基于集成學(xué)習(xí)的智能電網(wǎng)主機(jī)惡意軟件檢測(cè)方法

李旭陽，牛 鑫，胡軍星，袁俊鋒，孟 晗

(1. 國網(wǎng)河南省電力公司 經(jīng)濟(jì)技術(shù)研究院，河南 鄭州 450000；2.大河南九域騰龍信息工程有限公司，河南 鄭州 450000)

隨著信息通信及互聯(lián)網(wǎng)技術(shù)的發(fā)展，智能電網(wǎng)逐步發(fā)展起來，并給電力系統(tǒng)帶來了巨大變革。智能電網(wǎng)是一種新型的電力系統(tǒng)，它能夠監(jiān)測(cè)分析客戶、電網(wǎng)設(shè)備及網(wǎng)絡(luò)節(jié)點(diǎn)上電力流與信息流，控制電力流與信息流雙向流動(dòng)，實(shí)現(xiàn)電網(wǎng)自主優(yōu)化運(yùn)行。

智能電網(wǎng)是建立在集成的、高速雙向通信網(wǎng)絡(luò)的基礎(chǔ)上，通過先進(jìn)的傳感和測(cè)量技術(shù)、先進(jìn)的設(shè)備技術(shù)、先進(jìn)的控制方法以及先進(jìn)的決策支持系統(tǒng)技術(shù)，實(shí)現(xiàn)電網(wǎng)的可靠、安全、經(jīng)濟(jì)、高效、環(huán)境友好和使用安全的目標(biāo)，其主要特征包括自愈、激勵(lì)和包括用戶、抵御攻擊、提供滿足21世紀(jì)用戶需求的電能質(zhì)量、容許各種不同發(fā)電形式的接入、啟動(dòng)電力市場以及資產(chǎn)的優(yōu)化高效運(yùn)行[1-2]。

智能電網(wǎng)給人們生活帶來巨大的便利的同時(shí)，也面臨著一些安全威脅，特別是惡意軟件威脅。在智能電網(wǎng)中，主機(jī)系統(tǒng)安全關(guān)系著信息系統(tǒng)的正確性，攻擊者通過向主機(jī)植入惡意軟件，以達(dá)到破壞電力監(jiān)控系統(tǒng)或篡改、偽造信息流的目的，進(jìn)而影響電力系統(tǒng)的穩(wěn)定性。常見的基于惡意軟件的攻擊類型包括C&C、APT等。

為了能有效抵御惡意軟件威脅，常通過部署惡意軟件檢測(cè)系統(tǒng)對(duì)智能電網(wǎng)主機(jī)操作系統(tǒng)進(jìn)行掃描和檢測(cè)。早期惡意軟件檢測(cè)方法常通過提取惡意軟件可執(zhí)行程序的Hash碼對(duì)其進(jìn)行唯一標(biāo)志，并提取可采集的所有已知惡意軟件的Hash碼構(gòu)建惡意軟件Hash碼庫，通過匹配待檢測(cè)樣本與庫中的Hash碼以判別待檢測(cè)樣本是否是惡意軟件。……