本發明公開了一種結合UEBA機制的程序白名單防護方法，其特征在于，具體步驟如下：建立多層神經網絡層，所述神經網絡層包括數據獲取層、數據初步處理層、數據深度處理層、安全層、學習層和保護層；獲取數據：通過數據獲取層獲取是數據信息；預處理數據：通過數據處理層對數據進行分類處理；深度處理數據：將分類好的數據進入到隊列中按照相關優先級的順序送入深度處理層處理，深度處理層處理后，形成相關的白名單基線對應關系；數據解碼：通過安全層中的協議解碼引擎對協議進行深度解碼處理；白名單建模：學習層采用自學習模塊學習，形成安全白名單；危險處理：通過保護層切斷網絡連接，同時進行告警。本發明可以基于白名單進行安全防護。

技術領域

本發明涉及網絡信息安全技術領域，具體為一種結合UEBA機制的程序白名單防護方法。

背景技術

隨著社會的發展和科技的進步，人們對信息化和工業化的建設進程加速，越來越多的計算機和網絡技術應用于各種不同的系統，使得系統與網絡高度連接，網絡在推動工業自動化和信息化快速發展的同時也帶來了諸如木馬、病毒、網絡攻擊等安全問題，所謂的白名單是一種以基于多個協議作為主要傳輸協議的集合，以減少網絡攻擊作為其目標；

所謂白名單，其概念與黑名單相對，如果設立了白名單，則在白名單中的用戶(或IP地址、IP包、郵件等)會優先通過，不會被當成垃圾郵件拒收，安全性和快捷性都大大提高。將其含義擴展一步，那么凡有黑名單功能的應用，就會有白名單功能與其對應，為白名單可以提高用戶工作效率，并保持系統以最佳性能運作，白名單是設置能通過的用戶，白名單以外的用戶都不能通過，白名單比黑名單限制的用戶要更多一些，例如，幫助臺支持人員可能會收到用戶對系統運行緩慢或不可預知行為的投訴，在經過調查后，工作人員會發現間諜軟件已經悄悄進入端點，正在吞噬內存和處理器功耗。這是使用白名單檢測未經授權程序并警告工作人員另一個用例，而不是在默認情況下完全阻止，對于正在運行的應用、工具和進程方面，白名單可以提供對系統的全面可視性，如果相同的未經授權的程序試圖在多個端點運行，該數據可用于追蹤攻擊者的路徑，白名單可以幫助抵御高級內存注入攻擊；該技術提供了功能來驗證內存中運行的所有經批準的進程，并確保這些進程在運行時沒有被修改，從而抵御高級內存漏洞利用，高級攻擊通常涉及操縱合法應用。當這種高級攻擊涉及內存違規、可疑進程行為、配置更改或操作系統篡改時，白名單產品可以識別并發出警報，基于白名單分析進行安全防控如今已經被越來越多人們作為提高系統安全的一種方式應用在各種系統中。

在實際生產環境中，對安全攻擊缺乏前期設計和有效抵御方法，系統長期運行后會積累大量的安全漏洞；這些缺陷使工控系統面對網絡安全攻擊時無法有效防止，僅僅依靠殺毒軟件進行防護，防護的效果差，且屬于被動防護，殺毒軟件更新的速度通常滯后于新病毒的產生速度，使得損失造成后才能發現，容易造成無法彌補的損失。

發明內容

本發明的目的在于提供一種結合UEBA機制的程序白名單防護方法，以解決上述背景技術中提出的問題。

為實現上述目的，本發明提供如下技術方案：一種結合UEBA機制的程序白名單防護方法，具體步驟如下：

(1)建立多層神經網絡層，所述神經網絡層包括數據獲取層、數據初步處理層、數據深度處理層、安全層、學習層和保護層。

(2)獲取數據：通過數據獲取層獲取是數據信息；

(3)預處理數據：通過數據處理層對數據進行分類處理；

(4)深度處理數據：將步驟(3)中分類好的數據進入到隊列中按照相關優先級的順序送入數據深度處理層處理，深度處理層處理后，形成相關的基線對應關系；

(5)數據解碼：數據處理后送入到安全層，通過安全層中的協議解碼引擎對協議進行深度解碼處理；

(6)白名單建模：解碼后的數據送入到學習層，學習層采用自學習模塊學習，后續的解碼的數據與自學習模塊的基線進行比對分析，形成安全白名單；