CN111314377B - 一种工控终端动态多样化云安全方法及系统 - Google Patents

一种工控终端动态多样化云安全方法及系统 Download PDF

Info

Publication number
CN111314377B
CN111314377B CN202010187610.2A CN202010187610A CN111314377B CN 111314377 B CN111314377 B CN 111314377B CN 202010187610 A CN202010187610 A CN 202010187610A CN 111314377 B CN111314377 B CN 111314377B
Authority
CN
China
Prior art keywords
control terminal
industrial control
software
dynamic
generation module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010187610.2A
Other languages
English (en)
Other versions
CN111314377A (zh
Inventor
邓高见
马多耀
黄雄栋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongke Tianyu Suzhou Technology Co ltd
Original Assignee
Zhongke Tianyu Suzhou Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongke Tianyu Suzhou Technology Co ltd filed Critical Zhongke Tianyu Suzhou Technology Co ltd
Priority to CN202010187610.2A priority Critical patent/CN111314377B/zh
Publication of CN111314377A publication Critical patent/CN111314377A/zh
Application granted granted Critical
Publication of CN111314377B publication Critical patent/CN111314377B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

本发明涉及一种工控终端动态多样化云安全方法及系统,包括动态数据生成模块、动态软件生成模块、动态补丁生成模块、工控终端管理模块:动态数据生成模块密钥和终端标识进行计算,生成随机化比特流;动态软件生成模块,用随机比特流进行软件编译的随机填充得到目标软件副本;动态补丁生成模块,生成随机化补丁;工控终端管理模块接收工控终端的安装申请,管理工控终端的标识,更新终端虚拟机和密钥。本发明能够实现工控终端的多样性,改变工控终端系统中软件静态、同质化的弱点,改被动防御为主动防御,通过生产差异化的软件及其升级包,增加工控终端的不确定性,提高攻击成本和代价,抵御APT和未知攻击,保护工控终端的安全。

Description

一种工控终端动态多样化云安全方法及系统
技术领域
本发明涉及一种工控终端安全防护及系统,具体涉及一种工控终端动态多样化云安全方法及系统,属于信息安全领域。
背景技术
工业控制系统安全正在受到越来越严重的攻击威胁。一旦攻击者掌握一个漏洞,就能快速入侵相同的其它系统。
传统的安全技术主要采用被动的访问控制、隔离和入侵检测。无论是隔离控制还是入侵检测,策略都是静态的,一旦攻击者找到防御漏洞,所有工控终端系统都会面临同样的威胁。被动防御已经无法应对零日漏洞、未知攻击、APT攻击,攻击者有足够的时间来寻找漏洞、等待时机进行入侵。
有鉴于此,如何改变工控终端系统的单一性和静态性,是要解决的重要问题。通过建立集中的云安全软件分发机制,增加工控终端软件的多样性、进行攻击面的动态转换,能够有效地提高攻击的难度和成本,大大提升工控终端的不确定性,才能有效抵御APT攻击、零日漏洞、未知攻击等高级威胁,实现主动防御。
发明内容
有鉴于此,本发明公开了一种工控终端动态多样化云安全方法及系统,包括动态数据生成模块、动态软件生成模块、动态补丁生成模块、工控终端管理模块:动态数据生成模块密钥和终端标识进行计算,生成随机化比特流;动态软件生成模块,根据工控终端的标识,启动对应的虚拟机,在虚拟机中,重新编译原始软件,并用随机比特流进行随机填充,得到目标软件副本;动态补丁生成模块,与动态软件生成模块执行同样的过程,区别在于生成的补丁与对应的软件进行关联;工控终端管理模块接收工控终端的安装申请,管理工控终端的标识,更新云平台中工控终端对应的虚拟机和密钥。本发明能够实现工控终端的多样性,改变工控终端系统中软件静态、同质化的弱点,改被动防御为主动防御,通过生产差异化的软件及其升级包,增加工控终端的不确定性,提高攻击成本和代价,抵御APT和未知攻击,保护工控终端的安全。
本发明的技术方案如下:一种工控终端动态多样化云安全方法,其步骤包括:
1)云平台存储工控终端所需的应用软件原始版本,工控终端在云平台有对应的虚拟化系统;
 2)工控终端连接云平台,申请安装所需要的软件和更新;
 3)在收到终端的安装软件申请后,云平台用密钥和终端标识进行计算,获取工控终端的标识Icsx后,启动对应系统的虚拟机,获取本地时间Tc,采用H(Icsx,Tc)单向散列函数,生成随机化比特流,原始软件在对应虚拟化系统中编译打包,并用Rc进行随机填充,生成软件副本;
4)用上述随机化比特流Rc作为参数,对原始软件进行动态随机化,生成软件副本;
5)工控终端从云平台下载一份与自己标识符匹配的软件副本,进行安装。
更进一步, 所述工控终端在云平台有对应的虚拟化系统,原始软件可以在对应虚拟化系统中编译打包。
更进一步,所述云平台在收到终端的安装软件申请后,进行如下操作,随机化生成多样性的软件副本:
1)获取工控终端的标识Icsx,启动对应系统的虚拟机;
2)获取本地时间Tc,采用H(Icsx,Tc)单向散列函数,得到随机比特流Rc;
3)在虚拟机中,重新编译原始软件,并用Rc进行随机填充,生成软件副本,该副本与原始软件功能相同,但结构不同。
更进一步,所述动态随机化方法可采用重新编译软件源代码并加随机化二进制比特串的方式获得,也可以是动态加壳的方式对非源码进行随机化,同样是在加壳中参入随机化二进制比特串,改变软件的指令段中跳转地址。
更进一步,所述多样化软件还包括软件升级包,在云平台对工控终端进行升级时,同样将补丁包进行随机化,生成多样化的补丁包副本。
本发明还提出一种工控终端动态多样化云安全系统,包括动态数据生成模块、动态软件生成模块、动态补丁生成模块、工控终端管理模块:
所述动态数据生成模块密钥和终端标识进行计算,获取工控终端的标识Icsx后,获取本地时间Tc,采用H(Icsx,Tc)单向散列函数,生成随机化比特流Rc;
所述动态软件生成模块,根据工控终端的标识,在云平台找到工控终端对应的虚拟化系统,启动对应的虚拟机,原始软件在对应虚拟化系统中编译打包,重新编译原始软件,并用Rc进行随机填充,生成目标软件副本;
所述动态补丁生成模块,与动态软件生成模块执行同样的过程,区别在于生成的补丁与对应的软件进行关联;
所述工控终端管理模块接收工控终端的安装申请,管理工控终端的标识,更新云平台中工控终端对应的虚拟机和密钥。
本发明的积极效果为:
本发明提供了一种工控终端动态多样化云安全方法及系统,包括动态数据生成模块、动态软件生成模块、动态补丁生成模块、工控终端管理模块:动态数据生成模块密钥和终端标识进行计算,生成随机化比特流;动态软件生成模块,根据工控终端的标识,启动对应的虚拟机,在虚拟机中,重新编译原始软件,并用随机比特流进行随机填充,得到目标软件副本;动态补丁生成模块,与动态软件生成模块执行同样的过程,区别在于生成的补丁与对应的软件进行关联;工控终端管理模块接收工控终端的安装申请,管理工控终端的标识,更新云平台中工控终端对应的虚拟机和密钥。本发明能够实现工控终端的多样性,改变工控终端系统中软件静态、同质化的弱点,改被动防御为主动防御,通过生产差异化的软件及其升级包,增加工控终端的不确定性,提高攻击成本和代价,抵御APT和未知攻击,保护工控终端的安全。
附图说明
附图1是本发明一种工控终端动态多样化云安全方法及系统的架构示意图。
附图2是本发明工控终端软件多样性示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步描述。
本发明的一实施例中公开的工控终端动态多样化云安全方法,其步骤包括:
1)云平台存储工控终端所需的应用软件原始版本,工控终端在云平台有对应的虚拟化系统;
2)工控终端连接云平台,申请安装所需要的软件和更新;
3)在收到终端的安装软件申请后,云平台用密钥和终端标识进行计算,获取工控终端的标识Icsx后,启动对应系统的虚拟机,获取本地时间Tc,采用H(Icsx,Tc)单向散列函数,生成随机化比特流,原始软件在对应虚拟化系统中编译打包,并用Rc进行随机填充,生成软件副本;
4)用上述随机化比特流Rc作为参数,对原始软件进行动态随机化,生成软件副本;
5)工控终端得到一份与自己标识符匹配的软件副本,进行安装。
以下通过具体的例子对附图中工控终端动态多样化云安全方法及系统进行进一步的说明。
如附图1所示,一种工控终端动态多样化云安全方法及系统,包括动态数据生成模块、动态软件生成模块、动态补丁生成模块、工控终端管理模块:
所述动态数据生成模块密钥和终端标识进行计算,获取工控终端的标识Icsx后,获取本地时间Tc,采用H(Icsx,Tc)单向散列函数,生成随机化比特流Rc;
所述动态软件生成模块,根据工控终端的标识,在云平台找到工控终端对应的虚拟化系统,启动对应的虚拟机,原始软件在对应虚拟化系统中编译打包,重新编译原始软件,并用Rc进行随机填充,生成软件副本;
所述动态补丁生成模块,与动态软件生成模块执行同样的过程,区别在于生成的补丁与对应的软件进行关联;
所述工控终端管理模块接收工控终端的安装申请,管理工控终端的标识,更新云平台中工控终端对应的虚拟机和密钥。
如附图2所示,一种工控终端动态多样化云安全方法及系统,其所述工控终端软件多样性实现方法,步骤如下:
1)获取工控终端的标识Icsx,获取本地时间Tc,采用H(Icsx,Tc)单向散列函数,得到随机比特流Rc;
2)在虚拟机中,重新编译原始软件,并用Rc进行随机填充,得到目标软件副本,该副本与原始软件功能相同,但结构不同。
以上所述本发明的具体实施方式目的是为了更好地理解本发明的使用,并不构成对本发明保护范围的限定。任何在本发明的精神和原则实质之内所做的修改、变形和等同替换等,都应属于本发明的权利要求的保护范围之内。

Claims (6)

1.一种工控终端动态多样化云安全方法,其步骤包括:
1)云平台存储工控终端所需的应用软件原始版本,工控终端在云平台有对应的虚拟化系统;
2)工控终端连接云平台,申请安装所需要的软件和更新;
3)在收到终端的安装软件申请后,云平台用密钥和终端标识进行计算,获取工控终端的标识Icsx后,启动对应系统的虚拟机,获取本地时间Tc,采用H(Icsx,Tc)单向散列函数,生成随机化比特流,原始软件在对应虚拟化系统中编译打包,并用Rc进行随机填充,生成软件副本;
4)用上述随机化比特流Rc作为参数,对原始软件进行动态随机化,生成软件副本;
5)工控终端从云平台下载一份与自己标识符匹配的软件副本,进行安装。
2.如权利要求1所述的工控终端动态多样化云安全方法,其特征在于,所述工控终端在云平台有对应的虚拟化系统,原始软件可以在对应虚拟化系统中编译打包。
3.如权利要求1所述的工控终端动态多样化云安全方法,其特征在于,所述云平台在收到终端的安装软件申请后,进行如下操作,随机化生成多样性的软件副本:
1)获取工控终端的标识Icsx,启动对应系统的虚拟机;
2)获取本地时间Tc,采用H(Icsx,Tc)单向散列函数,得到随机比特流Rc;
3)在虚拟机中,重新编译原始软件,并用Rc进行随机填充,生成目标软件副本,该副本与原始软件功能相同,但结构不同。
4.如权利要求3所述的工控终端动态多样化云安全方法,其特征在于,所述动态随机化方法可采用重新编译软件源代码并加随机化二进制比特串的方式获得,也可以是动态加壳的方式对非源码进行随机化,同样是在加壳中参入随机化二进制比特串,改变软件的指令段中跳转地址。
5.如权利要求1或3或4所述的工控终端动态多样化云安全方法,其特征在于,所述多样化软件还包括软件升级包,在云平台对工控终端进行升级时,同样将补丁包进行随机化,生成多样化的补丁包副本。
6.一种工控终端动态多样化云安全系统,包括动态数据生成模块、动态软件生成模块、动态补丁生成模块、工控终端管理模块:
所述动态数据生成模块密钥和终端标识进行计算,获取工控终端的标识Icsx后,获取本地时间Tc,采用H(Icsx,Tc)单向散列函数,生成随机化比特流Rc;
所述动态软件生成模块,根据工控终端的标识,在云平台找到工控终端对应的虚拟化系统,启动对应的虚拟机,原始软件在对应虚拟化系统中编译打包,重新编译原始软件,并用Rc进行随机填充,生成软件副本;
所述动态补丁生成模块,与动态软件生成模块执行同样的过程,区别在于生成的补丁与对应的软件进行关联;
所述工控终端管理模块接收工控终端的安装申请,管理工控终端的标识,更新云平台中工控终端对应的虚拟机和密钥。
CN202010187610.2A 2020-03-17 2020-03-17 一种工控终端动态多样化云安全方法及系统 Active CN111314377B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010187610.2A CN111314377B (zh) 2020-03-17 2020-03-17 一种工控终端动态多样化云安全方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010187610.2A CN111314377B (zh) 2020-03-17 2020-03-17 一种工控终端动态多样化云安全方法及系统

Publications (2)

Publication Number Publication Date
CN111314377A CN111314377A (zh) 2020-06-19
CN111314377B true CN111314377B (zh) 2023-04-07

Family

ID=71160583

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010187610.2A Active CN111314377B (zh) 2020-03-17 2020-03-17 一种工控终端动态多样化云安全方法及系统

Country Status (1)

Country Link
CN (1) CN111314377B (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7865828B1 (en) * 2005-04-22 2011-01-04 Mcafee, Inc. System, method and computer program product for updating help content via a network
US8584109B2 (en) * 2006-10-27 2013-11-12 Microsoft Corporation Virtualization for diversified tamper resistance
CN110381049A (zh) * 2019-07-12 2019-10-25 浙江智贝信息科技有限公司 一种web动态安全防御方法和系统
CN110737450A (zh) * 2019-09-12 2020-01-31 中国人民解放军国防科技大学 一种动态应用安全增强方法、装置、设备和计算机介质

Also Published As

Publication number Publication date
CN111314377A (zh) 2020-06-19

Similar Documents

Publication Publication Date Title
Jia et al. ContexloT: Towards providing contextual integrity to appified IoT platforms.
KR102582628B1 (ko) 이진 및 메모리 다이버시티를 통한 난독화 시스템 및 방법
Rasthofer et al. Droidforce: Enforcing complex, data-centric, system-wide policies in android
Ward et al. Survey of cyber moving targets second edition
US7320129B2 (en) Native language verification system and method
CN108733379B (zh) 基于dex字节码抽离映射混淆的安卓应用加固方法
KR101503785B1 (ko) 동적 라이브러리를 보호하는 방법 및 장치
US20140223426A1 (en) Method of generating, from an initial package file comprising an application to be secured and an initial configuration file, a package file for securing the application, and associated computer program product and computing device
KR20200094618A (ko) 스마트 컨트랙트 유사도 분석을 이용한 소스 코드 감사 방법 및 그 장치
EP3387813A1 (en) Mobile device having trusted execution environment
US20180129794A1 (en) Method for Protecting Dex File from Decompilation in Android System
WO2012115882A2 (en) Systems and methods for enhanced security in wireless communication
US20190042713A1 (en) Securing applications on mobile devices
CN106415491A (zh) 一种应用保护方法、服务器以及终端
Banescu et al. Software-based protection against changeware
CN104899481A (zh) 防止应用程序反编译的系统及其方法
Chen et al. Semantic-integrated software watermarking with tamper-proofing
Neto et al. Isc-flat: On the conflict between control flow attestation and real-time operations
CN111314377B (zh) 一种工控终端动态多样化云安全方法及系统
Merlo et al. Armand: Anti-repackaging through multi-pattern anti-tampering based on native detection
EP4058910A1 (en) Apparatus and method for protecting shared objects
Desmet et al. The s3ms. net run time monitor: Tool demonstration
Kumar et al. Protection against buffer overflow attacks through runtime memory layout randomization
Pradeepkumar Duraisamy et al. On shielding android’s pending intent from malware apps using a novel ownership-based authentication
Xu et al. Toward a secure android software protection system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant