CN115239042A - 业务行为的监控方法、监控系统、存储介质和电子设备 - Google Patents

业务行为的监控方法、监控系统、存储介质和电子设备 Download PDF

Info

Publication number
CN115239042A
CN115239042A CN202110447172.3A CN202110447172A CN115239042A CN 115239042 A CN115239042 A CN 115239042A CN 202110447172 A CN202110447172 A CN 202110447172A CN 115239042 A CN115239042 A CN 115239042A
Authority
CN
China
Prior art keywords
behavior
information group
condition
behavior information
trusted computing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110447172.3A
Other languages
English (en)
Inventor
楚兵
王鑫
武美霞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ningbo Helishi Information Security Research Institute Co ltd
Original Assignee
Ningbo Helishi Information Security Research Institute Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ningbo Helishi Information Security Research Institute Co ltd filed Critical Ningbo Helishi Information Security Research Institute Co ltd
Priority to CN202110447172.3A priority Critical patent/CN115239042A/zh
Publication of CN115239042A publication Critical patent/CN115239042A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0637Strategic management or analysis, e.g. setting a goal or target of an organisation; Planning actions based on goals; Analysis or evaluation of effectiveness of goals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/103Workflow collaboration or project management

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Tourism & Hospitality (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Educational Administration (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Game Theory and Decision Science (AREA)
  • Development Economics (AREA)
  • Data Mining & Analysis (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供了一种业务行为的监控方法、监控系统、存储介质和电子设备,通过获得第一行为信息组,所述第一行为信息组至少包括一个业务行为的信息;判断所述第一行为信息组中的各信息是否均满足条件一和条件二,并获得判断结果;根据所述判断结果,确定所述第一行为信息组对应的各行为是否均可信;其中,所述条件一为:所述第一行为信息组中的各信息均为预设的业务行为的信息;所述条件二为:所述第一行为信息组对应的各行为的执行顺序符合预设的执行顺序,且所述第一行为信息组对应的各行为的发生时间符合预设的时间条件。由此可以看出,本发明可以及时准确地确定各行为是否均可信,及时发现不可信的行为,提高了系统的安全性和可靠性。

Description

业务行为的监控方法、监控系统、存储介质和电子设备
技术领域
本发明涉及工业控制系统领域,特别涉及一种业务行为的监控方法、监控系统、存储介质和电子设备。
背景技术
工业控制系统(Industry Control System,ICS)作为重要的基础战略资源,应用于超过80%的关键基础设施,有着控制着诸如水电站开关、检测电网状态或控制燃油燃气管道压力等的能力,在国家基础建设的舞台中扮演着重要的角色。随着“互联网+”概念的兴起,在继“工业4.0”与“工业互联网”之后,我国也提出了“中国制造2025”战略,工业化与信息化各方面的融合也在持续的深化与发展中。
与此同时,其尚未完善的网络安防体系也给这种管理方式带来了巨大的安全隐患,也将把互联网中存在的通信安全威胁带给了工业控制系统。目前的工业控制系统防止未经授权的访问和恶意软件的能力较差,特别是对于业务行为的安全保障方面,安全性和可靠性不足。
发明内容
鉴于上述问题,本发明提供一种克服上述问题或者至少部分地解决上述问题的一种业务行为的监控方法、监控系统、存储介质和电子设备。
第一方面,一种业务行为的监控方法,包括:
获得第一行为信息组,所述第一行为信息组至少包括一个业务行为的信息;
判断所述第一行为信息组中的各信息是否均满足条件一和条件二,并获得判断结果;
根据所述判断结果,确定所述第一行为信息组对应的各行为是否均可信;
其中,所述条件一为:所述第一行为信息组中的各信息均为预设的业务行为的信息;
所述条件二为:所述第一行为信息组对应的各行为的执行顺序符合预设的执行顺序,且所述第一行为信息组对应的各行为的发生时间符合预设的时间条件。
结合第一方面,在某些可选的实施方式中,所述根据所述判断结果,确定所述第一行为信息组对应的各行为是否均可信,包括:
若所述判断结果为:所述第一行为信息组中的各信息均满足条件一和条件二,则确定所述第一行为信息组对应的各行为均可信;
若所述判断结果为:所述第一行为信息组中存在未同时满足条件一和条件二的信息,则确定所述第一行为信息组对应的各行为中存在不可信的行为。
结合第一方面,在某些可选的实施方式中,所述方法还包括:
获得可信计算对象的对象信息,所述可信计算对象至少包括如下运行环境对象中的至少一个:操作系统代码和驱动代码;
使用哈希算法对所述对象信息进行计算,从而得到所述可信计算对象的可信计算结果;
将所述可信计算结果与预设的所述可信计算对象的可信基准值进行比对,从而确定所述可信计算对象的当前状态,其中,若所述可信计算结果与预设的所述可信计算对象的可信基准值匹配,则确定所述可信计算对象的当前状态为安全状态,否则,确定所述可信计算对象的当前状态为有风险状态;
所述根据所述判断结果,确定所述第一行为信息组对应的各行为是否均可信,包括:
根据所述判断结果和所述可信计算对象的当前状态,确定所述第一行为信息组对应的各行为是否均可信;
若所述可信计算对象的当前状态为所述安全状态,且所述判断结果为:所述第一行为信息组中的各信息均满足条件一和条件二,则确定所述第一行为信息组对应的各行为均可信;
若所述可信计算对象的当前状态为所述有风险状态,或者所述判断结果为:所述第一行为信息组中存在未同时满足条件一和条件二的信息,则确定所述第一行为信息组对应的各行为中存在不可信的行为。
结合上一个实施方式,在某些可选的实施方式中,所述方法还包括:获得上一次确定的所述可信计算对象的当前状态,并作为所述可信计算对象的上次状态;
所述根据所述判断结果,确定所述第一行为信息组对应的各行为是否均可信,包括:
根据所述判断结果、所述可信计算对象的当前状态和所述可信计算对象的上次状态,确定所述第一行为信息组对应的各行为是否均可信;
若所述可信计算对象的当前状态为所述安全状态,且所述可信计算对象的上次状态为所述安全状态,且所述判断结果为:所述第一行为信息组中的各信息均满足条件一和条件二,则确定所述第一行为信息组对应的各行为均可信;
若所述可信计算对象的当前状态为所述有风险状态,或者所述可信计算对象的上次状态为所述有风险状态,或者所述判断结果为:所述第一行为信息组中存在未同时满足条件一和条件二的信息,则确定所述第一行为信息组对应的各行为中存在不可信的行为。
结合第一方面,在某些可选的实施方式中,所述预设的业务行为组,至少包括:获取数据行为、逻辑控制运算行为、冗余同步数据行为和运算结果输出行为。
结合第一方面,在某些可选的实施方式中,所述方法还包括:
对预设的监控周期进行监控,当所述监控周期到达时,执行权利要求1所述的监控方法。
结合第一方面,在某些可选的实施方式中,所述方法还包括:
若所述第一行为信息组对应的各行为中存在不可信的行为,则生成对所述不可信的行为的审计数据。
第二方面,一种业务行为的监控系统,所述监控系统包括:主动监控模块;
所述主动监控模块,包括:行为信息获得单元,行为信息判断单元和行为结果确定单元;
所述行为信息获得单元,被配置为执行获得第一行为信息组,所述第一行为信息组至少包括一个业务行为的信息;
所述行为信息判断单元,被配置为执行判断所述第一行为信息组中的各信息是否均满足条件一和条件二,并获得判断结果;
所述行为结果确定单元,被配置为执行根据所述判断结果,确定所述第一行为信息组对应的各行为是否均可信;
其中,所述条件一为:所述第一行为信息组中的各信息均为预设的业务行为组的信息;
所述条件二为:所述第一行为信息组对应的各行为的执行顺序符合预设的执行顺序,且所述第一行为信息组对应的各行为的发生时间符合预设的时间条件。
第三方面,一种存储介质,其上存储有程序,所述程序被处理器执行时实现任一项所述的监控方法。
第四方面,一种电子设备,所述电子设备包括至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行任一项所述的监控方法。
借由上述技术方案,本发明提供的一种业务行为的监控方法、监控系统、存储介质和电子设备,通过获得第一行为信息组,所述第一行为信息组至少包括一个业务行为的信息;判断所述第一行为信息组中的各信息是否均满足条件一和条件二,并获得判断结果;根据所述判断结果,确定所述第一行为信息组对应的各行为是否均可信;其中,所述条件一为:所述第一行为信息组中的各信息均为预设的业务行为的信息;所述条件二为:所述第一行为信息组对应的各行为的执行顺序符合预设的执行顺序,且所述第一行为信息组对应的各行为的发生时间符合预设的时间条件。由此可以看出,本发明可以及时准确地确定各行为是否均可信,及时发现不可信的行为,提高了系统的安全性和可靠性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明提供的一种业务行为的监控方法的流程图;
图2示出了本发明提供的行为迹表的示意图;
图3示出了本发明提供的一种业务行为的监控系统的结构示意图;
图4示出了本发明提供的一种电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
如图1所示,本发明提供了一种业务行为的监控方法,包括:
S100、获得第一行为信息组,所述第一行为信息组至少包括一个业务行为的信息;
可选的,第一行为信息组可以包括多个行为的信息,即一个行为的信息可以对应理解为第一行为信息组中的一个信息。一个行为的信息可以包括:发生时间信息、发生顺序信息和行为标识信息。发生时间信息可以包括相应行为发生的起始时刻、终止时刻和行为的持续时间。发生顺序信可以理解为第一行为信息组对应的各行为发生的先后顺序。行为标识信息可以理解为每一个行为均可以设置相应的标识,以便于后续可以根据标识将预设的业务行为与其他行为区分开,本发明对此不做限制。
可选的,本发明对于第一行为信息组对应的行为的数量不做限制,可以根据实际需要设定第一行为信息组的对应的行为的数量。例如,若预设的业务行为的数量为N个,则第一行为信息组的对应的行为的数量也可以为N个,即第一行为信息组涵盖的行为的数量与预设的业务行为的数量相同,本发明对此不做限制。
可选的,第一行为信息组的对应的各行为可以理解为一条行为迹,即一条行为迹可以涵盖多个行为,本发明对此不做限制。
S200、判断所述第一行为信息组中的各信息是否均满足条件一和条件二,并获得判断结果;
可选的,判断所述第一行为信息组中的各信息是否均满足条件一和条件二,可以理解为判断一条行为迹中的各行为是否均满足预设的要求,本发明对此不做限制。
S300、根据所述判断结果,确定所述第一行为信息组对应的各行为是否均可信;
可选的,若所述第一行为信息组中的各信息均满足条件一和条件二,则说明相应的行为迹中的各行为均可信,即整个行为迹可信,否则,则说明相应的行为迹中存在不可信的行为,即该行为迹不可信,本发明对此不做限制。
例如,结合图1所示的实施方式,在某些可选的实施方式中,所述S300,包括:步骤310和步骤311;
步骤310、若所述判断结果为:所述第一行为信息组中的各信息均满足条件一和条件二,则确定所述第一行为信息组对应的各行为均可信;
步骤311、若所述判断结果为:所述第一行为信息组中存在未同时满足条件一和条件二的信息,则确定所述第一行为信息组对应的各行为中存在不可信的行为。
其中,所述条件一为:所述第一行为信息组中的各信息均为预设的业务行为的信息;
可选的,本发明可以应用于工业控制系统的控制器,例如PLC控制器。一般工业控制系统要求控制器按照预先设置好的程序依次执行各个业务行为,如此反复循环。但在执行的过程中,控制器可能遭受攻击或者发生故障,导致控制器不按照预先设置好的程序依次执行各个业务行为,可能出现执行顺序混乱、漏掉部分业务行为没有执行和执行了未知的行为等情况。所以只有当第一行为信息组中的各信息均为预设的业务行为的信息时,才能说明相应行为迹中的各行为均是预设的业务行为,没有未知的行为。
可选的,所述条件一还可以为:所述第一行为信息组中的各信息不仅为预设的业务行为的信息,而且涵盖全部预设的业务行为的信息,而且所述第一行为信息组中的各信息不重复,本发明对此不做限制。
可选的,本发明对于预设的业务行为不做具体限制。例如,结合图1所示的实施方式,在某些可选的实施方式中,所述预设的业务行为组,至少包括:获取数据行为、逻辑控制运算行为、冗余同步数据行为和运算结果输出行为。当然,还可以包括其他业务行为,本发明对此不做限制。
所述条件二为:所述第一行为信息组对应的各行为的执行顺序符合预设的执行顺序,且所述第一行为信息组对应的各行为的发生时间符合预设的时间条件。
可选的,结合前述工业控制系统的应用场景。只有当第一行为信息组对应的各行为的执行顺序符合预设的执行顺序时,才能说明相应的行为迹中的各业务行为的执行顺序没有混乱。否则,即便相应的行为迹中的各行为均是预设的业务行为,但若是这些业务行为之间的执行顺序发生混乱,也说明相应的行为迹不可信,本发明对此不做限制。
可选的,在实际中,对于每一个业务行为的发生时间也可以有所限制。例如对于每个预设的业务行为均规定其最大的持续时间,即规定其在多长时间范围内必须执行完毕才算是可信的,若超过该时间,则确定该业务行为的本次执行过程不可信,相应的行为迹也就不可信,本发明对此不做限制。
可选的,除了可以规定各个预设的业务行为的最大的持续时间,还可以根据各个业务行为的持续时间和计时器,确定各个预设的业务行为可以在哪个时间范围内开始执行,在哪个时间范围内终止。若具体一个业务行为没有在规定的时间范围内开始执行,或者没有在规定的时间范围内终止,则说明该业务行为的本次执行过程不可信,本发明对此不做限制。
可选的,前述依据第一行为信息组确定相应的各行为是否均可信,其依据的的各行为的信息判断各行为是否可信,没有结合各行为在执行时所依赖的运行环境。所以,为了进一步提高本发明的安全性和可靠性,结合图1所示的实施方式,在某些可选的实施方式中,所述方法还包括:步骤400、步骤500和步骤600;
步骤400、获得可信计算对象的对象信息,所述可信计算对象至少包括如下运行环境对象中的至少一个:操作系统代码和驱动代码;
可选的,获得上述可信计算对象,以便于后续对各个可信计算对象分别进行可信计算,从而分别确定各个可信计算对象是否可信。
可选的,本发明以操作系统代码和驱动代码为可选实施方式说明本方案,但不限制本发明仅适用于获得操作系统代码的对象信息和驱动代码的对象信息,任何可行的信计算对象的对象信息均属于本发明的保护范围,本发明对此不做限制。
步骤500、使用哈希算法对所述对象信息进行计算,从而得到所述可信计算对象的可信计算结果;
可选的,本发明可以采用哈希算法对各个可信计算对象的对象信息进行可信计算,从而得到各个可信计算对象的可信计算结果。当然,也可以根据实际情况,选择合适的可信计算方法对各个可信计算对象的对象信息进行可信计算,本发明对此不做限制。
步骤600、将所述可信计算结果与预设的所述可信计算对象的可信基准值进行比对,从而确定所述可信计算对象的当前状态,其中,若所述可信计算结果与预设的所述可信计算对象的可信基准值匹配,则确定所述可信计算对象的当前状态为安全状态,否则,确定所述可信计算对象的当前状态为有风险状态;
可选的,本文所述的“匹配”可以理解为:可信计算对象的可信计算结果与预设的该可信计算对象的可信基准值完全相同,也可以理解为可信计算对象的可信计算结果与预设的该可信计算对象的可信基准值之间的误差在允许的误差范围内,本发明对此不做限制。
可选的,各个可信计算对象的可信基准值可以是预先经过多次试验和可信计算得到并存储的理想值,本发明对此不做限制。
可选的,可信计算对象的当前状态为安全状态可以理解为:第一行为信息组对应的各行为在执行时所依赖的运行环境是安全可信的。相反,可信计算对象的当前状态为有风险状态可以理解为:第一行为信息组对应的各行为在执行时所依赖的运行环境有漏洞或者有风险。
可选的,若可信计算对象的当前状态为有风险状态,那么即便第一行为信息组中的各信息均满足条件一和条件二,也确定第一行为信息组对应的各行为中存在不可信的行为。只有当可信计算对象的当前状态为安全状态,且第一行为信息组中的各信息均满足条件一和条件二,才可以确定第一行为信息组对应的各行为均可信,本发明对此不做限制。
例如,所述S300,包括:步骤320、步骤321和步骤322;
步骤320、根据所述判断结果和所述可信计算对象的当前状态,确定所述第一行为信息组对应的各行为是否均可信;
步骤321、若所述可信计算对象的当前状态为所述安全状态,且所述判断结果为:所述第一行为信息组中的各信息均满足条件一和条件二,则确定所述第一行为信息组对应的各行为均可信;
步骤322、若所述可信计算对象的当前状态为所述有风险状态,或者所述判断结果为:所述第一行为信息组中存在未同时满足条件一和条件二的信息,则确定所述第一行为信息组对应的各行为中存在不可信的行为。
可选的,通过结合所述判断结果和所述可信计算对象的当前状态,综合判断第一行为信息组对应的各行为是否均可信,可以进一步提高本发明的安全性和可靠性,本发明对此不做限制。
可选的,为了更进一步提高本发明的安全性和可靠性。在判断第一行为信息组对应的各行为是否均可信时,可以结合更多的判断条件。例如,结合上一个实施方式,在某些可选的实施方式中,所述方法还包括:
步骤700、获得上一次确定的所述可信计算对象的当前状态,并作为所述可信计算对象的上次状态;
可选的,结合上一次确定的所述可信计算对象的当前状态,更加有利于准确确定所述可信计算对象是否安全可信的,本发明对此不做限制。
所述S300,包括:步骤330、步骤331和步骤332;
步骤330、根据所述判断结果、所述可信计算对象的当前状态和所述可信计算对象的上次状态,确定所述第一行为信息组对应的各行为是否均可信;
步骤331、若所述可信计算对象的当前状态为所述安全状态,且所述可信计算对象的上次状态为所述安全状态,且所述判断结果为:所述第一行为信息组中的各信息均满足条件一和条件二,则确定所述第一行为信息组对应的各行为均可信;
步骤332、若所述可信计算对象的当前状态为所述有风险状态,或者所述可信计算对象的上次状态为所述有风险状态,或者所述判断结果为:所述第一行为信息组中存在未同时满足条件一和条件二的信息,则确定所述第一行为信息组对应的各行为中存在不可信的行为。
可选的,如前所述,本发明可以对行为迹中的各个行为进行度量,以确定行为迹中是否存在不可信的行为。即本发明可以与控制器所执行的行为并行执行,本发明对此不做限制。
可选的,本发明可以持续反复执行,也可以在触发条件到达时,触发本发明。例如结合图1所示的实施方式,在某些可选的实施方式中,所述方法还包括:
对预设的监控周期进行监控,当所述监控周期到达时,执行图1所示的监控方法。
可选的,本发明对监控周期不做任何限制,可以是固定的,也可以是可变的,本发明对此不做限制。
可选的,还可以以条件触发的方式,触发本发明的方案。例如可以为一条完整的行为迹设置超时时间。因为一条可信的行为迹所包括的业务行为可以是固定不变的,那么一条可信的行为迹的总执行时间可以设定好相应的时间长度范围,在每次超时时间到达时触发本发明,本发明对此不做限制。
结合图1所示的实施方式,在某些可选的实施方式中,所述方法还包括:
若所述第一行为信息组对应的各行为中存在不可信的行为,则生成对所述不可信的行为的审计数据。
可选的,本发明还可以对不可信的行为进行审计,例如记录不可信的行为发生的次数和标识等,以便于可以有针对性的防御这些不可信的行为,进一步提高本发明的安全性和可靠性,本发明对此不做限制。
可选的,本发明所述的各业务行为的执行顺序可以通过位序进行标定,例如设定获取数据行为、逻辑控制运算行为、冗余同步数据行为和运算结果输出行为的位序依次分别为:A1、A2、A3和A4。
上述获取数据行为、逻辑控制运算行为、冗余同步数据行为和运算结果输出行为依次执行的过程则可以理解为一条完整的行为迹,则可以定义一条行为迹为:Trace(n)=A1·A2·A3·A4,n为行为迹编号;
对于任一个业务行为而言,其在行为迹中的定义为:p(Ai,Trace(n))为,i为业务行为标号,即i为1、2、3和4中的任意一个;
定义函数t(Ai)为业务行为Ai所发生的时间,则可信的执行过程应满足:
Figure BDA0003037326790000121
若当p(A1,Trace(n))<p(A2,Trace(n)),则必有t(A1)<t(A2),其中,ActionSet可以理解为预设的业务行为集合。
不仅如此,可信的执行过程还应考虑环境运行是否可信。若结合运行环境,行为迹依旧是可信的,则行为迹应是完整的,即应满足:Run(AMIB,Trace(1))=Run(AMIB,Trace(n)),其中,AMIB表征运行环境基本可信基,Run(AMIB,Trace(n))表征Trace(n)描述的业务行为按照指定的时间顺序形成的行为轨迹。
基于上述定义,结合图2的行为迹表,判断图2中的A1、A2、A3和A4是否按照固定为位序排列,即判断相应的业务行为是否按照固定位序执行,即满足:t1(A1)<t2(A2)<t3(A3)<t4(A3),且时间t1至t4的时间差满足安全可信策略要求。
还可以判断各行为迹的完整性,例如:Trace1的最后一个行为A4,后面再发生的行为将是A1行为,本发明对此不做限制。
如图3所示,本发明提供了一种业务行为的监控系统,所述监控系统包括:主动监控模块100;
所述主动监控模块100,包括:行为信息获得单元110,行为信息判断单元120和行为结果确定单元130;
所述行为信息获得单元110,被配置为执行获得第一行为信息组,所述第一行为信息组至少包括一个业务行为的信息;
所述行为信息判断单元120,被配置为执行判断所述第一行为信息组中的各信息是否均满足条件一和条件二,并获得判断结果;
所述行为结果确定单元130,被配置为执行根据所述判断结果,确定所述第一行为信息组对应的各行为是否均可信;
其中,所述条件一为:所述第一行为信息组中的各信息均为预设的业务行为组的信息;
所述条件二为:所述第一行为信息组对应的各行为的执行顺序符合预设的执行顺序,且所述第一行为信息组对应的各行为的发生时间符合预设的时间条件。
结合图3所示的实施方式,在某些可选的实施方式中,所述行为结果确定单元130,包括:第一结果单元和第二结果单元;
所述第一结果单元,被配置为执行若所述判断结果为:所述第一行为信息组中的各信息均满足条件一和条件二,则确定所述第一行为信息组对应的各行为均可信;
所述第二结果单元,被配置为执行若所述判断结果为:所述第一行为信息组中存在未同时满足条件一和条件二的信息,则确定所述第一行为信息组对应的各行为中存在不可信的行为。
结合图3所示的实施方式,在某些可选的实施方式中,所述主动监控模块100还包括:对象信息获得单元、对象信息计算单元、结果对比单元、安全确定单元和有风险确定单元;
所述对象信息获得单元,被配置为执行获得可信计算对象的对象信息,所述可信计算对象至少包括如下运行环境对象中的至少一个:操作系统代码和驱动代码;
所述对象信息计算单元,被配置为执行使用哈希算法对所述对象信息进行计算,从而得到所述可信计算对象的可信计算结果;
所述结果对比单元,被配置为执行将所述可信计算结果与预设的所述可信计算对象的可信基准值进行比对,从而确定所述可信计算对象的当前状态,其中,若所述可信计算结果与预设的所述可信计算对象的可信基准值匹配,则触发所述安全确定单元,否则,触发所述有风险确定单元;
所述安全确定单元,被配置为执行确定所述可信计算对象的当前状态为安全状态;
所述有风险确定单元,被配置为执行确定所述可信计算对象的当前状态为有风险状态;
所述行为结果确定单元130,包括:第一判断子单元、第一可信子单元和第一不可信子单元;
所述第一判断子单元,被配置为执行根据所述判断结果和所述可信计算对象的当前状态,确定所述第一行为信息组对应的各行为是否均可信;
所述可信子单元,被配置为执行若所述可信计算对象的当前状态为所述安全状态,且所述判断结果为:所述第一行为信息组中的各信息均满足条件一和条件二,则确定所述第一行为信息组对应的各行为均可信;
所述不可信子单元,被配置为执行若所述可信计算对象的当前状态为所述有风险状态,或者所述判断结果为:所述第一行为信息组中存在未同时满足条件一和条件二的信息,则确定所述第一行为信息组对应的各行为中存在不可信的行为。
结合上一个实施方式,在某些可选的实施方式中,所述主动监控模块100,还包括:上次状态获得单元;
所述上次状态获得单元,被配置为执行获得上一次确定的所述可信计算对象的当前状态,并作为所述可信计算对象的上次状态;
所述行为结果确定单元130,包括:第二判断子单元、第二可信子单元和第二不可信子单元;
所述第二判断子单元,被配置为执行根据所述判断结果、所述可信计算对象的当前状态和所述可信计算对象的上次状态,确定所述第一行为信息组对应的各行为是否均可信;
所述第二可信子单元,被配置为执行若所述可信计算对象的当前状态为所述安全状态,且所述可信计算对象的上次状态为所述安全状态,且所述判断结果为:所述第一行为信息组中的各信息均满足条件一和条件二,则确定所述第一行为信息组对应的各行为均可信;
所述第二不可信子单元,被配置为执行若所述可信计算对象的当前状态为所述有风险状态,或者所述可信计算对象的上次状态为所述有风险状态,或者所述判断结果为:所述第一行为信息组中存在未同时满足条件一和条件二的信息,则确定所述第一行为信息组对应的各行为中存在不可信的行为。
结合图3所示的实施方式,在某些可选的实施方式中,所述监控系统,还包括:安全管理模块和协作模块;
所述协作模块,包括:监控方法获得单元、监控方法发送单元、审计数据生成单元和审计数据发送单元;
所述安全管理模块,包括:监控方法下发单元和审计数据收集单元;
所述监控方法获得单元,被配置为执行获得所述安全管理模块下发的所述监控方法;
所述监控方法发送单元,被配置为执行将所述监控方法发送至所述主动监控模块100;
所述审计数据生成单元,被配置为执行若所述第一行为信息组对应的各行为中存在不可信的行为,则生成对所述不可信的行为的审计数据;
所述审计数据发送单元,被配置为执行将所述审计数据发送至所述安全管理模块;
所述监控方法下发单元,被配置为执行将所述监控方法下发至所述协作模块;
所述审计数据收集单元,被配置为执行收集所述审计数据。
结合图3所示的实施方式,在某些可选的实施方式中,所述监控系统,还包括:环境提取器、行为信息模块、可信基准库和捕获模块;
所述环境提取器,被配置为执行周期性从运行环境中获取所述可信计算对象的信息,并将所述可信计算对象的信息发送至所述主动监控模块100;
所述可信基准库,被配置为执行存储所述可信计算对象的可信基准值,以供所述主动监控模块100获得所述可信基准值;
所述捕获模块,被配置为执行对所述第一行为信息组对应的各行为的执行过程进行监控,当所述各行为之间从前一个行为过度到下一个行为时,所述捕获模块获得所述前一个行为的信息;
所述行为信息模块,被配置为执行获得所述捕获模块获得的各行为的信息,并按照预设的规则对所述各行为的信息进行排列和分组,从而形成第一行为信息组供所述主动监控模块100获取。
本发明提供了一种存储介质,其上存储有程序,其特征在于,所述程序被处理器执行时实现上述任一项所述的监控方法。
如图4所示,本发明提供了一种电子设备70,所述电子设备70包括至少一个处理器701、以及与所述处理器701连接的至少一个存储器702、总线703;其中,所述处理器701、所述存储器702通过所述总线703完成相互间的通信;所述处理器701用于调用所述存储器703中的程序指令,以执行上述任一项所述的监控方法。
在本申请中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (10)

1.一种业务行为的监控方法,其特征在于,包括:
获得第一行为信息组,所述第一行为信息组至少包括一个业务行为的信息;
判断所述第一行为信息组中的各信息是否均满足条件一和条件二,并获得判断结果;
根据所述判断结果,确定所述第一行为信息组对应的各行为是否均可信;
其中,所述条件一为:所述第一行为信息组中的各信息均为预设的业务行为的信息;
所述条件二为:所述第一行为信息组对应的各行为的执行顺序符合预设的执行顺序,且所述第一行为信息组对应的各行为的发生时间符合预设的时间条件。
2.根据权利要求1所述的监控方法,其特征在于,所述根据所述判断结果,确定所述第一行为信息组对应的各行为是否均可信,包括:
若所述判断结果为:所述第一行为信息组中的各信息均满足条件一和条件二,则确定所述第一行为信息组对应的各行为均可信;
若所述判断结果为:所述第一行为信息组中存在未同时满足条件一和条件二的信息,则确定所述第一行为信息组对应的各行为中存在不可信的行为。
3.根据权利要求1所述的监控方法,其特征在于,所述方法还包括:
获得可信计算对象的对象信息,所述可信计算对象至少包括如下运行环境对象中的至少一个:操作系统代码和驱动代码;
使用哈希算法对所述对象信息进行计算,从而得到所述可信计算对象的可信计算结果;
将所述可信计算结果与预设的所述可信计算对象的可信基准值进行比对,从而确定所述可信计算对象的当前状态,其中,若所述可信计算结果与预设的所述可信计算对象的可信基准值匹配,则确定所述可信计算对象的当前状态为安全状态,否则,确定所述可信计算对象的当前状态为有风险状态;
所述根据所述判断结果,确定所述第一行为信息组对应的各行为是否均可信,包括:
根据所述判断结果和所述可信计算对象的当前状态,确定所述第一行为信息组对应的各行为是否均可信;
若所述可信计算对象的当前状态为所述安全状态,且所述判断结果为:所述第一行为信息组中的各信息均满足条件一和条件二,则确定所述第一行为信息组对应的各行为均可信;
若所述可信计算对象的当前状态为所述有风险状态,或者所述判断结果为:所述第一行为信息组中存在未同时满足条件一和条件二的信息,则确定所述第一行为信息组对应的各行为中存在不可信的行为。
4.根据权利要求3所述的监控方法,其特征在于,所述方法还包括:获得上一次确定的所述可信计算对象的当前状态,并作为所述可信计算对象的上次状态;
所述根据所述判断结果,确定所述第一行为信息组对应的各行为是否均可信,包括:
根据所述判断结果、所述可信计算对象的当前状态和所述可信计算对象的上次状态,确定所述第一行为信息组对应的各行为是否均可信;
若所述可信计算对象的当前状态为所述安全状态,且所述可信计算对象的上次状态为所述安全状态,且所述判断结果为:所述第一行为信息组中的各信息均满足条件一和条件二,则确定所述第一行为信息组对应的各行为均可信;
若所述可信计算对象的当前状态为所述有风险状态,或者所述可信计算对象的上次状态为所述有风险状态,或者所述判断结果为:所述第一行为信息组中存在未同时满足条件一和条件二的信息,则确定所述第一行为信息组对应的各行为中存在不可信的行为。
5.根据权利要求1所述的监控方法,其特征在于,所述预设的业务行为组,至少包括:获取数据行为、逻辑控制运算行为、冗余同步数据行为和运算结果输出行为。
6.根据权利要求1所述的监控方法,其特征在于,所述方法还包括:
对预设的监控周期进行监控,当所述监控周期到达时,执行权利要求1所述的监控方法。
7.根据权利要求1所述的监控方法,其特征在于,所述方法还包括:
若所述第一行为信息组对应的各行为中存在不可信的行为,则生成对所述不可信的行为的审计数据。
8.一种业务行为的监控系统,其特征在于,所述监控系统包括:主动监控模块;
所述主动监控模块,包括:行为信息获得单元,行为信息判断单元和行为结果确定单元;
所述行为信息获得单元,被配置为执行获得第一行为信息组,所述第一行为信息组至少包括一个业务行为的信息;
所述行为信息判断单元,被配置为执行判断所述第一行为信息组中的各信息是否均满足条件一和条件二,并获得判断结果;
所述行为结果确定单元,被配置为执行根据所述判断结果,确定所述第一行为信息组对应的各行为是否均可信;
其中,所述条件一为:所述第一行为信息组中的各信息均为预设的业务行为组的信息;
所述条件二为:所述第一行为信息组对应的各行为的执行顺序符合预设的执行顺序,且所述第一行为信息组对应的各行为的发生时间符合预设的时间条件。
9.一种存储介质,其上存储有程序,其特征在于,所述程序被处理器执行时实现如权利要求1至7中任一项所述的监控方法。
10.一种电子设备,其特征在于,所述电子设备包括至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行如权利要求1至7中任一项所述的监控方法。
CN202110447172.3A 2021-04-25 2021-04-25 业务行为的监控方法、监控系统、存储介质和电子设备 Pending CN115239042A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110447172.3A CN115239042A (zh) 2021-04-25 2021-04-25 业务行为的监控方法、监控系统、存储介质和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110447172.3A CN115239042A (zh) 2021-04-25 2021-04-25 业务行为的监控方法、监控系统、存储介质和电子设备

Publications (1)

Publication Number Publication Date
CN115239042A true CN115239042A (zh) 2022-10-25

Family

ID=83666045

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110447172.3A Pending CN115239042A (zh) 2021-04-25 2021-04-25 业务行为的监控方法、监控系统、存储介质和电子设备

Country Status (1)

Country Link
CN (1) CN115239042A (zh)

Similar Documents

Publication Publication Date Title
JP5926491B2 (ja) ネットワークにおけるセキュリティ保全のための方法及び、プロセッサにセキュリティ保全のための方法を遂行させるようなコンピュータ・プログラムのコンピュータ読取り可能な命令を有しているコンピュータ読取り可能な媒体
Cameron et al. Using self-organizing architectures to mitigate the impacts of denial-of-service attacks on voltage control schemes
Mitchell et al. Effect of intrusion detection and response on reliability of cyber physical systems
CN101965573B (zh) 用于检测对计算装置的未授权接入和安全传送关于所述未授权接入的信息的方法和设备
US9203859B2 (en) Methods and systems for cyber-physical security modeling, simulation and architecture for the smart grid
Agarwal et al. Intrusion detection system for PS-Poll DoS attack in 802.11 networks using real time discrete event system
CN112749097B (zh) 一种模糊测试工具性能测评方法、装置
US9910994B1 (en) System for assuring security of sensitive data on a host
EP3623983A1 (en) Method and device for identifying security threats, storage medium, processor and terminal
Tabrizi et al. A model-based intrusion detection system for smart meters
Miao et al. An adaptive unscented Kalman filter approach to secure state estimation for wireless sensor networks
Sun et al. Analysis of ID sequences similarity using DTW in intrusion detection for CAN bus
Khare et al. Strategic PMU placement to alleviate power system vulnerability against cyber attacks
CN115239042A (zh) 业务行为的监控方法、监控系统、存储介质和电子设备
CN111752819B (zh) 一种异常监控方法、装置、系统、设备和存储介质
Liu et al. Node Importance Evaluation of Cyber‐Physical System under Cyber‐Attacks Spreading
WO2007074992A1 (en) Method for detecting malicious code changes from hacking of program loaded and executed on memory through network
Thiriet et al. Some considerations on dependability issues and cyber-security of Cyber-Physical Systems
Altman et al. Rejuvenation and the spread of epidemics in general topologies
EP2911362B1 (en) Method and system for detecting intrusion in networks and systems based on business-process specification
Yao et al. MTD-inspired state estimation based on random measurements selection
Netkachov et al. Quantitative Evaluation of the Efficacy of Defence-in-Depth in Critical Infrastructures
Gurina Cyber Resilience Metrics Assessment of Cyber-Physical Energy System Information Infrastructure
Murphy et al. A randomization-based, zero-trust cyberattack detection method for hierarchical systems
Sebastian et al. Utilizing hidden markov models for formal reliability analysis of real-time communication systems with errors

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination