(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111623038.0 (22)申请日 2021.12.28 (71)申请人 南方电网数字电网研究院有限公司 地址 510700 广东省广州市黄埔区中新广 州知识城 亿创街1号 406房之86 (72)发明人 陈善锋　姜渭鹏　胡朝辉　陈海光　 彭伯庄　罗强　胡钊　杨逸岳　 (74)专利代理 机构 华进联合专利商标代理有限 公司 44224 代理人 魏宇星 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 针对电网厂站主机的安全防御方法、 装置、 设备和介质 (57)摘要 本申请涉及一种针对电网厂站主机的安全 防御方法、 装置、 计算机设备、 存储介质和计算机 程序产品。 本申请能够实现电力网络中边缘节点 (即厂站主机)层面的安全防御， 进一步提升电力 网络的安全性。 该方法包括： 采集输入输出日志； 针对输入输出日志进行静态网络安全 特征识别， 得到静态特征识别结果； 针对输入输出日志进行 动态行为分析， 得到动态行为分析结果； 将静态 特征识别结果和动态行为分析结果发送至主站 系统。 权利要求书1页 说明书8页 附图5页 CN 114301669 A 2022.04.08 CN 114301669 A 1.一种针对电网厂站主机的安全防御方法， 其特征在于， 应用于厂站主机， 所述方法包 括： 采集输入输出日志； 针对所述输入输出日志进行静态网络安全特 征识别， 得到静态特 征识别结果； 针对所述输入输出日志进行动态行为分析， 得到动态行为分析 结果； 将所述静态特 征识别结果和所述动态行为分析 结果发送至主站系统。 2.根据权利要求1所述的方法， 其特征在于， 所述输入输出 日志包括USB拔插操作记录、 操作系统登录日志、 网口拔插操作记录、 预设 关键文件变更操作记录和文件信息采集记录 。 3.根据权利要求2所述的方法， 其特征在于， 所述操作系统登录日志包括操作系统安全 审计配置信息、 安全选项配置信息、 防火墙状态信息和服务配置信息； 所述静态网络安全特 征识别结果包括基线核查结果； 所述针对所述输入输出日志进行静态网络安全特征识别， 得到静态特 征识别结果， 包括： 分别针对所述操作系统安全审计配置信息、 所述安全选项配置信息、 所述防火墙状态 信息和所述 服务配置信息进行基线 核查， 得到所述基线 核查结果。 4.根据权利要求2所述的方法， 其特征在于， 所述静态网络安全特征识别结果包括静态 病毒扫描结果； 所述针对所述输入输出日志进行静态网络安全特征识别， 得到静态特征识 别结果， 还 包括： 针对所述预设关键文件变更操作记录和所述文件信 息采集记录， 分别进行静态病 毒扫 描， 得到所述静态病毒扫描结果。 5.根据权利要求2所述的方法， 其特征在于， 所述动态行为分析结果包括权限变更识别 结果； 所述针对所述输入输出日志进行动态行为分析， 得到动态行为分析 结果， 包括： 针对所述操作系统登录日志进行基线 核查， 得到所述权限变更识别结果。 6.根据权利要求1至 5任一项所述的方法， 其特 征在于， 所述方法还 包括： 若所述静态特征识别结果或所述动态行为分析结果中包含病 毒特征， 则将相应的源文 件进行可疑文件隔离 。 7.一种针对电网厂站主机的安全防御装置， 其特 征在于， 所述装置包括： 日志采集模块， 用于采集输入输出日志； 静态特征识别模块， 用于针对所述输入输出日志进行静态网络安全特征识别， 得到静 态特征识别结果； 动态行为分析模块， 用于针对所述输入输出日志进行动态行为分析， 得到动态行为分 析结果； 结果发送模块， 用于将所述静态特征识别结果和所述动态行为分析结果发送至主站系 统。 8.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至 6中任一项所述的方法的步骤。 9.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被 处理器执行时实现权利要求1至 6中任一项所述的方法的步骤。 10.一种计算机程序产品， 包括计算机程序， 其特征在于， 该计算机程序被处理器执行 时实现权利要求1至 6中任一项所述的方法的步骤。权　利　要　求　书 1/1 页 2 CN 114301669 A 2针对电网厂站主机的安全防御方 法、 装置、 设备和介质 技术领域 [0001]本申请涉及网络安全技术领域， 特别是涉及一种针对电网厂站主机的安全防御方 法、 装置、 计算机设备、 存 储介质和计算机程序 产品。 背景技术 [0002]随着信息技术的发展， 网络安全也日益受到重视。 在电力网络中， 如果电力网络受 到黑客的攻击， 可能会导 致一整个区域的电网崩溃， 造成巨大的经济损失。 [0003]工控网络就是工业控制系统中的网络部分， 是一种把工厂中各个生产流程和自动 化控制系统通过各种通信 设备组织起来的通信网络。 对于电网来说， 电网中的通信网络即 为工控网络， 电网工控网路中还包括多个厂站系统， 厂站系统， 顾名思义， 是指包括发电厂 和变电站在内的自动化系统。 一个电网工控网络中包含多个厂站系统。 厂站系统由多个主 机节点构成。 现有的工控网络(工业控制网络)安全体系架构中， 重点在于工控通信的整体 网络布放。 [0004]到厂站系统的主机节点布放层面， 网络安全防御仅限于通信链路数据采集及 通信 流量分析， 对厂站系统主机的安全监测、 安全防御存在薄弱点。 由于对电网工控系统的渗透 往往从整个网络体系架构的边缘节点开始(即厂站系统主机节点)， 因此边缘节点的安全防 患依然比较薄弱， 导 致整个电网不够安全。 发明内容 [0005]基于此， 有必要针对上述技术问题， 提供一种针对电网厂站主机的安全防御方法、 装置、 计算机设备、 计算机可读存 储介质和计算机程序 产品。 [0006]第一方面， 本申请提供了一种针对电网厂站主机的安全防御方法。 所述方法包括： [0007]采集输入输出日志； [0008]针对所述输入输出日志进行静态网络安全特 征识别， 得到静态特 征识别结果； [0009]针对所述输入输出日志进行动态行为分析， 得到动态行为分析 结果； [0010]将所述静态特 征识别结果和所述动态行为分析 结果发送至主站系统。 [0011]在其中一个实施例中， 所述输入输出日志包括USB拔插操作记录、 操作系统登录日 志、 网口拔插操作记录、 预设 关键文件变更操作记录和文件信息采集记录 。 [0012]在其中一个实施例中， 所述操作系统登录日志包括操作系统安全审计配置信息、 安全选项配置信息、 防火墙状态信息和 服务配置信息； 所述静态网络安全特征识别结果包 括基线核查结果； 所述针对所述输入输出日志进行静态网络安全特征识别， 得到静态特征 识别结果， 包括： [0013]分别针对所述操作系统安全审计配置信息、 所述安全选项配置信息、 所述防火墙 状态信息和所述 服务配置信息进行基线 核查， 得到所述基线 核查结果。 [0014]在其中一个实施例中， 所述静态网络安全特征识别结果包括静态病毒扫描结果； 所述针对所述输入输出日志进行静态网络安全特 征识别， 得到静态特 征识别结果， 还 包括：说　明　书 1/8 页 3 CN 114301669 A 3