CN103843004A - 装置定制白名单 - Google Patents
装置定制白名单 Download PDFInfo
- Publication number
- CN103843004A CN103843004A CN201280048131.6A CN201280048131A CN103843004A CN 103843004 A CN103843004 A CN 103843004A CN 201280048131 A CN201280048131 A CN 201280048131A CN 103843004 A CN103843004 A CN 103843004A
- Authority
- CN
- China
- Prior art keywords
- white list
- calculation device
- overall
- specific
- described specific
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004364 calculation method Methods 0.000 claims description 75
- 238000000034 method Methods 0.000 claims description 47
- 230000008859 change Effects 0.000 claims description 26
- 238000013507 mapping Methods 0.000 claims description 12
- 238000010295 mobile communication Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 17
- 238000003860 storage Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 14
- 238000004590 computer program Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 10
- 230000009471 action Effects 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 5
- 239000000047 product Substances 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000002349 favourable effect Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 239000013589 supplement Substances 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000027455 binding Effects 0.000 description 2
- 238000009739 binding Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003203 everyday effect Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 244000277285 Cassia obtusifolia Species 0.000 description 1
- 235000006719 Cassia obtusifolia Nutrition 0.000 description 1
- 235000014552 Cassia tora Nutrition 0.000 description 1
- 101100203322 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SKS1 gene Proteins 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 230000002939 deleterious effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000011068 loading method Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 239000003607 modifier Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 230000006641 stabilisation Effects 0.000 description 1
- 238000011105 stabilization Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 201000009032 substance abuse Diseases 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
Abstract
识别特定计算装置的特定属性集。在全局白名单中识别第一多个白名单对象,其对应于该特定属性集。生成特定白名单来包括识别的白名单对象集,该特定白名单是对该特定计算装置所定制的。在一些方面中,还生成对特定白名单的装置定制的更新。
Description
技术领域
该公开大体上涉及计算机安全的领域,并且更特定地,涉及在malware和其他计算机安全产品中使用的白名单。
背景技术
互联网已经实现全世界不同计算机网络的互连。然而,有效保护并且维护稳定的计算机和系统的能力对部件制造商、系统设计师和网络运营商呈现出很大障碍。该障碍由于恶意软件作者所利用的不断演进的一系列战术而变得甚至更复杂。恶意软件作者创建恶意软件(“malware”)来扰乱或终止计算机操作、窃取信息、获得对系统资源的未经授权访问以及实施其他未经授权的滥用、敌对、侵入或骚扰活动。Malware随着新malware对象的不断开发而持续演进,从而每一天潜在暴露计算机和系统。
已经开发malware检测和防护软件以及其他计算机安全产品以检测、阻断、禁用、隔离malware并且将其从使用计算机安全产品的系统删除。计算机安全产品面临的挑战之一是区分malware与表面上非恶意的软件对象。使该努力复杂化是每一天创建成千上万的新软件对象(恶意和非恶意两者)这一现实。一些安全产品使用白名单来区分非恶意的白名单对象与恶意对象。白名单还可以起到将检测的对象归类为恶意或非恶意的记录的作用。理想地,为了最佳地起效,白名单应尽可能全面。假定需要归类为恶意或非恶意的新软件对象的稳流,维护并且创建全面的白名单可能是个挑战。
附图说明
图1是根据一个实施例用于对计算装置生成白名单的系统的简化示意图;
图2是根据一个实施例的示例系统(包括示例白名单发生器)的简化框图;
图3是已知软件对象到已知软件程序的示例映射的表示;
图4A-4B图示根据至少一些实施例生成装置定制白名单的示例;
图5A-5B图示根据至少一些实施例更新装置定制白名单的示例;以及
图6是图示与系统的至少一些实施例关联的示例操作的简化流程图。
各种图中类似的标号和称号指示类似的元件。
具体实施方式
综览
一般,在该说明书中描述的主旨的一个方面可以在方法中体现,这些方法包括识别特定计算装置的特定属性集的动作。可以对应于特定属性集在全局白名单中识别第一多个白名单对象。可以生成特定白名单,其包括识别的白名单对象集,对特定计算装置定制该特定白名单。
在该说明书中描述的主旨的另一个一般方面中,可以在系统中体现,这些系统包括至少一个处理器装置、至少一个存储器元件和定制的白名单管理器。该定制的白名单管理器在被该至少一个处理器装置执行时可以识别特定计算装置的特定属性集、在全局白名单中识别对应于该特定属性集的第一多个白名单对象,以及生成包括识别的白名单对象集的特定白名单,对特定计算装置定制该特定白名单。
这些和其他实施例每个可以可选地包括下列特征中的一个或多个。第一多个白名单项可以是包括在全局白名单中的白名单对象的子集,其包括少于全局白名单中全部的白名单对象。特定属性集可以对应于识别为潜在地被特定计算装置使用的软件程序集。第一多个白名单对象可以识别为能被软件程序集中的程序使用。第一多个白名单对象可以识别为安装在特定计算装置上。软件程序集可以包括操作系统、应用、软件代理、驱动器、库或插件中的至少一个。特定白名单可以用于执行涉及特定计算装置的至少一个计算机安全任务。特定白名单可以提供给配置成执行安全任务的特定客户端。该特定安全客户端可以包括特定计算装置。特定计算装置可以包括移动通信装置。可以识别第二计算装置的第二属性集,该第二属性集与该特定属性集不同。第二多个白名单对象可以在全局白名单中识别,这些第二多个白名单对象对应于第二属性集并且与第一多个白名单对象不同。可以生成第二白名单,其包括第二多个白名单对象。
此外,实施例每个可以可选地包括下列额外特征中的一个或多个。可以识别对全局白名单的更新。对应于对全局白名单更新,可以对特定白名单识别至少一个更新。可以生成特定白名单的更新版本,其对应于特定白名单的该至少一个更新。特定白名单的更新版本的至少一部分可以发送到以在特定计算装置上执行计算机安全任务为任务的计算装置。对全局白名单的更新可以包括添加至少一个新的白名单对象。可以映射该至少一个新白名单对象与至少一个装置属性之间的关联性。在其他实例中,可以识别特定计算装置上的改变。对特定白名单的至少一个更新可以确定为对应于识别的特定计算装置上的改变。可以生成特定白名单的更新版本,其对应于对特定白名单的至少一个更新。特定计算装置上的改变可以是预测的改变并且对特定白名单的至少一个更新可以在特定计算装置上实现改变之前被确定。在特定计算装置上实现改变之前,特定白名单的更新版本的至少一部分可以发送到计算装置,其以在特定计算装置上执行计算机安全任务为任务。特定属性集可以包括至少一个用户属性,其对应于特定计算装置的用户。识别第一多个白名单对象可以包括基于用户属性而预测特定计算装置将访问第一多个白名单对象的至少子集。
特征中的一些或全部可以是计算机实现的方法或进一步包括在相应的系统或其他装置中用于执行该描述的功能性。本公开的这些和其他特征、方面和实现的细节在附图和下文的描述中阐述。本公开的其他特征、对象和优势将从描述和图并且从权利要求是明显的。
示例实施例
图1是图示包括多个目标计算装置(例如,102、104、106、108)(对其可以执行软件安全任务)的计算系统100的示例实施例的简化框图。系统100可以进一步包括一个或多个安全系统服务器(例如,110)、一个或多个全局白名单服务器(例如,112)和一个或多个定制白名单服务器(例如,115),以及例如在管理或用别的方式与系统100中的其他装置和服务交互中使用的一个或多个客户端装置(例如,118)。计算系统100可以进一步包括一个或多个无线和/或有线网络120,装置和服务器(例如102,104,106,108,110,112,115,118)的组合可通过该无线和/或有线网络120来传递、交换数据和消息、交付或消费基于软件的服务并且用别的方式通信和交互。
目标装置102、104、106、108可以包括个人计算装置,例如台式机、膝上型电脑、平板电脑、智能电话和具有可以因装置而极其不同的属性的其他装置,包括加载、安装、执行、操作或用别的方式而对装置可访问的软件程序(例如,130、131、132、133)的集合。装置的程序集可以包括操作系统、应用、插件、小应用程序、虚拟机、机器图像、驱动器、可执行文件和能够由相应的装置(例如,102、104、106、108)运行、执行或用别的方式使用的其他基于软件的程序。还可以对装置维护其他属性,包括连接或用别的方式对装置可访问的外围装置、装置与之通信的网络的标识、拥有、出借、管理或用别的方式与装置关联的实体或人的标识或概况,以及其他示例。各种基于软件的对象和资源可以被访问、上传、使用以及用别的方式连同装置对它的程序集(包括使用一个或多个网络120从远程计算装置访问的对象)中的程序的使用而交会。这样的软件对象和资源(通称“对象”)可以包括恶意对象(即,“malware”)以及非恶意对象。包括反malware、策略控制和脆弱性评估工具的各种基于软件和硬件的计算机安全工具可以用于防止系统100中的装置102、104、106、108访问或使用malware以及遭受malware的潜在有害影响。这样的计算机安全工具可以包括安全应用、套件、服务,和本地、远程或某种程度上既本地又相对于目标装置远程运行的其他工具(例如,120、121、122),其至少部分使用一个或多个白名单来对装置执行安全扫描、防火墙防护、过滤、隔离、删除和其他安全功能。白名单在一些示例中可以包括对象列表,其在一些实例中包括对象或文件(或其基本部分)的加密哈希的列表。此外,散列静态对象(其包括malware和干净软件)典型地不影响对象可操作性。因此,基于加密哈希(例如,MD4、MD5、SHA-1、SHA256、SHA512、SHA3,等)的白名单可以是防止白名单条目的电子欺骗(spoofing)的有效方法,以及其他益处。
在一些实例中,全局白名单(例如,125)可以由有关在一个或多个计算装置和系统上执行的软件和网络安全检查的执行的一个或多个计算机安全工具(例如,120、121、122)来参考和使用。全局白名单125可以由全局白名单服务器112生成、更新、服务、协调以及用别的方式来管理。该全局白名单服务器112可以与其他装置通信来对其他装置提供全局白名单的全部或一部分。另外,在一些实例中,全局白名单服务器112还可以与有关生成定制白名单(例如,126、127、128、129)的定制白名单服务器115通信。全局白名单可以包括已知在计算装置和网络(其包括例如互联网等世界范围的公共网络)的全域之中存在的潜在无限数量的白名单对象。在一些实例中,全局白名单的目标可以是全面地组合由白名单的提供商以及其他贡献者识别为非恶意的软件对象列表。大体上,全局白名单典型地不限制在对于特定系统、网络或系统的白名单中识别的白名单对象的全域。这从尽可能全面地维护与任何数量的计算机或系统相关或可能潜在相关的白名单对象的记录的观点来看可以是理想的。现代的全局白名单可以包括超过百亿个截然不同的白名单对象的列表。对于白名单对象在全局白名单中的包括的标识在某种程度上可以是自动化的,例如通过使用识别满足白名单的特定特性或标准的对象的算法。
尽管在一些情形下,开发适于维护与软件应用、系统、操作系统、装置、网络等的全域相关的非恶意白名单的列表的全面全局白名单可是可取的,全局白名单变得越全面,在白名单的维护和实现中使用的数据结构和逻辑变得越大且更繁琐。尽管维护大的全面全局白名单理论上可以是有利的,在许多实例中它可以是次优的。这样的全局白名单可以与多个不同的安全工具和那些工具(其包括工具120、121、122)的部署共享并且意在为供它们使用。全局白名单的大小在一些实例中可以是过大的,从而使传递和分发白名单变得困难,特别是在其中托管白名单的副本的计算装置(例如使用移动数据网络的移动计算装置)对网络带宽具有有限可用性的实例中。相似地,对这样的全局白名单提供更新可以因为白名单大小而复杂。此外,处理大的全面白名单从处理的观点来看可能是昂贵的,因为安全工具搜遍并且检查白名单中的潜在数百万条目。
计算系统100在一些实现中可以解决在上文识别的关于传统白名单的问题中的许多。在一些实例中,定制的白名单可以从对特定装置或系统定制和优化的一个或多个全局白名单生成,对特定装置或系统使用白名单来扫描、保护或用别的方式服务。例如,特定全局白名单可管理并且识别一组白名单对象,其中的至少一些是仅一些软件安装所特有的或与之相关。例如,特定全局白名单中的一些白名单对象可仅对于特定软件程序、应用、操作系统、插件、小应用程序、库及类似物是可访问的(或被预测只与它们相关)。因此,如果这样的软件程序中的一个或多个未安装在特定装置上或用别的方式而不太可能被它访问,全局白名单就它包括与特定装置不相关的白名单对象来说可以是过包含的。因此,可以对特定装置生成更优化的白名单,其省略全局白名单中包括的对应于不存在或未被特定装置使用的程序和属性的那些白名单项。另一方面,确实包括这些程序的装置可以生成定制白名单,其包括对应的白名单项。因此,可以开发这样的定制白名单,其包括确定为与定制白名单所针对的每个装置的特定属性相关的已知白名单对象。定制白名单在大小上将可能比全局白名单小得多,但是就它关于它的特定装置方面是全面的。此外,定制白名单的传送和更新与计划连同具有变化的属性和要求的多个不同装置一起使用的大的全局白名单的传送和更新相比可以高效且实际得多。
如在图1中图示的示例系统100中示出的,可以提供定制白名单服务器115,其包括定制白名单发生器135,该定制白名单发生器135适于生成定制白名单(例如,126、127、128、129),其对应于可以用于使用多个计算机安全工具(例如,120、121、122)中的任何一个或这样的工具的部署来执行安全任务的多个不同装置(例如,102、104、106、108)中的任何一个的属性(例如,例如,130、131、132、133)。定制白名单服务器115可以与其他装置通信并且提供定制白名单以供与安全工具(例如,120、121、122)一起使用。实际上,在一些实例中,定制白名单服务器115可以与托管安全工具它们自身的部署的装置(例如,104、106、110)以及可依靠远程安全工具来对装置提供安全服务的装置(例如,102、108)通信。
定制白名单可以采用与全局白名单相似的方式来使用。例如,至少部分在装置B 104上执行的安全工具121可以访问对装置B 104的属性和程序集131定制的白名单128。在该示例中,装置B 104例如通过网络120从定制白名单服务器115接收或访问它的定制白名单128。在包括对移动装置提供安全服务的一些实例中,安全工具(例如,120)可远离安全工具操作所在的装置而提供(例如,作为服务)。例如,安全系统110可以对多个不同的计算装置(例如装置A(102)和D(108))执行计算机安全服务。外部计算机安全服务可以访问本地或基于云的定制白名单(其对应于由安全服务120监视的装置)以及在一些实例中通过被监视装置它们自身而存储或用别的方式而可用的定制白名单(例如,128、129)。简而言之,安全工具和定制白名单可以部分或全部从安全工具监视的对应装置远程提供,以及部分或完全在由本地执行的安全工具监视的装置本地提供。
一般,“服务器”、“客户端”和“计算装置”(例如,102、104、106、108、110、112、115、118)可以包括电子计算装置,其能操作成接收、处理、存储或管理与软件系统100关联的数据和信息。如在该文献中使用的,术语“计算机”、“计算装置”、“处理器”或“处理装置”意在包含任何适合的处理装置。例如,系统100可使用除服务器(包括服务器池)以外的计算机来实现。此外,计算装置中的任一个、全部或一些可适于执行任何操作系统,其包括Linux、UNIX、Windows服务器等,以及适于使特定操作系统(其包括定制化和专用操作系统)的执行虚拟化的虚拟机。
服务器、客户端和计算装置(例如,102、104、106、108、110、112、115、118)每个可以包括一个或多个处理器(例如,140-146)、计算机可读存储器(例如,150-156)和一个或多个接口(例如,160-166)。服务器可以包括任何适合的软件部件或模块,或能够托管和/或服务于软件应用(例如,120、135、138)的计算装置,其包括分布式企业或基于云的软件应用。例如,应用服务器可以配置成托管、服务于或用别的方式管理web服务或应用(例如基于SOA或企业web服务),或与其他企业服务接口、协同或依赖于它们的应用(其包括聚集于安全的应用)。通过应用服务器106、108提供的应用和服务可以进一步包括在开发中的web服务。在一些实例中,服务器的某种组合可以托管在公共计算系统、服务器或服务器池上,并且共享计算资源,其包括例如在向多个截然不同的客户端和顾客供应服务的企业软件系统中的共享存储器、处理器和接口。
系统100中的计算装置(例如,102、104、106、108、118)还可以包括实现为一个或多个本地和/或远程客户端或端点装置的装置,例如个人计算机、膝上型电脑、智能电话、平板计算机、个人数字助理、媒体客户端、支持web的电视、临场感系统(telepresence system)和其他装置。客户端或端点装置可以包括任何计算装置,其能操作成使用有线或无线连接而连接到服务器(例如,110、112、115)、其他端点装置、网络120和/或其他装置或与它们通信。每个端点装置可以包括至少一个图形显示装置和用户界面(例如,170),其允许用户查看应用的图形用户界面和在系统100中提供的其他程序并且与它们接口。一般,端点装置可以包括任何电子计算装置,其能操作成接收、传送、处理和存储与图1的软件环境关联的任何适合的数据。将理解可存在与系统100关联的任何数量的端点装置,以及系统100外部的任何数量的端点装置。此外,术语“客户端”、“端点装置”和“用户”可根据情况能互换地使用而不偏离该公开的范围。此外,尽管每个端点装置可从被一个用户使用方面描述,该公开预想许多用户可使用一个计算机或一个用户可使用多个计算机。
尽管图1描述为包含多个元件或与多个元件关联,图1的系统100内图示的所有元件并不都可在本公开的每个备选实现中利用。另外,本文描述的元件中的一个或多个可定位在系统100外部,而在其他实例中,某些元件可包括在其他描述的元件中的一个或多个以及未在图示实现中描述的其他元件内或作为它们的一部分而被包括。此外,在图1中图示的某些元件可与其他部件组合,以及用于备选目的或是除本文描述那些目的外的额外目的。
转向图2,示出示例系统的简化框图200,该示例系统包括定制白名单管理器135的示例实现。定制白名单管理器135可以用于提供、更新和管理白名单(例如,127、270、275),每个对多个计算装置(例如,210、215、225)中的一个定制。定制白名单管理器135可以包括至少一个处理器146和至少一个存储器装置156,以及各种模块、子系统和其他部件,例如白名单发生器250、对象关联引擎255、目标装置通信模块260、全局白名单管理器通信模块265以及其他模块(包括备选功能性和/或配置),其包括本文描述的模块和功能性的其他组合和划分。
白名单发生器250可以适于基于装置的属性对特定装置或系统生成定制白名单。基于特定装置的属性,由白名单发生器250生成的定制白名单可以包括确定为与特定装置相关的那些白名单对象和项。这样的属性可以提供对特定装置可能遇到或使用的对象类型和特定对象的洞察。属性可以包括被安装、使用、提供或用别的方式对装置可访问(例如,经由装置遇到的URL)的程序(例如,225、230、235)的集。程序(例如,225、230、235)的集还可以包括与安装在装置上的程序关联、绑定或由其访问的远程或卸载程序。属性还可以包括描述特定装置的其他信息,包括连接到装置或与之通信的外围硬件、在装置上采用的芯片集、装置使用的网络或网络连接类型、装置操作的上下文、与装置关联的账户或企业和其他信息。这样的属性可以用于确定例如在一个或多个全局白名单(例如由全局白名单管理器112服务的)中白名单化的特定对象能适用于特定装置。例如,具有特定文件类型的对象可能仅被具有利用对象的文件类型的那些软件应用的装置遇到、使用或访问。因此,如果装置不包括该特定程序,白名单发生器250可以确定该文件类型的任何对象可从为装置生成的定制白名单排除。白名单发生器250可以基于这些对象与在对特定装置生成定制白名单中为该特定装置识别的特定属性之间的关联性而对其他对象和对象类型重复这样的确定。
除对特定计算装置生成新的定制白名单外,白名单发生器250还可以用于更新和用别的方式修改之前生成的定制白名单。例如,如果特定装置的属性例如通过下载新程序而改变,改变的属性可以传递到定制白名单管理器135,从而促使由白名单发生器250对特定装置生成新的或补充定制白名单。另外,在添加白名单项(由定制白名单管理器135、全局白名单管理器112或一些其他源)时,这样的新的白名单对象可促使由白名单发生器250对受影响的装置生成更新的白名单。
定制白名单管理器135可以进一步包括对象关联引擎255,其适于管理对白名单对象与各种装置属性(例如已知安装在装置的某种子集上的程序)之间的关联性编目录的数据结构和数据库。包括在由对象关联引擎255使用和管理的关联数据中的信息可以例如经由扫描和分析注册、配置设置、文件夹结构、安装库以及其他示例而收集。因为新的白名单对象例如使用白名单发生器250或全局白名单管理器112来发现,可以对新对象确定可以用于使某些装置属性与对应的相关白名单对象关联的一组关联性。此外,白名单发生器250可以与对象关联引擎255通信并且询问它连同生成或更新定制白名单。此外,对象关联引擎225可以包括用于识别全局白名单内应与特定装置属性关联的对象的逻辑。使用这样的逻辑,对象关联引擎225可以使对白名单(其潜在地包括十亿个或更多的白名单对象)中的每个白名单对象建立关联性的艰巨任务自动化。在一个简化示例中,对象关联引擎225可以识别特定文件类型、操作系统、域等与一个或多个装置属性之间的关联性来使白名单对象(还包括关联的文件类型、操作系统、域,等)的识别自动化,以及其他示例。
图3图示特定白名单对象(例如,320、325、330)到装置属性(其在该简化示例中包括程序A-J)的示例关联或映射(305、310、315)的图示300。例如,程序H可以与对象1、2和3中的每个关联,从而潜在地导致对象1、2和3中的每个包括在对于使用、执行或用别的方式访问程序H的装置生成的白名单中。另外,一些对象(例如对象2)可以是与更少的装置属性关联的更专门化对象。例如,在一些实现中,不包括程序A、D或H的装置可具有省略白名单对象2的生成的定制白名单。此外,在一些实现中,一些属性可关联地包括在到特定对象的映射中。例如,程序C与示例对象3关联。然而,可以确定程序C与其他程序紧密相关、绑定、使用其他程序或被它们所使用,从而导致程序G和J关联地与对象3相关。在该意义上,程序C与程序G和J之间的关系可以导致程序G和J关联地与关联于程序C或映射到程序C的对象相关。另外,装置上特定属性的存在可以导致装置与其他间接属性关联,例如未安装在装置上但与安装在装置上的其他程序绑定、被它们使用或用别的方式而与它们有联系的程序。此外,尽管装置未直接与卸载程序关联,但是与卸载程序关联的特定对象可因为另一个关联程序安装在装置上而包括在装置的白名单中。简而言之,还可以在选择要包括在装置的定制白名单中的白名单项方面考虑与装置间接相关的属性。
除间接对象-属性关联性外,一些对象可基于对象与装置相关性的预测而识别为潜在地与特定装置相关。因此,这样的对象可以先占式地包括在对装置生成的定制白名单中。例如,在装置上检测的动作可以指示装置可能开始访问特定对象或对象类型。这样的动作可以包括对应用下载页面(即,指示特定应用、服务包或更新可能安装在装置上)或已知用于服务于特定类型的对象的页面的用户浏览。用户和装置特定概况属性还可以指示特定对象可能变成与装置相关。例如,装置属性可以包括与装置关联的用户概况。例如,考虑用户的职业、人口统计概况、喜爱的网站、web浏览习惯或历史的信息可以用于预测地确定装置可能遇到的对象。例如,具有指示计算装置供在作为建筑师的用户专业内使用的概况的用户可促使生成定制白名单,其包括已知在建筑设计领域内常用的文件和程序,等。
返回图2,定制白名单管理器135可以包括目标装置通信模块260,其适于与多个装置通信,白名单管理器135针对该多个装置生成、更新或用别的方式管理对应的定制白名单。例如,目标装置通信模块260可以用于向对应的装置或另一个装置(例如,外部安全工具110)发送生成的定制白名单或白名单更新以连同一个或多个计算机安全工具一起使用。此外,目标装置通信模块260可以用于请求和接收来自目标装置(例如,210、215、220)的描述目标装置的属性的数据,包括例如安装或存储(例如,在存储器240、245、250中)在装置(例如,210、215、220)上的程序集。
此外,定制白名单管理器135可以包括全局白名单管理器通信模块265以供与一个或多个全局白名单通信和协调中使用,定制白名单管理器135在生成定制白名单中使用或访问该一个或多个全局白名单。例如,全局白名单管理器通信模块265可以与一个或多个不同的全局白名单管理器(例如,112)通信,并且协调例如全局白名单(其具有包括在由定制白名单管理器生成的定制白名单中的项)中的项的更新,以及白名单项与装置属性之间的关联性。在一些实现中,定制白名单管理器135可以访问一个或多个本地全局白名单或全局白名单的副本,其包括例如使用全局白名单管理器通信模块265从全局白名单管理器(例如,112)发送到定制白名单管理器135的全局白名单。定制白名单管理器135所访问的全局白名单可以视为池,在由定制白名单管理器135生成装置定制白名单中,白名单对象从该池中提取。
现在转向图4A-4B,示出可以例如使用定制白名单管理器的实现而执行的示例任务和动作的图示400a-b。定制白名单管理器405可以根据描述相应装置的属性的概况数据来对多个不同的装置(例如,410、415)提供定制白名单。这样的属性可以包括被相应计算装置安装或使用的程序,例如在程序集425、430a中示出的。程序以及其他属性可以映射(在420a)到包括在全局白名单435中的白名单对象。在图4A的特定示例中,概况数据440可以从第一计算装置410发送并且被定制白名单管理器405收集来对第一计算装置生成定制白名单WL1 450。在该特定示例中,概况数据440可以传达计算装置410的程序集425包括程序C、E、F和J,以及其他属性。因此,定制白名单管理器405可以识别装置410包括程序C、E、F和J并且使用映射420a来确定关联的对象1和3(或关联的白名单集或组)可能与装置410相关(例如,假定装置与程序C、E、F和J的关联性)。因此,白名单对象1和3可以包括在对装置410生成的定制白名单450中。相似地,第二装置415的概况数据445可以由白名单管理器405发送和处理来生成对应的定制白名单455a。在该示例中,第二装置415的属性与第一装置410的属性不同(包括两个装置410、415的相应程序集425、430a)。因此,对第二装置415生成的白名单WL2可以包括未在对第一装置410生成的白名单WL1中包括的白名单对象(例如,对象2)。白名单WL1、WL2然后可以分别被远程和/或本地安全装置使用来对装置410、415执行各种计算机安全任务。
转向图4B,如上文指出的,在一些实例中,外部安全工具可以使用定制白名单连同对特定装置执行安全任务。例如,存在用于对移动计算装置和其他装置执行安全任务的面向服务和基于云的安全工具。因此,在图4B的示例中,可以向被监视装置415远程提供安全工具460。连同例如安全工具460与装置415之间的安全检查会话465,可以交换信息从而识别装置415的属性,包括装置的程序集430a。在一些实现中,安全工具460可以高速缓存或用别的方式维护这样的属性的记录。在该特定示例中,安全工具460起到传递装置415的概况数据445的定制白名单管理器405的中介或代理的作用。定制白名单管理器405(如在图4A的示例中的)可以基于传递的概况数据445而生成对装置415优化的定制白名单WL2 455a。在其他实现中,除其他示例外,装置(例如,415)可以将它们的概况数据(例如,445)直接传递到定制白名单管理器405,其进而可以与外部安全工具460共享生成的定制白名单(例如,455a)以供外部安全工具460使用。这样的中间代理白名单服务器(例如,460)可例如在共享大量公共软件的同构计算机环境(例如,在特定办公室或企业中)中特别有用。
现在转向图5A-5B的示例,示出可以例如使用定制白名单管理器405的实现而执行的额外示例任务和动作的图示500a-b。如上文指出的,除生成新的定制白名单外,定制白名单管理器405还可以用于帮助之前生成的白名单的动态(或状态)更新。例如,在图5A的示例中,可以提供定制白名单管理器405来为多个计算装置(包括计算装置415)准备定制白名单。在该示例中,定制白名单管理器405之前已经基于装置之前的属性集(包括程序集(例如,430a))而为装置415准备白名单(例如,来自图4A和4B的示例的WL2)。对装置415的属性的改变可以影响在牵涉白名单的安全任务期间将考虑的对象。因此,在一些实现中,装置属性中的改变可以促使对装置415生成更新的定制白名单。这样的更新可以包括发送补充白名单数据(例如,仅包括添加到定制白名单的之前版本的那些白名单对象,等)、触发特定白名单项的删除(例如,由客户端目标装置响应于程序的删除)的数据,或发送至少部分新白名单(包括对应于装置属性中的改变的白名单对象)。
作为示例,在图5A中,目标装置415从应用服务器505下载新的程序E(在510),由此改变装置415的程序集430b和属性。响应于属性的改变,更新数据515可以发送到定制白名单管理器405,从而指示对装置概况数据(限定它的属性)的改变。更新数据515可以例如连同代理、计算机安全应用(例如反malware软件)或安装在装置415上能够大致上实时识别装置的改变并且触发更新数据515到定制白名单管理器405的传递的其他程序一起被发送。定制白名单管理器405可以接收更新数据515并且参考映射420a来确定更新概况数据如何影响要包括在装置的定制白名单中的那些白名单项。此外,响应于装置处的改变(例如,程序E 510的下载)可以生成更新的白名单455b并且将其发送到装置(或另一个装置,例如第三方计算机安全工具)。如上文指出的,在一些实现中,发送更新的白名单WL2’ 455b可以包括发送替换白名单、部分白名单或其他补充,其包括新的白名单对象、触发确定要去除或添加到白名单的对象的删除或添加的数据,以及其他示例。
转向图5B的示例,白名单更新还可以响应于对全局白名单(例如,435)的改变或添加而主动触发。例如,全局白名单管理器525可以在一个或多个计算装置识别未包括在全局白名单435中的对象9(530)。例如,对象9可以连同使用全局白名单435安全扫描而被发现。此外,全局白名单管理器525可以确定对象9(53)是非恶意对象并且用新的对象530补充全局白名单535。对全局白名单435的改变可以影响由定制白名单管理器405生成的定制白名单。因此,全局白名单管理器525可以将对全局白名单435的改变传递到定制白名单管理器405。在一些实例中,全局白名单管理器525可以响应于来自定制白名单管理器405的请求传递对全局白名单435的改变。定制白名单管理器405可以从由全局白名单管理器525供应的数据识别对全局白名单435的改变并且进一步限定新的白名单项(例如对象9)与特定的已知装置属性之间的关联性。例如,在图5B的简化示例中,定制白名单管理器405更新白名单对象到装置属性的映射来生成更新的映射420b,其包括新近识别的白名单对象9与属性B和J(对应于程序B和J)之间的关联性545。
由定制白名单管理器405使用的全局白名单435的改变可以进一步触发对由定制白名单管理器405对多个不同的计算装置生成的定制白名单的更新。例如,在图5B的特定简化示例中,对象9到全局白名单435的添加可以触发为装置415定制的白名单的动态更新。例如,定制白名单管理器405可以基于程序B在装置上的使用或安装从更新映射420b确定对象9与装置415相关。因此,更新的定制白名单WL2’’ 455c(或将对象9添加到装置415的白名单的之前版本的补充数据)可以从定制白名单管理器405发送到装置405或托管计算机安全工具的其他装置(使用对于装置405的定制白名单)。
尽管图4A-5B图示涉及本文描述的概念中的一些的原理,应该意识到在图4A-5B中示出和描述的示例、技术、实现和配置为了便于说明这些原理而简化。例如,应该意识到现实世界的全局白名单和使用且生成的定制白名单的大小和广度在现实世界的系统中可以是非常大的。另外,装置属性的类型、映射和映射算法可以引入额外的特征和复杂性而不偏离本公开。另外,可以使用与在这些示例中示出的不同的实现,其包括服务于比示出的多得多的客户端目标装置的定制白名单管理器,以及与客户端目标装置集成的定制白名单管理器或全局白名单管理器,以及许多其他示例。
图6是图示用于对特定计算装置生成定制白名单的示例技术的流程图600。可以识别605特定计算装置的属性集。这样的属性可以例如在从特定计算装置或与计算装置关联的另一个装置接收或收集的数据中识别605。白名单对象集可以在与识别的属性集中的属性关联的全局白名单中识别610。白名单对象到特定装置属性的映射在一些实现中可以被参考以便识别610对应于特定计算装置的属性的白名单对象集。可以对包括白名单对象集的特定装置生成615定制白名单。这样的定制白名单可以连同对特定装置执行的安全任务一起生成615和使用620,例如使用定制白名单来阻止程序在malware扫描中扫描、阻止行为上分析程序、减少对由已经白名单化的程序创建的对象的怀疑、阻断除白名单化软件外的软件(例如,实施白名单)、避免网络访问检查包括在白名单中的软件的声誉以及其他示例、使用和其组合。
尽管该公开已经从某些实现和大体上关联的方法方面描述,这些实现和方法的更改和排列对于本领域内技术人员将是明显的。例如,本文描述的动作可以采用与描述的不同的顺序执行并且仍实现可取的结果。作为一个示例,在附图中描绘的过程不一定需要示出的特定顺序或相继顺序来实现期望的结果。在某些实现中,多任务和并行处理可以是有利的。另外,可以支持多样化的用户界面布局和功能性。另外,尽管上文的描述聚焦在应用上文的原理来生成定制化白名单,可以应用相似的原理来生成在安全任务中使用的其他这样的名单,其包括定制的黑名单。其他变化在下列权利要求的范围内。
在该说明书中描述的主旨和操作的实施例可以在数字电子电路或在计算机软件、固件或硬件中实现,其包括在该说明书中公开的结构和它们的结构等同物,或它们中的一个或多个的组合。在该说明书中描述的主旨的实施例可以实现为一个或多个计算机程序(即,计算机程序指令的一个或多个模块),其在计算机存储介质上编码以供数据处理设备执行或控制数据处理设备的操作。备选地或另外,程序指令可以在人工生成的传播信号(例如,机器生成的电、光或电磁信号,其被生成以对要传送到适合的接收器设备信息编码以供数据处理设备执行)上编码。计算机存储介质可以是计算机可读存储装置、计算机可读存储基底、随机或串行存取存储器阵列或装置或它们中的一个或多个的组合,或包括在它们中。此外,尽管计算机存储介质本质上不是传播信号,计算机存储介质可以是在人工生成的传播信号中编码的计算机程序指令的源或终点。计算机存储介质还可以是一个或多个独立物理部件或介质(例如,多个CD、盘或其他存储装置)(其包括分布式软件环境或云计算环境),或包括在它们中。
在该说明书中描述的操作可以实现为由数据处理设备对存储在一个或多个计算机可读存储装置上或从其他源接收的数据执行的操作。术语“数据处理设备”、“处理器”、“处理装置”和“计算装置”可以包含所有种类的设备、装置和机器用于处理数据,通过示例的方式包括可编程处理器、计算机、芯片上系统或多个或前述的组合。除其他适合的选项外,设备可以包括通用或专用逻辑电路,例如中央处理单元(CPU)、刀片(blade)、专用集成电路(ASIC)或现场可编程门阵列(FPGA)。尽管一些处理器和计算装置已经描述和/或图示为单个处理器,可根据关联服务器的特定需要使用多个处理器。在能适用的情况下,对单个处理器的引用意在包括多个处理器。大体上,处理器执行指令并且操纵数据来执行某些操作。除硬件外,设备还可以包括为谈论中的计算机程序创建执行环境的代码,例如,构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运送时环境、虚拟机或它们中的一个或多个的组合的代码。设备和执行环境可以实现各种不同的计算模型基础设施,例如web服务、分布式计算和网格计算基础设施。
计算机程序(也称为程序、软件、软件应用、脚本、模块、(软件)工具、(软件)引擎或代码)可以用任何形式的编程语言来编写,包括编译或解释语言、声明性或过程式语言,并且它可以采用任何形式来部署,包括作为独立程序或作为模块、部件、子例程、对象或适合于在计算环境中使用的其他单元。例如,计算机程序可包括有形介质上的计算机可读指令、固件、有线或编程硬件,或其任何组合,其在被执行时能操作成执行至少本文描述的过程和操作。计算机程序可但不必对应于文件系统中的文件。程序可以存储在文件的一部分中,该文件将其他程序或数据(例如,存储在标记语言文档中的一个或多个脚本)保持在专用于谈论中的程序的单个文件中,或在多个协调文件(例如,存储一个或多个模块、子程序或代码的部分的文件)中。计算机程序可以部署以在一个计算机或多个计算机(其定位在一个站点或跨多个站点分布并且由通信网络互连)上执行。
根据情况,程序可以实现为个体模块,其通过各种对象、方法或其他过程来实现各种特征和功能性,或相反可包括许多子模块、第三方服务、部件、库等等。相反,各种部件的特征和功能性可以根据情况组合到单个部件内。在某些情况下,程序和软件系统可实现为复合托管应用。例如,除其他外,复合应用的部分可实现为企业Java组件(EJB)或设计时部件可具有生成到例如J2EE(Java 2平台,企业版本)、ABAP(高级业务应用编程)对象或Microsoft的.NET等不同平台内的运行时实现的能力。另外,应用可代表经由网络(例如,通过互联网)而访问和执行的基于web的应用。此外,与特定托管应用或服务关联的一个或多个过程可被远程存储、引用或执行。例如,特定托管应用或服务的一部分可以是与被远程调用的应用关联的web服务,而托管应用的另一部分可以是用于在远程客户端处的处理而绑定的接口对象或代理。此外,托管应用和软件服务中的任何或全部可以是另一个软件模块或企业应用(未图示)的子代模块或子模块而不偏离该公开的范围。再进一步地,托管应用的部分可以由在托管应用的服务器处直接工作以及在客户端处远程工作的用户执行。
在该说明书中描述的过程和逻辑流可以由一个或多个可编程处理器执行,该一个或多个可编程处理器执行一个或多个计算机程序以通过对输入数据操作并且生成输出而执行动作。过程和逻辑流还可以由专用逻辑电路(例如,FPGA(现场可编程门阵列)或ASIC(专用集成电路))执行,并且设备也可以实现为专用逻辑电路(例如,FPGA(现场可编程门阵列)或ASIC(专用集成电路))。
适合于执行计算机程序的处理器通过示例的方式包括通用和专用微处理器两者,和任何种类的数字计算机的任何一个或多个处理器。大体上,处理器将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的基本元件是用于根据指令执行动作的处理器以及用于存储指令和数据的一个或多个存储器装置。大体上,计算机还将包括用于存储数据的一个或多个大容量存储装置(例如磁、磁光盘或光盘),或操作地耦合成从该用于存储数据的一个或多个大容量存储装置接收数据或传输数据到它或两者皆可。然而,计算机不必具有这样的装置。此外,计算机可以嵌入另一个装置中,仅举几个,例如移动电话、个人数字助理(PDA)、台式计算机、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器或便携式存储装置(例如,通用串行总线(USB)闪速驱动器)。适合于存储计算机程序指令和数据的装置包括所有形式的非易失性存储器、介质和存储器装置,其通过示例的方式包括半导体存储器装置(例如EPROM、EEPROM)和闪速存储器装置;磁装置,例如内部硬盘或可移动盘;磁光盘以及CD ROM和DVD-ROM盘。处理器和存储器可以由专用逻辑电路补充或包含在它中。
为了提供与用户的交互,在该说明书中描述的主旨的实施例可以在计算机上实现,该计算机具有用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或LCD(液晶显示器)监视器)和键盘和指向装置,例如鼠标或轨迹球,用户可以通过该键盘和指向装置向计算机提供输入。其他种类的装置也可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的感知反馈,例如视觉反馈、听觉反馈或触觉反馈;并且来自用户的输入可以以任何形式接收,包括声音、言语或触觉输入。另外,计算机可以通过向用户使用的装置(包括远程装置)发送文档并且从该装置接收文档而与用户交互。
在该说明书中描述的主旨的实施例可以在计算系统中实现,该计算系统包括后端部件,例如作为数据服务器,或包括中间件部件,例如应用服务器,或包括前端部件,例如具有图形用户界面或Web浏览器(用户可以通过该Web浏览器而与在该说明书中描述的主旨的实现交互)的客户端计算机,或一个或多个这样的后端、中间件或前端部件的任何组合。系统的部件可以通过数字数据通信的任何形式或介质(例如,通信网络)而互连。通信网络的示例包括任何内部或外部网络、多个网络、子网络或其组合,其能操作成促进系统中的各种计算部件之间的通信。网络可传递例如互联网协议(IP)包、帧中继帧、异步传送模式(ATM)单元、语音、视频、数据和网络地址之间的其他适合的信息。网络还可包括一个或多个局域网(LAN)、无线电接入网络(RAN)、城域网(MAN)、广域网(WAN)、互联网的全部或一部分、对等网络(例如,自组对等网络)和/或在一个或多个位点的任何其他通信系统或多个系统。
计算系统可以包括客户端和服务器。客户端和服务器大体上远离彼此并且典型地通过通信网络交互。客户端与服务器的关系凭借在相应计算机上运行并且彼此具有客户端-服务器关系的计算机程序而出现。在一些实施例中,服务器将数据(例如,HTML页面)传送到客户端装置(例如,用于对与客户端装置交互的用户显示数据并且从其接收用户输入的目的)。在客户端装置生成(例如,由于用户交互)的数据可以从服务器处的客户端装置接收。
尽管该说明书包含许多特定实现细节,这些不应解释为对任何发明的范围或可要求保护的范围的限制,而相反作为特定发明的特定实施例所特有的特征的描述。在该说明书中在独立实施例的上下文中描述的某些特征还可以在单个实施例中组合实现。相反,在单个实施例的上下文中描述的各种特征还可以独立或以任何适合的子组合地在多个实施例中实现。此外,尽管特征可在上文描述为在某些实施例中起作用并且甚至最初如此要求保护,来自要求保护的组合的一个或多个特征在一些情况下可以从该组合撤离,并且要求保护的组合可针对子组合或子组合的变化。
相似地,尽管在图中按特定顺序描述操作,这不应理解为需要按示出的特定顺序或按相继顺序执行这样的操作,或执行所有图示的操作来实现可取的结果。在某些境况下,多任务和并行处理可以是有利的。此外,上文描述的实施例中的各种系统部件的分离不应理解为在所有实施例中需要这样的操作,并且应理解描述的程序部件和系统大体上可以在单个软件产品中集成在一起或封装到多个软件产品内。
从而,已经描述主旨的特定实施例。其他实施例在下列权利要求的范围内。在一些情况下,在权利要求中列举的动作可以按不同顺序执行并且仍实现可取的结果。另外,在附图中描绘的过程不一定需要示出的特定顺序,或相继顺序,来实现可取的结果。
Claims (21)
1. 一种方法,其包括:
使用至少一个处理器装置来识别特定计算装置的特定属性集;
在全局白名单中识别第一多个白名单对象,其对应于所述特定属性集;以及
生成特定白名单,其包括识别的白名单对象集,所述特定白名单是对所述特定计算装置所定制的。
2. 如权利要求1所述的方法,其中所述第一多个白名单项是包括在所述全局白名单中的白名单对象的子集,并且所述子集少于包括在所述全局白名单中的白名单对象中的全部。
3. 如权利要求1所述的方法,其中所述特定属性集对应于识别为潜在地被所述特定计算装置使用的软件程序集。
4. 如权利要求3所述的方法,其中识别所述第一多个白名单对象包括将所述全局白名单中的白名单对象的子集识别为能被所述软件程序集中的程序使用。
5. 如权利要求3所述的方法,其中所述软件程序集包括操作系统、应用、软件代理、驱动器、库或插件中的至少一个。
6. 如权利要求3所述的方法,其中所述软件程序集安装在所述特定计算装置上。
7. 如权利要求1所述的方法,其进一步包括:
识别第二计算装置的第二属性集,所述第二属性集与所述特定属性集不同;
在全局白名单中识别第二多个白名单对象,其对应于所述第二属性集,所述第二多个白名单对象与所述第一多个白名单对象不同;以及
生成第二白名单,其包括所述第二多个白名单对象。
8. 如权利要求1所述的方法,其中所述特定白名单用于执行涉及所述特定计算装置的至少一个计算机安全任务。
9. 如权利要求8所述的方法,其进一步包括向配置成执行所述安全任务的特定客户端提供所述特定白名单。
10. 如权利要求9所述的方法,其中所述特定客户端包括所述特定计算装置。
11. 如权利要求10所述的方法,其中所述特定计算装置包括移动通信装置。
12. 如权利要求1所述的方法,其进一步包括:
识别对所述全局白名单的更新;
对应于对所述全局白名单的更新,识别对所述特定白名单的至少一个更新;以及
促使对应于所述至少一个更新而生成所述特定白名单的更新版本。
13. 如权利要求12所述的方法,其进一步包括将所述特定白名单的更新版本的至少一部分发送到以对所述特定计算装置执行计算机安全任务为任务的计算装置。
14. 如权利要求12所述的方法,其中对所述全局白名单的更新包括至少一个新的白名单对象的添加,所述方法进一步包括映射所述至少一个新的白名单对象与所述至少一个装置属性之间的关联性。
15. 如权利要求1所述的方法,其进一步包括:
识别所述特定计算装置上的更新;
确定对应于所述特定计算装置上所识别的改变的对所述特定白名单的至少一个更新;以及
促使对应于所述至少一个更新而生成所述特定白名单的更新版本。
16. 如权利要求15所述的方法,其中所述改变是预测的改变并且对所述特定白名单的至少一个更新在所述特定计算装置上实现改变之前被确定。
17. 如权利要求16所述的方法,其中在所述特定计算装置上实现改变之前,所述特定白名单的更新版本的至少一部分发送到计算装置,其以在所述特定计算装置上执行计算机安全任务为任务。
18. 如权利要求1所述的方法,其中所述特定属性集包括对应于所述特定计算装置的用户的至少一个用户属性。
19. 如权利要求18所述的方法,其中识别所述第一多个白名单对象包括基于所述用户属性预测所述特定计算装置将访问所述第一多个白名单对象的至少子集。
20. 一种在非暂时性介质中编码的逻辑,其包括用于执行的代码,其在由处理器执行时能操作成执行操作,所述操作包括:
识别特定计算装置的特定属性集;
在全局白名单中识别第一多个白名单对象,其对应于所述特定属性集;以及
生成特定白名单,其包括识别的白名单对象集,所述特定白名单是对所述特定计算装置所定制的。
21. 一种系统,其包括:
至少一个处理器装置;
至少一个存储器元件;以及
定制的白名单管理器,其在被所述至少一个处理器装置执行时适于:
识别特定计算装置的特定属性集;
在全局白名单中识别第一多个白名单对象,其对应于所述特定属性集;以及
生成特定白名单,其包括识别的白名单对象集,所述特定白名单是对所述特定计算装置所定制的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710718431.5A CN107633171A (zh) | 2011-09-16 | 2012-09-14 | 装置定制白名单 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/234,985 US9262624B2 (en) | 2011-09-16 | 2011-09-16 | Device-tailored whitelists |
| US13/234,985 | 2011-09-16 | ||
| US13/234985 | 2011-09-16 | ||
| PCT/US2012/055582 WO2013040460A1 (en) | 2011-09-16 | 2012-09-14 | Device-tailored whitelists |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710718431.5A Division CN107633171A (zh) | 2011-09-16 | 2012-09-14 | 装置定制白名单 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103843004A true CN103843004A (zh) | 2014-06-04 |
| CN103843004B CN103843004B (zh) | 2017-09-15 |
Family
ID=47881954
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710718431.5A Pending CN107633171A (zh) | 2011-09-16 | 2012-09-14 | 装置定制白名单 |
| CN201280048131.6A Active CN103843004B (zh) | 2011-09-16 | 2012-09-14 | 装置定制白名单 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710718431.5A Pending CN107633171A (zh) | 2011-09-16 | 2012-09-14 | 装置定制白名单 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9262624B2 (zh) |
| EP (1) | EP2756437B1 (zh) |
| CN (2) | CN107633171A (zh) |
| WO (1) | WO2013040460A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105205389A (zh) * | 2015-09-10 | 2015-12-30 | 浪潮电子信息产业股份有限公司 | 一种白名单的创建方法及装置 |
| CN105989261A (zh) * | 2015-03-18 | 2016-10-05 | 国际商业机器公司 | 用于保护电子设备的方法和计算机系统 |
| US10049199B2 (en) | 2015-03-18 | 2018-08-14 | International Business Machines Corporation | Securing a device using graphical analysis |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9262624B2 (en) | 2011-09-16 | 2016-02-16 | Mcafee, Inc. | Device-tailored whitelists |
| KR101907529B1 (ko) * | 2012-09-25 | 2018-12-07 | 삼성전자 주식회사 | 사용자 디바이스에서 어플리케이션 관리 방법 및 장치 |
| US20140137190A1 (en) * | 2012-11-09 | 2014-05-15 | Rapid7, Inc. | Methods and systems for passively detecting security levels in client devices |
| US8954455B2 (en) * | 2012-12-28 | 2015-02-10 | Facebook, Inc. | Saved queries in a social networking system |
| US9501649B2 (en) * | 2013-03-15 | 2016-11-22 | Symantec Corporation | Systems and methods for determining potential impacts of applications on the security of computing systems |
| US9043922B1 (en) | 2013-04-19 | 2015-05-26 | Symantec Corporation | Systems and methods for determining malicious-attack exposure levels based on field-data analysis |
| US9832209B1 (en) * | 2013-06-10 | 2017-11-28 | Symantec Corporation | Systems and methods for managing network security |
| US9705919B1 (en) | 2013-07-12 | 2017-07-11 | Palo Alto Networks, Inc. | Security policy enforcement for mobile devices based on device state |
| US9894099B1 (en) | 2013-07-12 | 2018-02-13 | Palo Alto Networks, Inc. | Automatically configuring mobile devices and applying policy based on device state |
| US9117077B2 (en) | 2013-09-27 | 2015-08-25 | Bitdefender IPR Management Ltd. | Systems and methods for using a reputation indicator to facilitate malware scanning |
| US10409382B2 (en) | 2014-04-03 | 2019-09-10 | Honda Motor Co., Ltd. | Smart tutorial for gesture control system |
| US10466657B2 (en) * | 2014-04-03 | 2019-11-05 | Honda Motor Co., Ltd. | Systems and methods for global adaptation of an implicit gesture control system |
| US9760712B2 (en) * | 2014-05-23 | 2017-09-12 | Vmware, Inc. | Application whitelisting using user identification |
| US10382454B2 (en) | 2014-09-26 | 2019-08-13 | Mcafee, Llc | Data mining algorithms adopted for trusted execution environment |
| US9860208B1 (en) | 2014-09-30 | 2018-01-02 | Palo Alto Networks, Inc. | Bridging a virtual clone of a target device in a honey network to a suspicious device in an enterprise network |
| US9882929B1 (en) | 2014-09-30 | 2018-01-30 | Palo Alto Networks, Inc. | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network |
| US9495188B1 (en) | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
| US9660994B2 (en) * | 2014-09-30 | 2017-05-23 | Schneider Electric USA, Inc. | SCADA intrusion detection systems |
| US10044675B1 (en) | 2014-09-30 | 2018-08-07 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter IP and peer-checking evasion techniques |
| US10680893B2 (en) * | 2015-10-27 | 2020-06-09 | Alaxala Networks Corporation | Communication device, system, and method |
| US10366224B2 (en) * | 2016-06-22 | 2019-07-30 | Dell Products, Lp | System and method for securing secure memory allocations in an information handling system |
| EP3460701A4 (en) * | 2016-06-23 | 2019-05-22 | Mitsubishi Electric Corporation | IMPACT DETECTOR AND IMPACT DETECTION PROGRAM |
| WO2018053511A1 (en) | 2016-09-19 | 2018-03-22 | Ntt Innovation Institute, Inc. | Threat scoring system and method |
| US10237293B2 (en) | 2016-10-27 | 2019-03-19 | Bitdefender IPR Management Ltd. | Dynamic reputation indicator for optimizing computer security operations |
| US11757857B2 (en) | 2017-01-23 | 2023-09-12 | Ntt Research, Inc. | Digital credential issuing system and method |
| US11625469B2 (en) * | 2017-05-19 | 2023-04-11 | Microsoft Technology Licensing, Llc | Prevention of organizational data leakage across platforms based on device status |
| US11487868B2 (en) * | 2017-08-01 | 2022-11-01 | Pc Matic, Inc. | System, method, and apparatus for computer security |
| US10742669B2 (en) * | 2017-08-09 | 2020-08-11 | NTT Security Corporation | Malware host netflow analysis system and method |
| US11372893B2 (en) | 2018-06-01 | 2022-06-28 | Ntt Security Holdings Corporation | Ensemble-based data curation pipeline for efficient label propagation |
| US11163948B2 (en) | 2018-07-10 | 2021-11-02 | Beijing Didi Infinity Technology And Development Co., Ltd. | File fingerprint generation |
| US10642977B1 (en) * | 2018-12-17 | 2020-05-05 | Didi Research America, Llc | Benign file list generation |
| US11252185B2 (en) | 2019-03-28 | 2022-02-15 | NTT Security Corporation | Graph stream mining pipeline for efficient subgraph detection |
| US11368430B2 (en) * | 2019-03-29 | 2022-06-21 | Verizon Patent And Licensing Inc. | Domain name server based validation of network connections |
| CN110543756B (zh) * | 2019-09-05 | 2021-05-11 | 同盾控股有限公司 | 设备识别方法、装置、存储介质及电子设备 |
| US11271907B2 (en) | 2019-12-19 | 2022-03-08 | Palo Alto Networks, Inc. | Smart proxy for a large scale high-interaction honeypot farm |
| US11265346B2 (en) | 2019-12-19 | 2022-03-01 | Palo Alto Networks, Inc. | Large scale high-interactive honeypot farm |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101968836A (zh) * | 2009-10-01 | 2011-02-09 | 卡巴斯基实验室封闭式股份公司 | 用于检测及预测与计算机病毒相关的蔓延的系统和方法 |
| CN102067678A (zh) * | 2008-03-26 | 2011-05-18 | 高通股份有限公司 | 无线通信中由设备管理的接入点列表 |
| US20110167261A1 (en) * | 2004-12-03 | 2011-07-07 | Fortinet, Inc. | Selective authorization of the loading of dependent code modules by running processes |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US8141144B2 (en) * | 2001-05-10 | 2012-03-20 | Hewlett-Packard Development Company, L.P. | Security policy management for network devices |
| US7243373B2 (en) | 2001-07-25 | 2007-07-10 | Mcafee, Inc. | On-access malware scanning |
| US6836860B2 (en) | 2001-09-04 | 2004-12-28 | Networks Associates Technology, Inc. | Data scanning for updatable predefined properties |
| US7266844B2 (en) | 2001-09-27 | 2007-09-04 | Mcafee, Inc. | Heuristic detection of polymorphic computer viruses based on redundancy in viral code |
| US6663000B1 (en) | 2002-08-01 | 2003-12-16 | Networks Associates Technology, Inc. | Validating components of a malware scanner |
| US8171551B2 (en) | 2003-04-01 | 2012-05-01 | Mcafee, Inc. | Malware detection using external call characteristics |
| US7653698B2 (en) * | 2003-05-29 | 2010-01-26 | Sonicwall, Inc. | Identifying e-mail messages from allowed senders |
| US8627458B2 (en) | 2004-01-13 | 2014-01-07 | Mcafee, Inc. | Detecting malicious computer program activity using external program calls with dynamic rule sets |
| US20060036690A1 (en) * | 2004-07-12 | 2006-02-16 | O'neil Patrick J | Network protection system |
| US7739100B1 (en) | 2005-10-18 | 2010-06-15 | Mcafee, Inc. | Emulation system, method and computer program product for malware detection by back-stepping in program code |
| US8321473B2 (en) * | 2009-08-31 | 2012-11-27 | Accenture Global Services Limited | Object customization and management system |
| US8306988B1 (en) * | 2009-10-26 | 2012-11-06 | Mcafee, Inc. | System, method, and computer program product for segmenting a database based, at least in part, on a prevalence associated with known objects included in the database |
| KR101067650B1 (ko) | 2009-11-09 | 2011-09-29 | 한국과학기술원 | 화이트리스트 구축 시스템 |
| CN101924761B (zh) * | 2010-08-18 | 2013-11-06 | 北京奇虎科技有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| US8667169B2 (en) * | 2010-12-17 | 2014-03-04 | Cisco Technology, Inc. | System and method for providing argument maps based on activity in a network environment |
| US9119017B2 (en) * | 2011-03-18 | 2015-08-25 | Zscaler, Inc. | Cloud based mobile device security and policy enforcement |
| US8886797B2 (en) * | 2011-07-14 | 2014-11-11 | Cisco Technology, Inc. | System and method for deriving user expertise based on data propagating in a network environment |
| US9262624B2 (en) | 2011-09-16 | 2016-02-16 | Mcafee, Inc. | Device-tailored whitelists |
-
2011
- 2011-09-16 US US13/234,985 patent/US9262624B2/en active Active
-
2012
- 2012-09-14 CN CN201710718431.5A patent/CN107633171A/zh active Pending
- 2012-09-14 CN CN201280048131.6A patent/CN103843004B/zh active Active
- 2012-09-14 WO PCT/US2012/055582 patent/WO2013040460A1/en active Application Filing
- 2012-09-14 EP EP12831025.7A patent/EP2756437B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110167261A1 (en) * | 2004-12-03 | 2011-07-07 | Fortinet, Inc. | Selective authorization of the loading of dependent code modules by running processes |
| CN102067678A (zh) * | 2008-03-26 | 2011-05-18 | 高通股份有限公司 | 无线通信中由设备管理的接入点列表 |
| CN101968836A (zh) * | 2009-10-01 | 2011-02-09 | 卡巴斯基实验室封闭式股份公司 | 用于检测及预测与计算机病毒相关的蔓延的系统和方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105989261A (zh) * | 2015-03-18 | 2016-10-05 | 国际商业机器公司 | 用于保护电子设备的方法和计算机系统 |
| US10049199B2 (en) | 2015-03-18 | 2018-08-14 | International Business Machines Corporation | Securing a device using graphical analysis |
| US10049198B2 (en) | 2015-03-18 | 2018-08-14 | International Business Machines Corporation | Securing a device using graphical analysis |
| CN105989261B (zh) * | 2015-03-18 | 2019-03-19 | 国际商业机器公司 | 用于保护电子设备的方法和计算机系统 |
| CN105205389A (zh) * | 2015-09-10 | 2015-12-30 | 浪潮电子信息产业股份有限公司 | 一种白名单的创建方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2756437A1 (en) | 2014-07-23 |
| CN103843004B (zh) | 2017-09-15 |
| WO2013040460A1 (en) | 2013-03-21 |
| US9262624B2 (en) | 2016-02-16 |
| US20130074186A1 (en) | 2013-03-21 |
| CN107633171A (zh) | 2018-01-26 |
| EP2756437B1 (en) | 2016-12-21 |
| EP2756437A4 (en) | 2015-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103843004B (zh) | 装置定制白名单 | |
| CN111382421B (zh) | 一种业务访问控制方法、系统及电子设备和存储介质 | |
| CN105940654B (zh) | 特权静态被托管的web应用 | |
| CN106406961B (zh) | 一种基于浏览器加载、提供应用程序的方法、装置 | |
| CN102741824B (zh) | 用于行为沙箱化的系统和方法 | |
| CN101512512B (zh) | 利用软件名声的软件授权 | |
| EP3345114B1 (en) | Disabling malicious browser extensions | |
| US20130247133A1 (en) | Security assessment of virtual machine environments | |
| CN103443781A (zh) | 数据递送 | |
| WO2018027244A2 (en) | Systems, devices and methods for application and privacy compliance monitoring and security threat analysis processing | |
| CN105531692A (zh) | 针对由在虚拟机里面运行的移动应用加载、链接和执行本地代码的安全策略 | |
| CN111683047B (zh) | 越权漏洞检测方法、装置、计算机设备及介质 | |
| CN111031111B (zh) | 一种页面静态资源访问方法、装置及系统 | |
| US9535666B2 (en) | Dynamic agent delivery | |
| CN110708335A (zh) | 访问认证方法、装置及终端设备 | |
| CN104798080A (zh) | 反恶意软件签名的动态选择和加载 | |
| US20180062860A1 (en) | Remote hardware device conversion | |
| CN111459609B (zh) | 虚拟机安全防护方法、装置及电子设备 | |
| Wang et al. | Lprov: Practical library-aware provenance tracing | |
| US9354849B2 (en) | Modification of compiled applications and application management using retrievable policies | |
| US7591021B2 (en) | Object model document for obfuscating object model therein | |
| CN111614628B (zh) | 内核加固系统及其方法、云服务端、客户端、电子设备和存储介质 | |
| CN103561076A (zh) | 一种基于云的网页挂马实时防护方法及系统 | |
| CN112836209A (zh) | 应用安装包处理方法、装置、电子设备、系统和存储介质 | |
| CN106209746B (zh) | 一种安全业务提供方法及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: McAfee limited liability company Address before: American California Patentee before: Mai Kefei company |