CN101997832A - 一种支持安全监控的安全监控装置及方法 - Google Patents
一种支持安全监控的安全监控装置及方法 Download PDFInfo
- Publication number
- CN101997832A CN101997832A CN2009101613632A CN200910161363A CN101997832A CN 101997832 A CN101997832 A CN 101997832A CN 2009101613632 A CN2009101613632 A CN 2009101613632A CN 200910161363 A CN200910161363 A CN 200910161363A CN 101997832 A CN101997832 A CN 101997832A
- Authority
- CN
- China
- Prior art keywords
- file
- characteristic value
- safety monitoring
- document
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种支持安全监控的安全监控装置及方法。该支持安全监控的安全监控装置,包括:获取单元,被配置成截获文件;计算单元,被配置成计算文件的特征值;查找单元,被配置成根据文件名查找白名单;监测单元,被配置成根据白名单和所计算的文件的特征值进行监测;标记单元,被配置成在监测结果为否的情况下将该文件上报为可疑进程并拒绝运行该文件,否则将该文件标记为验证成功并允许运行该文件。
Description
技术领域
本发明涉及系统监控,具体来说,本发明涉及一种支持安全监控的安全监控装置及方法。
背景技术
现在,计算机病毒功能越来越强大,尤其是通过网络传播的计算机病毒更是如此。许多恶意用户将诸如木马、计算机病毒等的恶意程序和相关技术作为从事网络犯罪活动的主要工具和手段。其影响小则导致浏览器配置被修改、系统使用受限、网络无法使用等,大则导致数据受损或丢失、帐号密码被盗等。甚至在某些情况下这些计算机病毒能够控制他人计算机并盗窃他人重要信息。
由于诸如因特网的网络技术日益发展和普及,因此,很难防止恶意用户连接到网络上。在这种情况下,连接到网络上的其他用户都可能受到恶意用户的攻击。
尽管人们已经想出了许多方法来监控这种网络攻击,但是,还是存在许多问题。
在现有技术中,很难判断与一个用户所连接的对方用户的身份。
另外,即使在通信的开始阶段对用户的身份进行了认证,也很难保证在通信的过程中不会有其他恶意用户假冒该用户。
例如,在银行服务器与用户终端通信的情况下,在现有技术中,仅对用户名和密码进行验证,只有在进行关键操作的情况下,才要求用户进行数字签名。用户的用户名和密码很容易被他人截获并冒用。因此,恶意用户很容易就能够连接到银行的服务器上。从这个方面来说,银行服务器是直接暴露在网络上的并且很容易受到攻击。
即使银行服务器在开始时对用户进行了验证,由于在现有技术中没有提供技术手段来保护用户和服务器之间的通信链路,因此,恶意用户还是可以在通信过程中截获通信数据,以及攻击银行服务器,例如,重放攻击等。
另外,即使用户是受信任的用户,也很难保证用户所发送的数据都是安全的数据。
例如,计算机病毒越来越普遍并且越来越隐蔽。合法的用户有时也很难保证在他的计算机上运行的程序都是安全的程序。这样,当合法的用户连接到银行的服务器上时,在该用户不知情的情况下,计算机病毒也可能自动地将病毒程序发送到银行服务器,从而对银行服务器造成损害。
因此,需要提出一种新的安全监控技术来解决上述现有技术中的任何问题。需要一种新的安全监控技术来对网络通信以及传输的数据进行监控。
发明内容
本发明的一个目的在于至少部分地解决上面所述的现有技术中的问题里的至少一个技术问题。
本发明的另一个目的在于对可执行文件进行监控。
本发明的另一个目的在于对安全链路进行监控。
根据本发明的第一方面,提供了一种支持安全监控的安全监控装置,包括:获取单元,被配置成截获文件;计算单元,被配置成计算文件的特征值;查找单元,被配置成根据文件名查找白名单;监测单元,被配置成根据白名单和所计算的文件的特征值进行监测;标记单元,被配置成在监测结果为否的情况下将该文件上报为可疑进程并拒绝运行该文件,否则将该文件标记为验证成功并允许运行该文件。
优选地,所述文件是可执行文件。
优选地,所述文件的特征值是文件的HASH值。
优选地,所述安全监控装置还包括:白名单建立单元,被配置成根据用户的指示建立可信任文件的白名单,以及存储白名单,其中,白名单至少包括可信任文件的文件名和可信任文件的特征值,
其中,所述查找单元还被配置成根据文件名检取可信任文件的特征值,以及
其中,所述监测单元还被配置成所检取的可信任文件的特征值和所计算的文件的特征值进行监测。
优选地,所述安全监控装置还包括:安全链路管理单元,被配置成对发送文件的源装置进行认证,以及管理在接收文件的通信装置和源装置之间建立的安全链路。
优选地,所述安全链路管理单元还被配置成利用源装置的公钥对安全链路的密钥进行加密,以及将所述密钥发送给源装置。
优选地,所述安全链路管理单元还被配置成从源装置接收文件并对文件进行解密,其中,所述文件是经源装置数字签名的,以及其中所述获取单元被配置成截获经解密的文件。
优选地,所述计算单元是通过硬件装置来实现的。
根据本发明的第二方面,提供了一种支持安全监控的安全监控方法,包括:获取步骤,用于截获文件;计算步骤,用于计算文件的特征值;查找步骤,用于根据文件名查找白名单;监测步骤,用于根据白名单和所计算的文件的特征值进行监测;标记步骤,用于在监测结果为否的情况下将该文件上报为可疑进程并拒绝运行该文件,否则将该文件标记为验证成功并允许运行该文件。
优选地,所述文件是可执行文件。
优选地,所述文件的特征值是文件的HASH值。
优选地,所述安全监控方法还包括:白名单建立步骤,用于根据用户的指示建立可信任文件的白名单,以及存储白名单,其中,白名单至少包括可信任文件的文件名和可信任文件的特征值,
其中,所述查找步骤还包括:根据文件名检取可信任文件的特征值,以及
其中,所述监测步骤还包括:根据所检取的可信任文件的特征值和所计算的文件的特征值进行监测。
优选地,所述安全监控方法还包括:安全链路管理步骤,用于对发送文件的源装置进行认证,以及管理在接收文件的通信装置和源装置之间建立的安全链路。
优选地,所述安全链路管理步骤还包括:利用源装置的公钥对安全链路的密钥进行加密,以及将所述密钥发送给源装置。
优选地,所述安全链路管理步骤还包括从源装置接收文件并对该文件进行解密,其中,所述文件是经源装置数字签名的,以及其中所述获取步骤包括截获经解密的文件。
优选地,在所述计算步骤中,通过硬件装置来计算文件的特征值。
本发明的一个优点在于,提供了安全监控装置或方法。
本发明的另一个优点在于,可以利用文件的特征值来监控系统中的文件(可执行程序),从而能够保证系统本地的和/或外部输入的文件(可执行程序)的可控性。
本发明的另一个优点在于,可以保证文件(可执行程序)对系统资源的访问得到有效的监控。
本发明的另一个优点在于,能够维护安全系统的正常运行。
本发明的另一个优点在于,根据本发明的第二实施例,对源装置进行认证,从而可以保证文件(可执行程序)的来源的安全性。
本发明的另一个优点在于,对被监控设备和源装置之间的安全链路进行监控,从而保证通信的安全性。
本发明的另一个优点在于,利用公钥和私钥来传递用于安全链路的密钥,从而保证通信的安全性。
本发明的另一个优点在于,利用密钥来建立安全链路,从而通信的安全性。
本发明的另一个优点在于,所接收的文件(可执行程序)是经过源装置数字签名的,从而确保该文件是从源装置产生的。
本发明的另一个优点在于,通过硬件装置来计算特征值,因此可以提高安全性。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1是示出了根据本发明的第一实施例的安全监控装置的框图。
图2是示出了根据本发明的第一实施例的安全监控方法的流程图。
图3是示出了根据本发明的第二实施例的安全监控装置的框图。
图4是示出了根据本发明的第二实施例的安全监控方法的流程图。
图5是示出了根据本发明的一个例子的示图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
另外,需要说明的是,在附图中,两个模块之间仅通过一条线连接,但是,本领域技术人员应当知道,根据两个模块之间的数据通路的宽度,可能存在多条硬件布线,而附图中的这种连线仅仅是示意性的,而不作为对本发明的任何限制。
<第一实施例>
下面参照图1和2来描述根据本发明的第一实施例。
图1是示出了根据本发明的第一实施例的安全监控装置的框图。
如图1所示,安全监控装置1000包括获取单元1100、计算单元1200、查找单元1300、检测单元1400和标记单元1500。
获取单元1100截获文件。
例如,所述文件是可执行文件。
该文件可以被存储在计算机的存储器中。例如,该文件可以被存储在计算机的硬盘、软盘、光盘、缓存、RAM等中。
或者,该文件可以是从外部输入的。例如,该文件可以通过各种外部接口被输入到安全监控装置。所述接口例如包括网络接口(例如以太网接口)、串行接口、并行接口等。
获取单元1100将所截获的文件发送给计算单元1200。获取单元1100将所截获的文件名发送给查找单元1300。
计算单元1200计算文件的特征值。
文件的特征值是可以由文件(数据)计算得到的唯一标识该文件的值,其中,无法由该值逆向得到所述文件(数据)。例如,所述特征值可以是根据HASH算法得到的HASH值。HASH算法例如包括MD2、MD4、MD5、HAVAL、SHA等。
可以通过硬件装置来实现计算单元1200。由于相对于软件来说,硬件具有更高的安全性。因此,通过这种方式可以提高系统安全性。
查找单元1300根据文件名查找白名单。
安全监控装置1000还可以包括白名单建立单元1600。
白名单建立单元1600根据用户的指示建立可信任文件的白名单以及存储白名单。例如,白名单可以至少包括可信任文件的文件名和可信任文件的特征值
例如,当计算机从外部接收到文件并且用户判断该文件是可信任文件时,白名单建立单元1600计算该文件的特征值。该特征值例如是HASH值。
白名单建立单元1600将所计算的特征值连同文件的文件名一同存储在用于存储白名单的表中。该表例如可以位于计算机或者安全监控装置的存储器中。
在这种情况下,所述查找单元1300可以根据文件名来检取可信任文件的特征值,以及输出所检取的特征值。
监测单元1400根据白名单和所计算的文件的特征值进行监测。
例如,所述监测单元1400从计算单元接收所计算的特征值以及从查找单元接收所检取的特征值。
所述监测单元1400根据所检取的可信任文件的特征值和所计算的文件的特征值进行监测。
例如,所述监测单元1400将所检取的可信任文件的特征值与所计算的文件的特征值进行比较。如果所检取的可信任文件的特征值与所计算的文件的特征值相同,则可以认为所截获的文件是可信任的,并且所述监测单元1400输出肯定的监测结果;否则,所述监测单元1400输出否定的监测结果。
标记单元1500在监测结果为否定的情况下将所截获的文件上报为可疑进程并拒绝运行该文件,否则将所截获的文件标记为验证成功并允许运行该文件。
图2示出了根据本发明的第一实施例的安全监控方法2000的流程图。
如图2所示,在步骤s2100,执行获取步骤,用于截获文件。
如前面所述,所述文件例如可以是可执行文件。
在步骤s2200,执行计算步骤,用于计算文件的特征值。
文件的特征值是可以由文件(数据)计算得到的唯一标识该文件的值,其中,无法由该值逆向得到所述文件(数据)。例如,所述特征值可以是根据HASH算法得到的HASH值。
在计算步骤中,还可以通过硬件装置来计算文件的特征值。这样,可以进一步提高安全性。
在步骤s2300,执行查找步骤,用于根据文件名查找白名单。
另外,根据本发明的第一实施例的安全监控方法2000还可以包括白名单建立步骤,用于根据用户的指示建立可信任文件的白名单,以及存储白名单,其中,白名单至少包括可信任文件的文件名和可信任文件的特征值。
在查找步骤中,可以根据文件名从白名单中检取可信任文件的特征值。
在步骤s2400,执行监测步骤,用于根据白名单和所计算的文件的特征值进行监测。
在监测步骤中,可以根据所检取的可信任文件的特征值和所计算的文件的特征值进行监测。
例如,将所检取的可信任文件的特征值与所计算的文件的特征值进行比较。如果所检取的可信任文件的特征值与所计算的文件的特征值相同,则可以认为所截获的文件是可信任的,并且输出肯定的监测结果;否则,输出否定的监测结果。
在步骤s2500,执行标记步骤,用于在监测结果为否的情况下将该文件上报为可疑进程并拒绝运行该文件,否则将该文件标记为验证成功并允许运行该文件。
在根据本发明的第一实施例中,可以利用文件的特征值来监控系统中的文件(可执行程序),从而能够保证系统本地的和/或外部输入的文件(可执行程序)的可控性。
根据本发明的第一实施例,可以保证文件(可执行程序)对系统资源的访问得到有效的监控。
根据本发明的第一实施例,能够维护安全系统的正常运行。
<第二实施例>
下面参照图3和4来描述根据本发明的第二实施例。在根据本发明的第二实施例中,增加了对通信链路的监控和管理,而其他部分与第一实施例的相应部分相同。在这里省略部分相同的描述。
图3示出了根据本发明的第二实施例的安全监控装置的框图。
如图3所示,安全监控装置1000包括获取单元1100、计算单元1200、查找单元1300、检测单元1400、标记单元1500以及安全链路管理单元3700。
安全链路管理单元3700对发送文件的源装置(未示出)进行认证。源装置例如通过网络连接到安全监控装置所监控的设备。
例如,为源装置可以将其数字签名发送给安全链路管理单元3700以进行认证等。本领域技术人员可以想到许多方式来对源装置进行认证,因此,在这里不再对其进行详细的描述。
安全链路管理单元3700管理在接收文件的通信装置和源装置之间建立的安全链路。
例如,安全链路管理单元3700可以管理源装置与所监控的设备之间进行通信的密钥。
例如,安全链路管理单元3700利用源装置的公钥对安全链路的密钥进行加密,以及将所述密钥发送给源装置。然后,源装置接收到所述加密的密钥之后,利用自己的私钥对其进行解码以得到所述密钥。之后,可以利用所述密钥在被监控的设备和源装置之间进行通信。
安全链路管理单元3700从源装置接收文件。所述文件是经源装置数字签名的。
获取单元1100截获文件。
例如,所述文件是可执行文件。
该文件可以被存储在计算机的存储器中。例如,该文件可以被存储在计算机的硬盘、软盘、光盘、缓存、RAM等中。
或者,该文件可以是从外部输入的。例如,该文件可以通过各种外部接口被输入到安全监控装置。所述接口例如包括网络接口(例如以太网接口)、串行接口、并行接口等。
获取单元1100将所截获的文件发送给计算单元1200。获取单元1100将所截获的文件名发送给查找单元1300。
计算单元1200计算文件的特征值。
文件的特征值是可以由文件(数据)计算得到的唯一标识该文件的值,其中,无法由该值逆向得到所述文件(数据)。例如,所述特征值可以是根据HASH算法得到的HASH值。HASH算法例如包括MD2、MD4、MD5、HAVAL、SHA等。
查找单元1300根据文件名查找白名单。
安全监控装置1000还可以包括白名单建立单元1600。
白名单建立单元1600根据用户的指示建立可信任文件的白名单以及存储白名单。例如,白名单可以至少包括可信任文件的文件名和可信任文件的特征值
例如,当计算机从外部接收到文件并且用户判断该文件是可信任文件时,白名单建立单元1600计算该文件的特征值。该特征值例如是HASH值。
白名单建立单元1600将所计算的特征值连同文件的文件名一同存储在用于存储白名单的表中。该表例如可以位于计算机或者安全监控装置的存储器中。
在这种情况下,所述查找单元1300可以根据文件名来检取可信任文件的特征值,以及输出所检取的特征值。
监测单元1400根据白名单和所计算的文件的特征值进行监测。
例如,所述监测单元1400从计算单元接收所计算的特征值以及从查找单元接收所检取的特征值。
所述监测单元1400根据所检取的可信任文件的特征值和所计算的文件的特征值进行监测。
例如,所述监测单元1400将所检取的可信任文件的特征值与所计算的文件的特征值进行比较。如果所检取的可信任文件的特征值与所计算的文件的特征值相同,则可以认为所截获的文件是可信任的,并且所述监测单元1400输出肯定的监测结果;否则,所述监测单元1400输出否定的监测结果。
标记单元1500在监测结果为否定的情况下将所截获的文件上报为可疑进程并拒绝运行该文件,否则将所截获的文件标记为验证成功并允许运行该文件。
图4示出了根据本发明的第一实施例的安全监控方法4000的流程图。
如图2所示,在步骤s4100,执行安全链路管理步骤,用于对发送文件的源装置进行认证,以及管理在接收文件的通信装置和源装置之间建立的安全链路。
在安全链路管理步骤中,还可以利用源装置的公钥对安全链路的密钥进行加密,以及将所述密钥发送给源装置。这样,受监控的设备和源装置可以利用该密钥在它们之间进行通信。
在安全链路管理步骤中,还可以从源装置接收文件并对该文件进行解密。所述文件是经源装置数字签名的。
在步骤s4200,执行白名单建立步骤,用于根据用户的指示建立可信任文件的白名单,以及存储白名单,其中,白名单至少包括可信任文件的文件名和可信任文件的特征值。
在步骤s4300,执行获取步骤,用于截获文件。
如前面所述,所述文件例如可以是可执行文件。
在步骤s4400,执行计算步骤,用于计算文件的特征值。
文件的特征值是可以由文件(数据)计算得到的唯一标识该文件的值,其中,无法由该值逆向得到所述文件(数据)。例如,所述特征值可以是根据HASH算法得到的HASH值。
在步骤s4500,执行查找步骤,用于根据文件名查找白名单。
在查找步骤中,可以根据文件名从白名单中检取可信任文件的特征值。
在步骤s4600,执行监测步骤,用于根据白名单和所计算的文件的特征值进行监测。
在监测步骤中,可以根据所检取的可信任文件的特征值和所计算的文件的特征值进行监测。
例如,将所检取的可信任文件的特征值与所计算的文件的特征值进行比较。如果所检取的可信任文件的特征值与所计算的文件的特征值相同,则可以认为所截获的文件是可信任的,并且输出肯定的监测结果;否则,输出否定的监测结果。
在步骤s4700,执行标记步骤,用于在监测结果为否的情况下将该文件上报为可疑进程并拒绝运行该文件,否则将该文件标记为验证成功并允许运行该文件。
根据本发明的第二实施例,对源装置进行认证,从而可以保证文件(可执行程序)的来源的安全性。
根据本发明的第二实施例,对被监控设备和源装置之间的安全链路进行监控,从而保证通信的安全性。
根据本发明的第二实施例,利用公钥和私钥来传递用于安全链路的密钥,从而保证通信的安全性。
根据本发明的第二实施例,利用密钥来建立安全链路,从而通信的安全性。
根据本发明的第二实施例,所接收的文件(可执行程序)是经过源装置数字签名的,从而确保该文件是从源装置产生的。
<例子>
图5示出了根据本发明的一个例子。
如图5所示,用户终端5301、5301经由网络5100连接到通信装置5210。
通信装置5210耦合到服务器5200和根据本发明的安全监控装置5220。
本领域技术人员应当理解,尽管在图5中,为了描述的方便,而将服务器5200、通信装置5210和安全监控装置5220示出为分离的,但是,实际上,它们可以位于同一个位置,或者位于同一个机架上,或者甚至位于同一块板卡上。
服务器5200例如可以是银行系统的服务器。用户通过用户终端5301、5302来访问银行系统,办理业务等。
安全监控装置5220可以首先建立白名单。例如,安全监控装置5220可以对服务器上记录的程序以及通过网络接收的程序文件进行认证,如果通过认证,并且例如服务器的管理员授权该程序文件在服务器上运行,则安全监控装置5220计算该该程序文件的特征值,例如HASH值,并存储所述特征值以及文件名。
下面以用户终端5301为例来说明根据本发明的例子。
例如,用户终端5301请求与通信装置5210建立连接。用户终端5301将设备的认证信息发送给通信装置5210。
通信装置5210将所述认证信息发送给安全监控装置5220。安全监控装置5220对用户终端5301进行认证。如果通过认证则允许用户终端5301访问服务器;否则不允许用户终端5301访问服务器。
如果允许用户终端5301访问服务器,安全监控装置5220为用户终端5301分配用于建立安全链路的密钥。安全监控装置5220利用用户终端5301的公钥对所述密钥进行加密,并将该加密的密钥发送给通信装置5210。通信装置5210该加密的密钥发送给用户终端5301。用户终端5301利用自己的私钥对该加密的密钥进行解密。安全监控装置5220将所述密钥发送给通信装置5210。在通信装置5210和用户终端5301之间利用所述密钥建立安全链路,以进行通信。
用户可以利用用户终端5301经由所建立的安全链路来访问服务器。
例如,用户可以将自己的文件(可执行程序)发送给通信装置5210。通信装置5210接收数据,并将所述数据发送安全监控装置5220。安全监控装置5220利用已经产生的白名单对所述文件进行监测,以判断该文件是否合法。在监测结果为否的情况下将该文件上报为可疑进程并拒绝运行该文件,否则将该文件标记为验证成功并允许运行该文件。
安全监控装置5220也可以监控服务器本地的文件进行监控。当收到对服务器本地的文件的执行请求时,安全监控装置5220截获所述文件,并利用已经产生的白名单对所述文件进行监测。在监测结果为否的情况下将该文件上报为可疑进程并拒绝运行该文件,否则将该文件标记为验证成功并允许运行该文件。
可能以许多方式来实现本发明的方法和装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
Claims (16)
1.一种支持安全监控的安全监控装置,包括:
获取单元,被配置成截获文件;
计算单元,被配置成计算文件的特征值;
查找单元,被配置成根据文件名查找白名单;
监测单元,被配置成根据白名单和所计算的文件的特征值进行监测;
标记单元,被配置成在监测结果为否的情况下将该文件上报为可疑进程并拒绝运行该文件,否则将该文件标记为验证成功并允许运行该文件。
2.如权利要求1所述的安全监控装置,其中,所述文件是可执行文件。
3.如权利要求1所述的安全监控装置,其中,所述文件的特征值是文件的HASH值。
4.如权利要求1所述的安全监控装置,还包括:白名单建立单元,被配置成根据用户的指示建立可信任文件的白名单,以及存储白名单,其中,白名单至少包括可信任文件的文件名和可信任文件的特征值,
其中,所述查找单元还被配置成根据文件名检取可信任文件的特征值,以及
其中,所述监测单元还被配置成所检取的可信任文件的特征值和所计算的文件的特征值进行监测。
5.如权利要求1所述的安全监控装置,还包括:安全链路管理单元,被配置成对发送文件的源装置进行认证,以及管理在接收文件的通信装置和源装置之间建立的安全链路。
6.如权利要求5所述的安全监控装置,其中,所述安全链路管理单元还被配置成利用源装置的公钥对安全链路的密钥进行加密,以及将所述密钥发送给源装置。
7.如权利要求5所述的安全监控装置,其中,所述安全链路管理单元还被配置成从源装置接收文件并对文件进行解密,
其中,所述文件是经源装置数字签名的,以及
其中,所述获取单元被配置成截获经解密的文件。
8.如权利要求1所述的安全监控装置,其中,所述计算单元是通过硬件装置来实现的。
9.一种支持安全监控的安全监控方法,包括:
获取步骤,用于截获文件;
计算步骤,用于计算文件的特征值;
查找步骤,用于根据文件名查找白名单;
监测步骤,用于根据白名单和所计算的文件的特征值进行监测;
标记步骤,用于在监测结果为否的情况下将该文件上报为可疑进程并拒绝运行该文件,否则将该文件标记为验证成功并允许运行该文件。
10.如权利要求9所述的安全监控方法,其中,所述文件是可执行文件。
11.如权利要求9所述的安全监控方法,其中,所述文件的特征值是文件的HASH值。
12.如权利要求9所述的安全监控方法,还包括:白名单建立步骤,用于根据用户的指示建立可信任文件的白名单,以及存储白名单,其中,白名单至少包括可信任文件的文件名和可信任文件的特征值,
其中,所述查找步骤还包括:根据文件名检取可信任文件的特征值,以及
其中,所述监测步骤还包括:根据所检取的可信任文件的特征值和所计算的文件的特征值进行监测。
13.如权利要求9所述的安全监控方法,还包括:安全链路管理步骤,用于对发送文件的源装置进行认证,以及管理在接收文件的通信装置和源装置之间建立的安全链路。
14.如权利要求13所述的安全监控方法,其中,所述安全链路管理步骤还包括:利用源装置的公钥对安全链路的密钥进行加密,以及将所述密钥发送给源装置。
15.如权利要求13所述的安全监控方法,其中,所述安全链路管理步骤还包括从源装置接收文件并对该文件进行解密,
其中,所述文件是经源装置数字签名的,以及
其中,所述获取步骤包括截获经解密的文件。
16.如权利要求9所述的安全监控方法,其中,在所述计算步骤中,通过硬件装置来计算文件的特征值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101613632A CN101997832A (zh) | 2009-08-10 | 2009-08-10 | 一种支持安全监控的安全监控装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101613632A CN101997832A (zh) | 2009-08-10 | 2009-08-10 | 一种支持安全监控的安全监控装置及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101997832A true CN101997832A (zh) | 2011-03-30 |
Family
ID=43787430
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101613632A Pending CN101997832A (zh) | 2009-08-10 | 2009-08-10 | 一种支持安全监控的安全监控装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101997832A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102708325A (zh) * | 2012-05-17 | 2012-10-03 | 中国科学院计算技术研究所 | 虚拟桌面环境文件杀毒的方法和系统 |
| CN102799824A (zh) * | 2012-07-13 | 2012-11-28 | 珠海市君天电子科技有限公司 | 一种针对具有数字签名信息的病毒文件的防御方法及系统 |
| CN102831355A (zh) * | 2011-12-30 | 2012-12-19 | 中国科学院软件研究所 | 安全操作系统中建立可信路径的方法 |
| CN102902925A (zh) * | 2012-09-29 | 2013-01-30 | 北京奇虎科技有限公司 | 一种染毒文件的处理方法和系统 |
| CN102930208A (zh) * | 2012-09-29 | 2013-02-13 | 北京奇虎科技有限公司 | 一种染毒文件的处理方法和系统 |
| CN103532730A (zh) * | 2012-07-06 | 2014-01-22 | 哈尔滨安天科技股份有限公司 | 基于自解压技术的黑白名单自动化动态维护的方法及系统 |
| CN103824018A (zh) * | 2012-11-19 | 2014-05-28 | 腾讯科技(深圳)有限公司 | 一种可执行文件处理方法以及可执行文件监控方法 |
| CN104424429A (zh) * | 2013-08-22 | 2015-03-18 | 安一恒通(北京)科技有限公司 | 一种文件行为的监控方法及用户设备 |
| CN106022120A (zh) * | 2016-05-24 | 2016-10-12 | 北京金山安全软件有限公司 | 文件监控处理方法、装置及电子设备 |
| CN106411899A (zh) * | 2016-09-30 | 2017-02-15 | 北京奇虎科技有限公司 | 数据文件的安全检测方法及装置 |
| CN106709346A (zh) * | 2016-11-25 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 文件处理方法及装置 |
| CN107609411A (zh) * | 2017-09-15 | 2018-01-19 | 郑州云海信息技术有限公司 | 一种智能监控保密文件的系统和方法 |
| CN110968479A (zh) * | 2019-11-20 | 2020-04-07 | 北京宝兰德软件股份有限公司 | 一种针对应用程序的业务级全链路监控方法及服务器 |
-
2009
- 2009-08-10 CN CN2009101613632A patent/CN101997832A/zh active Pending
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102831355A (zh) * | 2011-12-30 | 2012-12-19 | 中国科学院软件研究所 | 安全操作系统中建立可信路径的方法 |
| CN102708325A (zh) * | 2012-05-17 | 2012-10-03 | 中国科学院计算技术研究所 | 虚拟桌面环境文件杀毒的方法和系统 |
| CN103532730B (zh) * | 2012-07-06 | 2016-09-07 | 哈尔滨安天科技股份有限公司 | 基于自解压技术的黑白名单自动化动态维护的方法及系统 |
| CN103532730A (zh) * | 2012-07-06 | 2014-01-22 | 哈尔滨安天科技股份有限公司 | 基于自解压技术的黑白名单自动化动态维护的方法及系统 |
| CN102799824B (zh) * | 2012-07-13 | 2015-10-21 | 珠海市君天电子科技有限公司 | 一种针对具有数字签名信息的病毒文件的防御方法及系统 |
| CN102799824A (zh) * | 2012-07-13 | 2012-11-28 | 珠海市君天电子科技有限公司 | 一种针对具有数字签名信息的病毒文件的防御方法及系统 |
| CN102930208A (zh) * | 2012-09-29 | 2013-02-13 | 北京奇虎科技有限公司 | 一种染毒文件的处理方法和系统 |
| CN102930208B (zh) * | 2012-09-29 | 2015-11-25 | 北京奇虎科技有限公司 | 一种染毒文件的处理方法和系统 |
| CN102902925A (zh) * | 2012-09-29 | 2013-01-30 | 北京奇虎科技有限公司 | 一种染毒文件的处理方法和系统 |
| CN103824018A (zh) * | 2012-11-19 | 2014-05-28 | 腾讯科技(深圳)有限公司 | 一种可执行文件处理方法以及可执行文件监控方法 |
| CN103824018B (zh) * | 2012-11-19 | 2017-11-14 | 腾讯科技(深圳)有限公司 | 一种可执行文件处理方法以及可执行文件监控方法 |
| CN104424429A (zh) * | 2013-08-22 | 2015-03-18 | 安一恒通(北京)科技有限公司 | 一种文件行为的监控方法及用户设备 |
| CN106022120A (zh) * | 2016-05-24 | 2016-10-12 | 北京金山安全软件有限公司 | 文件监控处理方法、装置及电子设备 |
| CN106411899A (zh) * | 2016-09-30 | 2017-02-15 | 北京奇虎科技有限公司 | 数据文件的安全检测方法及装置 |
| CN106709346A (zh) * | 2016-11-25 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 文件处理方法及装置 |
| CN106709346B (zh) * | 2016-11-25 | 2019-08-06 | 腾讯科技(深圳)有限公司 | 文件处理方法及装置 |
| CN107609411A (zh) * | 2017-09-15 | 2018-01-19 | 郑州云海信息技术有限公司 | 一种智能监控保密文件的系统和方法 |
| CN110968479A (zh) * | 2019-11-20 | 2020-04-07 | 北京宝兰德软件股份有限公司 | 一种针对应用程序的业务级全链路监控方法及服务器 |
| CN110968479B (zh) * | 2019-11-20 | 2023-05-23 | 北京宝兰德软件股份有限公司 | 一种针对应用程序的业务级全链路监控方法及服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101997832A (zh) | 一种支持安全监控的安全监控装置及方法 | |
| US10848318B2 (en) | System for authenticating certificate based on blockchain network, and method for authenticating certificate based on blockchain network by using same | |
| US10680808B2 (en) | 1:N biometric authentication, encryption, signature system | |
| CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
| US9094823B2 (en) | Data processing for securing local resources in a mobile device | |
| US9961077B2 (en) | System and method for biometric authentication with device attestation | |
| US7752320B2 (en) | Method and apparatus for content based authentication for network access | |
| TWI701934B (zh) | 驗證生物特徵圖像的可用性的方法和裝置 | |
| US20160219046A1 (en) | System and method for multi-modal biometric identity verification | |
| CN105430014B (zh) | 一种单点登录方法及其系统 | |
| CN106534171B (zh) | 一种安全认证方法、装置和终端 | |
| CN103560883A (zh) | 一种基于用户权限的安卓应用程序间的安全性鉴定方法 | |
| CN109462572B (zh) | 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关 | |
| KR101281099B1 (ko) | 스마트폰 분실 및 도난의 피해 방지를 위한 인증방법 | |
| CN110740140A (zh) | 一种基于云平台的网络信息安全监管系统 | |
| CN102868702A (zh) | 系统登录装置和系统登录方法 | |
| CN101741826A (zh) | 在虚拟化平台上实现加密卸载的系统和方法 | |
| CN110784395B (zh) | 一种基于fido认证的邮件安全登录方法及系统 | |
| US20220303293A1 (en) | Methods of monitoring and protecting access to online services | |
| CN109033784A (zh) | 在通信网络中身份认证方法和装置 | |
| CN107888576B (zh) | 一种利用大数据与设备指纹的防撞库安全风险控制方法 | |
| KR102013415B1 (ko) | 개인정보 접속기록 무결성 검증시스템 및 검증방법 | |
| Feng et al. | Autonomous vehicles' forensics in smart cities | |
| CN112383577A (zh) | 授权方法、装置、系统、设备和存储介质 | |
| CN108965335B (zh) | 防止恶意访问登录接口的方法、电子设备及计算机介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110330 |