一种变电站监控后台安全防御方法及系统

技术领域

本申请涉及变电站监控后台技术领域，尤其涉及一种变电站监控后台安全防御方法及系统。

背景技术

变电站监控后台具备远程文件传输功能，基于文件通过网络传输到另外一台服务器，终端安全是非常重要的一个环节。

安全基线是每一台受控终端必须满足的最基本的安全规范。只有满足安全基线的终端才会被认为是网络内的合格终端，在变电站监控后台可以系统检测进程管理策略，不合格的进程，系统也应该给出提示要求修复。

进程基线运行策略配置可限制客户端运行的进程，是达到变电站监控后台安全基线的一个重要依据，比如哪些进程必须运行(红名单)、哪些进程禁止运行(黑名单)和只能运行哪一些进程(白名单)。为防止恶意用户更改程序名逃避红名单检查，再通过MD5校验码方式对检测到的进程进行检查，防止恶意用户更改程序名逃避黑名单检查或者避开红名单检查。通过配置进程运行策略配置，满足安全基线的前提下进行检查，达到变电站监控后台安全防护的目的。

目前，供电行业对网络安全逐步增高，变电站监控后台只有满足安全基线的终端才会被认为是网络内的合格终端，通过对进程的管控监测网络不合格行为。目前变电站监控后台已经具有对访问端口和被访问端口，和密码方面的严格限制，能有效地阻挡外部网络对变电站监控后台的攻击，但对已经在变电站监控后台运行的程序，却不能有效地控制安全问题。

发明内容

本申请提供了一种变电站监控后台安全防御方法及系统，用于解决现有技术对已经在变电站监控后台运行的程序，不能有效地控制的技术问题。

有鉴于此，本申请第一方面提供了一种变电站监控后台安全防御方法，所述方法包括：

根据待防御主机IP获取待防御主机正在运行的进程，并生成正在运行进程列表，将所述正在运行进程列表中的进程分类为：红名单进程、黑名单进程和白名单进程；

获取所述正在运行进程列表中各进程的进程名称，对各进程的进程名称进行加密处理，得到加密列表；

根据排除关键字列表和排除目录列表，构建所述白名单进程中不需要检测的进程列表，从而确定待检测白名单进程；

定期扫描所述待检测白名单进程和所述红名单进程的进程名称，同时与所述加密列表列中的进程名称进行比对分析得到异常进程，并对异常进程进行防御处理。

可选地，所述对异常进程进行防御处理，具体包括：

当正在运行的进程为所述异常进程时，发出异常进程告警提示，或将所述异常进程的进程名称记录到异常进程检测列表中，或发出异常进程在所述待检测白名单进程中的告警提示，并记录到异常进程检测列表中同时停止异常进程。

可选地，所述根据排除关键字列表和排除目录列表，构建所述白名单进程中不需要检测的进程列表，从而确定待检测白名单进程，具体包括：

在所述白名单进程中，根据进程的签名信息确定进程是否在所述排除关键字列表，若是则将进程标记为不需要检测的进程，并判断进程是否在所述排除目录列表的文件或子文件夹中，若是则将进程标记为不需要检测的进程，从而得到待检测白名单进程。

可选地，所述对各进程的进程名称进行加密处理，得到加密列表，具体包括：通过MD5加密技术对各进程的进程名称进行加密处理，得到加密列表。

可选地，当正在运行的进程为所述黑名单进程中的进程时，则停止进程。

本申请第二方面提供一种变电站监控后台安全防御系统，所述系统包括：

分类单元，用于根据待防御主机IP获取待防御主机正在运行的进程，并生成正在运行进程列表，将所述正在运行进程列表中的进程分类为：红名单进程、黑名单进程和白名单进程；

加密单元，用于获取所述正在运行进程列表中各进程的进程名称，对各进程的进程名称进行加密处理，得到加密列表；

筛选单元，用于根据排除关键字列表和排除目录列表，构建所述白名单进程中不需要检测的进程列表，从而确定待检测白名单进程；

第一防御单元，用于定期扫描所述待检测白名单进程和所述红名单进程的进程名称，同时与所述加密列表列中的进程名称进行比对分析得到异常进程，并对异常进程进行防御处理。

可选地，所述防御单元，具体包括：

分析子单元，用于定期扫描所述待检测白名单进程和所述红名单进程的进程名称，同时与所述加密列表列中的进程名称进行比对分析得到异常进程

防御子单元，用于当正在运行的进程为所述异常进程时，发出异常进程告警提示，或将所述异常进程的进程名称记录到异常进程检测列表中，或发出异常进程在所述待检测白名单进程中的告警提示，并记录到异常进程检测列表中同时停止异常进程。

可选地，所述筛选单元，具体用于：

在所述白名单进程中，根据进程的签名信息确定进程是否在所述排除关键字列表，若是则将进程标记为不需要检测的进程，并判断进程是否在所述排除目录列表的文件或子文件夹中，若是则将进程标记为不需要检测的进程，从而得到待检测白名单进程。

可选地，所述加密单元，具体用于：

获取子单元，用于获取所述正在运行进程列表中各进程的进程名称；

加密子单元，用于通过MD5加密技术对各进程的进程名称进行加密处理，得到加密列表。

可选地，还包括：第二防御单元；

所述第二防御单元，用于当正在运行的进程为所述黑名单进程中的进程时，则停止进程。

从以上技术方案可以看出，本申请具有以下优点：

本申请提供了一种变电站监控后台安全防御方法，包括：根据待防御主机IP获取待防御主机正在运行的进程，并生成正在运行进程列表，将正在运行进程列表中的进程分类为：红名单进程、黑名单进程和白名单进程；获取正在运行进程列表中各进程的进程名称，对各进程的进程名称进行加密处理，得到加密列表；根据排除关键字列表和排除目录列表，构建白名单进程中不需要检测的进程列表，从而确定待检测白名单进程；定期扫描待检测白名单进程和红名单进程的进程名称，同时与加密列表列中的进程名称进行比对分析得到异常进程，并对异常进程进行防御处理。

与现有技术相比，本申请提供了一种变电站监控后台安全防御方法，对已经在变电站监控后台运行的程序进行有效监控，实现了一种的变电站监控后台安全基线防御方法及系统，解决了现有技术对已经在变电站监控后台运行的程序，不能有效地控制的技术问题，提高了变电站监控后台安全防御能力。

附图说明

图1为本申请实施例中提供的一种电站监控后台安全防御方法实施例的流程示意图；

图2为本申请实施例中提供的一种电站监控后台安全防御方法实施例的流程示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参阅图1，本申请实施例中提供的一种变电站监控后台安全防御方法，包括：

步骤101、根据待防御主机IP获取待防御主机正在运行的进程，并生成正在运行进程列表，将正在运行进程列表中的进程分类为：红名单进程、黑名单进程和白名单进程；

需要说明的是，通过输入指定待防御主机IP，得到该主机正在运行的进程。将所输入IP的系统中将正在运行的进程自动生成列表；同时将正在运行进程列表中的进程分类为：红名单进程、黑名单进程和白名单进程；其中，红名单是必须运行的进程列表，黑名单是不能运行的进程列表,白名单是只能运行的进程列表。

步骤102、获取正在运行进程列表中各进程的进程名称，对各进程的进程名称进行加密处理，得到加密列表；

需要说明的是，在进程生成列表找到进程名，例如qq.exe、weixin.exe，同时得到生成程序的原始文件名(可通过进程的程序属性处得到)。对进程名进行MD5加密，生成进程名MD5加密列表。

步骤103、根据排除关键字列表和排除目录列表，构建白名单进程中不需要检测的进程列表，从而确定待检测白名单进程；

需要说明的是，在白名单进程中，根据进程的签名信息确定进程是否在排除关键字列表，若是则将进程标记为不需要检测的进程，并判断进程是否在排除目录列表的文件或子文件夹中，若是则将进程标记为不需要检测的进程，从而得到待检测白名单进程(除了不需要检测的进程，白名单中其余的进程均为待检测白名单进程)。

步骤104、定期扫描待检测白名单进程和红名单进程的进程名称，同时与加密列表列中的进程名称进行比对分析得到异常进程，并对异常进程进行防御处理。

需要说明的是，为防止恶意用户更改程序名避黑名单检查，因此定期扫描进程列表进程名(待检测白名单进程和红名单进程的进程名称)，对运行的进程名进行MD5校验码检查，把运行的进程MD5校验码与第一次生成的进程名MD5加密列表作比对。比对运行进程名的MD5值若不符合则该进程进入下一步“不允许操作方式选项”

进入“不允许操作方式选项”的处理方式，也具有三种方式：“提示”只提示该进程不在白名单中，并不对进程进行拦截；“仅记录”不提示进程不在败名单中，但保存在检测记录中，并不对进程进行拦截；“结束进程”只提示该进程在白名单中，保存在检测记录中，直接把进程关掉。

以上为本申请实施例中提供的一种变电站监控后台安全防御方法，以下为本申请实施例中提供的一种变电站监控后台安全防御系统。

请参阅图2，本申请实施例中提供的一种变电站监控后台安全防御方法，包括：

分类单元201，用于根据待防御主机IP获取待防御主机正在运行的进程，并生成正在运行进程列表，将正在运行进程列表中的进程分类为：红名单进程、黑名单进程和白名单进程；

加密单元202，用于获取正在运行进程列表中各进程的进程名称，对各进程的进程名称进行加密处理，得到加密列表；

筛选单元203，用于根据排除关键字列表和排除目录列表，构建白名单进程中不需要检测的进程列表，从而确定待检测白名单进程；

第一防御单元204，用于定期扫描待检测白名单进程和红名单进程的进程名称，同时与加密列表列中的进程名称进行比对分析得到异常进程，并对异常进程进行防御处理。

进一步地，在一个实施例中，变电站监控后台安全防御方法还包括：第二防御单元；

第二防御单元，用于当正在运行的进程为黑名单进程中的进程时，则停止进程。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

应当理解，在本申请中，“至少一个(项)”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，用于描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：只存在A，只存在B以及同时存在A和B三种情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，“a和b”，“a和c”，“b和c”，或“a和b和c”，其中a，b，c可以是单个，也可以是多个。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文全称：Read-OnlyMemory，英文缩写：ROM)、随机存取存储器(英文全称：Random Access Memory，英文缩写：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。