CN109358508A - 一种基于自学习工控主机安全防护方法和系统 - Google Patents
一种基于自学习工控主机安全防护方法和系统 Download PDFInfo
- Publication number
- CN109358508A CN109358508A CN201811308834.3A CN201811308834A CN109358508A CN 109358508 A CN109358508 A CN 109358508A CN 201811308834 A CN201811308834 A CN 201811308834A CN 109358508 A CN109358508 A CN 109358508A
- Authority
- CN
- China
- Prior art keywords
- data
- industrial control
- control host
- protected
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B13/00—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion
- G05B13/02—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric
- G05B13/04—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric involving the use of models or simulators
- G05B13/042—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric involving the use of models or simulators in which a parameter or coefficient is automatically adjusted to optimise the performance
Abstract
本发明提供了一种基于自学习工控主机安全防护方法和系统,涉及设备安全的技术领域,包括:获取待保护工控主机发送的第一目标数据;若所述第一目标数据为所述第一目标文件,且所述第一目标文件为未知目标文件,则对所述第一目标文件进行处理,得到第一处理结果,所述第一目标文件为所述待保护工控主机的存储设备中存储的待进行安全检测的目标文件;若所述第一目标数据为所述待保护工控主机的通信流量数据,且所述通信流量数据为未知通信流量数据,则对所述通信流量数据进行处理,得到第二处理结果,解决了现有的工控主机防护方法对工控主机的安全防护较差的技术问题。
Description
技术领域
本发明涉及设备安全技术领域,尤其是涉及一种基于自学习工控主机安全防护方法和系统。
背景技术
在传统的工业控制系统领域中,工业控制系统的网络采取物理隔离的方式,整个控制系统的安全防护处于“裸奔”状态,即不存在安全防护设备,系统补丁也一直未更新。由于物理隔离、专用协议的原因,也较少发生安全事件。随着2010年震网病毒攻击伊朗核电站被曝光,到前段时间Black Energy针对乌克兰电网攻击事件表明,一直以来被认为相对封闭、专业和安全的工业控制系统已成为黑客、不法组织的攻击目标,隔离不能解决安全问题,并且随着工业信息化进程的快速推进,为实现系统间的协同和信息分享,工业控制系统也逐渐打破了以往的封闭性,原本隔离的区域以某种方式连接了起来,这使得工业控制系统也必将面临病毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁,安全问题会更加严峻。
针对上述问题,还未提出有效的解决方案。
发明内容
有鉴于此,本发明的目的在于提供一种基于自学习工控主机安全防护方法和系统,以缓解了现有的工控主机防护方法对工控主机的安全防护较差的技术问题。
第一方面,本发明实施例提供了一种基于自学习工控主机安全防护方法,该方法包括:获取待保护工控主机发送的第一目标数据;若所述第一目标数据为所述第一目标文件,且所述第一目标文件为未知目标文件,则对所述第一目标文件进行处理,得到第一处理结果,其中,所述第一处理结果用于表征是否阻断所述第一目标文件的运行进程,所述第一目标文件为所述待保护工控主机的存储设备中存储的待进行安全检测的目标文件;若所述第一目标数据为所述待保护工控主机的通信流量数据,且所述通信流量数据为未知通信流量数据,则对所述通信流量数据进行处理,得到第二处理结果,其中,所述第二处理结果用于表征是否阻断所述通信流量数据对应的通信进程。
进一步地,所述预设文件名单中包括至少一个预设文件的哈希值;判断所述第一目标文件是否为未知目标文件,具体包括:计算所述第一目标文件的哈希值;将所述第一目标文件的哈希值与所述预设文件名单中的哈希值进行对比;若比对结果为所述预设文件名单中不包含所述第一目标文件的哈希值,则确定所述第一目标文件为未知目标文件。
进一步地,判断所述通信流量数据是否为未知通信流量数据,具体包括:确定第一待保护工控主机和第二待保护工控主机之间的通信流量数据的通信参数是否符合通信网络图,其中,所述第一待保护工控主机为待保护工控主机中接收所述通信流量数据的待保护工控主机,所述第二待保护工控主机为其他工控主机中向所述第一待保护工控主机发送所述通信流量数据的待保护工控主机,所述通信网络图中包括多个待保护工控主机,所述通信网络图用于表征任意两个待保护工控主机的之间的通信流量数据的通信参数;若不符合,则确定所述通信流量数据为所述未知通信流量数据。
进一步地,所述通信参数包括以下至少一种:各个待保护工控主机的IP地址,各个待保护工控主机的MAC地址,各个待保护工控主机之间进行通信的端口,各个待保护工控主机之间的通信协议。
进一步地,对所述第一目标文件进行处理包括:若所述服务器的处理模式为高可用模式的情况下,则对所述第一目标文件进行病毒扫描;若确定出所述第一目标文件中不包含病毒,则放行所述第一目标文件的运行进程;若所述服务器的处理模式为高安全模式的情况下,则阻断所述第一目标文件的运行进程。
进一步地,对所述通信流量数据进行处理包括:若所述服务器的处理模式为高可用模式的情况下,则放行所述通信流量数据对应的通信进程;若所述服务器的处理模式为高安全模式的情况下,则阻断所述通信流量数据对应的通信进程。
进一步地,所述方法还包括:将所述第一处理结果或所述第二处理结果发送给管理员终端,以使所述管理员终端显示所述第一处理结果或所述第二处理结果。
进一步地,按照预设周期获取所述待保护工控主机发送的第二目标数据,其中,所述第二目标数据包括以下至少一种:第二目标文件、所述第二目标文件的哈希值、所述第二目标文件的注册表数据、进程数据、所述通信流量数据、所述通信流量数据的通信参数,所述第二目标文件为按照所述预设周期从所述待保护工控主机的存储设备中获取到的全部文件;对所述第二目标文件进行病毒扫描,判断所述第二目标数据中是否包含病毒;若否,则将所述第二目标文件和所述第二目标文件的哈希值添加至所述预设文件名单中,并基于所述第二目标数据,构建通信网络图。
第二方面,本发明实施例提供了一种基于自学习工控主机安全防护系统,该系统包括:获取单元,第一执行单元和第二执行单元,其中,所述获取单元用于获取待保护工控主机发送的第一目标数据;所述第一执行单元用于若所述第一目标数据为所述第一目标文件,且所述第一目标文件为未知目标文件,则对所述第一目标文件进行处理,得到第一处理结果,其中,所述第一处理结果用于表征是否阻断所述第一目标文件的运行进程,所述第一目标文件为所述待保护工控主机的存储设备中存储的待进行安全检测的目标文件;所述第二执行单元用于若所述第一目标数据为所述待保护工控主机的通信流量数据,且所述通信流量数据为未知通信流量数据,则对所述通信流量数据进行处理,得到第二处理结果,其中,所述第二处理结果用于表征是否阻断所述通信流量数据对应的通信进程。
进一步地,所述系统还包括第一监控单元,用于判断所述第一目标文件是否为未知目标文件,具体包括:计算所述第一目标文件的哈希值;将所述第一目标文件的哈希值与所述预设文件名单中的哈希值进行对比;若比对结果为所述预设文件名单中不包含所述第一目标文件的哈希值,则确定所述第一目标文件为未知目标文件。
在本发明实施例中,获取待保护工控主机发送的第一目标数据,若所述第一目标数据为所述第一目标文件,且所述第一目标文件为未知目标文件,则对所述第一目标文件进行处理,得到第一处理结果;若所述第一目标数据为所述待保护工控主机的通信流量数据,且所述通信流量数据为未知通信流量数据,则对所述通信流量数据进行处理,得到第二处理结果。
本发明通过对未知文件数据和位置流量数据进行处理,能够对未知文件数据的运行进程进行阻断和对未知流量数据对应的通信进程进行阻断,进而缓解了由于现有的杀毒引擎与工控系统软件不兼容,导致现有的工控主机防护方法无法对不产生通信流量的病毒程序进行检测和阻断,导致对工控主机的安全防护较差的技术问题,从而达到了提高了对工控主机的安全防护的技术效果。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于自学习工控主机安全防护方法的流程图;
图2为本发明实施例提供的另一种基于自学习工控主机安全防护方法的流程图;
图3为本发明实施例提供的另一种基于自学习工控主机安全防护方法的流程图;
图4为本发明实施例提供的一种基于自学习工控主机安全防护系统的示意图;
图5为本发明实施例提供的一种服务器的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
根据本发明实施例,提供了一种基于自学习工控主机安全防护方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种基于自学习工控主机安全防护方法,如图1所示,该方法包括如下步骤:
步骤S102,获取待保护工控主机发送的第一目标数据;
步骤S104,若所述第一目标数据为所述第一目标文件,且所述第一目标文件为未知目标文件,则对所述第一目标文件进行处理,得到第一处理结果,其中,所述第一处理结果用于表征是否阻断所述第一目标文件的运行进程,所述第一目标文件为所述待保护工控主机的存储设备中存储的待进行安全检测的目标文件;
步骤S106,若所述第一目标数据为所述待保护工控主机的通信流量数据,且所述通信流量数据为未知通信流量数据,则对所述通信流量数据进行处理,得到第二处理结果,其中,所述第二处理结果用于表征是否阻断所述通信流量数据对应的通信进程。
本发明通过对未知文件数据和位置流量数据进行处理,能够对未知文件数据的运行进程进行阻断和对未知流量数据对应的通信进程进行阻断,进而缓解了由于现有的杀毒引擎与工控系统软件不兼容,导致现有的工控主机防护方法无法对不产生通信流量的病毒程序进行检测和阻断,导致对工控主机的安全防护较差的技术问题,从而达到了提高了对工控主机的安全防护的技术效果。
在本发明实施例中,判断所述第一目标文件是否为未知目标文件,具体包括如下步骤:
步骤S11,计算所述第一目标文件的哈希值;
步骤S12,将所述第一目标文件的哈希值与所述预设文件名单中的哈希值进行对比;
步骤S13,若比对结果为所述预设文件名单中不包含所述第一目标文件的哈希值,则确定所述第一目标文件为未知目标文件。
在本发明实施例中,当获取到的第一目标数据为第一目标文件(即,待保护工控主机的存储设备中存储的待进行安全检测的目标文件)时,则计算该第一目标文件的哈希值。
接着,将该第一目标文件的哈希值与预设文件名单中的哈希值进行对比。
需要说明的是,上述的预设文件名单中包含至少一个预设文件的哈希值,预设文件名单通常也被称为白名单。
如果对比结果为预设名单中不包含第一目标文件的哈希值,那么则可以确定第一目标文件为未知目标文件。
通过预设名单中是否包含第一目标文件的哈希值,判断第一目标文件是否为未知文件数据,由于只有完全相同的两个文件,其哈希值才是相同的,因此通过哈希值进行断第一目标文件是否为未知文件数据,判断结果精确度高,进而能够有效避免出现误判,导致出现检测故障的情况。
在本发明实施例中,判断所述通信流量数据是否为未知通信流量数据,具体包括如下步骤:
步骤S21,确定第一待保护工控主机和第二待保护工控主机之间的通信流量数据的通信参数是否符合通信网络图,其中,所述第一待保护工控主机为待保护工控主机中接收所述通信流量数据的待保护工控主机,所述第二待保护工控主机为其他工控主机中向所述第一待保护工控主机发送所述通信流量数据的待保护工控主机,所述通信网络图中包括多个待保护工控主机,所述通信网络图用于表征任意两个待保护工控主机的之间的通信流量数据的通信参数;
步骤S22,若不符合,则确定所述通信流量数据为所述未知通信流量数据。
在本发明实施例中,当获取到的第一目标数据为通信流量数据时,则需要判断该通信流量数据的通信参数是否符合通信网络图。
需要说明的是,通信网络图中包括多个待保护工控主机,且该通信网络图用于表征任意两个待保护工控主机的之间的通信流量数据的通信参数。
另外,还需要说明的是,上述通信网络图中包括以下至少一种通信参数:各个待保护工控主机的IP地址,各个待保护工控主机的MAC地址,各个待保护工控主机之间进行通信的端口,各个待保护工控主机之间的通信协议。
当判断结果为该通信流量数据不符合通信网络图,则可以确定该通信流量数据为未知通信流量数据。
例如,当获取到通信流量数据时,可以先确定出待保护工控主机中接收该通信流量数据的第一待保护工控主机接收该通信流量数据的第一端口,以及向第一待保护工控主机发送通信流量数据的第二待保护工控主机发送该通信流量数据的第二端口。
当第一端口与第二端口不符合通信网络图中的第一待保护工控主机和第二待保护工控主机进行通信流量数据传输时设定的端口时,则确定该通信流量数据为未知通信流量数据。
在本发明实施例中,如图2所示,对所述第一目标文件进行处理包括如下步骤:
步骤S31,若所述服务器的处理模式为高可用模式的情况下,则对所述第一目标文件进行病毒扫描;
步骤S32,若确定出所述第一目标文件中不包含病毒,则放行所述第一目标文件的运行进程;
步骤S33,若所述服务器的处理模式为高安全模式的情况下,则阻断第一目标文件的运行进程。
在本发明实施例中,当判断出第一目标文件为未知目标文件后,如果服务器采用的处理模式为高可用模式,那么则对第一目标文件进行病毒扫描。
如果扫描结果为第一目标文件中不包含病毒,那么久放行该第一目标文件的运行进程。
如果服务器采用的处理模式为高安全性模式时,则直接阻断该第一目标文件的运行进程。
服务器通过采用上述两种不同的处理模式,能够满足不同工控主机系统的安全保护需求。
在本发明实施例中,对所述通信流量数据进行处理包括如下步骤:
步骤S41,若所述服务器的处理模式为高可用模式的情况下,则放行所述通信流量数据对应的通信进程;
步骤S42,若所述服务器的处理模式为高安全模式的情况下,则阻断所述通信流量数据对应的通信进程。
在本发明实施例中,当判断出通信流量数据为未知通信流量数据后,如果服务器的处理模式采用高可用模式时,那么则放行该通信流量数据对应的通信进程,从而保证待保护工控设备的正常运行。
如果服务器的处理模式采用高安全性模式时,则阻断该通信流量数据对应的通信进程,进而达到对待保护工控设备进行安全保护的技术效果。
在本发明实施例中,如图3所示,所述方法还包括如下步骤:
步骤S108,将所述第一处理结果或所述第二处理结果发送给管理员终端,以使所述管理员终端显示所述第一处理结果或所述第二处理结果。
在本发明实施例中,当服务器完成对未知目标文件或未知流量数据的处理后,将得到的第一处理结果或第二处理结果发送给管理员终端,以使管理员终端显示第一处理结果或第二处理结果,从而能够使管理员及时获知该待保护工控设备的安全防护情况。
在本发明实施例中,所述方法还包括如下步骤:
步骤S51,按照预设周期获取所述待保护工控主机发送的第二目标数据,其中,所述第二目标数据包括以下至少一种:第二目标文件、所述第二目标文件的哈希值、所述第二目标文件的注册表数据、进程数据、所述通信流量数据、所述通信流量数据的通信参数,所述第二目标文件为按照所述预设周期从所述待保护工控主机的存储设备中获取到的全部文件;
步骤S52,对所述第二目标文件进行病毒扫描,判断所述第二目标文件中是否包含病毒;
步骤S53,若否,则将所述第二目标文件和所述第二目标文件的哈希值添加至所述预设文件名单中,并基于所述第二目标数据,构建通信网络图。
在本发明实施例中,为了确定预设名单和通信网络图,可以按照预设周期获取所述待保护工控主机发送的第二目标数据。
需要说明的是,上述的预设周期可以由管理员根据实际情况自行设定,在本发明实施例中不做具体限定。
另外,还需要说明的是,第二目标数据包括:第二目标文件、所述第二目标文件的哈希值、所述第二目标文件的注册表数据、进程数据、所述通信流量数据、所述通信流量数据的通信参数,且所述第二目标文件为按照所述预设周期从所述待保护工控主机的存储设备中获取到的全部文件,
另外,还需要说明的是,第二目标文件的注册表数据为待保护工控主机所处的工控系统中所有与文件自启动运行相关的注册表项目。
进程数据包括:待保护工控主机所处的工控系统所有正在运行的进程以及进程关系,各个正在运行的进程对应的哈希值,以及各个正在运行的进程及加载的动态连接库文件。
通信流量数据的参数包括:各个待保护工控主机之间进行通信时的进程文件、接收通信流量数据的待保护工控主机的ip地址、接收通信流量数据的待保护工控主机的端口、接收通信流量数据的待保护工控主机的mac地址、发送通信流量数据的待保护工控主机的ip地址、发送通信流量数据的待保护工控主机的端口、发送通信流量数据的待保护工控主机的mac地址、协议类型、通讯时间等参数。
在获取到第二目标数据后,对第二目标数据中的第二目标文件进行病毒扫描,如果第二目标文件中不包含病毒,那么就将第二目标文件和第二目标文件的哈希值添加至预设文件名单中。
最后,根据第二目标数据,构建通信网络图。
通过按照预设周期获取第二目标数据,以使自学习模块进行自学习,进而对预设文件名单和通信网络图能够按照每个预设周期获取到第二目标数据进行更新,从而提高对待保护工控主机安全性的保护能力。
实施例二:
本发明还提供了一种基于自学习工控主机安全防护系统,该系统用于执行本发明实施例上述内容所提供的基于自学习工控主机安全防护方法,以下是本发明实施例提供的基于自学习工控主机安全防护系统的具体介绍
如图4所示,该系统包括:获取单元10,第一执行单元20和第二执行单元30,其中,
所述获取单元10用于获取待保护工控主机发送的第一目标数据;
所述第一执行单元20用于若所述第一目标数据为所述第一目标文件,且所述第一目标文件为未知目标文件,则对所述第一目标文件进行处理,得到第一处理结果,其中,所述第一处理结果用于表征是否阻断所述第一目标文件的运行进程,所述第一目标文件为所述待保护工控主机的存储设备中存储的待进行安全检测的目标文件;
所述第二执行单元30用于若所述第一目标数据为所述待保护工控主机的通信流量数据,且所述通信流量数据为未知通信流量数据,则对所述通信流量数据进行处理,得到第二处理结果,其中,所述第二处理结果用于表征是否阻断所述通信流量数据对应的通信进程。
本发明通过对未知文件数据和位置流量数据进行处理,能够对未知文件数据的运行进程进行阻断和对未知流量数据对应的通信进程进行阻断,进而缓解了由于现有的杀毒引擎与工控系统软件不兼容,导致现有的工控主机防护方法无法对不产生通信流量的病毒程序进行检测和阻断,导致对工控主机的安全防护较差的技术问题,从而达到了提高了对工控主机的安全防护的技术效果。
可选地,所述系统还包括第一监控单元,用于判断所述第一目标文件是否为未知目标文件,具体包括:计算所述第一目标文件的哈希值;将所述第一目标文件的哈希值与所述预设文件名单中的哈希值进行对比;若比对结果为所述预设文件名单中不包含所述第一目标文件的哈希值,则确定所述第一目标文件为未知目标文件。
可选地,所述系统还包括第二监控单元,用于判断所述通信流量数据是否为未知通信流量数据,具体包括:确定第一待保护工控主机和第二待保护工控主机之间的通信流量数据的通信参数是否符合通信网络图,其中,所述第一待保护工控主机为待保护工控主机中接收所述通信流量数据的待保护工控主机,所述第二待保护工控主机为其他工控主机中向所述第一待保护工控主机发送所述通信流量数据的待保护工控主机,所述通信网络图中包括多个待保护工控主机,所述通信网络图用于表征任意两个待保护工控主机的之间的通信流量数据的通信参数;若不符合,则确定所述通信流量数据为所述未知通信流量数据。
可选地,所述第一执行模块还用于:若所述服务器的处理模式为高可用模式的情况下,则对所述第一目标文件进行病毒扫描;若确定出所述第一目标文件中不包含病毒,则放行所述第一目标文件的运行进程;若所述服务器的处理模式为高安全模式的情况下,则阻断第一目标文件的运行进程。
可选地,所述第二执行模块还用于:若所述服务器的处理模式为高可用模式的情况下,则放行所述通信流量数据对应的通信进程;若所述服务器的处理模式为高安全模式的情况下,则阻断所述通信流量数据对应的通信进程。
可选地,所述系统还包括:发送单元,用于将所述第一处理结果或所述第二处理结果发送给管理员终端,以使所述管理员终端显示所述第一处理结果或所述第二处理结果。
可选地,所述系统还包括:自学习单元,用于按照预设周期获取所述待保护工控主机发送的第二目标数据,其中,所述第二目标数据包括以下至少一种:第二目标文件、所述第二目标文件的哈希值、所述第二目标文件的注册表数据、进程数据、所述通信流量数据、所述通信流量数据的通信参数,所述第二目标文件为按照所述预设周期从所述待保护工控主机的存储设备中获取到的全部文件;对所述第二目标文件进行病毒扫描,判断所述第二目标文件中是否包含病毒;若否,则将所述第二目标文件和所述第二目标文件的哈希值添加至所述预设文件名单中,并基于所述第二目标数据,构建通信网络图。
参见图5,本发明实施例还提供一种服务器100,包括:处理器50,存储器51,总线52和通信接口53,所述处理器50、通信接口53和存储器51通过总线52连接;处理器50用于执行存储器51中存储的可执行模块,例如计算机程序。
其中,存储器51可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口53(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线52可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器51用于存储程序,所述处理器50在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的系统所执行的方法可以应用于处理器50中,或者由处理器50实现。
处理器50可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器50中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器50可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器51,处理器50读取存储器51中的信息,结合其硬件完成上述方法的步骤。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的系统或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、系统和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、系统和方法,可以通过其它的方式实现。以上所描述的系统实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,系统或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于自学习工控主机安全防护方法,其特征在于,应用于服务器,包括:
获取待保护工控主机发送的第一目标数据;
若所述第一目标数据为所述第一目标文件,且所述第一目标文件为未知目标文件,则对所述第一目标文件进行处理,得到第一处理结果,其中,所述第一处理结果用于表征是否阻断所述第一目标文件的运行进程,所述第一目标文件为所述待保护工控主机的存储设备中存储的待进行安全检测的目标文件;
若所述第一目标数据为所述待保护工控主机的通信流量数据,且所述通信流量数据为未知通信流量数据,则对所述通信流量数据进行处理,得到第二处理结果,其中,所述第二处理结果用于表征是否阻断所述通信流量数据对应的通信进程。
2.根据权利要求1所述的方法,其特征在于,所述预设文件名单中包括至少一个预设文件的哈希值;
判断所述第一目标文件是否为未知目标文件,具体包括:
计算所述第一目标文件的哈希值;
将所述第一目标文件的哈希值与所述预设文件名单中的哈希值进行对比;
若比对结果为所述预设文件名单中不包含所述第一目标文件的哈希值,则确定所述第一目标文件为未知目标文件。
3.根据权利要求1所述的方法,其特征在于,判断所述通信流量数据是否为未知通信流量数据,具体包括:
确定第一待保护工控主机和第二待保护工控主机之间的通信流量数据的通信参数是否符合通信网络图,其中,所述第一待保护工控主机为待保护工控主机中接收所述通信流量数据的待保护工控主机,所述第二待保护工控主机为其他工控主机中向所述第一待保护工控主机发送所述通信流量数据的待保护工控主机,所述通信网络图中包括多个待保护工控主机,所述通信网络图用于表征任意两个待保护工控主机的之间的通信流量数据的通信参数;
若不符合,则确定所述通信流量数据为所述未知通信流量数据。
4.根据权利要求3所述的方法,其特征在于,所述通信网络图中包括以下至少一种通信参数:各个待保护工控主机的IP地址,各个待保护工控主机的MAC地址,各个待保护工控主机之间进行通信的端口,各个待保护工控主机之间的通信协议。
5.根据权利要求1所述的方法,其特征在于,对所述第一目标文件进行处理包括:
若所述服务器的处理模式为高可用模式的情况下,则对所述第一目标文件进行病毒扫描;
若确定出所述第一目标文件中不包含病毒,则放行所述第一目标文件的运行进程;
若所述服务器的处理模式为高安全模式的情况下,则阻断所述第一目标文件的运行进程。
6.根据权利要求1所述的方法,其特征在于,对所述通信流量数据进行处理包括:
若所述服务器的处理模式为高可用模式的情况下,则放行所述通信流量数据对应的通信进程;
若所述服务器的处理模式为高安全模式的情况下,则阻断所述通信流量数据对应的通信进程。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述第一处理结果或所述第二处理结果发送给管理员终端,以使所述管理员终端显示所述第一处理结果或所述第二处理结果。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
按照预设周期获取所述待保护工控主机发送的第二目标数据,其中,所述第二目标数据包括以下至少一种:第二目标文件、所述第二目标文件的哈希值、所述第二目标文件的注册表数据、进程数据、所述通信流量数据、所述通信流量数据的通信参数,所述第二目标文件为按照所述预设周期从所述待保护工控主机的存储设备中获取到的全部文件;
对所述第二目标文件进行病毒扫描,判断所述第二目标文件中是否包含病毒;
若否,则将所述第二目标文件和所述第二目标文件的哈希值添加至所述预设文件名单中,并基于所述第二目标数据,构建通信网络图。
9.一种基于自学习工控主机安全防护系统,其特征在于,所述系统包括:获取单元,第一执行单元和第二执行单元,其中,
所述获取单元用于获取待保护工控主机发送的第一目标数据;
所述第一执行单元用于若所述第一目标数据为所述第一目标文件,且所述第一目标文件为未知目标文件,则对所述第一目标文件进行处理,得到第一处理结果,其中,所述第一处理结果用于表征是否阻断所述第一目标文件的运行进程,所述第一目标文件为所述待保护工控主机的存储设备中存储的待进行安全检测的目标文件;
所述第二执行单元用于若所述第一目标数据为所述待保护工控主机的通信流量数据,且所述通信流量数据为未知通信流量数据,则对所述通信流量数据进行处理,得到第二处理结果,其中,所述第二处理结果用于表征是否阻断所述通信流量数据对应的通信进程。
10.根据权利要求9所述的系统,其特征在于,所述系统还包括第一监控单元,用于判断所述第一目标文件是否为未知目标文件,具体包括:
计算所述第一目标文件的哈希值;
将所述第一目标文件的哈希值与所述预设文件名单中的哈希值进行对比;
若比对结果为所述预设文件名单中不包含所述第一目标文件的哈希值,则确定所述第一目标文件为未知目标文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811308834.3A CN109358508A (zh) | 2018-11-05 | 2018-11-05 | 一种基于自学习工控主机安全防护方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811308834.3A CN109358508A (zh) | 2018-11-05 | 2018-11-05 | 一种基于自学习工控主机安全防护方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109358508A true CN109358508A (zh) | 2019-02-19 |
Family
ID=65343996
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811308834.3A Pending CN109358508A (zh) | 2018-11-05 | 2018-11-05 | 一种基于自学习工控主机安全防护方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109358508A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116112380A (zh) * | 2023-02-13 | 2023-05-12 | 山东云天安全技术有限公司 | 一种基于异常流量的工控安全控制系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005064884A1 (en) * | 2003-12-24 | 2005-07-14 | Veritas Software Corporation | Method and system for identifyingthe content of files in a network |
| WO2009042915A2 (en) * | 2007-09-26 | 2009-04-02 | Microsoft Corporation | Whitelist and blacklist identification data |
| CN103051627A (zh) * | 2012-12-21 | 2013-04-17 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
| US8701194B2 (en) * | 2003-03-14 | 2014-04-15 | Websense, Inc. | System and method of monitoring and controlling application files |
| CN104991526A (zh) * | 2015-05-04 | 2015-10-21 | 中国科学院软件研究所 | 工业控制系统安全支撑框架及其数据安全传输和存储方法 |
| CN106529282A (zh) * | 2016-11-10 | 2017-03-22 | 广东电网有限责任公司电力科学研究院 | 一种基于信任链的白名单执行系统及执行方法 |
| CN106685953A (zh) * | 2016-12-27 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于安全基线样本机的未知文件检测系统及方法 |
| CN106845231A (zh) * | 2016-12-30 | 2017-06-13 | 北京瑞星信息技术股份有限公司 | 基于虚拟化环境下的安全防护方法及装置 |
| CN107040545A (zh) * | 2017-05-26 | 2017-08-11 | 中国人民解放军信息工程大学 | 工程文件全生命周期安全保护方法 |
| CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
| CN108183920A (zh) * | 2018-01-23 | 2018-06-19 | 北京网藤科技有限公司 | 一种工业控制系统恶意代码防御系统及其防御方法 |
-
2018
- 2018-11-05 CN CN201811308834.3A patent/CN109358508A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8701194B2 (en) * | 2003-03-14 | 2014-04-15 | Websense, Inc. | System and method of monitoring and controlling application files |
| WO2005064884A1 (en) * | 2003-12-24 | 2005-07-14 | Veritas Software Corporation | Method and system for identifyingthe content of files in a network |
| WO2009042915A2 (en) * | 2007-09-26 | 2009-04-02 | Microsoft Corporation | Whitelist and blacklist identification data |
| CN103051627A (zh) * | 2012-12-21 | 2013-04-17 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
| CN104991526A (zh) * | 2015-05-04 | 2015-10-21 | 中国科学院软件研究所 | 工业控制系统安全支撑框架及其数据安全传输和存储方法 |
| CN106529282A (zh) * | 2016-11-10 | 2017-03-22 | 广东电网有限责任公司电力科学研究院 | 一种基于信任链的白名单执行系统及执行方法 |
| CN106685953A (zh) * | 2016-12-27 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于安全基线样本机的未知文件检测系统及方法 |
| CN106845231A (zh) * | 2016-12-30 | 2017-06-13 | 北京瑞星信息技术股份有限公司 | 基于虚拟化环境下的安全防护方法及装置 |
| CN107040545A (zh) * | 2017-05-26 | 2017-08-11 | 中国人民解放军信息工程大学 | 工程文件全生命周期安全保护方法 |
| CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
| CN108183920A (zh) * | 2018-01-23 | 2018-06-19 | 北京网藤科技有限公司 | 一种工业控制系统恶意代码防御系统及其防御方法 |
Non-Patent Citations (4)
| Title |
|---|
| 严彪,等: "基于白名单机制的工控分级入侵检测算法", 《通信技术》 * |
| 王朝栋,等: "基于白名单列表的SCADA网络在石化工控系统安全中的应用", 《化工自动化及仪表》 * |
| 陶耀东,等: "工业控制系统安全综述", 《计算机工程与应用》 * |
| 黄勇: "面向ICS的异常检测系统研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116112380A (zh) * | 2023-02-13 | 2023-05-12 | 山东云天安全技术有限公司 | 一种基于异常流量的工控安全控制系统 |
| CN116112380B (zh) * | 2023-02-13 | 2024-02-02 | 山东云天安全技术有限公司 | 一种基于异常流量的工控安全控制系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
| US8863284B1 (en) | System and method for determining a security status of potentially malicious files | |
| US9876810B2 (en) | Systems and methods for malware lab isolation | |
| US9438623B1 (en) | Computer exploit detection using heap spray pattern matching | |
| US10430586B1 (en) | Methods of identifying heap spray attacks using memory anomaly detection | |
| KR102017810B1 (ko) | 모바일 기기용 침입방지장치 및 방법 | |
| US9325729B2 (en) | K-zero day safety | |
| CN104601568B (zh) | 虚拟化安全隔离方法和装置 | |
| US20080148381A1 (en) | Methods, systems, and computer program products for automatically configuring firewalls | |
| US9762595B2 (en) | Secure cross domain solution systems and methods | |
| TWI453624B (zh) | 資訊安全防護主機 | |
| CN104424438B (zh) | 一种反病毒文件检测方法、装置及网络设备 | |
| CN109766694A (zh) | 一种工控主机的程序协议白名单联动方法及装置 | |
| US10193868B2 (en) | Safe security proxy | |
| US9661006B2 (en) | Method for protection of automotive components in intravehicle communication system | |
| CN109067807A (zh) | 基于web应用防火墙过载的安全防护方法、装置及电子设备 | |
| CN105743843A (zh) | 一种防止报文攻击的处理方法及装置 | |
| CN109167781A (zh) | 一种基于动态关联分析的网络攻击链识别方法和装置 | |
| CN110213375A (zh) | 一种基于云waf的ip访问控制的方法、装置及电子设备 | |
| CN110086811A (zh) | 一种恶意脚本检测方法及相关装置 | |
| CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
| US10541873B2 (en) | Determining violation of a network invariant | |
| CN111291372A (zh) | 一种基于软件基因技术对终端设备文件检测的方法及装置 | |
| CN108322454B (zh) | 一种网络安全检测方法及装置 | |
| CN109358508A (zh) | 一种基于自学习工控主机安全防护方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190219 |