(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113641997A(43)申请公布日2021.11.12(21)申请号202110812804.1(22)申请日2021.07.19(71)申请人青岛海尔工业智能研究院有限公司地址266510山东省青岛市黄岛区团结路2877号中德生态园管委会257房间申请人海尔数字科技（青岛）有限公司海尔卡奥斯物联生态科技有限公司(72)发明人黄玉宝孙明林宏于海东(74)专利代理机构北京品源专利代理有限公司11332代理人孔凡红(51)Int.Cl.G06F21/56(2013.01)G06F16/903(2019.01)权利要求书2页说明书8页附图3页(54)发明名称工业主机的安全防护方法、装置、系统及存储介质(57)摘要本发明实施例公开了一种工业主机的安全防护方法、装置、系统及存储介质。该方法应用于安装在工业主机上的安全防护系统客户端，包括：检测到工业主机中运行有目标软件时，自动扫描目标软件的可执行文件的数据内容，生成目标文件特征码；使用目标文件特征码从白名单库中匹配目标白名单，并从目标白名单中获取与目标文件特征码对应的工作模式；确定执行目标软件的可疑文件所对应的可疑文件特征码，查询白名单库中是否存在与可疑文件特征码匹配的白名单；如果不存在，则根据目标软件的工作模式对可疑文件进行相应的告警或阻断操作。本发明实施例的技术方案，通过进行轻量级的白名单匹配，禁止异常程序在工业主机中运行，实现对工业主机的安全防护。CN113641997ACN113641997A权利要求书1/2页1.一种工业主机的安全防护方法，其特征在于，应用于安装在工业主机上的安全防护系统客户端，包括：检测到工业主机中运行有目标软件时，自动扫描所述目标软件的可执行文件的数据内容，生成目标文件特征码；使用所述目标文件特征码从白名单库中匹配目标白名单，并从所述目标白名单中获取与所述目标文件特征码对应的工作模式；确定执行所述目标软件的可疑文件所对应的可疑文件特征码，查询白名单库中是否存在与所述可疑文件特征码匹配的白名单；如果不存在，则根据所述目标软件的工作模式对所述可疑文件进行相应的告警或阻断操作。2.根据权利要求1所述的方法，其特征在于，所述工作模式包括告警模式和防护模式；所述告警模式，用于在异常程序执行被保护的可执行文件时，进行实时告警，但不阻断异常程序执行；所述防护模式，用于在异常程序执行被保护的可执行文件时，进行实时告警，并阻断异常程序执行。3.根据权利要求2所述的方法，其特征在于，还包括：如果检测到工业主机下载或者开启使用新软件，则为新软件设置工作模式，并自动扫描新软件的可执行文件的数据内容，生成新的文件特征码；使用新的文件特征码和工作模式生成新的白名单，并将新的白名单存储到白名单库中更新生效。4.根据权利要求1所述的方法，其特征在于，还包括：当检测到外部存储设备接入时，基于所述外部存储设备的唯一标识判断所述外部存储设备是否具有接入权限；如果有接入权限，则根据所述外部存储设备的唯一标识匹配获取设备操作权限，并根据设备操作权限响应所述外部存储设备的操作。5.一种工业主机的安全防护装置，其特征在于，应用于安装在工业主机上的安全防护系统客户端，包括：文件扫描模块，用于检测到工业主机中运行有目标软件时，自动扫描所述目标软件的可执行文件的数据内容，生成目标文件特征码；白名单匹配模块，用于使用所述目标文件特征码从白名单库中匹配目标白名单，并从所述目标白名单中获取与所述目标文件特征码对应的工作模式；查询模块，用于确定执行所述目标软件的可疑文件所对应的可疑文件特征码，查询白名单库中是否存在与所述可疑文件特征码匹配的白名单；告警模块，用于如果不存在，则根据所述目标软件的工作模式对所述可疑文件进行相应的告警或阻断操作。6.根据权利要求5所述的装置，其特征在于，所述工作模式包括告警模式和防护模式；所述告警模式，用于在异常程序执行被保护的可执行文件时，进行实时告警，但不阻断异常程序执行；所述防护模式，用于在异常程序执行被保护的可执行文件时，进行实时告警，并阻断异2CN113641997A权利要求书2/2页常程序执行。7.一种工业主机安全防护系统，其特征在于，所述系统包括：安装在工业主机上的客户端以及安装在服务器上的控制中心；所述客户端，用于执行如权利要求1‑4中任一项所述的工业主机的安全防护方法；所述控制中心，用于对联网情况下的多个工业主机上的客户端进行集中管理。8.根据权利要求7所述的系统，其特征在于，所述工业主机安全防护系统包括单机版本和网络版本；单机版本的工业主机安全防护系统用于对隔离情况下孤立的工业主机进行安全防护，系统包括：安装在工业主机上的客户端；网络版本的工业主机安全防护系统用于对联网情况下的多个工业主机