本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種基于安全基線樣本機(jī)的未知文件檢測系統(tǒng)及方法。

背景技術(shù)：

隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，工控機(jī)的安全問題也逐漸暴露，在烏克蘭停電事件之前，工控用戶對于工控機(jī)安全并不十分重視，他們認(rèn)為物理隔離的環(huán)境已經(jīng)非常安全，由于工控機(jī)無法進(jìn)行補(bǔ)丁修復(fù)，系統(tǒng)又很老舊，存在很多漏洞需要修復(fù)，單純的物理隔離已經(jīng)無法滿足工控機(jī)的安全需要，所以目前需要一個(gè)在不對工控機(jī)系統(tǒng)造成改變的情況下，通過漏洞檢測未知文件并根據(jù)網(wǎng)絡(luò)內(nèi)工控機(jī)的實(shí)際漏洞情況配置策略的系統(tǒng)，來有效維護(hù)工控設(shè)備的安全。

技術(shù)實(shí)現(xiàn)要素：

針對上述現(xiàn)有技術(shù)中存在的問題，本發(fā)明提出一種基于安全基線樣本集的未知文件檢測系統(tǒng)及方法，通過沙箱及蜜罐技術(shù)、漏洞檢測技術(shù)以及數(shù)據(jù)準(zhǔn)入技術(shù)實(shí)現(xiàn)，當(dāng)有未知文件進(jìn)入工控網(wǎng)絡(luò)時(shí)，對文件安全性進(jìn)行判定，并生成相應(yīng)防御策略，網(wǎng)內(nèi)工控機(jī)終端根據(jù)防御策略對未知文件進(jìn)行處理，有效保障工控網(wǎng)絡(luò)中的設(shè)備信息安全。

具體發(fā)明內(nèi)容包括：

一種安全基線樣本機(jī)服務(wù)端，包括：信息管理模塊、模擬檢測模塊、策略生成模塊、數(shù)據(jù)傳輸管理模塊；

其中：

信息管理模塊用于匯總工控網(wǎng)絡(luò)中各工控機(jī)終端的系統(tǒng)信息；

模擬檢測模塊用于模擬工控機(jī)環(huán)境，對進(jìn)入工控網(wǎng)絡(luò)的未知文件進(jìn)行模擬運(yùn)行，并通過模擬運(yùn)行結(jié)果對未知文件安全性進(jìn)行判定；

策略生成模塊用于根據(jù)模擬運(yùn)行模塊得到的安全性判定結(jié)果制定相應(yīng)未知文件在工控網(wǎng)絡(luò)中的防御策略；

數(shù)據(jù)傳輸管理模塊用于與工控網(wǎng)絡(luò)中的工控機(jī)終端建立數(shù)據(jù)連接關(guān)系。

進(jìn)一步地，所述工控機(jī)終端的系統(tǒng)信息包括：操作系統(tǒng)信息、系統(tǒng)屬性信息、系統(tǒng)功能信息、系統(tǒng)漏洞信息。

進(jìn)一步地，所述模擬檢測模塊具體用于：按照規(guī)定模式對進(jìn)入工控網(wǎng)絡(luò)的未知文件進(jìn)行模擬運(yùn)行，并對未知文件安全性進(jìn)行判定，所述規(guī)定模式為智能檢測模式或模擬終端檢測模式；其中，智能檢測模式具體為：將未知文件投入沙箱環(huán)境中運(yùn)行，監(jiān)控運(yùn)行過程，感知未知文件是否觸發(fā)漏洞，若是則視為未知文件存在惡意，并對觸發(fā)的漏洞信息進(jìn)行記錄，否則視為未知文件安全；模擬終端檢測模式具體為：根據(jù)工控網(wǎng)內(nèi)各工控機(jī)終端的系統(tǒng)環(huán)境，分別搭建模擬沙箱環(huán)境，將未知文件投入各模擬沙箱環(huán)境中運(yùn)行，感知未知文件是否觸發(fā)漏洞，若是則視為未知文件存在惡意，并對觸發(fā)的漏洞信息進(jìn)行記錄，否則視為未知文件安全。

進(jìn)一步地，所述策略生成模塊具體用于：根據(jù)模擬檢測模塊得到的未知文件的安全性判定結(jié)果，結(jié)合記錄的未知文件觸發(fā)的漏洞信息，生成相應(yīng)未知文件在工控網(wǎng)絡(luò)中哪些工控機(jī)終端中可以執(zhí)行、哪些工控機(jī)終端中不可以執(zhí)行的防御策略。

進(jìn)一步地，所述數(shù)據(jù)傳輸管理模塊具體用于：向工控網(wǎng)中的工控機(jī)終端下發(fā)策略生成模塊生成的防御策略。

進(jìn)一步地，所述服務(wù)端部署在工控網(wǎng)絡(luò)的網(wǎng)絡(luò)入口處。

一種安全工控機(jī)終端，包括：信息采集模塊、配置執(zhí)行模塊、黑名單模塊、數(shù)據(jù)傳輸模塊；

其中：

信息采集模塊用于采集工控機(jī)終端的系統(tǒng)信息；

配置執(zhí)行模塊用于根據(jù)黑名單模塊數(shù)據(jù)以及服務(wù)端下發(fā)的防御策略判定進(jìn)入工控網(wǎng)絡(luò)的未知文件是否可以在相應(yīng)工控機(jī)終端中運(yùn)行，以及運(yùn)行判定為可以在相應(yīng)工控機(jī)終端中運(yùn)行的未知文件；

黑名單模塊用于存儲根據(jù)服務(wù)端下發(fā)的防御策略判定不能在相應(yīng)工控機(jī)終端中運(yùn)行的未知文件信息；

數(shù)據(jù)傳輸模塊用于與服務(wù)端建立數(shù)據(jù)傳輸關(guān)系。

進(jìn)一步地，所述數(shù)據(jù)傳輸模塊具體用于：將信息采集模塊采集的工控機(jī)終端的系統(tǒng)信息上傳給服務(wù)端。

進(jìn)一步地，所述工控機(jī)終端的系統(tǒng)信息包括：操作系統(tǒng)信息、系統(tǒng)屬性信息、系統(tǒng)功能信息、系統(tǒng)漏洞信息。

一種基于安全基線樣本機(jī)的未知文件檢測系統(tǒng)，包括上述任一所述的服務(wù)端，以及至少一個(gè)上述任一所述的工控機(jī)終端。

一種基于安全基線樣本機(jī)的未知文件檢測方法，包括：

采集工控網(wǎng)絡(luò)中各工控機(jī)終端的系統(tǒng)信息，并將系統(tǒng)信息上報(bào)給服務(wù)端；

當(dāng)有未知文件進(jìn)入工控網(wǎng)絡(luò)中時(shí)，服務(wù)端按規(guī)定對未知文件進(jìn)行模擬檢測；

服務(wù)端根據(jù)模擬檢測結(jié)果生成防御策略，并將防御策略下發(fā)給工控網(wǎng)絡(luò)中各工控機(jī)終端；

工控網(wǎng)絡(luò)中各工控機(jī)終端根據(jù)接收的防御策略對未知文件進(jìn)行處理。

進(jìn)一步地，所述系統(tǒng)信息包括：操作系統(tǒng)信息、系統(tǒng)屬性信息、系統(tǒng)功能信息、系統(tǒng)漏洞信息。

進(jìn)一步地，所述按規(guī)定對未知文件進(jìn)行模擬檢測，具體為：按照規(guī)定模式對進(jìn)入工控網(wǎng)絡(luò)的未知文件進(jìn)行模擬運(yùn)行，并對未知文件安全性進(jìn)行判定，所述規(guī)定模式為智能檢測模式或模擬終端檢測模式；其中，智能檢測模式具體為：將未知文件投入沙箱環(huán)境中運(yùn)行，監(jiān)控運(yùn)行過程，感知未知文件是否觸發(fā)漏洞，若是則視為未知文件存在惡意，并對觸發(fā)的漏洞信息進(jìn)行記錄，否則視為未知文件安全；模擬終端檢測模式具體為：根據(jù)工控網(wǎng)內(nèi)各工控機(jī)終端的系統(tǒng)環(huán)境，分別搭建模擬沙箱環(huán)境，將未知文件投入各模擬沙箱環(huán)境中運(yùn)行，感知未知文件是否觸發(fā)漏洞，若是則視為未知文件存在惡意，并對觸發(fā)的漏洞信息進(jìn)行記錄，否則視為未知文件安全。

進(jìn)一步地，所述服務(wù)端根據(jù)模擬檢測結(jié)果生成防御策略具體為：根據(jù)模擬檢測結(jié)果，結(jié)合記錄的未知文件觸發(fā)的漏洞信息，生成相應(yīng)未知文件在工控網(wǎng)絡(luò)中哪些工控機(jī)終端中可以執(zhí)行、哪些工控機(jī)終端中不可以執(zhí)行的防御策略。

進(jìn)一步地，所述工控網(wǎng)絡(luò)中各工控機(jī)終端根據(jù)接收的防御策略對未知文件進(jìn)行處理具體為：工控網(wǎng)絡(luò)中各工控機(jī)終端根據(jù)接收的防御策略判定進(jìn)入工控網(wǎng)絡(luò)的未知文件是否可以在相應(yīng)工控機(jī)終端中運(yùn)行，若是則在相應(yīng)工控機(jī)終端中運(yùn)行相應(yīng)未知文件，否則攔截相應(yīng)未知文件，并將未知文件信息寫入相應(yīng)工控機(jī)終端中的黑名單中。

進(jìn)一步地，還包括：各工控機(jī)終端在根據(jù)防御策略對未知文件進(jìn)行處理之前，先將未知文件信息與各自的黑名單中的信息相匹配，若匹配成功則相應(yīng)工控機(jī)終端對未知文件執(zhí)行攔截操作，否則在相應(yīng)工控機(jī)終端中運(yùn)行該未知文件。

本發(fā)明的有益效果是：

本發(fā)明通過設(shè)置在網(wǎng)絡(luò)入口處的服務(wù)端設(shè)置安全基線，對未知文件進(jìn)行安全性判定，進(jìn)入工控網(wǎng)絡(luò)的未知文件首先經(jīng)過服務(wù)端的檢測，而不直接被下發(fā)到工控機(jī)終端，能夠確保工控網(wǎng)絡(luò)環(huán)境的安全性，不被未知文件感染；

工控機(jī)終端多數(shù)都設(shè)備老舊，系統(tǒng)環(huán)境配置較低，本發(fā)明通過服務(wù)端對未知文件進(jìn)行檢測并下發(fā)防御策略，而不是在各工控機(jī)終端進(jìn)行檢測，使得實(shí)現(xiàn)文件統(tǒng)一管理檢測的同時(shí)，確保工控機(jī)終端的性能，更少的占用工控機(jī)終端資源，不影響工控機(jī)終端的正常業(yè)務(wù)工作；

本發(fā)明在服務(wù)端設(shè)置沙箱及蜜罐檢測機(jī)制，并可根據(jù)工控網(wǎng)內(nèi)的工控機(jī)終端的系統(tǒng)環(huán)境進(jìn)行模擬沙箱環(huán)境的配置，能夠更加精準(zhǔn)的感知未知文件觸發(fā)的漏洞，以及相應(yīng)的對未知文件在網(wǎng)絡(luò)哪些工控機(jī)終端中可以執(zhí)行、哪些工控機(jī)終端中不可以執(zhí)行進(jìn)行更加高效、準(zhǔn)確地判定。

附圖說明

為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明一種安全基線樣本機(jī)服務(wù)端的結(jié)構(gòu)圖；

圖2為本發(fā)明一種安全工控機(jī)終端的結(jié)構(gòu)圖；

圖3為本發(fā)明一種基于安全基線樣本機(jī)的未知文件檢測的系統(tǒng)結(jié)構(gòu)圖；

圖4為本發(fā)明一種基于安全基線樣本機(jī)的未知文件檢測的方法流程圖。

具體實(shí)施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明。

本發(fā)明給出了一種安全基線樣本機(jī)服務(wù)端的實(shí)施例，如圖1所示，包括：信息管理模塊101、模擬檢測模塊102、策略生成模塊103、數(shù)據(jù)傳輸管理模塊104；

其中：

信息管理模塊101用于匯總工控網(wǎng)絡(luò)中各工控機(jī)終端的系統(tǒng)信息；

模擬檢測模塊102用于模擬工控機(jī)環(huán)境，對進(jìn)入工控網(wǎng)絡(luò)的未知文件進(jìn)行模擬運(yùn)行，并通過模擬運(yùn)行結(jié)果對未知文件安全性進(jìn)行判定；

策略生成模塊103用于根據(jù)模擬運(yùn)行模塊102得到的安全性判定結(jié)果制定相應(yīng)未知文件在工控網(wǎng)絡(luò)中的防御策略；

數(shù)據(jù)傳輸管理模塊104用于與工控網(wǎng)絡(luò)中的工控機(jī)終端建立數(shù)據(jù)連接關(guān)系。

優(yōu)選地，所述工控機(jī)終端的系統(tǒng)信息包括：操作系統(tǒng)信息、系統(tǒng)屬性信息、系統(tǒng)功能信息、系統(tǒng)漏洞信息。

優(yōu)選地，所述模擬檢測模塊102具體用于：按照規(guī)定模式對進(jìn)入工控網(wǎng)絡(luò)的未知文件進(jìn)行模擬運(yùn)行，并對未知文件安全性進(jìn)行判定，所述規(guī)定模式為智能檢測模式或模擬終端檢測模式；其中，智能檢測模式具體為：將未知文件投入沙箱環(huán)境中運(yùn)行，監(jiān)控運(yùn)行過程，感知未知文件是否觸發(fā)漏洞，若是則視為未知文件存在惡意，并對觸發(fā)的漏洞信息進(jìn)行記錄，否則視為未知文件安全；模擬終端檢測模式具體為：根據(jù)工控網(wǎng)內(nèi)各工控機(jī)終端的系統(tǒng)環(huán)境，分別搭建模擬沙箱環(huán)境，將未知文件投入各模擬沙箱環(huán)境中運(yùn)行，感知未知文件是否觸發(fā)漏洞，若是則視為未知文件存在惡意，并對觸發(fā)的漏洞信息進(jìn)行記錄，否則視為未知文件安全。

優(yōu)選地，所述策略生成模塊103具體用于：根據(jù)模擬檢測模塊102得到的未知文件的安全性判定結(jié)果，結(jié)合記錄的未知文件觸發(fā)的漏洞信息，生成相應(yīng)未知文件在工控網(wǎng)絡(luò)中哪些工控機(jī)終端中可以執(zhí)行、哪些工控機(jī)終端中不可以執(zhí)行的防御策略。

優(yōu)選地，所述數(shù)據(jù)傳輸管理模塊104具體用于：向工控網(wǎng)中的工控機(jī)終端下發(fā)策略生成模塊103生成的防御策略。

優(yōu)選地，所述服務(wù)端部署在工控網(wǎng)絡(luò)的網(wǎng)絡(luò)入口處。

本發(fā)明還給出一種安全工控機(jī)終端的實(shí)施例，如圖2所示，包括：信息采集模塊201、配置執(zhí)行模塊202、黑名單模塊203、數(shù)據(jù)傳輸模塊204；

其中：

信息采集模塊201用于采集工控機(jī)終端的系統(tǒng)信息；

配置執(zhí)行模塊202用于根據(jù)黑名單模塊數(shù)據(jù)以及服務(wù)端下發(fā)的防御策略判定進(jìn)入工控網(wǎng)絡(luò)的未知文件是否可以在相應(yīng)工控機(jī)終端中運(yùn)行，以及運(yùn)行判定為可以在相應(yīng)工控機(jī)終端中運(yùn)行的未知文件；

黑名單模塊203用于存儲根據(jù)服務(wù)端下發(fā)的防御策略判定不能在相應(yīng)工控機(jī)終端中運(yùn)行的未知文件信息；

數(shù)據(jù)傳輸模塊204用于與服務(wù)端建立數(shù)據(jù)傳輸關(guān)系。

優(yōu)選地，所述數(shù)據(jù)傳輸模塊204具體用于：將信息采集模塊201采集的工控機(jī)終端的系統(tǒng)信息上傳給服務(wù)端。

優(yōu)選地，所述工控機(jī)終端的系統(tǒng)信息包括：操作系統(tǒng)信息、系統(tǒng)屬性信息、系統(tǒng)功能信息、系統(tǒng)漏洞信息。

本發(fā)明還給出了一種基于安全基線樣本機(jī)的未知文件檢測的系統(tǒng)實(shí)施例，如圖3所示，包括上述任一所述的服務(wù)端，以及一個(gè)上述任一所述的工控機(jī)終端；

具體地，包括：

服務(wù)端的信息管理模塊101、模擬檢測模塊102、策略生成模塊103、數(shù)據(jù)傳輸管理模塊104；工控機(jī)終端的信息采集模塊201、配置執(zhí)行模塊202、黑名單模塊203、數(shù)據(jù)傳輸模塊204；所述服務(wù)端與工控機(jī)終端通過數(shù)據(jù)傳輸管理模塊與數(shù)據(jù)傳輸模塊建立數(shù)據(jù)連接關(guān)系；

根據(jù)具體工控網(wǎng)絡(luò)的配置環(huán)境，該系統(tǒng)中工控機(jī)終端的數(shù)量會有所變化，不過至少會有一個(gè)，該實(shí)施例只針對網(wǎng)絡(luò)中有一個(gè)工控機(jī)終端的情況進(jìn)行舉例，本領(lǐng)域技術(shù)人員知道，實(shí)際中工控機(jī)終端的數(shù)量可以是多個(gè)。

本發(fā)明還給出了一種基于安全基線樣本機(jī)的未知文件檢測的方法實(shí)施例，如圖4所示，包括：

S401：采集工控網(wǎng)絡(luò)中各工控機(jī)終端的系統(tǒng)信息，并將系統(tǒng)信息上報(bào)給服務(wù)端；

S402：當(dāng)有未知文件進(jìn)入工控網(wǎng)絡(luò)中時(shí)，服務(wù)端按規(guī)定對未知文件進(jìn)行模擬檢測；

S403：服務(wù)端根據(jù)模擬檢測結(jié)果生成防御策略，并將防御策略下發(fā)給工控網(wǎng)絡(luò)中各工控機(jī)終端；

S404：工控網(wǎng)絡(luò)中各工控機(jī)終端根據(jù)接收的防御策略對未知文件進(jìn)行處理。

優(yōu)選地，所述系統(tǒng)信息包括：操作系統(tǒng)信息、系統(tǒng)屬性信息、系統(tǒng)功能信息、系統(tǒng)漏洞信息。

優(yōu)選地，所述按規(guī)定對未知文件進(jìn)行模擬檢測，具體為：按照規(guī)定模式對進(jìn)入工控網(wǎng)絡(luò)的未知文件進(jìn)行模擬運(yùn)行，并對未知文件安全性進(jìn)行判定，所述規(guī)定模式為智能檢測模式或模擬終端檢測模式；其中，智能檢測模式具體為：將未知文件投入沙箱環(huán)境中運(yùn)行，監(jiān)控運(yùn)行過程，感知未知文件是否觸發(fā)漏洞，若是則視為未知文件存在惡意，并對觸發(fā)的漏洞信息進(jìn)行記錄，否則視為未知文件安全；模擬終端檢測模式具體為：根據(jù)工控網(wǎng)內(nèi)各工控機(jī)終端的系統(tǒng)環(huán)境，分別搭建模擬沙箱環(huán)境，將未知文件投入各模擬沙箱環(huán)境中運(yùn)行，感知未知文件是否觸發(fā)漏洞，若是則視為未知文件存在惡意，并對觸發(fā)的漏洞信息進(jìn)行記錄，否則視為未知文件安全。

優(yōu)選地，所述服務(wù)端根據(jù)模擬檢測結(jié)果生成防御策略具體為：根據(jù)模擬檢測結(jié)果，結(jié)合記錄的未知文件觸發(fā)的漏洞信息，生成相應(yīng)未知文件在工控網(wǎng)絡(luò)中哪些工控機(jī)終端中可以執(zhí)行、哪些工控機(jī)終端中不可以執(zhí)行的防御策略。

優(yōu)選地，所述工控網(wǎng)絡(luò)中各工控機(jī)終端根據(jù)接收的防御策略對未知文件進(jìn)行處理具體為：工控網(wǎng)絡(luò)中各工控機(jī)終端根據(jù)接收的防御策略判定進(jìn)入工控網(wǎng)絡(luò)的未知文件是否可以在相應(yīng)工控機(jī)終端中運(yùn)行，若是則在相應(yīng)工控機(jī)終端中運(yùn)行相應(yīng)未知文件，否則攔截相應(yīng)未知文件，并將未知文件信息寫入相應(yīng)工控機(jī)終端中的黑名單中。

優(yōu)選地，還包括：各工控機(jī)終端在根據(jù)防御策略對未知文件進(jìn)行處理之前，先將未知文件信息與各自的黑名單中的信息相匹配，若匹配成功則相應(yīng)工控機(jī)終端對未知文件執(zhí)行攔截操作，否則在相應(yīng)工控機(jī)終端中運(yùn)行該未知文件。

針對工控網(wǎng)絡(luò)中工控機(jī)終端設(shè)備無法進(jìn)行漏洞更新這一安全隱患，本發(fā)明提出一種基于安全基線樣本集的未知文件檢測系統(tǒng)及方法，通過沙箱及蜜罐技術(shù)、漏洞檢測技術(shù)以及數(shù)據(jù)準(zhǔn)入技術(shù)實(shí)現(xiàn)，當(dāng)有未知文件進(jìn)入工控網(wǎng)絡(luò)時(shí)，對文件安全性進(jìn)行判定，并生成相應(yīng)防御策略，網(wǎng)內(nèi)工控機(jī)終端根據(jù)防御策略對未知文件進(jìn)行處理。本發(fā)明通過設(shè)置在網(wǎng)絡(luò)入口處的服務(wù)端設(shè)置安全基線，對未知文件進(jìn)行安全性判定，進(jìn)入工控網(wǎng)絡(luò)的未知文件首先經(jīng)過服務(wù)端的檢測，而不直接被下發(fā)到工控機(jī)終端，能夠確保工控網(wǎng)絡(luò)環(huán)境的安全性，不被未知文件感染；工控機(jī)終端多數(shù)都設(shè)備老舊，系統(tǒng)環(huán)境配置較低，本發(fā)明通過服務(wù)端對未知文件進(jìn)行檢測并下發(fā)防御策略，而不是在各工控機(jī)終端進(jìn)行檢測，使得實(shí)現(xiàn)文件統(tǒng)一管理檢測的同時(shí)，確保工控機(jī)終端的性能，更少的占用工控機(jī)終端資源，不影響工控機(jī)終端的正常業(yè)務(wù)工作；本發(fā)明在服務(wù)端設(shè)置沙箱及蜜罐檢測機(jī)制，并可根據(jù)工控網(wǎng)內(nèi)的工控機(jī)終端的系統(tǒng)環(huán)境進(jìn)行模擬沙箱環(huán)境的配置，能夠更加精準(zhǔn)的感知未知文件觸發(fā)的漏洞，以及相應(yīng)的對未知文件在網(wǎng)絡(luò)哪些工控機(jī)終端中可以執(zhí)行、哪些工控機(jī)終端中不可以執(zhí)行進(jìn)行更加高效、準(zhǔn)確地判定。

雖然通過實(shí)施例描繪了本發(fā)明，本領(lǐng)域普通技術(shù)人員知道，本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神，希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神。