(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210988929.4 (22)申请日 2022.08.17 (71)申请人 西安热工 研究院有限公司 地址 710048 陕西省西安市碑林区兴庆路 136号 申请人 华能集团技 术创新中心有限公司 (72)发明人 刘超飞　杨东　崔逸群　毕玉冰　 曾荣汉　刘骁　朱博迪　肖力炀　 刘迪　董夏昕　介银娟　崔鑫　 王艺杰　朱召鹏　王文庆　邓楠轶　 (74)专利代理 机构 西安通大专利代理有限责任 公司 6120 0 专利代理师 闵岳峰 (51)Int.Cl. H04L 9/40(2022.01)G06F 21/53(2013.01) G06F 40/211(2020.01) G06F 40/253(2020.01) G06F 40/30(2020.01) (54)发明名称 一种工控网络的沙盒应用方法、 装置及存储 介质 (57)摘要 本发明涉及一种工控网络的沙盒应用方法、 装置及存储介质， 所述方法包括： 拦截所述工控 网络中针对操作系统的API请求， 以及针对数据 库的SQL指令； 在确定拦截到 所述API请求的情况 下， 将所述API请求导入操作系统沙盒； 并通过所 述操作系统沙盒确定所述API请求是否合法， 在 确定所述API请求合法的情况下， 将所述API请求 发送至所述操作系统； 在确定拦截到所述SQL指 令的情况下， 将所述SQL指令导入数据库沙盒； 并 通过所述数据库沙盒确定所述SQL指令是否合 法， 在确定所述SQL指令合法的情况下， 将所述 SQL指令发送 至所述数据库。 避免了不合法的API 请求或者SQL指令被操作系统或者数据库执行， 对工控网络的网络安全造成威胁， 有效地保证了 工控网络的网络安全。 权利要求书2页 说明书12页 附图6页 CN 115378686 A 2022.11.22 CN 115378686 A 1.一种工控网络的沙盒应用方法， 其特 征在于， 包括： 拦截所述工控网络中针对操作系统的API请求， 以及针对数据库的SQ L指令； 在确定拦截到所述API请求的情况下， 将所述API请求导入操作系 统沙盒； 并通过所述 操作系统沙盒确定所述API请求是否合法， 在确定所述API请求合法的情况下， 将所述API请 求发送至所述操作系统； 在确定拦截到所述SQL指令的情况下， 将所述SQL指令导入数据库沙盒； 并通过所述数 据库沙盒确定所述SQL指令是否合法， 在确定所述SQL指 令合法的情况下， 将所述SQL指令发 送至所述数据库。 2.根据权利要求1所述的方法， 其特征在于， 所述通过所述操作系统沙盒确定所述API 请求是否合法包括： 确定所述API请求对应的操作类型 是否为非法操作类型； 在确定所述API请求对应的操作类型为非法操作类型的情况下， 确定所述API请求对应 的操作对象是否为白名单对象； 在确定所述API请求对应的操作对象非白名单对象的情况下， 确定所述API请求为非法 请求。 3.根据权利要求1所述的方法， 其特征在于， 所述通过所述操作系统沙盒确定所述API 请求是否合法还 包括： 在确定所述API请求对应的操作对象是白名单对象的情况下， 将所述API请求进行文件 重定向操作， 得到 重定向文件路径； 基于所述重 定向文件路径， 执 行所述API请求； 在确定执行所述API请求后， 与所述重定向文件路径的文件存在异常的情况下， 确定所 述API请求 为非法请求。 4.根据权利要求1所述的方法， 其特征在于， 所述通过所述数据库沙盒确定所述SQL指 令是否合法包括： 解析所述SQL指令， 得到解析后的解析指令； 确定所述 解析指令是否为白名单指令； 在确定所述 解析指令非白名单指令的情况 下， 确定所述SQ L指令为非法指令 。 5.根据权利要求4所述的方法， 其特征在于， 所述解析所述SQL指令， 得到解析后的解析 指令包括： 对所述SQ L指令进行词法分析， 得到词法链； 将所述SQL指令解析为语法树， 并确定SQL语义信息， 所述解析指令包括所述词法链以 及所述SQ L语义信息 。 6.根据权利要求5所述的方法， 其特征在于， 所述确定所述解析指令是否为白名单指令 还包括： 将所述词法链与白名单中的目标词法链对比， 得到第一对比结果； 在确定所述第一对比结果表征所述词法链与所述目标词法链匹配的情况下， 将所述 SQL语义信息与白名单中的语义库对比， 得到第二对比结果； 在确定所述第一对比结果表征所述词法链与所述目标词法链不匹配， 和/或所述第二 对比结果表征所述SQL语义信息与白名单中的语义库不匹配的情况下， 确定所述解析指令权　利　要　求　书 1/2 页 2 CN 115378686 A 2不为白名单指令 。 7.根据权利要求1 ‑6任一项所述的方法， 其特 征在于， 所述方法还 包括： 在确定所述API请求为非法请求， 或， 所述SQL指令为非法指令的情况下， 将所述API请 求或所述SQ L指令， 按照预设转换 方式转换为目标操作日志； 并 将所述目标操作日志写入异常日志数据库中。 8.一种工控网络的沙盒应用装置， 其特 征在于， 所述装置包括： 拦截模块， 用于拦截所述工控网络中针对操作系统的API请求， 以及针对数据库的SQL 指令； 第一导入模块， 用于在确定拦截到所述API请求的情况下， 将所述API请求导入操作系 统沙盒； 并通过所述操作系统沙盒确 定所述API请求是否合法， 在确定所述API请求合法 的 情况下， 将所述API请求发送至所述操作系统； 第二导入模块， 用于在确定拦截到所述SQL指令的情况下， 将所述SQL指令导入数据库 沙盒； 并通过所述数据库沙盒确定所述SQL指令是否合法， 在确定所述SQL指令合法 的情况 下， 将所述SQ L指令发送至所述数据库。 9.一种工控网络的沙盒应用装置， 其特 征在于， 包括： 处理器； 用于存储处理器可执行指令的存 储器； 其中， 所述处 理器被配置为： 拦截所述工控网络中针对操作系统的API请求， 以及针对数据库的SQ L指令； 在确定拦截到所述API请求的情况下， 将所述API请求导入操作系 统沙盒； 并通过所述 操作系统沙盒确定所述API请求是否合法， 在确定所述API请求合法的情况下， 将所述API请 求发送至所述操作系统； 在确定拦截到所述SQL指令的情况下， 将所述SQL指令导入数据库沙盒； 并通过所述数 据库沙盒确定所述SQL指令是否合法， 在确定所述SQL指 令合法的情况下， 将所述SQL指令发 送至所述数据库。 10.一种计算机可读存储介质， 其上存储有计算机程序指令， 其特征在于， 该程序指令 被处理器执行时实现权利要求1 ‑7中任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 115378686 A 3