一种工控网络的沙盒应用方法、装置及存储介质制造方法及图纸

本发明专利技术涉及一种工控网络的沙盒应用方法、装置及存储介质，所述方法包括：拦截所述工控网络中针对操作系统的API请求，以及针对数据库的SQL指令；在确定拦截到所述API请求的情况下，将所述API请求导入操作系统沙盒；并通过所述操作系统沙盒确定所述API请求是否合法，在确定所述API请求合法的情况下，将所述API请求发送至所述操作系统；在确定拦截到所述SQL指令的情况下，将所述SQL指令导入数据库沙盒；并通过所述数据库沙盒确定所述SQL指令是否合法，在确定所述SQL指令合法的情况下，将所述SQL指令发送至所述数据库。避免了不合法的API请求或者SQL指令被操作系统或者数据库执行，对工控网络的网络安全造成威胁，有效地保证了工控网络的网络安全。工控网络的网络安全。工控网络的网络安全。

【技术实现步骤摘要】
一种工控网络的沙盒应用方法、装置及存储介质


[0001]本专利技术涉及工控网络安全领域，尤其涉及一种工控网络的沙盒应用方法、装置及存储介质。

技术介绍

[0002]随着计算机技术和网络通信技术应用于工业控制系统，工业控制系统面临着很多的网络安全问题，如病毒、信息泄漏和篡改、系统被非法控制等，这些问题极大的降低了工控系统的稳定。
[0003]工控系统在日常运行中，存在着大量的服务请求，其中一部分就是黑客的攻击行为，如何在大量的服务请求中，及时捕获其中的攻击行为并且主动阻断网络攻击，是网络安全运维人员亟待解决的问题。

技术实现思路

[0004]为克服相关技术中存在的问题，本专利技术提供一种工控网络的沙盒应用方法、装置及存储介质。
[0005]根据本专利技术实施例的第一方面，提供一种工控网络的沙盒应用方法，包括：
[0006]拦截所述工控网络中针对操作系统的API请求，以及针对数据库的SQL指令；
[0007]在确定拦截到所述API请求的情况下，将所述API请求导入操作系统沙盒；并通过所述操作系统沙盒确定所述API请求是否合法，在确定所述API请求合法的情况下，将所述API请求发送至所述操作系统；
[0008]在确定拦截到所述SQL指令的情况下，将所述SQL指令导入数据库沙盒；并通过所述数据库沙盒确定所述SQL指令是否合法，在确定所述SQL指令合法的情况下，将所述SQL指令发送至所述数据库。
[0009]可选地，所述通过所述操作系统沙盒确定所述API请求是否合法包括：
[0010]确定所述API请求对应的操作类型是否为非法操作类型；
[0011]在确定所述API请求对应的操作类型为非法操作类型的情况下，确定所述API请求对应的操作对象是否为白名单对象；
[0012]在确定所述API请求对应的操作对象非白名单对象的情况下，确定所述API请求为非法请求。
[0013]可选地，所述通过所述操作系统沙盒确定所述API请求是否合法还包括：
[0014]在确定所述API请求对应的操作对象是白名单对象的情况下，将所述API请求进行文件重定向操作，得到重定向文件路径；
[0015]基于所述重定向文件路径，执行所述API请求；
[0016]在确定执行所述API请求后，与所述重定向文件路径的文件存在异常的情况下，确定所述API请求为非法请求。
[0017]可选地，所述通过所述数据库沙盒确定所述SQL指令是否合法包括：
[0018]解析所述SQL指令，得到解析后的解析指令；
[0019]确定所述解析指令是否为白名单指令；
[0020]在确定所述解析指令非白名单指令的情况下，确定所述SQL指令为非法指令。
[0021]可选地，所述解析所述SQL指令，得到解析后的解析指令包括：
[0022]对所述SQL指令进行词法分析，得到词法链；
[0023]将所述SQL指令解析为语法树，并确定SQL语义信息，所述解析指令包括所述词法链以及所述SQL语义信息。
[0024]可选地，所述确定所述解析指令是否为白名单指令包括：
[0025]将所述词法链与白名单中的目标词法链对比，得到第一对比结果；
[0026]在确定所述第一对比结果表征所述词法链与所述目标词法链匹配的情况下，将所述SQL语义信息与白名单中的语义库对比，得到第二对比结果；
[0027]在确定所述第一对比结果表征所述词法链与所述目标词法链不匹配，和/或所述第二对比结果表征所述SQL语义信息与白名单中的语义库不匹配的情况下，确定所述解析指令不为白名单指令。
[0028]可选地，所述方法还包括：
[0029]在确定所述API请求为非法请求，或，所述SQL指令为非法指令的情况下，将所述API请求或所述SQL指令，按照预设转换方式转换为目标操作日志；并
[0030]将所述目标操作日志写入异常日志数据库中。
[0031]根据本专利技术实施例的第二方面，提供一种工控网络的沙盒应用装置，所述装置包括：
[0032]拦截模块，用于拦截所述工控网络中针对操作系统的API请求，以及针对数据库的SQL指令；
[0033]第一导入模块，用于在确定拦截到所述API请求的情况下，将所述API请求导入操作系统沙盒；并通过所述操作系统沙盒确定所述API请求是否合法，在确定所述API请求合法的情况下，将所述API请求发送至所述操作系统；
[0034]第二导入模块，用于在确定拦截到所述SQL指令的情况下，将所述SQL指令导入数据库沙盒；并通过所述数据库沙盒确定所述SQL指令是否合法，在确定所述SQL指令合法的情况下，将所述SQL指令发送至所述数据库。
[0035]根据本专利技术实施例的第三方面，提供一种工控网络的沙盒应用装置，包括：
[0036]处理器；
[0037]用于存储处理器可执行指令的存储器；
[0038]其中，所述处理器被配置为：
[0039]拦截所述工控网络中针对操作系统的API请求，以及针对数据库的SQL指令；
[0040]在确定拦截到所述API请求的情况下，将所述API请求导入操作系统沙盒；并通过所述操作系统沙盒确定所述API请求是否合法，在确定所述API请求合法的情况下，将所述API请求发送至所述操作系统；
[0041]在确定拦截到所述SQL指令的情况下，将所述SQL指令导入数据库沙盒；并通过所述数据库沙盒确定所述SQL指令是否合法，在确定所述SQL指令合法的情况下，将所述SQL指令发送至所述数据库。
[0042]根据本专利技术实施例的第四方面，提供一种计算机可读存储介质，其上存储有计算机程序指令，该程序指令被处理器执行时实现本专利技术第一方面中任一项所述方法的步骤。
[0043]本专利技术的实施例提供的技术方案可以包括以下有益效果：通过拦截工控网络中的API请求以及SQL指令，并将API请求以及SQL指令导入对应的沙盒环境中，以使得在沙盒环境中确定对应的API请求以及SQL指令是否合法，仅在合法的情况下将API请求或SQL指令转发至操作系统或者数据库，避免了不合法的API请求或者SQL指令被操作系统或者数据库执行，对工控网络的网络安全造成威胁，有效地保证了工控网络的网络安全。
[0044]应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本专利技术。
附图说明
[0045]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本专利技术的实施例，并与说明书一起用于解释本专利技术的原理。
[0046]图1是根据一示例性实施例示出的一种工控网络的沙盒应用方法的流程图。
[0047]图2是根据一示例性实施例示出的一种API请求的合法判定方法的流程图。
[0048]图3是根据一示例性实施例示出的一种SQL指令的合法判定方法的流程图。
[0049]图4是根据一示例性实施例示出的一种工控网络本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工控网络的沙盒应用方法，其特征在于，包括：拦截所述工控网络中针对操作系统的API请求，以及针对数据库的SQL指令；在确定拦截到所述API请求的情况下，将所述API请求导入操作系统沙盒；并通过所述操作系统沙盒确定所述API请求是否合法，在确定所述API请求合法的情况下，将所述API请求发送至所述操作系统；在确定拦截到所述SQL指令的情况下，将所述SQL指令导入数据库沙盒；并通过所述数据库沙盒确定所述SQL指令是否合法，在确定所述SQL指令合法的情况下，将所述SQL指令发送至所述数据库。2.根据权利要求1所述的方法，其特征在于，所述通过所述操作系统沙盒确定所述API请求是否合法包括：确定所述API请求对应的操作类型是否为非法操作类型；在确定所述API请求对应的操作类型为非法操作类型的情况下，确定所述API请求对应的操作对象是否为白名单对象；在确定所述API请求对应的操作对象非白名单对象的情况下，确定所述API请求为非法请求。3.根据权利要求1所述的方法，其特征在于，所述通过所述操作系统沙盒确定所述API请求是否合法还包括：在确定所述API请求对应的操作对象是白名单对象的情况下，将所述API请求进行文件重定向操作，得到重定向文件路径；基于所述重定向文件路径，执行所述API请求；在确定执行所述API请求后，与所述重定向文件路径的文件存在异常的情况下，确定所述API请求为非法请求。4.根据权利要求1所述的方法，其特征在于，所述通过所述数据库沙盒确定所述SQL指令是否合法包括：解析所述SQL指令，得到解析后的解析指令；确定所述解析指令是否为白名单指令；在确定所述解析指令非白名单指令的情况下，确定所述SQL指令为非法指令。5.根据权利要求4所述的方法，其特征在于，所述解析所述SQL指令，得到解析后的解析指令包括：对所述SQL指令进行词法分析，得到词法链；将所述SQL指令解析为语法树，并确定SQL语义信息，所述解析指令包括所述词法链以及所述SQL语义信息。6.根据权利要求5所述的方法，其特征在于，所述确定所述解析指令是否为白名单指令还包括：将所述词法链与白名单中的目标词法链对比，得到第一对比结果；在确定所述第一对比结果表征所述词...

【专利技术属性】
技术研发人员：刘超飞，杨东，崔逸群，毕玉冰，曾荣汉，刘骁，朱博迪，肖力炀，刘迪，董夏昕，介银娟，崔鑫，王艺杰，朱召鹏，王文庆，邓楠轶，
申请(专利权)人：华能集团技术创新中心有限公司，
类型：发明
国别省市：