工业主机的安全防护方法、装置、系统及存储介质与流程

1.本发明实施例涉及工业安全技术领域，尤其涉及一种工业主机的安全防护 方法、装置、系统及存储介质。


背景技术：

2.现有技术中，工业主机相对普通的it系统主机，在安全防护方面存在以下 特点：1)工业主机在投运后会运行很多年，硬件资源受限，往往不能安装杀毒 软件；2)工业主机不会随意升级或增加新的软件、插件，工控系统中的防病毒 库也不能定期升级；3)安装的普通杀毒软件可能会误杀关键进程，造成工控系 统运行异常的事件；4)杀毒软件一般会使用本地引擎或云端病毒库对工业主机 进行病毒查杀，可能会对造成工业软件的处理延时。这些特点导致对工业主机 进行全面的安全防护比较困难。
3.

技术实现要素：

4.本发明实施例提供一种工业主机的安全防护方法、装置、系统及存储介质， 通过进行轻量级的白名单匹配，禁止异常程序在工业主机中运行，实现对工业 主机的安全防护。
5.第一方面，本发明实施例提供了一种工业主机的安全防护方法，应用于安 装在工业主机上的安全防护系统客户端，包括：
6.检测到工业主机中运行有目标软件时，自动扫描目标软件的可执行文件的 数据内容，生成目标文件特征码；
7.使用目标文件特征码从白名单库中匹配目标白名单，并从目标白名单中获 取与目标文件特征码对应的工作模式；
8.确定执行目标软件的可疑文件所对应的可疑文件特征码，查询白名单库中 是否存在与可疑文件特征码匹配的白名单；
9.如果不存在，则根据目标软件的工作模式对可疑文件进行相应的告警或阻 断操作。
10.可选的，工作模式包括告警模式和防护模式；
11.告警模式，用于在异常程序执行被保护的可执行文件时，进行实时告警， 但不阻断异常程序执行；
12.防护模式，用于在异常程序执行被保护的可执行文件时，进行实时告警， 并阻断异常程序执行。
13.可选的，还包括：
14.如果检测到工业主机下载或者开启使用新软件，则为新软件设置工作模式， 并自动扫描新软件的可执行文件的数据内容，生成新的文件特征码；
15.使用新的文件特征码和工作模式生成新的白名单，并将新的白名单存储到 白名
单库中更新生效。
16.可选的，还包括：
17.当检测到外部存储设备接入时，基于外部存储设备的唯一标识判断外部存 储设备是否具有接入权限；
18.如果有接入权限，则根据外部存储设备的唯一标识匹配获取设备操作权限， 并根据设备操作权限响应外部存储设备的操作。
19.第二方面，本发明实施例还提供了一种工业主机的安全防护装置，应用于 安装在工业主机上的安全防护系统客户端，包括：
20.文件扫描模块，用于检测到工业主机中运行有目标软件时，自动扫描目标 软件的可执行文件的数据内容，生成目标文件特征码；
21.白名单匹配模块，用于使用目标文件特征码从白名单库中匹配目标白名单， 并从目标白名单中获取与目标文件特征码对应的工作模式；
22.查询模块，用于确定执行目标软件的可疑文件所对应的可疑文件特征码， 查询白名单库中是否存在与可疑文件特征码匹配的白名单；
23.告警模块，用于如果不存在，则根据目标软件的工作模式对可疑文件进行 相应的告警或阻断操作。
24.可选的，工作模式包括告警模式和防护模式；
25.告警模式，用于在异常程序执行被保护的可执行文件时，进行实时告警， 但不阻断异常程序执行；
26.防护模式，用于在异常程序执行被保护的可执行文件时，进行实时告警， 并阻断异常程序执行。
27.第三方面，本发明实施例还提供了一种工业主机安全防护系统，系统包括： 安装在工业主机上的客户端以及安装在服务器上的控制中心；
28.客户端，用于执行本发明实施例提供的工业主机的安全防护方法；
29.控制中心，用于对联网情况下的多个工业主机进行集中管理。
30.可选的，工业主机安全防护系统包括单机版本和网络版本；
31.单机版本的工业主机安全防护系统用于对隔离情况下孤立的工业主机进行 安全防护，系统包括：安装在工业主机上的客户端；
32.网络版本的工业主机安全防护系统用于对联网情况下的多个工业主机进行 集中管控，系统包括：安装在工业主机上的客户端以及安装在服务器上的控制 中心。
33.可选的，控制中心，用于收集各客户端上报的日志数据进行分析，如果发 现网络攻击事件，则切断网络攻击事件的传播路径，并生成安全防护策略下发 至所有工业主机上的客户端。
34.第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有 计算机程序，该程序被处理器执行时实现本发明任意实施例提供的工业主机的 安全防护方法。
35.本发明实施例中，工业主机安全防护系统客户端检测到工业主机中运行有 目标软件时，自动扫描目标软件的可执行文件的数据内容，生成目标文件特征 码；使用目标文件特征码从白名单库中匹配目标白名单，并从目标白名单中获 取与目标文件特征码对应的工作模式；确定执行目标软件的可疑文件所对应的 可疑文件特征码，查询白名单库中是
否存在与可疑文件特征码匹配的白名单； 如果不存在，则根据目标软件的工作模式对可疑文件进行相应的告警或阻断操 作，解决了现有技术中对工业主机进行安全防护困难的问题，通过进行轻量级 的白名单匹配，禁止异常程序在工业主机中运行，实现对工业主机的安全防护。
附图说明
36.图1a是本发明实施例一中的一种工业主机的安全防护方法的流程图；
37.图1b是本发明实施例一中的一种白名单架构示意图；
38.图1c是本发明实施例一中的一种异常程序的拦截流程图；
39.图2是本发明实施例二中的一种工业主机的安全防护装置的结构示意图；
40.图3a是本发明实施例三中的一种工业主机安全防护系统的结构示意图；
41.图3b是本发明实施例三中的一种网络版本的工业主机安全防护系统的架 构图。
具体实施方式
42.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此 处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需 要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结 构。
43.实施例一
44.图1a是本发明实施例一中的一种工业主机的安全防护方法的流程图，本实 施例可适用于对工业主机进行全面的安全防护的情况，该方法可以由工业主机 的安全防护装置来执行，该装置可以由硬件和/或软件来实现，并一般可以集成 在提供工业安全防护服务的工业主机安全防护系统客户端中。如图1a所示，该 方法包括：
45.步骤110、检测到工业主机中运行有目标软件时，自动扫描目标软件的可 执行文件的数据内容，生成目标文件特征码。
46.本实施例中，为了检测客户端所在工业主机中是否有异常程序，可以实时 检测工业主机中是否有软件在运行，如果捕获到正在运行的目标软件，则通过 全盘自动扫描将目标软件的可执行文件形成唯一的目标文件特征码。其中，文 件特征码不依赖于可执行文件的文件名称、文件路径或扩展名等信息，只依赖 于可执行文件本身的数据特征，只要可执行文件发生变化，文件特征码就相应 变化。
47.步骤120、使用目标文件特征码从白名单库中匹配目标白名单，并从目标 白名单中获取与目标文件特征码对应的工作模式。
48.本实施例中，白名单中包括预先设置的允许在工业主机中运行的可执行文 件的文件特征码以及工作模式。在确定目标文件特征码之后，可以使用目标文 件特征码在白名单库中查询匹配的白名单，如果查询到包括目标文件特征码的 目标白名单，则认为目标软件是被保护的常规软件，需要从目标白名单中获取 与目标文件特征码对应的工作模式，确定目标软件的安全防护等级。如果没有 查询到包括目标文件特征码的白名单，则认为目标软件未受保护，不对其进行 安全防护操作。
49.可选的，工作模式包括告警模式和防护模式；告警模式，用于在异常程序 执行被保护的可执行文件时，进行实时告警，但不阻断异常程序执行；防护模 式，用于在异常程序
执行被保护的可执行文件时，进行实时告警，并阻断异常 程序执行。
50.本实施例中，可以根据重要性，将要保护的软件的工作模式设置为告警模 式或者防护模式。其中，当工作模式为告警模式时，如果被保护的可执行文件 被异常程序执行，会根据可执行文件和异常程序的相关信息进行实时告警，但 不会阻断异常程序的执行；当工作模式为防护模式时，如果被保护的可执行文 件被异常程序执行，会进行告警同时进行阻断，使得异常程序无法运行。
51.本实施例中，当在工业主机中安装系统客户端时，会选择工业主机使用的 软件，并自动扫描软件的可执行文件生成文件特征码加入白名单，然后为软件 设置相应的工作模式加入白名单，将白名单加入白名单库中应用生效，如图1b 所示，以便于后续根据白名单库中的白名单判断主机中的软件是否允许运行。
52.步骤130、确定执行目标软件的可疑文件所对应的可疑文件特征码，查询 白名单库中是否存在与可疑文件特征码匹配的白名单。
53.本实施例中，在确定目标软件为受保护软件后，需要进一步验证目标软件 的执行者是否是异常程序。可以先获取执行目标软件的程序作为可疑文件，扫 描该可疑文件的数据内容生成可疑文件特征码，在白名单库中根据可疑文件特 征码进行白名单匹配，如果匹配到白名单，则认为目标软件的执行者不是异常 程序，可以正常运行。
54.步骤140、如果不存在，则根据目标软件的工作模式对可疑文件进行相应 的告警或阻断操作。
55.本实施例中，如果白名单库中找不到与可以文件特征码匹配的白名单，则 认为目标软件的执行者为异常程序，需要进行相应的防护处理，此时，如果目 标软件的工作模式为告警模式，则根据可执行文件和异常程序的相关信息进行 实时告警，但不用阻断异常程序的运行；如果工作模式为防护模式，则会在进 行告警的同时阻断异常程序运行。
56.可选的，还可以包括：如果检测到工业主机下载或者开启使用新软件，则 为新软件设置工作模式，并自动扫描新软件的可执行文件的数据内容，生成新 的文件特征码；使用新的文件特征码和工作模式生成新的白名单，并将新的白 名单存储到白名单库中更新生效。
57.本实施例中，如图1b所示，当工业主机要使用新的软件，需要进行白名单 软件更新时，可以进行追加目录或追加文件进行白名单放行，也可设置信任目 录或信任文件进行完全信任和放行。当白名单进行更新后，需要存到白名单库 中进行应用生效。其中，新软件的白名单可以导入生成，也可以扫描生成。导 入生成，可以直接将已生成的白名单导入客户端中；扫描生成，可以通过自动 扫描新软件的可执行文件的数据内容生成新的文件特征码，并将新软件的工作 模式以及新的文件特征码加入新的白名单。其中，白名单库支持对白名单进行 查询、导入、导出以及显示列表等操作。
58.可选的，还可以包括：当检测到外部存储设备接入时，基于外部存储设备 的唯一标识判断外部存储设备是否具有接入权限；如果有接入权限，则根据外 部存储设备的唯一标识匹配获取设备操作权限，并根据设备操作权限响应外部 存储设备的操作。
59.本实施例中，如图1c所示，为了更加全面的对工业主机进行防护，可以预 先为外部存储设备设置接入权限，防止非授权的外部存储设备引入病毒。从而， 在发现有外部存储设备接入工业主机时，可以根据该设备的设备标识判断其是 否具有接入权限，如果没有
被授权，则不允许该设备接入，如果确定有授权， 则继续使用该设备的设备标识查询具体的操作权限，只对开放权限的操作进行 响应。
60.本实施例中，在对外部存储设备进行接入授权之外，还可以通过系统内置
ꢀ“
永恒之蓝”漏洞的网络防御引擎和专杀工具，对“永恒之蓝”及其变种网络 攻击实时拦截。利用“漏洞利用分析
‑
流量解析对比
‑
可疑攻击阻断”等技术， 无需为工业主机打补丁、关端口，即可进行“永恒之蓝”勒索病毒的预判与防 御。
61.本实施例中，工业主机安全防护系统以轻量级“白名单”的技术方式，全 方位地保护主机的资源使用。根据白名单策略，工业主机安全防护系统会禁止 非法进程的运行，并通过基于设备唯一标识的usb移动存储外设管控，禁止非 法usb设备的接入，同时对合法usb设备进行权限管控，还可以结合漏洞防御、 网络防护等安全防护措施，切断病毒和木马的传播与破坏路径。
62.本发明实施例中，工业主机安全防护系统客户端检测到工业主机中运行有 目标软件时，自动扫描目标软件的可执行文件的数据内容，生成目标文件特征 码；使用目标文件特征码从白名单库中匹配目标白名单，并从目标白名单中获 取与目标文件特征码对应的工作模式；确定执行目标软件的可疑文件所对应的 可疑文件特征码，查询白名单库中是否存在与可疑文件特征码匹配的白名单； 如果不存在，则根据目标软件的工作模式对可疑文件进行相应的告警或阻断操 作，解决了现有技术中对工业主机进行安全防护困难的问题，通过进行轻量级 的白名单匹配，禁止异常程序在工业主机中运行，实现对工业主机的安全防护。
63.实施例二
64.图2是本发明实施例二中的一种工业主机的安全防护装置的结构示意图， 本实施例可适用于对工业主机进行全面的安全防护的情况，该装置可以由硬件 和/或软件来实现，并一般可以集成在提供工业安全防护服务的工业主机安全防 护系统客户端中。如图2所示，该装置包括：
65.文件扫描模块210，用于检测到工业主机中运行有目标软件时，自动扫描 目标软件的可执行文件的数据内容，生成目标文件特征码；
66.白名单匹配模块220，用于使用目标文件特征码从白名单库中匹配目标白 名单，并从目标白名单中获取与目标文件特征码对应的工作模式；
67.查询模块230，用于确定执行目标软件的可疑文件所对应的可疑文件特征 码，查询白名单库中是否存在与可疑文件特征码匹配的白名单；
68.告警模块240，用于如果不存在，则根据目标软件的工作模式对可疑文件 进行相应的告警或阻断操作。
69.本发明实施例中，工业主机安全防护系统客户端检测到工业主机中运行有 目标软件时，自动扫描目标软件的可执行文件的数据内容，生成目标文件特征 码；使用目标文件特征码从白名单库中匹配目标白名单，并从目标白名单中获 取与目标文件特征码对应的工作模式；确定执行目标软件的可疑文件所对应的 可疑文件特征码，查询白名单库中是否存在与可疑文件特征码匹配的白名单； 如果不存在，则根据目标软件的工作模式对可疑文件进行相应的告警或阻断操 作，解决了现有技术中对工业主机进行安全防护困难的问题，通过进行轻量级 的白名单匹配，禁止异常程序在工业主机中运行，实现对工业主机的
安全防护。
70.可选的，工作模式包括告警模式和防护模式；
71.告警模式，用于在异常程序执行被保护的可执行文件时，进行实时告警， 但不阻断异常程序执行；
72.防护模式，用于在异常程序执行被保护的可执行文件时，进行实时告警， 并阻断异常程序执行。
73.可选的，还包括：
74.更新模块，用于如果检测到工业主机下载或者开启使用新软件，则为新软 件设置工作模式，并自动扫描新软件的可执行文件的数据内容，生成新的文件 特征码；
75.使用新的文件特征码和工作模式生成新的白名单，并将新的白名单存储到 白名单库中更新生效。
76.可选的，还包括：
77.接入检测模块，用于当检测到外部存储设备接入时，基于外部存储设备的 唯一标识判断外部存储设备是否具有接入权限；
78.如果有接入权限，则根据外部存储设备的唯一标识匹配获取设备操作权限， 并根据设备操作权限响应外部存储设备的操作。
79.本发明实施例所提供的工业主机的安全防护装置可执行本发明任意实施例 所提供的工业主机的安全防护方法，具备执行方法相应的功能模块和有益效果。
80.实施例三
81.图3a是本发明实施例三中的一种工业主机安全防护系统的结构示意图，本 实施例可适用于对工业主机进行全面的安全防护的情况。如图3a所示，该系统 包括：安装在工业主机上的客户端310以及安装在服务器上的控制中心320；
82.客户端310，用于执行本发明任意实施例提供的工业主机的安全防护方法；
83.控制中心320，用于对联网情况下的多个工业主机上的客户端进行集中管 理。
84.本实施例中，客户端310部署在需要被保护的工业主机上，执行最终的白 名单扫描和防护、外设管控、漏洞防御等安全防护操作，并与控制中心通信， 提供控制中心管理所需的相关安全告警信息。
85.可选的，控制中心320，用于收集各客户端上报的日志数据进行分析，如 果发现网络攻击事件，则切断网络攻击事件的传播路径，并生成安全防护策略 下发至所有工业主机上的客户端。
86.本实施例中，如图3b所示，控制中心采用b/s架构，允许随时随地通过浏 览器进行访问，来对客户端进行管理和控制，主要包括分组管理、策略制定下 发、统一白名单扫描(及定时扫描)、客户端软硬件资产管理等。此外，控制中 心还可以提供系统运维的基础服务，如：客户端升级服务、数据服务、通讯服 务等。其中，单个控制中心可并发管理6000多个主机客户端，可基于用户组织 架构进行安全风险管理。同时，针对每个客户端可进行灵活的模块配置、权限 配置、页面配置、扫描时间配置，满足工业主机现场定制化安全策略需求。
87.本实施例中，控制中心可以了解全网客户端的告警信息，掌握全网威胁状 况，预先设置安全防护策略，比如拦截常见网络攻击事件或者病毒等。如果控 制中心通过对客户
端的日志数据进行分析，发现网络攻击事件或者病毒等，则 切断其传播与破坏路径，并将对应的安全防护策略下发到所有主机的客户端进 行安全防护。
88.可选的，工业主机安全防护系统包括单机版本和网络版本；单机版本的工 业主机安全防护系统用于对隔离情况下孤立的工业主机进行安全防护，系统包 括：安装在工业主机上的客户端；网络版本的工业主机安全防护系统用于对联 网情况下的多个工业主机进行集中管控，系统包括：安装在工业主机上的客户 端以及安装在服务器上的控制中心。
89.本实施例中，考虑到工业主机可能由于联网情况或者其他原因导致无法与 外界通信，设计了单机版本和网络版本的工业主机安全防护系统。系统可以在 服务器上安装控制中心，对于隔离情况下孤立的工业主机，由于其无法连接控 制中心，因此，可以将工业主机上安装的系统客户端单独看作一个工业主机安 全防护系统，即系统切换为单机版本，来实现对孤立的工业主机进行安全防护。 对于可联网的工业主机，由于主机上的客户端可以与控制中心连接，因此，系 统可以切换为网络版本，通过控制中心对网内所有工业主机上的客户端进行安 全策略管理、配置下发等，实现统一管控和安全风险分析。
90.本实施例中，工业主机安全防护系统是一款工控环境专用的软件产品，通 过在工业主机上安装系统的客户端，在服务器上安装系统的控制中心，可以基 于智能匹配的白名单技术和基于设备标识的usb移动存储管控，对工业主机进 行入口拦截、运行拦截、扩散拦截等关卡式病毒拦截，能够防范恶意程序的运 行和非法外设接入，可以对多个工业主机进行全面集中管理和安全风险管理等， 实现对工业主机全面的安全防护。
91.另外，工业主机安全防护系统针对工业设备搬迁、工业更替等引起的安全 防护软件授权无法替换使用的情况，可以通过授权回收机制，保证购买点数在 设备替换等情况下不会丢失和额外增加投资成本，从而节约用户成本。
92.本实施例中，工业主机安全防护系统的软硬件适配能力较强，支持各种操 作系统，以及企业版、专业版等各类系统版本，硬件资源仅需256m内存、400m 可用硬盘空间，适配100多种工业软件。
93.本发明实施例中，工业主机安全防护系统包括安装在工业主机上的客户端 以及安装在服务器上的控制中心；通过客户端，对外部存储设备进行接入鉴权， 使用轻量级白名单的智能匹配技术拦截运行中的恶意程序；通过控制中心，对 客户端上报的日志数据进行分析，如果发现网络攻击事件，切断网络攻击事件 的传播路径，并生成安全防护策略下发至所有工业主机上的客户端，实现对联 网情况下的多个工业主机上的客户端进行集中管理和安全风险分析，解决了现 有技术中对工业主机进行安全防护困难的问题，通过进行轻量级的白名单匹配， 禁止异常程序在工业主机中运行，实现对工业主机的安全防护。
94.实施例四
95.本发明实施例四还公开了一种计算机存储介质，其上存储有计算机程序， 该程序被处理器执行时实现一种工业主机的安全防护方法，应用于安装在工业 主机上的安全防护系统客户端，包括：
96.检测到工业主机中运行有目标软件时，自动扫描目标软件的可执行文件的 数据内容，生成目标文件特征码；
97.使用目标文件特征码从白名单库中匹配目标白名单，并从目标白名单中获 取与目标文件特征码对应的工作模式；
98.确定执行目标软件的可疑文件所对应的可疑文件特征码，查询白名单库中 是否存在与可疑文件特征码匹配的白名单；
99.如果不存在，则根据目标软件的工作模式对可疑文件进行相应的告警或阻 断操作。
100.本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质 的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储 介质。计算机可读存储介质例如可以是，但不限于电、磁、光、电磁、红外线、 或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的 更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式 计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程 只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd
‑
rom)、光 存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可 读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系 统、装置或者器件使用或者与其结合使用。
101.计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据 信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种 形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读 的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算 机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用 或者与其结合使用的程序。
102.计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不 限于无线、电线、光缆、rf等等，或者上述的任意合适的组合。
103.可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计 算机程序代码，程序设计语言包括面向对象的程序设计语言，诸如java、 smalltalk、c ，还包括常规的过程式程序设计语言，诸如”c”语言或类似的 程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算 机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算 机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形 中，远程计算机可以通过任意种类的网络，包括局域网(lan)或广域网(wan)， 连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供 商来通过因特网连接)。
104.注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员 会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进 行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽 然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以 上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例， 而本发明的范围由所附的权利要求范围决定。