CN101788915A - 基于可信进程树的白名单更新方法 - Google Patents
基于可信进程树的白名单更新方法 Download PDFInfo
- Publication number
- CN101788915A CN101788915A CN201010108793A CN201010108793A CN101788915A CN 101788915 A CN101788915 A CN 101788915A CN 201010108793 A CN201010108793 A CN 201010108793A CN 201010108793 A CN201010108793 A CN 201010108793A CN 101788915 A CN101788915 A CN 101788915A
- Authority
- CN
- China
- Prior art keywords
- program
- white list
- tree
- executable program
- eigenwert
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
本发明公开了一种基于可信进程树的白名单更新方法,包含监控模块、可信进程树的构建模块、可信报告模块、白名单更新模块;通过对程序间创建及调用关系的分析,准确的定位非白名单程序中的新安装合法程序和系统中的非法程序,收集到新安装程序的特征值,鉴别非法程序的特征值,使其无法加入白名单中;当新的程序安装或原有程序更新时,通过本发明中可信进程树等安全机制,安全顺利实现对白名单的更新。保证在安装及更新过程中,将特征值都不在白名单的新安装程序和计算机病毒区分开来,既能全部收集到新安装或更新的可执行程序的特征值,又保证在此过程中不会将病毒等不相关的程序的特征值误引入白名单中。
Description
技术领域
本发明基于可信进程树的白名单更新方法,涉及对采用白名单机制的病毒防御机制的系统进行程序安装及更新的方法。该方法能实现对白名单的安全更新,依据进程间的创建及调用关系,既将合法安装程序的特征值加入到白名单,同时又不会误引入病毒的特征码,属于信息安全领域。
背景技术
随着计算机技术的飞速发展,计算机病毒不仅在数量上不断上升,而且朝着多样化、复杂化的方向发展,而现有的主要的病毒防御手段便是杀毒软件。杀毒软件以特征值扫描法作为理论基础,其核心是从现有的病毒样本中提取特征值构成庞大的病毒特征库,然后以用户计算机中的可执行程序或文件等作为目标,逐一与病毒特征库中的恶意特征值进行比对,最后根据比对结果判断目标程序或文件是否被病毒感染。但该技术的重大缺陷是杀毒软件厂商只有发现并捕获到新病毒后,才会从计算机病毒中提取出其特征值,也就是说病毒库的更新永远滞后于病毒的出现。
面对千变万化的计算机病毒,基于主动防御的白名单技术越来越成为关注的焦点。白名单技术,通过为系统制定合法的允许执行的程序的特征值“白名单”,对未知病毒能够起到防御作用。它是杀毒软件“黑名单”的反逻辑,不是扫描程序中是否含有病毒特征码,而是查看该程序的特征值是否与系统允许执行的白名单相符合。如果是,则允许执行;否则,拒绝执行。这种白名单技术的特征值主要检查程序是否是已知合法程序,且程序是否被病毒感染,因此主要是对程序的完整性进行验证。提供完整性特征校验值的方法有很多,目前较为流行的是计算整个程序的摘要值,如用SHA1或MD5算法计算整个可执行文件的哈希值等等。
这种基于白名单的较为严格的控制方式,虽然能够较好的防御病毒、木马,但是对白名单的更新却是一大难题。因为外来的合法程序与计算机病毒一样,其特征值都不在白名单中。而程序安装或升级过程中,如果继续按照原先的白名单进行控制,则由于新安装或更新程序的特征值由于不在白名单中,会导致安装或更新失败;如果不对系统中的可执行程序进行控制,则系统中的非法病毒、木马等恶意程序可能会启动,或者对系统造成破坏,使这些被破坏的程序永远不能启动,或者会感染新安装或更新的可执行程序,使系统收集到包含恶意的可执行程序的特征值更新至白名单中。因此,如何对采用白名单机制的计算机防御系统的白名单进行安全更新,既将新安装或更新的程序的特征值更新至白名单,又不会勿将病毒等恶意代码的特征值引入,便成为一大难题。
发明内容
本发明的目的在于,通过提供一种基于可信进程树的白名单更新方法,以解决软件安装及程序更新过程中对白名单更新的问题。通过对程序问创建及调用关系的分析,准确的定位非白名单程序中的新安装合法程序和系统中的非法程序,既能收集到新安装程序的特征值,又不会将非法程序的特征值加入白名单中,以更好的解决白名单的更新问题。
本发明是采用以下技术手段实现的:
一种基于可信进程树的白名单更新方法,包含执行程序的启动,以及可执行程序对文件资源的访问操作的文件系统监控模块;用于根据进程间及进程对可执行程序的调用关系,构建合法可执行程序所形成的可信进程树的构建模块;将程序的判定结果通知调用接口的系统白名单安全控制机制的可信报告模块;提取可信进程树中的各个结点对应可执行程序的特征值,并将这些特征值更新至白名单的更新模块;通过对程序间创建及调用关系的分析,准确的定位非白名单程序中的新安装合法程序和系统中的非法程序,收集到新安装程序的特征值,鉴别非法程序的特征值,使其无法加入白名单中;包括下述步骤:
(1)监控并记录系统中可执行程序的启动,以及可执行程序对文件资源的写访问操作;
(2)在内存中构造可信进程树数据结构,将安装、升级过程中新引入计算机系统的可执行程序加入到可信进程树中,其中包括其全路径名、特征值、父进程在树中的广度遍历序号;并将这些信息写入文件中;
(3)将判定结果通知系统的白名单控制机制;对于特征值不在白名单中的程序,若在可信进程树中,同样允许启动;
(4)收集可信进程树中的可执行程序信息,更新系统白名单。
前述的可信进程树的模型,其中:
(1)树的根是安装包及升级包程序,或者是其中的一个升级进程;
(2)树中任意结点用三元组表示,Path为可执行程序的全路径名,H为该程序的特征值,Parent为该程序的父结点在树中按广度遍历的序号;
(3)树中任意结点与其子女的关系是以下两种中的任一种:父结点对应的程序对子女有写操作,父结点对应的程序有改名操作,父结点启动或调用了子女结点对应的可执行程序。
前述的写操作包括:创建、写、添加写、改名。
本发明与现有技术相比,具有以下明显的优势和有益效果:
本发明基于可信进程树的白名单更新方法,在系统采用白名单病毒防御机制下,当新的程序安装或原有程序更新时,通过本发明中可信进程树等安全机制,安全顺利实现对白名单的更新。保证在安装及更新过程中,将特征值都不在白名单的新安装程序和计算机病毒区分开来,既能全部收集到新安装或更新的可执行程序的特征值,又保证在此过程中不会将病毒等不相关的程序的特征值误引入白名单中。
附图说明
图1白名单更新方法体系结构图;
图2本发明的进程树结构示意图;
图3更新方法具体处理流程图。
具体实施方式
以下结合说明书附图,对本发明的具体实施例加以说明:
请参阅图1所示,白名单更新方法体系结构图。包含以下四个模块:获取执行程序的启动,以及可执行程序对文件资源的访问操作的文件系统监控模块;用于根据进程间及进程对可执行程序的调用关系,构建合法可执行程序所形成的可信进程树的构建模块;将程序的判定结果通知调用接口的系统白名单安全控制机制的可信报告模块;白名单更新模块提取可信进程树中的各个结点对应可执行程序的特征值,并将这些特征值更新至白名单。通过对程序间创建及调用关系的分析,准确的定位非白名单程序中的新安装合法程序和系统中的非法程序,收集到新安装程序的特征值,鉴别非法程序的特征值,使其无法加入白名单中。
请参阅图2所示,为本发明的进程树结构示意图。进程树T是一棵树,任意结点n(除叶结点)的子女是其创建或调用的子进程或可执行程序,结点n(除根结点)的双亲是其父进程。本发明的进程树与传统操作系统中所述进程树不同的是,结点n可能是进程或进程启动及其创建的可执行文件(如dll、sys等),且n是一个三元组(Path,H,Parent),其中Path是该程序的全路径名,H是该程序的特征值,Parent是该程序的父结点在树中按广度遍历的序号。
如果上述进程树T中,所有结点都是安装包、升级包调用或创建的可执行程序,且任一结点对应的可执行程序都没有在安装过程中被病毒感染,则称该进程树T是可信进程树。
可信进程树的构建规则是:
(1)安装包或升级包T启动时,(PathT,HT,0)作为树的根结点,在内存中创建存储树形结构的链表;若升级采用升级程序T通过网络升级的方式,则同样将(PathT,HT,0)作为树的根结点。
(2)通过文件系统监控模块的监控,将T创建、调用的子进程或可执行程序n,在获取其特征值Hn后,以(Pathn,Hn,1)的形式作为T的子女加入树中。
(3)将T创建、调用的子进程或可执行程序,按照执行的先后顺序分别以T第一子女、第二子女、第三子女……将这些结点按照(2)的步骤加入树中。
(4)对T运行过程中的每一个结点,重复(2)(3),直至进程T结束为止。
在上述(2)(3)步骤中,在把可执行程序作为结点加入可信进程树的链表的同时,将其对应的三元组写入文件中,目的是防止某些升级的程序,其进程T没有结束,就重新启动计算机,这样的话,如果不以文件的方式存储相应的可信进程树结构,那么新安装或升级的可执行程序信息可能会丢失,重启计算机后无法完成对白名单的更新。
根据进程间的调用关系,通过可信进程树的构建,在安装或升级过程中,由于病毒程序不是安装包或升级包创建的子进程,所以其不能加入到可信进程树中。后面的可信报告模块,会将新加入系统的但在可信进程树中的可执行程序通知系统原有的白名单安全控制机制。
可信报告模块;安装或升级过程中,系统监控模块监控得到的程序启动、程序资源访问等请求,通过可信进程树构建模块判定其该可执行程序是否加入可信进程树中,可信报告模块将每个程序的判定结果通知调用本发明提供的接口的系统白名单安全控制机制。
系统白名单安全控制机制原本的控制策略就是单一的根据白名单的匹配,如果程序的特征值在白名单中,则允许程序的启动,否则,一概拒绝。但是在程序的安装或升级过程中,该机制就必须允许两种程序启动:一是程序的特征值在白名单中,这是原有的控制方式;二是程序加入了可信进程树中,即这是新安装的可执行程序(其中也可能包含对系统原有可执行程序的调用)。
通过该可信报告模块的通知,新安装的可执行程序虽然其特征值不在白名单中,但仍然可以启动执行,确保了安装过程的顺利完成。
白名单更新模块;用于在安装或升级完成时,提取可信进程树中的各个结点对应可执行程序的特征值,并将这些特征值更新至白名单。
对于安装或更新过程中,不需要重新启动计算机的情况,白名单更新模块通过安装包或升级包主程序T的结束,判断安装或更新是否完成。对于需要重新启动计算机的情况,在重新启动后,则认为是上一次的安装或更新已暂时完成。
白名单更新模块,获得安装或升级完成消息后,将可信进程树中的各个结点的特征值信息更新至白名单。当然,根据不同的白名单实现机制,更新白名单的操作也可能由原来的系统白名单安全机制完成,但新安装程序的特征值仍然须由白名单更新模块获取。
请参阅图3所示,为更新方法具体处理流程图。更新方法的具体流程如下:当接口获得程序安装及升级的请求后,文件系统监控模块便开始截获系统中的进程启动及调用请求,监视进程对系统中可执行程序文件的写、修改、改名操作,并且将这些请求及操作送至可信进程树构建模块;可信进程树构建模块根据进程间的调用关系,对接收到的可执行程序启动请求和文件操作进行判断,将符合条件的可执行程序启动及文件操作加入到可信进程树中;可信报告模块将可信进程树构建模块的判定结果通知原系统的白名单安全控制机制,便于安全控制机制裁决特征值不在白名单中的可执行程序(可能是新安装的程序,也可能是病毒、木马等恶意代码)能否启动;白名单更新模块,负责将安装或更新过程中新生成的可信进程树中的可执行程序的特征值更新至白名单中。
本发明的前提是系统运行采用白名单控制机制,程序安装采用安装包的方式,程序升级采用升级包或利用升级程序通过网络在线升级两种方式中任一种。并且,安装包、升级包本身已经通过验证签名、多个杀毒软件排查等技术手段确定其可信;至于通过升级程序的升级方式,则认为其通过网络连接的网站可信。
其中,文件系统监控模块;可执行程序即可以映射到内存中执行的二进制代码文件,既包括进程,也包括其他可执行程序,如WINDOWS操作系统中的.exe、.dll、.com、.sys、.bat等。可执行程序的启动即上述二进制代码映射到内存中的执行。
可执行程序对文件资源的访问操作,既包括进程调用其他可执行程序,也包括可执行程序对其他文件资源的写操作(包括创建、写、追加写、改名等)。
监控可执行程序启动及其对文件资源访问是构造可信进程树的前提,只有监控到程序的启动及其访问操作,才能为后续的可信进程树构建提供依据。而本发明中关注对可执行程序对文件资源的写操作,是因为在安装或升级过程中,某些新安装到系统中的合法可执行程序并没有启动,只是由安装包、升级包或升级程序以文件形式将其写到了磁盘系统中。但这些未启动过的可执行程序文件,仍然是合法的程序,需要将其特征值更新到白名单中。
本发明实施中,系统原有的白名单安全机制的数据结构,每一项由程序的全路径名+可执行程序的SHA1摘要值组成。在通用的WINDOWS XP操作系统中,采用的技术手段主要为文件过滤驱动。对应的程序主要有两部分:
一是运行在内核的驱动程序SecFilter.sys,该程序主要完成本发明的在程序安装及升级过程中,截获应该更新到白名单的程序的全路径名及计算其摘要值等,并将结果送至SecConfig.exe程序。通过在WINDOWS操作系统的I/O管理器与文件系统之间,插入本发明的SecFilter.sys驱动程序,截获上层对操作系统底层文件系统的操作及进程启动等相关信息。WINDOWS XP的I/O子系统是基于包的,所有的I/O请求都是利用I/O请求包(IRP)来提交的,本发明的实现通过文件过滤驱动的方式,截获发往文件系统层的IRP包,实现前面所述的发明方法。
二是应用层的安全配置工具SecConfig.exe程序,该程序提供给用户程序安装及配置升级程序的界面。并且,在获得SecFilter.sys的记录后,完成对白名单的更新动作。
同时,SecFilter.sys根据白名单控制可执行程序的启动,这虽然不是本发明中要实现的功能,但却是验证本发明达到的安全效果必不可少的部分。
本发明的实现主要分成以下4个大步骤:
1.安装或升级请求通知
当运行白名单机制的计算机系统,要进行程序安装或程序升级时,通过SecConfig.exe提供的配置界面,将请求送至内核层的驱动SecFilter.sys。
依据安装、升级过程的不同,将安装、升级分为两类。相应地,安全配置工具SecConfig.exe在本部分提供的界面功能主要有两个:
1.1.将待安装程序包或升级包的全路径,如QQ2009.exe或WINDOWS补丁升级包,以DeviceIoControl的方式通知内核驱动SecFilter.sys
1.2针对不以升级包,而是以升级程序方式进行的在线升级,例如QQUpdate.Exe,利用SecConfig.exe提供的界面将升级程序的全路径,同样以DeviceIoControl的方式通知内核驱动SecFilter.sys。
内核SecFilter.sys通过派遣例程IRP_MJ_DEVICE_CONTROL接收到安全配置工具SecConfig.exe的通知后,将会进行可信进程树结构的初始化,将安装包升级包程序或在线升级程序作为树的根结点。然后,初始化其他与该部分相关的数据结构及内核事件等。
该部分主要目的是实现应用层与内核层驱动的通信,即应用层把安装或升级的消息送给内核;内核收到消息后,确认安装、升级开始,然后进行以下的步骤完成该安装或升级操作。
2、文件系统操作监控
在SecFilter.sys驱动程序中,通过派遣例程IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION,获得进程对文件的访问请求,通过Hook机制获得可执行程序的启动请求。
(1).在派遣例程IRP_MJ_CREATE处
a、首先查看被访问的文件名是否是可执行程序对应的文件。如果不是,则认为不是白名单关心的记录,不记录对此文件的处理。
b、根据IRP包中的DesiredAccess项判断当前操作是否是写操作(包括FILE_WRITE_DATA、FILE_APPEND_DATA、FILE_CREATE、FILE_SUPERSEDE、FILE_OVERWRITE等都认为是写操作)。如果不是写操作,则不记录对此文件的处理。
C、通过当前进程的PID获取当前进程的全路径名CurrentProcPath。
d、最后,将此信息送至可信进程树构建模块进行判断。
(2)在IRP_MJ_SET_INFORMATION处
采用与上面相同的处理流程,但第(b)步的写操作则无需进行判断,因为改名处肯定是写操作。将对可执行程序文件的改名动作进行记录,其中包括当前进程的全路径名。
在两个派遣例程中进行监控文件操作的目的是,获取写到磁盘的可执行程序文件的全路径名,然后将这些信息送给可信进程树构建模块,可信进程树构建模块会对这些信息进行区分,判断哪些是安装或升级的合法的程序,将这些程序的特征值(本实现中即为SHA1摘要值)更新至白名单。
(3)在可执行程序Hook处
a、可执行程序(如.exe、.dll、.com、.sys、.bat等)以二进制文件映射到内存中时,通过Hook机制截获该启动请求。
b、通过当前进程的PID即可获得启动该可执行程序的父进程的全路径名CurrentProcPath。
c、最后,将这些信息送至可信进程树构建模块。
监控可执行程序启动的目的是:一方面,释放并将可执行程序文件写到磁盘的进程,既可能是安装包或升级程序本身,也可能是其创建的子进程发起的动作,所以进程启动子进程这些信息也要记录,最后由可信进程树判断哪些与安装或升级相关;另一方面,有的安装包不是一个单独的EXE文件,而是一个目录。这种情况下,可执行程序文件极有可能早就存在于磁盘上,上面对写磁盘的动作的截获就可能截获不到这个动作,所以此时必须将进程对可执行程序的调用动作进行记录。
3、构建可信进程树,实时报告可信进程树状态;
(1)根据进程间及进程对可执行程序的调用关系,将上一部分送来的信息进行判别。前面已经将安装包升级包程序或在线升级程序作为树的根结点在内存中创建了树形链表结构LIST_ENTRY。
(2)根据每条信息中的进程全路径名CurrentProcPath查询链表LIST_ENTRY,如果当前进程不在LIST_ENTRY中,则标记为非法,直接跳到第(6)步。
(3)计算以下三类文件的SHA1值:
a、CurrentProcPath写到磁盘上的可执行程序文件
b、CurrentProcPath实施的改名操作的可执行程序的目标文件
c、CurrentProcPath作为父进程启动的可执行程序文件
(4)以(Path,H,Parent)作为该进程的子女按照先后顺序加入到可信进程树中,其中Path是该程序的全路径名,H是该程序的特征值,Parent是该程序的父结点在树中按广度遍历的序号。
(5)将此三元组信息(Path,H,Parent)写入到文件InstallAndUpgrate.dat中,主要应对安装或升级过程中要重新启动计算机的情况。
通过上面可信进程树的构造,合法的通过安装或升级进入系统的可执行程序(即CurrentProcPath进行操作的三类可执行程序文件),其信息则加入到了可信进程树中,其他的程序如系统中的病毒、木马等非法程序则不能加入到树中。
(6)可信报告模块将判定结果实时报告给系统的白名单控制机制,为系统的白名单安全控制机制提供判断依据。
4、白名单的更新
完成提取可信进程树中的各个结点对应可执行程序的特征值,并将这些特征值更新至白名单。
(1)SecConfig.exe程序不断查询安装包或升级包的主进程是否结束,如果结束,则认为安装或升级完成。对于采用升级程序在线升级的方式,则在下一次计算机开机时,认为是上一次的安装或升级已暂时完成。
(2)安装、升级结束后,白名单更新模块收集提取可信进程树链表LIST_ENTRY中的各条记录信息。
(3)SecConfig.exe程序以DeviceIoControl的方式从内核驱动SecFilter.sys中取走安装或升级过程中新产生的各条记录信息。
(4)SecConfig.exe程序将接收的每一条信息更新至白名单。
(5)更新白名单成功后,安全更新模块删除InstallAndUpgrate.dat文件,清除内核中的可信进程链表LIST_ENTRY。
本发明具有以下安全效果:在经过以上4个步骤,顺利实现对采用白名单机制的计算机系统的白名单的更新。通过进程安全树等机制,有效区分新引入系统的合法的程序和非法的程序,解决了系统因外来程序特征值不在白名单中无法更新白名单的难题,确保程序的安装或升级过程中,非法程序既不能启动,而且其特征值也不会引入白名单中。
Claims (3)
1.一种基于可信进程树的白名单更新方法,包含执行程序的启动,以及可执行程序对文件资源的访问操作的文件系统监控模块;用于根据进程间及进程对可执行程序的调用关系,构建合法可执行程序所形成的可信进程树的构建模块;将程序的判定结果通知调用接口的系统白名单安全控制机制的可信报告模块;提取可信进程树中的各个结点对应可执行程序的特征值,并将这些特征值更新至白名单的更新模块;其特征在于:通过对程序间创建及调用关系的分析,准确的定位非白名单程序中的新安装合法程序和系统中的非法程序,收集到新安装程序的特征值,鉴别非法程序的特征值,使其无法加入白名单中;包括下述步骤:
(1)监控并记录系统中可执行程序的启动,以及可执行程序对文件资源的写访问操作;
(2)在内存中构造可信进程树数据结构,将安装、升级过程中新引入计算机系统的可执行程序加入到可信进程树中,其中包括其全路径名、特征值、父进程在树中的广度遍历序号;并将这些信息写入文件中;
(3)将判定结果通知系统的白名单控制机制;对于特征值不在白名单中的程序,若在可信进程树中,同样允许启动;
(4)收集可信进程树中的可执行程序信息,更新系统白名单。
2.根据权利要求1所述的基于可信进程树的白名单更新方法,其特征在于:所述的可信进程树的模型,其中:
(1)树的根是安装包及升级包程序,或者是其中的一个升级进程;
(2)树中任意结点用三元组表示,Path为可执行程序的全路径名,H为该程序的特征值,Parent为该程序的父结点在树中按广度遍历的序号;
(3)树中任意结点与其子女的关系是以下两种中的任一种:父结点对应的程序对子女有写操作,父结点对应的程序有改名操作,父结点启动或调用了子女结点对应的可执行程序。
3.根据权利要求2所述的基于可信进程树的白名单更新方法,其特征在于:其中所述的写操作包括:创建、写、添加写、改名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010108793A CN101788915A (zh) | 2010-02-05 | 2010-02-05 | 基于可信进程树的白名单更新方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010108793A CN101788915A (zh) | 2010-02-05 | 2010-02-05 | 基于可信进程树的白名单更新方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101788915A true CN101788915A (zh) | 2010-07-28 |
Family
ID=42532138
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010108793A Pending CN101788915A (zh) | 2010-02-05 | 2010-02-05 | 基于可信进程树的白名单更新方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101788915A (zh) |
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| CN102521101A (zh) * | 2011-12-08 | 2012-06-27 | 曙光信息产业(北京)有限公司 | 一种基于进程扫描的非法作业监控方法 |
| CN102646173A (zh) * | 2012-02-29 | 2012-08-22 | 成都新云软件有限公司 | 基于黑白名单的安全防护控制方法及系统 |
| CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
| CN103226676A (zh) * | 2013-03-04 | 2013-07-31 | 北京密安网络技术股份有限公司 | 应用软件可信性的混合度量方法 |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| WO2015101044A1 (zh) * | 2013-12-30 | 2015-07-09 | 北京奇虎科技有限公司 | 特征提取的方法及装置 |
| CN104850394A (zh) * | 2015-04-17 | 2015-08-19 | 北京大学 | 分布式应用程序的管理方法和分布式系统 |
| CN104933354A (zh) * | 2014-12-30 | 2015-09-23 | 国家电网公司 | 一种基于可信计算的白名单静态度量方法 |
| CN105069352A (zh) * | 2015-07-29 | 2015-11-18 | 浪潮电子信息产业股份有限公司 | 一种在服务器上构建可信应用程序运行环境的方法 |
| CN105183504A (zh) * | 2015-08-12 | 2015-12-23 | 北京威努特技术有限公司 | 基于软件服务器的进程白名单更新方法 |
| CN106203073A (zh) * | 2016-07-13 | 2016-12-07 | 浪潮电子信息产业股份有限公司 | 一种基于文件系统过滤驱动的Windows白名单控制方法 |
| CN107851157A (zh) * | 2015-06-27 | 2018-03-27 | 迈可菲有限责任公司 | 恶意软件的检测 |
| CN107992751A (zh) * | 2017-12-21 | 2018-05-04 | 郑州云海信息技术有限公司 | 一种基于分支行为模型的实时威胁检测方法 |
| CN108694049A (zh) * | 2017-02-23 | 2018-10-23 | 阿里巴巴集团控股有限公司 | 一种更新软件的方法和设备 |
| CN109145532A (zh) * | 2018-08-20 | 2019-01-04 | 北京广成同泰科技有限公司 | 一种支持软件在线升级的程序白名单管理方法及系统 |
| CN109766112A (zh) * | 2018-12-29 | 2019-05-17 | 北京威努特技术有限公司 | 一种程序白名单知识库更新的方法及装置 |
| CN109784035A (zh) * | 2018-12-28 | 2019-05-21 | 北京奇安信科技有限公司 | 一种安装进程的追踪处理方法及装置 |
| CN110659491A (zh) * | 2019-09-23 | 2020-01-07 | 深信服科技股份有限公司 | 一种计算机系统恢复方法、装置、设备及可读存储介质 |
| CN110955894A (zh) * | 2019-11-22 | 2020-04-03 | 深信服科技股份有限公司 | 一种恶意内容检测方法、装置、电子设备及可读存储介质 |
| CN110990844A (zh) * | 2019-10-25 | 2020-04-10 | 浙江大华技术股份有限公司 | 基于内核的云数据保护方法、云服务器、系统 |
| CN111125721A (zh) * | 2019-12-31 | 2020-05-08 | 奇安信科技集团股份有限公司 | 一种进程启动的控制方法、计算机设备和可读存储介质 |
| CN111177706A (zh) * | 2019-12-25 | 2020-05-19 | 北京珞安科技有限责任公司 | 一种基于信任软件库的进程白名单更新方法 |
| CN111176236A (zh) * | 2019-12-31 | 2020-05-19 | 四川红华实业有限公司 | 一种离心工厂工控安全防护系统及其安全防护运行方法 |
| CN111199039A (zh) * | 2018-11-20 | 2020-05-26 | 成都鼎桥通信技术有限公司 | 应用程序的安全性校验方法、装置及终端设备 |
| CN111914249A (zh) * | 2020-08-11 | 2020-11-10 | 北京珞安科技有限责任公司 | 一种程序白名单的生成方法、程序更新方法及装置 |
| CN112487427A (zh) * | 2020-11-26 | 2021-03-12 | 网宿科技股份有限公司 | 一种系统白名单的确定方法、系统及服务器 |
| CN113220329A (zh) * | 2021-05-25 | 2021-08-06 | 北京威努特技术有限公司 | 一种动态跟踪工控软件更新程序白名单库的方法及装置 |
| CN113836542A (zh) * | 2021-10-13 | 2021-12-24 | 南方电网数字电网研究院有限公司 | 可信白名单匹配方法、系统和装置 |
| CN114896117A (zh) * | 2022-03-08 | 2022-08-12 | 安芯网盾(北京)科技有限公司 | 软件安装更新过程基于白名单的内存行为监控方法及装置 |
| CN114969672A (zh) * | 2022-08-02 | 2022-08-30 | 北京六方云信息技术有限公司 | 工控主机的安全防护方法、装置、系统及存储介质 |
-
2010
- 2010-02-05 CN CN201010108793A patent/CN101788915A/zh active Pending
Cited By (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012022251A1 (zh) * | 2010-08-18 | 2012-02-23 | 北京奇虎科技有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| US9715588B2 (en) | 2010-08-18 | 2017-07-25 | Beijing Qihoo Technology Company Limited | Method of detecting a malware based on a white list |
| CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| US9047466B2 (en) | 2010-08-18 | 2015-06-02 | Beijing Qihoo Technology Company Limited | Method of detecting a malware based on a white list |
| CN101924761B (zh) * | 2010-08-18 | 2013-11-06 | 北京奇虎科技有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| CN102521101B (zh) * | 2011-12-08 | 2015-05-13 | 曙光信息产业(北京)有限公司 | 一种基于进程扫描的非法作业监控方法 |
| CN102521101A (zh) * | 2011-12-08 | 2012-06-27 | 曙光信息产业(北京)有限公司 | 一种基于进程扫描的非法作业监控方法 |
| CN102646173A (zh) * | 2012-02-29 | 2012-08-22 | 成都新云软件有限公司 | 基于黑白名单的安全防护控制方法及系统 |
| CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CN102902919B (zh) * | 2012-08-30 | 2015-11-25 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103839003B (zh) * | 2012-11-22 | 2018-01-30 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
| CN103065092B (zh) * | 2012-12-24 | 2016-04-27 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
| CN103226676A (zh) * | 2013-03-04 | 2013-07-31 | 北京密安网络技术股份有限公司 | 应用软件可信性的混合度量方法 |
| WO2015101044A1 (zh) * | 2013-12-30 | 2015-07-09 | 北京奇虎科技有限公司 | 特征提取的方法及装置 |
| CN104933354A (zh) * | 2014-12-30 | 2015-09-23 | 国家电网公司 | 一种基于可信计算的白名单静态度量方法 |
| CN104850394A (zh) * | 2015-04-17 | 2015-08-19 | 北京大学 | 分布式应用程序的管理方法和分布式系统 |
| CN104850394B (zh) * | 2015-04-17 | 2018-04-17 | 北京大学 | 分布式应用程序的管理方法和分布式系统 |
| CN107851157A (zh) * | 2015-06-27 | 2018-03-27 | 迈可菲有限责任公司 | 恶意软件的检测 |
| CN105069352A (zh) * | 2015-07-29 | 2015-11-18 | 浪潮电子信息产业股份有限公司 | 一种在服务器上构建可信应用程序运行环境的方法 |
| CN105183504A (zh) * | 2015-08-12 | 2015-12-23 | 北京威努特技术有限公司 | 基于软件服务器的进程白名单更新方法 |
| CN105183504B (zh) * | 2015-08-12 | 2018-10-23 | 北京威努特技术有限公司 | 基于软件服务器的进程白名单更新方法 |
| CN106203073A (zh) * | 2016-07-13 | 2016-12-07 | 浪潮电子信息产业股份有限公司 | 一种基于文件系统过滤驱动的Windows白名单控制方法 |
| CN108694049A (zh) * | 2017-02-23 | 2018-10-23 | 阿里巴巴集团控股有限公司 | 一种更新软件的方法和设备 |
| CN108694049B (zh) * | 2017-02-23 | 2021-08-17 | 阿里巴巴集团控股有限公司 | 一种更新软件的方法和设备 |
| CN107992751A (zh) * | 2017-12-21 | 2018-05-04 | 郑州云海信息技术有限公司 | 一种基于分支行为模型的实时威胁检测方法 |
| CN107992751B (zh) * | 2017-12-21 | 2020-05-08 | 苏州浪潮智能科技有限公司 | 一种基于分支行为模型的实时威胁检测方法 |
| CN109145532A (zh) * | 2018-08-20 | 2019-01-04 | 北京广成同泰科技有限公司 | 一种支持软件在线升级的程序白名单管理方法及系统 |
| CN109145532B (zh) * | 2018-08-20 | 2020-08-07 | 北京广成同泰科技有限公司 | 一种支持软件在线升级的程序白名单管理方法及系统 |
| CN111199039A (zh) * | 2018-11-20 | 2020-05-26 | 成都鼎桥通信技术有限公司 | 应用程序的安全性校验方法、装置及终端设备 |
| CN109784035A (zh) * | 2018-12-28 | 2019-05-21 | 北京奇安信科技有限公司 | 一种安装进程的追踪处理方法及装置 |
| CN109784035B (zh) * | 2018-12-28 | 2021-05-25 | 北京奇安信科技有限公司 | 一种安装进程的追踪处理方法及装置 |
| CN109766112A (zh) * | 2018-12-29 | 2019-05-17 | 北京威努特技术有限公司 | 一种程序白名单知识库更新的方法及装置 |
| CN110659491A (zh) * | 2019-09-23 | 2020-01-07 | 深信服科技股份有限公司 | 一种计算机系统恢复方法、装置、设备及可读存储介质 |
| CN110990844A (zh) * | 2019-10-25 | 2020-04-10 | 浙江大华技术股份有限公司 | 基于内核的云数据保护方法、云服务器、系统 |
| CN110990844B (zh) * | 2019-10-25 | 2022-04-08 | 浙江大华技术股份有限公司 | 基于内核的云数据保护方法、云服务器、系统 |
| CN110955894A (zh) * | 2019-11-22 | 2020-04-03 | 深信服科技股份有限公司 | 一种恶意内容检测方法、装置、电子设备及可读存储介质 |
| CN110955894B (zh) * | 2019-11-22 | 2022-09-30 | 深信服科技股份有限公司 | 一种恶意内容检测方法、装置、电子设备及可读存储介质 |
| CN111177706A (zh) * | 2019-12-25 | 2020-05-19 | 北京珞安科技有限责任公司 | 一种基于信任软件库的进程白名单更新方法 |
| CN111176236A (zh) * | 2019-12-31 | 2020-05-19 | 四川红华实业有限公司 | 一种离心工厂工控安全防护系统及其安全防护运行方法 |
| CN111125721A (zh) * | 2019-12-31 | 2020-05-08 | 奇安信科技集团股份有限公司 | 一种进程启动的控制方法、计算机设备和可读存储介质 |
| CN111125721B (zh) * | 2019-12-31 | 2023-05-26 | 奇安信科技集团股份有限公司 | 一种进程启动的控制方法、计算机设备和可读存储介质 |
| CN111914249A (zh) * | 2020-08-11 | 2020-11-10 | 北京珞安科技有限责任公司 | 一种程序白名单的生成方法、程序更新方法及装置 |
| CN112487427A (zh) * | 2020-11-26 | 2021-03-12 | 网宿科技股份有限公司 | 一种系统白名单的确定方法、系统及服务器 |
| CN113220329A (zh) * | 2021-05-25 | 2021-08-06 | 北京威努特技术有限公司 | 一种动态跟踪工控软件更新程序白名单库的方法及装置 |
| CN113836542A (zh) * | 2021-10-13 | 2021-12-24 | 南方电网数字电网研究院有限公司 | 可信白名单匹配方法、系统和装置 |
| CN114896117A (zh) * | 2022-03-08 | 2022-08-12 | 安芯网盾(北京)科技有限公司 | 软件安装更新过程基于白名单的内存行为监控方法及装置 |
| CN114969672A (zh) * | 2022-08-02 | 2022-08-30 | 北京六方云信息技术有限公司 | 工控主机的安全防护方法、装置、系统及存储介质 |
| CN114969672B (zh) * | 2022-08-02 | 2022-11-15 | 北京六方云信息技术有限公司 | 工控主机的安全防护方法、装置、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101788915A (zh) | 基于可信进程树的白名单更新方法 | |
| Corina et al. | Difuze: Interface aware fuzzing for kernel drivers | |
| US10228929B2 (en) | Method and apparatus for modifying a computer program in a trusted manner | |
| US7669059B2 (en) | Method and apparatus for detection of hostile software | |
| EP2807598B1 (en) | Identifying trojanized applications for mobile environments | |
| US9342696B2 (en) | Attesting use of an interactive component during a boot process | |
| US20100083251A1 (en) | Techniques For Identifying And Comparing Virtual Machines In A Virtual Machine System | |
| CN105468978A (zh) | 一种适用于电力系统通用计算平台的可信计算密码平台 | |
| RU2635271C2 (ru) | Способ категоризации сборок и зависимых образов | |
| DE112013005184T5 (de) | Für einen Benutzer vertrauenswürdige Einheit zum Erkennen einer virtualisierten Umgebung | |
| US10379894B1 (en) | Lineage-based trust for virtual machine images | |
| CN103390130A (zh) | 基于云安全的恶意程序查杀的方法、装置和服务器 | |
| CN101802805A (zh) | 用于验证应用程序并控制其执行的方法 | |
| CN105760787A (zh) | 用于检测随机存取存储器中的恶意代码的系统及方法 | |
| CN103077071A (zh) | 一种kvm虚拟机进程信息的获取方法及系统 | |
| US20080152071A1 (en) | Method, System and Computer Program for Identifying Interpreted Programs Through Class Loading Sequences | |
| US9940461B2 (en) | Enabling an external operating system to access encrypted data units of a data storage system | |
| Cao et al. | Osiris: a malware behavior capturing system implemented at virtual machine monitor layer | |
| CN101950339A (zh) | 一种电脑安全防护方法和系统 | |
| Wu et al. | Iotprotect: Highly deployable whitelist-based protection for low-cost internet-of-things devices | |
| WO2014114134A1 (en) | Method and device for identifying a disk boot sector virus, and storage medium | |
| Hsiao et al. | Virtual machine introspection based malware behavior profiling and family grouping | |
| CN112214769B (zh) | 基于SGX架构的Windows系统的主动度量系统 | |
| TWI730415B (zh) | 偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法 | |
| CN111008395B (zh) | 一种u盘保护的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100728 |