本發明涉及一種針對工控設備的惡意代碼發現方法，是對系統中所有線程或操作系統的執行單元的CPU的PC寄存器定時進行檢查，通過對線程或操作系統的執行單元的PC寄存器位置所屬的可執行模塊進行比對，根據執行位置來判斷是否屬于系統自身可執行文件，還是可讀寫內存區域(非代碼區域)，還是位于臨時位置的可執行文件，從而發現針對工控設備的惡意代碼。本發明對遠程注入并執行的工控設備惡意代碼尤其有效。

技術領域

本發明涉及信息安全技術領域，公開了一種通過工控系統的保護應用在工控設備中發現惡意代碼的方法。

背景技術

工控設備由于其生命周期久，不間斷運行，通常采用的操作系統較為老舊，且不便于打補丁。導致針對大量老舊系統的安全漏洞的工具能較為順利地對工控系統發動攻擊，其中尤其以遠程執行惡意代碼危害性為最大。

現有技術中，已有嘗試采用黑白名單制方法進行實現惡意代碼識別的技術。例如中國專利CN 104573516 A，以完整性度量與管控技術為依托，以防止不受信任的程序在工業控制終端(操作站)運行為目的。

CN 104573516 A通過完整性度量與管控技術解決計算機程序在加載時的識別問題，并禁止不被信任程序的運行。其主要缺陷在于代碼識別(既術語完整性度量所表達的主要意義)機制的觸發時機需要在計算機程序加載時得到控制權。其關鍵步驟在于“2-1)修改工控終端操作系統內核，通過鉤子函數捕獲已加載到操作系統即將運行的程序進程，通過特定算法對加載入內存的程序進程代碼進行計算，得到摘要值即為度量值，在進程正常運行前完成度量；”，由于系統的執行權限的獲取，并不局限于通過啟動“即將運行的程序進程”，欠缺對“即將運行的程序進程”所依賴的自身的各個庫的完整性度量的機制設計。

但CN 104573516 A尤其缺乏針對遠程惡意代碼通過遠程溢出等技巧，繞過系統內核加載而直接獲得執行的惡意代碼的完整性度量機制。

發明內容

為了克服上述現有技術的不足，針對工控系統遠程執行的代碼，本發明提出了一種惡意代碼的發現方法由工控終端實現，通過對正在執行中的代碼的所屬位置推測其是否為惡意代碼。推測惡意代碼的核心原理基于如下事實：正常編譯器所產生的代碼均位于代碼段，而需要遠程惡意注入的代碼則因其動態出現，無法進入由編譯器固化的代碼段，因而需要借助運行時刻可動態改寫的堆或者棧來進行留存，并通過特殊技巧獲得執行。

本發明對操作系統要求不限，適用與任意工控操作系統。

本發明的具體技術方案是：一種針對工控設備的惡意代碼發現方法，對系統中所有線程(或操作系統的執行單元)的CPU的Programm Count(PC)寄存器定時進行檢查，通過對線程(或操作系統的執行單元)的PC寄存器位置所屬的可執行模塊進行比對，根據執行位置來判斷是否屬于系統自身可執行文件，還是可讀寫內存區域(非代碼區域)，還是位于臨時位置的可執行文件，從而發現針對工控設備的惡意代碼。

進一步的，本發明所的發現方法包括如下步驟：

1)工控終端操作系統啟動；

2)工控終端保護應用啟動；

3)工控終端保護應用開始對操作系統內核，已經運行的所有進程依次進行快照；所述快照內容包含：

3.1)進程內存鏡像；

3.2)進程執行單元鏡像；

3.3)進程執行者身份標識及開啟的特權狀態快照；

3.4)工控操作系統所帶有的特有屬性的狀態快照；

4)工控終端保護應用開始步驟3獲得的信息進行惡意代碼可疑度分析；

5)在步驟3.4過程中，工控終端保護應用周期性檢測自身CPU資源占用量，適當約束CPU使用量；