[发明专利]一种适用于web组态的脚本控制方法

说明书

技术领域

本发明涉及计算机安全技术和计算机软件技术，特别是利用人工智能提供的机器学习方法，来识别和分类脚本文件，并通过白名单机制对脚本文件进行有效拦截。

背景技术

随着计算机和互联网技术的飞速发展，自动化和智能化技术不断提高，大量智能芯片和智能传感器也不断出现，推动了工业控制领域的迅速发展。当今时代，工控控制覆盖了包括航海航空、制造业、电力、交通等各个领域，影响着人们的生产和生活。web组态软件作为人机交互的媒介，能够自动监控工业控制系统的运行，以网页形式为用户提供可配置的工业系统控制功能，目前已经逐渐成为工业控制系统的重要组成部分。

然而，近年来计算机系统尤其是网络系统，面临的威胁是层出不穷。最近发生的勒索病毒攻击使全球100多个国家、多达10万台计算机遭到攻击，波及到金融、医疗、校园、政府等众多领域和机构，给人民的财产和生活带来巨大损失。2010年发生的震网攻击也曾使伊朗的离心机运行失控，造成整个核电站网络的瘫痪。面对计算机和网络面临的攻击，众多专家和学者做了不懈的努力，研究出了一系列针对计算机网络防护的方法：如防病毒软件的监控、账户的安全管理等，这都在一定程度上保障了计算机网络系统的安全，但是无法从根源上阻挡病毒的攻击。白名单机制通过将可靠的文件放在白名单数据库中，在运行前会对加载的程序文件进行校验，能够从根本上阻断非法程序的运行，目前被认为能够在很大程度上能够保证运行程序的安全。但是由于系统运行环境的复杂性，文件格式的多样性，难以实现对所有运行程序的管控。目前常见的白名单安全机制也仅仅是对系统中的可执行程序进行安全性检查，而对于系统中常见的PHP脚本、JSP脚本、SHELL脚本等脚本文件并没有有效的安全控制方法。

针对web组态软件自身的安全性，本发明提出了一种基于白名单机制的脚本控制方法，通过自学习的方法，学习包含PHP、JSP、SHELL脚本文件在内的脚本的特征，根据脚本特征来识别脚本文件。并在这些脚本运行之前进行拦截，运用白名单机制对将要加载的脚本进行校验，拦截匿名脚本和被破坏脚本的运行，保障web组态软件自身的可靠运行。

发明内容

为解决上述问题，本发明提出了一种适用于web组态的脚本控制方法。在本发明中，通过自学习的方式，学习PHP脚本、JSP脚本、SHELL脚本的特征，通过脚本特征来判断系统中存在的文件是否属于脚本。在系统运行PHP、JSP、SHELL脚本时，会拦截待运行的脚本，并对拦截到的脚本进行验证，任何未知的、被非法篡改的脚本都将受到控制，并可以由用户自主决定是否允许其运行，保障了运行脚本的安全性和可靠性。采用自学习模式学习脚本特征的方法打破了针对特定文件格式进行特定解析的传统文件解析模式，并且所有的脚本特征都是从大量的样本文件中提取出来，由系统根据脚本中关键字出现的规律和频率自主判定，避免在解析文件时加入人们的主观判定意识。该方法不仅使用于脚本文件，还容易扩展到其他类型的文件解析，为后期的扩展和维护也增加了便利。

为实现上述目的，本发明采用的技术方案为一种适用于web组态的脚本控制方法，实现该方法脚本控制系统包括脚本解析系统、脚本拦截系统和白名单数据库，脚本拦截系统和白名单数据库连接，白名单数据库和脚本解析系统连接。脚本解析系统学习样本文件的特征，来识别系统中的脚本文件，并将符合脚本特征的文件放入白名单数据库中；脚本拦截系统负责拦截运行的脚本，并通过白名单数据库对拦截的脚本进行校验，阻止非法脚本的运行。

样本文件包括：PHP脚本、JSP脚本、SHELL脚本和除以上三类之外的其他文件；

脚本文件是指：PHP脚本、JSP脚本、SHELL脚本；

脚本特征包括：脚本中的关键字、脚本中关键字间的关联关系、非脚本关键字；

脚本特征分为三个级别：高、中、低，高级别表示满足该特征的脚本一定属于该类脚本，中级别表示满足该特征的脚本可能属于该类脚本，低级别表示满足该特征的脚本一定不属于该类脚本；

白名单数据库包含一系列条目的列表，每个条目包含一个脚本文件的唯一标识和身份认证信息，唯一标识能够标识该脚本文件，使该脚本文件与其他脚本文件区别开，身份认证信息能够标识该脚本文件的身份，防止该脚本文件被篡改；

脚本解析系统包括学习模块和工作模块：学习模块通过样本文件分析脚本特征，工作模块根据脚本特征区分文件是否是脚本，以及该文件属于何种脚本；

脚本拦截系统部署在安装了web组态软件的系统上，在PHP脚本文件的加载位置、JSP脚本文件的加载位置、SHELL脚本的加载位置拦截脚本的运行；