离线病毒防御方法及系统与流程

1.本技术实施例涉及网络技术领域，尤其涉及一种离线病毒防御方法及系统。


背景技术：

2.随着计算机网络在铁路信息系统的广泛应用，在为铁路信息系统带来便利的同时，也为铁路信息系统的安全性带来挑战。其中，网络病毒便是给铁路信息系统安全带来威胁的一种主要手段。这些病毒一旦被激活，就会破坏铁路信息系统的计算机网络，或者，窃取铁路信息系统中的保密文件或安全数据等。在严重情况下，不仅有可能造成铁路信息系统的计算机网络瘫痪，而且会对列车运行造成影响。
3.为此，现有的铁路信息系统的计算机网络中的一种方式是配备杀毒软件，但杀毒软件一般都需要频繁更新病毒库，才能扫描出新病毒，若是病毒库未更新，可能会导致新出现的病毒侵入。然而，铁路信息系统中，诸如列车运行控制系统等的局域网不具备在线实时更新病毒库的条件，因而也成为病毒攻击的主要目标，为铁路信息系统的安全运行带来隐患。
4.因此，如何加强不具备在线实时更新病毒库条件的计算机网络的安全防护，成为亟待解决的问题。


技术实现要素：

5.有鉴于此，本技术实施例提供一种离线病毒防御方案，以至少部分解决上述问题。
6.根据本技术实施例的第一方面，提供了一种离线病毒防御方法，所述方法应用于不具备在线实时更新病毒库条件的局域网，所述方法包括：获取待执行的可执行文件的信息，根据所述可执行文件的信息为所述可执行文件自动生成策略信息；将生成的所述策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的策略文件的内容进行比对；根据比对结果，确定是否拦截所述可执行文件的执行。
7.根据本技术实施例的第二方面，提供了一种离线病毒防御系统，所述系统应用于不具备在线实时更新病毒库条件的局域网，所述系统至少包括程序扫描模块和底层驱动拦截模块，其中：所述底层驱动拦截模块，用于获取待执行的可执行文件的信息，根据所述可执行文件的信息为所述可执行文件自动生成策略信息；将生成的所述策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的、由所述程序扫描模块生成的策略文件的内容进行比对；根据比对结果，确定是否拦截所述可执行文件的执行。
8.根据本技术实施例的第三方面，提供了一种电子设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行如第一方面所述方法对应的操作。
9.根据本技术实施例的第四方面，提供了一种计算机存储介质，其上存储有计算机程序，该程序被处理器执行时实现如第一方面所述的方法。
10.根据本技术实施例的第五方面，提供了一种计算机程序产品，包括计算机指令，所述计算机指令指示计算设备执行如第一方面所述方法对应的操作。
11.根据本技术实施例提供的离线病毒防御方案，针对不具备在线实时更新病毒库条件的局域网，当其中的设备需要运行可执行文件时，为该可执行文件临时动态生成策略信息，再与已加载至设备内存中的策略文件内容相比对，其中，策略文件内容可以是预先存储和生成好的，也可能局域网对应的管理中心之前下发的；在比对后，根据比对结果来决定是否拦截可执行文件的执行，例如，若比对成功，则不进行拦截；否则，进行拦截。因对于恶意软件或病毒来说，其需要通过可执行文件来运行以影响宿主设备，对宿主设备造成危害或窃取信息。而本技术实施例的方案中，策略文件中预置有可被放行的可执行文件的安全策略，若为待执行的可执行文件动态生成的策略信息与策略文件中的内容匹配，则说明其可被放行；否则，其可能为恶意软件或病毒，需要被拦截。由此，针对铁路信息系统中不具备在线实时更新病毒库条件的那些局域网，如列车运行控制系统所在的局域网等，即使不能实时联网更新病毒库，也可对可执行文件进行有效的防御和拦截处理，从而避免恶意软件或病毒的侵袭，提高和加强这类局域网的安全性。
附图说明
12.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术实施例中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
13.图1为适用本技术实施例方案的示例性系统的示意图；
14.图2为根据本技术实施例一的一种离线病毒防御方法的步骤流程图；
15.图3a为根据本技术实施例二的一种离线病毒防御系统的结构框图；
16.图3b为使用图3a所示离线病毒防御系统进行离线病毒防御的过程示意图；
17.图4为根据本技术实施例三的一种电子设备的结构示意图。
具体实施方式
18.为了使本领域的人员更好地理解本技术实施例中的技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本技术实施例一部分实施例，而不是全部的实施例。基于本技术实施例中的实施例，本领域普通技术人员所获得的所有其他实施例，都应当属于本技术实施例保护的范围。
19.下面结合本技术实施例附图进一步说明本技术实施例具体实现。
20.图1示出了一种适用本技术实施例方案的示例性系统。如图1所示，该系统100可以为一个铁路信息系统，其包括管理中心102、通信网络104和/或一个或多个局域网106，图1中示例为多个局域网，每个局域网中设置有至少一台终端设备，该终端设备可以为运行设备如列车运行控制设备，也可以为路由器或交换机等设备，本技术实施例对局域网中的设备不作具体限制。
21.管理中心102可以与多个局域网106连接，用于对铁路信息系统整体进行管理，也可以存储信息、数据、程序和/或任何其他合适类型的内容的任何适当的设备等。在一些实
施例中，一方面，管理中心102及局域网106等一般不与外部互联网连接；另一方面，管理中心102与局域网106互联，以对其执行相应的功能。例如，在一些实施例中，管理中心102可以根据需要对局域网106中的终端设备进行安全策略更新。作为可选的示例，在一些实施例中，管理中心102可以获取局域网106中设备的信息，包括但不限于文件的信息等，以对这些文件进行鉴别，从中区分出安全文件和非安全文件。作为另一示例，在一些实施例中，管理中心102可以响应于某一局域网中终端设备的请求而与进行相应的文件或数据或信息处理等。示例性地，管理中心102可以将局域网106中任一局域网上报的信息或数据或文件，如可信息文件的信息等共享至其所辖的所有局域网，以实现信息共享。
22.在一些实施例中，通信网络104可以是一个或多个有线和/或无线网络的任何适当的组合。局域网106能够通过一个或多个通信链路(例如，通信链路112)连接到通信网络104，该通信网络104能够经由一个或多个通信链路(例如，通信链路114)被链接到管理中心102。通信链路可以是适合于在局域网106和管理中心102之间传送数据的任何通信链路，诸如网络链路、拨号链路、无线链路、硬连线链路、任何其它合适的通信链路或此类链路的任何合适的组合。
23.局域网106可以包括适合于执行具体功能如列车运行控制功能等的任何一个或多个终端设备，在通常状态下，局域网106中的设备处于与铁路信息系统内部局域网包括管理中心102相连，但不与外部互联网联通的状态，以避免外界对局域网106内设备的攻击。但局域网106及其中的设备可通过通信网络104与管理中心102建立连接，以实现相应的功能，如从管理中心102获得更新的安全策略的信息，或者上传本地拦截信息，或者定期或不定期上传用于管理铁路信息系统的本地文件或数据，等等。
24.基于上述系统，本技术实施例提供了一种离线病毒防御方法，以下通过多个实施例进行说明。
25.实施例一
26.参照图2，示出了根据本技术实施例一的一种离线病毒防御方法的步骤流程图。
27.本实施例的离线病毒防御方法应用于不具备在线实时更新病毒库条件的局域网中，该方法包括以下步骤：
28.步骤s202：获取待执行的可执行文件的信息，根据该可执行文件的信息为该可执行文件自动生成策略信息。
29.铁路信息系统大大便利了人们的出行，并且为列车的安全运行提供保障。为保证铁路信息系统的安全性，会定期或不定期地下发相应的程序或软件来对铁路信息系统进行数据更新和完善，这些程序或软件通常需要基于可执行文件运行。传统方式中，这些程序或软件由铁路信息系统的管理中心统一下发给终端设备，因终端设备多位于限制联网的局域网中，这就要求终端设备的运维人员准时准点到达终端设备的相应位置，才能联网接收管理中心统一下发的程序或软件，并在终端设备上运行。为了避免这种方式带来的高人力和运维成本，在一种可行方式中，可以将这些程序或软件存储至便携式存储设备，如移动硬盘、u盘等中，这样，运维人员可以根据其自身情况，灵活地使用该便携式存储设备中存储的程序或软件来对终端设备进行更新，而不必须某个时刻到达某个地点来对终端设备进行系统更新。
30.基于此，本技术实施例中，获取待执行的可执行文件的信息可以是获取接入终端
设备的便携式存储设备中的可执行文件的信息，也可以是获取由便携式存储设备拷贝至终端设备的可执行文件的信息，当然，还可以是在满足连接条件，终端设备连接管理中心后，由管理中心下发给终端设备的可执行文件的信息。可选地，该可执行文件的信息至少包括可执行文件的路径信息和可执行文件的内容信息。但不限于此，还可以包括但不限于可执行文件的标识信息、来源信息、编码信息、名称信息等等属性信息。
31.在获得了可执行文件的信息后，则根据该信息为该可执行文件自动生成策略信息。策略信息用于对可执行文件进行安全性验证，其可基于可执行文件的信息，进行相应的算法处理后生成。本技术实施例中，只有在可执行文件需要运行时，才会为其临时动态自动生成策略信息。由此，一方面，减轻生成策略信息的数据处理负担，对于不需运行的程序或文件，不需为其生成策略信息；另一方面，也可避免生成策略信息后，在后续数据复制或传输过程中，该策略信息被恶意修改，以伪装成合法文件，从而为铁路信息系统带来危害。
32.在一种可行方式中，根据可执行文件的信息为该可执行文件自动生成策略信息可以实现为：获取待执行的可执行文件的信息，并确定当前的策略生成规则；根据可执行文件的信息和策略生成规则，为可执行文件自动生成策略信息。其中，策略生成规则用于指示根据可执行文件的信息，生成对应的策略信息的方式和/或算法。
33.在第一种可选方式中，可以设定固定的策略生成规则，则不管是何种可执行文件，均按照该策略生成规则生成相应的策略信息。示例性地，该策略生成规则可以为基于国密sm3消息摘要算法，该算法是国家密码局认定的国产密码算法，其可以根据待加密的内容，使用sm3算法生成相应的消息摘要。通过这种算法，能够确保消息摘要的安全可靠。基于此，在一种可行方式中，可以以可执行文件的文件路径+基于国密sm3消息摘要算法生成的消息摘要，作为为该可执行文件自动生成的策略信息。
34.在第二种可选方式中，可以设定多个策略生成规则，周期性或随机性轮换使用。例如，设置有a、b、c三种不同的策略生成规则，每种规则使用的加密算法和/或待加密数据均不相同，如，a使用算法1对可执行文件的文件内容进行加密，并结合文件标识生成对应的策略信息；b使用算法2对可执行文件的文件内容进行加密，并结合文件路径生成对应的策略信息；c使用算法3对可执行文件的文件内容进行加密，并结合文件的来源及编码信息生成对应的策略信息，等等，本技术实施例对该多个策略生成规则的具体实现形式不作限制。不同的策略生成规则对应有不同的规则标识，以周期性轮换为例，假设每隔12小时轮换一次策略生成规则，则对于文件m和n来说，可能两者使用不同的策略生成规则来生成各自对应的策略信息。但因保留有策略生成规则的标识信息，则后续可根据该标识信息进行相应的比对。通过这种方式，增加了策略信息生成的复杂性，也同时提高了对可执行文件的安全性要求，能够更为有效地对非允许情况下的可执行文件的运行进行拦截。
35.在第三种可选方式中，在根据可执行文件的信息生成策略信息时，还可以先对该可执行文件的来源进行鉴别，在来源合法的情况下，再根据策略生成规则生成相应的策略信息。此种情况下，需要可执行文件的信息中包括该文件的来源信息。例如，若该可执行文件是由便携式存储设备复制至终端设备本地，则其来源信息将会指示该可执行文件来源于该便携式存储设备，此时，一种情况下，可从数据库预先存储的设备信息中确定该便携式存储设备是否为可信设备，若为可信设备，再进行后续操作以生成策略信息，并在生成策略信息后再进行后续的比对。另一种情况下，可基于该便携式存储设备的信息如标识信息或地
址信息等，访问该便携式存储设备。此种情况下，便携式存储设备中除存储有该可执行文件外，还存储有该可执行文件是否可信的信息，如已经过病毒检验的信息等，以此来确定该可执行文件的来源是否合法或可信。通过这种方式，进一步保障了可执行文件的安全性。
36.需要说明的是，上述第一至第三种可选方式可择一使用，也可将第一或第二种可选方式与第三种可选方式结合使用，其均在本技术的保护范围内。
37.此外，还需要说明的是，本技术实施例中，若无特殊说明，“多个”、“多种”等与“多”有关的数量均意指两个及两个以上。
38.步骤s204：将生成的策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的策略文件的内容进行比对。
39.本技术实施例中，会在终端设备的内存中预先加载策略文件的内容，如前所述，该终端设备属于不具备在线实时更新病毒库条件的局域网，也即，该局域网及其中设备不能实时连接外部互联网。其中，策略文件中至少包含有当前终端设备本地所有可执行文件对应的安全策略，该安全策略用于指示可执行文件的安全信息，其可基于可执行文件的信息，进行相应的算法处理后生成。例如，可基于可执行文件的文件路径和消息摘要生成。
40.基于此，在一种可行方式中，该策略文件可以通过以下方式预先生成，并在本实施例步骤s202之前预先加载至内存中。该生成方式包括：对设备中的所有可执行文件进行初始扫描，以至少获得各可执行文件的文件路径；基于各可执行文件的文件路径，按照预设的策略生成规则，为各可执行文件生成对应的安全策略，并保存至本地数据库；在文件生成触发条件满足时，从本地数据库获得各可执行文件对应的安全策略，并基于各可执行文件对应的安全策略，生成策略文件。
41.其中，策略生成规则可由本领域技术人员参照前述实施例中的描述进行设置，可采用固定的某种规则，也可采用多种规则。当采用多种策略生成规则时，本地数据库中还保存有生成安全策略的策略生成规则的标识，以方便确定安全策略与生成该安全策略的规则之间的关系。需要说明的是，本技术实施例中，使用安全策略将被认为安全的、可运行的可执行文件的策略信息与待执行的可执行文件的策略信息相区别，但它们的本质可认为均是基于策略生成规则生成的信息。
42.文件生成触发条件也可由本领域技术人员根据实际需求适当设置，例如，终端设备启动时生成，或者本地数据库中的安全策略达到一定数量后生成，或者本地数据库在一定时间段内安全策略的数量未发生变化时生成，等等。在获得安全策略后，即可基于安全策略和可执行文件的信息，本示例中具体为文件的路径信息，最终生成该可执行文件对应的安全策略。采用结合文件的路径信息生成安全策略的方式，既可有效标识可执行文件，又因大部分恶意程序或病毒通常具有固定的文件路径，因此可借助于文件路径来进一步对可执行文件的安全性进行判断。
43.在一个示例中，可以在首次安装本技术实施例的离线病毒防御的代码或程序时，全盘扫描终端设备中的文件，以便获取当前终端设备中的所有可执行文件并生成当前状态下的所有可执行文件的安全策略。这样，当该终端设备中的程序或文件在之后发生变化或新增文件时，该代码或程序都能感知到，以便做到安全主机防护，防止恶意软件或病毒软件的可执行文件启动运行。
44.进一步可选地，为了保障该生成的策略文件的安全性，在一种可行方式中，还可将
生成的策略文件存储在终端设备的tee(trusted execution environment，可信执行环境)中。tee是由软硬件方法构建的一个安全区域，可保证在安全区域内加载的代码和数据在机密性和完整性方面得到保护。基于此，在获取待执行的可执行文件的信息之前，本技术实施例的方案还可以包括：从tee中获取预先生成的策略文件，并加载至设备内存中；其中，策略文件根据对设备中的所有可执行文件进行初始扫描后，基于预设的安全策略生成规则生成并保存至tee中。在此情况下，则将生成的策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的策略文件的内容进行比对可以实现为：对设备内存中加载的策略文件进行解析，获得对应的多个可执行文件的多个安全策略；将生成的策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中解析获得的多个可执行文件的多个安全策略进行比对。由此，保证了内存加载的策略文件的安全性和权威性。
45.示例性地，假设采用固定的策略生成规则，可执行文件x对应的策略信息为x’，将该可执行文件x的信息及其策略信息x’与内存中的多个可执行文件分别对应的多个安全策略进行比对，若比中，则表明可执行文件x是安全的，可放行；反之，则表明可执行文件x可能存在安全性问题，需要拦截。
46.又例如，假设采用多个策略生成规则的方式，该多个策略生成规则假设为a、b和c，则策略文件中的每个可执行文件将对应有三个不同的安全策略，例如，可执行文件1对应有安全策略11、12和13，其中，11根据策略生成规则a生成，12根据策略生成规则b生成，13根据策略生成规则c生成；可执行文件2对应有安全策略21、22、23
……
，以此类推，可执行文件n对应有安全策略n1、n2、n3。再假设当前轮换到的策略生成规则为b，根据b为可执行文件x对应的策略信息为x’。将该可执行文件x的信息及其策略信息x’与内存中的多个可执行文件分别对应的多个安全策略进行比对，每个可执行文件均对应有多个安全策略，如前示例，假设为三个。若可执行文件x的信息及其策略信息x’与内存中的某个可执行文件的多个安全策略中的、根据策略生成规则b生成的那一个安全策略比对成功，示例性地，假设可执行文件x的信息及其策略信息x’与内存中的可执行文件2的安全策略22比对成功，则表明可执行文件x是安全的，可放行；反之，若没有任何安全策略被比对中，则表明可执行文件x可能存在安全性问题，需要拦截。
47.此外，在一种可行方式中，在将策略文件加载至设备内存中之后，还可以获取针对可执行文件的驱动拦截程序的开关状态，该开关状态可用于指示是否对该终端设备中运行的可执行文件执行本技术实施例的离线病毒防御方法。一方面，通过设置开关状态，可以更为灵活地对可执行文件的运行进行控制；另一方面，采用驱动拦截程序的方式，可以使得拦截效率更高，能在可执行文件启动时就作出判断，更彻底地防止恶意软件或病毒软件的启动。
48.在设置了开关状态的情况下，将针对可执行文件生成的策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的策略文件的内容进行比对可以包括：若开关状态为打开状态，则通过驱动拦截程序，将生成的策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的策略文件的内容进行比对。
49.通过上述过程，实现了为待执行的可执行文件临时动态生成策略信息，并将该生成的策略信息与终端设备中预先加载入内存的策略文件中的内容的有效比对。
50.步骤s206：根据比对结果，确定是否拦截可执行文件的执行。
51.在将为可执行文件生成的策略信息与内存中加载的策略文件的内容进行比对后，即可获得比对结果。若根据比对结果，确定生成的策略信息与策略文件的内容相匹配，则可允许该可执行文件的运行；而若根据比对结果，确定生成的策略信息与策略文件的内容不匹配，则可生成拦截信息，不允许该可执行文件的执行。在一种可行方式中，可以根据该可执行文件的文件路径的信息，生成拦截信息。通过这种方式，可以快速定位该可执行文件，以便于后续对该可执行文件的处理。但不限于此，其它生成拦截信息的方式也同样适用于本技术实施例的方案。
52.如前所述，终端设备所在的局域网可与该局域网所在铁路信息系统中的指定设备如管理中心进行短时间连接。对于某些被拦截的可执行文件来说，其可能并非恶意软件或病毒软件，也可能是新增文件或软件，只是策略文件中暂时没有相关数据而已。因此，为了能够尽可能快地对该可执行文件进行处理，在一种可行方式中，可以在局域网的设备与局域网对应的管理中心成功建立连接后，将拦截信息上传至管理中心，以使管理中心获取该可执行文件并对其进行解析，根据解析结果生成对应的处理策略。
53.其中，在局域网的设备与局域网对应的管理中心连接后，局域网中的终端设备即可将生成的拦截信息发送给管理中心，由管理中心进行相应的处理。管理中心在接收到该拦截信息后，可选地，可要求终端设备将该可执行文件的信息或该可执行文件本身发送至管理中心，再对其进行分析，如，提取该可执行文件的内容的特征数据，基于该特征数据对其进行分析；或者，因管理中心可更为及时地更新病毒库，因此，管理中心也可使用最新的病毒库对该可执行文件进行分析；或者，管理中心可借助于预先训练完成的机器学习模型对该可执行文件进行分析，以获得分析结果。例如，安全性的分析结果。由此，底层的驱动拦截程序若拦截到不在策略文件内的可执行文件时，生成拦截信息，之后终端设备的上层服务会将该拦截信息及时发送给管理中心，管理中心收到之后也会产生本地告警信息，告知此终端设备上有可疑的可执行文件在运行，需要进行进一步的处理确认。
54.在确认后，若该可执行文件为安全文件，则管理中心还可据此更新管理中心本地的安全策略，生成新版本的安全策略，以供后续下发给终端设备使用；而若该可执行文件为非安全文件，如为恶意软件或病毒软件，则管理中心还可以向终端设备发送该信息，以指示终端设备对该可执行文件进行相应的处理，如删除、或隔离、或强制终止，等等。
55.但本领域技术人员应当明了的是，安全策略的更新并不完全以终端设备上报的拦截信息为依据，管理中心可以根据需求和/或其所在的铁路信息系统中的设备的情况，及时进行安全策略的更新。因此，在一种可行方式中，本技术实施例的离线病毒防御方法还可以包括：在局域网的设备与局域网对应的管理中心成功建立连接后，接收管理中心下发的新版本安全策略；根据新版本安全策略对局域网设备本地的安全策略进行更新，并在更新后重新加载至设备的内存中。通过这种方式，可以不断更新终端设备中的安全策略，以保证方案的正常使用和策略文件的时效性。在一种可行方式中，终端设备与管理中心之间建立的连接可以采用安全的国密通信机制，以保障信息传输的安全性。
56.此外，可选地，策略生成规则也可以由管理中心统一配置，并按照一定规则(如定时或周期性或设定条件满足时)下发给终端设备，以降低安全策略和策略信息生成和维护的成本。
57.可见，通过本实施例的方案，针对不具备在线实时更新病毒库条件的局域网，当其
中的设备需要运行可执行文件时，为该可执行文件临时动态生成策略信息，再与已加载至设备内存中的策略文件内容相比对，其中，策略文件内容可以是预先存储和生成好的，也可能局域网对应的管理中心之前下发的；在比对后，根据比对结果来决定是否拦截可执行文件的执行，例如，若比对成功，则不进行拦截；否则，进行拦截。因对于恶意软件或病毒来说，其需要通过可执行文件来运行以影响宿主设备，对宿主设备造成危害或窃取信息。而本技术实施例的方案中，策略文件中预置有可被放行的可执行文件的安全策略，若为待执行的可执行文件动态生成的策略信息与策略文件中的内容匹配，则说明其可被放行；否则，其可能为恶意软件或病毒，需要被拦截。由此，针对铁路信息系统中不具备在线实时更新病毒库条件的那些局域网，如列车运行控制系统所在的局域网等，即使不能实时联网更新病毒库，也可对可执行文件进行有效的防御和拦截处理，从而避免恶意软件或病毒的侵袭，提高和加强这类局域网的安全性。
58.实施例二
59.参照图3a，示出了根据本技术实施例二的一种离线病毒防御系统的结构框图。
60.本实施例的离线病毒防御系统应用于不具备在线实时更新病毒库条件的局域网，该系统至少包括程序扫描模块302和底层驱动拦截模块304。
61.其中，底层驱动拦截模块304用于获取待执行的可执行文件的信息，根据可执行文件的信息为可执行文件自动生成策略信息；将生成的策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的、由程序扫描模块302生成的策略文件的内容进行比对；根据比对结果，确定是否拦截可执行文件的执行。
62.可选地，底层驱动拦截模块304在根据比对结果，确定是否拦截可执行文件的执行时：若根据比对结果，确定生成的策略信息与策略文件的内容相匹配，则允许可执行文件的运行；若根据比对结果，确定生成的策略信息与策略文件的内容不匹配，则根据可执行文件的文件路径的信息，生成拦截信息。
63.基于此，可选地，本实施例的离线病毒防御系统还包括：通信处理模块306，用于在局域网的设备与局域网对应的管理中心成功建立连接后，将拦截信息上传至管理中心，以使管理中心获取可执行文件并对其进行解析，根据解析结果生成对应的处理策略；和/或，用于在局域网的设备与管理中心成功建立连接后，接收管理中心下发的新版本安全策略；根据新版本安全策略对本地的安全策略进行更新，并在更新后重新加载至设备的内存中。
64.可选地，底层驱动拦截模块304可以获取待执行的可执行文件的信息，并确定当前的策略生成规则；根据可执行文件的信息和策略生成规则，为可执行文件自动生成策略信息。
65.可选地，底层驱动拦截模块304还可以在获取待执行的可执行文件的信息之前，从tee中获取预先生成的策略文件，并加载至设备内存中；其中，策略文件根据对设备中的所有可执行文件进行初始扫描后，基于预设的策略生成规则生成并保存至tee中；进而，可将生成的策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的策略文件的内容进行比对实现为：对设备内存中加载的策略文件进行解析，获得对应的多个可执行文件的多个安全策略；将生成的策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中解析获得的多个可执行文件的多个安全策略进行比对。
66.可选地，底层驱动拦截模块304还可以在加载至设备内存中之后，获取针对可执行
文件的驱动拦截程序的开关状态；则，将生成的策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的策略文件的内容进行比对可以实现为：若开关状态为打开状态，则通过驱动拦截程序，将生成的策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的策略文件的内容进行比对。
67.可选地，程序扫描模块302可以在底层驱动拦截模块304获取待执行的可执行文件的信息之前，对设备中的所有可执行文件进行初始扫描，以至少获得各可执行文件的文件路径；基于各可执行文件的文件路径，按照预设的策略生成规则，为各可执行文件生成对应的安全策略，并保存至本地数据库；在文件生成触发条件满足时，从本地数据库获得各可执行文件对应的安全策略，并基于各可执行文件对应的安全策略，生成策略文件。
68.以下，以一个具体示例，对本实施例的离线病毒防御系统的离线病毒防御过程进行示例性说明，如图3b所示。
69.本示例中，将本技术实施例提供的病毒防御系统安装至局域网的终端设备中，在该系统中，程序扫描模块302负责扫描检测本终端设备中的可执行文件的变化，底层驱动拦截模块304负责验证要启动的可执行程序是否可被允许正常启动执行，通信处理模块306负责接收管理中心下发的安全策略和上传拦截信息。
70.具体地，病毒防御系统安装后，程序扫描模块302全盘扫描文件，获取到此时终端设备中的所有可执行文件；之后，将各可执行程序的文件路径及通过国密sm3算法计算出对应的文件内容的摘要信息生成相应的安全策略，并保存到本地数据库；再根据数据库中的各可执行文件及其对应的安全策略，生成策略文件，并通知到底层驱动拦截模块304。
71.底层驱动拦截模块304接收到程序扫描模块302发送的策略文件后，将策略文件内容加载到内存中，会解析出各可执行文件及其对应的安全策略；之后，底层驱动拦截模块304根据设置的针对可执行文件的驱动拦截程序的开关状态进行不同的处理，若开关状态为打开，则对待执行的可执行程序进行验证，此时底层驱动拦截模块304的拦截任务生效，底层驱动拦截模块304会获取到用户在终端设备中要启动的可执行程序的文件路径并使用国密sm3算法计算出此可执行程序的文件内容的摘要信息，之后将文件路径、文件内容的摘要信息与已加载到内存中的策略文件所包含的安全策略进行比对；若比对成功，则允许此可执行文件运行，此可执行文件正常启动；若比对不成功，则不允许此可执行文件运行，此可执行文件无法正常启动；进而，记录此可执行文件的文件路径，产生拦截信息。而若开关状态为关闭，则不对待执行的可执行文件进行验证，底层驱动拦截模块304的拦截任务不生效。
72.通信处理模块306负责在与管理中心建立连接后，接收管理中心下发的安全策略，此安全策略可在管理中心的工作人员确认无误之后，下发到终端设备。该安全策略可以是管理中心在根据终端设备发送的拦截信息，更新该终端设备对应的管理中心侧的安全策略后，下发到终端设备中的增量安全策略；也可以是在之前的连接中，终端设备将自身生成的安全策略发送给管理中心后，管理中心又根据终端设备后续发送来的拦截信息生成的新安全策略或者铁路信息系统统一更新的新安全策略，将其合并后形成的全量安全策略。终端设备的通信处理模块306接收该安全策略之后，将该安全策略更新到本地数据库中；之后，通知底层驱动拦截模块304更新安全策略，以便驱动重新加载安全策略。此外，底层驱动拦截模块304会产生拦截信息，通信处理模块306读取到驱动记录的拦截信息后，会将此拦截
信息在与管理中心建立连接后，及时上传到管理中心；管理中心获取到拦截信息会产生告警，以便迅速获取可疑的可执行文件的信息，并确认可疑的可执行文件是否为恶意软件或病毒软件。
73.由该示例可见，通过本实施例的离线病毒防御系统，可以实现无需杀毒软件情况下的离线防病毒功能，尤其对于无法连接公网的铁路信息系统的局域网环境,通过本实施例的离线病毒防御系统，无需连接公网环境，即可做到离线防病毒。并且，在这些局域网中的终端设备无需病毒库，因对于铁路信息系统需要稳定的业务环境，不方便频繁升级杀毒软件，而通过本实施例的离线病毒防御系统，可无需病毒库，更不需要频繁升级软件，即可做到防病毒。此外，本实施例中的底层驱动拦截模块通过国密sm3算法对可执行文件进行验证，更加安全可靠。并且，经检验，本实施例的离线病毒防御系统可在各种主流操作系统上运行(包括但不限于linux/windows)，可快速地适配各个铁路信息系统的局域网中的终端设备的操作系统(包括但不局限于列车调度指挥系统tdcs/列车调度集中系统ctc、信号集中监测系统csm、动车段(所)控制集中系统ccs、综合自动化系统sam&编组站综合集成自动化系统cips、列车运行控制系统ctcs，等)，具有更好的适配性和兼容性。并且，通过本实施例，还可以使铁路信息系统能够有效符合等级保护测评中对业务系统主机加固的要求，提升其合规性。
74.可见，通过本实施例的离线病毒防御系统，有效解决了不具备在线实时更新病毒库条件的计算机网络，尤其是铁路信息系统中的局域网的安全防护问题。
75.实施例三
76.参照图4，示出了根据本技术实施例三的一种电子设备的结构示意图，本技术实施例并不对电子设备的具体实现做限定。
77.如图4所示，该电子设备可以包括：处理器(processor)402、通信接口(communications interface)404、存储器(memory)406、以及通信总线408。
78.其中：
79.处理器402、通信接口404、以及存储器406通过通信总线408完成相互间的通信。
80.通信接口404，用于与其它电子设备进行通信。
81.处理器402，用于执行程序410，具体可以执行上述任一方法实施例中的相关步骤。
82.具体地，程序410可以包括程序代码，该程序代码包括计算机操作指令。
83.处理器402可能是cpu，或者是特定集成电路asic(application specific integrated circuit)，或者是被配置成实施本技术实施例的一个或多个集成电路。智能设备包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个cpu；也可以是不同类型的处理器，如一个或多个cpu以及一个或多个asic。
84.存储器406，用于存放程序410。存储器406可能包含高速ram存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。
85.程序410可包括多条计算机指令，程序410具体可以通过多条计算机指令使得处理器402执行前述多个方法实施例中任一实施例所描述方法对应的操作。
86.程序410中各步骤的具体实现可以参见上述方法实施例中的相应步骤和单元中对应的描述，并具有相应的有益效果，在此不赘述。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的设备和模块的具体工作过程，可以参考前述方法实施例
中的对应过程描述，在此不再赘述。
87.本技术实施例还提供了一种计算机存储介质，其上存储有计算机程序，该程序被处理器执行时实现前述多个方法实施例中任一实施例所描述的方法。该计算机存储介质包括但不限于：只读光盘(compact disc read-only memory，cd-rom)、随机存储器(random access memory，ram)、软盘、硬盘或磁光盘等。
88.本技术实施例还提供了一种计算机程序产品，包括计算机指令，该计算机指令指示计算设备执行上述多个方法实施例中的任一方法对应的操作。
89.需要指出，根据实施的需要，可将本技术实施例中描述的各个部件/步骤拆分为更多部件/步骤，也可将两个或多个部件/步骤或者部件/步骤的部分操作组合成新的部件/步骤，以实现本技术实施例的目的。
90.上述根据本技术实施例的方法可在硬件、固件中实现，或者被实现为可存储在记录介质(诸如cd rom、ram、软盘、硬盘或磁光盘)中的软件或计算机代码，或者被实现通过网络下载的原始存储在远程记录介质或非暂时机器可读介质中并将被存储在本地记录介质中的计算机代码，从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件(诸如asic或fpga)的记录介质上的这样的软件处理。可以理解，计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件(例如，ram、rom、闪存等)，当所述软件或计算机代码被计算机、处理器或硬件访问且执行时，实现在此描述的方法。此外，当通用计算机访问用于实现在此示出的方法的代码时，代码的执行将通用计算机转换为用于执行在此示出的方法的专用计算机。
91.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及方法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术实施例的范围。
92.以上实施方式仅用于说明本技术实施例，而并非对本技术实施例的限制，有关技术领域的普通技术人员，在不脱离本技术实施例的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本技术实施例的范畴，本技术实施例的专利保护范围应由权利要求限定。

技术特征：
1.一种离线病毒防御方法，其特征在于，所述方法应用于不具备在线实时更新病毒库条件的局域网，所述方法包括：获取待执行的可执行文件的信息，根据所述可执行文件的信息为所述可执行文件自动生成策略信息；将生成的所述策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的策略文件的内容进行比对；根据比对结果，确定是否拦截所述可执行文件的执行。2.根据权利要求1所述的方法，其特征在于，所述获取待执行的可执行文件的信息，根据所述可执行文件的信息为所述可执行文件自动生成策略信息，包括：获取待执行的可执行文件的信息，并确定当前的策略生成规则；根据所述可执行文件的信息和所述策略生成规则，为所述可执行文件自动生成策略信息。3.根据权利要求1或2所述的方法，其特征在于，在所述获取待执行的可执行文件的信息之前，所述方法还包括：从可信执行环境tee中获取预先生成的策略文件，并加载至设备内存中；其中，所述策略文件根据对设备中的所有可执行文件进行初始扫描后，基于预设的安全策略生成规则生成并保存至所述tee中；所述将生成的所述策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的策略文件的内容进行比对，包括：对所述设备内存中加载的策略文件进行解析，获得对应的多个可执行文件的多个安全策略；将生成的所述策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中解析获得的多个可执行文件的多个安全策略进行比对。4.根据权利要求3所述的方法，其特征在于，在所述加载至设备内存中之后，所述方法还包括：获取针对可执行文件的驱动拦截程序的开关状态；所述将生成的所述策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的策略文件的内容进行比对，包括：若所述开关状态为打开状态，则通过所述驱动拦截程序，将生成的所述策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的策略文件的内容进行比对。5.根据权利要求3所述的方法，其特征在于，在所述获取待执行的可执行文件的信息之前，所述方法还包括：对设备中的所有可执行文件进行初始扫描，以至少获得各可执行文件的文件路径；基于各可执行文件的文件路径，按照预设的策略生成规则，为各可执行文件生成对应的安全策略，并保存至本地数据库；在文件生成触发条件满足时，从所述本地数据库获得各可执行文件对应的安全策略，并基于各可执行文件对应的安全策略，生成所述策略文件。6.根据权利要求1或2所述的方法，其特征在于，所述根据比对结果，确定是否拦截所述可执行文件的执行，包括：若根据比对结果，确定生成的所述策略信息与策略文件的内容相匹配，则允许所述可执行文件的运行；若根据比对结果，确定生成的所述策略信息与策略文件的内容不匹配，则根据所述可
执行文件的文件路径的信息，生成拦截信息。7.根据权利要求6所述的方法，其特征在于，所述方法还包括：在所述局域网的设备与所述局域网对应的管理中心成功建立连接后，将所述拦截信息上传至所述管理中心，以使所述管理中心获取所述可执行文件并对其进行解析，根据解析结果生成对应的处理策略。8.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：在所述局域网的设备与所述局域网对应的管理中心成功建立连接后，接收所述管理中心下发的新版本安全策略；根据所述新版本安全策略对本地的安全策略进行更新，并在更新后重新加载至所述设备的内存中。9.一种离线病毒防御系统，其特征在于，所述系统应用于不具备在线实时更新病毒库条件的局域网，所述系统至少包括程序扫描模块和底层驱动拦截模块，其中：所述底层驱动拦截模块，用于获取待执行的可执行文件的信息，根据所述可执行文件的信息为所述可执行文件自动生成策略信息；将生成的所述策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的、由所述程序扫描模块生成的策略文件的内容进行比对；根据比对结果，确定是否拦截所述可执行文件的执行。10.根据权利要求9所述的系统，其特征在于，所述底层驱动拦截模块在根据比对结果，确定是否拦截所述可执行文件的执行时：若根据比对结果，确定生成的所述策略信息与策略文件的内容相匹配，则允许所述可执行文件的运行；若根据比对结果，确定生成的所述策略信息与策略文件的内容不匹配，则根据所述可执行文件的文件路径的信息，生成拦截信息；所述系统还包括：通信处理模块，用于在所述局域网的设备与所述局域网对应的管理中心成功建立连接后，将所述拦截信息上传至管理中心，以使所述管理中心获取所述可执行文件并对其进行解析，根据解析结果生成对应的处理策略；和/或，用于在所述局域网的设备与管理中心成功建立连接后，接收所述管理中心下发的新版本安全策略；根据所述新版本安全策略对本地的安全策略进行更新，并在更新后重新加载至所述设备的内存中。

技术总结
本申请实施例提供了一种离线病毒防御方法及系统，其中，离线病毒防御方法应用于不具备在线实时更新病毒库条件的局域网，所述方法包括：获取待执行的可执行文件的信息，根据所述可执行文件的信息为所述可执行文件自动生成策略信息；将生成的所述策略信息与不具备在线实时更新病毒库条件的局域网的设备内存中加载的策略文件的内容进行比对；根据比对结果，确定是否拦截所述可执行文件的执行。通过本申请实施例，可针对铁路信息系统中不具备在线实时更新病毒库条件的那些局域网，在其可执行文件运行时进行有效的防御和拦截处理，从而避免恶意软件或病毒的侵袭，提高和加强这类局域网的安全性。域网的安全性。域网的安全性。


技术研发人员：何文宾 牛旭龙 王圳祖 魏康威 孙开杰 余珍利 陈威东
受保护的技术使用者：北京道迩科技有限公司
技术研发日：2023.07.18
技术公布日：2023/10/6