本發明公開了一種基于白名單的工控系統攻擊檢測裝置，包括工控系統檢測終端和白名單存儲終端；其中，工控系統檢測終端包括，工控系統白名單特征模塊、工控系統攻擊預警模塊、工控系統保護模塊；白名單存儲終端包括，安全芯片模塊、存儲私密區模塊、存儲訪問模塊。本發明能夠改進現有技術的不足，有效解決了基于程序構建的白名單庫龐大、結構復雜等問題，同時有效提高了工控攻擊檢測命中率和工控系統白名單安全性。

技術領域

本發明涉及網絡安全技術領域，尤其是一種基于白名單的工控系統攻擊檢測裝置及其檢測方法。

背景技術

傳統的攻擊檢測方法主要依賴模式特征庫，通過將網絡攻擊行為、攻擊腳本的特征提取出來，在系統中通過正則表達式等模糊匹配方式去判別，通過識別攻擊特征來辨別攻擊行為和攻擊載體。

之后又產生了通用的依據白名單進行惡意程序檢測的方法。通過收集單一程序的特征和行為建立白名單。將白名單集中存儲于服務器中，后續程序執行時進行白名單比對，如果特征值一致將允許程序執行。

現有技術方案的缺點：

公開的工控系統漏洞庫、工控病毒特征庫中特征數量少，且基于已知特征的傳統攻擊檢測方法，特征庫的生成與更新往往滯后。

工控網絡攻擊方法屬于信息戰的武器，基本上有效的攻擊方法極少公開披露，特征庫缺少維護更新。

通用白名單的惡意程序檢測方法收集的是單一程序的特征和行為，其實現技術簡單但其白名單庫條數巨大、執行效率低、系統整體延時長，無法滿足工控網絡實時性要求。

通用白名單的惡意程序檢測方法缺乏對系統整體級別的判斷，對于系統允許的操作缺乏有效的訪問控制。

總體說，現有方案是針對傳統IT信息安全的攻擊檢測系統和方法，不滿足工控攻擊檢測需要。

發明內容

本發明要解決的技術問題是提供一種基于白名單的工控系統攻擊檢測裝置及其檢測方法，能夠解決現有技術的不足，有效解決了基于程序構建的白名單庫龐大、結構復雜等問題，同時有效提高了工控攻擊檢測命中率和工控系統白名單安全性。

為解決上述技術問題，本發明所采取的技術方案如下。

一種基于白名單的工控系統攻擊檢測裝置，包括：工控系統檢測終端和白名單存儲終端；其中，

工控系統檢測終端包括，

工控系統白名單特征模塊，用于與白名單存儲終端通信，以及白名單的生產、寫入、讀出和匹配操作；

工控系統攻擊預警模塊，用于監控宿主機上工控系統關系白名單的變更，實時對變更進行攻擊預警；

工控系統保護模塊，用于監控宿主機上工控系統資源白名單的變更，實時對變更進行攻擊預警；

白名單存儲終端包括，

安全芯片模塊，用于存儲加密算法；

存儲私密區模塊，使用安全芯片模塊內置加密算法對敏感信息加密并存儲；

存儲訪問模塊，用于實現安全芯片模塊和存儲私密區模塊與工控系統檢測終端的通信。

作為優選，所述工控系統檢測終端和白名單存儲終端分別部署在不同的獨立設備中。

作為優選，所述工控系統檢測終端部署在操作員站和/或工程師站和/或上位機和/或服務器中。

作為優選，所述白名單存儲終端部署在工控主機和/或磁盤陣列中。

一種上述的基于白名單的工控系統攻擊檢測裝置的檢測方法，包括以下步驟：