【技术实现步骤摘要】
一种针对工控设备的恶意代码发现方法
本专利技术涉及信息安全
,公开了一种通过工控系统的保护应用在工控设备中发现恶意代码的方法。
技术介绍
工控设备由于其生命周期久,不间断运行,通常采用的操作系统较为老旧,且不便于打补丁。导致针对大量老旧系统的安全漏洞的工具能较为顺利地对工控系统发动攻击,其中尤其以远程执行恶意代码危害性为最大。现有技术中,已有尝试采用黑白名单制方法进行实现恶意代码识别的技术。例如中国专利CN104573516A,以完整性度量与管控技术为依托,以防止不受信任的程序在工业控制终端(操作站)运行为目的。CN104573516A通过完整性度量与管控技术解决计算机程序在加载时的识别问题,并禁止不被信任程序的运行。其主要缺陷在于代码识别(既术语完整性度量所表达的主要意义)机制的触发时机需要在计算机程序加载时得到控制权。其关键步骤在于“2-1)修改工控终端操作系统内核,通过钩子函数捕获已加载到操作系统即将运行的程序进程,通过特定算法对加载入内存的程序进程代码进行计算,得到摘要值即为度量值,在进程正常运行前完成度量;”,由于系统的执行权限的获取,并不局限于通...
【技术保护点】
1.一种针对工控设备的恶意代码发现方法,是对系统中所有线程或操作系统的执行单元的CPU的PC寄存器定时进行检查,通过对线程或操作系统的执行单元的PC寄存器位置所属的可执行模块进行比对,根据执行位置来判断是否属于系统自身可执行文件,还是可读写内存区域(非代码区域),还是位于临时位置的可执行文件,从而发现针对工控设备的恶意代码。
【技术特征摘要】
1.一种针对工控设备的恶意代码发现方法,是对系统中所有线程或操作系统的执行单元的CPU的PC寄存器定时进行检查,通过对线程或操作系统的执行单元的PC寄存器位置所属的可执行模块进行比对,根据执行位置来判断是否属于系统自身可执行文件,还是可读写内存区域(非代码区域),还是位于临时位置的可执行文件,从而发现针对工控设备的恶意代码。2.一种针对工控设备的恶意代码发现方法,其特征在于,所述发现方法包括如下步骤:1)工控终端操作系统启动;2)工控终端保护应用启动;3)工控终端保护应用开始对操作系统内核,已经运行的所有进程依次进行快照;所述快照内容包含:3.1)进程内存镜像;3.2)进程执行单元镜像;3.3)进程执行者身份标识及开启的特权状态快照;3.4)工控操作系统所带有的特有属性的状态快照;4)工控终端保护应用开始步骤3获得的信息进行恶意代码可疑度分析;5)在步骤3.4过程中,工控终端保护应用周期性检测自身CPU资源占用量,适当约束CPU使用量;6)当检测出可疑代码时,根据如果可疑代码位置位于可执行文件映射区域,则计算出可...
【专利技术属性】
技术研发人员:陈琳,张漪,闫国星,宋震,张志勇,陈曦,
申请(专利权)人:中国船舶重工集团公司第七一四研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。