一种基于安全基线样本机的未知文件检测系统及方法与流程

文档序号:11930450阅读:来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术>一种基于安全基线样本机的未知文件检测系统及方法与流程

技术特征:

1.一种安全基线样本机服务端,其特征在于,包括:信息管理模块、模拟检测模块、策略生成模块、数据传输管理模块;

其中:

信息管理模块用于汇总工控网络中各工控机终端的系统信息;

模拟检测模块用于模拟工控机环境,对进入工控网络的未知文件进行模拟运行,并通过模拟运行结果对未知文件安全性进行判定;

策略生成模块用于根据模拟运行模块得到的安全性判定结果制定相应未知文件在工控网络中的防御策略;

数据传输管理模块用于与工控网络中的工控机终端建立数据连接关系。

2.如权利要求1所述的服务端,其特征在于,所述工控机终端的系统信息包括:操作系统信息、系统属性信息、系统功能信息、系统漏洞信息。

3.如权利要求2所述的服务端,其特征在于,所述模拟检测模块具体用于:按照规定模式对进入工控网络的未知文件进行模拟运行,并对未知文件安全性进行判定,所述规定模式为智能检测模式或模拟终端检测模式;其中,智能检测模式具体为:将未知文件投入沙箱环境中运行,监控运行过程,感知未知文件是否触发漏洞,若是则视为未知文件存在恶意,并对触发的漏洞信息进行记录,否则视为未知文件安全;模拟终端检测模式具体为:根据工控网内各工控机终端的系统环境,分别搭建模拟沙箱环境,将未知文件投入各模拟沙箱环境中运行,感知未知文件是否触发漏洞,若是则视为未知文件存在恶意,并对触发的漏洞信息进行记录,否则视为未知文件安全。

4.如权利要求3所述的服务端,其特征在于,所述策略生成模块具体用于:根据模拟检测模块得到的未知文件的安全性判定结果,结合记录的未知文件触发的漏洞信息,生成相应未知文件在工控网络中哪些工控机终端中可以执行、哪些工控机终端中不可以执行的防御策略。

5.如权利要求4所述的服务端,其特征在于,所述数据传输管理模块具体用于:向工控网中的工控机终端下发策略生成模块生成的防御策略。

6.如权利要求1至5任一所述的服务端,其特征在于,所述服务端部署在工控网络的网络入口处。

7.一种安全工控机终端,其特征在于,包括:信息采集模块、配置执行模块、黑名单模块、数据传输模块;

其中:

信息采集模块用于采集工控机终端的系统信息;

配置执行模块用于根据黑名单模块数据以及服务端下发的防御策略判定进入工控网络的未知文件是否可以在相应工控机终端中运行,以及运行判定为可以在相应工控机终端中运行的未知文件;

黑名单模块用于存储根据服务端下发的防御策略判定不能在相应工控机终端中运行的未知文件信息;

数据传输模块用于与服务端建立数据传输关系。

8.如权利要求7所述的工控机终端,其特征在于,所述数据传输模块具体用于:将信息采集模块采集的工控机终端的系统信息上传给服务端。

9.如权利要求7或8所述的工控机终端,其特征在于,所述工控机终端的系统信息包括:操作系统信息、系统属性信息、系统功能信息、系统漏洞信息。

10.一种基于安全基线样本机的未知文件检测系统,其特征在于,包括如权利要求1至6任一所述的服务端,以及至少一个如权利要求7至9任一所述的工控机终端。

11.一种基于安全基线样本机的未知文件检测方法,其特征在于,包括:

采集工控网络中各工控机终端的系统信息,并将系统信息上报给服务端;

当有未知文件进入工控网络中时,服务端按规定对未知文件进行模拟检测;

服务端根据模拟检测结果生成防御策略,并将防御策略下发给工控网络中各工控机终端;

工控网络中各工控机终端根据接收的防御策略对未知文件进行处理。

12.如权利要求11所述的方法,其特征在于,所述系统信息包括:操作系统信息、系统属性信息、系统功能信息、系统漏洞信息。

13.如权利要求12所述的方法,其特征在于,所述按规定对未知文件进行模拟检测,具体为:按照规定模式对进入工控网络的未知文件进行模拟运行,并对未知文件安全性进行判定,所述规定模式为智能检测模式或模拟终端检测模式;其中,智能检测模式具体为:将未知文件投入沙箱环境中运行,监控运行过程,感知未知文件是否触发漏洞,若是则视为未知文件存在恶意,并对触发的漏洞信息进行记录,否则视为未知文件安全;模拟终端检测模式具体为:根据工控网内各工控机终端的系统环境,分别搭建模拟沙箱环境,将未知文件投入各模拟沙箱环境中运行,感知未知文件是否触发漏洞,若是则视为未知文件存在恶意,并对触发的漏洞信息进行记录,否则视为未知文件安全。

14.如权利要求13所述的方法,其特征在于,所述服务端根据模拟检测结果生成防御策略具体为:根据模拟检测结果,结合记录的未知文件触发的漏洞信息,生成相应未知文件在工控网络中哪些工控机终端中可以执行、哪些工控机终端中不可以执行的防御策略。

15.如权利要求14所述的方法,其特征在于,所述工控网络中各工控机终端根据接收的防御策略对未知文件进行处理具体为:工控网络中各工控机终端根据接收的防御策略判定进入工控网络的未知文件是否可以在相应工控机终端中运行,若是则在相应工控机终端中运行相应未知文件,否则拦截相应未知文件,并将未知文件信息写入相应工控机终端中的黑名单中。

16.如权利要求15所述的方法,其特征在于,还包括:各工控机终端在根据防御策略对未知文件进行处理之前,先将未知文件信息与各自的黑名单中的信息相匹配,若匹配成功则相应工控机终端对未知文件执行拦截操作,否则在相应工控机终端中运行该未知文件。

完整全部详细技术资料下载
当前第2页1 2 3 
    相关技术
    网友询问留言 已有0条留言
    • 还没有人留言评论。精彩留言会获得点赞!
    1
    精彩留言,会给你点赞!
    安全基线检查相关技术
    安全基线相关技术
    安全配置基线相关技术
    安全基线配置核查相关技术

    使用协议| 关于我们| 联系X技术

    © 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2