工业环境中基于白名单与文件特征码的主机保护方法及系统技术方案

本发明专利技术提供一种主机保护方法和系统，该主机保护方法包括初步判定步骤，对待执行的可执行程序进行初步判定，以判断所述可执行程序是否位于预先创建的程序白名单基线中；提取步骤，当所述可执行程序不在所述程序白名单基线中时，提取所述可执行程序的文件特征码、文件的hash值和文件的原始路径信息；比对步骤，将所述文件特征码与预先存储的病毒库的信息进行比对；程序归类处理步骤，基于比对结果将所述可执行程序归类；以及用户确认处理步骤，基于归类结果提示用户进行确认处理，并基于所述用户的确认信息执行相应操作。

Host protection method and system based on whitelist and file signature in industrial environment

【技术实现步骤摘要】
工业环境中基于白名单与文件特征码的主机保护方法及系统
本专利技术涉及网络安全防护领域，具体地，涉及一种主机保护方法及系统。
技术介绍
在当前大多数工业现场环境中，主机数量多，操作系统版本较低，且不能连入互联网及时更新各类安全补丁。除此之外，一些工业现场环境中的主机设备因硬件或软件原因，无法安装通用的病毒查杀工具以执行全盘扫描等操作，由此给很多恶意病毒文件带来可乘之机。当某些恶意病毒文件伪装成系统文件时，导致操作员很难区分可执行文件的合法性。如果操作员误执行此类程序，则恶意病毒文件可能会利用某些系统漏洞对工业现场中的各类设施发动攻击，并引发一系列严重后果。对此需要解决下列问题：识别工业现场环境中的恶意病毒文件；和阻止主机设备上的恶意病毒文件的执行等。基于此，已经公开了若干能够解决上述问题的技术，例如，一种病毒检测方法通过安全漏洞将无害的病毒扫描程序植入到智能终端；并且利用病毒扫描程序检测该智能终端是否有病毒入侵行为从而将结果上传至服务端。然而，该病毒检测方法由于需要依赖安全漏洞植入扫描程序，所以当漏洞被修复时该方法将不再适用。而且本文档来自技高网...

【技术保护点】
1.一种主机保护方法，其特征在于，所述主机保护方法包括：/n初步判定步骤，对待执行的可执行程序进行初步判定，以判断所述可执行程序是否位于预先创建的程序白名单基线中；/n提取步骤，当所述可执行程序不在所述程序白名单基线中时，提取所述可执行程序的文件特征码、文件的hash值和文件的原始路径信息；/n比对步骤，将所述文件特征码与预先存储的病毒库的信息进行比对；/n程序归类处理步骤，基于比对结果将所述可执行程序归类；以及/n用户确认处理步骤，基于归类结果提示用户进行确认处理，并基于所述用户的确认信息执行相应操作。/n

【技术特征摘要】
1.一种主机保护方法，其特征在于，所述主机保护方法包括：
初步判定步骤，对待执行的可执行程序进行初步判定，以判断所述可执行程序是否位于预先创建的程序白名单基线中；
提取步骤，当所述可执行程序不在所述程序白名单基线中时，提取所述可执行程序的文件特征码、文件的hash值和文件的原始路径信息；
比对步骤，将所述文件特征码与预先存储的病毒库的信息进行比对；
程序归类处理步骤，基于比对结果将所述可执行程序归类；以及
用户确认处理步骤，基于归类结果提示用户进行确认处理，并基于所述用户的确认信息执行相应操作。


2.根据权利要求1所述的主机保护方法，其中
在所述程序归类处理步骤中，当所述比对结果表明所述可执行程序为非病毒文件时，将所述可执行程序归类为候选白名单程序，并且将所述可执行程序添加到白名单基线待确认列表；并且
当所述比对结果表明所述可执行程序为病毒文件时，将所述可执行程序归类为待确认病毒程序，并且阻止所述可执行程序的运行，同时将所述可执行程序的源文件主动移至隔离沙箱中。


3.根据权利要求2所述的主机保护方法，其中，
在所述用户确认处理步骤中，当所述可执行程序被归类为所述候选白名单程序时，提示用户确认是否执行所述可执行程序。


4.根据权利要求2所述的主机保护方法，其中，
在所述用户确认处理步骤中，当所述可执行程序被归类为所述待确认病毒程序时，提示用户选择是否信任所述可执行程序。


5.根据权利要求4所述的主机保护方法，其中，
当用户选择不信任所述可执行程序时，直接将所述可执行程序的所述源文件从所述隔离沙箱永久删除；并且
当用户选择信任所述可执行程序时，将所述可执行程序恢复至原始路径，并提示用户选择永久信任还是暂时信任所述可执行程序。


6.根据权利要求1至5的任意一项所述的主机保护方法，其中，
当所述比对结果表明所述可执行程序为病毒文件时，生成告警记录，并且
当获得用户的所述确认信息之后，将所述告警记录置为已处理状态。


7.根据权利要求1至6的任意一项所述的主机保护方法，其中，所述主机保护方法还包括升级所述病毒库，其中，升级所述病毒库包括：
用户通过操作界面选择新病毒库文件并上传；
初步校验所述新病毒库文件的文件名称以及格式的合法性；
停止病毒扫描引擎，并将旧病毒库从可执行目录备份至另一目录；以及
利用所述病毒扫描引擎加载用户上传的所述新病毒库文件。


8.根据权利要求7所述的主机保护方法，其中，
所述新病毒库文件存储在所述主机中或者存储在与所述主机连接的移动存储介质中。


9.一种主机保护方法，用于服务器端，其特征在于，所述主机保护方法包括：
接收由客户端提取并发送的可执行程序的文件特征码、hash值和原始路径信息，所述可执行程序不在所述客户端的程序白名单基线中；
将所述文件特征码与存储于所述服务器端的病毒库的信息进行比对，并将比对结果发送至所述客户端；以及
接收来自所述客户端的用户的确认信息。


10.根据权利要求9所述的主机保护方法，其中
当所述比对结果表明所述可执行程序为病毒文件时，所述服务器端生成告警记录，并且
当所述服务器端接收到用户的所述确认信息之后，将所述告警记录置为已处理状态。


11.根据权利要求9或10所述的主机保护方法，其中，所述主机保护方法还包括升级所述病毒库，其中，升级所述病毒库包括：
创建用于升级所述病毒库的操作界面以使得用户通过所述客户端选择新病毒库文件并上传；
初步校验所述新病毒库文件的文件名称以及格式的合法性；
停止病毒扫描引擎，并将旧病毒库从可执行目录备份...

【专利技术属性】
技术研发人员：张显，陈辉，李泽宏，胡毅，饶毅，李炎东，吴永琦，张启阳，薛文浩，李飞，
申请(专利权)人：贵州黔源电力股份有限公司，北京威努特技术有限公司，
类型：发明
国别省市：贵州;52