本申请涉及一种工控网络恶意代码检测方法、系统、设备及存储介质,包括边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测;边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件筛选标记可疑文件,并将可疑文件发送至中心侧平台;中心侧平台接收并存储由边缘侧平台上报的可疑文件,基于沙箱检测可疑文件的安全性,于沙箱检测结果库记录检测结果;中心侧平台基于沙箱检测集群以及威胁情报库的检测结果分析异常行为,并发送安全事件至边缘侧平台;通过融合静态特征和动态沙箱检测技术提升恶意代码检出率,优化文件传输降低带宽压力,集约化提升资源利用率,降低计算成本。降低计算成本。降低计算成本。
【技术实现步骤摘要】
工控网络恶意代码检测方法、系统、设备及存储介质
[0001]本申请涉及网络安全
,特别是涉及一种工控网络恶意代码检测方法、系统及计算机设备。
技术介绍
[0002]目前,随着新技术不断革新,工业互联网的应用也大幅提升,工业互联网安全问题也逐渐凸显。尤其是在面对计算机网络和工业控制系统的攻击行为越来越高级且不断演化的情况下,其中病毒传播与破坏是工控网络的主要威胁之一,近年来勒索病毒肆虐,给受害者企业带来巨大损失。同时,有组织的黑客攻击事件频发,高级持续威胁的恶意软件隐蔽能力强,通常采用加密加壳等方式逃避特征检测,可轻易地贯通目标网络感染受害主机。
[0003]当前,对工控网络场景相关的恶意代码检测技术方案主要包括EDR(Endpoint Detection&Response,端点检测与响应)为代表的终端病毒检测技术,可发现基于已知特征检测的病毒威胁和基于非正常行为检测的未知威胁;二是防病毒网关技术,一般以网络设备方式保护网络进出数据的安全,可对HTTP、FTP、SMTP、IMAP等协议的数据进行文件还原和并以静态特征检测为主进行病毒扫描;三是沙箱(Sandbox)检测技术,为运行程序提供的虚拟化或仿真的系统环境,在隔离条件下检测恶意代码,可基于行为检测未知的威胁;四是云查杀技术,主要基于大数据引擎技术、人工智能扫描技术、基因检测技术等对代码行为进行检测,通过网络将文件传输到云端服务器进行自动分析、处理并将结果返回到客户端。
[0004]但是这些检测方法,对于EDR(端点检测与响应)技术,在封闭的工控网络内,EDR(端点检测与响应)的恶意代码检测特征库升级较慢,彼此隔离的网络环境导致检测结果无法共享。防病毒网关主要采用静态特征检测方式,对高隐蔽恶意代码检测能力不足,APT等恶意代码可通过加壳加密等手段规避检测;对于沙箱(Sandbox)检测技术,在每个工控网络部署动态沙箱成本非常高,维护困难,且由于工控生产网文件传输场景少,沙箱负载不高,计算资源容易浪费;而对于采用传统云查杀模式,则面临各监测设备禁止连接互联网问题,以及通信专线带宽窄(通常为5Mbps)承载文件传输性能差等问题。
技术实现思路
[0005]基于此,本申请提供了一种工控网络恶意代码检测方法、系统及计算机设备,以达到通过融合静态特征和动态沙箱检测技术提升恶意代码检出率,优化文件传输降低带宽压力,集约化提升资源利用率,降低计算成本的效果。
[0006]第一方面,本申请提供了一种工控网络恶意代码检测方法,该方法包括:边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测;所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台;所述中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测集群以及威胁情报库检测所述可疑文件的安全性,并于沙箱检测结果库记录检测结果;所述中心侧平台基
于沙箱检测集群以及威胁情报库的检测结果分析异常行为,并发送安全事件至所述边缘侧平台及其他安全平台。
[0007]可选的是,所述边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测,包括:所述边缘侧平台将待检测文件发送至病毒检测模块,所述病毒检测模块基于静态特征检测恶意代码,并计算待检测文件的哈希值Hash_n,保存检测结果至文件信息库;所述边缘侧平台向所述中心侧平台上报有恶意代码的文件信息。
[0008]可选的是,所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台,包括:获取所述可疑文件的文件类型,对上报的所述可疑文件按类型基于预设的文件优先级表格确立所述可疑文件发送优先级FP,对应数值越大,优先级越高;获取所述可疑文件的端口风险度,评估所述可疑文件传输涉及的端口服务的风险PR,若采用协议标准端口则PR为0,否则PR大于0;获取所述可疑文件的安全事件发生风险值,检查所述可疑文件传输涉及的IP地址是否近期存在已发生的安全事件,设其关联风险为CR,若当近期有发生的事件,基于当前时间与上一事件发生时间之间间隔,计算CR;获取所述可疑文件的待发送数据量c,检查待发送数据量c,基于待发送数据量c,计算所述可疑文件检测阈值DT;依据所述可疑文件生成时间顺序,将分析计算得到的所述可疑文件的所述文件类型对应的优先级FP、所述端口风险度、所述安全事件发生风险值相加并减去所述待发送数据量得到的数设为发送值;若所述发送值大于0,则发送所述可疑文件至中心侧平台,否则,忽略该所述可疑文件。
[0009]可选的是,所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台还包括:所述边缘侧平台采用动态策略筛选出所述可疑文件并以哈希值命名为File_n,从文件信息库中查询是否存在已发送的文件的哈希值与所述可疑文件的哈希值Hash_n相等;若不存在相等的哈希值,则先发送所述可疑文件的本体文件File_n内容至所述中心侧平台,并在所述文件信息库中添加一条File_n相关的记录,并设置记录生存时间TTL;若存在相等的哈希值,即检索到历史发送文件File_o的哈希值等于Hash_n,则只发送File_o基本信息和File_n基本信息至所述中心侧平台,然后更新File_o对应记录的生存时间TTL。
[0010]可选的是,所述中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测所述可疑文件的安全性,并于沙箱检测结果库记录检测结果,包括:所述中心侧平台接收所述边缘侧平台发送的所述可疑文件信息,以哈希值为文件命名,并查询文件对象存储库中的历史文件是否有与所述可疑文件信息的文件名相等的文件;若没有,则接收所述可疑文件的文件信息包含的本体文件,并以哈希值为文件名把本体文件存入文件对象存储库中;若有,则不对所述可疑文件做入库处理。
[0011]可选的是,所述中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测所述可疑文件的安全性,并于沙箱检测结果库记录检测结果,还包括:接收待检测文件信息,并基于以哈希值命名的文件,查询沙箱检测结果库;若不存在历史记录,则调用闲置沙箱结合威胁情报库开展检测,并将检测结果记录至沙箱检测结果库,设置该记录的生存时间TTL;若存在历史记录,则直接引用历史记录的检测结果。
[0012]可选的是,所述中心侧平台基于沙箱检测集群以及威胁情报库的检测结果分析异常行为,发送安全事件至所述边缘侧平台及其他安全组件,包括:所述中心侧平台基于沙箱检测集群以及威胁情报库的检测结果,根据大数据统计分析异常传播的文件,记录安全事件,并发送安全事件至所述边缘侧平台及其它安全平台。
[0013]第二方面,本申请提供了一种工控网络恶意代码检测系统,该系统包括本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工控网络恶意代码检测方法,其特征在于,该方法包括:边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测;所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台;所述中心侧平台接收并存储由所述边缘侧平台上报的所述可疑文件,基于沙箱检测所述可疑文件的安全性,并于沙箱检测结果库记录检测结果;所述中心侧平台基于沙箱检测集群以及威胁情报库的检测结果分析异常行为,并发送安全事件至所述边缘侧平台及其他安全平台。2.根据权利要求1所述的工控网络恶意代码检测方法,其特征在于,所述边缘侧平台基于对从本地流量还原的文件以及终端安全系统提交的文件进行静态安全检测,包括:所述边缘侧平台将待检测文件发送至病毒检测模块,所述病毒检测模块基于静态特征检测恶意代码,并计算待检测文件的哈希值Hash_n,保存检测结果至文件信息库;所述边缘侧平台向所述中心侧平台上报有恶意代码的文件信息。3.根据权利要求1所述的工控网络恶意代码检测方法,其特征在于,所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台,包括:获取所述可疑文件的文件类型,对上报的所述可疑文件按类型基于预设的文件优先级表格确立所述可疑文件发送优先级FP,对应数值越大,优先级越高;获取所述可疑文件的端口风险度,评估所述可疑文件传输涉及的端口服务的风险PR,若采用协议标准端口则PR为0,否则PR大于0;获取所述可疑文件的安全事件发生风险值,检查所述可疑文件传输涉及的IP地址是否近期存在已发生的安全事件,设其关联风险为CR,若当近期有发生的事件,基于当前时间与上一事件发生时间之间间隔,计算CR;获取所述可疑文件的待发送数据量c,检查待发送数据量c,基于待发送数据量c,计算所述可疑文件检测阈值DT;依据所述可疑文件生成时间顺序,将分析计算得到的所述可疑文件的所述文件类型对应的优先级FP、所述端口风险度、所述安全事件发生风险值相加并减去所述待发送数据量得到的数设为发送值;若所述发送值大于0,则发送所述可疑文件至中心侧平台;否则,忽略该所述可疑文件。4.根据权利要求3项所述的工控网络恶意代码检测方法,其特征在于,所述边缘侧平台从文件类型、端口风险度、安全事件发生风险值、待发送数据量维度形成动态策略对文件进行检测分析,筛选标记可疑文件,并将所述可疑文件发送至中心侧平台,还包括:所述边缘侧平台采用动态策略筛选出所述可疑文件并以哈希值命名为File_n,从文件信息库中查询是否存在已发送的文件的哈希值与所述可疑文件的哈希值Hash_n相等;若不存在相等的哈希值,则先发送所述可疑文件的本体文件File_n内容至所述中心侧平台,并在所述文件信息库中添加一条File_n相关的记录,...
【专利技术属性】
技术研发人员:黄石海,黄仁亮,郭炳峰,
申请(专利权)人:中能融合智慧科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。