[发明专利]一种程序白名单的快速构建方法

权利要求书

1.一种程序白名单的快速构建方法，应用于工业控制系统，所述工业控制系统包括服务器和工业控制系统内的多个工控设备，所述服务器与工业控制系统内的多个工控设备组成一个内网环境，所述服务器通过网络接口连接外网，所述服务器实现工业控制系统内工控设备中程序的升级安装包的下载及安全检测，其特征在于，所述服务器包括读取单元、整合单元、分割单元、校验单元和数据库，所述数据库中设置有一级指令白名单目录、二级指令白名单目录，具体包括以下步骤，

步骤一，读取单元读取目标程序的语言指令，得到第一语言指令；

步骤二，整合单元将第一语言指令进行规范化处理，得到第二语言指令；

步骤三，分割单元将第二指令进行分割提取，得到分割指令；

分割单元将第二语言指令依照语言指令的功能进行分割，得到一级分割指令；分割单元将一级分割指令依照实现每个语言指令功能的动作命令进行分割，得到二级分割指令；

步骤四，校验单元将得到的一级分割指令进行确认，判断目标程序是否为可用程序；当一级分割指令在一级指令白名单目录下的一级指令白名单中不包括时，校验单元将一级分割指令分割出的二级分割指令分别在二级指令白名单目录中进行检索，判断目标程序是否为可用程序；

步骤五，数据库将目标程序中的可用程序存储在数据库的程序白名单中，获得程序白名单；

所述数据库中还存储有语言指令关键目录，所述语言指令关键目录下对应存储有语言指令；所述数据库中每个语言指令关键目录对应的语言指令，分别包括对应的替换指令。

2.根据权利要求1所述一种程序白名单的快速构建方法，其特征在于，所述工业控制系统设有程序白名单的优先级，程序白名单的优先级按照各个工控设备的重要程度来设置；在创建多个程序的白名单线程任务时，根据目标程序所用于工控设备的优先级，确定白名单线程任务的排序；

在创建多个程序的白名单线程任务时，根据目标程序所用于工控设备的内存使用历史记录进行白名单线程任务的排序，当历史记录内存在第一时间段内大于第一阈值，则对应的时间段内，所述目标程序在白名单线程任务中设置为优先级别最高的第一级。

3.根据权利要求1所述一种程序白名单的快速构建方法，其特征在于，所述读取单元用于读取服务器中现有程序、工控设备现有程序、以及服务器中下载/更新的程序的语言指令。

4.根据权利要求3所述一种程序白名单的快速构建方法，其特征在于，一级指令白名单依照功能分类，存储在一级指令白名单目录下；二级指令白名单依照动作命令关键语言分类，存储在二级指令白名单目录下。

5.根据权利要求1所述一种程序白名单的快速构建方法，其特征在于，所述步骤二还包括，校验单元对第二语言指令中的语言指令与语言指令关键目录中语言指令进行比对，确定目标程序是否为危险程序。

6.根据权利要求5所述一种程序白名单的快速构建方法，其特征在于，当所述步骤二中校验单元将目标程序为危险程序时，所述步骤二还包括服务器的修订单元将所述危险程序进行修订：

所述修订单元将危险程序中包含的语言指令关键目录中的语言指令进行删除，得到隐危险程序，并标记删除语言指令的位置和内容；

所述修订单元对隐危险程序进行运行，判断删除语言指令的前后位置是否可以正常运行，当隐危险程序可以完整运行时，所述修订单元将所述隐危险程序标记为隐目标程序，所述分割单元对所述隐目标程序执行步骤三；

当隐危险程序不能完整运行时，所述修订单元根据标记的删除语言指令的位置和内容，读取所述数据库中删除语言指令对应的替换指令，将替换指令添加至删除语言指令的位置，并将所述隐危险程序标记为隐目标程序，所述分割单元对所述隐目标程序执行步骤三。

7.根据权利要求4所述一种程序白名单的快速构建方法，其特征在于，校验单元将目标一级分割指令的所有二级分割指令根据动作命令关键语言分类与二级指令白名单目录下的二级指令白名单进行比对，确认目标一级分割指令是否为可用指令，并将可用的目标一级分割指令发送至数据库的一级指令白名单目录，存储在对应的一级指令白名单中，得到更新后的一级指令白名单。