CN105183504A - 基于软件服务器的进程白名单更新方法 - Google Patents
基于软件服务器的进程白名单更新方法 Download PDFInfo
- Publication number
- CN105183504A CN105183504A CN201510494251.4A CN201510494251A CN105183504A CN 105183504 A CN105183504 A CN 105183504A CN 201510494251 A CN201510494251 A CN 201510494251A CN 105183504 A CN105183504 A CN 105183504A
- Authority
- CN
- China
- Prior art keywords
- software
- server
- white list
- software server
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明公开了基于软件服务器的进程白名单更新方法,本发明的基于软件服务器的进程白名单更新方案在企业部署环境中只需要更新软件服务器计算机上的进程白名单列表便能使全网相同操作系统的电脑都能共享这一更新的白名单,从而不需再对每台计算机进行重复操作:通过软件服务器来更新进程白名单;通过软件服务器来积累行业软件白名单库;本发明的优点是:1、只需在软件服务器端执行一次跟踪软件安装操作便能解决全网针对该软件的进程文件白名单更新问题;2、有益于积累全网软件的白名单库。
Description
技术领域
本发明涉及基于软件服务器的进程白名单更新方法,属于计算机安全防护技术领域。
背景技术
目前,传统的针对终端计算机的安全防护普遍采用的安全防护手段是通过安装杀毒软件来阻止机器上的恶意软件运行和传播。但是杀毒软件是一种基于黑名单的查杀方式,黑名单是指“坏的”、“不被允许的”,即只有在恶意软件被加入黑名单时才会被阻止运行,黑名单之外的软件和行为被认为都是正常、可信的。防病毒软件主要基于一个持续积累的病毒库对恶意代码进行识别,其本质上存在两个严重缺陷:一方面,对新病毒的防御总是被动滞后的;另一方面,对于高级别的零日攻击无能为力。
针对黑名单安全防护技术的弱点,网络安全公司将应用程序白名单管理技术引入到网络安全防护。“白名单”是指规则中设置的允许使用的名单列表,其意义是“好的”、“被允许的”,“应用程序进程白名单”是一组应用程序名单列表,只有在此列表中的应用程序是被允许在系统中运行,之外的任何程序都不被允许运行。白名单技术主要是对程序文件的完整性进行验证,通常采用文件的哈希值作为比对标准。
进程白名单管理系统通常都是包含管理端与受控端两部分。由于这种基于进程白名单的主机防护模式完全采用文件哈希值对比的方式来对文件进行合法性校验,当白名单内的程序更新时或者新增应用程序时都会执行失败,因此白名单进程的更新是限制该技术发展的重大瓶颈。
现有的传统的白名单更新方法通常是基于单主机模式的,例如专利公开号为CN201010108793-的专利基于可信进程树的白名单更新方法提出一种基于可信进程树的白名单更新方法,当新的程序安装或原有程序更新时,通过可信进程树安全机制,实现对白名单的更新,该白名单更新方法,包含执行程序的启动,以及可执行程序对文件资源的访问操作的文件系统监控模块;用于根据进程间及进程对可执行程序的调用关系,构建合法可执行程序所形成的可信进程树的构建模块;将程序的判定结果通知调用接口的系统白名单安全控制机制的可信报告模块;提取可信进程树中的各个节点对应可执行程序的特征值,并将这些特征值更新至白名单的更新模块;通过对进程间创建及调用关系的分析,准确的定位非白名单程序中的新安装合法程序和系统中的非法程序,收集新安装程序的特征值。
但是,以上现有技术的缺点和缺陷是:只能针对单一计算机进行白名单更新操作,假若局域网中的多台电脑需要对同一软件进行更新或需要安装同一软件,则需要对每台电脑各执行一次跟踪更新操作,费时费力,成本较高。而且这种复杂的操作往往是终端用户所不能接受的。
发明内容
本发明的目的在于提供一种能够克服上述技术问题的基于软件服务器的进程白名单更新方法,本发明的基于软件服务器的进程白名单更新方案在企业部署环境中只需要更新软件服务器计算机上的进程白名单列表便能使全网相同操作系统的电脑都能共享这一更新的白名单,从而不需再对每台计算机进行重复操作。
本发明的基于软件服务器的进程白名单更新方法的特征是:通过软件服务器来更新进程白名单;通过软件服务器来积累行业软件白名单库。
本发明的网络拓扑结构包括受控端、软件服务器端、服务器端、管理平台。所述受控端部署基于进程白名单的主机防护软件;所述软件服务器端部署内核级文件系统监控模块,由于相同软件在不同版本的操作系统上所安装的文件也不一样,因此,为了使受控端更新的白名单列表准确无误就需要部署多台软件服务器,软件服务器的数量根据局域网内的操作系统版本数量来确定,即每个版本的操作系统对应一台软件服务器。软件服务器同时安装相关模块用于处理来自受控端的下载请求;服务器端作为整个系统的数据存储中心以及策略下发中心,所述服务器端同时还为软件服务器提供软件管理界面服务;所述管理平台为管理员提供集中管理界面。
本发明的基于软件服务器的进程白名单更新方法包括以下步骤:
(1)在软件服务器上安装受控端需要安装的程序或需要更新的程序,软件服务器上的文件系统监控模块会跟踪到新的程序所释放的进程文件,并针对每个文件计算其哈希值,最终将程序名称、版本号、程序安装的各个文件及其哈希值保存至数据库中;
(2)软件服务器将新增的程序信息发送到服务器端进行注册,该过程中服务器端会记录新增程序的名称、版本号、以及对应的软件服务器标识信息;
(3)受控端打开软件服务器管理界面,选择需要新增的程序进行下载,下载过程中除了下载软件程序本身之外,还会同时将步骤(1)中所生成的文件哈希值列表一并下载到本地计算机中;
(4)受控端将步骤(3)中下载的哈希值列表追加更新到自身的白名单数据库中;
(5)受控端启动安装程序进行安装,由于安装程序本身以及安装程序所释放所有文件均已经被添加到受控端的白名单内,因此软件能够顺利安装,且能够顺利执行。
上述步骤(1)中跟踪软件安装的所有文件的方法为基于可信进程树的白名单更新方法。上述步骤(2)中将新增的程序信息发送到服务器端进行注册操作,所述步骤(2)采用TCP协议socket将数据发送至服务器中;所述的TCP协议也能够被HTTP协议替代。
上述步骤(3)中所述受控端打开软件服务器管理界面是指受控端通过浏览器访问位于服务器端的httpserver。上述步骤(3)下载过程中除了下载软件程序本身之外还会同时将步骤(1)中所生成的文件哈希值列表一并下载,即受控端首先从服务器端获取到软件程序所在软件服务器的IP地址,然后连接此IP地址并发送软件下载请求,软件服务器会响应此请求,软件服务器根据受控端请求的软件信息将软件的所有数据发送给受控端,软件的所有数据包括:软件安装包、软件安装过程中所释放所有安装文件名称列表以及所有安装文件的哈希值列表。
本发明的优点是:
1、只需在软件服务器端执行一次跟踪软件安装操作便能解决全网针对该软件的进程文件白名单更新问题。
2、有益于积累全网软件的白名单库。
附图说明
图1是本发明所述基于软件服务器的进程白名单更新方法的网络拓扑图;
图2是本发明所述基于软件服务器的进程白名单更新方法的流程图。
具体实施方式
下面结合附图对本发明的实施方式进行详细描述。如图1所示,本发明的网络拓扑结构包括受控端、软件服务器端、服务器端、管理平台。
所述受控端部署基于进程白名单的主机防护软件;所述软件服务器端部署内核级文件系统监控模块,由于相同软件在不同版本的操作系统上所安装的文件也不一样,因此,为了使受控端更新的白名单列表准确无误就需要部署多台软件服务器,软件服务器的数量根据局域网内的操作系统版本数量来确定,即每个版本的操作系统对应一台软件服务器。软件服务器同时安装相关模块用于处理来自受控端的下载请求;服务器端作为整个系统的数据存储中心以及策略下发中心,所述服务器端同时还为软件服务器提供软件管理界面服务;所述管理平台为管理员提供集中管理界面。
如图2所示,本发明的基于软件服务器的进程白名单更新方法包括以下步骤:
(1)在软件服务器上安装受控端需要安装的程序或需要更新的程序,软件服务器上的文件系统监控模块会跟踪到新的程序所释放的进程文件,并针对每个文件计算其哈希值,最终将程序名称、版本号、程序安装的各个文件及其哈希值保存至数据库中;
(2)软件服务器将新增的程序信息发送到服务器端进行注册,该过程中服务器端会记录新增程序的名称、版本号、以及对应的软件服务器标识信息;
(3)受控端打开软件服务器管理界面,选择需要新增的程序进行下载,下载过程中除了下载软件程序本身之外,还会同时将步骤(1)中所生成的文件哈希值列表一并下载到本地计算机中;
(4)受控端将步骤(3)中下载的哈希值列表追加更新到自身的白名单数据库中;
(5)受控端启动安装程序进行安装,由于安装程序本身以及安装程序所释放所有文件均已经被添加到受控端的白名单内,因此软件能够顺利安装,且能够顺利执行。
上述步骤(1)中跟踪软件安装的所有文件的方法为基于可信进程树的白名单更新方法。上述步骤(2)中将新增的程序信息发送到服务器端进行注册操作,所述步骤(2)采用TCP协议socket将数据发送至服务器中;所述的TCP协议也能够被HTTP协议替代。
上述步骤(3)中所述受控端打开软件服务器管理界面是指受控端通过浏览器访问位于服务器端的httpserver。上述步骤(3)下载过程中除了下载软件程序本身之外还会同时将步骤(1)中所生成的文件哈希值列表一并下载,即受控端首先从服务器端获取到软件程序所在软件服务器的IP地址,然后连接此IP地址并发送软件下载请求,软件服务器会响应此请求,软件服务器根据受控端请求的软件信息将软件的所有数据发送给受控端,软件的所有数据包括:软件安装包、软件安装过程中所释放所有安装文件名称列表以及所有安装文件的哈希值列表。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的范围内,能够轻易想到的变化或替换,都应涵盖在本发明权利要求的保护范围内。
Claims (7)
1.基于软件服务器的进程白名单更新方法,其特征在于,在企业部署环境中只需要更新软件服务器计算机上的进程白名单列表便能使全网相同操作系统的电脑都能共享这一更新的白名单,从而不需再对每台计算机进行重复操作;通过软件服务器来更新进程白名单;通过软件服务器来积累行业软件白名单库。
2.根据权利要求1所述的基于软件服务器的进程白名单更新方法,其特征在于,包括以下步骤:
(1)在软件服务器上安装受控端需要安装的程序或需要更新的程序,软件服务器上的文件系统监控模块会跟踪到新的程序所释放的进程文件,并针对每个文件计算其哈希值,最终将程序名称、版本号、程序安装的各个文件及其哈希值保存至数据库中;
(2)软件服务器将新增的程序信息发送到服务器端进行注册,该过程中服务器端会记录新增程序的名称、版本号、以及对应的软件服务器标识信息;
(3)受控端打开软件服务器管理界面,选择需要新增的程序进行下载,下载过程中除了下载软件程序本身之外,还会同时将步骤(1)中所生成的文件哈希值列表一并下载到本地计算机中;
(4)受控端将步骤(3)中下载的哈希值列表追加更新到自身的白名单数据库中;
(5)受控端启动安装程序进行安装,由于安装程序本身以及安装程序所释放所有文件均已经被添加到受控端的白名单内,因此软件能够顺利安装,且能够顺利执行。
3.根据权利要求2所述的基于软件服务器的进程白名单更新方法,其特征在于,
所述步骤(1)中跟踪软件安装的所有文件的方法为基于可信进程树的白名单更新方法。
4.根据权利要求2所述的基于软件服务器的进程白名单更新方法,其特征在于,所述步骤(2)中将新增的程序信息发送到服务器端进行注册操作,所述步骤(2)采用TCP协议socket将数据发送至服务器中;所述的TCP协议也能够被HTTP协议替代。
5.根据权利要求2所述的基于软件服务器的进程白名单更新方法,其特征在于,所述步骤(3)中所述受控端打开软件服务器管理界面是指受控端通过浏览器访问位于服务器端的httpserver。
6.根据权利要求2所述的基于软件服务器的进程白名单更新方法,其特征在于,所述步骤(3)下载过程中除了下载软件程序本身之外还会同时将所述步骤(1)中所生成的文件哈希值列表一并下载,即受控端首先从服务器端获取到软件程序所在软件服务器的IP地址,然后连接此IP地址并发送软件下载请求,软件服务器会响应此请求,软件服务器根据受控端请求的软件信息将软件的所有数据发送给受控端。
7.根据权利要求6所述的基于软件服务器的进程白名单更新方法,其特征在于,所述软件的所有数据包括:软件安装包、软件安装过程中所释放所有安装文件名称列表以及所有安装文件的哈希值列表。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510494251.4A CN105183504B (zh) | 2015-08-12 | 2015-08-12 | 基于软件服务器的进程白名单更新方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510494251.4A CN105183504B (zh) | 2015-08-12 | 2015-08-12 | 基于软件服务器的进程白名单更新方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105183504A true CN105183504A (zh) | 2015-12-23 |
CN105183504B CN105183504B (zh) | 2018-10-23 |
Family
ID=54905602
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510494251.4A Expired - Fee Related CN105183504B (zh) | 2015-08-12 | 2015-08-12 | 基于软件服务器的进程白名单更新方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105183504B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106295323A (zh) * | 2016-07-27 | 2017-01-04 | 苏盛 | 基于云安全的高级计量体系恶意软件检测方法 |
CN109614793A (zh) * | 2018-12-21 | 2019-04-12 | 浙江中控技术股份有限公司 | 白名单文件的生成、加载方法及装置 |
CN109784035A (zh) * | 2018-12-28 | 2019-05-21 | 北京奇安信科技有限公司 | 一种安装进程的追踪处理方法及装置 |
CN110808951A (zh) * | 2019-09-25 | 2020-02-18 | 国网思极网安科技(北京)有限公司 | 基于设备画像的终端异常行为发现方法和装置 |
CN111177706A (zh) * | 2019-12-25 | 2020-05-19 | 北京珞安科技有限责任公司 | 一种基于信任软件库的进程白名单更新方法 |
CN112069137A (zh) * | 2020-09-02 | 2020-12-11 | 北京百度网讯科技有限公司 | 生成信息的方法、装置、电子设备及计算机可读存储介质 |
CN112363983A (zh) * | 2020-11-10 | 2021-02-12 | 北京思特奇信息技术股份有限公司 | 一种集群主机的文件核查方法和系统 |
CN112380170A (zh) * | 2020-11-25 | 2021-02-19 | 北京珞安科技有限责任公司 | 一种文件更新操作的关联方法、装置及计算机设备 |
CN112527624A (zh) * | 2019-09-18 | 2021-03-19 | 财团法人工业技术研究院 | 检测系统、检测方法及使用检测方法执行的更新验证方法 |
CN113434824A (zh) * | 2021-06-30 | 2021-09-24 | 平安科技(深圳)有限公司 | 一种软件服务授权管理方法、装置、设备及存储介质 |
CN114244631A (zh) * | 2022-02-23 | 2022-03-25 | 北京安帝科技有限公司 | 计算机网络安全防护方法及系统 |
CN114818012A (zh) * | 2022-06-29 | 2022-07-29 | 麒麟软件有限公司 | 基于白名单列表的Linux文件完整性度量方法 |
CN114896117A (zh) * | 2022-03-08 | 2022-08-12 | 安芯网盾(北京)科技有限公司 | 软件安装更新过程基于白名单的内存行为监控方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1467623A (zh) * | 2001-11-26 | 2004-01-14 | ���µ�����ҵ��ʽ���� | 应用程序认证系统 |
CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
CN102855430A (zh) * | 2012-08-23 | 2013-01-02 | 福建升腾资讯有限公司 | 基于Windows系统的进程黑白名单控制方法 |
US8527978B1 (en) * | 2008-03-31 | 2013-09-03 | Mcafee, Inc. | System, method, and computer program product for populating a list of known wanted data |
CN103646215A (zh) * | 2013-12-23 | 2014-03-19 | 北京奇虎科技有限公司 | 一种应用程序的安装控制方法、相关系统及装置 |
-
2015
- 2015-08-12 CN CN201510494251.4A patent/CN105183504B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1467623A (zh) * | 2001-11-26 | 2004-01-14 | ���µ�����ҵ��ʽ���� | 应用程序认证系统 |
US8527978B1 (en) * | 2008-03-31 | 2013-09-03 | Mcafee, Inc. | System, method, and computer program product for populating a list of known wanted data |
CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
CN102855430A (zh) * | 2012-08-23 | 2013-01-02 | 福建升腾资讯有限公司 | 基于Windows系统的进程黑白名单控制方法 |
CN103646215A (zh) * | 2013-12-23 | 2014-03-19 | 北京奇虎科技有限公司 | 一种应用程序的安装控制方法、相关系统及装置 |
Non-Patent Citations (1)
Title |
---|
汪锋,周大水: "白名单主动防御系统的设计与实现", 《计算机工程与设计》 * |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106295323A (zh) * | 2016-07-27 | 2017-01-04 | 苏盛 | 基于云安全的高级计量体系恶意软件检测方法 |
CN109614793A (zh) * | 2018-12-21 | 2019-04-12 | 浙江中控技术股份有限公司 | 白名单文件的生成、加载方法及装置 |
CN109784035A (zh) * | 2018-12-28 | 2019-05-21 | 北京奇安信科技有限公司 | 一种安装进程的追踪处理方法及装置 |
CN109784035B (zh) * | 2018-12-28 | 2021-05-25 | 北京奇安信科技有限公司 | 一种安装进程的追踪处理方法及装置 |
CN112527624A (zh) * | 2019-09-18 | 2021-03-19 | 财团法人工业技术研究院 | 检测系统、检测方法及使用检测方法执行的更新验证方法 |
TWI730415B (zh) * | 2019-09-18 | 2021-06-11 | 財團法人工業技術研究院 | 偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法 |
CN110808951A (zh) * | 2019-09-25 | 2020-02-18 | 国网思极网安科技(北京)有限公司 | 基于设备画像的终端异常行为发现方法和装置 |
CN111177706A (zh) * | 2019-12-25 | 2020-05-19 | 北京珞安科技有限责任公司 | 一种基于信任软件库的进程白名单更新方法 |
CN112069137A (zh) * | 2020-09-02 | 2020-12-11 | 北京百度网讯科技有限公司 | 生成信息的方法、装置、电子设备及计算机可读存储介质 |
CN112363983A (zh) * | 2020-11-10 | 2021-02-12 | 北京思特奇信息技术股份有限公司 | 一种集群主机的文件核查方法和系统 |
CN112380170A (zh) * | 2020-11-25 | 2021-02-19 | 北京珞安科技有限责任公司 | 一种文件更新操作的关联方法、装置及计算机设备 |
CN113434824A (zh) * | 2021-06-30 | 2021-09-24 | 平安科技(深圳)有限公司 | 一种软件服务授权管理方法、装置、设备及存储介质 |
CN113434824B (zh) * | 2021-06-30 | 2024-04-19 | 平安科技(深圳)有限公司 | 一种软件服务授权管理方法、装置、设备及存储介质 |
CN114244631A (zh) * | 2022-02-23 | 2022-03-25 | 北京安帝科技有限公司 | 计算机网络安全防护方法及系统 |
CN114896117A (zh) * | 2022-03-08 | 2022-08-12 | 安芯网盾(北京)科技有限公司 | 软件安装更新过程基于白名单的内存行为监控方法及装置 |
CN114818012A (zh) * | 2022-06-29 | 2022-07-29 | 麒麟软件有限公司 | 基于白名单列表的Linux文件完整性度量方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105183504B (zh) | 2018-10-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105183504A (zh) | 基于软件服务器的进程白名单更新方法 | |
US10581690B2 (en) | Update specific policies for internet of things devices | |
US8505069B1 (en) | System and method for updating authorized software | |
CN108369625B (zh) | 用于保护多个网络端点的双重存储器内省 | |
CN112702300B (zh) | 一种安全漏洞的防御方法和设备 | |
US7716727B2 (en) | Network security device and method for protecting a computing device in a networked environment | |
US10354068B2 (en) | Anonymized application scanning for mobile devices | |
RU2568295C2 (ru) | Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости | |
US8286219B2 (en) | Safe and secure program execution framework | |
US8495743B2 (en) | Methods and apparatus providing automatic signature generation and enforcement | |
US8612398B2 (en) | Clean store for operating system and software recovery | |
US8850587B2 (en) | Network security scanner for enterprise protection | |
US9727352B2 (en) | Utilizing history of changes associated with software packages to manage computing systems | |
US20070198525A1 (en) | Computer system with update-based quarantine | |
US8104077B1 (en) | System and method for adaptive end-point compliance | |
JP2005251189A (ja) | ネットワークに接続されたコンピュータシステムを攻撃から保護するシステムおよび方法 | |
WO2013158789A1 (en) | Detection and prevention of installation of malicious mobile applications | |
EP3729780B1 (en) | Method and system for managing iot-based devices in an internet-of-things environment | |
US20170302701A1 (en) | Integrated application scanning and mobile enterprise computing management system | |
CN104917779A (zh) | 一种基于云的cc攻击的防护方法、装置及系统 | |
US8234711B2 (en) | Apparatus and method for checking PC security | |
EP3433783A1 (en) | Rule enforcement in a network | |
CN101800754B (zh) | 一种补丁分发方法 | |
CN111158736B (zh) | 一种智能捕获windows操作系统补丁更新文件的方法 | |
CN114039778A (zh) | 一种请求处理方法、装置、设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20181023 Termination date: 20210812 |
|
CF01 | Termination of patent right due to non-payment of annual fee |