[发明专利]一种工业控制系统恶意代码防御系统的防御方法

权利要求书

1.一种工业控制系统恶意代码防御系统的防御方法，所述工业控制系统恶意代码防御系统包括，

查毒引擎模块(1)，调用反病毒引擎完成病毒、木马恶意代码识别；

白名单模块(2)，根据文件白名单库进行实时检查；

库升级模块(3)，用于病毒库和白名单库的本地升级和在线升级；

资源区模块(4)，用于大容量的存储区域的文件下载、上传、删除；

挂载区模块(5)，用于U盘挂载、卸载；

隔离区模块(6)用于疑似恶意代码文件下载、上传、删除；

身份认证模块(7)，用于用户、用户组管理；

日志审计模块(8)，用于查毒日志、操作日志、白名单日志、文件日志信息的检索、备份；

移动介质模块(9)，向通过身份认证的用户和用户组分配移动介质的可读、读写、禁用权限；

其特征在于包括以下步骤：

A、对移动介质的使用进行授权，具体包括，

A1、身份认证模块(7)建立使用工业控制系统恶意代码防御系统的用户和用户组；

A2、判断用户是否需要在工业环境内使用移动介质，如果不需要则结束，如果需要转至步骤A3；

A3、将移动介质插入工业控制系统恶意代码防御系统；

A4、移动介质模块(9)计算获取移动介质标识，标识具备唯一性；

A5、移动介质模块(9)判断当前移动介质标识是否在对应关系表中，如果在则转至步骤A2，如果不在则转至步骤A6；

A6、移动介质模块(9)获取当前移动介质需要赋予的用户或组，并建立指定用户或组与当前移动介质的对应关系，转至步骤A2；

A7、日志审计模块(8)记录上述各部操作，提供操作的查询审计；

B、对使用移动介质进行交换文件的过程进行防御；

C、对工业内网进行交换文件的过程进行防御。

2.根据权利要求1所述的工业控制系统恶意代码防御系统的防御方法，其特征在于：步骤B中，包括，

B1、用户将移动介质插入工业控制系统恶意代码防御系统；

B2、移动介质模块(9)获取移动介质的标识，并判断用户是否授权使用移动介质，如果没有授权则退出，如果授权则转至步骤B3；

B3、移动介质模块(9)将移动介质挂载到挂载区模块(5)，系统识别当前插入的移动介质；

B4、白名单模块(2)计算移动介质中文件的散列值，并判断是否在系统白名单库中，如果在则转至步骤B8，如果不在则转至步骤B5；

B5、查毒引擎模块(1)调用反病毒引擎完成文件查毒，如果当前文件染毒则转至步骤B6，如果当前文件安全则转至步骤B7；

B6、隔离区模块(6)将移动介质中文件加载到隔离区，然后执行步骤B10；

B7、白名单模块(2)将移动介质中文件的散列值加入系统白名单库；

B8、资源区模块(4)将移动介质中文件加载到资源区；

B9、用户从工业主机上将查毒后的文件从资源区下载到工业主机；

B10、移动介质交换文件防御结束；

B11、日志审计模块(8)记录上述各部操作，提供操作的查询审计。

3.根据权利要求2所述的工业控制系统恶意代码防御系统的防御方法，其特征在于：步骤B6中，在隔离区中运行染毒文件，记录运行过程中文件的行为特征，建立行为特征矩阵，并建立不同行为特征矩阵之间的映射关系；在步骤B4中，在转至步骤B8之前，将待加载的文件与隔离区建立的行为特征矩阵和映射关系进行对比，若待加载文件的行为特征和映射关系与隔离区建立的行为特征矩阵和映射关系的相似度高于阈值，则对待加载文件进行二次检查。

4.根据权利要求1所述的工业控制系统恶意代码防御系统的防御方法，其特征在于：步骤C中，包括，

C1、身份认证模块(7)验证用户从工业主机的登录系统操作；

C2、资源区模块(4)执行从主机上传文件到系统操作；

C3、白名单模块(2)计算文件散列值，并判断是否在系统白名单库中，如果在则转至步骤C7，如果不在则转至步骤C4；

C4、查毒引擎模块(1)调用反病毒引擎完成文件查毒，如果文件染毒则转至步骤C5，如果当前文件安全则转至步骤C6；

C5、隔离区模块(6)将文件加载到隔离区，然后执行步骤C10；

C6、白名单模块(2)将文件的散列值加入系统白名单库；

C7、资源区模块(4)将文件加载到资源区；

C8、身份认证模块(7)验证用户从工业主机的登录系统操作；

C9、资源区模块(4)执行从系统下载文件到主机操作；

C10、工业内网交换文件防御结束；

C11、日志审计模块(8)记录上述各部操作，提供操作的查询审计。