一种虚拟互联隔离系统及工控病毒分析方法技术方案

本申请提供了一种虚拟互联隔离系统及工控病毒分析方法，每个工控虚拟机分别与交换机相连，交换机为每个工控虚拟机分配第二VLAN标识，每个工控虚拟机的第二VLAN标识各不相同，每个工控虚拟机的第二VLAN标识对其它工控虚拟机均不公开，每个工控虚拟机通过其第二VLAN标识与其工控系统对应的工控设备相连接，保证在工控系统运行病毒软件时，工控设备可以参与到病毒软件运行过程中，对病毒软件运行时的行为数据进行分析，可以明确病毒对工控设备的影响。并且，可以保证在病毒软件运行过程中工控设备之间进行通讯隔离，相互不影响与工控虚拟机之间的通信，病毒不会横向感染到其它工控设备。备。备。

【技术实现步骤摘要】
一种虚拟互联隔离系统及工控病毒分析方法


[0001]本申请涉及工业控制
，特别涉及一种虚拟互联隔离系统及工控病毒分析方法。

技术介绍

[0002]当前工控领域对病毒的分析通常是简单地在虚拟机运行病毒软件，对病毒进行静态分析。
[0003]但是，上述病毒分析方式没有工控设备参与，不能够明确病毒对工控设备的影响，病毒分析效果差。

技术实现思路

[0004]本申请提供如下技术方案：
[0005]一种虚拟互联隔离系统，包括：
[0006]物理服务器、云计算集群、交换机和工控设备，所述云计算集群至少包括：至少一个工控虚拟机和一个审计虚拟机，所述工控虚拟机安装有工控系统，所述审计虚拟机安装有审计系统；
[0007]所述物理服务器与互联网相连接，所述物理服务器至少包含调度控制系统；
[0008]每个所述工控虚拟机对应有第一虚拟局域网VLAN标识，每个所述工控虚拟机对应的第一VLAN标识各不相同，每个所述工控虚拟机的第一VLAN标识对其它工控虚拟机均不公开，每个所述工控虚拟机通过其对应的第一VLAN标识与所述物理服务器相连接；
[0009]每个所述工控虚拟机分别与所述交换机相连，所述交换机为每个所述工控虚拟机分配第二VLAN标识，每个所述工控虚拟机的第二VLAN标识各不相同，每个所述工控虚拟机的第二VLAN标识对其它工控虚拟机均不公开，每个所述工控虚拟机通过其第二VLAN标识与其工控系统对应的工控设备相连接；
[0010]所述调度控制系统，用于将病毒软件下发给所述工控虚拟机的工控系统；
[0011]所述工控系统用于运行所述病毒软件，并监控所述病毒软件运行时的行为，得到所述病毒软件运行时的行为数据，将包含所述病毒软件运行时的行为数据的网络流量发送给所述审计虚拟机的审计系统；
[0012]所述审计系统用于接收所述网络流量，并对所述网络流量中所述病毒软件运行时的行为数据进行分析，得到分析结果，并将所述分析结果传输给所述物理服务器；
[0013]所述工控虚拟机，还用于删除所述工控虚拟机中所述病毒软件运行时的行为数据。
[0014]可选的，所述物理服务器，还包括：Web系统；
[0015]所述Web系统用于获取用户针对目标工控系统输入的病毒软件，并所述病毒软件及所述病毒软件与所述目标工控系统的对应关系写入所述调度控制系统；
[0016]所述调度控制系统，具体用于基于所述病毒软件与所述目标工控系统的对应关
系，将所述病毒软件下发给所述目标工控系统所属工控虚拟机的工控系统。
[0017]可选的，所述调度控制系统，具体用于：进行自检，若自检通过，则将病毒软件下发给所述工控虚拟机；若自检和运行过程中存在异常，则对异常情况进行记录；
[0018]所述工控系统，具体用于：进行自检，若自检通过，则运行所述病毒软件，并监控所述病毒软件运行时的行为，得到所述病毒软件运行时的行为数据，将包含所述病毒软件运行时的行为数据的网络流量发送给所述审计虚拟机的审计系统；若自检和运行过程中存在异常，则对异常情况进行记录。
[0019]可选的，所述工控虚拟机包括两张网卡，其中一张网卡用于通过所述工控虚拟机对应的第一VLAN标识与所述物理服务器相连接，另一张网卡用于通过所述工控虚拟机的第二VLAN标识与所述工控虚拟机的工控系统对应的工控设备相连接。
[0020]可选的，所述物理服务器，还包括：通信限制系统，用于在病毒运行过程中捕获的数据包属于所述工控虚拟机的情况下，转发所述数据包到所述互联网；在病毒运行过程中捕获的数据包不属于所述工控虚拟机的情况下，丢弃所述数据包。
[0021]可选的，所述通信限制系统，具体用于在接收到的数据包属于所述工控虚拟机的情况下，若所述数据包的目的地址为内网地址，则丢弃所述数据包。
[0022]一种工控病毒分析方法，基于如上述任意一项所述的虚拟互联隔离系统，该方法包括：
[0023]调度控制系统将病毒软件下发给工控虚拟机的工控系统；
[0024]所述工控系统运行所述病毒软件，并监控所述病毒软件运行时的行为，得到所述病毒软件运行时的行为数据，将包含所述病毒软件运行时的行为数据的网络流量发送给所述审计虚拟机的审计系统；
[0025]所述审计系统接收所述网络流量，并对所述网络流量中所述病毒软件运行时的行为数据进行分析，得到分析结果，并将所述分析结果传输给所述物理服务器；
[0026]所述工控虚拟机删除所述工控虚拟机中所述病毒软件运行时的行为数据。
[0027]可选的，所述方法还包括：
[0028]所述虚拟互联隔离系统中物理服务器的Web系统获取用户针对目标工控系统输入的病毒软件，并所述病毒软件及所述病毒软件与所述目标工控系统的对应关系写入所述调度控制系统；
[0029]所述调度控制系统将病毒软件下发给工控虚拟机的工控系统，包括：
[0030]所述调度控制系统基于所述病毒软件与所述目标工控系统的对应关系，将所述病毒软件下发给所述目标工控系统所属工控虚拟机的工控系统。
[0031]可选的，所述调度控制系统将病毒软件下发给工控虚拟机的工控系统，包括：
[0032]所述调度控制系统进行自检，若自检通过，则将病毒软件下发给所述工控虚拟机；若自检和运行过程中存在异常，则对异常情况进行记录；
[0033]所述工控系统运行所述病毒软件，并监控所述病毒软件运行时的行为，得到所述病毒软件运行时的行为数据，将包含所述病毒软件运行时的行为数据的网络流量发送给所述审计虚拟机的审计系统，包括：
[0034]所述工控系统进行自检，若自检通过，则运行所述病毒软件，并监控所述病毒软件运行时的行为，得到所述病毒软件运行时的行为数据，将包含所述病毒软件运行时的行为
数据的网络流量发送给所述审计虚拟机的审计系统；若自检和运行过程中存在异常，则对异常情况进行记录。
[0035]可选的，所述方法还包括：
[0036]所述虚拟互联隔离系统中物理服务器的通信限制系统在病毒运行过程中捕获的数据包属于所述工控虚拟机的情况下，转发所述数据包到所述互联网。
[0037]所述通信限制系统在病毒运行过程中捕获的数据包不属于所述工控虚拟机的情况下，丢弃所述数据包。
[0038]与现有技术相比，本申请的有益效果为：
[0039]在本申请中，每个所述工控虚拟机分别与所述交换机相连，所述交换机为每个所述工控虚拟机分配第二VLAN标识，每个所述工控虚拟机的第二VLAN标识各不相同，每个所述工控虚拟机的第二VLAN标识对其它工控虚拟机均不公开，每个所述工控虚拟机通过其第二VLAN标识与其工控系统对应的工控设备相连接，保证在工控系统运行病毒软件时，工控设备可以参与到病毒软件运行过程中，对病毒软件运行时的行为数据进行分析，可以明确病毒对工控设备的影响。并且，可以保证在病毒软件运行过程中工控设备之间进行通讯隔离，相互不影响与工控虚拟机之间的通信，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种虚拟互联隔离系统，其特征在于，包括：物理服务器、云计算集群、交换机和工控设备，所述云计算集群至少包括：至少一个工控虚拟机和一个审计虚拟机，所述工控虚拟机安装有工控系统，所述审计虚拟机安装有审计系统；所述物理服务器与互联网相连接，所述物理服务器至少包含调度控制系统；每个所述工控虚拟机对应有第一虚拟局域网VLAN标识，每个所述工控虚拟机对应的第一VLAN标识各不相同，每个所述工控虚拟机的第一VLAN标识对其它工控虚拟机均不公开，每个所述工控虚拟机通过其对应的第一VLAN标识与所述物理服务器相连接；每个所述工控虚拟机分别与所述交换机相连，所述交换机为每个所述工控虚拟机分配第二VLAN标识，每个所述工控虚拟机的第二VLAN标识各不相同，每个所述工控虚拟机的第二VLAN标识对其它工控虚拟机均不公开，每个所述工控虚拟机通过其第二VLAN标识与其工控系统对应的工控设备相连接；所述调度控制系统，用于将病毒软件下发给所述工控虚拟机的工控系统；所述工控系统用于运行所述病毒软件，并监控所述病毒软件运行时的行为，得到所述病毒软件运行时的行为数据，将包含所述病毒软件运行时的行为数据的网络流量发送给所述审计虚拟机的审计系统；所述审计系统用于接收所述网络流量，并对所述网络流量中所述病毒软件运行时的行为数据进行分析，得到分析结果，并将所述分析结果传输给所述物理服务器；所述工控虚拟机，还用于删除所述工控虚拟机中所述病毒软件运行时的行为数据。2.根据权利要求1所述的系统，其特征在于，所述物理服务器，还包括：Web系统；所述Web系统用于获取用户针对目标工控系统输入的病毒软件，并所述病毒软件及所述病毒软件与所述目标工控系统的对应关系写入所述调度控制系统；所述调度控制系统，具体用于基于所述病毒软件与所述目标工控系统的对应关系，将所述病毒软件下发给所述目标工控系统所属工控虚拟机的工控系统。3.根据权利要求1所述的系统，其特征在于，所述调度控制系统，具体用于：进行自检，若自检通过，则将病毒软件下发给所述工控虚拟机；若自检和运行过程中存在异常，则对异常情况进行记录；所述工控系统，具体用于：进行自检，若自检通过，则运行所述病毒软件，并监控所述病毒软件运行时的行为，得到所述病毒软件运行时的行为数据，将包含所述病毒软件运行时的行为数据的网络流量发送给所述审计虚拟机的审计系统；若自检和运行过程中存在异常，则对异常情况进行记录。4.根据权利要求1所述的系统，其特征在于，所述工控虚拟机包括两张网卡，其中一张网卡用于通过所述工控虚拟机对应的第一VLAN标识与所述物理服务器相连接，另一张网卡用于通过所述工控虚拟机的第二VLAN标识与所述工控虚拟机的工控系统对应的工控设备相连接。5.根据权利要求1所述的系统...

【专利技术属性】
技术研发人员：崔行，刘国志，薛金良，还约辉，
申请(专利权)人：浙江国利网安科技有限公司，
类型：发明
国别省市：