一种基于安全基线样本机的未知文件检测系统及方法与流程

本发明涉及信息安全技术领域，尤其涉及一种基于安全基线样本机的未知文件检测系统及方法。

背景技术：

随着计算机技术的高速发展，工控机的安全问题也逐渐暴露，在乌克兰停电事件之前，工控用户对于工控机安全并不十分重视，他们认为物理隔离的环境已经非常安全，由于工控机无法进行补丁修复，系统又很老旧，存在很多漏洞需要修复，单纯的物理隔离已经无法满足工控机的安全需要，所以目前需要一个在不对工控机系统造成改变的情况下，通过漏洞检测未知文件并根据网络内工控机的实际漏洞情况配置策略的系统，来有效维护工控设备的安全。

技术实现要素：

针对上述现有技术中存在的问题，本发明提出一种基于安全基线样本集的未知文件检测系统及方法，通过沙箱及蜜罐技术、漏洞检测技术以及数据准入技术实现，当有未知文件进入工控网络时，对文件安全性进行判定，并生成相应防御策略，网内工控机终端根据防御策略对未知文件进行处理，有效保障工控网络中的设备信息安全。

具体发明内容包括：

一种安全基线样本机服务端，包括：信息管理模块、模拟检测模块、策略生成模块、数据传输管理模块；

其中：

信息管理模块用于汇总工控网络中各工控机终端的系统信息；

模拟检测模块用于模拟工控机环境，对进入工控网络的未知文件进行模拟运行，并通过模拟运行结果对未知文件安全性进行判定；

策略生成模块用于根据模拟运行模块得到的安全性判定结果制定相应未知文件在工控网络中的防御策略；

数据传输管理模块用于与工控网络中的工控机终端建立数据连接关系。

进一步地，所述工控机终端的系统信息包括：操作系统信息、系统属性信息、系统功能信息、系统漏洞信息。

进一步地，所述模拟检测模块具体用于：按照规定模式对进入工控网络的未知文件进行模拟运行，并对未知文件安全性进行判定，所述规定模式为智能检测模式或模拟终端检测模式；其中，智能检测模式具体为：将未知文件投入沙箱环境中运行，监控运行过程，感知未知文件是否触发漏洞，若是则视为未知文件存在恶意，并对触发的漏洞信息进行记录，否则视为未知文件安全；模拟终端检测模式具体为：根据工控网内各工控机终端的系统环境，分别搭建模拟沙箱环境，将未知文件投入各模拟沙箱环境中运行，感知未知文件是否触发漏洞，若是则视为未知文件存在恶意，并对触发的漏洞信息进行记录，否则视为未知文件安全。

进一步地，所述策略生成模块具体用于：根据模拟检测模块得到的未知文件的安全性判定结果，结合记录的未知文件触发的漏洞信息，生成相应未知文件在工控网络中哪些工控机终端中可以执行、哪些工控机终端中不可以执行的防御策略。

进一步地，所述数据传输管理模块具体用于：向工控网中的工控机终端下发策略生成模块生成的防御策略。

进一步地，所述服务端部署在工控网络的网络入口处。

一种安全工控机终端，包括：信息采集模块、配置执行模块、黑名单模块、数据传输模块；

其中：

信息采集模块用于采集工控机终端的系统信息；

配置执行模块用于根据黑名单模块数据以及服务端下发的防御策略判定进入工控网络的未知文件是否可以在相应工控机终端中运行，以及运行判定为可以在相应工控机终端中运行的未知文件；

黑名单模块用于存储根据服务端下发的防御策略判定不能在相应工控机终端中运行的未知文件信息；

数据传输模块用于与服务端建立数据传输关系。

进一步地，所述数据传输模块具体用于：将信息采集模块采集的工控机终端的系统信息上传给服务端。

进一步地，所述工控机终端的系统信息包括：操作系统信息、系统属性信息、系统功能信息、系统漏洞信息。

一种基于安全基线样本机的未知文件检测系统，包括上述任一所述的服务端，以及至少一个上述任一所述的工控机终端。

一种基于安全基线样本机的未知文件检测方法，包括：

采集工控网络中各工控机终端的系统信息，并将系统信息上报给服务端；

当有未知文件进入工控网络中时，服务端按规定对未知文件进行模拟检测；

服务端根据模拟检测结果生成防御策略，并将防御策略下发给工控网络中各工控机终端；

工控网络中各工控机终端根据接收的防御策略对未知文件进行处理。

进一步地，所述系统信息包括：操作系统信息、系统属性信息、系统功能信息、系统漏洞信息。

进一步地，所述按规定对未知文件进行模拟检测，具体为：按照规定模式对进入工控网络的未知文件进行模拟运行，并对未知文件安全性进行判定，所述规定模式为智能检测模式或模拟终端检测模式；其中，智能检测模式具体为：将未知文件投入沙箱环境中运行，监控运行过程，感知未知文件是否触发漏洞，若是则视为未知文件存在恶意，并对触发的漏洞信息进行记录，否则视为未知文件安全；模拟终端检测模式具体为：根据工控网内各工控机终端的系统环境，分别搭建模拟沙箱环境，将未知文件投入各模拟沙箱环境中运行，感知未知文件是否触发漏洞，若是则视为未知文件存在恶意，并对触发的漏洞信息进行记录，否则视为未知文件安全。

进一步地，所述服务端根据模拟检测结果生成防御策略具体为：根据模拟检测结果，结合记录的未知文件触发的漏洞信息，生成相应未知文件在工控网络中哪些工控机终端中可以执行、哪些工控机终端中不可以执行的防御策略。

进一步地，所述工控网络中各工控机终端根据接收的防御策略对未知文件进行处理具体为：工控网络中各工控机终端根据接收的防御策略判定进入工控网络的未知文件是否可以在相应工控机终端中运行，若是则在相应工控机终端中运行相应未知文件，否则拦截相应未知文件，并将未知文件信息写入相应工控机终端中的黑名单中。

进一步地，还包括：各工控机终端在根据防御策略对未知文件进行处理之前，先将未知文件信息与各自的黑名单中的信息相匹配，若匹配成功则相应工控机终端对未知文件执行拦截操作，否则在相应工控机终端中运行该未知文件。

本发明的有益效果是：

本发明通过设置在网络入口处的服务端设置安全基线，对未知文件进行安全性判定，进入工控网络的未知文件首先经过服务端的检测，而不直接被下发到工控机终端，能够确保工控网络环境的安全性，不被未知文件感染；

工控机终端多数都设备老旧，系统环境配置较低，本发明通过服务端对未知文件进行检测并下发防御策略，而不是在各工控机终端进行检测，使得实现文件统一管理检测的同时，确保工控机终端的性能，更少的占用工控机终端资源，不影响工控机终端的正常业务工作；

本发明在服务端设置沙箱及蜜罐检测机制，并可根据工控网内的工控机终端的系统环境进行模拟沙箱环境的配置，能够更加精准的感知未知文件触发的漏洞，以及相应的对未知文件在网络哪些工控机终端中可以执行、哪些工控机终端中不可以执行进行更加高效、准确地判定。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种安全基线样本机服务端的结构图；

图2为本发明一种安全工控机终端的结构图；

图3为本发明一种基于安全基线样本机的未知文件检测的系统结构图；

图4为本发明一种基于安全基线样本机的未知文件检测的方法流程图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明给出了一种安全基线样本机服务端的实施例，如图1所示，包括：信息管理模块101、模拟检测模块102、策略生成模块103、数据传输管理模块104；

其中：

信息管理模块101用于汇总工控网络中各工控机终端的系统信息；

模拟检测模块102用于模拟工控机环境，对进入工控网络的未知文件进行模拟运行，并通过模拟运行结果对未知文件安全性进行判定；

策略生成模块103用于根据模拟运行模块102得到的安全性判定结果制定相应未知文件在工控网络中的防御策略；

数据传输管理模块104用于与工控网络中的工控机终端建立数据连接关系。

优选地，所述工控机终端的系统信息包括：操作系统信息、系统属性信息、系统功能信息、系统漏洞信息。

优选地，所述模拟检测模块102具体用于：按照规定模式对进入工控网络的未知文件进行模拟运行，并对未知文件安全性进行判定，所述规定模式为智能检测模式或模拟终端检测模式；其中，智能检测模式具体为：将未知文件投入沙箱环境中运行，监控运行过程，感知未知文件是否触发漏洞，若是则视为未知文件存在恶意，并对触发的漏洞信息进行记录，否则视为未知文件安全；模拟终端检测模式具体为：根据工控网内各工控机终端的系统环境，分别搭建模拟沙箱环境，将未知文件投入各模拟沙箱环境中运行，感知未知文件是否触发漏洞，若是则视为未知文件存在恶意，并对触发的漏洞信息进行记录，否则视为未知文件安全。

优选地，所述策略生成模块103具体用于：根据模拟检测模块102得到的未知文件的安全性判定结果，结合记录的未知文件触发的漏洞信息，生成相应未知文件在工控网络中哪些工控机终端中可以执行、哪些工控机终端中不可以执行的防御策略。

优选地，所述数据传输管理模块104具体用于：向工控网中的工控机终端下发策略生成模块103生成的防御策略。

优选地，所述服务端部署在工控网络的网络入口处。

本发明还给出一种安全工控机终端的实施例，如图2所示，包括：信息采集模块201、配置执行模块202、黑名单模块203、数据传输模块204；

其中：

信息采集模块201用于采集工控机终端的系统信息；

配置执行模块202用于根据黑名单模块数据以及服务端下发的防御策略判定进入工控网络的未知文件是否可以在相应工控机终端中运行，以及运行判定为可以在相应工控机终端中运行的未知文件；

黑名单模块203用于存储根据服务端下发的防御策略判定不能在相应工控机终端中运行的未知文件信息；

数据传输模块204用于与服务端建立数据传输关系。

优选地，所述数据传输模块204具体用于：将信息采集模块201采集的工控机终端的系统信息上传给服务端。

优选地，所述工控机终端的系统信息包括：操作系统信息、系统属性信息、系统功能信息、系统漏洞信息。

本发明还给出了一种基于安全基线样本机的未知文件检测的系统实施例，如图3所示，包括上述任一所述的服务端，以及一个上述任一所述的工控机终端；

具体地，包括：

服务端的信息管理模块101、模拟检测模块102、策略生成模块103、数据传输管理模块104；工控机终端的信息采集模块201、配置执行模块202、黑名单模块203、数据传输模块204；所述服务端与工控机终端通过数据传输管理模块与数据传输模块建立数据连接关系；

根据具体工控网络的配置环境，该系统中工控机终端的数量会有所变化，不过至少会有一个，该实施例只针对网络中有一个工控机终端的情况进行举例，本领域技术人员知道，实际中工控机终端的数量可以是多个。

本发明还给出了一种基于安全基线样本机的未知文件检测的方法实施例，如图4所示，包括：

S401：采集工控网络中各工控机终端的系统信息，并将系统信息上报给服务端；

S402：当有未知文件进入工控网络中时，服务端按规定对未知文件进行模拟检测；

S403：服务端根据模拟检测结果生成防御策略，并将防御策略下发给工控网络中各工控机终端；

S404：工控网络中各工控机终端根据接收的防御策略对未知文件进行处理。

优选地，所述系统信息包括：操作系统信息、系统属性信息、系统功能信息、系统漏洞信息。

优选地，所述按规定对未知文件进行模拟检测，具体为：按照规定模式对进入工控网络的未知文件进行模拟运行，并对未知文件安全性进行判定，所述规定模式为智能检测模式或模拟终端检测模式；其中，智能检测模式具体为：将未知文件投入沙箱环境中运行，监控运行过程，感知未知文件是否触发漏洞，若是则视为未知文件存在恶意，并对触发的漏洞信息进行记录，否则视为未知文件安全；模拟终端检测模式具体为：根据工控网内各工控机终端的系统环境，分别搭建模拟沙箱环境，将未知文件投入各模拟沙箱环境中运行，感知未知文件是否触发漏洞，若是则视为未知文件存在恶意，并对触发的漏洞信息进行记录，否则视为未知文件安全。

优选地，所述服务端根据模拟检测结果生成防御策略具体为：根据模拟检测结果，结合记录的未知文件触发的漏洞信息，生成相应未知文件在工控网络中哪些工控机终端中可以执行、哪些工控机终端中不可以执行的防御策略。

优选地，所述工控网络中各工控机终端根据接收的防御策略对未知文件进行处理具体为：工控网络中各工控机终端根据接收的防御策略判定进入工控网络的未知文件是否可以在相应工控机终端中运行，若是则在相应工控机终端中运行相应未知文件，否则拦截相应未知文件，并将未知文件信息写入相应工控机终端中的黑名单中。

优选地，还包括：各工控机终端在根据防御策略对未知文件进行处理之前，先将未知文件信息与各自的黑名单中的信息相匹配，若匹配成功则相应工控机终端对未知文件执行拦截操作，否则在相应工控机终端中运行该未知文件。

针对工控网络中工控机终端设备无法进行漏洞更新这一安全隐患，本发明提出一种基于安全基线样本集的未知文件检测系统及方法，通过沙箱及蜜罐技术、漏洞检测技术以及数据准入技术实现，当有未知文件进入工控网络时，对文件安全性进行判定，并生成相应防御策略，网内工控机终端根据防御策略对未知文件进行处理。本发明通过设置在网络入口处的服务端设置安全基线，对未知文件进行安全性判定，进入工控网络的未知文件首先经过服务端的检测，而不直接被下发到工控机终端，能够确保工控网络环境的安全性，不被未知文件感染；工控机终端多数都设备老旧，系统环境配置较低，本发明通过服务端对未知文件进行检测并下发防御策略，而不是在各工控机终端进行检测，使得实现文件统一管理检测的同时，确保工控机终端的性能，更少的占用工控机终端资源，不影响工控机终端的正常业务工作；本发明在服务端设置沙箱及蜜罐检测机制，并可根据工控网内的工控机终端的系统环境进行模拟沙箱环境的配置，能够更加精准的感知未知文件触发的漏洞，以及相应的对未知文件在网络哪些工控机终端中可以执行、哪些工控机终端中不可以执行进行更加高效、准确地判定。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。