一种工业控制系统恶意代码防御系统及其防御方法

摘要

本发明公开了一种工业控制系统恶意代码防御系统，包括查毒引擎模块，调用反病毒引擎完成恶意代码识别；白名单模块，根据文件白名单库进行检查；库升级模块，用于病毒库和白名单库的本地升级和在线升级；资源区模块，用于大容量的存储区域的文件下载、上传、删除；挂载区模块，用于U盘挂载、卸载；隔离区模块用于疑似恶意代码文件下载、上传、删除；身份认证模块，用于用户、用户组管理；日志审计模块，用于查毒日志、操作日志、白名单日志、文件日志的检索、备份；移动介质模块，向通过身份认证的用户和用户组分配移动介质的可读、读写、禁用权限。本发明能够改进现有技术的不足，提高了工业控制网络中防御恶意代码的能力。

说明书

技术领域

本发明涉及工业控制系统安全防御技术领域，尤其是一种工业控制系统恶意代码防御系统及其防御方法。

背景技术

工业控制系统环境属于一种特定的信息化应用场景。目前大量工厂缺失恶意代码防御手段。部分工厂部署了建设期配置的杀毒软件，由于杀毒软件公司、工控企业均无法评估新策略对工业主机的影响，因此工控企业现场部署的杀毒软件不能进行病毒特征更新。杀毒软件处理病毒的有效性和及时性都无法保证。程序白名单软件是一种建立程序白名单列表，禁止非白名单列表中程序执行的软件。程序白名单预置了运行执行的程序特征。实时防御时拦截程序的执行入口，判断当前执行程序是否在白名单库中，来执行预置的行为。但是，系统内核拦截需要在驱动级开发功能代码。代码质量、系统版本、功能兼容等会带来系统蓝屏或工业控制系统功能失效等问题。工业主机无法接受此类实现方式带来的不可预期性。杀毒软件实现会多处下系统钩子，拦截系统调用。而白名单软件也会在程序调用、U盘监控等钩子。安装、运行在工业主机上的杀毒软件、白名单软件都需要占用工业主机有限的cpu、内存资源。而工业主机属于配套工业控制系统的特定设备，本身并不具备过多的资源。现有的各项技术，都是在工业主机上进行恶意代码防御。在工业主机配置资源少、稳定性要求高的要求下，无法解决病毒实时排除的及时性、有效性和稳定性的矛盾。

发明内容

本发明要解决的技术问题是提供一种工业控制系统恶意代码防御系统及其防御方法，能够解决现有技术的不足，提高了工业控制网络中防御恶意代码的能力。

为解决上述技术问题，本发明所采取的技术方案如下。

一种工业控制系统恶意代码防御系统，包括，

查毒引擎模块，调用反病毒引擎完成病毒、木马等恶意代码识别；

白名单模块，根据文件白名单库进行实时检查；

库升级模块，用于病毒库和白名单库的本地升级和在线升级；

资源区模块，用于大容量的存储区域的文件下载、上传、删除；

挂载区模块，用于U盘挂载、卸载；

隔离区模块用于疑似恶意代码文件下载、上传、删除；

身份认证模块，用于用户、用户组管理；

日志审计模块，用于查毒日志、操作日志、白名单日志、文件日志等信息的检索、备份；

移动介质模块，向通过身份认证的用户和用户组分配移动介质的可读、读写、禁用等权限。

一种上述的工业控制系统恶意代码防御系统的防御方法，包括以下步骤：

A、对移动介质的使用进行授权；

B、对使用移动介质进行交换文件的过程进行防御；

C、对工业内网进行交换文件的过程进行防御。

作为优选，步骤A中，包括，

A1、身份认证模块建立使用工业控制系统恶意代码防御系统的用户和用户组；

A2、判断用户是否需要在工业环境内使用移动介质，如果不需要则结束，如果需要转至步骤A3；

A3、将移动介质插入工业控制系统恶意代码防御系统；

A4、移动介质模块计算获取移动介质标识，标识具备唯一性；

A5、移动介质模块判断当前移动介质标识是否在对应关系表中，如果在则转至步骤A2，如果不在则转至步骤A6；

A6、移动介质模块获取当前移动介质需要赋予的用户或组，并建立指定用户或组与当前移动介质的对应关系，转至步骤A2；

A7、日志审计模块记录上述各部操作，提供操作的查询审计。

作为优选，步骤B中，包括，

B1、用户将移动介质插入工业控制系统恶意代码防御系统；

B2、移动介质模块获取移动介质的标识，并判断用户是否授权使用移动介质，如果没有授权则退出，如果授权则转至步骤B3；

B3、移动介质模块将移动介质挂载到挂载区模块，系统识别当前插入的移动介质；

B4、白名单模块计算移动介质中文件的散列值，并判断是否在系统白名单库中，如果在则转至步骤B8，如果不在则转至步骤B5；

B5、查毒引擎模块调用反病毒引擎完成文件查毒，如果当前文件染毒则转至步骤B6，如果当前文件安全则转至步骤B7；

B6、隔离区模块将移动介质中文件加载到隔离区，然后执行步骤B10；

B7、白名单模块将移动介质中文件的散列值加入系统白名单库；

B8、资源区模块将移动介质中文件加载到资源区；

B9、用户从工业主机上将查毒后的文件从资源区下载到工业主机；

B10、移动介质交换文件防御结束；

B11、日志审计模块记录上述各部操作，提供操作的查询审计。

作为优选，步骤B6中，在隔离区中运行染毒文件，记录运行过程中文件的行为特征，建立行为特征矩阵，并建立不同行为特征矩阵之间的映射关系；在步骤B4中，在转至步骤B8之前，将待加载的文件与隔离区建立的行为特征矩阵和映射关系进行对比，若待加载文件的行为特征和映射关系与隔离区建立的行为特征矩阵和映射关系的相似度高于阈值，则对待加载文件进行二次检查。

作为优选，步骤C中，包括，

C1、身份认证模块验证用户从工业主机的登录系统操作；

C2、资源区模块执行从主机上传文件到系统操作；

C3、白名单模块计算文件散列值，并判断是否在系统白名单库中，如果在则转至步骤C7，如果不在则转至步骤C4；

C4、查毒引擎模块调用反病毒引擎完成文件查毒，如果文件染毒则转至步骤C5，如果当前文件安全则转至步骤C6；

C5、隔离区模块将文件加载到隔离区，然后执行步骤C10；

C6、白名单模块将文件的散列值加入系统白名单库；

C7、资源区模块将文件加载到资源区；

C8、身份认证模块验证用户从工业主机的登录系统操作；

C9、资源区模块执行从系统下载文件到主机操作；

C10、工业内网交换文件防御结束；

C11、日志审计模块记录上述各部操作，提供操作的查询审计。

采用上述技术方案所带来的有益效果在于：本发明有效解决了安装在工业主机的恶意代码防御软件带来的不稳定、资源占用高、查毒风险高的问题，同时有效提高了工业控制系统中恶意代码检测的命中率。具有以下几个特点：

1、防御恶意代码的系统部署在脱离工业主机的环境中，不消耗工业主机有限的资源。

2、防御恶意代码的系统部署在脱离工业主机的环境中，可以方便的进行病毒库和白名单库的升级，不需要进行工业主机兼容性测试。

3、防御恶意代码的系统部署在脱离工业主机的环境中，不在工业主机上装模块，不会影响工业主机的稳定性。

4、集中部署的防恶意代码系统降低了实施成本，提高了工作效率。

附图说明

图1是本发明一个具体实施方式的系统原理图。

图2是本发明一个具体实施方式中移动介质使用授权过程的流程图。

图3是本发明一个具体实施方式中移动介质交换文件防御过程的流程图。

图4是本发明一个具体实施方式中工业内网交换文件防御过程的流程图。

具体实施方式

参照图1-4，本发明一个具体实施方式包括，

查毒引擎模块1，调用反病毒引擎完成病毒、木马等恶意代码识别；

白名单模块2，根据文件白名单库进行实时检查；

库升级模块3，用于病毒库和白名单库的本地升级和在线升级；

资源区模块4，用于大容量的存储区域的文件下载、上传、删除；

挂载区模块5，用于U盘挂载、卸载；

隔离区模块6用于疑似恶意代码文件下载、上传、删除；

身份认证模块7，用于用户、用户组管理；

日志审计模块8，用于查毒日志、操作日志、白名单日志、文件日志等信息的检索、备份；

移动介质模块9，向通过身份认证的用户和用户组分配移动介质的可读、读写、禁用等权限。

一种上述的工业控制系统恶意代码防御系统的防御方法，包括以下步骤：

A、对移动介质的使用进行授权；

B、对使用移动介质进行交换文件的过程进行防御；

C、对工业内网进行交换文件的过程进行防御。

步骤A中，包括，

A1、身份认证模块7建立使用工业控制系统恶意代码防御系统的用户和用户组；

A2、判断用户是否需要在工业环境内使用移动介质，如果不需要则结束，如果需要转至步骤A3；

A3、将移动介质插入工业控制系统恶意代码防御系统；

A4、移动介质模块9计算获取移动介质标识，标识具备唯一性；

A5、移动介质模块9判断当前移动介质标识是否在对应关系表中，如果在则转至步骤A2，如果不在则转至步骤A6；

A6、移动介质模块9获取当前移动介质需要赋予的用户或组，并建立指定用户或组与当前移动介质的对应关系，转至步骤A2；

A7、日志审计模块8记录上述各部操作，提供操作的查询审计。

步骤B中，包括，

B1、用户将移动介质插入工业控制系统恶意代码防御系统；

B2、移动介质模块9获取移动介质的标识，并判断用户是否授权使用移动介质，如果没有授权则退出，如果授权则转至步骤B3；

B3、移动介质模块9将移动介质挂载到挂载区模块5，系统识别当前插入的移动介质；

B4、白名单模块2计算移动介质中文件的散列值，并判断是否在系统白名单库中，如果在则转至步骤B8，如果不在则转至步骤B5；

B5、查毒引擎模块1调用反病毒引擎完成文件查毒，如果当前文件染毒则转至步骤B6，如果当前文件安全则转至步骤B7；

B6、隔离区模块6将移动介质中文件加载到隔离区，然后执行步骤B10；

B7、白名单模块2将移动介质中文件的散列值加入系统白名单库；

B8、资源区模块4将移动介质中文件加载到资源区；

B9、用户从工业主机上将查毒后的文件从资源区下载到工业主机；

B10、移动介质交换文件防御结束；

B11、日志审计模块8记录上述各部操作，提供操作的查询审计。

步骤B6中，在隔离区中运行染毒文件，记录运行过程中文件的行为特征，建立行为特征矩阵，并建立不同行为特征矩阵之间的映射关系；在步骤B4中，在转至步骤B8之前，将待加载的文件与隔离区建立的行为特征矩阵和映射关系进行对比，若待加载文件的行为特征和映射关系与隔离区建立的行为特征矩阵和映射关系的相似度高于阈值，则对待加载文件进行二次检查。

步骤C中，包括，

C1、身份认证模块7验证用户从工业主机的登录系统操作；

C2、资源区模块4执行从主机上传文件到系统操作；

C3、白名单模块2计算文件散列值，并判断是否在系统白名单库中，如果在则转至步骤C7，如果不在则转至步骤C4；

C4、查毒引擎模块1调用反病毒引擎完成文件查毒，如果文件染毒则转至步骤C5，如果当前文件安全则转至步骤C6；

C5、隔离区模块6将文件加载到隔离区，然后执行步骤C10；

C6、白名单模块2将文件的散列值加入系统白名单库；

C7、资源区模块4将文件加载到资源区；

C8、身份认证模块7验证用户从工业主机的登录系统操作；

C9、资源区模块4执行从系统下载文件到主机操作；

C10、工业内网交换文件防御结束；

C11、日志审计模块8记录上述各部操作，提供操作的查询审计。

步骤C3中，在计算文件是否在白名单库中之前，首先使用隔离区内建立的行为特征矩阵之间的映射关系对文件进行对比，将对比相似度小于阈值的结果与白名单库进行核对，如果出现偏差，则对白名单库进行更新。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。