CN111931178A - 工业环境中基于白名单与文件特征码的主机保护方法及系统 - Google Patents

工业环境中基于白名单与文件特征码的主机保护方法及系统 Download PDF

Info

Publication number
CN111931178A
CN111931178A CN202010705603.7A CN202010705603A CN111931178A CN 111931178 A CN111931178 A CN 111931178A CN 202010705603 A CN202010705603 A CN 202010705603A CN 111931178 A CN111931178 A CN 111931178A
Authority
CN
China
Prior art keywords
executable program
file
program
virus
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010705603.7A
Other languages
English (en)
Inventor
张显
陈辉
李泽宏
胡毅
饶毅
李炎东
吴永琦
张启阳
薛文浩
李飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guizhou Qianyuan Power Co ltd
Beijing Winicssec Technologies Co Ltd
Original Assignee
Guizhou Qianyuan Power Co ltd
Beijing Winicssec Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guizhou Qianyuan Power Co ltd, Beijing Winicssec Technologies Co Ltd filed Critical Guizhou Qianyuan Power Co ltd
Priority to CN202010705603.7A priority Critical patent/CN111931178A/zh
Publication of CN111931178A publication Critical patent/CN111931178A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种主机保护方法和系统,该主机保护方法包括初步判定步骤,对待执行的可执行程序进行初步判定,以判断所述可执行程序是否位于预先创建的程序白名单基线中;提取步骤,当所述可执行程序不在所述程序白名单基线中时,提取所述可执行程序的文件特征码、文件的hash值和文件的原始路径信息;比对步骤,将所述文件特征码与预先存储的病毒库的信息进行比对;程序归类处理步骤,基于比对结果将所述可执行程序归类;以及用户确认处理步骤,基于归类结果提示用户进行确认处理,并基于所述用户的确认信息执行相应操作。

Description

工业环境中基于白名单与文件特征码的主机保护方法及系统
技术领域
本发明涉及网络安全防护领域,具体地,涉及一种主机保护方法及系统。
背景技术
在当前大多数工业现场环境中,主机数量多,操作系统版本较低,且不能连入互联网及时更新各类安全补丁。除此之外,一些工业现场环境中的主机设备因硬件或软件原因,无法安装通用的病毒查杀工具以执行全盘扫描等操作,由此给很多恶意病毒文件带来可乘之机。当某些恶意病毒文件伪装成系统文件时,导致操作员很难区分可执行文件的合法性。如果操作员误执行此类程序,则恶意病毒文件可能会利用某些系统漏洞对工业现场中的各类设施发动攻击,并引发一系列严重后果。对此需要解决下列问题:识别工业现场环境中的恶意病毒文件;和阻止主机设备上的恶意病毒文件的执行等。
基于此,已经公开了若干能够解决上述问题的技术,例如,一种病毒检测方法通过安全漏洞将无害的病毒扫描程序植入到智能终端;并且利用病毒扫描程序检测该智能终端是否有病毒入侵行为从而将结果上传至服务端。
然而,该病毒检测方法由于需要依赖安全漏洞植入扫描程序,所以当漏洞被修复时该方法将不再适用。而且,该病毒扫描程度仅能够检测入侵行为,而没有提供阻断病毒执行的方法。
此外,还公开了一种病毒扫描方法,该方法在用于服务器时包括:获取病毒数据信息,并且基于病毒数据信息更新中央病毒库;从更新后的中央病毒库筛选出待更新病毒;根据待更新病毒来更新位于客户端的杀毒引擎病毒库。
然而,在该病毒扫描方法中,由于杀毒引擎病毒库位于客户端,所以需要占用客户端主机一定量的资源。而且,通常情况下病毒库体积较大,更新时传输病毒库文件需要占用带宽,导致不适合在工业现场环境中大范围批量更新客户端病毒库。
发明内容
鉴于此而提出本发明,本发明提供了一种工业环境中基于白名单和可执行程序的文件特征码的主机保护方法及系统,利用本发明的主机保护方法及系统,当主机在工业现场环境中运行非白名单程序时,客户端提取可执行程序的文件特征码,发送到局域网内的私有云服务器端(后文中,简称为服务器端)进行验证,客户端根据服务器端返回的校验结果提示用户进行确认处理,便于用户选择阻止或放行程序执行。从而,最小化占用工业现场环境中主机及带宽资源实现病毒防御与主机防护。与此同时,本发明服务器端支持通过移动存储介质定期更新维护病毒库,以实现在工业环境中阻止病毒执行或扩散的效果。此外,通过服务器客户端的部署模式可以在工业现场批量部署应用,阻止病毒扩散。
此外,在本发明中,由于最终通过用户确认处理来选择是否阻止或放行可执行程序的运行,所以可以尽可能地弥补由于病毒库的原因造成的误杀或漏杀。
此外,在根据本发明的主机保护方法在进行病毒防御中,由于不需要传输病毒文件,因此响应速度快,使得在工业现场环境中能够及时对程序是否执行进行快速判定,提高了适用性和灵活性。
此外,在根据本发明的主机保护方法中,在服务器端的比对结果表明可执行程序是待确认病毒文件时,客户端立即将该可执行程序的源文件转至隔离沙箱,从而以最快的速度防止了可能产生的病毒文件的执行,并且阻止了可能产生的病毒扩散,提高了工业现场环境中的使用安全性能。
此外,在根据本发明的主机保护方法中,可以适用于将多台主机 (安装有客户端)批量部署在工业现场环境中的情况,从而能够阻止病毒在多台主机之间扩散。
根据本发明的第一方面,提供一种主机保护方法,其特征在于,所述主机保护方法包括:初步判定步骤,对待执行的可执行程序进行初步判定,以判断所述可执行程序是否位于预先创建的程序白名单基线中;提取步骤,当所述可执行程序不在所述程序白名单基线中时,提取所述可执行程序的文件特征码、文件的hash值和文件的原始路径信息;比对步骤,将所述文件特征码与预先存储的病毒库的信息进行比对;程序归类处理步骤,基于比对结果将所述可执行程序归类;以及用户确认处理步骤,基于归类结果提示用户进行确认处理,并基于所述用户的确认信息执行相应操作。
进一步地,在所述程序归类处理步骤中,当所述比对结果表明所述可执行程序为非病毒文件时,将所述可执行程序归类为候选白名单程序,并且将所述可执行程序添加到白名单基线待确认列表;并且当所述比对结果表明所述可执行程序为病毒文件时,将所述可执行程序归类为待确认病毒程序,并且阻止所述可执行程序的运行,同时将所述可执行程序的源文件主动移至隔离沙箱中。
进一步地,在所述用户确认处理步骤中,当所述可执行程序被归类为所述候选白名单程序时,提示用户确认是否执行所述可执行程序。
进一步地,在所述用户确认处理步骤中,当所述可执行程序被归类为所述待确认病毒程序时,提示用户选择是否信任所述可执行程序。
进一步地,当用户选择不信任所述可执行程序时,直接将所述可执行程序的源文件从所述隔离沙箱永久删除;
当用户选择信任所述可执行程序时,将所述可执行程序恢复至原始路径,并提示用户选择永久信任还是暂时信任所述可执行程序。
进一步地,当所述比对结果表明所述可执行程序为病毒文件时,生成告警记录,并且当获得用户的所述确认信息之后,将所述告警记录置为已处理状态。
进一步地,所述主机保护方法还包括升级所述病毒库,其中,升级所述病毒库包括:用户通过操作界面选择新病毒库文件并上传;初步校验所述新病毒库文件的文件名称以及格式的合法性;停止病毒扫描引擎,并将旧病毒库从可执行目录备份至另一目录;以及利用所述病毒扫描引擎加载用户上传的所述新病毒库文件。
进一步地,所述新病毒库文件存储在所述主机中或者存储在与所述主机连接的移动存储介质中。
根据本发明的第二方面,提供一种主机保护方法,用于服务器端,其特征在于,所述主机保护方法包括:接收由客户端提取并发送的可执行程序的文件特征码、hash值和原始路径信息,所述可执行程序不在所述客户端的程序白名单基线中;将所述文件特征码与存储于所述服务器端的病毒库的信息进行比对,并将比对结果发送至所述客户端;以及接收来自所述客户端的用户的确认信息。
进一步地,当所述比对结果表明所述可执行程序为病毒文件时,所述服务器端生成告警记录,并且当所述服务器端接收到用户的所述确认信息之后,将所述告警记录置为已处理状态。
进一步地,所述主机保护方法还包括升级所述病毒库,其中,升级所述病毒库包括:创建用于升级病毒库的操作界面以使得用户通过所述客户端选择新病毒库文件并上传;初步校验所述新病毒库文件的文件名称以及格式的合法性;停止病毒扫描引擎,并将旧病毒库从可执行目录备份至另一目录;以及利用所述病毒扫描引擎加载由所述客户端上传的所述新病毒库文件。
进一步地,所述新病毒库文件存储在装载有所述客户端的主机中或者存储在与所述主机连接的移动存储介质中。
根据本发明的第三方面,提供一种主机保护方法,用于客户端,其特征在于,所述主机保护方法包括:对待执行的可执行程序进行初步判定,以判断所述可执行程序是否位于预先创建的程序白名单基线中;当所述可执行程序不在所述程序白名单基线中时,将所述可执行程序的文件特征码、文件的hash值和文件的原始路径信息提取并发送至服务器端;接收由所述服务器端执行并发送的将所述文件特征码与存储于所述服务器端的病毒库信息比对的比对结果,并基于所述比对结果将所述可执行程序归类;基于归类结果提示用户进行确认处理并基于所述用户的确认信息进行相应操作,以及将用户的确认信息发送至所述服务器端。
进一步地,当所述比对结果表明所述可执行程序为非病毒文件时,所述客户端将所述可执行程序归类为候选白名单程序,并且将所述可执行程序添加到白名单基线待确认列表;并且当所述比对结果表明所述可执行程序为病毒文件时,所述客户端将所述可执行程序归类为待确认病毒程序,并且阻止所述可执行程序的运行,同时将所述可执行程序的源文件主动移至隔离沙箱中。
进一步地,当所述可执行程序被归类为所述候选白名单程序时,所述客户端提示用户确认是否执行所述可执行程序。
进一步地,当所述可执行程序被归类为所述待确认病毒程序时,所述客户端提示用户选择是否信任所述可执行程序。
进一步地,当用户选择不信任所述可执行程序时,所述客户端直接将所述可执行程序的源文件从所述隔离沙箱永久删除;当用户选择信任所述可执行程序时,所述客户端将所述可执行程序恢复至原始路径,并提示用户选择永久信任还是暂时信任所述可执行程序。
根据本发明的第四方面,提供了一种主机保护系统,其特征在于,所述主机保护系统包括:初步判定模块,该初步判定模块用于在客户端对待执行的可执行程序进行初步判定,以判断所述可执行程序是否位于预先创建的程序白名单基线中;提取模块,该提取模块用于当所述可执行程序不在所述程序白名单基线中时,在所述客户端将所述可执行程序的文件特征码、文件的hash值和文件的原始路径信息提取并发送至服务器端;比对模块,该比对模块用于在所述服务器端将所述文件特征码与存储于所述服务器端的病毒库的信息进行比对,并将比对结果发送至所述客户端;程序归类处理模块,该程序归类模块用于在所述客户端基于所述比对结果将所述可执行程序归类;用户确认处理模块,该用户确认处理模块用于在所述客户端基于归类结果提示用户进行确认处理,以及,确认信息上传模块,该确认信息上传模块用于在所述客户端将用户的确认信息发送至所述服务器端。
根据本发明的第五方面,提供了一种服务器,其特征在于,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中所述存储器存储有能够被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行前文所述的用于服务器端的主机保护方法。
根据本发明的第六方面,提供了一种主机,其特征在于,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有能够被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行前文所述的用于客户端的主机保护方法。
根据本发明的第七方面,提供了一种主机保护系统,其特征在于,包括:所述服务器和至少一个所述主机。
以下结合本发明的附图及优选实施方式对本发明的技术方案做进一步详细地描述,本发明的有益效果将进一步明确。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,但其说明仅用于解释本发明,并不构成对本发明的不当限定。
图1是示出根据本发明一优选实施例的主机保护方法的病毒防御过程的示意图;
图2是示出根据本发明一优选实施例的主机保护方法的病毒防御过程的步骤流程图;
图3是根据本发明一优选实施例的主机保护方法在服务器端的病毒防御过程的流程图;
图4是根据本发明一优选实施例的主机保护方法在客户端的病毒防御过程的流程图;
图5是示出根据本发明一优选实施例的主机保护方法的病毒库升级过程的示意图;
图6是示出根据本发明一优选实施例的主机保护方法的病毒库升级过程的步骤流程图;
图7是根据本发明一优选实施例的主机保护方法在服务器端的病毒库升级过程的流程图;
图8是根据本发明一优选实施例的主机保护方法在客户端的病毒库升级过程的流程图;
图9是根据本发明一优选实施例的主机保护系统的配置的示意图;
图10是根据本发明一优选实施例的主机保护系统中的服务器的示意性配置图;以及
图11是根据本发明一优选实施例的主机保护系统中的主机的示意性配置图。
具体实施方式
下面将结合本发明的具体实施例及相应的附图对本发明技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分优选实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的主机保护方法包括:初步判定步骤,对待执行的可执行程序进行初步判定,以判断所述可执行程序是否位于预先创建的程序白名单基线中;提取步骤,当所述可执行程序不在所述程序白名单基线中时,提取所述可执行程序的文件特征码、文件的hash值和文件的原始路径信息;比对步骤,将所述文件特征码与预先存储的病毒库的信息进行比对;程序归类处理步骤,基于比对结果将所述可执行程序归类;以及用户确认处理步骤,基于归类结果提示用户进行确认处理,并基于所述用户的确认信息执行相应操作。
根据本发明的用于服务器端的主机保护方法包括:接收由客户端提取并发送的可执行程序的文件特征码、hash值和原始路径信息,所述可执行程序不在所述客户端的程序白名单基线中;将所述文件特征码与存储于所述服务器端的病毒库的信息进行比对,并将比对结果发送至所述客户端;以及接收来自所述客户端的用户的确认信息。
根据本发明的用于客户端的主机保护方法包括:对待执行的可执行程序进行初步判定,以判断所述可执行程序是否位于预先创建的程序白名单基线中;当所述可执行程序不在所述程序白名单基线中时,将所述可执行程序的文件特征码、文件的hash值和文件的原始路径信息提取并发送至服务器端;接收由所述服务器端执行并发送的将所述文件特征码与存储于所述服务器端的病毒库信息比对的比对结果,并基于所述比对结果将所述可执行程序归类;以及基于归类结果提示用户进行确认处理,并将用户的确认信息发送至所述服务器端。
下文将参考附图详细描述根据本发明的主机保护方法的具体实施例。
图1是示出根据本发明一优选实施例的主机保护方法的病毒防御过程的示意图,图2是示出根据本发明一优选实施例的主机保护方法的病毒防御过程的步骤流程图。
下面先参考图1和2描述根据本发明的主机保护方法所执行的病毒防御过程的操作的各个步骤。
S101建立连接步骤:在主机上安装客户端(例如,可以命名为 IEG),并且注册到服务器端(例如,可以命名为USM),从而使客户端与服务器端建立连接。
S102建立程序白名单基线步骤:服务器端将程序白名单基线下发至客户端;或者在客户端上进行程序白名单扫描,以将可信的程序和文件加入到白名单中,从而建立程序白名单基线。
S103初步判定步骤:当在主机上要运行可执行程序时,客户端首先进行初步判定,以判断该可执行程序是否位于预先创建的程序白名单基线中。如果该可执行程序位于程序白名单基线中,则允许程序直接运行,否则阻止程序运行。
S104提取步骤:当该可执行程序不在程序白名单基线中且被阻止运行时,在客户端提取该可执行程序的文件特征码、文件的hash值以及文件的原始路径信息,并且通过加密可信传输信道发送至服务器端。
S105比对步骤:服务器端在接收到来自客户端的上述文件特征码、文件的hash值以及文件的原始路径信息之后,将接收到的文件特征码与自身存储的病毒库的信息进行比对,并且将比对结果通过加密可信传输信道返回到客户端。在比对过程中,如果服务器端发现比对结果显示该可执行程序是病毒文件,则在服务器端生成一条主机病毒威胁的告警记录,并将其保存至数据库。
S106程序归类处理步骤:客户端在接收到来自服务器端的比对结果后,将该可执行程序进行归类。具体地,如果比对结果表明该可执行程序是非病毒文件,则客户端将该可执行程序归类为候选白名单程序,并且将其添加到白名单基线待确认列表,以等待用户进行确认。另一方面,如果比对结果表明该可执行程序是病毒文件,则客户端将该可执行程序归类为待确认病毒程序,并且阻止程序运行,同时将该可执行程序的源文件主动移至隔离沙箱中。
S107用户确认处理步骤:客户端基于归类结果提示用户进行确认处理,并且基于用户的确认信息进行相应的操作。具体如下:
i)当可执行程序被归类为候选白名单程序并被添加至白名单基线待确认列表时,用户根据客户端的提示进行确认,以确定是否执行该可执行程序。具体地,当用户选择执行该可执行程序时,客户端将该可执行程序加入到程序白名单基线中。另一方面,当用户选择不执行该可执行程序时,客户端阻止程序运行。
ii)当可执行程序被归类为待确认病毒程序时,用户根据客户端的提示(提示出现病毒)进行确认,以选择是否信任该可执行程序的源文件。具体地,当用户确认该可执行程序文件为病毒文件(或非法程序等)时(即,不信任该可执行程序文件),客户端直接将该可执行程序的源文件用隔离沙箱中永久移除。当用户确认该可执行程序文件为非病毒文件(即,信任该可执行程序文件)时,客户端将该可执行程序的源文件从隔离沙箱中恢复至原始路径,并提示用户选择永久信任还是临时信任该可执行程序文件。具体地,如果用户选择永久信任该可执行程序文件,则将该可执行程序文件加入到程序白名单基线中。另一方面,如果用户选择临时信任该可执行程序文件,则客户端仅放行此次的程序执行。
S108确认信息上传步骤:客户端将在步骤S107中的用户的确认信息上传至服务器端,并且服务器端将在步骤S105中的主机病毒威胁的告警记录置为已处理状态。
利用如上所述的主机保护方法在进行病毒防御时,能够在无需传输病毒文件的情况下,通过服务器的比对、客户端的归类和用户确认处理确定是否执行该可执行程序。从而,不需要在客户端设置杀毒引擎等而不占用客户端的主机。而且,由于无需传输文件而不占用带宽,因此,能够适用于工业现场环境中大范围使用。即,最小化地占用工业现场环境中主机及带宽资源实现病毒防御与主机保护。
此外,在本发明中,由于最终通过用户确认处理来选择是否阻止或放行可执行程序的运行,所以可以尽可能地弥补由于病毒库的原因造成的误杀或漏杀。
此外,在根据本发明的主机保护方法在进行病毒防御时,由于不需要传输病毒文件,因此响应速度快,使得在工业现场环境中能够及时对程序是否执行进行快速判定,提高了适用性和灵活性。
此外,在根据本发明的主机保护方法中,在服务器端的比对结果表明可执行程序是待确认病毒文件时,客户端立即将该可执行程序的源文件转至隔离沙箱,从而以最快的速度防止了可能产生的病毒文件的执行,并且阻止了可能产生的病毒扩散,提高了工业现场环境中的使用安全性能。
此外,在根据本发明的主机保护方法中,可以适用于将多台主机 (安装有客户端)批量部署在工业现场环境中的情况,从而能够阻止病毒在多台主机之间扩散。
本发明的主机保护方法的优势效果不限于前文描述的优势效果,只要采用了本发明的技术方案,则其产生的效果也必然包含在本发明的范围内。
基于前文所述的本发明的主机保护方法,参考图3所示,根据本发明的主机保护保护方法在用于服务器端进行病毒防御时包括以下具体步骤(与前文已经描述的重复的内容将不再进行说明):
步骤S201:与安装在主机上的客户端建立连接。
步骤S202:接收由客户端提取并发送的可执行程序的文件特征码、hash值和原始路径信息,所述可执行程序不在所述客户端的程序白名单基线中。
步骤S203:将文件特征码与存储在该服务器端的病毒库的信息进行比对。
步骤S204:将比对结果发送至客户端,并且当比对结果显示该可执行程序是病毒文件时,在服务器端生成一条主机病毒威胁的告警记录,并将其保存至数据库。
步骤S205:接收来自客户端的用户的确认信息,并将告警记录置为已处理状态。
对应地,参考图4所示,根据本发明的主机保护保护方法在用于客户端进行的病毒防御时包括以下具体步骤(与前文已经描述的重复的内容将不再进行说明):
步骤S301:与服务器端建立连接。
步骤S302:建立程序白名单基线。具体地,客户端接收来自服务器端的程序白名单基线,或者客户端进行程序白名单扫描,以将可信的程序和文件加入到白名单中,从而建立程序白名单基线。
步骤S303:对可执行程序进行初步判定。具体地,客户端首先进行初步判定,以判断要在主机上运行的可执行程序是否位于创建的程序白名单基线中。如果该可执行程序位于程序白名单基线中,则允许程序直接运行,否则阻止程序运行。
步骤S304:提取文件特征码等并发送至服务器端。具体地,当该可执行程序不在程序白名单基线中且被阻止运行时,在客户端提取该可执行程序的文件特征码、文件的hash值以及文件的原始路径信息,并且通过加密可信传输信道发送至服务器端。
步骤S305:接收来自服务器端的将文件特征码与存储在服务器端的病毒库信息的比对结果并对程序归类处理。具体的,客户端接收通过加密可信传输信道返回的由服务器端执行并发送的将文件特征码与存储在服务器端的病毒库信息比对的比对结果,并基于对比结果对可执行程序归类。如果比对结果表明该可执行程序是非病毒文件,则客户端将该可执行程序归类为候选白名单程序,并且将其添加到白名单基线待确认列表,以等待用户进行确认。另一方面,如果比对结果表明该可执行程序是病毒文件,则客户端将该可执行程序归类为待确认病毒程序,并且阻止程序运行,同时将该可执行程序的源文件主动移至隔离沙箱中。
步骤S306:基于归类结果提示用户进行确认处理并基于所述用户的确认信息执行相应操作。
具体地,i)当可执行程序被归类为候选白名单程序并被添加至白名单基线待确认列表时,提示用户是否执行该可执行程序,当用户选择执行该可执行程序时,客户端将该可执行程序加入到程序白名单基线中。另一方面,当用户选择不执行该可执行程序时,客户端阻止程序运行。
ii)当可执行程序被归类为待确认病毒程序时,提示用户是否信任该可执行程序的源文件。基于用户确认该可执行程序文件为病毒文件 (或非法程序等)时(即,不信任该可执行程序文件)的确认信息,客户端直接将该可执行程序的源文件用隔离沙箱中永久移除。基于用户确认该可执行程序文件为非病毒文件(即,信任该可执行程序文件) 的确认信息,客户端将该可执行程序的源文件从隔离沙箱中恢复至原始路径,并继续提示用户选择永久信任还是临时信任该可执行程序文件。具体地,基于用户选择永久信任该可执行程序文件的确认信息,客户端将该可执行程序文件加入到程序白名单基线中。另一方面,基于用户选择临时信任该可执行程序文件的确认信息,客户端仅放行此次的程序执行。
步骤S307:将用户的确认信息上传至服务器。具体地,客户端将在步骤S306中的用户的确认信息上传至服务器端。
以上描述了根据本发明的实施例的主机保护方法在分别用于服务器端和客户端进行病毒防御时的操作。
进一步地,根据本发明的主机保护方法还包括升级病毒库。
下文将参考图5-7描述根据本发明的主机保护方法的升级病毒库过程的具体步骤。
步骤S401:上传步骤
用户通过服务器端提供的操作界面(例如,web页面)进入病毒库升级菜单,在文件系统中选择新病毒库文件并上传至服务器端。其中,文件系统可以位于主机上,也可以位于与主机连接的可移动存储介质中。
步骤S402:初步校验步骤
服务器端初步校验新病毒库文件的文件名称以及格式的合法性,校验通过则开始执行升级过程,否则提示用户重新选择文件。
步骤S403:停止病毒扫描引擎并备份步骤
服务器端停止病毒扫描引擎,并将旧病毒库从可执行目录备份至另一个目录中。并且如果此时存在客户端上传的文件特征码等信息,则服务器端将这些信息存储至数据库临时表中。
步骤S404:加载新病毒库文件步骤
服务器端将用户上传的新病毒库文件移动至病毒扫描引擎的可执行目录,并且启动病毒扫描引擎以加载新病毒库文件。
如果加载失败,则将步骤S403中备份的旧病毒库退回至可执行目录,并重新加载旧病毒库,并提示用户加载失败自动退回。如果加载成功,则提示用户加载成功并将步骤S403中备份的旧病毒库删除。
步骤S405:重新开始病毒防御步骤
利用在步骤S403中的存储至数据库临时表中的信息,重新开始进行病毒防御,即,执行前文所述的步骤S203至S205。
参考图7所示,上述根据本发明的主机保护方法的升级病毒库过程在用于服务器端时包括以下具体步骤(与前文已经描述的重复的内容将不再进行说明):
步骤S501:提供病毒库升级的操作界面(例如,web页面),以使得用户通过客户端进入病毒库升级菜单,并在文件系统中选择新病毒库文件并上传。其中,文件系统可以位于装载有客户端的主机上,也可以位于与主机连接的可移动存储介质中。
步骤S502:服务器端初步校验新病毒库文件的文件名称以及格式的合法性,校验通过则开始执行升级过程,否则提示用户重新选择文件。
步骤S503:服务器端停止病毒扫描引擎,并将旧病毒库从可执行目录备份至另一个目录中。并且如果此时存在客户端上传的文件特征码等信息,则服务器端将这些信息存储至数据库临时表中。
步骤S504:服务器端将用户上传的新病毒库文件移动至病毒扫描引擎的可执行目录,并且启动病毒扫描引擎以加载新病毒库文件。
如果加载失败,则将步骤S503中备份的旧病毒库退回至可执行目录,并重新加载旧病毒库,并提示用户加载失败自动退回。如果加载成功,则提示用户加载成功并将步骤S503中备份的旧病毒库删除。
步骤S505:利用在步骤S503中的存储至数据库临时表中的信息,重新开始进行病毒防御,即,执行前文所述的步骤S105至S108。
参考图8所示,上述根据本发明的主机保护方法的升级病毒库过程在用于客户端时包括以下具体步骤(与前文已经描述的重复的内容将不再进行说明):
步骤S601:在客户端显示由服务器端提供的操作界面(例如,web 页面),从而使用户利用该操作界面进入病毒库升级菜单,以在文件系统中选择新病毒库文件并上传。其中,文件系统可以位于主机上,也可以位于与主机连接的可移动存储介质中。
步骤S602:当服务器校验不通过时,客户端通过操作界面提示用户重新选择文件。
以上参考附图1-8描述了根据本发明的主机保护方法,下文将参考图9描述基于上述主机保护方法的根据本发明的主机保护系统900。
根据本发明的主机保护系统900包括:建立连接模块901、建立程序白名单基线模块902、初步判定模块903、提取模块904、比对模块905、程序归类处理模块906、用户确认处理模块907和确认信息上传模块908。
下面将详细描述主机保护系统900的各个模块。
建立连接模块901:用于在主机上安装客户端(例如,可以命名为IEG),并且注册到服务器端(例如,可以命名为USM),从而使客户端与服务器端建立连接。
建立程序白名单基线模块902:用于使服务器端将程序白名单基线下发至客户端;或者用于在客户端上进行程序白名单扫描,以将可信的程序和文件加入到白名单中,从而建立程序白名单基线。
初步判定模块903:当在主机上要运行可执行程序时,该初步判定模块903首先在客户端进行初步判定,以判断该可执行程序是否位于预先创建的程序白名单基线中。如果该可执行程序位于程序白名单基线中,则该初步判定模块903允许程序直接运行,否则阻止程序运行。
提取模块904:当该可执行程序不在程序白名单基线中且被阻止运行时,提取模块904在客户端提取该可执行程序的文件特征码、文件的hash值以及文件的原始路径信息,并且通过加密可信传输信道发送至服务器端。
比对模块905:用于在服务器端接收到来自客户端的上述文件特征码、文件的hash值以及文件的原始路径信息,而后将接收到的文件特征码与存储在服务器端的病毒库的信息进行比对,并且将比对结果通过加密可信传输信道返回到客户端。
程序归类处理模块906:用于在客户端接收到来自服务器端的比对结果,而后将该可执行程序进行归类。具体地,如果比对结果表明该可执行程序是非病毒文件,则程序归类处理模块906将该可执行程序归类为候选白名单程序,并且将其添加到白名单基线待确认列表,以等待用户进行确认。另一方面,如果比对结果表明该可执行程序是病毒文件,则程序归类处理模块906将该可执行程序归类为待确认病毒程序,并且阻止程序运行,同时将该可执行程序的源文件主动移至隔离沙箱中,提示用户出现病毒,并等待用户确认。
用户确认处理模块907:其用于在客户端基于归类结果提示用户进行确认处理,并基于所述用户的确认信息进行相应操作,具体如下:
i)当可执行程序被归类为候选白名单程序并被添加至白名单基线待确认列表时,用户确认处理模块907用于使用户根据客户端的提示进行确认,以确定是否执行该可执行程序。具体地,当用户选择执行该可执行程序时,用户确认处理模块907在客户端将该可执行程序加入到程序白名单基线中。另一方面,当用户选择不执行该可执行程序时,阻止程序运行。
ii)当可执行程序被归类为待确认病毒程序时,用户确认处理模块 907用于使用户根据客户端的提示(提示出现病毒)进行确认,以确认是否信任该可执行程序的源文件。具体地,当用户确认该可执行程序文件为病毒文件(或非法程序等)时(即,不信任该可执行程序文件),用户确认处理模块907在客户端直接将该可执行程序的源文件用隔离沙箱中永久移除。当用户确认该可执行程序文件为非病毒文件(即,信任该可执行程序文件)时,用户确认处理模块907在客户端将该可执行程序的源文件从隔离沙箱中恢复至原始路径,并提示用户选择永久信任还是临时信任该可执行程序文件。具体地,如果用户选择永久信任该可执行程序文件,则用户确认处理模块907将该可执行程序文件加入到程序白名单基线中。另一方面,如果用户选择临时信任该可执行程序文件,则用户确认处理模块907仅放行此次的程序执行。
确认信息上传模块908:用于在客户端处将用户确认处理模块907 获得的用户的确认信息上传至服务器端。
此外,主机保护系统900还包括病毒库升级模块909,该病毒库升级模块具体地包括上传单元9091、初步校验单元9092、停止病毒扫描与备份单元9093、加载新病毒库文件单元9094和重新开始病毒防御单元9095。
具体地,上传单元9091用于使得用户通过服务器端提供的操作界面(例如,web页面)进入病毒库升级菜单,在文件系统中选择新病毒库文件并上传至服务器端。其中,文件系统可以位于主机上,也可以位于与主机连接的可移动存储介质中。
初步校验单元9092用于在服务器端初步校验新病毒库文件的文件名称以及格式的合法性,校验通过则开始执行升级过程,否则提示用户重新选择文件。
停止病毒扫描与备份单元9093用于在服务器端停止病毒扫描引擎,并将旧病毒库备份至另一个目录中。如果此时存在客户端上传的文件特征码等信息,则停止病毒扫描与备份单元9093在服务器端将这些信息存储至数据库临时表中。
加载新病毒库文件单元9094用于在服务器端将用户上传的新病毒库文件移动至病毒扫描引擎的可执行目录,并且启动病毒扫描引擎以加载新病毒库文件。并且,如果加载失败,则加载新病毒库文件单元9094将由停止病毒扫描与备份单元9093备份的旧病毒库退回至可执行目录,并重新加载旧病毒库,并提示用户加载失败自动退回。如果加载成功,则提示用户加载成功并将由停止病毒扫描与备份单元 9093备份的旧病毒库删除。
重新开始病毒防御单元9095用于利用存储至数据库临时表中的信息,重新开始进行病毒防御。
另外,本发明的实施例还提供了一种服务器,该服务器包括一个或多个处理器1001以及存储器1002,图10中以一个处理器1001为例。
服务器还可以包括:输入装置1003和输出装置1004。
处理器1001、存储器1002、输入装置1003和输出装置1004可以通过总线或者其他方式连接,图10中以通过总线连接为例。
处理器1001可以为中央处理器(Central Processing Unit,CPU)。处理器101还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit, ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器1002作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本申请实施例中的主机保护方法对应的程序指令/模块。处理器1001通过运行存储在存储器1002中的非暂态软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的主机保护方法。
存储器1002可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据用户终端操作的处理装置的使用所创建的数据等。此外,存储器1002可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器1002可选包括相对于处理器1001远程设置的存储器,这些远程存储器可以通过网络连接至图像检测、处理装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置1003可接收输入的数字或字符信息,以及产生与客户端的处理装置的用户设置以及功能控制有关的键信号输入。输出装置 1004可包括显示屏等显示设备。
一个或者多个模块存储在存储器1002中,当被一个或者多个处理器1001执行时,执行如图3和7所示的方法。
本发明实施例还提供了一种主机,该主机包括一个或多个处理器 1101以及存储器1102,图11中以一个处理器1101为例。
主机还可以包括:输入装置1103和输出装置1104。
处理器1101、存储器1102、输入装置1103和输出装置1104可以通过总线或者其他方式连接,图11中以通过总线连接为例。
处理器1101可以为中央处理器(Central Processing Unit,CPU)。处理器1101还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit, ASIC)、现场可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器1102作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本申请实施例中的主机保护方法对应的程序指令/模块。处理器1101通过运行存储在存储器1102中的非暂态软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的主机保护方法。
存储器1102可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据用户终端操作的处理装置的使用所创建的数据等。此外,存储器1102可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器1102可选包括相对于处理器1101远程设置的存储器,这些远程存储器可以通过网络连接至图像检测、处理装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置1103可接收输入的数字或字符信息,以及产生与客户端的处理装置的用户设置以及功能控制有关的键信号输入。输出装置 1104可包括显示屏等显示设备。
一个或者多个模块存储在存储器1102中,当被一个或者多个处理器1101执行时,执行如图4和8所示的方法。
本发明实施例还提供了一种工控系统,包括:如上述任意实施方式中所述的服务器;以及至少一个如上述任意实施方式中所述的主机,服务器与所述至少一个主机通过交互而执行的处理如图2和6的主机保护方法中的各步骤所述。
利用前文所述的主机保护方法及系统,能够在无需传输病毒文件的情况下,通过服务器的比对、客户端的归类和用户确认处理确定是否执行该可执行程序。从而,不需要在客户端设置杀毒引擎等而不占用客户端的主机。而且,由于在病毒防御时无需传输文件而不占用带宽,因此,能够适用于工业现场环境中大范围使用。即,最小化地占用工业现场环境中主机及带宽资源实现病毒防御与主机保护。
此外,在本发明中,由于最终通过用户确认处理来选择是否阻止或放行可执行程序的运行,所以可以尽可能地弥补由于病毒库的原因造成的误杀或漏杀。
此外,在根据本发明的主机保护方法和系统中,由于在病毒防御时不需要传输病毒文件,因此响应速度快,使得在工业现场环境中能够及时对程序是否执行进行快速判定,提高了适用性和灵活性。
此外,在根据本发明的主机保护方法和系统中,在服务器端的比对结果表明可执行程序是待确认病毒文件时,客户端立即将该可执行程序的源文件转至隔离沙箱,从而以最快的速度防止了可能产生的病毒文件的执行,并且阻止了可能产生的病毒扩散,提高了工业现场环境中的使用安全性能。
此外,在根据本发明的主机保护方法和系统中,可以适用于将多台主机(安装有客户端)批量部署在工业现场环境中的情况,从而能够阻止病毒在多台主机之间扩散。
以上所述仅为本申请的实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。

Claims (21)

1.一种主机保护方法,其特征在于,所述主机保护方法包括:
初步判定步骤,对待执行的可执行程序进行初步判定,以判断所述可执行程序是否位于预先创建的程序白名单基线中;
提取步骤,当所述可执行程序不在所述程序白名单基线中时,提取所述可执行程序的文件特征码、文件的hash值和文件的原始路径信息;
比对步骤,将所述文件特征码与预先存储的病毒库的信息进行比对;
程序归类处理步骤,基于比对结果将所述可执行程序归类;以及
用户确认处理步骤,基于归类结果提示用户进行确认处理,并基于所述用户的确认信息执行相应操作。
2.根据权利要求1所述的主机保护方法,其中
在所述程序归类处理步骤中,当所述比对结果表明所述可执行程序为非病毒文件时,将所述可执行程序归类为候选白名单程序,并且将所述可执行程序添加到白名单基线待确认列表;并且
当所述比对结果表明所述可执行程序为病毒文件时,将所述可执行程序归类为待确认病毒程序,并且阻止所述可执行程序的运行,同时将所述可执行程序的源文件主动移至隔离沙箱中。
3.根据权利要求2所述的主机保护方法,其中,
在所述用户确认处理步骤中,当所述可执行程序被归类为所述候选白名单程序时,提示用户确认是否执行所述可执行程序。
4.根据权利要求2所述的主机保护方法,其中,
在所述用户确认处理步骤中,当所述可执行程序被归类为所述待确认病毒程序时,提示用户选择是否信任所述可执行程序。
5.根据权利要求4所述的主机保护方法,其中,
当用户选择不信任所述可执行程序时,直接将所述可执行程序的所述源文件从所述隔离沙箱永久删除;并且
当用户选择信任所述可执行程序时,将所述可执行程序恢复至原始路径,并提示用户选择永久信任还是暂时信任所述可执行程序。
6.根据权利要求1至5的任意一项所述的主机保护方法,其中,
当所述比对结果表明所述可执行程序为病毒文件时,生成告警记录,并且
当获得用户的所述确认信息之后,将所述告警记录置为已处理状态。
7.根据权利要求1至6的任意一项所述的主机保护方法,其中,所述主机保护方法还包括升级所述病毒库,其中,升级所述病毒库包括:
用户通过操作界面选择新病毒库文件并上传;
初步校验所述新病毒库文件的文件名称以及格式的合法性;
停止病毒扫描引擎,并将旧病毒库从可执行目录备份至另一目录;以及
利用所述病毒扫描引擎加载用户上传的所述新病毒库文件。
8.根据权利要求7所述的主机保护方法,其中,
所述新病毒库文件存储在所述主机中或者存储在与所述主机连接的移动存储介质中。
9.一种主机保护方法,用于服务器端,其特征在于,所述主机保护方法包括:
接收由客户端提取并发送的可执行程序的文件特征码、hash值和原始路径信息,所述可执行程序不在所述客户端的程序白名单基线中;
将所述文件特征码与存储于所述服务器端的病毒库的信息进行比对,并将比对结果发送至所述客户端;以及
接收来自所述客户端的用户的确认信息。
10.根据权利要求9所述的主机保护方法,其中
当所述比对结果表明所述可执行程序为病毒文件时,所述服务器端生成告警记录,并且
当所述服务器端接收到用户的所述确认信息之后,将所述告警记录置为已处理状态。
11.根据权利要求9或10所述的主机保护方法,其中,所述主机保护方法还包括升级所述病毒库,其中,升级所述病毒库包括:
创建用于升级所述病毒库的操作界面以使得用户通过所述客户端选择新病毒库文件并上传;
初步校验所述新病毒库文件的文件名称以及格式的合法性;
停止病毒扫描引擎,并将旧病毒库从可执行目录备份至另一目录;以及
利用所述病毒扫描引擎加载由所述客户端上传的所述新病毒库文件。
12.根据权利要求11所述的主机保护方法,其中,
所述新病毒库文件存储在装载有所述客户端的主机中或者存储在与所述主机连接的移动存储介质中。
13.一种主机保护方法,用于客户端,其特征在于,所述主机保护方法包括:
对待执行的可执行程序进行初步判定,以判断所述可执行程序是否位于预先创建的程序白名单基线中;
当所述可执行程序不在所述程序白名单基线中时,将所述可执行程序的文件特征码、文件的hash值和文件的原始路径信息提取并发送至服务器端;
接收由所述服务器端执行并发送的将所述文件特征码与存储于所述服务器端的病毒库信息比对的比对结果,并基于所述比对结果将所述可执行程序归类;
基于归类结果提示用户进行确认处理并基于所述用户的确认信息进行相应操作;以及
将用户的所述确认信息发送至所述服务器端。
14.根据权利要求13所述的主机保护方法,其中,
当所述比对结果表明所述可执行程序为非病毒文件时,所述客户端将所述可执行程序归类为候选白名单程序,并且将所述可执行程序添加到白名单基线待确认列表;并且
当所述比对结果表明所述可执行程序为病毒文件时,所述客户端将所述可执行程序归类为待确认病毒程序,并且阻止所述可执行程序的运行,同时将所述可执行程序的源文件主动移至隔离沙箱中。
15.根据权利要求14所述的主机保护方法,其中,
当所述可执行程序被归类为所述候选白名单程序时,所述客户端提示用户确认是否执行所述可执行程序。
16.根据权利要求14所述的主机保护方法,其中,
当所述可执行程序被归类为所述待确认病毒程序时,所述客户端提示用户选择是否信任所述可执行程序。
17.根据权利要求16所述的主机保护方法,其中,
当用户选择不信任所述可执行程序时,所述客户端直接将所述可执行程序的所述源文件从所述隔离沙箱永久删除;
当用户选择信任所述可执行程序时,所述客户端将所述可执行程序恢复至原始路径,并提示用户选择永久信任还是暂时信任所述可执行程序。
18.一种主机保护系统,其特征在于,所述主机保护系统包括:
初步判定模块,该初步判定模块用于对待执行的可执行程序进行初步判定,以判断所述可执行程序是否位于预先创建的程序白名单基线中;
提取模块,该提取模块用于当所述可执行程序不在所述程序白名单基线中时,提取所述可执行程序的文件特征码、文件的hash值和文件的原始路径信息;
比对模块,该比对模块用于将所述文件特征码与预先存储的病毒库的信息进行比对;
程序归类处理模块,该程序归类模块用于基于比对结果将所述可执行程序归类;
用户确认处理模块,该用户确认处理模块用于基于归类结果提示用户进行确认处理,并基于所述用户的确认信息执行相应操作。
19.一种服务器,其特征在于,包括:
至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中
所述存储器存储有能够被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行如权利要求9-12的任意一项所述的主机保护方法。
20.一种主机,其特征在于,包括:
至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有能够被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行如权利要求13-17的任意一项所述的主机保护方法。
21.一种主机保护系统,其特征在于,包括:
如权利要求19所述的服务器;和
至少一个如权利要求20所述的主机。
CN202010705603.7A 2020-07-21 2020-07-21 工业环境中基于白名单与文件特征码的主机保护方法及系统 Pending CN111931178A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010705603.7A CN111931178A (zh) 2020-07-21 2020-07-21 工业环境中基于白名单与文件特征码的主机保护方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010705603.7A CN111931178A (zh) 2020-07-21 2020-07-21 工业环境中基于白名单与文件特征码的主机保护方法及系统

Publications (1)

Publication Number Publication Date
CN111931178A true CN111931178A (zh) 2020-11-13

Family

ID=73314191

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010705603.7A Pending CN111931178A (zh) 2020-07-21 2020-07-21 工业环境中基于白名单与文件特征码的主机保护方法及系统

Country Status (1)

Country Link
CN (1) CN111931178A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007118421A1 (fr) * 2006-04-14 2007-10-25 Beijing Rising International Software Co., Ltd Système et procédé de détection de virus
CN110188543A (zh) * 2019-05-21 2019-08-30 北京威努特技术有限公司 白名单库、白名单程序库更新方法及工控系统
CN111191270A (zh) * 2019-10-09 2020-05-22 浙江中控技术股份有限公司 一种基于白名单防护的敏感文件访问控制方法
CN111400712A (zh) * 2020-03-17 2020-07-10 深信服科技股份有限公司 文件的病毒查杀方法、设备、装置以及计算机存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007118421A1 (fr) * 2006-04-14 2007-10-25 Beijing Rising International Software Co., Ltd Système et procédé de détection de virus
CN110188543A (zh) * 2019-05-21 2019-08-30 北京威努特技术有限公司 白名单库、白名单程序库更新方法及工控系统
CN111191270A (zh) * 2019-10-09 2020-05-22 浙江中控技术股份有限公司 一种基于白名单防护的敏感文件访问控制方法
CN111400712A (zh) * 2020-03-17 2020-07-10 深信服科技股份有限公司 文件的病毒查杀方法、设备、装置以及计算机存储介质

Similar Documents

Publication Publication Date Title
CN109583193B (zh) 目标攻击的云检测、调查以及消除的系统和方法
RU2406139C2 (ru) Развертывание и получение программного обеспечения по сети, чувствительной к злонамеренному обмену данными
CN112702300B (zh) 一种安全漏洞的防御方法和设备
US9973531B1 (en) Shellcode detection
US7475427B2 (en) Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network
US9436820B1 (en) Controlling access to resources in a network
US8943597B2 (en) Systems and methods for updating content detection devices and systems
US7751809B2 (en) Method and system for automatically configuring access control
EP1288767B1 (en) Updating computer files
AU2019246773B2 (en) Systems and methods of risk based rules for application control
US7886065B1 (en) Detecting reboot events to enable NAC reassessment
US7480683B2 (en) System and method for heuristic analysis to identify pestware
US9015829B2 (en) Preventing and responding to disabling of malware protection software
CN110691083B (zh) 一种基于进程的外联阻断方法
US20140201843A1 (en) Systems and methods for identifying and reporting application and file vulnerabilities
US9332029B1 (en) System and method for malware detection in a distributed network of computer nodes
US20060074896A1 (en) System and method for pestware detection and removal
CN111212070B (zh) 风险监控方法、装置、计算设备以及介质
CN114928564A (zh) 安全组件的功能验证方法及装置
CN105791221B (zh) 规则下发方法及装置
CN111931178A (zh) 工业环境中基于白名单与文件特征码的主机保护方法及系统
CN109145599B (zh) 恶意病毒的防护方法
US20130247191A1 (en) System, method, and computer program product for performing a remedial action with respect to a first device utilizing a second device
CN114861168A (zh) 一种防逃逸的攻击行为欺骗蜜罐构建方法
US11126722B1 (en) Replacement of e-mail attachment with URL

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination