[发明专利]基于工控终端设备接口HOOK的安全防护方法

权利要求书

1.一种基于工控终端设备接口HOOK的安全防护方法，其特征在于，包括如下步骤：

步骤S1：将工控设备通过外部接口以HOOK的方式与工控终端设备相连，通过所述外部接口对接入所述工控终端设备的外接设备进行身份认证；

步骤S2：对需要连接的外接设备进行注册、登记和认证，验证其身份的合法性，对接入认证通过的外接设备发放数字证书，并根据安全级别给予其对应的针对所述工控终端设备的操作权限，允许外接设备与所述工控终端设备进行数据传输和控制指令交互，对接入认证失败的外接设备则断开连接；

步骤S3：依次对接入认证通过的外接设备的流量进行审计、对漏洞攻击流量、病毒木马流量、工控协议接入以及固件更新请求合法性进行检测，对检测合格的外接设备的所有操作请求和操作行为进行记录，并对合法请求进行转发，对检测不合格的外接设备的所有操作请求和操作行为进行拦截和阻断；对接入认证通过的外接设备的工控协议接入进行检测时，包括工控协议接入检测以及工控协议关键功能码合法性检测，对所述工控协议接入检测时，检测外接设备发起的工控协议连接，操作请求是否在所述外接设备注册登录时分配的权限之内；对工控协议关键功能码合法性检测时，当检测到外接设备发送reset、poweroff影响电力工控终端设备正常使用的关键敏感性功能码时，检测所述外接设备是否有相应的操作权限；对接入认证通过的外接设备的固件更新请求合法性进行检测时，当检测到外接设备发送固件更新请求时，检测其注册登记时分发的权限中是否存在修改固件、更新固件的权限。

2.根据权利要求1所述基于工控终端设备接口HOOK的安全防护方法，其特征在于：对接入认证通过的外接设备的流量进行审计时，过滤存在安全威胁的协议端口。

3.根据权利要求1所述基于工控终端设备接口HOOK的安全防护方法，其特征在于：对接入认证通过的外接设备的漏洞攻击流量进行检测时，通过流量黑白名单、特征值手段二次检测接入认证通过的外接设备是否存在可疑的攻击行为，同时对漏洞攻击行为进行及时阻断。

4.根据权利要求1所述基于工控终端设备接口HOOK的安全防护方法，其特征在于：对接入认证通过的外接设备的病毒木马流量进行检测时，通过检测接入设备的流量中是否存在病毒木马的流量特征，来再次确认接入的外接设备中是否存在rootkit病毒木马。