CN115378686A - 一种工控网络的沙盒应用方法、装置及存储介质 - Google Patents
一种工控网络的沙盒应用方法、装置及存储介质 Download PDFInfo
- Publication number
- CN115378686A CN115378686A CN202210988929.4A CN202210988929A CN115378686A CN 115378686 A CN115378686 A CN 115378686A CN 202210988929 A CN202210988929 A CN 202210988929A CN 115378686 A CN115378686 A CN 115378686A
- Authority
- CN
- China
- Prior art keywords
- api request
- instruction
- sql
- sandbox
- condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/205—Parsing
- G06F40/211—Syntactic parsing, e.g. based on context-free grammar [CFG] or unification grammars
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/253—Grammatical analysis; Style critique
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/30—Semantic analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Artificial Intelligence (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种工控网络的沙盒应用方法、装置及存储介质,所述方法包括:拦截所述工控网络中针对操作系统的API请求,以及针对数据库的SQL指令;在确定拦截到所述API请求的情况下,将所述API请求导入操作系统沙盒;并通过所述操作系统沙盒确定所述API请求是否合法,在确定所述API请求合法的情况下,将所述API请求发送至所述操作系统;在确定拦截到所述SQL指令的情况下,将所述SQL指令导入数据库沙盒;并通过所述数据库沙盒确定所述SQL指令是否合法,在确定所述SQL指令合法的情况下,将所述SQL指令发送至所述数据库。避免了不合法的API请求或者SQL指令被操作系统或者数据库执行,对工控网络的网络安全造成威胁,有效地保证了工控网络的网络安全。
Description
技术领域
本发明涉及工控网络安全领域,尤其涉及一种工控网络的沙盒应用方法、装置及存储介质。
背景技术
随着计算机技术和网络通信技术应用于工业控制系统,工业控制系统面临着很多的网络安全问题,如病毒、信息泄漏和篡改、系统被非法控制等,这些问题极大的降低了工控系统的稳定。
工控系统在日常运行中,存在着大量的服务请求,其中一部分就是黑客的攻击行为,如何在大量的服务请求中,及时捕获其中的攻击行为并且主动阻断网络攻击,是网络安全运维人员亟待解决的问题。
发明内容
为克服相关技术中存在的问题,本发明提供一种工控网络的沙盒应用方法、装置及存储介质。
根据本发明实施例的第一方面,提供一种工控网络的沙盒应用方法,包括:
拦截所述工控网络中针对操作系统的API请求,以及针对数据库的SQL指令;
在确定拦截到所述API请求的情况下,将所述API请求导入操作系统沙盒;并通过所述操作系统沙盒确定所述API请求是否合法,在确定所述API请求合法的情况下,将所述API请求发送至所述操作系统;
在确定拦截到所述SQL指令的情况下,将所述SQL指令导入数据库沙盒;并通过所述数据库沙盒确定所述SQL指令是否合法,在确定所述SQL指令合法的情况下,将所述SQL指令发送至所述数据库。
可选地,所述通过所述操作系统沙盒确定所述API请求是否合法包括:
确定所述API请求对应的操作类型是否为非法操作类型;
在确定所述API请求对应的操作类型为非法操作类型的情况下,确定所述API请求对应的操作对象是否为白名单对象;
在确定所述API请求对应的操作对象非白名单对象的情况下,确定所述API请求为非法请求。
可选地,所述通过所述操作系统沙盒确定所述API请求是否合法还包括:
在确定所述API请求对应的操作对象是白名单对象的情况下,将所述API请求进行文件重定向操作,得到重定向文件路径;
基于所述重定向文件路径,执行所述API请求;
在确定执行所述API请求后,与所述重定向文件路径的文件存在异常的情况下,确定所述API请求为非法请求。
可选地,所述通过所述数据库沙盒确定所述SQL指令是否合法包括:
解析所述SQL指令,得到解析后的解析指令;
确定所述解析指令是否为白名单指令;
在确定所述解析指令非白名单指令的情况下,确定所述SQL指令为非法指令。
可选地,所述解析所述SQL指令,得到解析后的解析指令包括:
对所述SQL指令进行词法分析,得到词法链;
将所述SQL指令解析为语法树,并确定SQL语义信息,所述解析指令包括所述词法链以及所述SQL语义信息。
可选地,所述确定所述解析指令是否为白名单指令包括:
将所述词法链与白名单中的目标词法链对比,得到第一对比结果;
在确定所述第一对比结果表征所述词法链与所述目标词法链匹配的情况下,将所述SQL语义信息与白名单中的语义库对比,得到第二对比结果;
在确定所述第一对比结果表征所述词法链与所述目标词法链不匹配,和/或所述第二对比结果表征所述SQL语义信息与白名单中的语义库不匹配的情况下,确定所述解析指令不为白名单指令。
可选地,所述方法还包括:
在确定所述API请求为非法请求,或,所述SQL指令为非法指令的情况下,将所述API请求或所述SQL指令,按照预设转换方式转换为目标操作日志;并
将所述目标操作日志写入异常日志数据库中。
根据本发明实施例的第二方面,提供一种工控网络的沙盒应用装置,所述装置包括:
拦截模块,用于拦截所述工控网络中针对操作系统的API请求,以及针对数据库的SQL指令;
第一导入模块,用于在确定拦截到所述API请求的情况下,将所述API请求导入操作系统沙盒;并通过所述操作系统沙盒确定所述API请求是否合法,在确定所述API请求合法的情况下,将所述API请求发送至所述操作系统;
第二导入模块,用于在确定拦截到所述SQL指令的情况下,将所述SQL指令导入数据库沙盒;并通过所述数据库沙盒确定所述SQL指令是否合法,在确定所述SQL指令合法的情况下,将所述SQL指令发送至所述数据库。
根据本发明实施例的第三方面,提供一种工控网络的沙盒应用装置,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
拦截所述工控网络中针对操作系统的API请求,以及针对数据库的SQL指令;
在确定拦截到所述API请求的情况下,将所述API请求导入操作系统沙盒;并通过所述操作系统沙盒确定所述API请求是否合法,在确定所述API请求合法的情况下,将所述API请求发送至所述操作系统;
在确定拦截到所述SQL指令的情况下,将所述SQL指令导入数据库沙盒;并通过所述数据库沙盒确定所述SQL指令是否合法,在确定所述SQL指令合法的情况下,将所述SQL指令发送至所述数据库。
根据本发明实施例的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序指令,该程序指令被处理器执行时实现本发明第一方面中任一项所述方法的步骤。
本发明的实施例提供的技术方案可以包括以下有益效果:通过拦截工控网络中的API请求以及SQL指令,并将API请求以及SQL指令导入对应的沙盒环境中,以使得在沙盒环境中确定对应的API请求以及SQL指令是否合法,仅在合法的情况下将API请求或SQL指令转发至操作系统或者数据库,避免了不合法的API请求或者SQL指令被操作系统或者数据库执行,对工控网络的网络安全造成威胁,有效地保证了工控网络的网络安全。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是根据一示例性实施例示出的一种工控网络的沙盒应用方法的流程图。
图2是根据一示例性实施例示出的一种API请求的合法判定方法的流程图。
图3是根据一示例性实施例示出的一种SQL指令的合法判定方法的流程图。
图4是根据一示例性实施例示出的一种工控网络的沙盒应用装置的框图。
图5是根据一示例性实施例示出的另一种工控网络的沙盒应用装置的框图。
图6是根据一示例性实施例示出的又一种工控网络的沙盒应用装置的框图。
具体实施方式
下面将参照附图更详细地描述本发明的实施例。虽然附图中显示了本发明的某些实施例,然而应当理解的是,本发明可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本发明。应当理解的是,本发明的附图及实施例仅用于示例性作用,并非用于限制本发明的保护范围。
应当理解,本发明的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本发明的范围在此方面不受限制。
本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本发明中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本发明中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本发明实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
可以理解的是,在使用本发明各实施例公开的技术方案之前,均应当依据相关法律法规通过恰当的方式对本发明所涉及个人信息的类型、使用范围、使用场景等告知用户并获得用户的授权。
为了使得本领域技术人员更加理解本发明提供的技术方案的改进之处,本发明先对相关技术进行进一步介绍。
随着计算机技术和网络通信技术应用于工业控制系统,带来了工业控制系统的网络安全问题,如病毒、信息泄漏和篡改、系统被非法控制等,这些网络安全问题极大的降低了工控系统的稳定。因此,如何主动阻止网络攻击的行为并对攻击行为进行及时捕获,是本领域亟待解决的问题。
在相关技术中,常常采用蜜罐以保护工控网络的网络安全。蜜罐能够通过预留缺陷或漏洞,诱骗网络攻击者针对这些安全弱点开展探测、攻击行为。以及通过对出入蜜罐的网络数据报文进行截包、记录,再由数据转发器来将所有的网络数据报文进行转存,最后由蜜罐的模拟操作系统和模拟服务,截取所有系统日志、用户操作、执行动作,进而实现数据捕获。
蜜罐本质上是一个“虚假的、存在安全漏洞、防范措施不足的计算机”,目的是诱骗黑客攻击,借此收集网络攻击过程。因为蜜罐这些特点,使得它不能在真实的应用服务器上运行,而必须设置独立的服务器地址并与真实应用完全隔离,限制了蜜罐系统不能作为一种防护手段来使用。
为了解决相关技术中存在的问题,本发明提供一种工控网络的沙盒应用方法、装置及存储介质,基于沙盘的方式,实现一种应用层软件,具备捕捉来自于网络上的攻击行为的能力,并能够将攻击行为对应的网络访问、数据库访问、操作系统访问进行记录和分析,能够为针对工控网络的未知网络攻击行为提供分析的条件。
图1是根据一示例性实施例示出的一种工控网络的沙盒应用方法,该方法可以应用于工控网络中的控制终端,或者与控制终端通信连接的服务器,本发明对此不作限定。可以理解的是,工控网络可以包括多种现场设备,现场设备可以通过通信信道与主站中的控制终端连接,以通过控制终端向主站中的应用服务器以及数据服务器发送或接受指令,以向数据库中写入/读取数据或者执行对应的应用程序。如图1所示,该方法包括:
S101、拦截所述工控网络中针对操作系统的API(Application ProgrammingInterface,应用程序编程接口)请求,以及针对数据库的SQL指令。
具体地,API请求可以是通过API Hook拦截的,API Hook例如可以包括InlineHook、SSDT Hook、Shadow SSDT Hook等多种,以实现操作系统的API调用,操作系统例如可以是Windows系统。Inline Hook是封装API函数,重写函数执行流程,实现对驱动函数的过滤控制。SSDT Hook(System Services Descriptor Table,系统表述符)和Shadow SSDTHook主要是针对系统服务描述符表执行API拦截。
S102、在确定拦截到所述API请求的情况下,将所述API请求导入操作系统沙盒;并通过所述操作系统沙盒确定所述API请求是否合法,在确定所述API请求合法的情况下,将所述API请求发送至所述操作系统。
可选地,为了避免操作系统沙盒进程被恶意程序结束,在64位Windows系统上可以通过内核函数ObRegisterCallbacks(),利用Callback函数指针来保证该操作系统沙盒进程不被结束,以进一步保证工控网络的安全性能。
S103、在确定拦截到所述SQL指令的情况下,将所述SQL指令导入数据库沙盒;并通过所述数据库沙盒确定所述SQL指令是否合法,在确定所述SQL指令合法的情况下,将所述SQL指令发送至所述数据库。
可以理解的是,上述操作系统沙盒以及数据库沙盒可以是虚拟的系统运行环境,部署于应用层,在攻击者针对系统或者数据库进行攻击时,则可以在沙盒的虚拟环境中进行响应,不会对工控网络中实际的系统或者服务器造成影响,并且,沙盒能够在收到攻击之后,可以随时将环境回滚至被攻击之前的环境。
在本发明实施例中,通过拦截工控网络中的API请求以及SQL指令,并将API请求以及SQL指令导入对应的沙盒环境中,以使得在沙盒环境中确定对应的API请求以及SQL指令是否合法,仅在合法的情况下将API请求或SQL指令转发至操作系统或者数据库,避免了不合法的API请求或者SQL指令被操作系统或者数据库执行,对工控网络的网络安全造成威胁,有效地保证了工控网络的网络安全。
在一些可选地的实施方式中,所述通过所述操作系统沙盒确定所述API请求是否合法包括:
确定所述API请求对应的操作类型是否为非法操作类型;
在确定所述API请求对应的操作类型为非法操作类型的情况下,确定所述API请求对应的操作对象是否为白名单对象;
在确定所述API请求对应的操作对象非白名单对象的情况下,确定所述API请求为非法请求。
进一步,还可以在确定API请求对应的操作类型不为非法操作类型,或者在确定所述API请求对应的操作类型为非法操作类型的情况下,确定该API请求为合法请求,以使得操作系统执行对应的真实文件操作。
其中,非法操作类型例如可以包括写入操作、删除操作或者创建操作。可以理解的是,上述白名单对象可以是预先配置的,例如针对路径为XX的文件对象,在该文件对象被修改时,不会对操作系统以及工控网络的正常运行造成影响,即可以将该文件对象设置为白名单对象。或者,白名单对象还可以包括用户对象,例如针对某用户发起的API请求,则可以将该用户发起的API请求认为是合法请求。
采用上述方案,通过将API请求导入操作系统沙盒,以使得操作系统沙盒确定API请求对应的操作类型以及操作对象,并在确定API请求为非法操作类型且操作对象不在白名单内的情况下,确定该API请求为非法请求,并在API请求为非法请求时,不将该API请求发送至操作系统的内核层执行,有效地保证了工控网络中的操作系统的安全性能,避免了不合法的API请求被执行进而影响操作系统中的文件。
在一些可选的实施例中,所述通过所述操作系统沙盒确定所述API请求是否合法还包括:
在确定所述API请求对应的操作对象是白名单对象的情况下,将所述API请求进行文件重定向操作,得到重定向文件路径;
基于所述重定向文件路径,执行所述API请求;
在确定执行所述API请求后,与所述重定向文件路径的文件存在异常的情况下,确定所述API请求为非法请求。
其中,可以理解的是,重定向之后的文件路径对应的位置不是真实磁盘,而是内存中划出的一块虚拟磁盘。进行文件重定向操作时,可以确定API请求对应的需要操作的文件全路径,将文件操作全部转移到已划好空间的内存中的虚拟磁盘。
示例地,文件重定向操作例如可以是将被访问的文件重定向到指定的文件中,例如,将对应C盘的文件的API请求全部转移至C:\Sample\目录。若该API请求表征需要对路径为C:\password文件进行操作,在重定向之后,则可以得到重定向文件路径C:\Sample\password。进一步,则可以对该重定向后的文件进行对应的文件操作,在文件操作之后,确定该沙盘环境是否存在问题,若出现问题的情况下,则可以确定该API请求对应的文件操作会对操作系统造成影响,因此,可以将该API请求确定为非法请求,以避免在真实的环境中执行该API请求对应的文件操作。
采用上述方案,通过在操作系统沙盒中,对API请求对应的文件路径进行重定向操作,进而使得能够在沙盒环境中执行该API请求以确定该API请求是否合法,不仅能够准确的确定不合法的API请求,还能够避免不合法的请求对真实的操作系统造成影响,有效地保证了工控网络的安全性。
在另一些可选地实施例中,所述通过所述数据库沙盒确定所述SQL指令是否合法包括:
解析所述SQL指令,得到解析后的解析指令;
确定所述解析指令是否为白名单指令;
在确定所述解析指令非白名单指令的情况下,确定所述SQL指令为非法指令。
可以理解是,该数据库沙盒可以是一种虚拟数据库,能够对所有类型的数据库的请求语句进行执行,例如,通过使用IP地址、用户名和密码以及数字证书等方式进行身份鉴定,区分合法的应用用户与非法的入侵者;设计SQL语句库;完成对SQL语句语法、语义解析;根据解析指令对SQL语句进行访问控制等等。
具体地,在一种可能的实施方式中,该数据库沙盒可以是基于JDBC(JavaDatabase Connectivity,Java数据连接)的SQL代理技术实现的,例如,该数据库沙盒可以包括及JDBC驱动、JDBC接口适配器以及SQL过滤模块,进而能够实现对Oracle、DB2、SQLServer等多种类型的数据库的支持。
其中,SQL指令对应的白名单可以是预先配置的。对该SQL指令的解析例如可以包括词法解析、语法解析等等。
采用上述方案,通过对SQL指令的解析,并基于解析的结果与预先配置的白名单进行对比,筛选出不在白名单中的非法SQL指令,以能够有效地避免非法的SQL指令被真实的数据库执行,导致数据库被非法修改,造成工控网络的安全威胁。
可选地,所述解析所述SQL指令,得到解析后的解析指令包括:
对所述SQL指令进行词法分析,得到词法链;
将所述SQL指令解析为语法树,并确定SQL语义信息,所述解析指令包括所述词法链以及所述SQL语义信息。
可以理解的是,一条SQL指令可以由空格符分隔的一个字符序列称为一个单词,通过对SQL指令进行词法分析,能够分析出SQL指令所包含的每一个单词,既可以基于得到的各个单词组组织为单词链,然后根据SQL单词替换策略将单词链中用户输入的单词替换成占位符,进而得到词法链。对SQL语句进行语法分析则可以得到语法树,该语法树包括解析的SQL指令的结构,同时通过语法分析,则可以确定SQL指令的语义信息,语义信息包含了SQL操作类型(删除、查询、插入操作)、SQL操作对象(对哪张表进行操作)等信息。
采用上述方案,通过对SQL指令进行词法分析以及语法分析,能够得到不包括用户输入的信息的词法链,以及SQL指令对应的SQL操作类型、操作对象等信息。
进一步,所述确定所述解析指令是否为白名单指令包括:
将所述词法链与白名单中的目标词法链对比,得到第一对比结果;
在确定所述第一对比结果表征所述词法链与所述目标词法链匹配的情况下,将所述SQL语义信息与白名单中的语义库对比,得到第二对比结果;
在确定所述第一对比结果表征所述词法链与所述目标词法链不匹配,和/或所述第二对比结果表征所述SQL语义信息与白名单中的语义库不匹配的情况下,确定所述解析指令不为白名单指令。
其中,目标词法链可以是基于白名单中的合法SQL指令解析得到的,语义库可以也是基于白名单中的合法SQL指令,解析为语法树的同时得到。
采用本方案,在确定词法链,以及SQL指令对应的SQL操作类型、操作对象等信息之后,则可以基于预先存储的白名单对词法链进行对比,在确定词法链合法的情况下,则可以确定SQL指令是合法的指令,进而可以在真实的数据库环境中执行,若词法链不合法,而语义信息合法的情况下,认可以确定该SQL指令是合法的指令,并在词法链以及语义信息均不合法的情况下,即可确定该SQL指令不合法,进而避免该SQL指令在真实的数据库环境中执行,有效地保证了工控网络中数据库的安全性。
在一些可选地实施例中,所述方法还包括:
在确定所述API请求为非法请求,或,所述SQL指令为非法指令的情况下,将所述API请求或所述SQL指令,按照预设转换方式转换为目标操作日志;并将所述目标操作日志写入异常日志数据库中。
具体地,目标操作日志可以包括日志级别,不同的级别表征API请求或者SQL请求对工控网络的安全性能的不同的威胁大小,例如可以包括DEBUG、INFO、WARNING、ERROR、FATAL五个级别。该目标操作日志还可以包括登录信息,例如工控系统的用户登录、登出系统信息及在线人数,以及登录时间、IP地址等信息。针对SQL指令,目标操作日志还可以包括SQL指令对应的数据库操作,例如操作时间、数据源信息、数据表信息、数据操作类型等。针对API请求,该目标操作日志还可以包括操作系统异常的反馈信息,例如异常时间、异常类型、异常反馈信息以及异常数据等信息。
采样上述方案,通过将非法的API请求以及SQL指令转换为目标格式操作日志,并存储于异常日志数据库中,能够使得工作人员能直接通过查询该异常日志数据库查看工控网络中的非法的API请求以及SQL指令对应的各类信息,能够便于工作人员对工控网络的安全设置进行调整,有效地保证了工控网络的网络安全。
为了使得本领域技术人员更加理解本发明提供的技术方案,本发明还提供如图2所示的根据一示例性实施例示出的一种API请求的合法判定方法的流程图,该方法的执行主体可以是运行于应用层的操作系统沙盒,如图2所示,所述方法包括:
S201、获取通过API Hook拦截的API请求。
S202、判断API请求对应的操作类型是否为非法操作类型。
其中,非法操作类型可以包括写入操作、删除操作以及创建操作。
在确定API请求对应的操作类型为非法操作类型的情况下,执行步骤S204以及步骤S205;在确定API请求对应的操作类型不为非法操作类型的情况下,执行步骤S203。
S203、判断API请求对应的操作对象是否为白名单对象。
在确定API请求对应的操作对象为白名单对象的情况下,执行步骤S206;在确定API请求对应的操作对象不为白名单对象的情况下,执行步骤S204以及步骤S205。
S204、在沙盒环境中执行该API请求对应的文件操作。
S205、判断操作系统沙盒环境是否异常。
在确定操作系统沙盒环境异常的情况下,执行步骤S207;在确定操作系统沙盒环节正常的情况下,执行步骤S206。
S206、在操作系统执行该API请求对应的文件操作。
S207、将该API请求转换为目标操作日志,并写入异常日志数据库。
此外,还提供如图3所示的根据一示例性实施例示出的一种SQL指令的合法判定方法的流程图,该方法的执行主体可以是数据库沙盒,如图3所示,所述方法包括:
S301、获取SQL指令。
S302、对该SQL指令进行词法解析,得到词法链。
S303、判断该词法链是否与白名单词法链匹配。
S304、对该SQL指令进行语法解析,得到语义信息。
S305、判断该语义信息是否与白名单语义信息匹配。
S306、确定该SQL指令不合法。
S307、将该SQL指令转换转换为目标操作日志,并写入异常日志数据库。
S308、确定该SQL指令合法。
S309、在数据库中执行该SQL指令。
通过以上提供的技术方案,利用操作系统沙盒以及数据库沙盒,实现了一种应用层软件。该软件具备蜜罐的特性,即具备捕捉来自于网络上的攻击行为的能力,并能够将攻击行为对应的网络访问、数据库访问、操作系统访问进行记录和分析,能够为针对工控网络的未知网络攻击行为提供分析的条件。而基于操作系统沙盒以及数据库沙盒,则可以通过API Hook等方式建立虚拟运行环境,使得在沙盒中上直接执行API请求或者SQL指令成为可能,避免传统蜜罐软件需要将仿真对象功能高度还原、无法执行真实API请求以及SQL指令等缺点。
图4是根据一示例性实施例示出的一种工控网络的沙盒应用装置40的框图,如图4所示,该装置40包括:
拦截模块41,用于拦截所述工控网络中针对操作系统的API请求,以及针对数据库的SQL指令;
第一导入模块42,用于在确定拦截到所述API请求的情况下,将所述API请求导入操作系统沙盒;并通过所述操作系统沙盒确定所述API请求是否合法,在确定所述API请求合法的情况下,将所述API请求发送至所述操作系统;
第二导入模块43,用于在确定拦截到所述SQL指令的情况下,将所述SQL指令导入数据库沙盒;并通过所述数据库沙盒确定所述SQL指令是否合法,在确定所述SQL指令合法的情况下,将所述SQL指令发送至所述数据库。
可选地,所述第一导入模块42还用于:
确定所述API请求对应的操作类型是否为非法操作类型;
在确定所述API请求对应的操作类型为非法操作类型的情况下,确定所述API请求对应的操作对象是否为白名单对象;
在确定所述API请求对应的操作对象非白名单对象的情况下,确定所述API请求为非法请求。
可选地,所述第一导入模块42还用于:
在确定所述API请求对应的操作对象是白名单对象的情况下,将所述API请求进行文件重定向操作,得到重定向文件路径;
基于所述重定向文件路径,执行所述API请求;
在确定执行所述API请求后,与所述重定向文件路径的文件存在异常的情况下,确定所述API请求为非法请求。
可选地,所述第二导入模块44还用于:
解析所述SQL指令,得到解析后的解析指令;
确定所述解析指令是否为白名单指令;
在确定所述解析指令非白名单指令的情况下,确定所述SQL指令为非法指令。
可选地,所述第二导入模块44还用于:
对所述SQL指令进行词法分析,得到词法链;
将所述SQL指令解析为语法树,并确定SQL语义信息,所述解析指令包括所述词法链以及所述SQL语义信息。
可选地,所述第二导入模块44还用于:
将所述词法链与白名单中的目标词法链对比,得到第一对比结果;
在确定所述第一对比结果表征所述词法链与所述目标词法链匹配的情况下,将所述SQL语义信息与白名单中的语义库对比,得到第二对比结果;
在确定所述第一对比结果表征所述词法链与所述目标词法链不匹配,和/或所述第二对比结果表征所述SQL语义信息与白名单中的语义库不匹配的情况下,确定所述解析指令不为白名单指令。
可选地,所述装置40还用于:
在确定所述API请求为非法请求,或,所述SQL指令为非法指令的情况下,将所述API请求或所述SQL指令,按照预设转换方式转换为目标操作日志;并
将所述目标操作日志写入异常日志数据库中。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本发明还提供一种计算机可读存储介质,其上存储有计算机程序指令,该程序指令被处理器执行时实现本发明提供的工控网络的沙盒应用方法的步骤。
图5是根据一示例性实施例示出的一种工控网络的沙盒应用的装置500的框图。例如,装置500可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图5,装置500可以包括以下一个或多个组件:处理组件502,存储器504,电力组件506,多媒体组件508,音频组件510,输入/输出(I/O)的接口512,传感器组件514,以及通信组件516。
处理组件502通常控制装置500的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件502可以包括一个或多个处理器520来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件502可以包括一个或多个模块,便于处理组件502和其他组件之间的交互。例如,处理组件502可以包括多媒体模块,以方便多媒体组件508和处理组件502之间的交互。
存储器504被配置为存储各种类型的数据以支持在装置500的操作。这些数据的示例包括用于在装置500上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器504可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电力组件506为装置500的各种组件提供电力。电力组件506可以包括电源管理系统,一个或多个电源,及其他与为装置500生成、管理和分配电力相关联的组件。
多媒体组件508包括在所述装置500和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件508包括一个前置摄像头和/或后置摄像头。当装置500处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件510被配置为输出和/或输入音频信号。例如,音频组件510包括一个麦克风(MIC),当装置500处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器504或经由通信组件516发送。在一些实施例中,音频组件510还包括一个扬声器,用于输出音频信号。
I/O接口512为处理组件502和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件514包括一个或多个传感器,用于为装置500提供各个方面的状态评估。例如,传感器组件514可以检测到装置500的打开/关闭状态,组件的相对定位,例如所述组件为装置500的显示器和小键盘,传感器组件514还可以检测装置500或装置500一个组件的位置改变,用户与装置500接触的存在或不存在,装置500方位或加速/减速和装置500的温度变化。传感器组件514可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件514还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件514还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件516被配置为便于装置500和其他设备之间有线或无线方式的通信。装置500可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件516经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件516还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,装置500可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器504,上述指令可由装置500的处理器520执行以完成上述方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
在另一示例性实施例中,还提供一种计算机程序产品,该计算机程序产品包含能够由可编程的装置执行的计算机程序,该计算机程序具有当由该可编程的装置执行时用于执行上述的工控网络的沙盒应用方法的代码部分。
图6是根据一示例性实施例示出的一种工控网络的沙盒应用装置600的框图。例如,装置600可以被提供为一服务器。参照图6,装置600包括处理组件622,其进一步包括一个或多个处理器,以及由存储器632所代表的存储器资源,用于存储可由处理组件622的执行的指令,例如应用程序。存储器632中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件622被配置为执行指令,以执行上述工控网络的沙盒应用方法。
装置600还可以包括一个电源组件626被配置为执行装置600的电源管理,一个有线或无线网络接口650被配置为将装置600连接到网络,和一个输入输出(I/O)接口658。装置600可以操作基于存储在存储器632的操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
本领域技术人员在考虑说明书及实践本发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
以上描述仅为本发明的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本发明中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本发明中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
此外,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本发明的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
Claims (10)
1.一种工控网络的沙盒应用方法,其特征在于,包括:
拦截所述工控网络中针对操作系统的API请求,以及针对数据库的SQL指令;
在确定拦截到所述API请求的情况下,将所述API请求导入操作系统沙盒;并通过所述操作系统沙盒确定所述API请求是否合法,在确定所述API请求合法的情况下,将所述API请求发送至所述操作系统;
在确定拦截到所述SQL指令的情况下,将所述SQL指令导入数据库沙盒;并通过所述数据库沙盒确定所述SQL指令是否合法,在确定所述SQL指令合法的情况下,将所述SQL指令发送至所述数据库。
2.根据权利要求1所述的方法,其特征在于,所述通过所述操作系统沙盒确定所述API请求是否合法包括:
确定所述API请求对应的操作类型是否为非法操作类型;
在确定所述API请求对应的操作类型为非法操作类型的情况下,确定所述API请求对应的操作对象是否为白名单对象;
在确定所述API请求对应的操作对象非白名单对象的情况下,确定所述API请求为非法请求。
3.根据权利要求1所述的方法,其特征在于,所述通过所述操作系统沙盒确定所述API请求是否合法还包括:
在确定所述API请求对应的操作对象是白名单对象的情况下,将所述API请求进行文件重定向操作,得到重定向文件路径;
基于所述重定向文件路径,执行所述API请求;
在确定执行所述API请求后,与所述重定向文件路径的文件存在异常的情况下,确定所述API请求为非法请求。
4.根据权利要求1所述的方法,其特征在于,所述通过所述数据库沙盒确定所述SQL指令是否合法包括:
解析所述SQL指令,得到解析后的解析指令;
确定所述解析指令是否为白名单指令;
在确定所述解析指令非白名单指令的情况下,确定所述SQL指令为非法指令。
5.根据权利要求4所述的方法,其特征在于,所述解析所述SQL指令,得到解析后的解析指令包括:
对所述SQL指令进行词法分析,得到词法链;
将所述SQL指令解析为语法树,并确定SQL语义信息,所述解析指令包括所述词法链以及所述SQL语义信息。
6.根据权利要求5所述的方法,其特征在于,所述确定所述解析指令是否为白名单指令还包括:
将所述词法链与白名单中的目标词法链对比,得到第一对比结果;
在确定所述第一对比结果表征所述词法链与所述目标词法链匹配的情况下,将所述SQL语义信息与白名单中的语义库对比,得到第二对比结果;
在确定所述第一对比结果表征所述词法链与所述目标词法链不匹配,和/或所述第二对比结果表征所述SQL语义信息与白名单中的语义库不匹配的情况下,确定所述解析指令不为白名单指令。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述方法还包括:
在确定所述API请求为非法请求,或,所述SQL指令为非法指令的情况下,将所述API请求或所述SQL指令,按照预设转换方式转换为目标操作日志;并
将所述目标操作日志写入异常日志数据库中。
8.一种工控网络的沙盒应用装置,其特征在于,所述装置包括:
拦截模块,用于拦截所述工控网络中针对操作系统的API请求,以及针对数据库的SQL指令;
第一导入模块,用于在确定拦截到所述API请求的情况下,将所述API请求导入操作系统沙盒;并通过所述操作系统沙盒确定所述API请求是否合法,在确定所述API请求合法的情况下,将所述API请求发送至所述操作系统;
第二导入模块,用于在确定拦截到所述SQL指令的情况下,将所述SQL指令导入数据库沙盒;并通过所述数据库沙盒确定所述SQL指令是否合法,在确定所述SQL指令合法的情况下,将所述SQL指令发送至所述数据库。
9.一种工控网络的沙盒应用装置,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
拦截所述工控网络中针对操作系统的API请求,以及针对数据库的SQL指令;
在确定拦截到所述API请求的情况下,将所述API请求导入操作系统沙盒;并通过所述操作系统沙盒确定所述API请求是否合法,在确定所述API请求合法的情况下,将所述API请求发送至所述操作系统;
在确定拦截到所述SQL指令的情况下,将所述SQL指令导入数据库沙盒;并通过所述数据库沙盒确定所述SQL指令是否合法,在确定所述SQL指令合法的情况下,将所述SQL指令发送至所述数据库。
10.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,该程序指令被处理器执行时实现权利要求1-7中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210988929.4A CN115378686A (zh) | 2022-08-17 | 2022-08-17 | 一种工控网络的沙盒应用方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210988929.4A CN115378686A (zh) | 2022-08-17 | 2022-08-17 | 一种工控网络的沙盒应用方法、装置及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115378686A true CN115378686A (zh) | 2022-11-22 |
Family
ID=84065026
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210988929.4A Pending CN115378686A (zh) | 2022-08-17 | 2022-08-17 | 一种工控网络的沙盒应用方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115378686A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116760620A (zh) * | 2023-07-10 | 2023-09-15 | 苏州恒臻星科技有限公司 | 一种工业控制系统的网络风险预警及管控系统 |
-
2022
- 2022-08-17 CN CN202210988929.4A patent/CN115378686A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116760620A (zh) * | 2023-07-10 | 2023-09-15 | 苏州恒臻星科技有限公司 | 一种工业控制系统的网络风险预警及管控系统 |
CN116760620B (zh) * | 2023-07-10 | 2024-03-26 | 释空(上海)品牌策划有限公司 | 一种工业控制系统的网络风险预警及管控系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11741222B2 (en) | Sandbox environment for document preview and analysis | |
Mylonas et al. | Smartphone sensor data as digital evidence | |
JP5518829B2 (ja) | 無線デバイス上の未認証の実行可能命令を検出及び管理するための装置及び方法 | |
US8387141B1 (en) | Smartphone security system | |
US9825977B2 (en) | System and method for controlling access to data of a user device using a security application that provides accessibility services | |
US20140380478A1 (en) | User centric fraud detection | |
CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
US20130097659A1 (en) | System and method for whitelisting applications in a mobile network environment | |
CN108932428B (zh) | 一种勒索软件的处理方法、装置、设备及可读存储介质 | |
WO2013059138A1 (en) | System and method for whitelisting applications in a mobile network environment | |
Schmidt et al. | Malicious software for smartphones | |
Kandukuru et al. | Android malicious application detection using permission vector and network traffic analysis | |
CN115378686A (zh) | 一种工控网络的沙盒应用方法、装置及存储介质 | |
CN111371783B (zh) | 一种sql注入攻击检测方法、装置、设备和存储介质 | |
KR20160145574A (ko) | 모바일 컴퓨팅에서의 보안을 강제하는 시스템 및 방법 | |
CN105791221B (zh) | 规则下发方法及装置 | |
JP5828457B2 (ja) | Api実行制御装置およびプログラム | |
US11689551B2 (en) | Automatic identification of applications that circumvent permissions and/or obfuscate data flows | |
CN113901496A (zh) | 基于多业务系统的业务处理方法、装置和设备 | |
CN110472418B (zh) | 一种安全漏洞防护方法及系统、相关设备 | |
CN110830494A (zh) | 一种iot攻击防御方法、装置及电子设备和存储介质 | |
Marengereke et al. | Cloud based security solution for android smartphones | |
US11683686B2 (en) | Method for authentication, user terminal and authentication server for executing the same | |
Pistol et al. | Simulation Of New Methods Using Applications Which Exflitrate Data From Android Phones | |
Manfredh | Assessing the security of a Garmin Smartwatch through Ethical hacking |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |