【技术实现步骤摘要】
一种支持未知威胁检测的工控安全审计系统
[0001]本专利技术涉及一种工控安全审计系统,属于工业信息安全领域,尤其涉及一种支持未知威胁检测的工控安全审计系统
。
技术介绍
[0002]伴随两化融合工作的开展和深入,工业控制系统不再是一个信息孤岛,而是已经与管理系统甚至互联网互联互通
。
由于工业以太网
、
工业控制通信协议
、
工程师站
、Windows
操作系统和数据库等产品和技术在工业控制系统中被广泛应用,传统的网络安全问题已经在工业控制网络中出现,并对工业控制系统造成越来越多的安全威胁
。
因此,对于处于工控网络环境中的工控安全审计系统而言,亟需加强安全监测和防护
。
[0003]目前市面上的工控安全审计系统,基本原理为通过工业协议的识别和深度解析,依靠攻击特征库的模式匹配,从而完成对已知攻击行为的检测识别
。
但是新型程序的网络攻击,其采用的攻击手法和技术都是未知漏洞(
0day
)
、
未知恶意代码等未知行为,在这种情况下,无法依靠已知特征
、
已知行为模式进行检测,在理论上也就无法检测新型网络攻击
。
因此,目前工控网络环境下的安全审计仍存在巨大的风险和漏洞
。
技术实现思路
[0004]本申请提供了一种为具有未知威胁和新型网络攻击检测能力的工控安全审计系统,能够有效捕获未知攻击行为,分析攻击者意图, ...
【技术保护点】
【技术特征摘要】
1.
一种支持未知威胁检测的工控安全审计系统,其特征在于,该系统包括:文件输入模块,用于获取手动输入样本和协议还原样本;
AV
引擎检测模块,用于检测出所述文件输入模块中的恶意样本,进行病毒和木马的检测;深度检测模块,用于针对所述
AV
引擎检测模块没有检测出的恶意样本,采用独立隔离运行空间检测技术,进行深度检测和动态分析
。2.
根据权利要求1所述的支持未知威胁检测的工控安全审计系统,其特征在于,所述深度检测和动态分析包括:对网络数据包进行监控,当发现异常流量报文,但无法通过特征匹配确认为网络攻击时,保存完整的异常流量报文,并通过网络流量样本分析
、
内存和进程行为监控,实现对未知威胁的判定和验证
。3.
根据权利要求1所述的支持未知威胁检测的工控安全审计系统,其特征在于,所述深度检测模块包括调度进程子模块,用于对样本进行调度执行,将不同样本按照负载均衡的方式分配到不同虚拟机进行分析
。4.
根据权利要求3所述的支持未知威胁检测的工控安全审计系统,其特征在于,所述深度检测模块还包括服务进程子模块,用于模拟样本运行环境
、
用户操作,激发恶意样本暴露可疑行为;所述恶意样本包括:来源不可信
、
具破坏力或无法判定意图的程序
、
文件
。5.
根...
【专利技术属性】
技术研发人员:潘李华,傅涛,王力,陈芳,郭禹含,
申请(专利权)人:博智安全科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。