CN101937500A - 一种计算机终端的安全保护方法及系统 - Google Patents
一种计算机终端的安全保护方法及系统 Download PDFInfo
- Publication number
- CN101937500A CN101937500A CN2009101085133A CN200910108513A CN101937500A CN 101937500 A CN101937500 A CN 101937500A CN 2009101085133 A CN2009101085133 A CN 2009101085133A CN 200910108513 A CN200910108513 A CN 200910108513A CN 101937500 A CN101937500 A CN 101937500A
- Authority
- CN
- China
- Prior art keywords
- application software
- terminal
- white list
- software
- described application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明适用于计算机安全技术领域,提供了一种计算机终端的安全保护方法及系统,所述方法包括下述步骤:检测计算机终端是否有应用软件的运行;当检测到有应用软件运行时,判断应用软件是否存在于白名单内;若应用软件存在于白名单内,允许应用软件在计算机终端继续运行,否则控制应用软件在计算机终端运行。在本发明实施例中,检测计算机终端是否有应用软件的运行;当检测到有应用软件运行时,判断应用软件是否存在于白名单内;若应用软件存在于白名单内,允许应用软件在所述计算机终端继续运行,否则控制应用软件在计算机终端运行,有效的保护计算机终端的安全。
Description
技术领域
本发明属于计算机安全技术领域,尤其涉及一种计算机终端的安全保护方法及系统。
背景技术
白名单是指可信(已知的好应用)的软件列表,存储有可信软件的身份信息,通过追踪应用软件的身份信息,只有在白名单内的应用软件才可以执行,从而实现终端等的安全防护。
目前常用的白名单的方式包括代码签名和大白名单库。代码签名的证书使得软件开发者能对其开发的软件代码进行数字签名,让其发布时,用户能够确信此代码没有被非法篡改和来源可信,从而保护了代码的完整性、保护了用户不会被病毒、恶意代码和间谍软件所侵害;而大名单库则是提供大量的白名单软件,供客户端进行查看比较其可信度。
但是,对于上述两种白名单实现网络安全的方式,企业在应用时都存在不够实用、灵活的问题,企业内部网络中办公、业务等各种系统需要使用的软件数量是非常有限的,而大白名单库和签名代码库的数量不断增大,和特定企业相关的却屈指可数。某个企业要到和所有企业和个人相关的巨大的白名单库中来验证所用软件的可信度,随着库的数量的不断增长,可用性会越来越差,而且对于离线使用的计算机终端保护力度不够。
发明内容
本发明实施例的目的在于提供一种计算机终端的安全保护方法,旨在解决现有技术中的白名单保护计算机终端安全的方式不完善、保护力度不够的问题。
本发明实施例是这样实现的,一种计算机终端的安全保护方法,所述方法包括下述步骤:
检测计算机终端是否有应用软件的运行;
当检测到有应用软件运行时,判断所述应用软件是否存在于白名单内,所述白名单为预先配置在计算机终端的可信软件列表;
若所述应用软件存在于白名单内,允许所述应用软件在所述计算机终端继续运行,否则控制所述应用软件在所述计算机终端运行。
本发明实施例的另一目的在于提供一种计算机终端的安全保护系统,所述系统包括:
检测模块,用于检测计算机终端是否有应用软件的运行;
第一判断模块,用于当所述检测模块检测到有应用软件运行时,判断所述应用软件是否存在于白名单内,所述白名单为预先配置在计算机终端的可信软件列表;
允许运行模块,用于若所述第一判断模块判断所述应用软件存在于白名单内,允许所述应用软件在所述计算机终端继续运行;以及
控制运行模块,用于若所述第一判断模块判断所述应用软件不存在于白名单内,控制所述应用软件在所述计算机终端运行。
在本发明实施例中,检测计算机终端是否有应用软件的运行;当检测到有应用软件运行时,判断应用软件是否存在于白名单内,白名单为预先配置在计算机终端的可信软件列表;若应用软件存在于白名单内,允许应用软件在计算机终端继续运行,否则控制应用软件在计算机终端运行,有效的保护计算机终端的安全。
附图说明
图1是本发明第一实施例提供的计算机终端的安全保护方法的实现流程图;
图2是本发明第二实施例提供的计算机终端的安全保护方法的实现流程图;
图3是本发明实施例提供的计算机终端的安全保护系统的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明实施例中,检测计算机终端是否有应用软件的运行;当检测到有应用软件运行时,判断应用软件是否存在于白名单内,白名单为预先配置在计算机终端的可信软件列表;若应用软件存在于白名单内,允许应用软件在计算机终端继续运行,否则控制应用软件在计算机终端运行。
图1示出了本发明第一实施例提供的计算机终端的安全保护方法的实现流程,其详细步骤如下所述:
在步骤S101中,检测判断计算机终端是否有应用软件的运行,是则执行步骤S102,否则继续检测。
在步骤S102中,当检测到有应用软件运行时,判断应用软件是否存在于白名单内,是则执行步骤S103;否则执行步骤S104。
在本发明实施例中,上述白名单为预先配置在计算机终端的可信软件列表。
在步骤S103中,若应用软件存在于白名单内,允许应用软件在计算机终端继续运行。
在步骤S104中,控制应用软件在计算机终端运行。
在本发明实施例中,控制应用软件在计算机终端运行的步骤具体包括禁止应用软件在计算机终端运行和控制在沙箱中运行应用软件,其中,可以单独进行其中的某一个步骤,也可以同时执行该两个步骤,在此不用于限制本发明。
作为本发明的一个具体实施例,图2示出了本发明第二实施例提供的计算机终端的安全保护方法的实现流程,其详细步骤如下所述:
在步骤S201中,预先配置包括可信软件列表的白名单。
在本发明实施例中,预先配置的白名单可以是计算机终端用户自己预先建立的一系列的可信软件列表,也可以是预先下载到计算机终端的可信软件列表,在此不用以限制本发明。
在步骤S202中,检测判断计算机终端是否有应用软件的运行,是则执行步骤S203,否则继续检测。
在步骤S203中,当检测到有应用软件运行时,判断应用软件是否存在于白名单内,是则执行步骤S204;否则执行步骤S206。
在本发明实施例中,白名单为步骤S201中预先配置在计算机终端的可信软件列表。
在步骤S204中,若应用软件存在于白名单内,判断存在于所述白名单的所述应用软件是否是可疑软件,是则执行步骤S206,否则执行步骤S205。
在本发明实施例中,该可疑软件是存在于白名单内,但是该应用软件的某些行为存在不够安全的可疑因素,例如可以执行脚本的应用软件,在此不用以限制本发明。
在步骤S205中,允许应用软件在计算机终端继续运行。
在步骤S206中,控制应用软件在计算机终端运行。
在本发明实施例中,控制应用软件在计算机终端运行的步骤具体包括禁止应用软件在计算机终端运行和控制在沙箱中运行应用软件,其中,可以单独进行其中的某一个步骤,也可以同时执行该两个步骤,在此不用于限制本发明。
在本发明实施例中,当上述检测到的应用软件为可疑软件时,将该判断为可疑软件的应用软件放在沙箱里运行,保证计算机终端的安全。
在步骤S207中,对应用软件进行安全验证。
在本发明实施例中,在控制不存在于白名单上的应用软件在计算机终端运行的同时,对应用软件的安全性进行安全验证,其中,该验证可以是现有技术提供的方式即可实现,即验证该应用软件所执行的程序、插件等操作是否对计算机终端构成安全为威胁,在此不用以限制本发明。
在步骤S208中,判断应用软件是否为安全软件,是则执行步骤S209,否则结束。
在步骤S209中,若应用软件是安全软件,则将应用软件保存到白名单中。
在本发明实施例中,通过对计算机终端运行的应用软件进行检测,从而执行不同的运行策略,保护计算机终端的安全,方便用户使用计算机终端。
图3示出了本发明实施例提供的计算机终端的安全保护系统的结构框图,为了便于说明,图中仅给出了与本发明实施例相关的部分,其中,计算机终端的安全保护系统可以内置于计算机终端的软件单元、硬件单元或软硬件结合单元。
检测模块11检测计算机终端是否有应用软件的运行;当检测模块11检测到有应用软件运行时,第一判断模块12判断应用软件是否存在于白名单内,其中,白名单为预先配置在计算机终端的可信软件列表;若第一判断模块12判断应用软件存在于白名单内,允许运行模块13允许应用软件在计算机终端继续运行;若第一判断模块12判断应用软件不存在于白名单内,控制运行模块14控制应用软件在所述计算机终端运行。
在本发明实施例中,白名单预先配置模块15预先配置包括可信软件列表的白名单。
在本发明实施例中,控制运行模块14具体包括禁止运行模块141和/或沙箱运行模块142,其中,禁止运行模块141禁止应用软件在计算机终端运行;沙箱运行模块142控制在沙箱中运行应用软件。
在本发明实施例中,若第一判断模块12判断应用软件存在于白名单内,第二判断模块16判断存在于白名单的应用软件是否是可疑软件;若第二判断模块16判断存在于白名单的应用软件不是可疑软件,则允许运行模块13允许应用软件在计算机终端继续运行;若第二判断模块16判断存在于白名单的应用软件是可疑软件,则沙箱运行模块14控制在沙箱中运行存在于白名单的应用软件。
当第一判断模块12判断应用软件不存在于白名单上,控制运行模块14控制应用软件在计算机终端运行的同时,验证判断模块17对应用软件进行安全验证,判断应用软件是否为安全软件;若验证判断模块17判断应用软件是安全软件,白名单更新模块18将应用软件保存到白名单中。
在本发明实施例中,检测计算机终端是否有应用软件的运行;当检测到有应用软件运行时,判断应用软件是否存在于白名单内,白名单为预先配置在计算机终端的可信软件列表;若应用软件存在于白名单内,允许应用软件在所述计算机终端继续运行,否则控制应用软件在所述计算机终端运行,有效的保护计算机终端的安全,当计算机终端离线使用时,同样能够保证计算机终端的安全,方便用户使用。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种计算机终端的安全保护方法,其特征在于,所述方法包括下述步骤:
检测计算机终端是否有应用软件的运行;
当检测到有应用软件运行时,判断所述应用软件是否存在于白名单内,所述白名单为预先配置在计算机终端的可信软件列表;
若所述应用软件存在于白名单内,允许所述应用软件在所述计算机终端继续运行,否则控制所述应用软件在所述计算机终端运行。
2.如权利要求1所述的计算机终端的安全保护方法,其特征在于,所述检测计算机终端是否有应用软件的运行的步骤之前还包括下述步骤:
预先配置包括可信软件列表的白名单。
3.如权利要求1所述的计算机终端的安全保护方法,其特征在于,所述控制所述应用软件在计算机终端运行的步骤具体包括:
禁止所述应用软件在所述计算机终端运行;和/或
控制在沙箱中运行所述应用软件。
4.如权利要求1所述的计算机终端的安全保护方法,其特征在于,所述若所述应用软件存在于白名单内,允许所述应用软件在所述计算机终端继续运行的步骤还包括下述步骤:
若所述应用软件存在于白名单内,判断存在于所述白名单的所述应用软件是否是可疑软件;
若所述存在于所述白名单的所述应用软件是可疑软件,则控制在沙箱中运行所述存在于所述白名单的所述应用软件;
若所述存在于所述白名单的所述应用软件不是可疑软件,允许所述应用软件在所述计算机终端继续运行。
5.如权利要求1所述的计算机终端的安全保护方法,其特征在于,所述若所述应用软件存在于白名单内,允许所述应用软件在所述计算机终端继续运行,否则控制所述应用软件在所述计算机终端运行的步骤之后还包括下述步骤:
当所述应用软件不存在于所述白名单上,控制所述应用软件在所述计算机终端运行的同时,对所述应用软件进行安全验证,判断所述应用软件是否为安全软件;
若所述应用软件是安全软件,则将所述应用软件保存到所述白名单中。
6.一种计算机终端的安全保护系统,其特征在于,所述系统包括:
检测模块,用于检测计算机终端是否有应用软件的运行;
第一判断模块,用于当所述检测模块检测到有应用软件运行时,判断所述应用软件是否存在于白名单内,所述白名单为预先配置在计算机终端的可信软件列表;
允许运行模块,用于若所述第一判断模块判断所述应用软件存在于白名单内,允许所述应用软件在所述计算机终端继续运行;以及
控制运行模块,用于若所述第一判断模块判断所述应用软件不存在于白名单内,控制所述应用软件在所述计算机终端运行。
7.如权利要求6所述的计算机终端的安全保护系统,其特征在于,所述系统还包括:
白名单预先配置模块,用于预先配置包括可信软件列表的白名单。
8.如权利要求6所述的计算机终端的安全保护系统,其特征在于,所述控制运行模块具体包括:
禁止运行模块,用于禁止所述应用软件在所述计算机终端运行;和/或
沙箱运行模块,用于控制在沙箱中运行所述应用软件。
9.如权利要求6所述的计算机终端的安全保护系统,其特征在于,所述系统还包括:
第二判断模块,用于若所述第一判断模块判断所述应用软件存在于白名单内,判断存在于所述白名单的所述应用软件是否是可疑软件;
若所述第二判断模块判断存在于所述白名单的所述应用软件不是可疑软件,则所述允许运行模块允许所述应用软件在所述计算机终端继续运行;
若所述第二判断模块判断存在于所述白名单的所述应用软件是可疑软件,则沙箱运行模块控制在沙箱中运行所述存在于所述白名单的所述应用软件。
10.如权利要求6所述的计算机终端的安全保护系统,其特征在于,所述系统还包括:
验证判断模块,用于当所述第一判断模块判断所述应用软件不存在于所述白名单上,控制运行模块控制所述应用软件在所述计算机终端运行的同时,对所述应用软件进行安全验证,判断所述应用软件是否为安全软件;以及
白名单更新模块,用于若所述验证判断模块判断所述应用软件是安全软件,则将所述应用软件保存到所述白名单中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101085133A CN101937500A (zh) | 2009-06-29 | 2009-06-29 | 一种计算机终端的安全保护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101085133A CN101937500A (zh) | 2009-06-29 | 2009-06-29 | 一种计算机终端的安全保护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101937500A true CN101937500A (zh) | 2011-01-05 |
Family
ID=43390823
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101085133A Pending CN101937500A (zh) | 2009-06-29 | 2009-06-29 | 一种计算机终端的安全保护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101937500A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102184372A (zh) * | 2011-05-27 | 2011-09-14 | 北京洋浦伟业科技发展有限公司 | 一种基于逆向沙箱的手机支付保护方法 |
| CN102222183A (zh) * | 2011-04-28 | 2011-10-19 | 奇智软件(北京)有限公司 | 移动终端软件包安全检测方法及系统 |
| CN102841672A (zh) * | 2012-07-10 | 2012-12-26 | 上海果壳电子有限公司 | 一种休眠拦截方法及系统 |
| CN103020515A (zh) * | 2012-12-26 | 2013-04-03 | 中国人民解放军国防科学技术大学 | 一种用于操作系统的应用程序执行权限控制方法 |
| CN103019676A (zh) * | 2012-11-16 | 2013-04-03 | 北京奇虎科技有限公司 | 一种软件管理方法和系统 |
| CN103473063A (zh) * | 2013-09-18 | 2013-12-25 | 北京网秦天下科技有限公司 | 采用白名单来报警的设备和方法 |
| CN103970574A (zh) * | 2014-05-22 | 2014-08-06 | 北京奇虎科技有限公司 | office程序的运行方法及装置、计算机系统 |
| CN104915594A (zh) * | 2015-06-30 | 2015-09-16 | 北京奇虎科技有限公司 | 应用程序运行方法及装置 |
| CN106302966A (zh) * | 2015-05-29 | 2017-01-04 | 北京京东尚科信息技术有限公司 | 在手机操作系统下的应用家长控制系统和方法 |
| CN107392012A (zh) * | 2017-07-25 | 2017-11-24 | 广州平云信息科技有限公司 | 移动设备的应用监控管理方法、装置及移动设备 |
| CN108830075A (zh) * | 2018-06-13 | 2018-11-16 | 郑州云海信息技术有限公司 | 一种ssr集中管理平台的应用程序管控方法 |
| CN117093323A (zh) * | 2023-08-23 | 2023-11-21 | 北京志凌海纳科技有限公司 | 基于后端执行引擎中实现沙盒机制的方法及系统 |
-
2009
- 2009-06-29 CN CN2009101085133A patent/CN101937500A/zh active Pending
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102222183A (zh) * | 2011-04-28 | 2011-10-19 | 奇智软件(北京)有限公司 | 移动终端软件包安全检测方法及系统 |
| CN102222183B (zh) * | 2011-04-28 | 2013-11-13 | 奇智软件(北京)有限公司 | 移动终端软件包安全检测方法及系统 |
| CN102184372A (zh) * | 2011-05-27 | 2011-09-14 | 北京洋浦伟业科技发展有限公司 | 一种基于逆向沙箱的手机支付保护方法 |
| CN102184372B (zh) * | 2011-05-27 | 2013-06-19 | 北京洋浦伟业科技发展有限公司 | 一种基于逆向沙箱的手机支付保护方法 |
| CN102841672A (zh) * | 2012-07-10 | 2012-12-26 | 上海果壳电子有限公司 | 一种休眠拦截方法及系统 |
| CN102841672B (zh) * | 2012-07-10 | 2016-03-16 | 上海果壳电子有限公司 | 一种休眠拦截方法及系统 |
| CN103019676B (zh) * | 2012-11-16 | 2016-03-30 | 北京奇虎科技有限公司 | 一种软件管理方法和系统 |
| CN103019676A (zh) * | 2012-11-16 | 2013-04-03 | 北京奇虎科技有限公司 | 一种软件管理方法和系统 |
| CN103020515A (zh) * | 2012-12-26 | 2013-04-03 | 中国人民解放军国防科学技术大学 | 一种用于操作系统的应用程序执行权限控制方法 |
| CN103020515B (zh) * | 2012-12-26 | 2015-07-22 | 中国人民解放军国防科学技术大学 | 一种用于操作系统的应用程序执行权限控制方法 |
| CN103473063A (zh) * | 2013-09-18 | 2013-12-25 | 北京网秦天下科技有限公司 | 采用白名单来报警的设备和方法 |
| CN103970574A (zh) * | 2014-05-22 | 2014-08-06 | 北京奇虎科技有限公司 | office程序的运行方法及装置、计算机系统 |
| CN103970574B (zh) * | 2014-05-22 | 2017-07-14 | 北京奇虎科技有限公司 | office程序的运行方法及装置、计算机系统 |
| CN106302966A (zh) * | 2015-05-29 | 2017-01-04 | 北京京东尚科信息技术有限公司 | 在手机操作系统下的应用家长控制系统和方法 |
| CN104915594A (zh) * | 2015-06-30 | 2015-09-16 | 北京奇虎科技有限公司 | 应用程序运行方法及装置 |
| CN109376529A (zh) * | 2015-06-30 | 2019-02-22 | 北京奇虎科技有限公司 | 应用程序运行方法及装置 |
| CN107392012A (zh) * | 2017-07-25 | 2017-11-24 | 广州平云信息科技有限公司 | 移动设备的应用监控管理方法、装置及移动设备 |
| CN108830075A (zh) * | 2018-06-13 | 2018-11-16 | 郑州云海信息技术有限公司 | 一种ssr集中管理平台的应用程序管控方法 |
| CN117093323A (zh) * | 2023-08-23 | 2023-11-21 | 北京志凌海纳科技有限公司 | 基于后端执行引擎中实现沙盒机制的方法及系统 |
| CN117093323B (zh) * | 2023-08-23 | 2024-03-26 | 北京志凌海纳科技有限公司 | 基于后端执行引擎中实现沙盒机制的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101937500A (zh) | 一种计算机终端的安全保护方法及系统 | |
| CN101923609A (zh) | 一种计算机网络的安全保护方法及系统 | |
| US8739284B1 (en) | Systems and methods for blocking and removing internet-traversing malware | |
| Rhee et al. | Security requirements of a mobile device management system | |
| AU2009290958B2 (en) | Malware detection method and apparatus | |
| EP3039609B1 (en) | Systems and methods for identifying private keys that have been compromised | |
| US10255433B2 (en) | Executing process code integrity verificaton | |
| EP3111364B1 (en) | Systems and methods for optimizing scans of pre-installed applications | |
| US20080077994A1 (en) | Trusted enclave for a computer system | |
| US9405904B1 (en) | Systems and methods for providing security for synchronized files | |
| CN101833621B (zh) | 终端安全审计方法及系统 | |
| US8650649B1 (en) | Systems and methods for determining whether to evaluate the trustworthiness of digitally signed files based on signer reputation | |
| US11223636B1 (en) | Systems and methods for password breach monitoring and notification | |
| US20180247055A1 (en) | Methods for protecting a host device from untrusted applications by sandboxing | |
| CN101667232B (zh) | 基于可信计算的终端可信保障系统与方法 | |
| US9485271B1 (en) | Systems and methods for anomaly-based detection of compromised IT administration accounts | |
| US9385869B1 (en) | Systems and methods for trusting digitally signed files in the absence of verifiable signature conditions | |
| US10250588B1 (en) | Systems and methods for determining reputations of digital certificate signers | |
| US9064120B2 (en) | Systems and methods for directing application updates | |
| US8321940B1 (en) | Systems and methods for detecting data-stealing malware | |
| Chaugule et al. | A specification based intrusion detection framework for mobile phones | |
| Kumara et al. | Hypervisor and virtual machine dependent Intrusion Detection and Prevention System for virtualized cloud environment | |
| Meshram et al. | A survey paper on vulnerabilities in android OS and security of android devices | |
| CN101430749A (zh) | 一种软件许可监控方法、系统及电子设备 | |
| US10169584B1 (en) | Systems and methods for identifying non-malicious files on computing devices within organizations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110105 |