一种支持未知威胁检测的工控安全审计系统技术方案

本申请公开了一种支持未知威胁检测的工控安全审计系统，包括：文件输入模块

【技术实现步骤摘要】
一种支持未知威胁检测的工控安全审计系统


[0001]本专利技术涉及一种工控安全审计系统，属于工业信息安全领域，尤其涉及一种支持未知威胁检测的工控安全审计系统
。

技术介绍

[0002]伴随两化融合工作的开展和深入，工业控制系统不再是一个信息孤岛，而是已经与管理系统甚至互联网互联互通
。
由于工业以太网
、
工业控制通信协议
、
工程师站
、Windows
操作系统和数据库等产品和技术在工业控制系统中被广泛应用，传统的网络安全问题已经在工业控制网络中出现，并对工业控制系统造成越来越多的安全威胁
。
因此，对于处于工控网络环境中的工控安全审计系统而言，亟需加强安全监测和防护
。
[0003]目前市面上的工控安全审计系统，基本原理为通过工业协议的识别和深度解析，依靠攻击特征库的模式匹配，从而完成对已知攻击行为的检测识别
。
但是新型程序的网络攻击，其采用的攻击手法和技术都是未知漏洞（
0day
）
、
未知恶意代码等未知行为，在这种情况下，无法依靠已知特征
、
已知行为模式进行检测，在理论上也就无法检测新型网络攻击
。
因此，目前工控网络环境下的安全审计仍存在巨大的风险和漏洞
。

技术实现思路

[0004]本申请提供了一种为具有未知威胁和新型网络攻击检测能力的工控安全审计系统，能够有效捕获未知攻击行为，分析攻击者意图，实现未知威胁检测和新型网络攻击的检测，从而降低真实系统被攻击的风险
。
[0005]本申请所述的一种支持未知威胁检测的工控安全审计系统，包括：文件输入模块
、AV
引擎检测模块
、
深度检测模块
。
[0006]文件输入模块，用于获取手动输入样本和协议还原样本；
AV
引擎检测模块，用于检测出所述文件输入模块中的恶意样本，进行病毒和木马的检测；深度检测模块，用于针对所述
AV
引擎检测模块没有检测出的恶意样本，采用独立隔离运行空间检测技术，进行深度检测和动态分析
。
[0007]可选地，所述
AV
引擎检测模块根据恶意样本特征进行检测，所述恶意样本特征包括公共库中已发布的恶意样本特征及积累的已知恶意样本特征
。
[0008]可选地，所述深度检测和动态分析包括：对网络数据包进行监控，当发现异常流量报文，但无法通过特征匹配确认为网络攻击时，保存完整的异常流量报文，并通过网络流量样本分析
、
内存和进程行为监控，实现对未知威胁的判定和验证
。
[0009]所述深度检测模块包括调度进程子模块，用于对样本进行调度执行，将不同样本按照负载均衡的方式分配到不同虚拟机进行分析
。
其中，虚拟机之间采用隔离机制，也即每个虚拟机相当于一个“沙箱”。
[0010]可选地，所述深度检测模块还包括服务进程子模块，用于模拟样本运行环境
、
用户
操作，激发恶意样本暴露可疑行为；所述恶意样本包括但不限于来源不可信
、
具破坏力或无法判定意图的程序
、
文件
。
[0011]可选地，所述深度检测模块还包括监控进程子模块，用于对所述样本在虚拟机中运行的动态行为进行全面监控；包括感知样本检测模拟器和调试器的行为
。
其中，所述动态行为恶意样本程序的行为动作，包括注册表操作
、
网络行为
、
进程注入
、
文件操作以及内存信息的记录
。
[0012]可选地，所述监控进程子模块还用于对以下至少一种数据进行监控：可疑行为，网络流量，注册表
、
文件
。
[0013]可选地，所述深度检测模块还用于对于样本对抗动态分析环境的行为，进行反对抗
。
[0014]可选地，所述深度检测模块还包括判定子模块，用于采用独立隔离运行空间检测技术，根据样本在沙箱环境中表现出来的注册表操作
、
网络行为
、
进程注入
、
文件操作以及内存信息的记录分析，采用安全等级评分的方式，对恶意样本进行定性分析
。
[0015]可选地，所述记录分析包括生成分析报告，并提供数据溯源依据
。
[0016]可选地，所述数据溯源依据支持以运行时截屏和保存网络流量报文的方式获得
。
[0017]本申请能产生的有益效果包括：1）针对工控网络环境，本申请为用户提供了具有未知威胁检测和新型网络攻击的检测能力的工控安全审计系统
。
通过有效捕获未知攻击行为，分析攻击者意图，实现未知威胁检测和新型网络攻击的检测，从而发现工业网络内部的潜在安全风险，及时通知用户采取安全措施，降低真实系统被攻击的风险，提高工控网络环境的整体安全防护水平
。
[0018]2）本申请将各恶意程序文件分配到独立隔离运行空间；一方面，该操作动作不会造成其他空间的感染
、
破坏等；另一方面，方便完整地记录和查看此恶意程序文件的运行行为和操作
。
附图说明
[0019]图1为本申请一种实施方式中支持未知威胁检测的工控安全审计系统的内部结构关系框图
。
具体实施方式
[0020]下面结合实施例详述本申请，但本申请并不局限于这些实施例
。
[0021]请参见图1，其示出了一种实施方式中支持未知威胁检测的工控安全审计系统内部结构关系框图，该系统包括：文件输入模块
、AV
引擎检测模块
、
深度检测模块
。
文件输入模块产生的样本送入深度检测模块或
AV
引擎检测模块进行相关的专门处理分析
。
[0022]在一种实施方式中，所述文件输入模块用于获取手动输入样本和协议还原样本
。
所述手动输入样本由所述
AV
引擎检测模块完成病毒
、
木马的检测分析
。
当文件输入模块检测到未知流量数据包时，进行还原分析，得到协议还原样本，交由所述深度检测模块进行还原分析
。
[0023]在一种实施方式中，所述深度检测模块包括调度进程子模块
、
服务进程子模块
、
监控进程子模块
、
判定子模块
。
[0024]在一种实施方式中，所述调度进程子模块，用于对样本进行调度执行，将其按照负载均衡的方式分配到不同虚拟机进行分析，并完成环境防御
。
所述环境防御是指在此虚拟机环境中运行，且不影响或感染或破坏其他环境空间
。
[0025]在一种实施方式中，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种支持未知威胁检测的工控安全审计系统，其特征在于，该系统包括：文件输入模块，用于获取手动输入样本和协议还原样本；
AV
引擎检测模块，用于检测出所述文件输入模块中的恶意样本，进行病毒和木马的检测；深度检测模块，用于针对所述
AV
引擎检测模块没有检测出的恶意样本，采用独立隔离运行空间检测技术，进行深度检测和动态分析
。2.
根据权利要求1所述的支持未知威胁检测的工控安全审计系统，其特征在于，所述深度检测和动态分析包括：对网络数据包进行监控，当发现异常流量报文，但无法通过特征匹配确认为网络攻击时，保存完整的异常流量报文，并通过网络流量样本分析
、
内存和进程行为监控，实现对未知威胁的判定和验证
。3.
根据权利要求1所述的支持未知威胁检测的工控安全审计系统，其特征在于，所述深度检测模块包括调度进程子模块，用于对样本进行调度执行，将不同样本按照负载均衡的方式分配到不同虚拟机进行分析
。4.
根据权利要求3所述的支持未知威胁检测的工控安全审计系统，其特征在于，所述深度检测模块还包括服务进程子模块，用于模拟样本运行环境
、
用户操作，激发恶意样本暴露可疑行为；所述恶意样本包括：来源不可信
、
具破坏力或无法判定意图的程序
、
文件
。5.
根...

【专利技术属性】
技术研发人员：潘李华，傅涛，王力，陈芳，郭禹含，
申请(专利权)人：博智安全科技股份有限公司，
类型：发明
国别省市：