[发明专利]一种基于白名单的工控系统攻击检测装置及其检测方法

说明书

本发明公开了一种基于白名单的工控系统攻击检测装置，包括工控系统检测终端和白名单存储终端；其中，工控系统检测终端包括，工控系统白名单特征模块、工控系统攻击预警模块、工控系统保护模块；白名单存储终端包括，安全芯片模块、存储私密区模块、存储访问模块。本发明能够改进现有技术的不足，有效解决了基于程序构建的白名单库庞大、结构复杂等问题，同时有效提高了工控攻击检测命中率和工控系统白名单安全性。

技术领域

本发明涉及网络安全技术领域，尤其是一种基于白名单的工控系统攻击检测装置及其检测方法。

背景技术

传统的攻击检测方法主要依赖模式特征库，通过将网络攻击行为、攻击脚本的特征提取出来，在系统中通过正则表达式等模糊匹配方式去判别，通过识别攻击特征来辨别攻击行为和攻击载体。

之后又产生了通用的依据白名单进行恶意程序检测的方法。通过收集单一程序的特征和行为建立白名单。将白名单集中存储于服务器中，后续程序执行时进行白名单比对，如果特征值一致将允许程序执行。

现有技术方案的缺点：

公开的工控系统漏洞库、工控病毒特征库中特征数量少，且基于已知特征的传统攻击检测方法，特征库的生成与更新往往滞后。

工控网络攻击方法属于信息战的武器，基本上有效的攻击方法极少公开披露，特征库缺少维护更新。

通用白名单的恶意程序检测方法收集的是单一程序的特征和行为，其实现技术简单但其白名单库条数巨大、执行效率低、系统整体延时长，无法满足工控网络实时性要求。

通用白名单的恶意程序检测方法缺乏对系统整体级别的判断，对于系统允许的操作缺乏有效的访问控制。

总体说，现有方案是针对传统IT信息安全的攻击检测系统和方法，不满足工控攻击检测需要。

发明内容

本发明要解决的技术问题是提供一种基于白名单的工控系统攻击检测装置及其检测方法，能够解决现有技术的不足，有效解决了基于程序构建的白名单库庞大、结构复杂等问题，同时有效提高了工控攻击检测命中率和工控系统白名单安全性。

为解决上述技术问题，本发明所采取的技术方案如下。

一种基于白名单的工控系统攻击检测装置，包括：工控系统检测终端和白名单存储终端；其中，

工控系统检测终端包括，

工控系统白名单特征模块，用于与白名单存储终端通信，以及白名单的生产、写入、读出和匹配操作；

工控系统攻击预警模块，用于监控宿主机上工控系统关系白名单的变更，实时对变更进行攻击预警；

工控系统保护模块，用于监控宿主机上工控系统资源白名单的变更，实时对变更进行攻击预警；

白名单存储终端包括，

安全芯片模块，用于存储加密算法；

存储私密区模块，使用安全芯片模块内置加密算法对敏感信息加密并存储；

存储访问模块，用于实现安全芯片模块和存储私密区模块与工控系统检测终端的通信。

作为优选，所述工控系统检测终端和白名单存储终端分别部署在不同的独立设备中。

作为优选，所述工控系统检测终端部署在操作员站和/或工程师站和/或上位机和/或服务器中。

作为优选，所述白名单存储终端部署在工控主机和/或磁盘阵列中。

一种上述的基于白名单的工控系统攻击检测装置的检测方法，包括以下步骤：