一种网络安全异常检测方法、装置、存储介质及计算设备与流程

1.本发明涉及信息安全技术领域，具体涉及一种网络安全异常检测方法、装置、存储介质及计算设备。


背景技术：

2.电力物联网边缘设备的安全影响到电力系统的安全，面对网络攻击的多样性、新颖性，检测难度大、成本高。
3.目前对于物联网设备的网络安全防护主要是将物联网设备置于隔离网或者加强口令复杂度等方法来提升联网设备的网络安全，但这些方法会影响用户的使用体验，并不能很好地满足用户需求。


技术实现要素：

4.本发明的目的在于提供一种面向电力物联网边缘设备的网络安全异常检测方法、装置、存储介质及计算设备，对电力物联网边缘设备进行异常进程检测，保证设备的安全性。
5.为了实现上述目标，本发明采用如下技术方案：本发明提供一种网络安全异常检测方法，包括：监控电力物联网边缘设备系统关键路径下的静态二进制文件，并根据静态二进制文件的变化信息生成异常告警，以及监控设备进程的实时行为信息，并与本地行为基线集合进行比对，根据异常结果生成异常告警；分别将监控的所述电力物联网边缘设备系统关键路径下的静态二进制文件和所述设备进程对应的进程文件与本地可信软件基进行比对，并将比对异常的静态二进制文件上传至服务端进行云查杀；以及根据云查杀结果生成不同等级的告警信息。
6.进一步的，还包括：采集电力物联网边缘设备正常运行时的软件静态指纹信息和进程动态行为信息进行本地存储并上报至服务端；根据所述软件静态指纹信息构建本地可信软件基，根据所述进程动态行为信息构建本地行为基线集合。
7.进一步的，采集电力物联网边缘设备正常运行时的软件静态指纹信息，包括：采用采集探针通过获取电力物联网边缘设备操作系统的软件包列表采集软件静态指纹信息；所述软件静态指纹信息包括下述中的至少一种：名称、版本、软件hash、操作系统。
8.进一步的，采集电力物联网边缘设备正常运行时的进程动态行为信息，包括：采用采集探针通过/proc目录获取进程动态行为信息；所述进程动态行为信息包括下述中的至少一种：进程的创建；打开文件；绑定端口；建立连接的操作。
9.进一步的，本地和服务端同时保存所述根据软件静态指纹信息构建的本地可信软
件基和所述根据进程动态行为信息构建的本地行为基线集合，服务端对本地可信软件基和本地行为基线集合的内容修改后同步至客户端。
10.进一步的，监控电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程的实时行为信息，包括：采用采集探针通过linux inotify机制实时监控电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程的实时行为信息；所述关键路径预先配置。
11.进一步的，所述静态二进制文件的变化信息包括内容和权限的变化；将关键路径下静态二进制文件的内容和权限的变化作为异常告警上报至服务端。
12.进一步的，将设备进程的实时行为信息与本地行为基线集合进行比对，对超出所述本地行为基线集合的行为，产生异常告警上报至服务端。
13.进一步的，所述将比对异常的静态二进制文件上传至服务端进行云查杀，包括：利用开源查杀引擎clamav对上传的异常的静态二进制文件进行云查杀。
14.进一步的，所述进行云查杀，还包括，对于通过云查杀的文件产生可疑告警，对于未通过的文件及相应的进程产生紧急告警。
15.本发明还提供一种网络安全异常检测装置，包括：第一判断模块，用于监控电力物联网边缘设备系统关键路径下的静态二进制文件，并根据静态二进制文件的变化信息生成异常告警，以及监控设备进程的实时行为信息，并与本地行为基线集合进行比对，根据异常结果生成异常告警；以及，第二判断模块，用于分别将监控的电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程对应的进程文件与本地可信软件基进行比对，并将比对异常的静态二进制文件上传至服务端进行云查杀；以及根据云查杀结果生成不同等级的告警信息。
16.进一步的，还包括构建模块，所述构建模块用于，采集电力物联网边缘设备正常运行时的软件静态指纹信息和进程动态行为信息进行本地存储并上报至服务端；根据所述软件静态指纹信息构建本地可信软件基，根据所述进程动态行为信息构建本地行为基线集合。
17.本发明第三方面提供一种存储一个或多个程序的计算机可读存储介质，所述一个或多个程序包括指令，所述指令当由计算设备执行时，使得所述计算设备执行根据前述的方法中的任一方法。
18.本发明第四方面提供一种计算设备，包括，一个或多个处理器、存储器以及一个或多个程序，其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行根据前述的方法中的任一方法的指令。
19.本发明所达到的有益效果：本发明通过构建可信软件基和行为基线，对超出标准的包括软件静态指纹信息和进程动态行为的变化进行监控，能够识别出及电力物联网边缘设备异常行为，保证设备的安全性。
附图说明
20.图1为本发明中构建本地可信软件基和本地行为基线集合示意图；图2为本发明的异常检测架构。
具体实施方式
21.下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。
22.本发明提供一种网络安全异常检测方法，包括：监控电力物联网边缘设备系统关键路径下的静态二进制文件，并根据静态二进制文件的变化信息生成异常告警，以及监控设备进程的实时行为信息，并与本地行为基线集合进行比对，根据异常结果生成异常告警；分别将监控的静态二进制文件和设备进程对应的进程文件与本地可信软件基进行比对，并将比对异常的静态二进制文件上传至服务端进行云查杀；以及根据云查杀结果生成不同等级的告警信息。
23.作为一种优选的实施方式，一种网络安全异常检测方法，包括以下步骤：步骤一，采用采集探针采集电力物联网边缘设备的软件静态指纹信息和进程动态行为信息进行本地存储并上报至服务端构建可信软件基和行为基线；步骤二，采用采集探针监控设备系统关键路径下的静态二进制文件的变化信息和进程的实时行为；步骤三，采集探针上报步骤二中采集到的静态二进制文件的变化信息，同时将进程的实时行为信息与本地的行为基线模型进行对比，判断是否存在行为偏离，将异常结果上传至服务端；步骤四，采用采集探针分别将步骤三中关键路径下的静态二进制文件和进程对应的进程文件与可信软件基比对，将比对异常的静态二进制文件上传至服务端进行云查杀；步骤五，用户对于异常告警进行人工研判，根据结果处置异常或更新可信软件基和行为基线。
24.本领域人员应该知道，采集探针是装在边缘设备的一个主机agent探针，属于业界常用的工具，负责与服务端进行通信，功能包括信息采集以及执行服务端下发的任务等。
25.需要说明的是，对于静态二进制文件和进程对应的进程文件，可以从静态和动态的区别来进行理解，静态就是指它只是个可执行的程序，但不一定正在运行，关键路径可以理解为/bin、/sbin等某几个关键的目录，由于考虑性能开销，不可能采集所有目录的二进制文件，所以就定义了一些关键的目录；动态指正在运行的进程，进程所对应的二进制文件可能存在于系统的所有目录中，不一定在关键路径下本发明实施例中，软件静态指纹信息，包括名称、版本、软件hash、操作系统。采集探针通过获取电力物联网边缘设备操作系统的软件包列表采集到这些信息。比如centos的rpm，debian的dpkg。
26.本发明实施例中，进程动态行为信息，包括进程的创建、打开文件、绑定端口、建立连接的操作。采集探针通过/proc目录获取当前进程文件读写、端口开放、对外连接、新建进程、进程间通信的行为。同时通过linux auditd采集实时的进程行为。为了构建进程的行为
基线，即设备上进程正常行为的总和，这一动态的学习可以长达一周或更久，从而确保行为基线的适用性。
27.本发明实施例中，采集探针将以上采集的信息进行本地缓存并上传至服务端，服务端将信息录入数据库，从而构建了可信软件基和行为基线，具体可参见图1，可信软件基和行为基线还可以进行后期的人工优化，使可信软件基和行为基线更加的准确和全面。
28.本发明实施例中，可信软件基和行为基线由客户端和服务端共同保存，服务端可以审核可信软件基和行为基线的内容并进行修改，修改的内容将同步至客户端。
29.本发明实施例中，采集探针软件使用linux inotify机制实时监控设备系统关键路径下的静态二进制文件的变化，包括内容和权限的变化。同时，对于采集探针软件可以配置需要监控的关键路径，包括/bin、/sbin以及电力物联网边缘设备的业务软件路径等。
30.本发明实施例中，采集探针软件使用linux auditd机制对进程的实时行为进行监控，包括进程的创建、打开文件、绑定端口、建立连接。
31.本发明实施例中，采集探针将关键路径下静态二进制文件内容和权限的变化作为异常告警上报至服务端。
32.本发明实施例中，对于进程打开文件、绑定端口、建立连接的行为，采集探针将其与本地行为基线集合进行比较，确认是否存在行为偏离。如果存在行为偏离，则产生异常告警上报至服务端。
33.本地行为基线集合为，相同的二进制文件生成的进程有一个打开文件、绑定端口、建立连接的集合，将该集合作为本地行为基线集合。任何超出该集合的行为属于行为偏离。
34.本发明实施例中，对于关键路径下的静态二进制文件和进程相应的进程文件，客户端将其静态指纹信息与可信软件基进行比较。如果比较相同则认为此上报信息内容为可信，如果比较不同，采集探针将上传该静态二进制文件至服务端，服务端通过云查杀对文件进行扫描。对于通过云查杀的文件产生“可疑”告警，对于未通过的文件及其相应进程的行为产生“紧急”告警。
35.所述的云查杀，是利用开源查杀引擎clamav对采集探针上传的文件进行安全性分析。
36.本发明实施例中，对于步骤三产生的异常告警和步骤四产生的“可疑”告警需要用户进行人工研判，确认静态文件或进程行为是否符合业务系统正常运行特征。如果符合，用户可以通过置白操作将该“异常”添加至可信软件基或行为基线中。如果不符合的以及“紧急”的告警可以进行人工的处置。
37.本发明通过采集探针初期的采集、学习以及后期的人工优化，能够使可信软件基和行为基线更加的准确和全面，同时确保异常告警的准确性。
38.本发明的另一个实施例提供一种面向电力物联网边缘设备的网络安全异常检测装置，包括：第一判断模块，用于监控电力物联网边缘设备系统关键路径下的静态二进制文件，并根据静态二进制文件的变化信息生成异常告警，以及监控设备进程的实时行为信息，并与本地行为基线集合进行比对，根据异常结果生成异常告警；以及，第二判断模块，用于分别将监控的静态二进制文件和设备进程对应的进程文件与
本地可信软件基进行比对，并将比对异常的静态二进制文件上传至服务端进行云查杀；以及根据云查杀结果生成不同等级的告警信息。
39.本发明第三各实施例提供一种存储一个或多个程序的计算机可读存储介质，所述一个或多个程序包括指令，所述指令当由计算设备执行时，使得所述计算设备执行根据前述的方法中的任一方法。
40.本发明第四个实施例提供一种计算设备，包括，一个或多个处理器、存储器以及一个或多个程序，其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行根据前述的方法中的任一方法的指令。
41.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd-rom、光学存储器等）上实施的计算机程序产品的形式。
42.本技术是参照根据本技术实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。
43.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。
44.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。
45.最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。