[发明专利]一种基于自学习工控主机安全防护方法和系统

权利要求书

1.一种基于自学习工控主机安全防护方法，其特征在于，应用于服务器，包括：

获取待保护工控主机发送的第一目标数据；

若所述第一目标数据为所述第一目标文件，且所述第一目标文件为未知目标文件，则对所述第一目标文件进行处理，得到第一处理结果，其中，所述第一处理结果用于表征是否阻断所述第一目标文件的运行进程，所述第一目标文件为所述待保护工控主机的存储设备中存储的待进行安全检测的目标文件；

若所述第一目标数据为所述待保护工控主机的通信流量数据，且所述通信流量数据为未知通信流量数据，则对所述通信流量数据进行处理，得到第二处理结果，其中，所述第二处理结果用于表征是否阻断所述通信流量数据对应的通信进程。

2.根据权利要求1所述的方法，其特征在于，所述预设文件名单中包括至少一个预设文件的哈希值；

判断所述第一目标文件是否为未知目标文件，具体包括：

计算所述第一目标文件的哈希值；

将所述第一目标文件的哈希值与所述预设文件名单中的哈希值进行对比；

若比对结果为所述预设文件名单中不包含所述第一目标文件的哈希值，则确定所述第一目标文件为未知目标文件。

3.根据权利要求1所述的方法，其特征在于，判断所述通信流量数据是否为未知通信流量数据，具体包括：

确定第一待保护工控主机和第二待保护工控主机之间的通信流量数据的通信参数是否符合通信网络图，其中，所述第一待保护工控主机为待保护工控主机中接收所述通信流量数据的待保护工控主机，所述第二待保护工控主机为其他工控主机中向所述第一待保护工控主机发送所述通信流量数据的待保护工控主机，所述通信网络图中包括多个待保护工控主机，所述通信网络图用于表征任意两个待保护工控主机的之间的通信流量数据的通信参数；

若不符合，则确定所述通信流量数据为所述未知通信流量数据。

4.根据权利要求3所述的方法，其特征在于，所述通信网络图中包括以下至少一种通信参数：各个待保护工控主机的IP地址，各个待保护工控主机的MAC地址，各个待保护工控主机之间进行通信的端口，各个待保护工控主机之间的通信协议。

5.根据权利要求1所述的方法，其特征在于，对所述第一目标文件进行处理包括：

若所述服务器的处理模式为高可用模式的情况下，则对所述第一目标文件进行病毒扫描；

若确定出所述第一目标文件中不包含病毒，则放行所述第一目标文件的运行进程；

若所述服务器的处理模式为高安全模式的情况下，则阻断所述第一目标文件的运行进程。

6.根据权利要求1所述的方法，其特征在于，对所述通信流量数据进行处理包括：

若所述服务器的处理模式为高可用模式的情况下，则放行所述通信流量数据对应的通信进程；

若所述服务器的处理模式为高安全模式的情况下，则阻断所述通信流量数据对应的通信进程。

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

将所述第一处理结果或所述第二处理结果发送给管理员终端，以使所述管理员终端显示所述第一处理结果或所述第二处理结果。

8.根据权利要求1所述的方法，其特征在于，所述方法还包括：

按照预设周期获取所述待保护工控主机发送的第二目标数据，其中，所述第二目标数据包括以下至少一种：第二目标文件、所述第二目标文件的哈希值、所述第二目标文件的注册表数据、进程数据、所述通信流量数据、所述通信流量数据的通信参数，所述第二目标文件为按照所述预设周期从所述待保护工控主机的存储设备中获取到的全部文件；

对所述第二目标文件进行病毒扫描，判断所述第二目标文件中是否包含病毒；

若否，则将所述第二目标文件和所述第二目标文件的哈希值添加至所述预设文件名单中，并基于所述第二目标数据，构建通信网络图。