本发明专利技术公开了面向工业控制系统安全的智能检测设备和方法,所述设备拥有智能安全监测系统,所述智能安全监测系统包括程序软件识别模块、程序软件监测模块、智能判决模块、程序软件控制模块和通信模块;本发明专利技术的有益效果是:安全监测系统融合了黑名单和白名单,同时对未知程序软件的处理,设计了智能处理方式。根据安全监测设备的智能处理能力,本发明专利技术设计了不同场景下对未知程序软件的判决方法,避免了“允许”或“拒绝”两种简单的选择方式,而是结合人工干预和安全监测系统本身的智能判决,对人工干预的依赖性越来越小,安全监测系统可以首先在模拟系统中进行智能学习,然后在实际系统中可以作出智能性较强的安全保护。中可以作出智能性较强的安全保护。中可以作出智能性较强的安全保护。
【技术实现步骤摘要】
面向工业控制系统安全的智能检测设备和方法
[0001]本专利技术涉及工业物联网
,具体为面向工业控制系统安全的智能检测设备和方法。
技术介绍
[0002]2019年5月,国家标准化管理委员会发布了多个信息安全
的等级保护国家标准,包括《GB/T 22239
‑
2019信息安全技术网络安全等级保护基本要求》、《GB/T 25070
‑
2019信息安全技术网络安全等级保护安全设计技术要求》、《GB/T 28448
‑
2019信息安全技术网络安全等级保护测评要求》等。这些标准是基于之前一些标准的基础上修订的,增添了“物联网安全扩展要求”和“工业控制系统安全扩展要求”等方面的内容。在GB/T 22239
‑
2019的条款8.5.4.1关于“控制设备安全”的要求中,其中要求项e)为“应保证控制设备在上线前经过安全监测,避免控制设备固件中存在恶意程序软件”。
[0003]本行业的技术人员知道,工业控制系统中对监测恶意程序软件的常用方法是黑名单技术和白名单技术。其中,黑名单技术是在监测系统中提前输入已知病毒的特征,监测系统对系统中的每一个程序软件与已知病毒特征(或指纹)进行比对,若比对成功,则判断为恶意程序软件,并进行拦截;而白名单技术,就是在监测系统中提前输入某个工业控制系统中可能用到的程序软件的特征,监测系统对系统中的每一个程序软件与白名单中的特征进行比对,若比对成功,则判断为合法程序软件,并允许正常执行。
[0004]使用黑名单技术的监测系统,一般对不在黑名单上的程序软件不加干涉。黑名单技术的局限性是已知病毒库在不断更新。监测设备安装使用后,由于工业控制系统对通信的各种限制,病毒库可能得不到及时更新,这就导致一些不在黑名单上的恶意程序软件被允许执行,使得监测失败,造成对系统对破坏。
[0005]使用白名单技术的监测系统,一般对不在白名单上对程序软件予以过滤。但是,工业控制系统中可能某些程序软件在平时不执行,只有在特殊情况下才被执行,这种程序软件很容易在建立白名单时被遗漏。当系统需要执行这种合法程序软件但该程序又不在白名单中时,如果测评设备将其过滤阻止,则可能对工业控制系统的正常运转带来不良影响甚至给系统造成很大损失。
技术实现思路
[0006]本专利技术的目的在于提供面向工业控制系统安全的智能检测设备和方法,以解决上述
技术介绍
中提出的问题。
[0007]为实现上述目的,本专利技术提供如下技术方案:面向工业控制主机设备的智能安全监测设备,其特征在于,所述设备拥有智能安全监测系统,所述智能安全监测系统包括程序软件识别模块、程序软件监测模块、智能判决模块、程序软件控制模块和通信模块;
[0008]所述程序软件识别模块,用于监测到目标设备是否有新增程序软件;
[0009]所述程序软件监测模块,用于判断所述程序软件是否属于白名单、黑名单,或未知
类别;
[0010]所述智能判决模块,用于对未知程序软件进行智能判决;
[0011]所述程序软件控制模块,用于执行对所述程序软件的判决结果;
[0012]所述通信模块,用于连接程序软件识别模块和程序软件监测模块之间的数据传输,智能判决模块和程序软件控制模块之间的数据传输。
[0013]优选的,所述智能安全监测系统的程序软件监测模块包括黑名单单元、白名单单元和未知程序软件判决单元;
[0014]所述黑名单单元,用于诊断程序软件是否应该被杀灭;
[0015]所述白名单单元,用于诊断程序软件是否应该被允许执行;
[0016]所述未知程序软件判决单元,用于将不属于白名单和黑名单的程序软件转交给智能判决模块处理。
[0017]优选的,所述智能判决模块监测到一个未知程序软件时,报警并限时等待人工干预,当等待时间超过预置时间限度T而未得到人工干预超后,允许所述未知程序软件执行。
[0018]优选的,所述未知程序软件因超时未得到人工干预而被允许执行时,未知程序软件被运行执行后,警示操作人员,一个未知程序软件已被执行,并标注所述未知程序软件的执行进程名称或标识号。
[0019]优选的,若人工干预的结果是杀灭所述未知程序软件,则将所述未知程序软件添加到黑名单,如果人工干预的结果是允许所述未知程序软件执行,则将所述未知程序软件添加到白名单中。
[0020]优选的,若得到人工干预后,若对同一个未知程序软件,人工干预的结果都是杀灭所述未知程序软件,而且相同的人工干预达到或超过Tb次,则将所述未知程序软件添加到黑名单,若对同一个未知程序软件,人工干预的结果都是允许所述未知程序软件执行,而且相同的人工干预达到或超过Tw次,则将所述未知程序软件添加到白名单中,所述Tb和Tw是两个预先确定的整数值。
[0021]优选的,程序软件被允许执行后,所述未知程序软件的行为超出其正常行为范围,被安全监测系统判断为恶意代码,则所述安全监测系统将强行停止所述未知程序软件的执行,并警示人工干预;如果人工干预的结果是允许所述未知程序软件执行,则将所述未知程序软件的前期行为记录改为非异常,如果人工干预的结果是保持所述未知程序软件的终止执行,则将所述未知程序软件添加到黑名单中。
[0022]所述设备中配置的智能安全监测系统包括如下步骤:
[0023]S1、当需要人工干预时,除了人工对所述未知程序软件的判决外,还需要人工反馈额外信息,包括对所作判决的信心,反映信心水平的可以是数值,或数值段,或预置的描述性选项;
[0024]S2、当人工反馈判决信心水平达到最高值时,如果判决结果是允许所述未知代码执行,则将所述未知代码添加到白名单,如果判决结果是阻止所述未知代码执行,则将所述未知代码添加到黑名单;
[0025]S3、当人工反馈判决信心水平未达到最高值时,如果判决结果是允许所述未知程序软件进程的执行,则在下次发现所述未知程序软件进程时,等待人工干预的时间将缩短,然后允许其执行,如果判决结果是阻止所述未知代码执行,则在下次发现所述未知程序软
件进程时,等待人工干预的时间将缩短,然后杀灭所述未知程序软件进程。
[0026]与现有技术相比,本专利技术的有益效果是:安全监测系统融合了黑名单和白名单,同时对未知程序软件的处理,设计了智能处理方式。根据安全监测设备的智能处理能力,本专利技术设计了不同场景下对未知程序软件的判决方法,避免了“允许”或“拒绝”两种简单的选择方式,而是结合人工干预和安全监测系统本身的智能判决,对人工干预的依赖性越来越小,安全监测系统可以首先在模拟系统中进行智能学习,然后在实际系统中可以作出智能性较强的安全保护。
附图说明
[0027]图1为面向工业控制系统和工业物联网系统的智能安全监测设备的构成示意图;
[0028]图2为程序软件监测模块的构成示意图;
[0029]图3为程序软件监测模块的判决流程图。
具体实施方式
[0030]下面将结合本专利技术实施例本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.面向工业控制主机设备的智能安全监测设备,其特征在于,所述设备拥有智能安全监测系统,所述智能安全监测系统包括程序软件识别模块、程序软件监测模块、智能判决模块、程序软件控制模块和通信模块;所述程序软件识别模块,用于监测到目标设备是否有新增程序软件;所述程序软件监测模块,用于判断所述程序软件是否属于白名单、黑名单,或未知类别;所述智能判决模块,用于对未知程序软件进行智能判决;所述程序软件控制模块,用于执行对所述程序软件的判决结果;所述通信模块,用于连接程序软件识别模块和程序软件监测模块之间的数据传输,智能判决模块和程序软件控制模块之间的数据传输。2.根据权利要求1所述的智能安全监测设备,其特征在于,所述智能安全监测系统的程序软件监测模块包括黑名单单元、白名单单元和未知程序软件判决单元;所述黑名单单元,用于诊断程序软件是否应该被杀灭;所述白名单单元,用于诊断程序软件是否应该被允许执行;所述未知程序软件判决单元,用于将不属于白名单和黑名单的程序软件转交给智能判决模块处理。3.根据权利要求2所述的智能安全监测设备,其特征在于,所述智能判决模块监测到一个未知程序软件时,报警并限时等待人工干预,当等待时间超过预置时间限度T而未得到人工干预超后,允许所述未知程序软件执行。4.根据权利要求3所述的智能安全监测设备,其特征在于,所述未知程序软件因超时未得到人工干预而被允许执行时,未知程序软件被运行执行后,警示操作人员,一个未知程序软件已被执行,并标注所述未知程序软件的执行进程名称或标识号。5.根据权利要求4所述当智能安全监测设备,其特征在于,若人工干预的结果是杀灭所述未知程序软件,则将所述未知程序软件添加到黑名单,如果人工干预的结果是允许所述未知程序软件执行,则将所述未知程序软件添加到白名单中。6.根据权利要求4...
【专利技术属性】
技术研发人员:武传坤,张辉文,方晓涛,
申请(专利权)人:安全邦北京信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。