本發(fā)明涉及一種工控終端動(dòng)態(tài)多樣化云安全方法及系統(tǒng)，包括動(dòng)態(tài)數(shù)據(jù)生成模塊、動(dòng)態(tài)軟件生成模塊、動(dòng)態(tài)補(bǔ)丁生成模塊、工控終端管理模塊：動(dòng)態(tài)數(shù)據(jù)生成模塊密鑰和終端標(biāo)識(shí)進(jìn)行計(jì)算，生成隨機(jī)化比特流；動(dòng)態(tài)軟件生成模塊，用隨機(jī)比特流進(jìn)行軟件編譯的隨機(jī)填充得到目標(biāo)軟件副本；動(dòng)態(tài)補(bǔ)丁生成模塊，生成隨機(jī)化補(bǔ)丁；工控終端管理模塊接收工控終端的安裝申請(qǐng)，管理工控終端的標(biāo)識(shí)，更新終端虛擬機(jī)和密鑰。本發(fā)明能夠?qū)崿F(xiàn)工控終端的多樣性，改變工控終端系統(tǒng)中軟件靜態(tài)、同質(zhì)化的弱點(diǎn)，改被動(dòng)防御為主動(dòng)防御，通過(guò)生產(chǎn)差異化的軟件及其升級(jí)包，增加工控終端的不確定性，提高攻擊成本和代價(jià)，抵御APT和未知攻擊，保護(hù)工控終端的安全。

技術(shù)領(lǐng)域

本發(fā)明涉及一種工控終端安全防護(hù)及系統(tǒng)，具體涉及一種工控終端動(dòng)態(tài)多樣化云安全方法及系統(tǒng)，屬于信息安全領(lǐng)域。

背景技術(shù)

工業(yè)控制系統(tǒng)安全正在受到越來(lái)越嚴(yán)重的攻擊威脅。一旦攻擊者掌握一個(gè)漏洞，就能快速入侵相同的其它系統(tǒng)。

傳統(tǒng)的安全技術(shù)主要采用被動(dòng)的訪問(wèn)控制、隔離和入侵檢測(cè)。無(wú)論是隔離控制還是入侵檢測(cè)，策略都是靜態(tài)的，一旦攻擊者找到防御漏洞，所有工控終端系統(tǒng)都會(huì)面臨同樣的威脅。被動(dòng)防御已經(jīng)無(wú)法應(yīng)對(duì)零日漏洞、未知攻擊、APT攻擊，攻擊者有足夠的時(shí)間來(lái)尋找漏洞、等待時(shí)機(jī)進(jìn)行入侵。

有鑒于此，如何改變工控終端系統(tǒng)的單一性和靜態(tài)性，是要解決的重要問(wèn)題。通過(guò)建立集中的云安全軟件分發(fā)機(jī)制，增加工控終端軟件的多樣性、進(jìn)行攻擊面的動(dòng)態(tài)轉(zhuǎn)換，能夠有效地提高攻擊的難度和成本，大大提升工控終端的不確定性，才能有效抵御APT攻擊、零日漏洞、未知攻擊等高級(jí)威脅，實(shí)現(xiàn)主動(dòng)防御。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明公開(kāi)了一種工控終端動(dòng)態(tài)多樣化云安全方法及系統(tǒng)，包括動(dòng)態(tài)數(shù)據(jù)生成模塊、動(dòng)態(tài)軟件生成模塊、動(dòng)態(tài)補(bǔ)丁生成模塊、工控終端管理模塊：動(dòng)態(tài)數(shù)據(jù)生成模塊密鑰和終端標(biāo)識(shí)進(jìn)行計(jì)算，生成隨機(jī)化比特流；動(dòng)態(tài)軟件生成模塊，根據(jù)工控終端的標(biāo)識(shí)，啟動(dòng)對(duì)應(yīng)的虛擬機(jī)，在虛擬機(jī)中，重新編譯原始軟件，并用隨機(jī)比特流進(jìn)行隨機(jī)填充，得到目標(biāo)軟件副本；動(dòng)態(tài)補(bǔ)丁生成模塊，與動(dòng)態(tài)軟件生成模塊執(zhí)行同樣的過(guò)程，區(qū)別在于生成的補(bǔ)丁與對(duì)應(yīng)的軟件進(jìn)行關(guān)聯(lián)；工控終端管理模塊接收工控終端的安裝申請(qǐng)，管理工控終端的標(biāo)識(shí)，更新云平臺(tái)中工控終端對(duì)應(yīng)的虛擬機(jī)和密鑰。本發(fā)明能夠?qū)崿F(xiàn)工控終端的多樣性，改變工控終端系統(tǒng)中軟件靜態(tài)、同質(zhì)化的弱點(diǎn)，改被動(dòng)防御為主動(dòng)防御，通過(guò)生產(chǎn)差異化的軟件及其升級(jí)包，增加工控終端的不確定性，提高攻擊成本和代價(jià)，抵御APT和未知攻擊，保護(hù)工控終端的安全。

本發(fā)明的技術(shù)方案如下：一種工控終端動(dòng)態(tài)多樣化云安全方法，其步驟包括：

1）云平臺(tái)存儲(chǔ)工控終端所需的應(yīng)用軟件原始版本，工控終端在云平臺(tái)有對(duì)應(yīng)的虛擬化系統(tǒng)；

?2）工控終端連接云平臺(tái)，申請(qǐng)安裝所需要的軟件和更新；

?3）在收到終端的安裝軟件申請(qǐng)后，云平臺(tái)用密鑰和終端標(biāo)識(shí)進(jìn)行計(jì)算，獲取工控終端的標(biāo)識(shí)Icsx后，啟動(dòng)對(duì)應(yīng)系統(tǒng)的虛擬機(jī)，獲取本地時(shí)間Tc,采用H(Icsx,Tc)單向散列函數(shù)，生成隨機(jī)化比特流，原始軟件在對(duì)應(yīng)虛擬化系統(tǒng)中編譯打包，并用Rc進(jìn)行隨機(jī)填充，生成軟件副本；

4）用上述隨機(jī)化比特流Rc作為參數(shù)，對(duì)原始軟件進(jìn)行動(dòng)態(tài)隨機(jī)化，生成軟件副本；

5）工控終端從云平臺(tái)下載一份與自己標(biāo)識(shí)符匹配的軟件副本，進(jìn)行安裝。

更進(jìn)一步，?所述工控終端在云平臺(tái)有對(duì)應(yīng)的虛擬化系統(tǒng)，原始軟件可以在對(duì)應(yīng)虛擬化系統(tǒng)中編譯打包。

更進(jìn)一步，所述云平臺(tái)在收到終端的安裝軟件申請(qǐng)后，進(jìn)行如下操作，隨機(jī)化生成多樣性的軟件副本：

1)獲取工控終端的標(biāo)識(shí)Icsx，啟動(dòng)對(duì)應(yīng)系統(tǒng)的虛擬機(jī)；

2)獲取本地時(shí)間Tc,采用H(Icsx,Tc)單向散列函數(shù)，得到隨機(jī)比特流Rc；