CN116108440B - 针对工控关键软件被注入的处理方法、装置、设备和介质 - Google Patents
针对工控关键软件被注入的处理方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN116108440B CN116108440B CN202310384528.2A CN202310384528A CN116108440B CN 116108440 B CN116108440 B CN 116108440B CN 202310384528 A CN202310384528 A CN 202310384528A CN 116108440 B CN116108440 B CN 116108440B
- Authority
- CN
- China
- Prior art keywords
- thread
- suspicious
- software
- suspicious thread
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title abstract description 10
- 238000000034 method Methods 0.000 claims abstract description 59
- 238000004519 manufacturing process Methods 0.000 claims abstract description 38
- 230000008569 process Effects 0.000 claims abstract description 36
- 230000006399 behavior Effects 0.000 claims abstract description 19
- 230000004044 response Effects 0.000 claims abstract description 13
- 230000006378 damage Effects 0.000 claims abstract description 4
- 230000006870 function Effects 0.000 claims description 26
- 239000008186 active pharmaceutical agent Substances 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 14
- 238000003860 storage Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 11
- 238000004458 analytical method Methods 0.000 claims description 8
- 238000002955 isolation Methods 0.000 claims description 7
- 238000004140 cleaning Methods 0.000 claims description 6
- 238000012423 maintenance Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 5
- 239000000725 suspension Substances 0.000 claims description 5
- 230000005856 abnormality Effects 0.000 claims 2
- 241000700605 Viruses Species 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000002347 injection Methods 0.000 description 4
- 239000007924 injection Substances 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
本公开提供了一种针对工控关键软件被注入的处理方法、装置、设备和介质,涉及工控安全技术领域。该方法包括:预先采集关键生产工业软件中线程和线程信息;响应于检测到所述关键生产工业软件中进程的恶意行为,采集所述关键生产工业软件中进程的当前线程和当前线程信息;将所述当前线程和当前线程信息与预先采集的线程和线程信息进行对比,获取可疑线程;暂停所述可疑线程。通过寻找并暂停可疑线程,抑制了病毒攻击,保证了可疑线程的一切资源不被释放,保留了回退的可能性,为工控企业提供了更好的健壮性,且由于该可疑线程被暂停不再执行,因此无法造成更多的散播和破坏。
Description
技术领域
本公开涉及工控安全技术领域,特别涉及一种针对工控关键软件被注入的处理方法、装置、设备和介质。
背景技术
对于生产企业,保障生产不中断是第一优先级,一旦生产中断就会影响到企业的效益。因此,工控安全的首要目标,也应该同样是生产第一。目前有些工控安全产品有些可以完全清理所有的威胁软件,但会导致企业生产的中断;有些工控安全产品可以保证OT/ICS网络中的机器和设备的安全,但任何软件都有bug,且无法阻止类似于DLL反射攻击这类攻击方法。如果某一个机器感染了恶意软件,并且该恶意软件是独立执行的进程,相对来说比较好清理,只需要杀死该进程并删除即可。如果恶意软件类似于飞客病毒这种,没有自己独立的进程,而是注入到其它进程中执行来进行破坏,则对生产企业甚至网络安全软件企业来说都是一件很棘手的问题。
综上所述,如何在不影响生产进程的情况下清理工控关键软件被注入的病毒成为了当前亟需解决的问题。
发明内容
为了解决现有技术中存在的上述问题,本公开的目的是为了提供一种可以在不影响生产进程的情况下清理工控关键软件被注入的病毒的针对工控关键软件被注入的处理方法、装置、设备和介质。
本公开实施例的第一方面,提供了一种针对工控关键软件被注入的处理方法,包括:
预先采集关键生产工业软件中线程和线程信息;
响应于检测到上述关键生产工业软件中进程的恶意行为,采集上述关键生产工业软件中进程的当前线程和当前线程信息;
将上述当前线程和当前线程信息与预先采集的线程和线程信息进行对比,获取可疑线程;
暂停上述可疑线程。
在一些实施例中,上述线程信息包括线程入口函数、入参、优先级、导入的函数、调用栈和/或线程控制块信息。
在一些实施例中,上述恶意行为包括本地破坏和/或发送攻击报文。
在一些实施例中,在上述将上述当前线程和当前线程信息与预先采集的线程和线程信息进行对比,获取可疑线程后,上述方法还包括:
获取上述可疑线程的线程句柄;
基于上述线程句柄获取线程句柄的入口函数;
基于上述线程句柄的入口函数获取上述可疑线程的模块。
在一些实施例中,上述暂停上述可疑线程包括:
调用系统API暂停上述可疑线程;
对上述可疑线程的模块进行监视;
当停机检修时,对上述可疑线程进行清理。
在一些实施例中,在上述调用系统API暂停上述可疑线程后,上述方法还包括:
将上述可疑线程进行上报;
对上报内容进行分析;
响应于分析结果表征暂停上述可疑线程为误报,调用系统API恢复上述可疑线程。
本公开实施例的第二方面,提供了一种针对工控关键软件被注入的处理装置,包括:
第一采集单元,被配置成预先采集关键生产工业软件中线程和线程信息;
第二采集单元,被配置成响应于检测到上述关键生产工业软件中进程的恶意行为,采集上述关键生产工业软件中进程的当前线程和当前线程信息;
对比单元,被配置成将上述当前线程和当前线程信息与预先采集的线程和线程信息进行对比,获取可疑线程;
暂停单元,被配置成暂停上述可疑线程。
本公开实施例的第三方面,提供了一种电子设备,包括存储器、处理器以及存储在存储器中并且可以在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述方法的步骤。
本公开实施例的第四方面,提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
本公开提供的上述技术方案的有益效果至少包括:
本公开的一种针对工控关键软件被注入的处理方法、装置、设备和介质,通过寻找并暂停可疑线程,抑制了注入类的病毒攻击,保证了可疑线程的一切资源不被释放,保留了回退的可能性,为工控企业提供了更好的健壮性,且由于该可疑线程被暂停不再执行,因此无法造成更多的散播和破坏。
附图说明
为了更清楚地说明本公开实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍。通过阅读参照以下附图所作的对非限制性实施例的详细描述,本公开的其它特征、目的和优点将会变得更明显。
图1为本公开实施例提供的一种针对工控关键软件被注入的处理方法的方法流程图;
图2为本公开实施例提供的一种针对工控关键软件被注入的处理装置的结构示意图;
图3为适于用来实现本公开的一些实施例的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例。相反,提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
除非另外限定,否则本文中使用的所有措辞(包括工程术语和科技术语)均具有与本公开所属领域普通技术人员的通常理解相同的含义。还应理解的是,除非本公开中有明确的说明,否则在常用词典中定义的词语应被解释为具有与它们在相关技术的上下文中的含义一致的含义,而不应以理想化或过于形式化的意义解释。
下面将参考附图并结合实施方式来详细说明本公开。
如图1所示,本公开提供了一种针对工控关键软件被注入的处理方法,包括如下步骤101~步骤104:
步骤101,预先采集关键生产工业软件中线程和线程信息。
在一些实施例中,预先对关键生产工业软件进行建模,采用动态采集的方法对关键生产工业软件中所有的线程和线程信息进行采集,保存备用。其中,上述线程信息包括但不限于:线程入口函数、入参、优先级、导入的函数、调用栈和/或线程控制块信息(ThreadControl Block,TCB)等关键信息。
作为示例,对于Linux家族,所有线程信息均是以文件的形式存在的,在采集线程信息时可以从/proc/[进程id]/task目录中读取该进程所有的线程信息,其中[进程id]是当前所采集的目标进程的进程ID。
作为另一示例,对于Windows家族,可以调用Thread32First()/Thread32Next()等API进行线程遍历,从而进行线程信息的采集。
步骤102,响应于检测到上述关键生产工业软件中进程的恶意行为,采集上述关键生产工业软件中进程的当前线程和当前线程信息。
在一些实施例中,上述恶意行为包括本地破坏和/或发送攻击报文。
步骤103,将上述当前线程和当前线程信息与预先采集的线程和线程信息进行对比,获取可疑线程。
在一些实施例的一种可能的实现方式中,在步骤103之后,上述方法还包括:获取上述可疑线程的线程句柄;基于上述线程句柄获取线程句柄的调用栈;获取所述调用栈中Frame的函数地址;基于所述函数地址确定所述可疑线程的模块,其中,所述可疑线程的模块为动态链接库。
一般情况下,注入类攻击会向目标进程中注入一些代码,上述被注入的代码一般会被包含在动态链接库中,攻击程序会将包含可疑代码的动态链接库注入目标进程,然后启动线程进行攻击。因此,上述可疑线程的模块即为包含可疑代码的动态链接库。
作为示例,对于Linux家族,上述可疑线程的模块是.so文件。作为另一示例,对于Windows家族,上述可疑线程的模块是.dll文件。
步骤104,暂停上述可疑线程。
在一些实施例中,上述暂停上述可疑线程包括如下步骤:
第一步,调用系统API暂停上述可疑线程。进一步地,当上述可疑线程被暂停之后,不会影响生产的进行,但恶意行为导致的攻击会被抑制,上述可疑线程的一切资源都不会被释放。作为示例,对于Linux家族,可以调用pthread_suspend()暂停可疑线程。作为另一示例,对于Windows家族,可以调用SuspendThread() API暂停可疑线程。这里,将可疑线程暂停实现了对可疑线程的微隔离,可以暂停恶意行为的扩散和传播,将恶意行为隔离在被暂停的可疑线程中。
第二步,对上述可疑线程的模块进行监视,防止上述恶意行为被注入其他进程中。其中,上述可疑线程的模块为.so文件或.dll文件。
第三步,当停机检修时,对上述可疑线程进行清理。具体地,当生产企业进行停机检修时,可以对上述可疑线程的模块或含有可疑线程的软件进行彻底清理。
在一些实施例的一些可选的实现方式中,在上述调用系统API暂停上述可疑线程后,上述方法还包括如下步骤:
第一步,将上述可疑线程进行上报。
第二步,对上报内容进行分析。
第三步,响应于分析结果表征暂停上述可疑线程为误报,调用系统API恢复上述可疑线程。具体地,响应于分析结果表征暂停上述可疑线程为误报,暂停上述可疑线程会导致系统异常,则可以调用系统API恢复上述可疑线程,在这个过程中,由于上述可疑线程未被终止,因此可以恢复执行。其中,暂停上述可疑线程为误报包括两种情况:判断线程属于可疑线程为错误判断,将所述可疑线程暂停进行线程微隔离后,攻击未停止仍在持续;线程属于可疑线程,存在恶意行为,但当暂停所述可疑线程,进行线程微隔离后,会导致生产出现异常,为了保障生产安全,需要进行回推,恢复上述可疑线程。
作为示例,对于Linux家族,可以调用pthread_resume()。作为另一示例,对于Windows家族可以调用ResumeThread()API。
在一些实施例的一些可选的实现方式中,暂停上述可疑线程的操作可以替换为强行终止,从而彻底清理病毒。但一旦强行终止上述可疑线程为误操作,则可能会导致生产中断等问题。在强行终止彻底清理病毒的过程中,首先关闭目标进程,不删除所述目标进程的可执行文件,删除所述可疑线程的模块即动态链接库,进一步地,可以进行遍历,查找是否存在所述动态链接库的多余的复制文件,若存在,则需一并删除,删除后,重启所述目标进程。
本公开提供的上述技术方案的有益效果至少包括:
本公开的一种针对工控关键软件被注入的处理方法通过寻找并暂停可疑线程,抑制了病毒攻击,保证了可疑线程的一切资源不被释放,保留了回退的可能性,为工控企业提供了更好的健壮性,且由于该可疑线程被暂停不再执行,因此无法造成更多的散播和破坏。
上述所有可选技术方案,可以采用任意结合形成本公开的可选实施例,在此不再一一赘述。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开方法实施例。
如图2所示,本公开的针对工控关键软件被注入的处理装置包括:第一采集单元201、第二采集单元202、对比单元203和暂停单元204。第一采集单元201,被配置成预先采集关键生产工业软件中线程和线程信息;第二采集单元202,被配置成响应于检测到上述关键生产工业软件中进程的恶意行为,采集上述关键生产工业软件中进程的当前线程和当前线程信息;对比单元203,被配置成将上述当前线程和当前线程信息与预先采集的线程和线程信息进行对比,获取可疑线程;暂停单元204,被配置成暂停上述可疑线程。
在一些实施例的一些可选的实现方式中,上述线程信息包括线程入口函数、入参、优先级、导入的函数、调用栈和/或线程控制块信息等。
在一些实施例的一些可选的实现方式中,上述恶意行为包括本地破坏和/或发送攻击报文。
在一些实施例的一些可选的实现方式中,在对比单元203之后,上述针对工控关键软件被注入的处理装置还包括:获取上述可疑线程的线程句柄;基于上述线程句柄获取线程句柄的入口函数;基于上述线程句柄的入口函数获取上述可疑线程的模块。
在一些实施例的一些可选的实现方式中,针对工控关键软件被注入的处理装置的暂停单元204被进一步配置成:调用系统API暂停上述可疑线程;对上述可疑线程的模块进行监视;当停机检修时,对上述可疑线程进行清理。
在一些实施例的一些可选的实现方式中,在上述调用系统API暂停上述可疑线程后,上述装置还包括:将上述可疑线程进行上报;对上报内容进行分析;响应于分析结果表征暂停上述可疑线程为误报,调用系统API恢复上述可疑线程。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本公开实施例的实施过程构成任何限定。
下面参考图3,其示出了适于用来实现本公开的一些实施例的电子设备300的结构示意图。图3示出的服务器仅仅是一个示例,不应对本公开的实施例的功能和使用范围带来任何限制。
如图3所示,电子设备300可以包括处理装置(例如中央处理器、图形处理器等)301,其可以根据存储在只读存储器(ROM)302中的程序或者从存储装置308加载到随机访问存储器(RAM)303中的程序而执行各种适当的动作和处理。在RAM 303中,还存储有电子设备300操作所需的各种程序和数据。处理装置301、ROM 302以及RAM 303通过总线304彼此相连。输入/输出(I/O)接口305也连接至总线304。
通常,以下装置可以连接至I/O接口305:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置306;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置307;包括例如磁带、硬盘等的存储装置308;以及通信装置309。通信装置309可以允许电子设备300与其他设备进行无线或有线通信以交换数据。虽然图3示出了具有各种装置的电子设备300,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图3中示出的每个方框可以代表一个装置,也可以根据需要代表多个装置。
特别地,根据本公开的一些实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的一些实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的一些实施例中,该计算机程序可以通过通信装置309从网络上被下载和安装,或者从存储装置308被安装,或者从ROM 302被安装。在该计算机程序被处理装置301执行时,执行本公开的一些实施例的方法中限定的上述功能。
需要说明的是,本公开的一些实施例上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的一些实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的一些实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述装置中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:预先采集关键生产工业软件中线程和线程信息;响应于检测到关键生产工业软件中进程的恶意行为,采集所述关键生产工业软件中进程的当前线程和当前线程信息;将所述当前线程和所述当前线程信息与预先采集的线程和线程信息进行对比,获取可疑线程;暂停所述可疑线程。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的一些实施例的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开的一些实施例中的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括第一采集单元、第二采集单元、对比单元和暂停单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,第一采集单元还可以被描述为“预先采集关键生产工业软件中线程和线程信息的单元”。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
以上描述仅为本公开的一些较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开的实施例中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (6)
1.一种针对工控关键软件被注入的处理方法,其特征在于,包括:
预先采集关键生产工业软件中线程和线程信息;
响应于检测到关键生产工业软件中进程的恶意行为,采集所述关键生产工业软件中进程的当前线程和当前线程信息;
将所述当前线程和所述当前线程信息与预先采集的线程和线程信息进行对比,获取可疑线程,在获取可疑线程后,还包括,获取所述可疑线程的线程句柄;基于所述线程句柄获取线程句柄的入口函数;基于所述线程句柄的入口函数获取所述可疑线程的模块;
暂停所述可疑线程,所述暂停所述可疑线程包括:调用系统API暂停所述可疑线程;对所述可疑线程的模块进行监视;当停机检修时,对所述可疑线程进行清理;在调用系统API暂停所述可疑线程后,还包括:将所述可疑线程进行上报;对上报内容进行分析;响应于分析结果表征暂停上述可疑线程为误报,调用系统API恢复上述可疑线程,其中,响应于分析结果表征暂停上述可疑线程为误报,暂停上述可疑线程会导致系统异常,则调用系统API恢复上述可疑线程,在这个过程中,上述可疑线程未被终止,可以恢复执行,暂停上述可疑线程为误报包括两种情况:判断线程属于可疑线程为错误判断,将所述可疑线程暂停进行线程微隔离后,攻击未停止仍在持续;线程属于可疑线程,存在恶意行为,但当暂停所述可疑线程,进行线程微隔离后,恢复上述可疑线程。
2.根据权利要求1所述的针对工控关键软件被注入的处理方法,其特征在于,所述线程信息包括线程入口函数、入参、优先级、导入的函数、调用栈和/或线程控制块信息。
3.根据权利要求1所述的针对工控关键软件被注入的处理方法,其特征在于,所述恶意行为包括本地破坏和/或发送攻击报文。
4.一种针对工控关键软件被注入的处理装置,其特征在于,包括:
第一采集单元,被配置成预先采集关键生产工业软件中线程和线程信息;
第二采集单元,被配置成响应于检测到关键生产工业软件中进程的恶意行为,采集所述关键生产工业软件中进程的当前线程和当前线程信息;
对比单元,被配置成将所述当前线程和所述当前线程信息与预先采集的线程和线程信息进行对比,获取可疑线程,在获取可疑线程后,还包括:获取所述可疑线程的线程句柄;基于所述线程句柄获取线程句柄的入口函数;基于所述线程句柄的入口函数获取所述可疑线程的模块;
暂停单元,被配置成暂停所述可疑线程,所述暂停单元被进一步配置成:调用系统API暂停所述可疑线程;对所述可疑线程的模块进行监视;当停机检修时,对所述可疑线程进行清理;在调用系统API暂停所述可疑线程后,还包括:将所述可疑线程进行上报;对上报内容进行分析;响应于分析结果表征暂停上述可疑线程为误报,调用系统API恢复上述可疑线程,其中,响应于分析结果表征暂停上述可疑线程为误报,暂停上述可疑线程会导致系统异常,则调用系统API恢复上述可疑线程,在这个过程中,上述可疑线程未被终止,可以恢复执行,暂停上述可疑线程为误报包括两种情况:判断线程属于可疑线程为错误判断,将所述可疑线程暂停进行线程微隔离后,攻击未停止仍在持续;线程属于可疑线程,存在恶意行为,但当暂停所述可疑线程,进行线程微隔离后,恢复上述可疑线程。
5.一种电子设备,包括存储器、处理器以及存储在所述存储器中并且可以在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至3中任一项所述方法的步骤。
6.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至3中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310384528.2A CN116108440B (zh) | 2023-04-12 | 2023-04-12 | 针对工控关键软件被注入的处理方法、装置、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310384528.2A CN116108440B (zh) | 2023-04-12 | 2023-04-12 | 针对工控关键软件被注入的处理方法、装置、设备和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116108440A CN116108440A (zh) | 2023-05-12 |
CN116108440B true CN116108440B (zh) | 2024-01-26 |
Family
ID=86256503
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310384528.2A Active CN116108440B (zh) | 2023-04-12 | 2023-04-12 | 针对工控关键软件被注入的处理方法、装置、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116108440B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101478407A (zh) * | 2008-01-03 | 2009-07-08 | 联想(北京)有限公司 | 在线安全登录的方法及装置 |
CN105574409A (zh) * | 2015-12-10 | 2016-05-11 | 北京奇虎科技有限公司 | 一种注入代码提取方法及装置 |
CN107256358A (zh) * | 2017-07-04 | 2017-10-17 | 北京工业大学 | 工业组态监控软件执行过程动态保护方法 |
CN108830078A (zh) * | 2018-05-09 | 2018-11-16 | 中国船舶重工集团公司第七〇四研究所 | 一种针对工控设备的恶意代码发现方法 |
CN109165506A (zh) * | 2018-07-05 | 2019-01-08 | 河南中烟工业有限责任公司 | 一种工控容错服务器在线病毒查杀和病毒防护的方法 |
CN114428953A (zh) * | 2021-12-22 | 2022-05-03 | 航天信息股份有限公司 | 一种windows软件的防注入方法及系统 |
WO2022225508A1 (en) * | 2021-04-20 | 2022-10-27 | Assured Information Security, Inc. | Prevention and remediation of malware based on selective presentation of files to processes |
CN115344834A (zh) * | 2022-10-19 | 2022-11-15 | 北京网藤科技有限公司 | 应用安全运行方法、装置、电子设备和计算机可读介质 |
CN115859289A (zh) * | 2022-12-29 | 2023-03-28 | 北京威努特技术有限公司 | 一种基于可信进程树的勒索病毒隔离方法 |
-
2023
- 2023-04-12 CN CN202310384528.2A patent/CN116108440B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101478407A (zh) * | 2008-01-03 | 2009-07-08 | 联想(北京)有限公司 | 在线安全登录的方法及装置 |
CN105574409A (zh) * | 2015-12-10 | 2016-05-11 | 北京奇虎科技有限公司 | 一种注入代码提取方法及装置 |
CN107256358A (zh) * | 2017-07-04 | 2017-10-17 | 北京工业大学 | 工业组态监控软件执行过程动态保护方法 |
CN108830078A (zh) * | 2018-05-09 | 2018-11-16 | 中国船舶重工集团公司第七〇四研究所 | 一种针对工控设备的恶意代码发现方法 |
CN109165506A (zh) * | 2018-07-05 | 2019-01-08 | 河南中烟工业有限责任公司 | 一种工控容错服务器在线病毒查杀和病毒防护的方法 |
WO2022225508A1 (en) * | 2021-04-20 | 2022-10-27 | Assured Information Security, Inc. | Prevention and remediation of malware based on selective presentation of files to processes |
CN114428953A (zh) * | 2021-12-22 | 2022-05-03 | 航天信息股份有限公司 | 一种windows软件的防注入方法及系统 |
CN115344834A (zh) * | 2022-10-19 | 2022-11-15 | 北京网藤科技有限公司 | 应用安全运行方法、装置、电子设备和计算机可读介质 |
CN115859289A (zh) * | 2022-12-29 | 2023-03-28 | 北京威努特技术有限公司 | 一种基于可信进程树的勒索病毒隔离方法 |
Also Published As
Publication number | Publication date |
---|---|
CN116108440A (zh) | 2023-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ji et al. | Rain: Refinable attack investigation with on-demand inter-process information flow tracking | |
CN113661693B (zh) | 经由日志检测敏感数据暴露 | |
US10387649B2 (en) | Detecting malware when executing in a system | |
US8719935B2 (en) | Mitigating false positives in malware detection | |
US9253265B2 (en) | Hot pluggable extensions for access management system | |
EP3430556A1 (en) | System and method for process hollowing detection | |
US10176329B2 (en) | Systems and methods for detecting unknown vulnerabilities in computing processes | |
US10417416B1 (en) | Methods and systems for detecting computer security threats | |
JP2017539039A (ja) | 悪意のあるコードの検出のためのシステムおよび方法 | |
US11403389B2 (en) | System and method of detecting unauthorized access to computing resources for cryptomining | |
US10936386B2 (en) | Method, device and computer program product for monitoring access request | |
US9934378B1 (en) | Systems and methods for filtering log files | |
US11055416B2 (en) | Detecting vulnerabilities in applications during execution | |
CN116305290A (zh) | 一种系统日志安全检测方法及装置、电子设备及存储介质 | |
US11550567B2 (en) | User and entity behavior analytics of infrastructure as code in pre deployment of cloud infrastructure | |
EP2228722B1 (en) | System and method for file integrity monitoring using timestamps | |
CN116108440B (zh) | 针对工控关键软件被注入的处理方法、装置、设备和介质 | |
US10893090B2 (en) | Monitoring a process on an IoT device | |
WO2021194370A1 (ru) | Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент | |
CN115344834A (zh) | 应用安全运行方法、装置、电子设备和计算机可读介质 | |
WO2020027956A1 (en) | Listen mode for application operation whitelisting mechanisms | |
EP4024248A1 (en) | Systems and methods for preventing injections of malicious processes in software | |
TWI711939B (zh) | 用於惡意程式碼檢測之系統及方法 | |
US20220237286A1 (en) | Kernel based exploitation detection and prevention using grammatically structured rules | |
CN110460601B (zh) | 依赖包安全性检测方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |