[发明专利]一种基于自学习工控主机安全防护方法和系统

说明书

本发明提供了一种基于自学习工控主机安全防护方法和系统，涉及设备安全的技术领域，包括：获取待保护工控主机发送的第一目标数据；若所述第一目标数据为所述第一目标文件，且所述第一目标文件为未知目标文件，则对所述第一目标文件进行处理，得到第一处理结果，所述第一目标文件为所述待保护工控主机的存储设备中存储的待进行安全检测的目标文件；若所述第一目标数据为所述待保护工控主机的通信流量数据，且所述通信流量数据为未知通信流量数据，则对所述通信流量数据进行处理，得到第二处理结果，解决了现有的工控主机防护方法对工控主机的安全防护较差的技术问题。

技术领域

本发明涉及设备安全技术领域，尤其是涉及一种基于自学习工控主机安全防护方法和系统。

背景技术

在传统的工业控制系统领域中，工业控制系统的网络采取物理隔离的方式，整个控制系统的安全防护处于“裸奔”状态，即不存在安全防护设备，系统补丁也一直未更新。由于物理隔离、专用协议的原因，也较少发生安全事件。随着2010年震网病毒攻击伊朗核电站被曝光，到前段时间Black Energy针对乌克兰电网攻击事件表明，一直以来被认为相对封闭、专业和安全的工业控制系统已成为黑客、不法组织的攻击目标，隔离不能解决安全问题，并且随着工业信息化进程的快速推进,为实现系统间的协同和信息分享，工业控制系统也逐渐打破了以往的封闭性，原本隔离的区域以某种方式连接了起来，这使得工业控制系统也必将面临病毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁，安全问题会更加严峻。

针对上述问题，还未提出有效的解决方案。

发明内容

有鉴于此，本发明的目的在于提供一种基于自学习工控主机安全防护方法和系统，以缓解了现有的工控主机防护方法对工控主机的安全防护较差的技术问题。

第一方面，本发明实施例提供了一种基于自学习工控主机安全防护方法，该方法包括：获取待保护工控主机发送的第一目标数据；若所述第一目标数据为所述第一目标文件，且所述第一目标文件为未知目标文件，则对所述第一目标文件进行处理，得到第一处理结果，其中，所述第一处理结果用于表征是否阻断所述第一目标文件的运行进程，所述第一目标文件为所述待保护工控主机的存储设备中存储的待进行安全检测的目标文件；若所述第一目标数据为所述待保护工控主机的通信流量数据，且所述通信流量数据为未知通信流量数据，则对所述通信流量数据进行处理，得到第二处理结果，其中，所述第二处理结果用于表征是否阻断所述通信流量数据对应的通信进程。

进一步地，所述预设文件名单中包括至少一个预设文件的哈希值；判断所述第一目标文件是否为未知目标文件，具体包括：计算所述第一目标文件的哈希值；将所述第一目标文件的哈希值与所述预设文件名单中的哈希值进行对比；若比对结果为所述预设文件名单中不包含所述第一目标文件的哈希值，则确定所述第一目标文件为未知目标文件。

进一步地，判断所述通信流量数据是否为未知通信流量数据，具体包括：确定第一待保护工控主机和第二待保护工控主机之间的通信流量数据的通信参数是否符合通信网络图，其中，所述第一待保护工控主机为待保护工控主机中接收所述通信流量数据的待保护工控主机，所述第二待保护工控主机为其他工控主机中向所述第一待保护工控主机发送所述通信流量数据的待保护工控主机，所述通信网络图中包括多个待保护工控主机，所述通信网络图用于表征任意两个待保护工控主机的之间的通信流量数据的通信参数；若不符合，则确定所述通信流量数据为所述未知通信流量数据。

进一步地，所述通信参数包括以下至少一种：各个待保护工控主机的IP地址，各个待保护工控主机的MAC地址，各个待保护工控主机之间进行通信的端口，各个待保护工控主机之间的通信协议。

进一步地，对所述第一目标文件进行处理包括：若所述服务器的处理模式为高可用模式的情况下，则对所述第一目标文件进行病毒扫描；若确定出所述第一目标文件中不包含病毒，则放行所述第一目标文件的运行进程；若所述服务器的处理模式为高安全模式的情况下，则阻断所述第一目标文件的运行进程。