CN113342594A

CN113342594A - 一种工控主机及其健康度动态评估方法

Info

Publication number: CN113342594A
Application number: CN202110574970.2A
Authority: CN
Inventors: 蒋红刚; 赵志鹏; 姜荣国; 郭会军; 郭景瑞; 康乐; 李立国; 梁爽; 张海超; 窦才; 李猛; 李峰; 翟向军; 贾洪刚; 贾伟杰; 李延辉
Original assignee: Liaoning Datang International Changtu Wind Power Co ltd; Liaoning Datang International New Energy Co ltd; Beijing Winicssec Technologies Co Ltd
Current assignee: Liaoning Datang International Changtu Wind Power Co ltd; Liaoning Datang International New Energy Co ltd; Beijing Winicssec Technologies Co Ltd
Priority date: 2021-05-26
Filing date: 2021-05-26
Publication date: 2021-09-03

Abstract

本申请公开一种工控主机及其健康度动态评估方法。所述方法包括设定访问控制策略，对主体和客体进行安全标记；加载主体安全标记、客体安全标记和访问控制策略；截获主体对客体的访问请求，从访问请求中获取访问控制信息，根据访问控制信息查询主体安全标记和客体安全标记，依据访问控制策略对该访问请求实施策略符合性检查，生成操作日志；根据操作日志计算工控主机的安全健康指数，生成工控主机健康指数趋势图。采用本申请技术方案，实现对系统安全配置的合理优化配置，便于系统的安全运行审计及实时安全监控。

Description

一种工控主机及其健康度动态评估方法

技术领域

本申请涉及工控通信技术领域，尤其涉及一种工控主机及其健康度动态评估方法。

背景技术

在工业控制系统中工控主机运行的一般都是专业软件，更新和升级的频率比较低，工控系统中为了确保主机的安全稳定运行，系统对主机资源的访问有严格的限制，因此工控主机上一般都安装有受到各种安全策略保护的防护软件，因此系统用户或进程对相应程序或文件的操作应遵循这些安全策略规则，针对这些系统调用，需要通过一种强化学习的方法来监控其运行状态。

现有的操作行为异常监测方法例如公开号为106936781的专利“一种用户操作行为的判定方法及装置”，该方案是对一个或多个目标用户进行企业系统或互联网等操作行为是否异常进行判定，该异常判定是基于一种门限阈值的隐马尔科夫模型，阈值模型给出了进行行为判决的基线。然而该方法未涉及对系统实时动态评估的安全监测过程，也未涉及工控主机自身系统进程调用操作的安全审计过程，相对比较片面。

另外，公开号为101615186的专利“一种基于隐马尔科夫理论的BBS用户异常行为审计方法”，虽然加入审计跟踪后的BBS有助于帮助系统管理员确保系统及资源免遭非法授权用户的侵害，然而该方法主要涉及BBS系统用户对网络资源的操作行为，未涉及主机系统资源的安全性防护及系统进程调用的安全检测问题，相对比较片面。

发明内容

针对工控现场主机，如果需要对其进行程序调用操作，系统用户对其的操作需要遵循主机上已有的防护策略，并对其相关操作记录操作日志，便于系统的安全运行审计及实时安全监控。本发明基于现场操作的实践性、安全性以及可追溯性，通过一种基于隐马尔科夫理论的用户进程操作的健康指数计算方法，用以实时监控工控主机的安全运行状况。本申请具体提供了一种工控主机健康度动态评估方法，包括：

设定访问控制策略，对主体和客体进行安全标记；加载主体安全标记、客体安全标记和访问控制策略；

截获主体对客体的访问请求，从访问请求中获取访问控制信息，根据访问控制信息查询主体安全标记和客体安全标记，依据访问控制策略对该访问请求实施策略符合性检查，生成操作日志；

根据操作日志计算工控主机的安全健康指数，生成工控主机健康指数趋势图。

如上所述的工控主机健康度动态评估方法，其中，在工控主机中部署分布式主机卫士和统一安全管理中心。

如上所述的工控主机健康度动态评估方法，其中，主体是在主机卫士上已进行安全标记的对某些安全客体进行操作的系统用户或进程；客体是在主机卫士上已进行安全标记的受某些安全主体进行操作的文件、目录或进程。

如上所述的工控主机健康度动态评估方法，其中，截获主体对客体的访问请求，从访问请求中获取访问控制信息，根据访问控制信息查询主体安全标记和客体安全标记，依据访问控制策略对该访问请求实施策略符合性检查，生成操作日志，具体包括如下子步骤：

工控主机启动，加载主体安全标记、客体安全标记和访问控制策略；具体地，当工控主机启动时，加载主体、客体安全标记以及访问控制规则表，并对其进行初始化；

当执行程序主体发出访问客体请求时，主机卫士对访问请求进行安全拦截，并从访问请求中获取访问控制相关的主体、客体和操作三要素信息；

主机卫士查询主体、客体安全标记信息，并依据访问控制策略对该请求实施策略符合性检查；

主机卫士将实施策略符合性检查的操作结果以日志形式实时上传到统一安全管理中心。

如上所述的工控主机健康度动态评估方法，其中，实施策略符合性检查，具体为：通过安全主体校验过程、安全客体校验过程、授权操作校验过程的校验完成对某个程序的调用，当某个过程校验未通过时，系统操作用户对该操作的响应转化为其他操作的概率。

如上所述的工控主机健康度动态评估方法，其中，预先在统一安全管理中心中为每个校验过程的状态设置一个健康基数值，根据当前状态转移到其他状态的转移概率和健康基数值计算当前安全健康指数。

如上所述的工控主机健康度动态评估方法，其中，通过下式计算当前安全健康指数：

其中，v(s)为当前安全健康值，P_ss′为当前状态转移到其他状态的转移概率，R_s为当前状态的健康基数，P_ss′×R_s＝H(s)为当前状态对应的健康值，s表示当前状态，S′表示转移后的状态，S表示校验过程的所有状态，在校验过程状态中，通过验证为最终状态，该状态不会再发生状态转移，在计算健康值总数时不累加该状态的健康值。

本申请还提供一种工控主机，包括：所述工控主机执行上述任一项所述的一种工控主机健康度动态评估方法。

如上所述的工控主机，其中，在受控的工控主机上安装多个用于保护系统文件或目录的安全防护软件，即安全卫士，这些安全卫士采用分布式部署并由一个统一的安全管理中心进行管理。

本申请还提供一种计算机存储介质，其特征在于，包括：至少一个存储器和至少一个处理器；

存储器用于存储一个或多个程序指令；

处理器，用于运行一个或多个程序指令，用以执行上述任一项所述的一种工控主机健康度动态评估方法。

本申请实现的有益效果如下：本发明基于工控系统运行环境现场操作的实践性，通过主机卫士软件与安全管理中心的交互机制，针对系统用户的每次操作进行日志记录，安全管理中心通过一种基于隐马尔科夫的计算方式实时对系统操作日志进行分析，并通过分析结果计算出工控系统当前的健康指数并生成健康指数变化趋势图，通过每台工控主机的健康指数趋势变化，安全管理员可以进一步分析系统是否受到人为入侵或恶意攻击，同时还可以分析系统安全配置是否合理从而达到优化配置的目的。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1是本申请实施例一提供的一种基于隐马尔可夫模型的工控主机健康度动态评估方法流程图；

图2是系统资源访问安全防护示意图；

图3是最安全状态转移概率示意图；

图4是程序执行状态示意图；

图5是健康指数趋势图；

图6是应用于包括主机卫士和统一安全管理中心的工控主机中的系统用户操作记录序列图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

如图1所示，本申请实施例一提供一种基于隐马尔可夫模型的工控主机健康度动态评估方法，应用于工控主机中，所述方法包括：

步骤110、设定访问控制策略，对主体和客体进行安全标记；加载主体安全标记、客体安全标记和访问控制策略；

为了保障工控网络中各工控主机的安全运行，在受控的工控主机上安装一些用于保护系统文件或目录的安全防护软件，即安全卫士，以满足对系统资源访问的安全防护，这些安全卫士采用分布式部署并由一个统一的安全管理中心进行管理；也就是说，在工控网络中包括多个工控主机，每个工控主机中包括一个统一安全管理中心和多个主机卫士，即工控主机:主机卫士:统一安全管理中心＝1:n:1。

在各个主机卫士中，管理员可以根据需求确定访问控制策略，执行访问控制规则表，并对主体和客体进行安全标记；其中，主体指的是在主机卫士上已进行安全标记的对某些安全客体进行操作的系统用户或进程；客体指的是在主机卫士上已进行安全标记的受某些安全主体进行操作的文件、目录或进程。

如图2所示，统一安全管理中心包括用户身份管理模块，标记管理、授权管理、策略管理模块，以及审计模块；在标记管理、授权管理、策略管理模块用于管理主体、客体信息，管理设置的访问控制策略，以及管理级别调整策略；主体信息包括主体身份和主体安全标识，客体信息包括客体名、客体安全标识和客体内容；当执行程序主体请求访问客体时，根据主体安全标识和客体安全标识进行强制访问控制检查(包括按级别判定策略符合性检查和级别调整检查)，检查通过则执行，检查不通过则拒绝执行；另外所有安全配置的修改调整及主体对客体的访问信息都支持进行日志审计。

步骤120、截获主体对客体的访问请求，从访问请求中获取访问控制信息，根据访问控制信息查询主体安全标记和客体安全标记，依据访问控制策略对该访问请求实施策略符合性检查，生成操作日志；

当系统操作用户对工控主机进行程序调用时，执行程序主体发起对客体的访问请求，通过工控主机中设置的系统安全机制截获该访问请求，并从访问请求中获取访问控制相关的主体、客体和操作三要素信息，然后查询主体、客体安全标记信息，并依据访问控制策略对该请求实施策略符合性检查；

其中，实施策略符合性检查，具体为：本申请在系统操作用户对程序进行调用的过程中，将系统操作用户对操作结果的响应看作是一个马尔可夫过程，在这个随机过程中，需要通过三个过程的校验来完成对某个程序的调用，这三个过程分别为安全主体校验过程、安全客体校验过程、授权操作校验过程(授权操作是对已进行安全标记的文件、目录或程序的授权操作，比如读、写、执行)；当某个过程校验未通过时，系统操作用户对该操作的响应会转化为其他操作的概率；将校验过程检查的结果生成操作日志。

具体地，所述步骤120应用于包括主机卫士和统一安全管理中心的工控主机中时，具体包括如下子步骤：

步骤121、工控主机启动，加载主体安全标记、客体安全标记和访问控制策略；具体地，当工控主机启动时，加载主体、客体安全标记以及访问控制规则表，并对其进行初始化；

步骤122、当执行程序主体发出访问客体请求时，主机卫士对访问请求进行安全拦截，并从访问请求中获取访问控制相关的主体、客体和操作三要素信息；

步骤123、主机卫士查询主体、客体安全标记信息，并依据访问控制策略对该请求实施策略符合性检查；

步骤124、主机卫士将实施策略符合性检查的操作结果以日志形式实时上传到统一安全管理中心。

返回参见图1，步骤130、根据操作日志计算工控主机的安全健康指数，生成工控主机健康指数趋势图。

本申请实施例中，由统一安全管理中心根据操作日志计算工控主机的安全健康指数，生成工控主机健康指数趋势图并展示；

具体地，预先在统一安全管理中心中为每个校验过程的状态设置一个健康基数值，例如，设置安全主体校验通过为40分，安全客体校验通过为40分，授权操作校验通过为20分，非法安全主体为-40分，非法运行为-60分，通过验证为100分；在计算当前安全健康指数前，先计算每个状态对应的健康值，然后当前安全健康指数即为每个状态对应健康值之和，具体通过下式计算当前安全健康指数：

其中，v(s)为当前安全健康值，P_ss′为当前状态转移到其他状态的转移概率，R_s为当前状态的健康基数，P_ss′×R_s＝H(s)为当前状态对应的健康值，s表示当前状态，S′表示转移后的状态，S表示校验过程的所有状态。需要说明的是，在校验过程状态中，“通过验证”为最终状态，该状态不会再发生状态转移，在计算健康值总数时不累加该状态的健康值。

如图3所示，系统用户对程序的调用最安全的状态为全部通过三个过程的校验并最终正常执行，最安全状态时的健康指数：v(s)＝1×40+1×40+1×60＝100。

以下示例性地展示了统一安全管理中心对某个操作日志的分析情况：

收集到系统操作用户对程序的操作日志1000条，每条操作日志对应一次系统用户的操作，其中操作用户为合法安全主体为900次，操作用户为非法安全主体为100次，当安全软件拦截为非法安全主体操作时，有90次会切换主体用户执行，其中10次最终会切换到可信安全主体后对程序的操作；

操作用户验证为合法安全主体的900次操作进入到第二步的安全客体校验过程中，有810次通过了可信安全客体的校验，有90次为非法客体的操作；

操作程序验证为可信安全客体的810次操作进入到第三步的授权操作校验过程中，有648次通过了可信授权操作的校验并最终正常运行，有162次为非法授权操作；

非法操作的252(90+162＝252)次操作过程中，有50次切换了主体用户进入到安全主体的校验过程，有50次切换了客体进入到安全客体的校验过程，有152次切换操作进入到授权操作的校验过程。

通过上述过程分析，系统操作用户对程序进行调用过程中，系统操作用户对操作结果的响应可以看作是一个马尔可夫过程，在这个随机过程中，用户需要通过三个过程的校验来完成对某个程序的调用。当程序调用处于第一阶段安全主体校验过程时，会有10％的概率为非法安全主体执行而被拦截，另有90％的概率为合法安全主体执行而进入到安全客体校验阶段。一旦当前操作被鉴定为非法主体执行，则系统操作用户有90％的概率会通过切换主体用户的方式来继续完成后续的操作，而仅有10％的概率通过安全主体的校验。当程序调用处于第二阶段安全客体校验过程时，会有90％的概率通过安全客体的校验而进入到第三阶段的授权操作校验阶段，也有10％的概率因安全客体校验不通过而被拦截。当程序调用处于第三阶段授权操作校验过程时，会有80％的概率通过授权操作校验而进入到通过校验阶段而最终被正常运行，也有20％的概率因授权操作校验不通过而被拦截。在第二和第三阶段校验不通过的操作过程中分别有20％、20％和60％的概率又重新返回到第一、二、三阶段的校验过程中。

如图4所示，图4中每个方框描述程序执行可能所处的某一个状态，这些状态包括有安全主体校验状态(CHKSUBSTATUS)、安全客体校验状态(CHKOBJSTATUS)、授权操作校验状态(CHKOPERSTATUS)、通过验证状态(PASSSTATUS)、非法安全主体状态(ILLUSERSTATUS)、非法运行状态(ILLRUNSTATUS)共6个状态，其中最后一个通过验证状态是终止状态，意味着程序调用进入到该状态则永久保持在该状态，或者说该状态的下一个状态将100％还是该状态，连接状态的箭头表示状态转移过程，箭头附近的数字表明着发生箭头所示方向状态转移的概率。

状态转移概率整理的表格如下：

则：

由此可知，该时刻对应的健康指数计算为：

H(CHKSUBSTATUS)＝0.9*40+0.1*(-40)＝32

H(CHKOBJSTATUS)＝0.9*40+0.1*(-60)＝30

H(CHKOPERSTATUS)＝0.8*20+0.2*(-60)＝4

H(ILLUSERSTATUS)＝0.1*40+0.9*(-40)＝-32

H(ILLRUNSTATUS)＝0.2*40+0.2*40+0.6*(20)＝28

v(s)＝32+30+4+(-32)+28＝62

通过健康指数，安全管理中心实时展示工控主机的安全状况，标记规则如下：

0＝<安全指数<＝75安全状况为不安全

75<安全指数<＝90安全状况为良好

90<安全指数<＝100安全状况为优

安全管理中心通过上述规则每分钟计算各台工控主机的健康指数并生成如图5所示的趋势图。

实施例二

图6是应用于包括主机卫士和统一安全管理中心的工控主机中的系统用户操作记录序列图，具体执行如下步骤：

步骤610、系统用户发起程序操作。

步骤620、若主机卫士判断当前操作不是安全主体用户，则终止操作，记录非法主体调用日志后，将操作日志发送到安全管理中心。

步骤630、系统用户切换主体用户并通过安全主体校验后，系统用户再次发起程序调用操作。

步骤640、若主机卫士判断当前操作不是安全客体对象，则终止操作，记录非法客体调用日志后，将操作日志发送到安全管理中心。

步骤650、系统用户切换客体对象并通过安全客体校验后，系统用户再次发起程序调用操作。

步骤660、若主机卫士判断当前操作不是授权操作类型，则终止操作，记录非法授权操作日志后，将操作日志发送到安全管理中心。

步骤670、系统用户切换操作并通过授权操作校验后，系统用户再次发起程序调用操作。

步骤680、主机卫士判断该授权操作过程通过验证之后，正常执行程序调用并记录正常运行日志后将操作日志发送到安全管理中心。

步骤690、安全管理中心接收到上述操作日志后，定时对操作日志进行分析，根据状态转移概率计算该工控主机的安全健康指数。

与上述实施例对应的，本发明实施例提供一种计算机存储介质，包括：至少一个存储器和至少一个处理器；

存储器用于存储一个或多个程序指令；

处理器，用于运行一个或多个程序指令，用以执行一种工控主机健康度动态评估方法。

与上述实施例对应的，本发明实施例提供一种计算机可读存储介质，计算机存储介质中包含一个或多个程序指令，一个或多个程序指令用于被处理器执行一种工控主机健康度动态评估方法。

本发明所公开的实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序指令，当所述计算机程序指令在计算机上运行时，使得计算机执行上述的方法。

在本发明实施例中，处理器可以是一种集成电路芯片，具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor，简称DSP)、专用集成电路(Application Specific Integrated Circuit，简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息，结合其硬件完成上述方法的步骤。

存储介质可以是存储器，例如可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。

其中，非易失性存储器可以是只读存储器(Read-Only Memory，简称ROM)、可编程只读存储器(Programmable ROM，简称PROM)、可擦除可编程只读存储器(Erasable PROM，简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM，简称EEPROM)或闪存。

易失性存储器可以是随机存取存储器(Random Access Memory，简称RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，简称SRAM)、动态随机存取存储器(Dynamic RAM，简称DRAM)、同步动态随机存取存储器(Synchronous DRAM，简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM，简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM，简称ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，简称SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM，简称DRRAM)。

本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时，可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。

Claims

1.一种工控主机健康度动态评估方法，其特征在于，包括：

2.如权利要求1所述的工控主机健康度动态评估方法，其特征在于，在工控主机中部署分布式主机卫士和统一安全管理中心。

3.如权利要求2所述的工控主机健康度动态评估方法，其特征在于，主体是在主机卫士上已进行安全标记的对某些安全客体进行操作的系统用户或进程；客体是在主机卫士上已进行安全标记的受某些安全主体进行操作的文件、目录或进程。

4.如权利要求3所述的工控主机健康度动态评估方法，其特征在于，截获主体对客体的访问请求，从访问请求中获取访问控制信息，根据访问控制信息查询主体安全标记和客体安全标记，依据访问控制策略对该访问请求实施策略符合性检查，生成操作日志，具体包括如下子步骤：

5.如权利要求4所述的工控主机健康度动态评估方法，其特征在于，实施策略符合性检查，具体为：通过安全主体校验过程、安全客体校验过程、授权操作校验过程的校验完成对某个程序的调用，当某个过程校验未通过时，系统操作用户对该操作的响应转化为其他操作的概率。

6.如权利要求5所述的工控主机健康度动态评估方法，其特征在于，预先在统一安全管理中心中为每个校验过程的状态设置一个健康基数值，根据当前状态转移到其他状态的转移概率和健康基数值计算当前安全健康指数。

7.如权利要求6所述的工控主机健康度动态评估方法，其特征在于，通过下式计算当前安全健康指数：

8.一种工控主机，其特征在于，包括：所述工控主机执行如权利要求1-7任一项所述的一种工控主机健康度动态评估方法。

9.如权利要求8所述的工控主机，其特征在于，在受控的工控主机上安装多个用于保护系统文件或目录的安全防护软件，即安全卫士，这些安全卫士采用分布式部署并由一个统一的安全管理中心进行管理。

10.一种计算机存储介质，其特征在于，包括：至少一个存储器和至少一个处理器；

存储器用于存储一个或多个程序指令；

处理器，用于运行一个或多个程序指令，用以执行如权利要求1-7任一项所述的一种工控主机健康度动态评估方法。