【技术实现步骤摘要】
本申请属于工控数字信息传输领域。尤其涉及一种基于行为特征的工控主机病毒检测方法及装置。
技术介绍
1、勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒利用各种加密算法对被感染者电脑文件进行加密,导致重要文件无法读取、关键数据被损坏、计算机被锁死等各种情况,之后勒索病毒还会在桌面等明显位置生成勒索提示文件,需要被感染者缴纳高额赎金才能获取解密密钥,恢复计算机系统和数据文件,而多数情况下,即使缴纳了高额的赎金也未必能正常恢复数据。
2、传统的勒索病毒检测方法主要是基于规则进行,即通过扫描主机,比对病毒库中勒索病毒的特征,从而确定主机是否中了勒索病毒,使用该方式需要比对大规模的特征库(千万级条以上),非常耗费资源和算力,而且还依赖于管理员要及时更新病毒库,否则不起作用。
3、而在工业场景下,工控主机一般性能不高,资源有限,甚至老旧和资源匮乏,而进行病毒检测时,需占用大量的cpu和内存资源,会导致系统从事其他工作的能力和资源不足,系统响应速度变慢,甚至卡顿;如果检测频率过高或者扫描深度过...
【技术保护点】
1.一种基于行为特征的工控主机病毒检测方法,其特征在于,所述方法包括:
2.如权利要求1所述的基于行为特征的工控主机病毒检测方法,其特征在于,所述目标主机运行状态指标受影响是指,所述目标主机当前运行状态指标相比该维度的基线运行状态指标发生变化;所述基线运行状态指标是目标主机在正常状态下各维度的运行状态指标。
3.如权利要求2所述的基于行为特征的工控主机病毒检测方法,其特征在于,所述基线运行状态指标,包括:获取所述目标主机各维度的历史运行状态指标值;按照既定的时间粒度和取值规则对数据汇总分析,将所获得的数值定义为目标主机在正常状态下各维度的基线运...
【技术特征摘要】
1.一种基于行为特征的工控主机病毒检测方法,其特征在于,所述方法包括:
2.如权利要求1所述的基于行为特征的工控主机病毒检测方法,其特征在于,所述目标主机运行状态指标受影响是指,所述目标主机当前运行状态指标相比该维度的基线运行状态指标发生变化;所述基线运行状态指标是目标主机在正常状态下各维度的运行状态指标。
3.如权利要求2所述的基于行为特征的工控主机病毒检测方法,其特征在于,所述基线运行状态指标,包括:获取所述目标主机各维度的历史运行状态指标值;按照既定的时间粒度和取值规则对数据汇总分析,将所获得的数值定义为目标主机在正常状态下各维度的基线运行状态指标值;所述数据汇总分析包括对所述运行状态指标值取最大值,和/或最小值,和/或中位数。
4.如权利要求1所述的基于行为特征的工控主机病毒检测方法,其特征在于,所述维度包括进程维度、和/或计算维度、和/或存储维度、和/或网络维度;
5.如权利要求1所述的基于行为特征的工控主机病毒检测方法,其特征在于,所述病毒行为状态链定义条件还包括病毒行为状态链时间周期,所述病毒行为状态链时间周期是所述病毒行为状态链中从初始影响维度发生到最终影响维度结束的系统遍历时间;当所述主机运行状态链的初始影响维...
【专利技术属性】
技术研发人员:薛一波,王敏,
申请(专利权)人:烽台科技北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。