一种复杂工控中各工控运行设备中数据的监测方法及系统与流程

1.本发明涉及计算机技术领域，尤其涉及一种复杂工控中各工控运行设备中数据的监测方法及系统。


背景技术：

2.在工控安全领域，许多的工业现场从设备到操作系统版本都处于比较落后的状态，行业的特性使得工业现场完全处于内部局域网状态，高度固化的现场导致病毒入侵与感染的风险随着时间的拉长、病毒入侵方式的日渐多样化而越来越严重。因此，准确识别工控行业现场程序、文件的被入侵感染风险显得尤为重要。
3.目前工控安全防护领域，通过白名单技术生成对应的可信任的白名单文件，以便对操作站或服务器等实现安全守护是比较常规的方式，不在白名单文件内的文件无法运行或调用，以此实现安全守护。但是单一的白名单防护无法确保白名单文件的可信，仍然具有扫描白名单时主机已经中毒而把病毒加入白名单的风险。
4.上述缺陷是本领域技术人员期望克服的。


技术实现要素：

5.（一）要解决的技术问题为了解决现有技术的上述问题，本发明提供了一种复杂工控中各工控运行设备中数据的监测方法及系统，旨在解决现有技术中单纯使用白名单仍有使工业主机感染病毒风险的问题。
6.（二）技术方案为了解决上述问题，第一方面，本发明提供了一种复杂工控中各工控运行设备中数据的监测方法，其包括：获取工控运行设备在运行过程中待处理数据的类型；确定待处理数据的类型为非安全性数据类型时，基于预先定义的网络端口防护策略对待处理数据进行防护式处理；所述网络端口防护策略包括：阻止发送广播包行为、延迟发送点对点数据行为，和/或，阻止访问工控运行设备内部的系统文件的行为，允许读工控运行设备内部的系统文件的行为；将防护式处理的信息记录在风险行为操作表中，并周期性将风险行为操作表上传至工业控制主机，以使工业控制主机基于多个工控运行设备的风险行为操作表确定待处理数据是否添加到安全性数据类型中。
7.可选地，获取工控运行设备在运行过程中待处理数据的类型，包括：将待处理数据的标识与安全性数据类型中数据标识进行比较，若属于，则待处理数据的类型为安全性数据类型；否则为非安全性数据类型；
所述安全性数据类型中的各数据标识包括：所述工业控制主机预先识别的数据标识，人工设置的安全性的数据标识，以及所述工业控制主机基于多个工控运行设备的风险行为操作表确定的安全性的数据标识。
8.可选地，确定待处理数据的类型为非安全性数据类型时，基于预先定义的网络端口防护策略对待处理数据进行防护式处理，包括：当检测到待处理数据所属行为向外发送广播包时，阻止广播包的发送行为，并将待处理数据的标识及行为记录在风险行为操作表中；当检测到待处理数据的所属行为为点对点数据通信时，对发送行为进行延迟操作，若在延迟时间t内，检测到该行为以高频率项同一对象发送数据，则定义为网络风暴风险行为，阻止发送操作，并将待处理数据的标识及行为记录在风险行为操作表中；当待处理数据的所属行为为访问系统文件或者系统路径行为时，延迟访问行为的执行，检测该访问行为是否涉及对系统文件的写入，若是，阻止该访问行为，并将待处理数据的标识及行为记录在风险行为操作表中，若检测该访问行为仅为读操作，则允许访问行为的执行；当检测到待处理数据的所属行为操作为创建文件的行为，或者存在修改文件的行为时，则阻止发出的操作请求，并将待处理数据的标识及行为记录在风险行为操作表中；当检测到待处理数据的所属行为操作为对系统安全设置和规则的增删改行为时，阻止该行为操作的执行；当检测到待处理数据的所属行为操作为修改或者新增注册表项，且操作的注册表项涉及系统和指定软件，则阻止该行为操作的执行，当检测到该行为操作是针对驱动和硬件设备、外接设备的行为操作时，阻止该行为操作的执行并将待处理数据的标识及行为记录在风险行为操作表中；当检测到待处理数据的所属行为操作为发出的交互请求，且该交互请求是针对驱动和硬件设备、外接设备的请求，则阻止交互请求的发送；并将待处理数据的标识及行为记录在风险行为操作表中。
9.可选地，所述方法还包括：工控运行设备接收工业控制主机发送的安全性数据类型；其中，工业控制主机通过扫描技术对工业控制主机和工控运行设备的所有文件和行为进行安全性处理，得到安全性数据类型。
10.可选地，工业控制主机借助于特征扫描、静态扫描、动态启发式扫描中至少一种扫描技术，基于虚拟沙盘的动态行为分析，对工业控制主机和工控运行设备的所有文件和行为进行安全性处理；所述安全性处理包括：机器学习方式对工控的各行为进行跟踪学习，生成安全规则库，对安全规则库辅助复杂工控的安全防护。
11.可选地，任一工业控制主机远程连接安管平台；所述安管平台远程对工业控制主机及工控运行设备进行扫描时采用全盘扫描、自定义扫描、右键菜单扫描中至少一种扫描方式触发扫描动作的开启；在安全性处理中获取病毒信息，并确定病毒信息的处理方式，借助于处理方式对工业控制主机及工控运行设备进行安全防护。
12.第二方面，本发明实施例提供一种复杂工控中各工控运行设备中数据的监测系
统，其包括：一台安管平台、多台工业控制主机和多台工控运行设备；一台安管平台与每一台工业控制主机交互，每一台工业控制主机和多台工控运行设备交互，在交互中执行上述第一方面任一所述的复杂工控中各工控运行设备中数据的监测方法。
13.可选地，所述监测系统用于所述工控运行设备在与工业控制主机断开的场景。
14.（三）有益效果本发明的有益效果是：本发明实施例提供的复杂工控中各工控运行设备中数据的监测方法，能够对当前高度固化的现场，操作站进行全方位的监控，实现复杂工控中安全防护的全方位监控。特别地，监测方法适用于无法升级为自动化的工控运行设备，同时，适合不同运营阶段的工控运行设备，在网络断开情况下还可以持续监测，保证整个监测系统的正常运行，提高工控运行设备在与工业控制主机的安全性。
15.此外，在安管平台中采用反病毒技术与安全文件技术相结合的方式，利用反病毒技术进一步确保安全文件的可靠性，解决现有技术中单纯依赖白名单存在的安全漏洞问题。另外，工业主机通过支持安管平台远程管理，能够实现远程扫描病毒、收集查杀日志和自动更新病毒库等功能，达到全方位、多层次防护的效果，在简化操作复杂度的同时提升安全等级。
附图说明
16.图1为本发明一实施例提供的一种复杂工控中各工控运行设备中数据的监测方法的流程图；图2为本发明实施例中通过安管平台基于远程方式对工业控制主机、工控运行设备进行防护的流程图。
具体实施方式
17.为了更好的解释本发明，以便于理解，下面结合附图，通过具体实施方式，对本发明作详细描述。
18.需要说明，本发明实施例中所有方向性指示（诸如上、下、左、右、前、后
……
）仅用于解释在某一特定姿态（如附图所示）下各部件之间的相对位置关系、运动情况等，如果该特定姿态发生改变时，则该方向性指示也相应地随之改变。
19.另外，在本发明中如涉及“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数据量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。
20.图1为本发明一个实施例提供的一种复杂工控中各工控运行设备中数据的监测方法的流程图，如图1所示，具体包括以下步骤：101、获取工控运行设备在运行过程中待处理数据的类型。
21.举例来说，将待处理数据的标识与安全性数据类型中数据标识进行比较，若属于，则待处理数据的类型为安全性数据类型；否则为非安全性数据类型；
所述安全性数据类型中的各数据标识包括：所述工业控制主机预先识别的数据标识，人工设置的安全性的数据标识，以及所述工业控制主机基于多个工控运行设备的风险行为操作表确定的安全性的数据标识。
22.102、确定待处理数据的类型为非安全性数据类型时，基于预先定义的网络端口防护策略对待处理数据进行防护式处理；所述网络端口防护策略包括：阻止发送广播包行为、延迟发送点对点数据行为，和/或，阻止访问工控运行设备内部的系统文件的行为，允许读工控运行设备内部的系统文件的行为；103、将防护式处理的信息记录在风险行为操作表中，并周期性将风险行为操作表上传至工业控制主机，以使工业控制主机基于多个工控运行设备的风险行为操作表确定待处理数据是否添加到安全性数据类型中。
23.上述步骤102可具体说明如下：当检测到待处理数据所属行为向外发送广播包时，阻止广播包的发送行为，并将待处理数据的标识及行为记录在风险行为操作表中；当检测到待处理数据的所属行为为点对点数据通信时，对发送行为进行延迟操作，若在延迟时间t内，检测到该行为以高频率项同一对象发送数据，则定义为网络风暴风险行为，阻止发送操作，并将待处理数据的标识及行为记录在风险行为操作表中；t可为3秒或5秒。
24.当待处理数据的所属行为为访问系统文件或者系统路径行为时，延迟访问行为的执行，检测该访问行为是否涉及对系统文件的写入，若是，阻止该访问行为，并将待处理数据的标识及行为记录在风险行为操作表中，若检测该访问行为仅为读操作，则允许访问行为的执行；当检测到待处理数据的所属行为操作为创建文件的行为，或者存在修改文件的行为时，则阻止发出的操作请求，并将待处理数据的标识及行为记录在风险行为操作表中；当检测到待处理数据的所属行为操作为对系统安全设置和规则的增删改行为时，阻止该行为操作的执行；当检测到待处理数据的所属行为操作为修改或者新增注册表项，且操作的注册表项涉及系统和指定软件，则阻止该行为操作的执行，当检测到该行为操作是针对驱动和硬件设备、外接设备的行为操作时，阻止该行为操作的执行并将待处理数据的标识及行为记录在风险行为操作表中；当检测到待处理数据的所属行为操作为发出的交互请求，且该交互请求是针对驱动和硬件设备、外接设备的请求，则阻止交互请求的发送；并将待处理数据的标识及行为记录在风险行为操作表中。
25.上述方法能够对当前高度固化的现场，操作站进行全方位的监控，实现复杂工控中安全防护的全方位监控。特别地，监测方法适用于无法升级为自动化的工控运行设备，同时，适合不同运营阶段的工控运行设备，在网络断开情况下还可以持续监测，保证整个监测系统的正常运行，提高工控运行设备在与工业控制主机的安全性。
26.需要说明的是，工控运行设备接收工业控制主机发送的安全性数据类型；其中，工业控制主机通过扫描技术对工业控制主机和工控运行设备的所有文件和行为进行安全性处理，得到安全性数据类型。
27.可理解的是，工业控制主机借助于特征扫描、静态扫描、动态启发式扫描中至少一种扫描技术，基于虚拟沙盘的动态行为分析，对工业控制主机和工控运行设备的所有文件和行为进行安全性处理；所述安全性处理包括：机器学习方式对工控的各行为进行跟踪学习，生成安全规则库，对安全规则库辅助复杂工控的安全防护。
28.通常，任一工业控制主机远程连接安管平台；所述安管平台远程对工业控制主机及工控运行设备进行扫描时采用全盘扫描、自定义扫描、右键菜单扫描中至少一种扫描方式触发扫描动作的开启；在安全性处理中获取病毒信息，并确定病毒信息的处理方式，借助于处理方式对工业控制主机及工控运行设备进行安全防护。
29.本实施例中，安管平台用于对各类工业控制主机、工控运行设备进行安全防护，在本发明下述实施例中的在工业环境存在有基于安全规则库的防护方法。通过预先创建程序安全基线，不断提取不在安全基线中文件的特征码、hash值和文件原始路径等方法对比判断其特征码实现安全规则库的更新。
30.图2为本发明实施例中通过安管平台基于远程方式对工业控制主机、工控运行设备进行防护的流程图，如图2所示，具体说明如下：首先，通过安管平台远程控制工业控制主机的安全卫士，安全卫士一方面更新病毒库和安全规则库，记录审计日志，另一方面，按照自定义扫描、全盘扫描等方式执行反病毒功能，通过结合传统特征扫描，静态、动态启发式扫描，基于虚拟沙盒的动态行为分析等多扫描技术，实现对文件和行为的精准查杀。
31.其次，增加代码级修复，前一步骤的查杀结果，进一步进行更微观级别的代码及病毒检测与处理，处理完成的代码和相应数据依旧可以正常运行。
32.然后，对查杀出病毒的情况，继续对查杀出来的病毒进行处理，将其进行加密后置于隔离区等待进一步处理，同时，记录每一个病毒及其对应的隔离区路径，形称详细的审计日志，完成后可触发安全规则库的扫描功能。对没有查杀出病毒的情况也要触发安全防护功能。
33.最后，在安全性处理过程中，自动对所有检测到的文件（包括调用的文件和正在运行的文件）进行病毒检测，如果文件在安全性数据类型中有对应的数据，则允许其正常运行，否则，则拦截运行，并记录审计日志以及在工控运行设备中记录在风险行为操作表中。在安管平台确保安全后将其添加到对应的安全规则库中，完成更新。
34.针对隔离区的设置以及隔离区数据的误删恢复逻辑、反病毒技术与安全防护技术的远程配置与操作方法，具体过程可包括下述步骤：第一步，通过扫描技术对工业控制主机、工控运行设备的文件和行为进行查杀，得到查杀结果并筛选出病毒文件；第二步，根据所述查杀结果进行代码级病毒检测与修复，得到修复后文件；第三步，对查杀出来的病毒文件进行处理后存储于隔离区，得到隔离文件；第四步，对所述修复后文件和所述隔离文件通进行病毒检测。
35.基于上述实施例提供的方法，采用反病毒技术确保安全规则库的可靠性，解决单纯依赖白名单存在的安全漏洞问题。
36.进一步地，从实时数据库调用实时数据并获取实时数据的数据量。
37.本实施例中，工业控制主机通过支持安管平台远程管理，能够实现远程扫描病毒、收集查杀日志和自动更新病毒库等功能，达到全方位、多层次防护的效果，在简化操作复杂度的同时提升安全等级。例如，结合传统特征扫描，静态、动态启发式扫描，基于虚拟沙盒动态扫描相结合的多种扫描技术在工控安全防护领域的应用。
38.在本发明的一种示例性实施例中，所述安管平台远程对工业主机进行扫描时采用全盘扫描、自定义扫描、右键菜单扫描中至少一种扫描方式触发扫描动作的开启。
39.在本发明的一种示例性实施例中，还包括：通过扫描技术对工业控制主机的文件和行为进行查杀过程中，基于筛选出的病毒文件将其更新至病毒库，并记录审计日志。此外，通过在一次病毒查杀之后增加一次代码级修复，这样处理完成的代码和相应数据依旧可以正常运行，以及对查杀出来的病毒文件进行处理后存储于隔离区，得到隔离文件。
40.进一步地，还可以对查杀过程中的病毒文件进行处理和加密；加密后的文件在隔离区进行处理，记录病毒名和对应的隔离区路径；基于所述病毒文件生成对应的审计日志。
41.该步骤中通过将病毒文件通过加密存储于隔离区，这样隔离区的数据可以在满足条件的情况下进行回复，实现反病毒过程中隔离区数据的误删恢复。
42.在本发明的一种示例性实施例中，对所述修复后文件和所述隔离文件进行病毒检测，在病毒检测之后，将安全的文件添加到安全规则库中。
43.上述方法解决了现有技术中单纯依赖白名单存在的安全漏洞问题。上述方法能够远程扫描病毒、收集查杀日志和自动更新病毒库，达到全方位、多层次的防护效果，大幅提升市场价值。在处理中，配套扫描、杀毒、隔离、设计功能，是一种应用上的创新，在提供多层保护的同时也提高了操作的便利性，具有以下效果：1）本发明提供的方法，无需考虑现场设备的各种情况，在部署阶段可直接在工业现场的设备中现场制作安全的安全规则库，实时生成安全的信息，所有的数据都充分经过反病毒技术的检测，完全可以保证现场的安全性。
44.2）本发明提供的方法，在部署时就可以对设备中所有的文件进行反病毒检测和安全规则库的生成，部署阶段病毒库预先布置，并可在软件使用过程中更新最新病毒库，从而可以实时新增安装软件的安全规则库，在软件正式运行的过程中不会出现调用文件或应用程序导致无法运行的问题，这样不仅仅对于外部入侵有很好的防护作用，对于现场的安全也有很好的保证。
45.3）本发明提供的方法，通过传统的特征扫描，静态、动态启发式扫描、基于虚拟沙盒的动态分析行为，以及更微观的代码级别的方病毒查杀相结合的多种扫描技术实现多方位扫描，极大保证现场的安全性。
46.4）本发明提供的方法，在现场部署阶段通过安管平台完成轻量级病毒库的客户端更新，即使出现断网或者网络不稳的情况，不影响反病毒扫描功能和安全规则库的生成。
47.需要理解的是，以上对本发明的具体实施例进行的描述只是为了说明本发明的技术路线和特点，其目的在于让本领域内的技术人员能够了解本发明的内容并据以实施，但本发明并不限于上述特定实施方式。凡是在本发明权利要求的范围内做出的各种变化或修饰，都应涵盖在本发明的保护范围内。