電力行業惡意代碼檢測和防護

楊宏宇 施海兵 屈衛鋒 顏瑋瑋 代榮 王海兵

摘 要：電力系統對民生大計具有非常大的影響，電力系統的安全性是非常重要的。在最近幾年中，電力系統多次發生惡性攻擊現象，引發極為嚴重的后果，引起人們的廣泛關注。電力行業惡意代碼的攻擊途徑和手段是非常多的，電力行業必須采取有效措施，檢測和防護惡意代碼。因此，本文對電力行業惡意代碼檢測和防護進行深入研究，以期能夠為保證電力行業的可持續發展，提供一定的參考價值。

關鍵詞：電力行業 惡意代碼 檢測 防護

中圖分類號：TN918 文獻標識碼：A 文章編號：1674-098X（2018）02（a）-0010-02

惡意代碼，就是指一種嵌入到電子郵件或者網頁中的腳本代碼，而破壞是惡意代碼的主要目的。一般情況下，通過郵件收發軟件、瀏覽器軟件等途徑，便能夠在用戶端下載到惡意代碼，然后在用戶不用介入或者進行最小限度調用等，便能夠在用戶端有效執行惡意代碼。與傳統意義中的病毒比較，惡意代碼是完全不同的，惡意代碼是不具有傳染特性的，不過惡意代碼卻具有非常強的欺騙性、破壞性。

1 電力行業惡意代碼的檢測技術

惡意代碼分析方法是非常多的，不過大致可以劃分為3種類型，分別為基于代碼行為的分析方法、基于代碼語義的分析方法、基于代碼特征的分析方法。到目前為止，大多數反惡意代碼軟件主要利用以下幾種檢查方法，即基于特征碼的檢測法、啟發式檢測法、基于行為的檢測法等。

1.1 基于特征碼的檢測法

基于特征碼的檢測法是一種最為傳統、使用最為廣泛的檢查方法。利用密罐系統，對惡意代碼的樣本進行提取，對其存在的指令序列進行采集和分析，在反病毒軟件對病毒文件進行掃描時，便于比較病毒特征碼庫和當前的病毒文件，以確定是否存在文件片段，能夠和已知特征碼進行匹配。

1.2 啟發式檢測法

啟發式檢測法，就是指根據惡意代碼的特征，設置一個閩值，在掃描器對文件進行分析時，當發現存在和惡意代碼特征相類似的文件時，便判定這種文件是惡意代碼。

1.3 基于病毒行為的檢測法

基于病毒行為的檢測法，就是指一種將病毒出現一些特征行為作為依據，對病毒進行監測的方法。在運行程序過程中，對病毒行為進行監視，一旦監測出有病毒行為產生，應及時報警，此外，應運用類神經網絡方法，對分析器進行訓練，有效識別病毒的行為特征，同時可以采用形式化方法，對惡意代碼的特征進行準確定義。

1.4 基于特征函數的檢測方法

要想使一些特定功能得以實現，惡意代碼一定要運用對應的系統函數，所以假如一個程序對危險特定函數集合進行了調用，我們可以判斷可能有惡意代碼存在。在加載程序以前，應對代碼獲取的特定函數集合進行掃描，其中在這個過程中，虛擬機和代碼逆向技術應進行有效配合，然后進行有關交集運算，便能夠對程序文件利用的危險函數及其類型、功能進行深入了解。

2 電力行業惡意代碼的防護技術

迄今為止，電力行業惡意代碼的防護技術大致具有兩種類型，即惡意代碼的事前預防、惡意代碼的事后清除。

2.1 惡意代碼的事前預防

注冊表、郵件收發軟件、瀏覽器是當前惡意代碼攻擊的主要途徑，因此通過對這些軟件進行有效設置，能夠實現防患于未然。

（1）瀏覽器的設置。通過對瀏覽器進行合理設置，能夠對Java Applet、ActiveX 控件的運行進行有效控制，同時能夠對腳本的運行進行有效禁止。本文以IE6.0為例，具體設置步驟為：第一，對“[Internet] 工具選項”進行選擇；第二，對“安全”選項卡進行選定；第三，對某一個安全區域進行選定；第四，對“自定義級別”按鈕進行選定，出現“安全設置”對話框；第五，在“安全設置”對話框中科學設置Java Applet、ActiveX 控件、腳本的行為，例如：對于“下載已簽名的ActiveX 控件”，設置為“禁用”。IE內的安全區域、Outlook 的安全性、Outlook Express的安全性三者之間的關系是非常密切的，一般來說，為對全部腳本的運行進行有效阻止，常常會將以上3個部分的安全區域，設定為“受限制的站點”。

（2）注冊表的鎖定。只有對注冊表進行有效修改，才能夠重新激活惡意代碼。所以，我們可以對注冊表進行鎖定，對注冊表的修改功能進行禁止，要想打開注冊表，必須要對有關合法軟件進行安裝。本文以Win2000為例，注冊表鎖定的具體步驟為以下兩點。

第一，對Regedit.exe進行運行，然后進入注冊表；第二，“DisableRegistry-Tools”是DWORD類型的鍵值名，將它的鍵值設置為1，然后加入到以下程序中，即：

"HKEY _CURRENT _USER＼sofware ＼Microsoft ＼windows ＼Current Version ＼Polices ＼System"

注冊表解鎖的具體步驟為：

第一，利用記事本，對.reg文件的名稱進行任意編輯， 輸入以下行內容：

Windows Re gistry Editor Version 5.00

[HKEY _CURRENT _USER＼sofware ＼Microsoft ＼windows ＼Current Version ＼Polices ＼System]

Disable Re gistryTool sn=dword∶00000000

第二，對上述文件進行雙擊，在注冊表中自動導入這些文件。

（3）對防護軟件進行安裝。和傳統意義中的病毒相比，盡管惡意代碼和其是完全不一樣的，現有的殺毒軟件并不能對其起到較大的查殺作用，不過一些比較著名的殺毒軟件，還是能夠一定程度的防護惡意代碼。

（4） 對于一些不良網站，應盡量不要對其進行訪問，同時應對一些軟件進行及時打補丁、升級。

2.2 惡意代碼的事后清除

（1）采用手工方方式，對頑固的惡意代碼進行事后清除。頑固的惡意代碼一般采用某種方式，如Java applet、ActiveX等，對用戶系統進行入侵，對注冊表進行有效修改，以便在用戶系統中進行長時間入駐。要想對惡意代碼進 行有效清除，可以運用對注冊表進行修改的方式。針對各種惡意代碼，應采用不同的清除方法。

（2）利用一些軟件工具，對惡意代碼進行查殺、清除。例如，3721 上網助手軟件，具有多種功能，包括對惡意網站進行屏蔽、對被鎖定的注冊表進行打開、對被篡改的IE 瀏覽器進行恢復、對惡意代碼進行查殺等，所以3721 上網助手軟件是一種非常好用的上網輔助工具。

3 電力行業惡意代碼防護技術的創新

目前，我國現有的電力行業惡意代碼防護技術還是不夠完善的，仍然存在較多的問題和缺陷。盡管對Java applet、ActiveX 控件、腳本進行禁用，能夠對惡意代碼的攻擊進行有效預防，不夠上網功能卻會遭受影響和約束。盡管對注冊表進行手工修復，能夠對惡意代碼進行清除，不夠這些操作技巧是非常復雜的，不是任何人都能掌握的。當前已有的部分惡意代碼防護軟件均具有一樣的問題，輕視惡意代碼的預防，過于重視惡意代碼的清除，導致我們始終處于被動狀態之中，另外，不能對惡意代碼進行徹底清除，特別是頑固的惡意代碼。針對這種情況，本文認為，應對具有清除、預防功能的新型電力行業惡意代碼防護系統進行研發。

新型電力行業惡意代碼防護系統應高度重視惡意病毒的有效預防，本文從技術角度，將從3個方面進行設計和研發：（ 1） 對瀏覽器進行扼守。在瀏覽器執行腳本代碼以前，將現有特征碼作為依據，已進行有效匹配，對惡意代碼進行捕捉，應建立惡意腳本代碼特征庫。（ 2） 對注冊表進行有效監控。第一，針對網頁腳本對注冊表的修改，應對其進行阻止，同時應對Java applet 對注冊表的讀寫行為、ActiveX 控件進行及時跟蹤，一旦發現部分敏感內容被修改，則判定存在惡意代碼，且將其列入黑名單中。如果一些讀寫行為不能進行精準確定，則應警告用戶，促使用戶參加到判斷活動中。（ 3）對文件系統、 Cookie進行保護。警告或者阻止一些行為，如系統目錄下對文件的刪除行為、對Java applet訪問Cookie 信息行為等。Java applet、ActiveX 控件是系統清除的主要對象，因為已實時跟蹤Java applet、ActiveX 控件，因為Java applet、ActiveX 控件能夠對文件、注冊表進行讀寫，對應的行為也都記錄下來，所以可以根據具體記錄內容，進行有效修復。

參考文獻

[1] 陳良.惡意代碼檢測中若干關鍵技術研究[D]. 揚州大學 2016

[2] 張海鵬.惡意代碼的行為分析[D]. 南京郵電大學 2016

[3] 趙恒立.惡意代碼檢測與分類技術研究[D].杭州電子科技大學 2016