CN115580448A - 工控网络恶意代码检测方法、系统、设备及存储介质 - Google Patents
工控网络恶意代码检测方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN115580448A CN115580448A CN202211163758.8A CN202211163758A CN115580448A CN 115580448 A CN115580448 A CN 115580448A CN 202211163758 A CN202211163758 A CN 202211163758A CN 115580448 A CN115580448 A CN 115580448A
- Authority
- CN
- China
- Prior art keywords
- file
- side platform
- suspicious
- detection
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种工控网络恶意代码检测方法、系统、设备及存储介质,包括边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测;边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件筛选标记可疑文件,并将可疑文件发送至中心侧平台;中心侧平台接收并存储由边缘侧平台上报的可疑文件,基于沙箱检测可疑文件的安全性,于沙箱检测结果库记录检测结果;中心侧平台基于沙箱检测集群以及威胁情报库的检测结果分析异常行为,并发送安全事件至边缘侧平台;通过融合静态特征和动态沙箱检测技术提升恶意代码检出率,优化文件传输降低带宽压力,集约化提升资源利用率,降低计算成本。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种工控网络恶意代码检测方法、系统及计算机设备。
背景技术
目前,随着新技术不断革新,工业互联网的应用也大幅提升,工业互联网安全问题也逐渐凸显。尤其是在面对计算机网络和工业控制系统的攻击行为越来越高级且不断演化的情况下,其中病毒传播与破坏是工控网络的主要威胁之一,近年来勒索病毒肆虐,给受害者企业带来巨大损失。同时,有组织的黑客攻击事件频发,高级持续威胁的恶意软件隐蔽能力强,通常采用加密加壳等方式逃避特征检测,可轻易地贯通目标网络感染受害主机。
当前,对工控网络场景相关的恶意代码检测技术方案主要包括EDR(EndpointDetection&Response,端点检测与响应)为代表的终端病毒检测技术,可发现基于已知特征检测的病毒威胁和基于非正常行为检测的未知威胁;二是防病毒网关技术,一般以网络设备方式保护网络进出数据的安全,可对HTTP、FTP、SMTP、IMAP等协议的数据进行文件还原和并以静态特征检测为主进行病毒扫描;三是沙箱(Sandbox)检测技术,为运行程序提供的虚拟化或仿真的系统环境,在隔离条件下检测恶意代码,可基于行为检测未知的威胁;四是云查杀技术,主要基于大数据引擎技术、人工智能扫描技术、基因检测技术等对代码行为进行检测,通过网络将文件传输到云端服务器进行自动分析、处理并将结果返回到客户端。
但是这些检测方法,对于EDR(端点检测与响应)技术,在封闭的工控网络内,EDR(端点检测与响应)的恶意代码检测特征库升级较慢,彼此隔离的网络环境导致检测结果无法共享。防病毒网关主要采用静态特征检测方式,对高隐蔽恶意代码检测能力不足,APT等恶意代码可通过加壳加密等手段规避检测;对于沙箱(Sandbox)检测技术,在每个工控网络部署动态沙箱成本非常高,维护困难,且由于工控生产网文件传输场景少,沙箱负载不高,计算资源容易浪费;而对于采用传统云查杀模式,则面临各监测设备禁止连接互联网问题,以及通信专线带宽窄(通常为5Mbps)承载文件传输性能差等问题。
发明内容
基于此,本申请提供了一种工控网络恶意代码检测方法、系统及计算机设备,以达到通过融合静态特征和动态沙箱检测技术提升恶意代码检出率,优化文件传输降低带宽压力,集约化提升资源利用率,降低计算成本的效果。
第一方面,本申请提供了一种工控网络恶意代码检测方法,该方法包括:边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测;所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台;所述中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测集群以及威胁情报库检测所述可疑文件的安全性,并于沙箱检测结果库记录检测结果;所述中心侧平台基于沙箱检测集群以及威胁情报库的检测结果分析异常行为,并发送安全事件至所述边缘侧平台及其他安全平台。
可选的是,所述边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测,包括:所述边缘侧平台将待检测文件发送至病毒检测模块,所述病毒检测模块基于静态特征检测恶意代码,并计算待检测文件的哈希值Hash_n,保存检测结果至文件信息库;所述边缘侧平台向所述中心侧平台上报有恶意代码的文件信息。
可选的是,所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台,包括:获取所述可疑文件的文件类型,对上报的所述可疑文件按类型基于预设的文件优先级表格确立所述可疑文件发送优先级FP,对应数值越大,优先级越高;获取所述可疑文件的端口风险度,评估所述可疑文件传输涉及的端口服务的风险PR,若采用协议标准端口则PR为0,否则PR大于0;获取所述可疑文件的安全事件发生风险值,检查所述可疑文件传输涉及的IP地址是否近期存在已发生的安全事件,设其关联风险为CR,若当近期有发生的事件,基于当前时间与上一事件发生时间之间间隔,计算CR;获取所述可疑文件的待发送数据量c,检查待发送数据量c,基于待发送数据量c,计算所述可疑文件检测阈值DT;依据所述可疑文件生成时间顺序,将分析计算得到的所述可疑文件的所述文件类型对应的优先级FP、所述端口风险度、所述安全事件发生风险值相加并减去所述待发送数据量得到的数设为发送值;若所述发送值大于0,则发送所述可疑文件至中心侧平台,否则,忽略该所述可疑文件。
可选的是,所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台还包括:所述边缘侧平台采用动态策略筛选出所述可疑文件并以哈希值命名为File_n,从文件信息库中查询是否存在已发送的文件的哈希值与所述可疑文件的哈希值Hash_n相等;若不存在相等的哈希值,则先发送所述可疑文件的本体文件File_n内容至所述中心侧平台,并在所述文件信息库中添加一条File_n相关的记录,并设置记录生存时间TTL;若存在相等的哈希值,即检索到历史发送文件File_o的哈希值等于Hash_n,则只发送File_o基本信息和File_n基本信息至所述中心侧平台,然后更新File_o对应记录的生存时间TTL。
可选的是,所述中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测所述可疑文件的安全性,并于沙箱检测结果库记录检测结果,包括:所述中心侧平台接收所述边缘侧平台发送的所述可疑文件信息,以哈希值为文件命名,并查询文件对象存储库中的历史文件是否有与所述可疑文件信息的文件名相等的文件;若没有,则接收所述可疑文件的文件信息包含的本体文件,并以哈希值为文件名把本体文件存入文件对象存储库中;若有,则不对所述可疑文件做入库处理。
可选的是,所述中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测所述可疑文件的安全性,并于沙箱检测结果库记录检测结果,还包括:接收待检测文件信息,并基于以哈希值命名的文件,查询沙箱检测结果库;若不存在历史记录,则调用闲置沙箱结合威胁情报库开展检测,并将检测结果记录至沙箱检测结果库,设置该记录的生存时间TTL;若存在历史记录,则直接引用历史记录的检测结果。
可选的是,所述中心侧平台基于沙箱检测集群以及威胁情报库的检测结果分析异常行为,发送安全事件至所述边缘侧平台及其他安全组件,包括:所述中心侧平台基于沙箱检测集群以及威胁情报库的检测结果,根据大数据统计分析异常传播的文件,记录安全事件,并发送安全事件至所述边缘侧平台及其它安全平台。
第二方面,本申请提供了一种工控网络恶意代码检测系统,该系统包括:边缘侧静态检测模块:用于边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测;边缘侧动态检测模块:用于所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台;中心侧检测模块:用于中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测集群以及威胁情报库检测所述可疑文件的安全性,并于沙箱检测结果库记录检测结果;中心侧反馈模块:用于所述中心侧平台基于沙箱检测集群以及威胁情报库的检测结果分析异常行为,并发送安全事件至所述边缘侧平台及其他安全平台。
第三方面,本申请还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述所述方法的步骤。
第四方面,本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述所述方法的步骤。
本申请至少具有以下优点:
根据本申请实施例所提供的技术内容,首先主要是通过边缘侧平台接收从本地流量还原的文件以及终端安全系统提交的文件通过病毒检测模块进行静态检测,将检测出的可疑文件上报至中心侧平台。并且边缘侧平台还结合动态检测策略对上报文件进行多维度检测,更全面具体筛选出可疑文件,将可疑文件上传至中心侧平台。其中在上传之前,还可根据哈希值查询是否有历史文件,从而降低专线传送文件通信,节约通信资源。然后中心侧平台的通信模块接收边缘侧平台发送的可疑文件,通过与文件对象存储库进行查询比对,查找是否有相同的可疑文件,若有相同文件,则不需再检测,直接查询历史结果,减少检测压力。
沙箱检测集群接收通信模块发送的待检测文件信息,基于文件哈希值查询沙箱检测结果库,如果不存在历史记录,则调用闲置沙箱结合威胁情报库开展检测,并将检测结果记录至沙箱检测结果库,设置该记录的生存时间TTL;如果存在历史记录,则直接引用历史记录的检测结果。中心侧平台通过文件哈希值检索和引用近期检测结果以减少沙箱计算压力。威胁分析模块接收沙箱检测集群结合威胁情报库检测的检测结果,基于大数据统计分析异常传播的文件,于安全事件库记录安全事件,并发送安全事件至边缘侧平台及其它安全平台,从而实现边缘侧平台和中心侧平台协同开展恶意代码检测。
附图说明
图1为一个实施例中显示工控网络恶意代码检测方法的应用环境图;
图2为一个实施例中显示工控网络恶意代码检测方法的流程示意图;
图3为一个实施例中显示工控网络恶意代码检测方法的流程框图;
图4为一个实施例中显示步骤201的流程示意图;
图5为一个实施例中显示步骤203的流程示意图;
图6为一个实施例中显示计算机设备的示意性结构图。
具体实施方式
以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
为了方便理解,首先对本申请所适用的系统进行描述。本申请提供的一种工控网络恶意代码检测方法,可以应用于如图1所示的系统架构中。该系统包括:用户空间文件服务器103和终端设备101,终端设备101通过网络与用户空间文件服务器103通过网络进行通信。其中,用户空间文件服务器103可以是一个基于NFSv3\v4协议的文件服务器,运行在Linux坏境下,而NFS(网络文件系统)是文件系统之上的一个网络抽象,可允许运行于终端设备101的远程客户端以与本地文件系统相类似的方式,通过网络进行访问。终端设备101可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑等,用户空间文件服务器103可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
图2为本申请实施例提供的一种工控网络恶意代码检测方法的流程示意图,该方法可以由如图1所示系统中的用户空间文件服务器执行。如图2、图3所示,该方法可以包括以下步骤:
步骤201:边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测;
在本实施例中,需要说明的是,基于工控网络恶意代码检测系统按功能分为边缘侧平台和中心侧平台,其中边缘侧平台部署于各工控网络本地,例如电力场站的生产大区或管理大区。其中边缘侧平台包括文件还原模块与日志采集模块。
在需要检测文件之前,边缘侧平台首先接收来自流量采集设备采集的网络流量数据,再通过文件还原模块从流量中分析HTTP、FTP、SMTP、IMAP等协议,提取还原相关文件信息。日志采集模块接收来自各主机或终端上EDR(Endpoint Detection and Response)系统上报的日志,提取需进一步检测的文件,以便进行静态安全检测。EDR系统是终端检测与响应,EDR工具通过记录大量终端与网络事件,并将这些数据存储在终端本地或者集云端数据库中,对这些数据进行IOC比对,行为分析和机器学习,用以持续对这些数据进行分析,识别威胁,并快速进行响应。
边缘侧平台还包括病毒检测模块,将还原的文件以及日志采集模块上报的文件至病毒检测模块来进行静态安全检测。
步骤203:边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台。
在本实施例中,需要说明的是,边缘侧平台基于获取到的文件类型、端口风险度、安全事件发生风险值、待发送数据量等进行多维度评估,将获取到的文件通过以上维度根据特定算法进行分析评估,从而动态筛选出可疑文件。
参照图2、图3所示,步骤205:中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测所述可疑文件的安全性,并于沙箱检测结果库记录检测结果;
在本实施例中,需要说明的是,基于工控网络恶意代码检测系统按功能分为边缘侧平台和中心侧平台,中心侧平台集中部署于远程中心。中心侧平台与边缘侧平台均包括通信模块,通过通信模块使得中心侧平台与边缘侧平台通过专线实现相互通信。中心侧平台还包括沙箱检测集群和沙箱检测结果库,沙箱检测集群用于对边缘侧平台发送的可疑文件进行安全检测,并将检测结果保存于沙箱检测结果库。其中,沙箱(Sandboxie)又叫沙箱、沙盘,即是一个虚拟系统程序,在计算机安全领域中是一种安全机制,为运行中的程序提供的隔离环境。在网络安全中,沙箱指在隔离环境中,用以测试不受信任的、具破坏力的或无法判定程序意图的程序行为的工具。
步骤207:中心侧平台基于沙箱检测集群以及威胁情报库的检测结果分析异常行为,并发送安全事件至所述边缘侧平台及其他安全平台;
在本实施例中,需要说明的是,中心侧平台还包括威胁情报库,中心侧平台通过沙箱检测集群并结合威胁情报库对可疑文件检测。威胁情报库是一种基于数据的,对组织即将面临的攻击进行预测的行动。通过沙箱检测集群与威胁情报库相结合,对可疑文件进行安全检测,从而可更加全面安全的实现检测。在检测后得到安全事件,进而将安全事件发送至对应的边缘侧平台或其他安全平台。
参照图2、图4所示,在一些实施例中,在步骤201,边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测具体包括:
步骤2011:边缘侧平台将待检测文件发送至病毒检测模块,病毒检测模块基于静态特征检测恶意代码,并计算待检测文件的哈希值Hash_n,保存检测结果至文件信息库;
步骤2012:边缘侧平台向中心侧平台上报有恶意代码的文件信息。
在本实施例中,需要说明的是,静态特征检测是指基于内容静态分析恶意代码检测技术,这里首先对待检测文件检测是否有特征码以便判断其是否有恶意代码的文件信息。在静态检测的同时,还需要检测文件的哈希值Hash_n,保存检测结果至文件信息库,并将检测出的有恶意代码的文件信息上传至中心侧平台。其中将检测结果保存至文件信息库,从而构建比对库,为之后再接收到相同文件可直接用保存的历史文件,从而降低通信压力。
参照图2、图5所示,在一些实施例中,在步骤203,边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台,具体包括:
步骤2031:获取可疑文件的文件类型,对上报的所述可疑文件按类型基于预设的文件优先级表格确立所述可疑文件发送优先级FP,对应数值越大,优先级越高;
步骤2032:获取所述可疑文件的端口风险度,评估所述可疑文件传输涉及的端口服务的风险PR,若采用协议标准端口则PR为0,否则PR大于0;
步骤2033:获取所述可疑文件的安全事件发生风险值,检查所述可疑文件传输涉及的IP地址是否近期存在已发生的安全事件,设其关联风险为CR,若当近期有发生的事件,基于当前时间与上一事件发生时间之间间隔,计算CR;
步骤2034:获取所述可疑文件的待发送数据量c,检查待发送数据量c,基于待发送数据量c,计算所述可疑文件检测阈值DT;
步骤2035:依据所述可疑文件生成时间顺序,将分析计算得到的所述可疑文件的所述文件类型对应的优先级FP、所述端口风险度、所述安全事件发生风险值相加并减去所述待发送数据量得到的数设为发送值。
在本实施例中,需要说明的是,获取可疑文件的文件类型,对上报的可疑文件按类型基于预设的文件优先级表格确立可疑文件发送优先级FP。举例说明预设的文件优先级表格包括文件类型以及不同文件类型对应的不同优先级FP,这里文件类型可以有Bin可执行文件、动态库、脚本、Word、PPT、PDF、Zip、其它,分别对应的优先级FP是9.0、8.5、9.0、8.0、7.0、7.0、7.5、4.0。
获取可疑文件的端口风险度,评估可疑文件传输涉及的端口服务的风险PR,具体通过协议标准端口与非标准端口做区分,其中采用协议标准端口则PR为0,否则PR大于0。
获取可疑文件的安全事件发生风险值,设其关联风险为CR,若当近期有发生的事件,基于当前时间与上一事件发生时间之间间隔,计算CR。具体计算公式是CR(t)=CR0×e-αt,其中,t表示当前与上一事件发生时间之间隔(秒),若a是指数衰减常数,CR0表示上一事件发生时刻的风险值。
获取可疑文件的待发送数据量c,检查待发送数据量c,基于待发送数据量c,计算可疑文件检测阈值DT。具体的,检查待发送数据量c,计算判断文件是否可发送的检测阈值DT(Detection Threshold),当待发送数据量c小于或等于缓冲容量b时,DT为基本阈值DT0;当c大于b时,DT计算公式为DT(c)=DT0+W×(1-e-α(c-b)),其中,数据量单位为MB,a表示衰减常数,W表示DT浮动最大值。
依据可疑文件生成时间顺序,将分析计算得到的可疑文件的文件类型对应的优先级FP、端口风险度、安全事件发生风险值相加并减去待发送数据量得到的数设为发送值。具体的公式为R=FP+PR+CR-DT,其中,FP表示文件类型对应的优先级,PR表示对应服务端口风险值,CR表示对应IP地址关联风险即安全事件发生风险值,DT表示检测阈值。通过计算公式计算得出R,当R大于0时,发送该文件至中心侧平台,否则则忽略该文件。
通过获取待检测文件的文件类型、端口风险度、安全事件发生风险值、待发送数据量多维度形成动态策略,来确定是否将可疑文件上传至中心侧平台,从而更加全面尽可能的对文件进行筛选检查,保证检测的准确度。
参照图2、图3所示,在一些实施例中,步骤203,边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台还包括:
边缘侧平台采用动态策略筛选出可疑文件并以哈希值命名为File_n,从文件信息库中查询是否存在已发送的文件的哈希值与可疑文件的哈希值Hash_n相等;
若不存在相等的哈希值,则先发送可疑文件的本体文件File_n内容至中心侧平台,并在文件信息库中添加一条File_n相关的记录,并设置记录生存时间TTL;
若存在相等的哈希值,即检索到历史发送文件File_o的哈希值等于Hash_n,则只发送File_o基本信息和File_n基本信息至中心侧平台,然后更新File_o对应记录的生存时间TTL。
在本实施例中,需要说明的是,通过将筛选出来的可疑文件用哈希值命名,从而统一命名规则,便于记录管理可疑文件,在新筛选出可疑文件后并以哈希值命名,在对比文件信息库查找是否有相同的文件名称,若不存在相同的文件名,说明第一次接收检测此文件,则将其记录在文件信息库中,更新文件信息库并将其发送至中心侧平台。若有相同文件名,则说明之前接收过与此文件相同的文件,则以之前的文件为准即可,不需再将此文件文本发送至中心侧平台,进而减少通信资源。
在一些实施例中,步骤205,中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测集群以及威胁情报库检测所述可疑文件的安全性,并于沙箱检测结果库记录检测结果,还包括:中心侧平台接收所述边缘侧平台发送的所述可疑文件信息,以哈希值为文件命名,并查询文件对象存储库中的历史文件是否有与所述可疑文件信息的文件名相等的文件;若没有,则接收所述可疑文件的文件信息包含的本体文件,并以哈希值为文件名把本体文件存入文件对象存储库中;若有,则不对所述可疑文件做入库处理。
举例说明,中心侧平台接收到可疑文件,其哈希值为Hash_3,将可疑文件文件名命名为File_3,在中心侧平台的文件对象存储库中查询历史文件,若没有查询到与其文件名File_3相同的命名,则中心侧平台将接收到的可疑文件的本体文件并以哈希值命名其本体文件,进而更新文件对象存储库;若是在文件对象存储库中查询到与可疑文件命名相同的文件,则不对可疑文件进行入库处理。中心侧平台通过文件哈希值检索和引用近期检测结果以减少沙箱计算压力的方法。
另外,沙箱检测集群接收通信模块发送的待检测文件信息,基于文件哈希值查询沙箱检测结果库,如果不存在历史记录,则调用闲置沙箱结合威胁情报库开展检测,并将检测结果记录至沙箱检测结果库,设置该记录的生存时间TTL(例如24小时);如果存在历史记录,则直接引用历史记录的检测结果。
在一些实施例中,步骤207,中心侧平台基于沙箱检测集群以及威胁情报库的检测结果分析异常行为,并发送安全事件至所述边缘侧平台及其他安全组件,具体包括中心侧平台基于沙箱检测集群以及威胁情报库的检测结果,根据大数据统计分析异常传播的文件,记录安全事件,并发送安全事件至所述边缘侧平台及其它安全平台。
在本实施例中,需要说明的是,还包括威胁分析模块以及安全事件库,中心侧平台基于云计算技术构建,接收和存储边缘侧平台发送的文件,基于沙箱检测集群检测并结合威胁情报库检测可疑文件安全性,通过云端查询沙箱检测结果库排除重复检测;并将检测结果发送至威胁分析模块,基于大数据分析异常行为,将检测出的安全事件发送至安全事件库,通过安全事件库发送安全事件至边缘侧平台及其它安全平台。
以上各个步骤流程主要是通过边缘侧平台接收从本地流量还原的文件以及终端安全系统提交的文件通过病毒检测模块进行静态检测,将检测出的可疑文件上报至中心侧平台。并且边缘侧平台还结合动态检测策略对上报文件进行多维度检测,进而筛选出可疑文件,将可疑文件上传至中心侧平台。其中在上传之前,还可根据哈希值查询是否有历史文件,若有,则不需要接收可疑文件的本体信息,从而降低专线传送文件通信,节约通信资源。
中心侧平台的通信模块接收边缘侧平台发送的可疑文件,通过与文件对象存储库进行查询比对,查找是否有相同的可疑文件,若有相同的可疑文件,则不做文件入库处理;若没有,则更新文件对象存储库之后,将其发送至沙箱检测集群进行检测。
沙箱检测集群接收通信模块发送的待检测文件信息,基于文件哈希值查询沙箱检测结果库,如果不存在历史记录,则调用闲置沙箱结合威胁情报库开展检测,并将检测结果记录至沙箱检测结果库,设置该记录的生存时间TTL(例如24小时);如果存在历史记录,则直接引用历史记录的检测结果。中心侧平台通过文件哈希值检索和引用近期检测结果以减少沙箱计算压力。
威胁分析模块接收沙箱检测集群结合威胁情报库检测的检测结果,基于大数据统计分析异常传播的文件,于安全事件库记录安全事件,并发送安全事件至边缘侧平台及其它安全平台。从而实现边缘侧平台和中心侧平台协同开展恶意代码检测。
本申请实施了还提供了一种工控网络恶意代码检测系统,该系统可以包括:边缘侧静态检测模块、边缘侧动态检测模块、中心侧检测模块、中心侧反馈模块。其中各组成模块的主要功能如下:
边缘侧静态检测模块,用于边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测;
边缘侧动态检测模块,用于所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台;
中心侧检测模块,用于中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测集群以及威胁情报库检测所述可疑文件的安全性,并于沙箱检测结果库记录检测结果;
中心侧反馈模块,用于所述中心侧平台基于沙箱检测集群以及威胁情报库的检测结果分析异常行为,并发送安全事件至所述边缘侧平台及其他安全平台。
根据本申请的实施例,本申请还提供了一种计算机设备、一种计算机可读存储介质。
如图6所示,是根据本申请实施例的计算机设备的框图。计算机设备旨在表示各种形式的数字计算机或移动装置。其中数字计算机可以包括台式计算机、便携式计算机、工作台、个人数字助理、服务器、大型计算机和其它适合的计算机。移动装置可以包括平板电脑、智能电话、可穿戴式设备等。
如图6所示,设备600包括计算单元601、ROM 602、RAM 603、总线604以及输入/输出(I/O)接口605,计算单元601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
计算单元601可以根据存储在只读存储器(ROM)602中的计算机指令或者从存储单元608加载到随机访问存储器(RAM)603中的计算机指令,来执行本申请方法实施例中的各种处理。计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601可以包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。在一些实施例中,本申请实施例提供的方法可被实现为计算机软件程序,其被有形地包含于计算机可读存储介质,例如存储单元608。
RAM 603还可存储设备600操作所需的各种程序和数据。计算机程序的部分或者全部可以经由ROM 602和/或通信单元609而被载入和/或安装到设备600上。
设备600中的输入单元606、输出单元607、存储单元608和通信单元609可以连接至I/O接口605。其中,输入单元606可以是诸如键盘、鼠标、触摸屏、麦克风等;输出单元607可以是诸如显示器、扬声器、指示灯等。设备600能够通过通信单元609与其他设备进行信息、数据等的交换。
需要说明的是,该设备还可以包括实现正常运行所必需的其他组件。也可以仅包含实现本申请方案所必需的组件,而不必包含图中所示的全部组件。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件和/或它们的组合中实现。
用于实施本申请的方法的计算机指令可以采用一个或多个编程语言的任何组合来编写。这些计算机指令可以提供给计算单元601,使得计算机指令当由诸如处理器等计算单元601执行时使执行本申请方法实施例中涉及的各步骤。
本申请提供的计算机可读存储介质可以是有形的介质,其可以包含或存储计算机指令,用以执行本申请方法实施例中涉及的各步骤。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的等形式的存储介质。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (10)
1.一种工控网络恶意代码检测方法,其特征在于,该方法包括:
边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测;
所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台;
所述中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测所述可疑文件的安全性,并于沙箱检测结果库记录检测结果;
所述中心侧平台基于沙箱检测集群以及威胁情报库的检测结果分析异常行为,并发送安全事件至所述边缘侧平台及其他安全平台。
2.根据权利要求1所述的工控网络恶意代码检测方法,其特征在于,所述边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测,包括:
所述边缘侧平台将待检测文件发送至病毒检测模块,所述病毒检测模块基于静态特征检测恶意代码,并计算待检测文件的哈希值Hash_n,保存检测结果至文件信息库;
所述边缘侧平台向所述中心侧平台上报有恶意代码的文件信息。
3.根据权利要求1所述的工控网络恶意代码检测方法,其特征在于,所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台,包括:
获取所述可疑文件的文件类型,对上报的所述可疑文件按类型基于预设的文件优先级表格确立所述可疑文件发送优先级FP,对应数值越大,优先级越高;
获取所述可疑文件的端口风险度,评估所述可疑文件传输涉及的端口服务的风险PR,若采用协议标准端口则PR为0,否则PR大于0;
获取所述可疑文件的安全事件发生风险值,检查所述可疑文件传输涉及的IP地址是否近期存在已发生的安全事件,设其关联风险为CR,若当近期有发生的事件,基于当前时间与上一事件发生时间之间间隔,计算CR;
获取所述可疑文件的待发送数据量c,检查待发送数据量c,基于待发送数据量c,计算所述可疑文件检测阈值DT;
依据所述可疑文件生成时间顺序,将分析计算得到的所述可疑文件的所述文件类型对应的优先级FP、所述端口风险度、所述安全事件发生风险值相加并减去所述待发送数据量得到的数设为发送值;
若所述发送值大于0,则发送所述可疑文件至中心侧平台;
否则,忽略该所述可疑文件。
4.根据权利要求3项所述的工控网络恶意代码检测方法,其特征在于,所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台,还包括:
所述边缘侧平台采用动态策略筛选出所述可疑文件并以哈希值命名为File_n,从文件信息库中查询是否存在已发送的文件的哈希值与所述可疑文件的哈希值Hash_n相等;
若不存在相等的哈希值,则先发送所述可疑文件的本体文件File_n内容至所述中心侧平台,并在所述文件信息库中添加一条File_n相关的记录,并设置记录生存时间TTL;
若存在相等的哈希值,即检索到历史发送文件File_o的哈希值等于Hash_n,则只发送File_o基本信息和File_n基本信息至所述中心侧平台,然后更新File_o对应记录的生存时间TTL。
5.根据权利要求1所述的工控网络恶意代码检测方法,其特征在于,所述中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测所述可疑文件的安全性,并于沙箱检测结果库记录检测结果,包括:
所述中心侧平台接收所述边缘侧平台发送的所述可疑文件信息,以哈希值为文件命名,并查询文件对象存储库中的历史文件是否有与所述可疑文件信息的文件名相等的文件;
若没有,则接收所述可疑文件的文件信息包含的本体文件,并以哈希值为文件名把本体文件存入文件对象存储库中;
若有,则不对所述可疑文件做入库处理。
6.根据权利要求5所述的工控网络恶意代码检测方法,其特征在于,所述中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测所述可疑文件的安全性,并于沙箱检测结果库记录检测结果,还包括:
接收待检测文件信息,并基于以哈希值命名的文件,查询沙箱检测结果库;
若不存在历史记录,则调用闲置沙箱结合威胁情报库开展检测,并将检测结果记录至沙箱检测结果库,设置该记录的生存时间TTL;
若存在历史记录,则直接引用历史记录的检测结果。
7.根据权利要求6所述的工控网络恶意代码检测方法,其特征在于,所述中心侧平台基于沙箱检测集群以及威胁情报库的检测结果分析异常行为,并发送安全事件至所述边缘侧平台及其他安全平台,包括:
所述中心侧平台基于沙箱检测集群以及威胁情报库的检测结果,根据大数据统计分析异常传播的文件,记录安全事件,并发送安全事件至所述边缘侧平台及其它安全平台。
8.一种工控网络恶意代码检测系统,其特征在于,所述系统包括:
边缘侧静态检测模块,用于边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测;
边缘侧动态检测模块,用于所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台;
中心侧检测模块,用于所述中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测集群以及威胁情报库检测所述可疑文件的安全性,并基于沙箱检测结果库记录检测结果;
中心侧反馈模块,用于所述中心侧平台基于沙箱检测集群以及威胁情报库的检测结果分析异常行为,并发送安全事件至所述边缘侧平台及其他安全平台。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211163758.8A CN115580448A (zh) | 2022-09-23 | 2022-09-23 | 工控网络恶意代码检测方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211163758.8A CN115580448A (zh) | 2022-09-23 | 2022-09-23 | 工控网络恶意代码检测方法、系统、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115580448A true CN115580448A (zh) | 2023-01-06 |
Family
ID=84580380
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211163758.8A Pending CN115580448A (zh) | 2022-09-23 | 2022-09-23 | 工控网络恶意代码检测方法、系统、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115580448A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116578537A (zh) * | 2023-07-12 | 2023-08-11 | 北京安天网络安全技术有限公司 | 文件检测方法、可读存储介质及电子设备 |
CN117093994A (zh) * | 2023-09-18 | 2023-11-21 | 卫士通(广州)信息安全技术有限公司 | 一种疑似病毒文件分析方法、系统、设备及可存储介质 |
-
2022
- 2022-09-23 CN CN202211163758.8A patent/CN115580448A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116578537A (zh) * | 2023-07-12 | 2023-08-11 | 北京安天网络安全技术有限公司 | 文件检测方法、可读存储介质及电子设备 |
CN116578537B (zh) * | 2023-07-12 | 2023-09-22 | 北京安天网络安全技术有限公司 | 文件检测方法、可读存储介质及电子设备 |
CN117093994A (zh) * | 2023-09-18 | 2023-11-21 | 卫士通(广州)信息安全技术有限公司 | 一种疑似病毒文件分析方法、系统、设备及可存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220200956A1 (en) | Network threat prediction and blocking | |
AU2015203086B2 (en) | Threat indicator analytics system | |
AU2015203069B2 (en) | Deception network system | |
US10430586B1 (en) | Methods of identifying heap spray attacks using memory anomaly detection | |
US9628507B2 (en) | Advanced persistent threat (APT) detection center | |
CN115580448A (zh) | 工控网络恶意代码检测方法、系统、设备及存储介质 | |
US10037425B2 (en) | Detecting suspicious file prospecting activity from patterns of user activity | |
CN113660275B (zh) | 域名系统请求的处理方法、装置、电子设备和存储介质 | |
TW201702921A (zh) | 異常預測方法、系統及裝置 | |
CN107733725B (zh) | 一种安全预警方法、装置、设备及存储介质 | |
US20220159043A1 (en) | Multi-perspective security context per actor | |
US20240152626A1 (en) | Security Event Modeling and Threat Detection Using Behavioral, Analytical, and Threat Intelligence Attributes | |
CN114301700B (zh) | 调整网络安全防御方案的方法、装置、系统及存储介质 | |
US11416608B2 (en) | Layered analysis for network security risk detection | |
CN113132393A (zh) | 异常检测方法、装置、电子设备以及存储介质 | |
CN111104670B (zh) | 一种apt攻击的识别和防护方法 | |
CN116668054A (zh) | 一种安全事件协同监测预警方法、系统、设备及介质 | |
US11343264B2 (en) | System and method for determining the confidence level in attributing a cyber campaign to an activity group | |
CN114500122A (zh) | 一种基于多源数据融合的特定网络行为分析方法和系统 | |
US11763004B1 (en) | System and method for bootkit detection | |
CN112839029A (zh) | 一种僵尸网络活跃度的分析方法与系统 | |
CN115085965B (zh) | 电力系统信息网络受攻击风险评估方法、装置和设备 | |
US20230239303A1 (en) | User risk scoring based on role and event risk scores | |
JP7302668B2 (ja) | レベル推定装置、レベル推定方法、および、レベル推定プログラム | |
US20230259617A1 (en) | Topology-based event suppression |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |