CN105205389A - 一种白名单的创建方法及装置 - Google Patents

一种白名单的创建方法及装置 Download PDF

Info

Publication number
CN105205389A
CN105205389A CN201510574227.1A CN201510574227A CN105205389A CN 105205389 A CN105205389 A CN 105205389A CN 201510574227 A CN201510574227 A CN 201510574227A CN 105205389 A CN105205389 A CN 105205389A
Authority
CN
China
Prior art keywords
application program
white list
current computer
computer
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510574227.1A
Other languages
English (en)
Inventor
路廷文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Electronic Information Industry Co Ltd
Original Assignee
Inspur Electronic Information Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Electronic Information Industry Co Ltd filed Critical Inspur Electronic Information Industry Co Ltd
Priority to CN201510574227.1A priority Critical patent/CN105205389A/zh
Publication of CN105205389A publication Critical patent/CN105205389A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Stored Programmes (AREA)

Abstract

本发明提供一种白名单的创建方法及装置,该方法包括:在当前计算机上创建白名单;根据所述当前计算机的应用领域、用途及属性,对至少一个目标计算机上的白名单中包括的可信应用程序进行优化,获取所述当前计算机所需的第一应用程序;对从各个所述目标计算机上获取的所述第一应用程序进行筛选,进行去重处理;将去重后的所述各个第一应用程序添加到所述当前计算机上的白名单中。该装置包括:创建单元、获取单元、筛选单元及添加单元。本方案能够提高白名单创建的效率。

Description

一种白名单的创建方法及装置
技术领域
本发明涉及计算机安全领域,特别涉及一种白名单的创建方法及装置。
背景技术
随着计算机技术的不断发展,计算机的用户数量越来越多,在给用户带来方便的同时,网络安全问题也日益凸显。一些不法人员通过各种手段,将各种各样的恶意应用程序安装到用户的计算机上,这些恶意应用程序可能会破坏计算机系统,导致用户的计算机瘫痪或资料丢失,也可能对用户的数据及输入信息监视和扫面,盗取用户的重要资料及密码信息,导致用户重要资料泄露或资金被盗刷,给用户带来巨大的经济损失。尤其服务器的用户数量众多,保存有大量的用户数据,如果有恶意应用程序在服务器上运行,将使用户的资料、经济等遭受巨大的损失,带来不可估量的损失。
针对计算机的防护方法,比较先进的方法是白名单技术,将可信的、安全的应用程序添加到白名单中,设置有白名单的计算机上,只有白名单内应用程序才能运行,白名单以外的应用程序均不能在其上运行。白名单技术的关键在于设置白名单,目前,设置白名单的方法主要是通过创建空白白名单后,由人工添加的方式,向空白白名单中添加应用程序。
由于计算机或服务器上的需要运行的应用程序较多,通过人工创建白名单的方法,在创建完空白白名单后,需要技术人员花费较长的时间向空白白名单中添加应用程序,白名单创建效率较低。
发明内容
本发明提供一种白名单的创建方法及装置,能够提高白名单创建的效率。
本发明实施例提供了一种白名单的创建方法,包括:
在当前计算机上创建白名单;
根据所述当前计算机的应用领域、用途及属性,对至少一个目标计算机上的白名单中包括的可信应用程序进行优化,获取所述当前计算机所需的第一应用程序;
对从各个所述目标计算机上获取的所述第一应用程序进行筛选,进行去重处理;
将去重后的所述各个第一应用程序添加到所述当前计算机上的白名单中。
优选地,所述根据所述当前计算机的应用领域、用途及属性,对至少一个目标计算机上的白名单中包括的可信应用程序进行优化,获取所述当前计算机所需的第一应用程序包括:
根据所述当前计算机的应用领域、用途及属性,确定当前计算机所需应用程序的功能、作用及安全等级,分别对各个所述目标计算机上白名单中包括的可信应用程序进行优化学习,筛选出功能、作用及安全等级符合所述当前计算机要求的可信应用程序,筛选出的可信应用程序即为所述当前计算机所需的第一应用程序。
优选地,所述分别对各个所述目标计算机上白名单中包括的可信应用程序进行优化学习,筛选出功能、作用及安全等级符合所述当前计算机要求的可信应用程序包括:
以所述当前计算机所需的至少两个应用程序为粒子,在每一个所述目标计算机上创建一个粒子群,在每一个粒子群中,以该粒子群对应的所述目标计算机上白名单中的各个可信应用程序为学习范围,以所述至少两个应用程序的功能、作用及安全等级为粒子的适应度,将任意所述可信应用程序作为粒子的初始位置,根据各个粒子的初始位置,获取各个粒子的适应度,根据各个粒子的适应度,更新对应粒子的最佳位置及粒子群的全局最佳位置,根据各个粒子的最佳位置及粒子群的全局最佳位置,更新各个粒子的位置,再次计算各个粒子的适应度,重复这一过程进行优化学习,直至粒子群的迭代次数达到预设的最大迭代次数,停止优化学习,判断粒子群中是否存在至少一个不再发生变化的全局最佳位置,如果是,则所述至少一个不再发生变化的全局最佳位置对应的所述可信应用程序即为符合所述当前计算机要求的可信应用程序,如果否,则该粒子群对应的目标计算机上的白名单中不包括符合所述当前计算机要求的应用程序。
优选地,在所述将去重后的所述各个第一应用程序添加到所述当前计算机上的白名单中之后进一步包括:
每隔设定时间,根据所述当前计算机的应用领域、用途及属性,对至少一个目标计算机上的白名单中包括的可信应用程序进行优化,获取所述当前计算机所需的第二应用程序,对从各个所述目标计算机上获取的所述第二应用程序进行筛选,对所述第二应用程序进行去重处理后,获取到更新应用程序,将所述更新应用程序与所述当前计算机上的白名单中的第一应用程序进行对比,判断所述更新应用程序中是否包括所述当前计算机上的白名单中不包括的应用程序,如果是,将所述当前计算机上的白名单中不包括的应用程序添加到所述当前计算机上的白名单中。
优选地,在所述将去重后的所述各个第一应用程序添加到所述当前计算机上的白名单中之后进一步包括:
实时对所述当前计算机上的白名单中各个第一应用程序的进行监控,检测所述各个第一应用程序的运行是否存在异常,如果是,将对应运行异常的所述第一应用程序从所述当前计算机上的白名单中移除。
本发明实施例还提供了一种白名单的创建装置,包括:创建单元、获取单元、筛选单元及添加单元;
所述创建单元,用于在当前计算机上创建白名单;
所述获取单元,用于根据所述当前计算机的应用领域、用途及属性,对至少一个目标计算机上的白名单中包括的可信应用程序进行优化,获取所述当前计算机所需的第一应用程序;
所述筛选单元,用于对所述获取单元从各个所述目标计算机上获取的所述第一应用程序进行筛选,进行去重处理;
所述添加单元,用于将所述筛选单元去重后的所述各个第一应用程序添加到所述创建单元在当前计算机上创建的白名单中。
优选地,所述获取单元,用于根据所述当前计算机的应用领域、用途及属性,确定当前计算机所需应用程序的功能、作用及安全等级,分别对各个所述目标计算机上白名单中包括的可信应用程序进行优化学习,筛选出功能、作用及安全等级符合所述当前计算机要求的可信应用程序,筛选出的可信应用程序即为所述当前计算机所需的第一应用程序。
优选地,所述获取单元,用于以所述当前计算机所需的至少两个应用程序为粒子,在每一个所述目标计算机上创建一个粒子群,在每一个粒子群中,以该粒子群对应的所述目标计算机上白名单中的各个可信应用程序为学习范围,以所述至少两个应用程序的功能、作用及安全等级为粒子的适应度,将任意所述可信应用程序作为粒子的初始位置,根据各个粒子的初始位置,获取各个粒子的适应度,根据各个粒子的适应度,更新对应粒子的最佳位置及粒子群的全局最佳位置,根据各个粒子的最佳位置及粒子群的全局最佳位置,更新各个粒子的位置,再次计算各个粒子的适应度,重复这一过程进行优化学习,直至粒子群的迭代次数达到预设的最大迭代次数,停止优化学习,判断粒子群中是否存在至少一个不再发生变化的全局最佳位置,如果是,则所述至少一个不再发生变化的全局最佳位置对应的所述可信应用程序即为符合所述当前计算机要求的可信应用程序,如果否,则该粒子群对应的目标计算机上的白名单中不包括符合所述当前计算机要求的应用程序。
优选地,该装置进一步包括:更新单元;
所述获取单元,用于每隔设定时间,根据所述当前计算机的应用领域、用途及属性,对至少一个目标计算机上的白名单中包括的可信应用程序进行优化,获取所述当前计算机所需的第二应用程序;
所述筛选单元,用于每隔所述设定时间,对从各个所述目标计算机上获取的所述第二应用程序进行筛选,对所述第二应用程序进行去重处理后,获取到更新应用程序;
所述更新单元,用于将所述更新应用程序与所述当前计算机上的白名单中的第一应用程序进行对比,判断所述更新应用程序中是否包括所述当前计算机上的白名单中不包括的应用程序,如果是,将所述当前计算机上的白名单中不包括的应用程序添加到所述当前计算机上的白名单中。
优选地,该装置进一步包括:修复单元;
所述修复单元,用于实时对所述当前计算机上的白名单中各个第一应用程序的进行监控,检测所述各个第一应用程序的运行是否存在异常,如果是,将对应运行异常的所述第一应用程序从所述当前计算机上的白名单中移除。
本发明实施例提供了一种白名单的创建方法及装置,在需要创建白名单的当前计算机上创建一个空白的白名单,根据当前计算机的应用领域、用途及属性,对其他设置有白名单的目标计算机上的白名单中包括的各个可信应用程序进行优化,优化出当前计算机所需的第一应用程序,将从各个目标计算机上获取到的第一应用程序汇集到一起,对各个第一应用程序进行筛选,去除重复的应用程序,将经过筛选去重后的各个第一应用程序添加到当前计算机上空白的白名单中,这样,根据计算机的应用领域、用途及属性自动从其他计算机上获取所需的应用程序,添加到自身的白名单中,无需人工识别可信的应用程序并添加到白名单中,减少了白名单创建所需的时间,提高了白名单创建的效率。
附图说明
图1是本发明一个实施例提供的一种白名单的创建方法流程图;
图2是本发明另一个实施例提供的一种白名单的创建方法流程图;
图3是本发明一个实施例提供的一种对白名单进行更新的方法流程图;
图4是本发明一个实施例提供的一种对白名单进行监控及修复的方法流程图;
图5是本发明一个实施例提供的一种白名单的创建装置示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种白名单的创建方法,包括:
步骤101:在当前计算机上创建白名单;
步骤102:根据所述当前计算机的应用领域、用途及属性,对至少一个目标计算机上的白名单中包括的可信应用程序进行优化,获取所述当前计算机所需的第一应用程序;
步骤103:对从各个所述目标计算机上获取的所述第一应用程序进行筛选,进行去重处理;
步骤104:将去重后的所述各个第一应用程序添加到所述当前计算机上的白名单中。
本发明实施例提供了一种创建白名单的方法,在需要创建白名单的当前计算机上创建一个空白的白名单,根据当前计算机的应用领域、用途及属性,对其他设置有白名单的目标计算机上的白名单中包括的各个可信应用程序进行优化,优化出当前计算机所需的第一应用程序,将从各个目标计算机上获取到的第一应用程序汇集到一起,对各个第一应用程序进行筛选,去除重复的应用程序,将经过筛选去重后的各个第一应用程序添加到当前计算机上空白的白名单中,这样,根据计算机的应用领域、用途及属性自动从其他计算机上获取所需的应用程序,添加到自身的白名单中,无需人工识别可信的应用程序并添加到白名单中,减少了白名单创建所需的时间,提高了白名单创建的效率。
在本发明一个实施例中,根据当前计算机的应用领域、用途及属性,确定该计算机所需应用程序的功能、作用及安全等级,以应用程序的功能、作用及安全等级作为指标,分别对每一个目标计算机的白名单中包括的各个可信应用程序进行优化学习,筛选出功能、作用及安全等级符合当前计算机要求的可信应用程序,筛选出的可信应用程序即为当前计算机所需的应用程序,经去重后被添加到当前计算机的白名单中,通过这种向白名单中添加应用程序的方式,保证添加的各个应用程序是当前计算机所需的,避免将无用的应用程序添加到白名单中,提高计算机被入侵的风险,并且保证添加的各个应用程序是可信的,从而提高了计算机的安全性。
在本发明一个实施例中,以当前计算机所需的至少两个应用程序作为粒子,在每一个目标计算机上形成一个粒子群,针对于每一个粒子群,以粒子群所在目标计算机上的白名单中包括的各个可信应用程序作为学习范围,以当前计算机所需应用程序的功能、作用及安全等级作为粒子的适应度,将粒子群所在目标计算机上白名单中任意不同的可信应用程序作为各个粒子的初始位置,根据粒子的初始位置,计算各个粒子的适应度,根据各个粒子的适应度,更新对应粒子的最佳位置及粒子群的全局最佳位置,根据各个粒子的最佳位置及粒子群的全局最佳位置,更新各个粒子的位置,再次计算各个粒子的适应度,重复这一过程进行优化学习,直至粒子群的迭代次数达到预设的最大迭代次数,停止优化学习,如果有一个或多个全局最佳位置不再发生变化,说明不再变化的全局最佳位置对应的可信应用程序是符合当前计算机要求的可信应用程序,将其作为当前计算机所需的应用程序,如果优化学习的次数直到预先设定的最大迭代次数,仍然没有一个全局最佳位置不再发生变化,说明各个粒子不收敛,粒子群所在目标计算机的白名单中没有符合当前计算机要求的应用程序,不从该目标计算机的白名单中获取所需应用程序,通过粒子群优化算法,从各个目标计算机的白名单中优化学习出所需的应用程序,保证获取的各个应用程序都是当前计算机所需的应用程序,提高获取所需应用程序的准确性。
在本发明一个实施例中,在向当前计算机上的白名单中添加所需应用程序之后,每经过一个设定时间,会再次根据当前计算机的应用领域、用途及属性,分别对各个目标计算机的白名单中包括的可信应用程序进行优化,获取到当前计算机所需的第二应用程序,对从各个目标计算机上获取的所有第二应用程序去重后获得更新应用程序,将更新应用程序与当前计算机上白名单中的各个第一应用程序进行对比,判断更新应用程序中是否包括当前计算机上白名单中不包括的应用程序,如果有,将这些应用程序添加到当前计算机上的白名单中,这样,定时对当前计算机上白名单中的应用程序进行更新、补充,保证及时将所需的新应用程序或更新后的应用程序添加到白名单中,避免由于白名单中应用程序落后,导致计算机的易用性差或影响正常执行业务。
在本发明一个实施例中,在当前计算机的白名单创建完成,并向其中添加了所需的应用程序之后,实时对白名单中各个应用程序的运行状况进行监控,监测其是否存在运行异常的情况,如果有,则将出现异常的应用程序从当前计算机的白名单中移除,通过这种自动体检与修复的方法,将运行异常的应用程序从白名单中移除,避免存在潜在威胁的应用程序进一步破坏计算机或正常的业务进程,提高计算机的安全性。
为使本发明的目的、技术方案和优点更加清楚,下面结合附图及具体实施例对本发明作进一步地详细描述。
如图2所示,本发明一个实施例提供了一种白名单的创建方法,包括:
步骤201:在当前计算机上创建一个空白的白名单。
在本发明一个实施例中,当需要通过白名单对当前计算机进行保护时,首先在当前计算机上创建一个空白的白名单,用于存放可以在当前当前计算机上运行的应用程序标识。
步骤202:根据当前计算机的应用领域、用途及属性,确定所需应用程序的功能、作用及安全等级。
在本发明一个实施例中,当前计算机上白名单中添加的应用程序是与当前计算机的应用领域、用途及属性相关的,根据当前计算机的应用领域、用途及属性,确定当前计算机所需应用程序的功能、作用及安全等级。例如,当前计算机应用于平面设计领域,主要用于绘制图形,还需要通过通讯软件与客户进行交流,那么,根据该当前计算机的这些特征,确定出当前计算机所需的应用程序的功能为个人使用,作用为绘图和即时通讯,安全等级为一般。
步骤203:以至少两个所需应用程序为粒子,在每个目标计算机上构建一个粒子群,并设置其最大迭代次数。
在本发明一个实施例中,在每个目标计算机上构建一个粒子群,粒子为至少两个当前计算机所需的应用程序,其中该粒子不是具体的应用程序,只是用于迭代计算寻找全局最佳位置的虚拟应用程序,并设置各个粒子群的最大迭代次数。例如,一共包括100台目标计算机,分别为目标计算机1至目标计算机100,每台目标计算机上均设置有对应的白名单,在每台目标计算机上构建一个粒子群,分别为粒子群1至粒子群100,并设置5个当前计算机所需应用程序为5个粒子,分别为粒子1至粒子5,并设置各个粒子群的最大迭代次数为30次。
步骤204:针对于每一个粒子群,以所在目标计算机上白名单中包括的各个可信应用程序为范围,以应用程序的功能、作用及安全等级为适应度,对全局最佳位置进行迭代更新,直至迭代次数达到最大迭代次数。
在本发明一个实施例中,针对于每一个粒子群,以该粒子群所在的目标计算机上白名单中包括的各个可信应用程序为范围,以功能、作用及安全等级为粒子的适应度,以任意不同的可信应用程序作为各个粒子的初始位置,根据各个粒子的初始位置,获取各个粒子的适应度,即粒子对应的可信应用程序的功能、作用及安全等级,根据粒子的适应度,更新各个粒子的最佳位置及粒子群的全局最佳位置,根据各个粒子的最佳位置及粒子群的全局最佳位置,更新各个粒子的位置,再次计算各个粒子的适应度,重复这一过程进行优化学习,直至迭代次数达到最大迭代次数,其中粒子的最佳位置为该粒子对应的最接近于当前计算机所需应用程序的可信应用程序,全局最佳位置为所有粒子最佳位置中最接近当前当前计算机所需应用程序的可信应用程序。例如,目标计算机1的白名单中包括200个可信应用程序,分别为可信应用程序1至可信应用程序200,将粒子1至粒子5的初始位置依次设置为可信应用程序1至可信应用程序5,根据各个粒子的初始位置获取各个粒子的适应度,即各个粒子对应的功能、作用及安全等级,根据各个粒子对应的功能、作用及安全等级与当前计算机所需应用程序的功能、作用及安全等级之间的差距,获取各个粒子的最佳位置及粒子群的全局最佳位置,第一次优化学习后,粒子1至粒子5的最佳位置依次为可信应用程序1至可信应用程序5,全局最佳位置为可信应用程序5,根据各个粒子的最佳位置和粒子群的全局最佳位置以及各个可信应用程序之间的关系,更新各个粒子的位置,即粒子对应到其他的可信应用程序,更新后粒子1的位置可信应用程序10,粒子2的位置为可信应用程序20,粒子3的位置为可信应用程序30,粒子4的位置为可信应用程序40,粒子5的位置为可信应用程序50,重新获取各个粒子的适应度,重复这一过程,直至迭代次数达到50次。
步骤205:针对于每一个粒子群,判断是否存在不再发生改变的全局最佳位置,如果是,执行步骤206,否则执行步骤208。
在本发明一个实施例中,在各个粒子群优化学习次数到达设置的最大迭代次数后,分别判断各个粒子群中是否存在不再随着迭代学习而发生改变的全局最佳位置,当一个全局最佳位置不再随着迭代次数的增加而发生变化时,说明该全局最佳位置对应的可信应用程序的功能、作用及安全等级符合当前计算机所需应用程序要求,应将该全局最佳位置对应的可信应用程序添加到当前计算机的白名单中,相应的执行步骤206,如果没有一个全局最佳位置稳定在某一个可信应用程序处,说明该目标计算机的白名单中包括的各个可信应用程序的功能、作用及安全等级均布满足当前计算机所需应用程序的要求,不需要从该目标计算机的白名单中获取应用程序,对应的执行步骤208。例如,粒子群1在进行优化学习50次后,5个粒子都收敛于同一个位置,该位置对应于可信应用程序60,此时粒子群1的全局最佳位置也对应于可信应用程序60,在粒子群1迭代次数为40次时,全局最佳位置已经稳定在可信应用程序60,之后的10次迭代全局最佳位置没有发生改变,说明粒子群1对应的目标计算机1的白名单中的可信应用程序60是符合当前计算机所需应用程序要求的应用程序,相应针对粒子群1执行步骤206;粒子群2在进行优化学习50次后,5个粒子并没有收到到一个位置,全局最佳位置在50次迭代过程中一直变动,说明粒子群2对应的目标计算机2的白名单中包括的各个可信应用程序均布满足当前计算机所需应用程序的要求,无需从目标计算机2的白名单中获取应用程序,相应的执行步骤208。
步骤206:将各个粒子群中不再发生改变的全局最佳位置对应的可信应用程序作为当前计算机所需的第一应用程序,将各个粒子群对应的第一应用程序汇集到一起,并进行去重处理。
在本发明一个实施例中,针对于达到最大迭代次数后,包括不再发生改变的全局最佳位置的各个粒子群,不再发生改变的全局最佳位置对应的可信应用程序就是当前计算机所需的第一应用程序,分别从各个目标计算机的白名单中取出当前计算机所需的第一应用程序,将从各个目标计算机的白名单中获取的第一应用程序汇集到一起,去除重复的第一应用程序。例如,从目标计算机1的白名单中取出可信应用程序60,从目标计算机3的白名单中取出可信应用程序80和可信应用程序85,直至将所有第一应用程序从对应的目标计算机的白名单中取出,共获得200个第一应用程序,对这200个第一应用程序进行去重处理,如目标计算机1中的可信应用程序60与目标计算机3中的可信应用程序80是同一个应用程序,则去掉其中一个,去重后共包括180个第一应用程序。
步骤207:将去重后的各个第一应用程序添加到当前计算机上的空白白名单中,并结束当前流程。
在本发明一个实施例中,对从各个目标计算机获取的第一应用程序去重后,将去重后的第一应用程序添加到在当前计算机上创建的空白白名单中,完成白名单的创建。例如,将去重后的180个第一应用程序添加到当前计算机上的空白白名单中。
步骤208:不从该粒子群对应的目标计算机的白名单中获取应用程序。
在本发明一个实施例中,针对于达到最大迭代次数后,不包括不再发生改变的全局最佳位置的粒子群,说明该粒子群对应的目标计算机的白名单中不包括当前计算机所需的应用程序,对应的不从该粒子群对应的目标计算机的白名单中获取所需应用程序。例如,粒子群2中不包括不再发生改变的全局最佳位置,相应的不从粒子群2中获取当前计算机所需的应用程序。
在白名单创建完成之后,为了保证当前计算机的易用性及业务的正常执行,需要定时对当前计算机上的白名单进行更新,白名单的更新方法如图3所示,包括:
步骤301:设定更新的间隔时间。
在本发明一个实施例中,根据当前计算机应用领域所使用应用程序的更新速度,确定对当前计算机白名单更新的间隔时间。例如,当前计算机应用与平面设计领域,相关的绘图软件一般每个月进行一个更新或升级,那么就将当前计算机白名单更新的时间时间设置为1个月。
步骤302:每隔一个间隔时间,根据当前计算机的应用领域、用途及属性,对至少一个目标计算机上白名单中的各个可信应用程序进行优化,获取当前计算机所需的第二应用程序。
在本发明一个实施例中,每经过一个间隔时间,根据当前计算机的应用领域、用途及属性,从目标计算机的白名单中优化出当前计算机所需的第二应用程序,具体从目标计算机白名单中优化出第二应用程序的过程与上述实施例中获取第一应用程序的过程相同,再次不再赘述。例如,当前计算机应用与平面设计领用,主要用于绘制图形,还需要通过通讯软件与客户进行交流,通过这些信息,分别对100台目标计算机白名单中的可信应用程序进行优化,从符合条件的目标计算机白名单中优化出当前计算机所需的第二应用程序。
步骤303:对从各个目标计算机上获取的第二应用程序进行去重处理,将去重后的第二应用程序作为更新应用程序。
在本发明一个实施例中,将从各个目标计算机白名单中获取的各个第二应用程序汇集到一起,进行去重处理,去除重复的第二应用程序,将去重后的第二应用程序作为更新应用程序。例如,从100台目标计算机白名单中共优化出240个当前计算机所需的第二应用程序,对这240个第二应用程序进行去重处理后,剩余200个没有重复的第二应用程序,将这200个第二应用程序作为当前计算机白名单的更新应用程序。
步骤304:判断所有更新应用程序中是否包括当前计算机白名单不包括的应用程序,如果是,执行步骤305,否则继续执行步骤302。
在本发明一个实施例中,在获取到当前计算机白名单的更新应用程序之后,将获取的所有更新应用程序与当前计算机白名单中已有的应用程序进行比较,如果所有更新应用程序中有当前计算机白名单中没有的应用程序,则需要将当前计算机白名单中没有的更新应用程序添加到当前计算机白名单中,相应的执行步骤305,如果当前计算机白名单中包括已有应用程序涵盖了所有更新应用程序,说明当前计算机白名单无需进行更新,相应的执行步骤302,继续按照间隔时间获取更新应用程序。例如,将200个更新应用程序与当前计算机白名单中已有的180个应用程序进行比较后,发现200个更新应用程序中有30个应用程序是当前计算机白名单中没有的应用程序,相应的执行步骤305。
步骤305:将当前计算机白名单中不包括的更新应用程序添加到当前计算机白名单中,并继续执行步骤302。
在本发明一个实施例中,当所有更新应用程序中包括当前计算机白名单中没有的应用程序时,将这些当前计算机白名单中不包括的更新应用程序添加到当前计算机白名单中,以实现对当前计算机白名单的更新,之后继续执行步骤302,对当前计算白名单进行下一次的更新。例如,将所有更新应用程序中包括的30个当前计算机白名单中没有的更新应用程序添加到当前计算机白名单中。
在白名单创建完成以后,为了进一步保证当前计算机的安全,需要对当前计算机白名单进行监控及修复,对白名单进行监控及修复的方法如图4所示,包括:
步骤401:实时对当前计算机白名单中各个应用程序进行监控,收集运行信息。
在本发明一个实施例中,实时对当前计算机白名单中各个应用程序的运行状况进行监控,收集各个应用程序的访问请求、运行时间等信息。例如,当前计算机应用与银行系统,实时收集白名单中各个应用程序的运行时间段等信息。
步骤402:根据各个应用程序的运行信息,判断各个应用程序是否存在运行异常的行为,如果是,执行步骤403,否则返回执行步骤401。
在本发明一个实施例中,根据收集到的运行信息,判断白名单中各个应用程序的运行是否存在异常,如果是,需要对相应的应用程序进行处理,执行步骤403,如果没有,说明当前计算机白名单中各个应用程序暂时不存在问题,返回执行步骤401,继续对其进行监控。例如,当前计算机白名单中的应用程序1每天凌晨向外进行转账,由于其转账时间处于银行非工作时间,所以判断其运行异常,相应的执行步骤403。
步骤403:将运行异常的应用程序从当前计算机白名单中移除。
在本发明一个实施例中,当判断当前计算机白名单中存在运行异常的应用程序时,将对应的应用程序从当前计算机白名单中移除,以保证当前计算机的安全。例如,当发现应用程序1在非工作时间向外转账时,将应用程序1从当前计算机白名单中移除,使其不能在当前计算机上运行,计算机管理员发现应用程序1不能运行后,会进行相应的处理,保证当前计算机的安全。
需要说明的是,当需要在多台应用领域、用途及属性都相同的计算机上创建白名单时,只需根据上述实施例提供的方法在其中一台当前计算机上创建白名单,待当前计算机上白名单创建完成之后,直接将当前计算机上的白名单共享到其他计算机上,与当前计算机采用相同的白名单设置。
如图5所示,本发明一个实施例提供了一种白名单的创建装置,包括:创建单元501、获取单元502、筛选单元503及添加单元504;
所述创建单元501,用于用于在当前计算机上创建白名单;
所述获取单元502,用于根据所述当前计算机的应用领域、用途及属性,对至少一个目标计算机上的白名单中包括的可信应用程序进行优化,获取所述当前计算机所需的第一应用程序;
所述筛选单元503,用于对所述获取单元502从各个所述目标计算机上获取的所述第一应用程序进行筛选,进行去重处理;
所述添加单元504,用于将所述筛选单元503去重后的所述各个第一应用程序添加到所述创建单元501在当前计算机上创建的白名单中。
在本发明一个实施例中,所述获取单元502,用于根据所述当前计算机的应用领域、用途及属性,确定当前计算机所需应用程序的功能、作用及安全等级,分别对各个所述目标计算机上白名单中包括的可信应用程序进行优化学习,筛选出功能、作用及安全等级符合所述当前计算机要求的可信应用程序,筛选出的可信应用程序即为所述当前计算机所需的第一应用程序。
在本发明一个实施例中,所述获取单元502,用于以所述当前计算机所需的至少两个应用程序为粒子,在每一个所述目标计算机上创建一个粒子群,在每一个粒子群中,以该粒子群对应的所述目标计算机上白名单中的各个可信应用程序为学习范围,以所述至少两个应用程序的功能、作用及安全等级为粒子的适应度,将任意所述可信应用程序作为粒子的初始位置,根据各个粒子的初始位置,获取各个粒子的适应度,根据各个粒子的适应度,更新对应粒子的最佳位置及粒子群的全局最佳位置,根据各个粒子的最佳位置及粒子群的全局最佳位置,更新各个粒子的位置,再次计算各个粒子的适应度,重复这一过程进行优化学习,直至粒子群的迭代次数达到预设的最大迭代次数,停止优化学习,判断粒子群中是否存在至少一个全局最佳位置不再发生变化,如果是,则所述至少一个全局最佳位置对应的所述可信应用程序即为符合所述当前计算机要求的可信应用程序,如果否,则该粒子群对应的目标计算机上的白名单中不包括符合所述当前计算机要求的可信应用程序。
在本发明一个实施例中,该装置进一步包括:更新单元;
所述获取单元502,用于每隔设定时间,根据所述当前计算机的应用领域、用途及属性,对至少一个目标计算机上的白名单中包括的可信应用程序进行优化,获取所述当前计算机所需的第二应用程序;
所述筛选单元503,用于每隔所述设定时间,对从各个所述目标计算机上获取的所述第二应用程序进行筛选,对所述第二应用程序进行去重处理后,获取到更新应用程序;
所述更新单元,用于将所述更新应用程序与所述当前计算机上的白名单中的第一应用程序进行对比,判断所述更新应用程序中是否包括所述当前计算机上的白名单中不包括的应用程序,如果是,将所述当前计算机上的白名单中不包括的应用程序添加到所述当前计算机上的白名单中。
在本发明一个实施例中,该装置进一步包括:修复单元;
所述所述修复单元,用于实时对所述当前计算机上的白名单中各个第一应用程序的进行监控,检测所述各个第一应用程序的运行是否存在异常,如果是,将对应运行异常的所述第一应用程序从所述当前计算机上的白名单中移除。
上述设备内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
根据上述方案,本发明的实施例所提供的一种白名单的创建方法及装置,至少具有如下有益效果:
1、本发明实施例中,在需要创建白名单的当前计算机上创建一个空白的白名单,根据当前计算机的应用领域、用途及属性,对其他设置有白名单的目标计算机上的白名单中包括的各个可信应用程序进行优化,优化出当前计算机所需的第一应用程序,将从各个目标计算机上获取到的第一应用程序汇集到一起,对各个第一应用程序进行筛选,去除重复的应用程序,将经过筛选去重后的各个第一应用程序添加到当前计算机上空白的白名单中,这样,根据计算机的应用领域、用途及属性自动从其他计算机上获取所需的应用程序,添加到自身的白名单中,无需人工识别可信的应用程序并添加到白名单中,减少了白名单创建所需的时间,提高了白名单创建的效率。
2、本发明实施例中,在白名单创建完成之后,每经过一个设定的间隔时间,会根据当前计算机的应用领域、用途及属性信息,重新对目标计算机白名单中的可信应用程序进行优化,获取到当前计算机所需的应用程序,与当前计算机白名单中已有的应用程序进行比较,将当前计算机所需的但是当前计算机白名单中不包括的应用程序添加到当前计算机白名单中,通过这种方法,对当前计算机白名单进行更新,保证当前计算机的易用性及相关业务流程的正常执行。
3、本发明实施例中,在白名单创建完成之后,会实时对白名单中应用程序的运行状况进行监控,当发现运行异常的应用程序之后,将该应用程序从白名单中移除,禁止其在当前计算机上运行,防止其对当前计算机或相关业务造成进一步的破坏,提高计算机的安全性。
4、本发明实施例中,当需要对一个计算机集群中的多个应用领域、用途及属性相同的计算机创建白名单时,只需对其中一个联网的计算机通过本发明实施例提供的发生创建白名单,待该计算机白名单创建完成后,其他计算机与该计算机采用相同的白名单设置,无需每一台计算机都单独创建,这样,可以节省计算资源。
5、本发明实施例中,在对目标计算机白名单中可信应用程序进行优化时,通过粒子群算法,根据当前计算机的应用领域、用途及属性等迭代出当前计算机所需的应用程序,通过这种方法,可以保证获取的各个当前计算机所需应用程序都是比较可信的,提高当前计算机的安全性。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个〃〃〃〃〃〃”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (10)

1.一种白名单的创建方法,其特征在于,包括:
在当前计算机上创建白名单;
根据所述当前计算机的应用领域、用途及属性,对至少一个目标计算机上的白名单中包括的可信应用程序进行优化,获取所述当前计算机所需的第一应用程序;
对从各个所述目标计算机上获取的所述第一应用程序进行筛选,进行去重处理;
将去重后的所述各个第一应用程序添加到所述当前计算机上的白名单中。
2.根据权利要求1所述的方法,其特征在于,所述根据所述当前计算机的应用领域、用途及属性,对至少一个目标计算机上的白名单中包括的可信应用程序进行优化,获取所述当前计算机所需的第一应用程序包括:
根据所述当前计算机的应用领域、用途及属性,确定当前计算机所需应用程序的功能、作用及安全等级,分别对各个所述目标计算机上白名单中包括的可信应用程序进行优化学习,筛选出功能、作用及安全等级符合所述当前计算机要求的可信应用程序,筛选出的可信应用程序即为所述当前计算机所需的第一应用程序。
3.根据权利要求2所述的方法,其特征在于,所述分别对各个所述目标计算机上白名单中包括的可信应用程序进行优化学习,筛选出功能、作用及安全等级符合所述当前计算机要求的可信应用程序包括:
以所述当前计算机所需的至少两个应用程序为粒子,在每一个所述目标计算机上创建一个粒子群,在每一个粒子群中,以该粒子群对应的所述目标计算机上白名单中的各个可信应用程序为学习范围,以所述至少两个应用程序的功能、作用及安全等级为粒子的适应度,将任意所述可信应用程序作为粒子的初始位置,根据各个粒子的初始位置,获取各个粒子的适应度,根据各个粒子的适应度,更新对应粒子的最佳位置及粒子群的全局最佳位置,根据各个粒子的最佳位置及粒子群的全局最佳位置,更新各个粒子的位置,再次计算各个粒子的适应度,重复这一过程进行优化学习,直至粒子群的迭代次数达到预设的最大迭代次数,停止优化学习,判断粒子群中是否存在至少一个不再发生变化的全局最佳位置,如果是,则所述至少一个不再发生变化的全局最佳位置对应的所述可信应用程序即为符合所述当前计算机要求的可信应用程序,如果否,则该粒子群对应的目标计算机上的白名单中不包括符合所述当前计算机要求的应用程序。
4.根据权利要求1至3中任一所述的方法,其特征在于,在所述将去重后的所述各个第一应用程序添加到所述当前计算机上的白名单中之后进一步包括:
每隔设定时间,根据所述当前计算机的应用领域、用途及属性,对至少一个目标计算机上的白名单中包括的可信应用程序进行优化,获取所述当前计算机所需的第二应用程序,对从各个所述目标计算机上获取的所述第二应用程序进行筛选,对所述第二应用程序进行去重处理后,获取到更新应用程序,将所述更新应用程序与所述当前计算机上的白名单中的第一应用程序进行对比,判断所述更新应用程序中是否包括所述当前计算机上的白名单中不包括的应用程序,如果是,将所述当前计算机上的白名单中不包括的应用程序添加到所述当前计算机上的白名单中。
5.根据权利要求1至3中任一所述的方法,其特征在于,在所述将去重后的所述各个第一应用程序添加到所述当前计算机上的白名单中之后进一步包括:
实时对所述当前计算机上的白名单中各个第一应用程序的进行监控,检测所述各个第一应用程序的运行是否存在异常,如果是,将对应运行异常的所述第一应用程序从所述当前计算机上的白名单中移除。
6.一种白名单的创建装置,其特征在于,包括:创建单元、获取单元、筛选单元及添加单元;
所述创建单元,用于在当前计算机上创建白名单;
所述获取单元,用于根据所述当前计算机的应用领域、用途及属性,对至少一个目标计算机上的白名单中包括的可信应用程序进行优化,获取所述当前计算机所需的第一应用程序;
所述筛选单元,用于对所述获取单元从各个所述目标计算机上获取的所述第一应用程序进行筛选,进行去重处理;
所述添加单元,用于将所述筛选单元去重后的所述各个第一应用程序添加到所述创建单元在当前计算机上创建的白名单中。
7.根据权利要求6所述的装置,其特征在于,
所述获取单元,用于根据所述当前计算机的应用领域、用途及属性,确定当前计算机所需应用程序的功能、作用及安全等级,分别对各个所述目标计算机上白名单中包括的可信应用程序进行优化学习,筛选出功能、作用及安全等级符合所述当前计算机要求的可信应用程序,筛选出的可信应用程序即为所述当前计算机所需的第一应用程序。
8.根据权利要求7所述的装置,其特征在于,
所述获取单元,用于以所述当前计算机所需的至少两个应用程序为粒子,在每一个所述目标计算机上创建一个粒子群,在每一个粒子群中,以该粒子群对应的所述目标计算机上白名单中的各个可信应用程序为学习范围,以所述至少两个应用程序的功能、作用及安全等级为粒子的适应度,将任意所述可信应用程序作为粒子的初始位置,根据各个粒子的初始位置,获取各个粒子的适应度,根据各个粒子的适应度,更新对应粒子的最佳位置及粒子群的全局最佳位置,根据各个粒子的最佳位置及粒子群的全局最佳位置,更新各个粒子的位置,再次计算各个粒子的适应度,重复这一过程进行优化学习,直至粒子群的迭代次数达到预设的最大迭代次数,停止优化学习,判断粒子群中是否存在至少一个不再发生变化的全局最佳位置,如果是,则所述至少一个不再发生变化的全局最佳位置对应的所述可信应用程序即为符合所述当前计算机要求的可信应用程序,如果否,则该粒子群对应的目标计算机上的白名单中不包括符合所述当前计算机要求的应用程序。
9.根据权利要求6所述的装置,进一步包括:更新单元;
所述获取单元,用于每隔设定时间,根据所述当前计算机的应用领域、用途及属性,对至少一个目标计算机上的白名单中包括的可信应用程序进行优化,获取所述当前计算机所需的第二应用程序;
所述筛选单元,用于每隔所述设定时间,对从各个所述目标计算机上获取的所述第二应用程序进行筛选,对所述第二应用程序进行去重处理后,获取到更新应用程序;
所述更新单元,用于将所述更新应用程序与所述当前计算机上的白名单中的第一应用程序进行对比,判断所述更新应用程序中是否包括所述当前计算机上的白名单中不包括的应用程序,如果是,将所述当前计算机上的白名单中不包括的应用程序添加到所述当前计算机上的白名单中。
10.根据权利要求6至9中任一所述的装置,其特征在于,进一步包括:修复单元;
所述修复单元,用于实时对所述当前计算机上的白名单中各个第一应用程序的进行监控,检测所述各个第一应用程序的运行是否存在异常,如果是,将对应运行异常的所述第一应用程序从所述当前计算机上的白名单中移除。
CN201510574227.1A 2015-09-10 2015-09-10 一种白名单的创建方法及装置 Pending CN105205389A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510574227.1A CN105205389A (zh) 2015-09-10 2015-09-10 一种白名单的创建方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510574227.1A CN105205389A (zh) 2015-09-10 2015-09-10 一种白名单的创建方法及装置

Publications (1)

Publication Number Publication Date
CN105205389A true CN105205389A (zh) 2015-12-30

Family

ID=54953063

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510574227.1A Pending CN105205389A (zh) 2015-09-10 2015-09-10 一种白名单的创建方法及装置

Country Status (1)

Country Link
CN (1) CN105205389A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107016093A (zh) * 2017-04-06 2017-08-04 深圳天珑无线科技有限公司 一种搜索输入的方法及装置
CN107491697A (zh) * 2017-09-29 2017-12-19 南京宏海科技有限公司 基于动态白名单的服务器安全维护方法
CN108989304A (zh) * 2018-07-05 2018-12-11 北京广成同泰科技有限公司 一种可信软件白名单构建方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110258454A1 (en) * 2010-04-15 2011-10-20 General Instrument Corporation Cross-domain identity management for a whitelist-based online secure device provisioning framework
CN103843004A (zh) * 2011-09-16 2014-06-04 迈可菲公司 装置定制白名单

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110258454A1 (en) * 2010-04-15 2011-10-20 General Instrument Corporation Cross-domain identity management for a whitelist-based online secure device provisioning framework
CN103843004A (zh) * 2011-09-16 2014-06-04 迈可菲公司 装置定制白名单

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107016093A (zh) * 2017-04-06 2017-08-04 深圳天珑无线科技有限公司 一种搜索输入的方法及装置
CN107491697A (zh) * 2017-09-29 2017-12-19 南京宏海科技有限公司 基于动态白名单的服务器安全维护方法
CN108989304A (zh) * 2018-07-05 2018-12-11 北京广成同泰科技有限公司 一种可信软件白名单构建方法

Similar Documents

Publication Publication Date Title
CN107566163B (zh) 一种用户行为分析关联的告警方法及装置
CN112650762B (zh) 数据质量监控的方法、装置、电子设备以及存储介质
CN105204922B (zh) 一种数据采集平台客户端采集方法
US10540502B1 (en) Software assurance for heterogeneous distributed computing systems
CN101321084A (zh) 在计算机环境中利用关联规则挖掘为计算实体产生配置规则的方法和装置
US20120311562A1 (en) Extendable event processing
US9720999B2 (en) Meta-directory control and evaluation of events
WO2015183697A1 (en) Method and apparatus for automating the building of threat models for the public cloud
CN112766672A (zh) 一种基于全面评估的网络安全保障方法及系统
KR102058697B1 (ko) 뉴럴네트워크를 이용한 자동학습 기반의 딥러닝 학습 모델을 위한 이상징후 탐지 시스템
US20130254524A1 (en) Automated configuration change authorization
CN110971464A (zh) 一种适合灾备中心的运维自动化系统
CN103701783A (zh) 一种预处理单元、由其构成的数据处理系统以及处理方法
CN105205389A (zh) 一种白名单的创建方法及装置
CN104573395A (zh) 大数据平台安全评估定量分析方法
CN108833442A (zh) 一种分布式网络安全监控装置及其方法
CN110363381B (zh) 一种信息处理方法和装置
CN106254096A (zh) 一种Linux日志的处理装置
Liao et al. Assessing security of software components for Internet of Things: a systematic review and future directions
EP3518156A1 (en) A method for collaborative machine learning of analytical models
Wang et al. CDCAS: a novel cloud data center security auditing system
CN113642857A (zh) 管理驾驶舱物流数据的刷新方法、装置、设备及存储介质
CN113836525B (zh) 云服务商行为风险的分析方法及装置
CN109683989A (zh) 一种配置项之间关联关系的自动采集方法及装置
Shen Design and application of network security situational awareness platform based on big data technology

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20151230