[发明专利]工控主机安全防御系统、方法、计算机设备和存储介质

权利要求书

1.一种工控主机安全防御系统，其特征在于，所述系统包括控制模块、度量模块、评估模块；所述控制模块、所述度量模块、所述评估模块之间两两连接；

所述度量模块，用于接收所述控制模块发送的系统调用行为标识，并根据所述系统调用行为标识，确定所述系统调用行为对应的度量点；用于并将所述度量点传输至所述评估模块，以使所述评估模块根据所述度量点，确定所述系统调用行为的安全状态；所述安全状态包括允许执行或不允许执行。

2.根据权利要求1所述的系统，其特征在于，所述系统还包括初始化模块和规则数据库；所述初始化模块与所述控制模块、所述度量模块、所述评估模块、所述规则数据库均连接；

所述初始化模块，用于初始化控制规则表、度量规则表、评估规则表，并将所述控制规则表、所述度量规则表、所述评估规则表存储至所述规则数据库中；

所述控制规则表中包括各系统调用行为标识与对应的控制状态之间的映射关系；所述控制状态包括未被控制或被控制；

所述度量规则表中包括各系统调用行为标识与度量点之间的映射关系；

所述评估规则表中包括度量点和评估基准值之间的映射关系。

3.根据权利要求2所述的系统，其特征在于，所述控制模块，用于根据所述控制规则表，确定所述系统调用行为的控制状态；若所述系统调用行为的控制状态为未被控制，则执行所述系统调用行为；若所述系统调用行为的控制状态为被控制，则将所述系统调用行为标识传输至所述度量模块。

4.根据权利要求2所述的系统，其特征在于，所述度量模块，用于根据所述度量规则表和所述系统调用行为标识，为所述系统调用行为设置对应的度量点，并将所述度量点和所述系统调用行为标识传输至所述评估模块。

5.根据权利要求2所述的系统，其特征在于，所述评估模块，用于根据所述评估规则表和所述系统调用行为标识，确定所述系统调用行为标识对应的评估基准值；根据所述度量点和对应的所述评估基准值的比较结果，确定所述系统调用行为的安全状态；将所述安全状态传输至所述控制模块，以使所述控制模块根据所述安全状态执行相应的操作。

6.根据权利要求5所述的系统，其特征在于，所述评估模块，用于若所述比较结果为所述度量点与对应的评估基准值一致，则确定所述安全状态为允许执行所述系统调用行为；若所述比较结果为所述度量点与对应的评估基准值不一致，则确定所述安全状态为不允许执行所述系统调用行为。

7.根据权利要求1至6任意一项所述的系统，其特征在于，所述度量模块包括进程环境度量单元、主体标识度量单元、文件完整性度量单元、设备标识度量单元、文件签名度量单元、操作系统环境度量单元、系统配置文件度量单元、自主访问控制度量单元、强制访问控制度量单元。

8.根据权利要求1至6任意一项所述的系统，其特征在于，所述评估模块包括进程环境评估单元、用户标识评估单元、文件完整性评估单元、设备标识评估单元、文件签名评估单元、操作系统环境评估单元、操作系统配置文件评估单元、自主访问控制行为评估单元、或强制访问控制行为评估单元。

9.一种工控主机安全防御方法，其特征在于，应用于所述权利要求1-8所述的工控主机安全防御系统中，所述方法包括：

获取系统调用行为标识，并根据所述系统调用行为标识，确定所述系统调用行为标识对应的系统调用行为的控制状态；所述控制状态包括未被控制或被控制；

若所述系统调用行为的控制状态为被控制，确定所述系统调用行为标识对应的度量点；

根据所述系统调用行为标识的度量点和预设的评估基准值的比较结果，确定所述系统调用行为的安全状态；所述安全状态包括允许执行或不允许执行；

根据所述安全状态，执行相应的操作。