一種工控設備自動化漏洞防禦系統及方法與流程
2023-04-22 18:00:51 4
本發明涉及信息安全技術領域,尤其涉及一種工控設備自動化漏洞防禦系統及方法。
背景技術:
工業控制設備是我國水利、電力、機械製造業等行業的基礎設施,也是十分需要重點保護的對象,目前國際上針對工業控制設備的攻擊也越來越多,通過對大量攻擊事件的分析可以發現,攻擊者很多是利用了工控設備的系統漏洞完成了攻擊,工控設備存在大量漏洞的原因如下:
1.工控設備要求穩定運行,很多廠家不敢打補丁,以免造成系統異常;
2.很多漏洞雖已被曝出,但廠商沒有發布補丁,造成有漏洞無補丁的局面;
3.工控設備多為隔離網絡環境,補丁升級困難,更新時間滯後。
技術實現要素:
針對上述現有技術中存在的問題,本發明提出一種工控設備自動化漏洞防禦系統及方法,獲取工控網絡中工控機終端的信息;動態查詢可信網站,整理可信網站發布的漏洞信息;根據整理的漏洞信息自動生成漏洞防禦策略,同時允許人為生成自定義防禦策略;當有未知文件進入工控機終端時,獲取未知文件信息,並對未知文件安全性進行判斷,並生成相應的文件防禦策略;將上述防禦策略動態同步給工控網絡中所有的工控機終端。
具體發明內容包括:
一種防禦策略服務端,包括:
信息管理模塊,用於存儲工控網絡中各工控機終端的信息;
漏洞監控模塊,用於動態查詢可信網站,整理可信網站發布的漏洞信息;
策略生成模塊,用於根據漏洞監控模塊整理的漏洞信息,生成防禦策略;
管理員模塊,用於人為生成自定義防禦策略;
數據傳輸管理模塊,用於與工控網絡中的工控機終端建立數據傳輸關係。
進一步地,所述工控機終端的信息包括:工控機終端的作業系統信息、系統漏洞信息、包含的文件信息。
進一步地,所述策略生成模塊具體用於:根據漏洞監控模塊整理的漏洞信息,確認攻擊者會利用漏洞進行何種攻擊行為,針對具體攻擊行為生成防禦策略。
一種安全工控機終端,包括:
信息採集模塊,用於採集工控機終端的信息;
策略管理模塊,用於存儲由服務端下發的防禦策略,並根據防禦策略實時防護工控機終端的安全;
文件檢測模塊,用於當有未知文件進入工控機終端時,將未知文件信息通過數據傳輸模塊上報給服務端,由服務端對未知文件的安全性進行判斷,並生成相應的防禦策略;
數據傳輸模塊,用於與服務端建立數據傳輸關係。
進一步地,所述工控機終端的信息包括:工控機終端的作業系統信息、系統漏洞信息、包含的文件信息。
進一步地,所述未知文件信息包括:未知文件屬性信息、未知文件行為信息。
一種工控設備自動化漏洞防禦系統,包括所述的服務端,以及至少一個所述的工控機終端。
一種工控設備自動化漏洞防禦方法,包括:
獲取工控網絡中工控機終端的信息;
動態查詢可信網站,整理可信網站發布的漏洞信息;
根據整理的漏洞信息自動生成漏洞防禦策略,同時允許人為生成自定義防禦策略;
當有未知文件進入工控機終端時,獲取未知文件信息,並對未知文件安全性進行判斷,並生成相應的文件防禦策略;
將上述防禦策略動態同步給工控網絡中所有的工控機終端。
進一步地,所述工控機終端的信息包括:工控機終端的作業系統信息、系統漏洞信息、包含的文件信息。
進一步地,所述根據整理的漏洞信息自動生成漏洞防禦策略具體為:根據整理的漏洞信息,確認攻擊者會利用漏洞進行何種攻擊行為,針對具體攻擊行為生成漏洞防禦策略。
進一步地,所述未知文件信息包括:未知文件屬性信息、未知文件行為信息。
本發明的有益效果是:
本發明能夠在第一時間自動獲取到漏洞信息;
本發明在不實際將補丁打到終端的前提上,能夠對終端生成防禦策略;
本發明針對不能自動生成策略的,允許用戶手動生成策略,並下發到相應終端。
附圖說明
為了更清楚地說明本發明或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明中記載的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
圖1為本發明一種防禦策略服務端的結構圖;
圖2為本發明一種安全工控機終端的結構圖;
圖3為本發明一種工控設備自動化漏洞防禦系統的結構圖;
圖4為本發明一種工控設備自動化漏洞防禦方法的流程圖。
具體實施方式
為了使本技術領域的人員更好地理解本發明實施例中的技術方案,並使本發明的上述目的、特徵和優點能夠更加明顯易懂,下面結合附圖對本發明中技術方案作進一步詳細的說明。
本發明給出了一種防禦策略服務端的實施例,如圖1所示,包括:
信息管理模塊101,用於存儲工控網絡中各工控機終端的信息;
漏洞監控模塊102,用於動態查詢可信網站,整理可信網站發布的漏洞信息;
策略生成模塊103,用於根據漏洞監控模塊102整理的漏洞信息,生成防禦策略;
管理員模塊104,用於人為生成自定義防禦策略;
數據傳輸管理模塊105,用於與工控網絡中的工控機終端建立數據傳輸關係。
優選地,所述工控機終端的信息包括:工控機終端的作業系統信息、系統漏洞信息、包含的文件信息。
優選地,所述策略生成模塊103具體用於:根據漏洞監控模塊102整理的漏洞信息,確認攻擊者會利用漏洞進行何種攻擊行為,針對具體攻擊行為生成防禦策略。
本發明還給出了一種安全工控機終端的實施例,如圖2所示,包括:
信息採集模塊201,用於採集工控機終端的信息;
策略管理模塊202,用於存儲由服務端下發的防禦策略,並根據防禦策略實時防護工控機終端的安全;
文件檢測模塊203,用於當有未知文件進入工控機終端時,將未知文件信息通過數據傳輸模塊204上報給服務端,由服務端對未知文件的安全性進行判斷,並生成相應的防禦策略;
數據傳輸模塊204,用於與服務端建立數據傳輸關係。
優選地,所述工控機終端的信息包括:工控機終端的作業系統信息、系統漏洞信息、包含的文件信息。
優選地,所述未知文件信息包括:未知文件屬性信息、未知文件行為信息。
本發明還給出了一種工控設備自動化漏洞防禦系統的實施例,如圖3所示,包括所述的服務端,以及一個所述的工控機終端;
具體包括:信息管理模塊101、漏洞監控模塊102、策略生成模塊103、管理員模塊104、數據傳輸管理模塊105,以及信息採集模塊201,策略管理模塊202,文件檢測模塊203,數據傳輸模塊204;
根據具體需求以及工控網絡環境,本系統可包含多個所述工控機終端,本發明只以包含一個工控機終端為例進行實施例的說明。
本發明還給出了一種工控設備自動化漏洞防禦方法的實施例,如圖4所示,包括:
S401:獲取工控網絡中工控機終端的信息;
S402:動態查詢可信網站,整理可信網站發布的漏洞信息;
S403:根據整理的漏洞信息自動生成漏洞防禦策略,同時允許人為生成自定義防禦策略;
S404:當有未知文件進入工控機終端時,獲取未知文件信息,並對未知文件安全性進行判斷,並生成相應的文件防禦策略;
S405:將上述防禦策略動態同步給工控網絡中所有的工控機終端。
優選地,所述工控機終端的信息包括:工控機終端的作業系統信息、系統漏洞信息、包含的文件信息。
優選地,所述根據整理的漏洞信息自動生成漏洞防禦策略具體為:根據整理的漏洞信息,確認攻擊者會利用漏洞進行何種攻擊行為,針對具體攻擊行為生成漏洞防禦策略。
優選地,所述未知文件信息包括:未知文件屬性信息、未知文件行為信息。
本說明書中系統的實施例採用遞進的方式描述,對於方法實施例而言,由於其基本相似於系統實施例,所以描述的比較簡單,相關之處參見系統實施例的部分說明即可。本發明提出一種工控設備自動化漏洞防禦系統及方法,獲取工控網絡中工控機終端的信息;動態查詢可信網站,整理可信網站發布的漏洞信息;根據整理的漏洞信息自動生成漏洞防禦策略,同時允許人為生成自定義防禦策略;當有未知文件進入工控機終端時,獲取未知文件信息,並對未知文件安全性進行判斷,並生成相應的文件防禦策略;將上述防禦策略動態同步給工控網絡中所有的工控機終端。本發明能夠在第一時間自動獲取到漏洞信息;本發明在不實際將補丁打到終端的前提上,能夠對終端生成防禦策略;本發明針對不能自動生成策略的,允許用戶手動生成策略,並下發到相應終端。
雖然通過實施例描繪了本發明,本領域普通技術人員知道,本發明有許多變形和變化而不脫離本發明的精神,希望所附的權利要求包括這些變形和變化而不脫離本發明的精神。