【技术实现步骤摘要】
本专利技术涉及网络安全,特别涉及一种工控终端的安全防护方法及装置。
技术介绍
1、随着“工业4.0”、“两化融”、“互联网+”的趋势到来,传统的工业控制系统网络安全问题已成为企业及国家安全面临的严峻挑战,但是工业环境由于相对封闭、专用的特性,且设计之初是为了完成各种实时控制功能,并未考虑到安全防护问题,缺乏安全保护措施,因此暴露在互联网上容易遭受病毒、木马、黑客的攻击,导致工控终端存在巨大的安全风险和隐患。因此,亟需一种工控终端的安全防护方法及装置。
技术实现思路
1、为了解决上述问题,本专利技术实施例提供了一种工控终端的安全防护方法及装置,该方法能提高工控终端的安全防护性能,为工控终端提供安全稳定的运行环境。
2、第一方面,本专利技术实施例提供了一种工控终端的安全防护方法,包括:
3、获取安全运行的工控终端所包括的可执行程序文件;
4、根据所述可执行程序文件的权限,生成对应不同权限的程序白名单库;
5、从所述可执行程序文件中提取证书特征信息,并生成证书白名单库;
6、根据所述程序白名单库和所述证书白名单库,对待防护工控终端进行安全检测,确定目标检测结果。
7、可选地,所述根据所述可执行程序文件的权限,生成对应不同权限的程序白名单库,包括:
8、根据所述权限,将所述可执行程序文件划分为具有不同权限的子程序文件集;其中,按照所述权限由高至低将所述子程序文件集依次划分为操作系统类程序文件集、服务驱动类程
9、根据所述子程序文件集生成程序白名单库;其中,所述程序白名单包括由所述操作系统类程序文件集生成的第一程序白名单、由所述服务驱动类程序文件集生成的第二程序白名单、由所述应用类程序文件集生成的第三程序白名单。
10、可选地,所述根据所述程序白名单库和所述证书白名单库,对待防护工控终端进行安全检测,确定目标检测结果,包括:
11、获取所述待防护工控终端的目标可执行程序文件;
12、根据所述权限,将所述目标可执行程序文件划分为对应不同权限的目标子程序文件;
13、针对每种权限下的每个所述目标子程序文件,均执行:判断所述目标子程序文件是否位于对应该权限的程序白名单库中,若是,则检测结果为该目标子程序文件可信;若否,则提取所述目标子程序文件的目标证书特征信息,在所述目标证书特征信息位于所述证书白名单库中时,确定检测结果为该目标子程序文件可信;在所述目标证书特征信息不位于所述证书白名单库中时,检测结果为告警,并发出告警信息;
14、根据每个所述目标子程序文件的检测结果,确定所述目标检测结果。
15、可选地,所述根据每个所述目标子程序文件的检测结果,确定所述目标检测结果,包括:
16、按照所述权限由高至低,统计每种所述权限下出现的所述检测结果为告警的次数;
17、根据所述告警的次数和所述权限,确定所述待防护工控终端的目标检测结果;其中,所述权限、所述告警的次数均与所述目标检测结果的风险等级呈正相关。
18、可选地,所述程序白名单库中包括所述可执行程序文件的程序名称、进程信息以及由所述可执行程序文件计算得到的哈希值;所述进程信息包括进程id和对应该进程id的进程路径;
19、针对每种权限下的每个所述目标子程序文件,均执行:
20、计算所述目标子程序文件的目标哈希值,判断所述目标哈希值是否位于所述程序白名单库中,得到第一检测结果;
21、提取所述目标子程序文件的目标证书特征信息,判断所述目标证书特征信息是否位于所述证书白名单库中,得到第二检测结果;
22、判断所述目标证书特征信息中的有效期是否未超期,得到第三检测结果;
23、获取所述目标子程序文件的进程信息;判断所述进程id和对应该进程id的进程路径是否均位于所述程序白名单库中,得到第四检测结果;
24、获取所述进程id的父进程id,判断所述父进程id是否位于所述程序白名单库中,得到第五检测结果。
25、可选地,所述根据每个所述目标子程序文件的检测结果,确定所述目标检测结果,包括:
26、统计所述待防护工控终端中所述目标子程序文件的启动总次数;
27、从预设信任等级表中确定所述第一检测结果、所述第二检测结果、所述第三检测结果、所述第四检测结果和所述第五检测结果的信任等级;其中,所述预设信任等级表中存储有不同判断条件下检测结果对应的信任等级;
28、根据所述第一检测结果及其信任等级、所述第二检测结果及其信任等级、所述第三检测结果及其信任等级、所述第四检测结果及其信任等级、所述第五检测结果及其信任等级和所述启动总次数,确定所述目标子程序文件的可信度评分;
29、所述可信度评分通过如下公式确定:
30、
31、其中,f用于表征所述可信度评分;αi用于表征第i个检测结果对应的信任等级的权重;ci用于表征第i个检测结果的取值;n用于表征所述启动总次数;λ用于表征常数。
32、可选地,在所述确定目标检测结果之后,还包括:
33、根据所述目标检测结果,确定防护策略;其中,不同所述权限的可执行程序文件对应的防护策略不同;
34、在所述目标检测结果中存在权限最高的所述可执行程序文件的检测结果为告警时,停止所述安全检测,对所述待防护工控终端进行检修维护。
35、第二方面,本专利技术实施例还提供了一种工控终端的安全防护方法装置,包括:
36、获取模块,用于获取安全运行的工控终端所包括的可执行程序文件;
37、第一生成模块,用于根据所述可执行程序文件的权限,生成对应不同权限的程序白名单库;
38、第二生成模块,用于从所述可执行程序文件中提取证书特征信息,并生成证书白名单库;
39、检测模块,用于根据所述程序白名单库和所述证书白名单库,对待防护工控终端进行安全检测,确定目标检测结果。
40、第三方面,本专利技术实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现上述任一项所述的工控终端的安全防护方法。
41、第四方面,本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行上述任一项所述的工控终端的安全防护方法。
42、本专利技术实施例提供了一种工控终端的安全防护方法及装置,该方法基于安全运行的不同权限的可执行程序文件生成不同的程序白名单库,并从该可执行程序文件中提取证书特征信息,生成证书白名单库,然后再基于不同权限的程序白名单库和证书白名单库对待防护工控终端进行安全检测,确定最终的目标检测结果。如此,程序白名单库和证书白名单库结合使用,增加了工控终端的效率,减少误报误拦截,从而进一步验证了数据文件的真本文档来自技高网...
【技术保护点】
1.一种工控终端的安全防护方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述根据所述可执行程序文件的权限,生成对应不同权限的程序白名单库,包括:
3.根据权利要求1所述的方法,其特征在于,所述根据所述程序白名单库和所述证书白名单库,对待防护工控终端进行安全检测,确定目标检测结果,包括:
4.根据权利要求3所述的方法,其特征在于,所述根据每个所述目标子程序文件的检测结果,确定所述目标检测结果,包括:
5.根据权利要求3所述的方法,其特征在于,所述程序白名单库中包括所述可执行程序文件的程序名称、进程信息以及由所述可执行程序文件计算得到的哈希值;所述进程信息包括进程ID和对应该进程ID的进程路径;
6.根据权利要求5所述的方法,其特征在于,所述根据每个所述目标子程序文件的检测结果,确定所述目标检测结果,包括:
7.根据权利要求1至6中任一所述的方法,其特征在于,在所述确定目标检测结果之后,还包括:
8.一种工控终端的安全防护方法装置,其特征在于,包括:
9.一种计算设备
10.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-7中任一项所述的方法。
...【技术特征摘要】
1.一种工控终端的安全防护方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述根据所述可执行程序文件的权限,生成对应不同权限的程序白名单库,包括:
3.根据权利要求1所述的方法,其特征在于,所述根据所述程序白名单库和所述证书白名单库,对待防护工控终端进行安全检测,确定目标检测结果,包括:
4.根据权利要求3所述的方法,其特征在于,所述根据每个所述目标子程序文件的检测结果,确定所述目标检测结果,包括:
5.根据权利要求3所述的方法,其特征在于,所述程序白名单库中包括所述可执行程序文件的程序名称、进程信息以及由所述可执行程序文件计算得到的哈希值;所述进程信息包括...
【专利技术属性】
技术研发人员:范雷,汪义舟,姜海昆,范宇,
申请(专利权)人:长扬科技北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。