一种基于沙盒的台区融合型终端软件安全检测方法技术

发明专利技术公开了一种基于沙盒的台区融合型终端软件安全检测方法，包括：在软件运行之前，根据数字证书特征参数白名单库进行静态检测，禁止证书不合法的软件运行；创建新的沙盒，并在其中为每个证书合法的软件启动一个进程；通过沙盒收集软件运行过程中的所有系统调用，提取其中的敏感系统调用形成敏感行为序列库；在沙盒的安全区域和程序内核中模拟执行每一个系统调用；由异常行为策略库构造异常行为检测自动机，对沙盒捕获的敏感系统调用进行异常行为动态检测，判定是否构成异常行为；若软件为正常软件则将沙盒的所有文件和操作重定向到台区融合型终端系统中。本发明专利技术显著优化了台区融合型终端的软件运行的隔离性、检测结果准确性和检测过程高效性。和检测过程高效性。和检测过程高效性。

【技术实现步骤摘要】
一种基于沙盒的台区融合型终端软件安全检测方法


[0001]本专利技术涉及一种用于台区融合型终端的基于沙盒技术的业务软件安全检测方法，属于电能设备台区融合型终端领域。

技术介绍

[0002]台区融合型终端作为电力物联设备物理层的重要设备，集处理显示模块、电源交采模块、本地通信模块、远程通信模块、遥控模块、本地接口模块和后备电源模块等模块为一体，满足了市场对用电信息采集终端多样化的需求。台区融合型终端提供了通用的计算平台，包括处理器、存储器、网络接口以及嵌入式操作系统等，可以根据用户需求安装运行各类业务软件，实现了应用软件和硬件设备的分离。随着智能电网的高速发展，台区融合型终端的应用更加广泛，其上运行的业务软件种类和数量越来越多，为用户和电网公司提供了智慧服务，同时也为不法分子提供了便捷的攻击渠道。攻击者可以通过在台区融合型终端上安装运行盗版软件、木马软件、病毒程序等，达到窃取或篡改用电数据、破坏电力设备、切断电力供应、攻击电力核心网络等目的，影响人民的正常生产生活和电力企业的经济利益，造成极大的社会安全隐患。与PC和服务器上的软件安全检测相比，台本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于沙盒的台区融合型终端软件安全检测方法，其特征在于，该方法具体包括如下步骤：(1)软件静态检测：基于每个应用软件数字证书中的特征参数建立白名单库，从待检测软件的数字证书中提取特征参数并与所述白名单库进行比对，若数字证书不合法，禁止该应用软件运行，若数字证书合法，进入步骤(2)；(2)启动沙盒：创建至少一个新的沙盒，并在沙盒中为每个证书合法的应用软件启动一个进程；(3)行为特征提取：收集所述应用软件在运行过程中的所有系统调用，提取其中的敏感系统调用形成敏感行为序列库；(4)系统调用重定向：在沙盒内模拟执行每一个系统调用，对不同类型的系统调用采用不同的重定向方式；(5)异常行为动态检测：基于异常行为策略库构造异常行为检测自动机，对沙盒捕获的敏感系统调用进行动态检测，判定是否构成异常行为，通过所述异常行为判断应用软件是否为正常软件；(6)系统回滚：若应用软件为正常软件，则将沙盒的所有重定向回写到系统中，否则系统回滚到软件运行之前的状态。2.根据权利要求1所述的一种基于沙盒的台区融合型终端软件安全检测方法，其特征在于，所述步骤(1)的具体步骤如下：
①
应用中心从每个应用软件S
x
的数字证书Sig(S
x
)中提取软件序列号和数字证书加密参数集合，构成该软件的特征Cha
x
，所有应用软件的特征构成软件证书特征库SigLib，所有应用软件的特征集合构成软件白名单库WhiteLib，台区融合型终端从应用中心下载得到证书特征库SigLib和软件白名单库WhiteLib；
②
台区融合型终端从待测软件S
i
的数字证书Sig(S
i
)中提取出特征Cha
i
，如果数字证书Sig(S
i
)和特征Cha
i
同时出现在软件证书特征库SigLib和成软件白名单库WhiteLib中，则静态检测结果为真，待测软件S
i
为证书合法软件，进入步骤(2)；否则静态检测结果为假，提示“软件证书错误”，退出软件运行。3.根据权利要求1所述的一种基于沙盒的台区融合型终端软件安全检测方法，其特征在于，所述步骤(3)的具体步骤如下：
①
沙盒SandBox
i
通过Hook方式捕获待测软件S
i
的每个系统调用的基本信息C
i,j
并将其写入日志runtime_log中；
②
将系统调用C
i,j
与敏感调用库SCallLib进行比对，如果系统调用C
i,j
不是敏感的系统调用，则忽略该系统调用C
i,j
；否则抽取系统调用C
i,j
的部分敏感信息形成敏感系统调用系统调用C
′
i,j
，并将系统调用C
′
i,j
按时间顺序插入敏感行为序列库ActSeqLib中。4.根据权利要求1所述的一种基于沙盒的台区融合型终端软件安全检测方法，其特征在于，所述步骤(4)的具体步骤如下：
①
当系统调用C
i,j
为文件相关的系统调用时，需要访问系统路径P
j
下的文件f
j
，
若文件f
j
为系统文件且系统调用C
i,j
访问为只读操作，则沙盒SandBox
i
直接通过路径P
j
访问文件f
j
；若文件f
j
为系统文件且系统调用C
i,j
访问包含写操作，则将文件f
j
复制到沙盒SandBox
i
安全区域内的重定向路径P
′
j
下；若文件f
j
为待测软件S
i
的新建文件，则将路径P
j
重定向到沙盒SandBox
i
安全区域内的路径P
′
j
，并在路径P
′
j
下新建文件f
j
，后续对文件f
j
的访问均在安全区域内进行；若文件f
j
为台区融合型终端上其他软件S
a
产生的文件，则使用其他软件S
a...

【专利技术属性】
技术研发人员：卢继哲，祝恩国，张海龙，阿辽沙，
申请(专利权)人：国网福建省电力有限公司营销服务中心，
类型：发明
国别省市：