)生的流量不大，處于可控范圍。

本文結(jié)合電力監(jiān)控主機可靠性、功能連續(xù)性要求高的特點以及存量電力監(jiān)控主機軟硬件老化的現(xiàn)狀，對本方案以及防護系統(tǒng)防護方案的適用性、性能等內(nèi)容進行了討論，并指出了下一步需要改進的方向。

[1] 姚建國,楊勝春,高宗和,等.電網(wǎng)調(diào)度自動化系統(tǒng)發(fā)展趨勢展望[J].電力系統(tǒng)自動化,2007,31(13):7-11.

[2] 陳樹勇,宋書芳,李蘭欣,等.智能電網(wǎng)技術(shù)綜述[J].電網(wǎng)技術(shù),2009,33(8):1-7.

[3] 巴維爾,孫書貴,楊國輝.震網(wǎng)病毒與應(yīng)對防護[J].中國信息安全,2011(2):46-50.

[4] 蘇盛,吳長江,馬鈞,等.基于攻擊方視角的電力CPS網(wǎng)絡(luò)攻擊模式分析[J].電網(wǎng)技術(shù),2014,38(11):3115-3120.

[5] 童曉陽,王曉茹.烏克蘭停電事件引起的網(wǎng)絡(luò)攻擊與電網(wǎng)信息安全防范思考[J].電力系統(tǒng)自動化,2016,40(7):144-148.

[6] 郭慶來,辛蜀駿,王劍輝,等.由烏克蘭停電事件看信息能源系統(tǒng)綜合安全評估[J].電力系統(tǒng)自動化,2016,40(5):145-147.

[7] 李中偉,佟為明,金顯吉.智能電網(wǎng)信息安全防御體系與信息安全測試系統(tǒng)構(gòu)建烏克蘭和以色列國家電網(wǎng)遭受網(wǎng)絡(luò)攻擊事件的思考與啟示[J].電力系統(tǒng)自動化,2016,40(8):147-151.

[8] 張濤.電網(wǎng)信息安全有四大核心問題[J].國家電網(wǎng),2016(2):25-26.

[9] 孔德光,譚小彬,奚宏生,等.提升多維特征檢測迷惑惡意代碼[J].軟件學報,2011,22(3):522-533.

[10] 劉巍偉,石勇,郭煜,等.一種基于綜合行為特征的惡意代碼識別方法[J].電子學報,2009,37(4):696-700.

[11] 向林泓.主動防御技術(shù)的研究和實現(xiàn)[D].成都:電子科技大學,2011.

[12] 蘆天亮.基于人工免疫系統(tǒng)的惡意代碼檢測技術(shù)研究[D].北京:北京郵電大學,2013.

[13] 王蕊,馮登國,楊軼,等.基于語義的惡意代碼行為特征提取及檢測方法[J].軟件學報,2012,23(2):378-393.

[14] 李振.應(yīng)用程序白名單系統(tǒng)的設(shè)計與實現(xiàn)[D].北京:北京工業(yè)大學,2015.

[15] 鄒春明,鄭志千,劉智勇,等.電力二次安全防護技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用[J].電網(wǎng)技術(shù),2013,37(11):3227-3232.

[16] 孟令強,關(guān)勇,張向紅,等.基于可信計算的應(yīng)用程序白名單管理系統(tǒng)[J].計算機安全,2010(10):16-17.

[17] 汪鋒,周大水.白名單主動防御系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機工程與設(shè)計,2011,32(7):2241-2244.

[18] 林曦君.基于白名單機制的安全辦公系統(tǒng)的設(shè)計與實現(xiàn)[D].北京:北京工業(yè)大學,2014.

[19] 汪鋒.白名單主動防御系統(tǒng)的設(shè)計與實現(xiàn)[D].濟南:山東大學,2011.

ASOLUTIONOFMALWAREDEFENSEBASEDONWHITE-LISTFORPOWERSUPERVISORYHOSTS

Hu Haisheng

(ElectricPowerResearchInstituteofGuangdongPowerGrid,Guangzhou510080,Guangdong,China)

Traditional defense solutions against malware are based on blacklist (e.g., anti-virus software.), which cannot cope with new Malwares (i.e., malicious code that exploits 0day vulnerabilities). Therefore, we present a malware defense solution based on white-list for power supervisory hosts. This scheme built a code execution control module on the monitoring hosts, which protected the startup of trusted software and blocked the execution of malware. Hence, security of monitoring hosts was improved. Moreover, the design management server centrally managed the trusted execution module, and maintained the white list. We designed and developed the system according to the solution, and carried out pilot application and experiment in the transformer substation. The experiment showed the system could recognize trusted software and malware to prevent the execution of both new and old malware. Meanwhile, its time consumption and new traffic were in reasonable scope during the process of recognition.

White-list Power supervisory hosts Malware defense

TP309

A

10.3969/j.issn.1000-386x.2017.09.023

2016-11-04。胡海生，工程師，主研領(lǐng)域：信息安全，可信計算，電力自動化。