本發明提出了一種基于代碼語義分析的電力信息系統安全防護方法及裝置，所述方法包括：采集電網信息系統的運行代碼和相關的運行態信息，并提取關鍵信息的信息；對采集的關鍵信息進行詞法分析和語法分析，得到抽象語法樹；根據預設的安全模型對預處理后的抽象語法樹的代碼邏輯進行判斷檢測，識別代碼漏洞；根據漏洞攻擊行為判定情況，對源代碼進行語義修復。本發明以函數作為攻擊監測的切入點，通過詞法、語法等分析過程對SQL攻擊的負載進行檢測，對缺失語法進行補全。達到提前預估可能存在的漏洞并發出告警，對常見的漏洞進行修復，可以有效加強電力信息系統的安全防護，有效發現應用過程中安全漏洞，保證電網的信息安全。

技術領域

本發明涉及信息安全應用領域，具體涉及一種基于代碼語義分析的電力信息系統安全防護方法及裝置。

背景技術

在電力應用領域，電力網絡安全成為電網業務使命的重要基礎性戰略。Web是目前網絡應用的主要載體，信息化的發展給電網的工作和電力用戶都帶來了極大的便利。但是在信息化的過程中，對電力網絡安全的攻擊也愈演愈烈。攻擊者利用Web應用存在的漏洞進行相關數據的獲取造成信息系統的破壞和電力網絡安全事件頻發，而每起安全事件都離不開代碼數據泄露的威脅。

針對電網信息系統的傳統安全防護方法作用于程序輸入輸出端，通過在輸入和輸出端使用數據流監測系統，實時對攻擊行為進行告警和攔截，這種傳統的方法能很好地防御Web攻擊。但在互聯網技術發展迅猛的今天，Web應用程序面臨的威脅也在不斷變化與升級。基于互聯網衍生出來的云計算、大數據、物聯網、移動計算等新技術與新模式，讓Web應用程序的開發框架、運行環境、流量入口、服務器部署都發生了很大的變化，傳統的Web數據流監測方法已不能應對日益嚴峻的網絡安全態勢，針對經變形混淆后繞過檢測進入程序內部執行的惡意代碼對電力信息系統的安全防護提出了更高的要求。同時電力企業目前采用內外網隔離的信息系統防御體系，僅僅通過內外網物理隔離裝置、企業防火墻、流量規則防御工具方法只能進行邊界安全防御，對于應用級別的安全防護無法滿足。

發明內容

發明目的：針對現有技術的不足，本發明提供一種基于代碼語義分析的電力信息系統安全防護方法，通過精細化的語義分析幫助提升運行態信息系統的自我保護能力。

本發明的另一目的是提供一種基于代碼語義分析的電力信息系統安全防護裝置。

技術方案：根據本發明的第一方面，提供一種基于代碼語義分析的電力信息系統安全防護方法，包括以下步驟：

采集電網信息系統的運行代碼和相關的運行態信息，并提取關鍵信息的信息；

對采集的關鍵信息進行詞法分析和語法分析，得到抽象語法樹；

根據預設的安全模型對預處理后得到的抽象語法樹的代碼邏輯進行判斷檢測，識別代碼漏洞；

根據漏洞攻擊行為判定情況，對源代碼進行語義修復。

其中，采集信息通過基于Web應用程序的外部輸入，采集電網信息系統的運行代碼和相關的運行態信息，進行關鍵信息提取，形成用戶請求信息文件，作為后續處理的輸入。

對采集的關鍵信息進行詞法分析和語法分析包括：詞法分析器依次讀取包含代碼關鍵信息的用戶請求信息文件中的字符，進行字符集合分析，按照預定的規則將字符合并成標記token，將整個用戶請求信息文件分割進一個token列表，并選取當前Web解釋器使用的分析器，提取解釋器標準定義規則文件；語法分析器根據標準定義語法規則還原語法中的程序邏輯，構建完整的抽象語法樹AST。

根據預設的安全模型對預處理后的抽象語法樹的代碼邏輯進行判斷檢測，識別代碼漏洞包括：根據Adaboost算法得到最佳的單層決策樹，再利用FP-growth算法基于所述最佳的單層決策樹進行關聯分析，實現通過上下邏輯的分析，檢測出是否存在SQL注入攻擊行為。

進一步地，所述根據Adaboost算法得到最佳的單層決策樹包括：