本发明专利技术提供了一种基于行为白名单的异常检测方法、装置以及电子设备,涉及工控检测技术领域,包括:建立行为白名单,行为白名单包括:允许对工控系统进行操作的合法用户、合法用户的合法权限、允许工控系统执行的合法应用程序及合法网络行为;根据合法用户以及合法权限对当前操作工控系统的用户进行认证,得到用户认证结果;若用户认证结果为合法,则根据合法应用程序对当前工控系统的应用进程进行检测,得到应用进程检测结果;若应用进程检测结果为合法,则根据合法网络行为对当前工控系统的网络行为进行检测,得到网络行为检测结果;若网络行为检测结果为合法,则确定工控系统无异常情况,解决了工控系统的运行安全性较低的技术问题。
【技术实现步骤摘要】
基于行为白名单的异常检测方法、装置以及电子设备
本专利技术涉及工控检测
,尤其是涉及一种基于行为白名单的异常检测方法、装置以及电子设备。
技术介绍
随着信息技术的发展,工业控制网络的开放性所产生的漏洞也越来越多。由于不存在可以完全依赖的检测标记,因此工业控制系统的异常检测也变得更加艰难,与此同时,伴随着“震网”等事件的发生,工控网络遭受到的攻击也越来越多,攻击破坏工控系统原来的正常运行,盗取工业信息,因此人们对工控信息安全也越来越看重。近年来受各类工控安全事件的影响,急需解决工控网络安全问题,同时减少异常行为误报率,保障以各类工业控制系统为代表的关键基础设施的安全,工业网络安全方面尤为重要。目前,对工业控制的恶意人员操作、恶意行为执行等异常情况较难预防,导致工控系统的运行安全性较低。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种基于行为白名单的异常检测方法、装置以及电子设备,以解决现有技术中存在的工控系统的运行安全性较低的技术问题。第一方面,本专利技术实施例提供了一种基于行为白名单的异常检测方法,应用于工控系统的监测器,包括:建立行为白名单,所述行为白名单包括:允许对所述工控系统进行操作的合法用户、所述合法用户的合法权限、允许所述工控系统执行的合法应用程序以及合法网络行为;根据所述合法用户以及所述合法权限对当前操作所述工控系统的用户进行认证,得到用户认证结果;若所述用户认证结果为合法,则根据所述合法应用程序对当前所述工控系统的应用进程进行检测,得到应用进程检测结果;若所述应用进程检测结果为合法,则根据所述合法网络行为对当前所述工控系统的网络行为进行检测,得到网络行为检测结果;若所述网络行为检测结果为合法,则确定所述工控系统无异常情况。结合第一方面,本专利技术实施例提供了第一方面的第一种可能的实施方式,其中,建立行为白名单,包括:获取允许对所述工控系统进行操作的所述合法用户,并根据所述合法用户的身份确定与所述合法用户相匹配的所述合法权限;获取允许所述工控系统执行的所述合法应用程序以及所述合法网络行为;基于所述合法用户、所述合法权限、所述合法应用程序以及所述合法网络行为,建立行为白名单。结合第一方面,本专利技术实施例提供了第一方面的第二种可能的实施方式,其中,根据所述合法用户以及所述合法权限对当前操作所述工控系统的用户进行认证,得到用户认证结果,包括:将当前操作所述工控系统的用户与所述合法用户进行对比,得到第一对比结果;将当前操作用户的操作内容与所述合法权限的操作内容进行对比,得到第二对比结果;若所述第一对比结果与所述第二对比结果均为相符,则确定用户认证结果为操作用户合法;若所述第一对比结果与所述第二对比结果中至少一种为不相符,则确定用户认证结果为操作用户不合法,并进行警报。结合第一方面,本专利技术实施例提供了第一方面的第三种可能的实施方式,其中,将当前操作所述工控系统的用户与所述合法用户进行对比,得到第一对比结果之前,包括:通过身份识别得到当前操作所述工控系统的用户。结合第一方面,本专利技术实施例提供了第一方面的第四种可能的实施方式,其中,根据所述合法应用程序对当前所述工控系统的应用进程进行检测,得到应用进程检测结果,包括:通过消息摘要算法(MD5Message-DigestAlgorithm,简称MD5算法)对所述合法应用程序进行数学变换,得到合法特征码;通过MD5算法对当前所述工控系统的应用进程进行数学变换,得到实际特征码;将所述合法特征码与所述实际特征码进行对比,得到第三对比结果;若所述第三对比结果为相符,则确定应用进程检测结果为应用进程合法;若所述第三对比结果为不相符,则确定应用进程检测结果为应用进程不合法,并进行警报。结合第一方面,本专利技术实施例提供了第一方面的第五种可能的实施方式,其中,根据所述合法网络行为对当前所述工控系统的网络行为进行检测,得到网络行为检测结果,包括:对所述合法网络行为进行转换,得到合法指令代码;对当前所述工控系统的网络行为进行转换,得到实际指令代码;将所述合法指令代码与所述实际指令代码进行对比,得到第四对比结果;若所述第四对比结果为相符,则确定网络行为检测结果为网络行为合法;若所述第四对比结果为不相符,则确定网络行为检测结果为网络行为不合法,并进行警报。结合第一方面,本专利技术实施例提供了第一方面的第六种可能的实施方式,其中,若所述网络行为检测结果为合法,则确定所述工控系统无异常情况,包括:若所述用户认证结果、所述应用进程检测结果以及所述网络行为检测结果均为合法,则确定所述工控系统无异常情况。第二方面,本专利技术实施例还提供一种基于行为白名单的异常检测装置,应用于工控系统的监测器,包括:建立模块,用于建立行为白名单,所述行为白名单包括:允许对所述工控系统进行操作的合法用户、所述合法用户的合法权限、允许所述工控系统执行的合法应用程序以及合法网络行为;认证模块,用于根据所述合法用户以及所述合法权限对当前操作所述工控系统的用户进行认证,得到用户认证结果;第一检测模块,用于若所述用户认证结果为合法,则根据所述合法应用程序对当前所述工控系统的应用进程进行检测,得到应用进程检测结果;第二检测模块,用于若所述应用进程检测结果为合法,则根据所述合法网络行为对当前所述工控系统的网络行为进行检测,得到网络行为检测结果;确定模块,用于若所述网络行为检测结果为合法,则确定所述工控系统无异常情况。第三方面,本专利技术实施例还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述如第一方面所述的方法的步骤。第四方面,本专利技术实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行如第一方面所述的方法。本专利技术实施例提供的技术方案带来了以下有益效果:本专利技术实施例提供基于行为白名单的异常检测方法、装置以及电子设备。首先,建立行为白名单,行为白名单包括:允许对工控系统进行操作的合法用户、合法用户的合法权限、允许工控系统执行的合法应用程序以及合法网络行为,然后,根据合法用户以及合法权限对当前操作工控系统的用户进行认证从而得到用户认证结果,若用户认证结果为合法则根据合法应用程序对当前工控系统的应用进程进行检测,得到应用进程检测结果,若应用进程检测结果为合法,则根据合法网络行为对当前工控系统的网络行为进行检测从而得到网络行为检测结果,若网络行为检测结果为合法,则确定工控系统无异常情况,因此,通过包括了合法用户、合法权限、合法应用程序及合法网络行为的白名单,来对当前操作工控系统的用户、当前工控系统的应用进程、当前工控系统的网络行为等分别进行多个方面及多个环节的检测,使工控系统异常检测的准确性和高效性得到提高,从而实现了高效、准确的保护工控信息系统,能够防止对工控系统恶意行为的发生,从而解决了现有技术中存在的工控系统的运行安全性较低的技术问题。本专利技术的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点在说明书以及附图中所特别指出的结构来实现和获得。为使本专利技术的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。附图说明本文档来自技高网...
【技术保护点】
1.一种基于行为白名单的异常检测方法,应用于工控系统的监测器,其特征在于,包括:建立行为白名单,所述行为白名单包括:允许对所述工控系统进行操作的合法用户、所述合法用户的合法权限、允许所述工控系统执行的合法应用程序以及合法网络行为;根据所述合法用户以及所述合法权限对当前操作所述工控系统的用户进行认证,得到用户认证结果;若所述用户认证结果为合法,则根据所述合法应用程序对当前所述工控系统的应用进程进行检测,得到应用进程检测结果;若所述应用进程检测结果为合法,则根据所述合法网络行为对当前所述工控系统的网络行为进行检测,得到网络行为检测结果;若所述网络行为检测结果为合法,则确定所述工控系统无异常情况。
【技术特征摘要】
1.一种基于行为白名单的异常检测方法,应用于工控系统的监测器,其特征在于,包括:建立行为白名单,所述行为白名单包括:允许对所述工控系统进行操作的合法用户、所述合法用户的合法权限、允许所述工控系统执行的合法应用程序以及合法网络行为;根据所述合法用户以及所述合法权限对当前操作所述工控系统的用户进行认证,得到用户认证结果;若所述用户认证结果为合法,则根据所述合法应用程序对当前所述工控系统的应用进程进行检测,得到应用进程检测结果;若所述应用进程检测结果为合法,则根据所述合法网络行为对当前所述工控系统的网络行为进行检测,得到网络行为检测结果;若所述网络行为检测结果为合法,则确定所述工控系统无异常情况。2.根据权利要求1所述的基于行为白名单的异常检测方法,其特征在于,建立行为白名单,包括:获取允许对所述工控系统进行操作的所述合法用户,并根据所述合法用户的身份确定与所述合法用户相匹配的所述合法权限;获取允许所述工控系统执行的所述合法应用程序以及所述合法网络行为;基于所述合法用户、所述合法权限、所述合法应用程序以及所述合法网络行为,建立行为白名单。3.根据权利要求1所述的基于行为白名单的异常检测方法,其特征在于,根据所述合法用户以及所述合法权限对当前操作所述工控系统的用户进行认证,得到用户认证结果,包括:将当前操作所述工控系统的用户与所述合法用户进行对比,得到第一对比结果;将当前操作用户的操作内容与所述合法权限的操作内容进行对比,得到第二对比结果;若所述第一对比结果与所述第二对比结果均为相符,则确定用户认证结果为操作用户合法;若所述第一对比结果与所述第二对比结果中至少一种为不相符,则确定用户认证结果为操作用户不合法,并进行警报。4.根据权利要求3所述的基于行为白名单的异常检测方法,其特征在于,将当前操作所述工控系统的用户与所述合法用户进行对比,得到第一对比结果之前,包括:通过身份识别得到当前操作所述工控系统的用户。5.根据权利要求1所述的基于行为白名单的异常检测方法,其特征在于,根据所述合法应用程序对当前所述工控系统的应用进程进行检测,得到应用进程检测结果,包括:通过MD5算法对所述合法应用程序进行数学变换,得到合法特征码;通过MD5算法对当前所述工控系统的应用进程进行数学变换,得到...
【专利技术属性】
技术研发人员:叶鹏,范渊,张振雄,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。