[发明专利]一种网络安全异常检测方法、装置、存储介质及计算设备

权利要求书

1.一种网络安全异常检测方法，其特征在于，包括：

监控电力物联网边缘设备系统关键路径下的静态二进制文件，并根据所述静态二进制文件的变化信息生成异常告警，以及监控设备进程的实时行为信息，并与本地行为基线集合进行比对，根据异常结果生成异常告警；

分别将监控的所述电力物联网边缘设备系统关键路径下的静态二进制文件和所述设备进程对应的进程文件与本地可信软件基进行比对，并将比对异常的静态二进制文件上传至服务端进行云查杀；以及根据云查杀结果生成不同等级的告警信息。

2.根据权利要求1所述的一种网络安全异常检测方法，其特征在于，还包括：

采集电力物联网边缘设备正常运行时的软件静态指纹信息和进程动态行为信息进行本地存储并上报至服务端；

根据所述软件静态指纹信息构建本地可信软件基，根据所述进程动态行为信息构建本地行为基线集合。

3.根据权利要求2所述的一种网络安全异常检测方法，其特征在于，采集电力物联网边缘设备正常运行时的软件静态指纹信息，包括：

采用采集探针通过获取电力物联网边缘设备操作系统的软件包列表采集软件静态指纹信息；所述软件静态指纹信息包括下述中的至少一种：名称；版本；软件HASH；操作系统。

4.根据权利要求2所述的一种网络安全异常检测方法，其特征在于，采集电力物联网边缘设备正常运行时的进程动态行为信息，包括：

采用采集探针通过/proc目录获取进程动态行为信息；所述进程动态行为信息包括下述中的至少一种：进程的创建；打开文件；绑定端口；建立连接的操作。

5.根据权利要求2所述的一种网络安全异常检测方法，其特征在于，本地和服务端同时保存所述根据软件静态指纹信息构建的本地可信软件基和所述根据进程动态行为信息构建的本地行为基线集合，服务端对本地可信软件基和本地行为基线集合的内容修改后同步至客户端。

6.根据权利要求1所述的一种网络安全异常检测方法，其特征在于，监控电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程的实时行为信息，包括：

采用采集探针通过Linux inotify机制实时监控电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程的实时行为信息；

所述关键路径预先配置。

7.根据权利要求1所述的一种网络安全异常检测方法，其特征在于，所述静态二进制文件的变化信息包括内容和权限的变化；

将关键路径下静态二进制文件的内容和权限的变化作为异常告警上报至服务端。

8.根据权利要求6所述的一种网络安全异常检测方法，其特征在于，将设备进程的实时行为信息与本地行为基线集合进行比对，对超出所述本地行为基线集合的行为，产生异常告警上报至服务端。

9.根据权利要求1所述的一种网络安全异常检测方法，其特征在于，所述将比对异常的静态二进制文件上传至服务端进行云查杀，包括：

利用开源查杀引擎ClamAv对上传的异常的静态二进制文件进行云查杀。

10.根据权利要求9所述的一种网络安全异常检测方法，其特征在于，所述进行云查杀，还包括，

对于通过云查杀的文件产生可疑告警，对于未通过的文件及相应的进程产生紧急告警。

11.一种网络安全异常检测装置，其特征在于，包括：

第一判断模块，用于监控电力物联网边缘设备系统关键路径下的静态二进制文件，并根据静态二进制文件的变化信息生成异常告警，以及监控设备进程的实时行为信息，并与本地行为基线集合进行比对，根据异常结果生成异常告警；

以及，

第二判断模块，用于分别将监控的电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程对应的进程文件与本地可信软件基进行比对，并将比对异常的静态二进制文件上传至服务端进行云查杀；以及根据云查杀结果生成不同等级的告警信息。