一种工控环境禁止创建非法用户的方法及工控系统技术方案

本发明专利技术公开一种工控环境禁止创建非法用户的方法及工控系统。所述方法包括：启动保护程序，获取当前计算机的账户信息并作为基线保存到数据库；开启保护并记录操作时间，开始对运行的进程进行监控；当有其他进程创建计算机账户时拒绝该请求，并生成一条报警信息，通过进程通信方式发送到保护程序；保护程序将报警信息存入数据库。本发明专利技术实现在保护开启，尤其是在工控环境中经常无人值守能的情况下，防止人员或恶意程序创建非法账户，并能准确定位恶意程序位置，从而避免使用非法账户对计算机系统破坏或盗取数据。统破坏或盗取数据。统破坏或盗取数据。

【技术实现步骤摘要】
一种工控环境禁止创建非法用户的方法及工控系统


[0001]本专利技术涉及工控安全
，尤其涉及一种工控环境禁止创建非法用户的方法及工控系统。

技术介绍

[0002]工控系统初始采用的一般都是专用系统，其操作系统、通信协议也与一般的系统有很大差别，相较于开放的互联网环境，工控系统则比较独立，工业控制系统设计之初也是为了完成各种实时控制功能。且由于存在长期没有人员值守计算机的问题，所以无法保证操作系统账户的安全。因此如何保护操作系统账户是工控系统亟待解决的问题。

技术实现思路

[0003]本专利技术提供了一种工控环境禁止创建非法用户的方法，包括：
[0004]启动保护程序，获取当前计算机的账户信息并作为基线保存到数据库；
[0005]开启保护并记录操作时间，开始对运行的进程进行监控；
[0006]当有其他进程创建计算机账户时拒绝该请求，并生成一条报警信息，通过进程通信方式发送到保护程序；
[0007]保护程序将报警信息存入数据库。
[0008]如上所述的一种工控环境禁止创建非法用户的方法，其中，保护程序使用LoadLibrary加载DLL，DLL执行HOOK开启保护。
[0009]如上所述的一种工控环境禁止创建非法用户的方法，其中，DLL执行HOOK开启保护，具体包括如下子步骤：
[0010](1)使用SetWindowsHookEx函数HOOK其他进程
[0011](2)获取NetUserAdd函数地址
[0012](3)使用汇编保存原函数地址
[0013](4)使用汇编复制新函数地址
[0014](5)使用WriteProcessMemory把新地址写入到当前HOOK进程。
[0015]如上所述的一种工控环境禁止创建非法用户的方法，其中，其他程序通过NetUserAdd新建用户时拒绝该请求。
[0016]如上所述的一种工控环境禁止创建非法用户的方法，其中，所述方法还包括：接收关闭保护指示，记录操作时间，保护程序使用FreeLibrary释放DLL，DLL退出HOOK关闭保护，退出保护机制；关闭后不再对其他进程进行监控，也不再拦截任何创建用户的操作。
[0017]如上所述的一种工控环境禁止创建非法用户的方法，其中，DLL退出HOOK关闭保护，具体包括如下子步骤：
[0018](1)使用WriteProcessMemory把原地址写入到当前HOOK进程，恢复原NetUserAdd的使用；
[0019](2)使用UnhookWindowsHookEx函数释放HOOK。
[0020]如上所述的一种工控环境禁止创建非法用户的方法，其中，使用创建账户的进程ID、进程文件路径、创建日期和时间、用户名称、密码、权限生成一条报警信息，用对称加密方式加密，通过进程通信方式发送到保护程序；保护程序收到数据后使用相应的密钥进行解密，把解密后的报警信息存入数据库。
[0021]如上所述的一种工控环境禁止创建非法用户的方法，其中，使用SQLite存储账户信息及报警信息。
[0022]本专利技术还提供一种工控系统，所述工控系统执行上述任一项所述的一种工控环境禁止创建非法用户的方法。
[0023]本专利技术实现的有益效果如下：本专利技术实现在保护开启，尤其是在工控环境中经常无人值守能的情况下，防止人员或恶意程序创建非法账户，并能准确定位恶意程序位置，从而避免使用非法账户对计算机系统破坏或盗取数据。
附图说明
[0024]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
[0025]图1是本专利技术实施例一提供的一种工控环境禁止创建非法用户的方法流程图。
具体实施方式
[0026]下面结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0027]实施例一
[0028]如图1所示，本专利技术实施例一提供一种工控环境禁止创建非法用户的方法，应用于工控系统中，所述方法包括：
[0029]步骤1、启动保护程序，获取当前计算机的账户信息并作为基线保存到数据库；
[0030]本专利技术实施例中，工控系统使用SQLite(一款轻型的数据库，是遵守ACID的关系型数据库管理系统，它包含在一个相对小的C库中)存储用户账户信息及报警信息。
[0031]步骤2、开启保护并记录操作时间，开始对运行的进程进行监控；
[0032]具体地，保护程序使用LoadLibrary(载入指定的动态链接库，并将它映射到当前进程使用的地址空间。一旦载入，即可访问库内保存的资源)加载DLL，DLL执行HOOK开启保护；
[0033]DLL执行HOOK开启保护，具体包括如下子步骤：
[0034](1)使用SetWindowsHookEx函数HOOK其他进程
[0035](2)获取NetUserAdd函数地址
[0036](3)使用汇编保存原函数地址
[0037](4)使用汇编复制新函数地址
[0038](5)使用WriteProcessMemory把新地址写入到当前HOOK进程。
[0039]步骤3、当有其他进程创建计算机账户时拒绝该请求，并生成一条报警信息，通过进程通信方式发送到保护程序；
[0040]具体地，其他程序通过NetUserAdd新建用户时拒绝该请求，实现保护系统用户。当有其他进程创建计算机账户时拒绝该请求，使用创建账户的进程ID、进程文件路径、创建日期和时间、用户名称、密码、权限等信息生成一条报警信息，优选再用对称加密方式加密报警信息，通过进程通信方式发送到保护程序。
[0041]步骤4、保护程序将报警信息存入数据库；
[0042]优选地，保护程序接收到加密的报警信息后，使用相应的密钥进行解密，把解密后的报警信息存入数据库。
[0043]本专利技术实施例中，所述工控环境禁止创建非法用户的方法还包括：
[0044]步骤5、接收关闭保护指示，记录操作时间，关闭后不再对其他进程进行监控，也不再拦截任何创建用户的操作；
[0045]具体地，工控系统可以根据用户指示或程序需求关闭保护功能，具体为：接收关闭保护指示，记录操作时间，保护程序使用FreeLibrary释放DLL，DLL退出HOOK关闭保护，退出保护机制；关闭保护程序后不再对其他进程进行监控，也不再拦截任何创建用户的操作；
[0046]其中，DLL退出HOOK关闭保护，具体包括如下子步骤：
[0047](1)使用WriteProcessMe本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工控环境禁止创建非法用户的方法，其特征在于，包括：启动保护程序，获取当前计算机的账户信息并作为基线保存到数据库；开启保护并记录操作时间，开始对运行的进程进行监控；当有其他进程创建计算机账户时拒绝该请求，并生成一条报警信息，通过进程通信方式发送到保护程序；保护程序将报警信息存入数据库。2.如权利要求1所述的工控环境禁止创建非法用户的方法，其特征在于，保护程序使用LoadLibrary加载DLL，DLL执行HOOK开启保护。3.如权利要求2所述的工控环境禁止创建非法用户的方法，其特征在于，DLL执行HOOK开启保护，具体包括如下子步骤：(1)使用SetWindowsHookEx函数HOOK其他进程(2)获取NetUserAdd函数地址(3)使用汇编保存原函数地址(4)使用汇编复制新函数地址(5)使用WriteProcessMemory把新地址写入到当前HOOK进程。4.如权利要求3所述的工控环境禁止创建非法用户的方法，其特征在于，其他程序通过NetUserAdd新建用户时拒绝该请求。5.如权利要求3所述的工控环境禁止创建非法用户的方法，其特征在于，所述方法还包括：接收关闭保护指示，记...

【专利技术属性】
技术研发人员：邢文魁，杨建平，黄敏，
申请(专利权)人：北京威努特技术有限公司，
类型：发明
国别省市：