本发明专利技术公开了一种网络安全异常检测方法、装置、存储介质及计算设备,该方法采用采集探针采集电力物联网边缘设备的软件静态指纹信息和进程动态行为信息构建可信软件基和行为基线;将进程的行为信息与本地的行为基线模型进行对比,计算行为偏离度,从而发现安全异常;将关键路径下的变化二进制文件和新进程对应的进程文件与可信软件基比对,将比对异常的二进制文件上传至服务端进行云查杀;用户对于异常告警进行人工研判,根据结果处置异常或更新可信软件基和行为基线。本发明专利技术通过构建可信软件基和行为基线,对超出标准的包括软件静态指纹信息和进程动态行为的变化进行监控,能够识别出及电力物联网边缘设备异常行为,保证设备的安全性。的安全性。的安全性。
【技术实现步骤摘要】
一种网络安全异常检测方法、装置、存储介质及计算设备
[0001]本专利技术涉及信息安全
,具体涉及一种网络安全异常检测方法、装置、存储介质及计算设备。
技术介绍
[0002]电力物联网边缘设备的安全影响到电力系统的安全,面对网络攻击的多样性、新颖性,检测难度大、成本高。
[0003]目前对于物联网设备的网络安全防护主要是将物联网设备置于隔离网或者加强口令复杂度等方法来提升联网设备的网络安全,但这些方法会影响用户的使用体验,并不能很好地满足用户需求。
技术实现思路
[0004]本专利技术的目的在于提供一种面向电力物联网边缘设备的网络安全异常检测方法、装置、存储介质及计算设备,对电力物联网边缘设备进行异常进程检测,保证设备的安全性。
[0005]为了实现上述目标,本专利技术采用如下技术方案:本专利技术提供一种网络安全异常检测方法,包括:监控电力物联网边缘设备系统关键路径下的静态二进制文件,并根据静态二进制文件的变化信息生成异常告警,以及监控设备进程的实时行为信息,并与本地行为基线集合进行比对,根据异常结果生成异常告警;分别将监控的所述电力物联网边缘设备系统关键路径下的静态二进制文件和所述设备进程对应的进程文件与本地可信软件基进行比对,并将比对异常的静态二进制文件上传至服务端进行云查杀;以及根据云查杀结果生成不同等级的告警信息。
[0006]进一步的,还包括:采集电力物联网边缘设备正常运行时的软件静态指纹信息和进程动态行为信息进行本地存储并上报至服务端;根据所述软件静态指纹信息构建本地可信软件基,根据所述进程动态行为信息构建本地行为基线集合。
[0007]进一步的,采集电力物联网边缘设备正常运行时的软件静态指纹信息,包括:采用采集探针通过获取电力物联网边缘设备操作系统的软件包列表采集软件静态指纹信息;所述软件静态指纹信息包括下述中的至少一种:名称、版本、软件HASH、操作系统。
[0008]进一步的,采集电力物联网边缘设备正常运行时的进程动态行为信息,包括:采用采集探针通过/proc目录获取进程动态行为信息;所述进程动态行为信息包括下述中的至少一种:进程的创建;打开文件;绑定端口;建立连接的操作。
[0009]进一步的,本地和服务端同时保存所述根据软件静态指纹信息构建的本地可信软
件基和所述根据进程动态行为信息构建的本地行为基线集合,服务端对本地可信软件基和本地行为基线集合的内容修改后同步至客户端。
[0010]进一步的,监控电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程的实时行为信息,包括:采用采集探针通过Linux inotify机制实时监控电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程的实时行为信息;所述关键路径预先配置。
[0011]进一步的,所述静态二进制文件的变化信息包括内容和权限的变化;将关键路径下静态二进制文件的内容和权限的变化作为异常告警上报至服务端。
[0012]进一步的,将设备进程的实时行为信息与本地行为基线集合进行比对,对超出所述本地行为基线集合的行为,产生异常告警上报至服务端。
[0013]进一步的,所述将比对异常的静态二进制文件上传至服务端进行云查杀,包括:利用开源查杀引擎ClamAv对上传的异常的静态二进制文件进行云查杀。
[0014]进一步的,所述进行云查杀,还包括,对于通过云查杀的文件产生可疑告警,对于未通过的文件及相应的进程产生紧急告警。
[0015]本专利技术还提供一种网络安全异常检测装置,包括:第一判断模块,用于监控电力物联网边缘设备系统关键路径下的静态二进制文件,并根据静态二进制文件的变化信息生成异常告警,以及监控设备进程的实时行为信息,并与本地行为基线集合进行比对,根据异常结果生成异常告警;以及,第二判断模块,用于分别将监控的电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程对应的进程文件与本地可信软件基进行比对,并将比对异常的静态二进制文件上传至服务端进行云查杀;以及根据云查杀结果生成不同等级的告警信息。
[0016]进一步的,还包括构建模块,所述构建模块用于,采集电力物联网边缘设备正常运行时的软件静态指纹信息和进程动态行为信息进行本地存储并上报至服务端;根据所述软件静态指纹信息构建本地可信软件基,根据所述进程动态行为信息构建本地行为基线集合。
[0017]本专利技术第三方面提供一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据前述的方法中的任一方法。
[0018]本专利技术第四方面提供一种计算设备,包括,一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据前述的方法中的任一方法的指令。
[0019]本专利技术所达到的有益效果:本专利技术通过构建可信软件基和行为基线,对超出标准的包括软件静态指纹信息和进程动态行为的变化进行监控,能够识别出及电力物联网边缘设备异常行为,保证设备的安全性。
附图说明
[0020]图1为本专利技术中构建本地可信软件基和本地行为基线集合示意图;图2为本专利技术的异常检测架构。
具体实施方式
[0021]下面结合附图对本专利技术作进一步描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案,而不能以此来限制本专利技术的保护范围。
[0022]本专利技术提供一种网络安全异常检测方法,包括:监控电力物联网边缘设备系统关键路径下的静态二进制文件,并根据静态二进制文件的变化信息生成异常告警,以及监控设备进程的实时行为信息,并与本地行为基线集合进行比对,根据异常结果生成异常告警;分别将监控的静态二进制文件和设备进程对应的进程文件与本地可信软件基进行比对,并将比对异常的静态二进制文件上传至服务端进行云查杀;以及根据云查杀结果生成不同等级的告警信息。
[0023]作为一种优选的实施方式,一种网络安全异常检测方法,包括以下步骤:步骤一,采用采集探针采集电力物联网边缘设备的软件静态指纹信息和进程动态行为信息进行本地存储并上报至服务端构建可信软件基和行为基线;步骤二,采用采集探针监控设备系统关键路径下的静态二进制文件的变化信息和进程的实时行为;步骤三,采集探针上报步骤二中采集到的静态二进制文件的变化信息,同时将进程的实时行为信息与本地的行为基线模型进行对比,判断是否存在行为偏离,将异常结果上传至服务端;步骤四,采用采集探针分别将步骤三中关键路径下的静态二进制文件和进程对应的进程文件与可信软件基比对,将比对异常的静态二进制文件上传至服务端进行云查杀;步骤五,用户对于异常告警进行人工研判,根据结果处置异常或更新可信软件基和行为基线。
[0024]本领域人员应该知道,采集探针是装在边缘设备的一个主机agent探针,属于业界常用的工具,负责与服务端进行通信,功能包括信息采集以及执行服务端下发的任务等。
[0025]需要说明的是,对于静态二进制文件和进本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络安全异常检测方法,其特征在于,包括:监控电力物联网边缘设备系统关键路径下的静态二进制文件,并根据所述静态二进制文件的变化信息生成异常告警,以及监控设备进程的实时行为信息,并与本地行为基线集合进行比对,根据异常结果生成异常告警;分别将监控的所述电力物联网边缘设备系统关键路径下的静态二进制文件和所述设备进程对应的进程文件与本地可信软件基进行比对,并将比对异常的静态二进制文件上传至服务端进行云查杀;以及根据云查杀结果生成不同等级的告警信息。2.根据权利要求1所述的一种网络安全异常检测方法,其特征在于,还包括:采集电力物联网边缘设备正常运行时的软件静态指纹信息和进程动态行为信息进行本地存储并上报至服务端;根据所述软件静态指纹信息构建本地可信软件基,根据所述进程动态行为信息构建本地行为基线集合。3.根据权利要求2所述的一种网络安全异常检测方法,其特征在于,采集电力物联网边缘设备正常运行时的软件静态指纹信息,包括:采用采集探针通过获取电力物联网边缘设备操作系统的软件包列表采集软件静态指纹信息;所述软件静态指纹信息包括下述中的至少一种:名称;版本;软件HASH;操作系统。4.根据权利要求2所述的一种网络安全异常检测方法,其特征在于,采集电力物联网边缘设备正常运行时的进程动态行为信息,包括:采用采集探针通过/proc目录获取进程动态行为信息;所述进程动态行为信息包括下述中的至少一种:进程的创建;打开文件;绑定端口;建立连接的操作。5.根据权利要求2所述的一种网络安全异常检测方法,其特征在于,本地和服务端同时保存所述根据软件静态指纹信息构建的本地可信软件基和所述根据进程动态行为信息构建的本地行为基线集合,服务端对本地可信软件基和本地行为基线集合的内容修改后同步至客户端。6.根据权利要求1所述的一种网络安全异常检测方法,其特征在于,监控电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程的实时行为信息,包括:采用采集探针通过Linux inotify机制实时监控电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程的实时行为信息;所述关键路径预先配置。7.根据权利要求1所述的一种网络安全异常检测方法,其特征在于,所述静态...
【专利技术属性】
技术研发人员:吴超,魏兴慎,杨维永,张勃,朱世顺,刘苇,陈连栋,曹永健,马增洲,高鹏,赵林丛,张浩天,葛国栋,
申请(专利权)人:南京南瑞信息通信科技有限公司国家电网有限公司国网河北省电力有限公司信息通信分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。