CN105791316A - 一种基于强制访问控制的Windows系统文件防护方法 - Google Patents
一种基于强制访问控制的Windows系统文件防护方法 Download PDFInfo
- Publication number
- CN105791316A CN105791316A CN201610263308.4A CN201610263308A CN105791316A CN 105791316 A CN105791316 A CN 105791316A CN 201610263308 A CN201610263308 A CN 201610263308A CN 105791316 A CN105791316 A CN 105791316A
- Authority
- CN
- China
- Prior art keywords
- file
- ssr
- windows system
- access control
- file protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
Abstract
本发明特别涉及一种基于强制访问控制的Windows系统文件防护方法。该基于强制访问控制的Windows系统文件防护方法,首先在服务器上安装SSR客户端,在本地计算机上安装SSR控制端,然后通过分析,得到Windows系统中的关键文件列表,并确定需要防护的系统的关键路径,修改提前制定好的文件防护规则模版中文件的路径,通过SSR进行文件防护规则配置和下发。该基于强制访问控制的Windows系统文件防护方法,基于白名单,与其他黑名单形式的防护手段形成了互补,且实现于内核层,即使攻击者突破了防火墙获取了系统的管理员权限,基于内核层文件强制访问控制的文件防护策略仍能阻止其恶意行为,从而使主机环境不受破坏,同时赢得宝贵的漏洞修复和攻击溯源时间。
Description
技术领域
本发明涉及计算机系统安全技术领域,特别涉及一种基于强制访问控制的Windows系统文件防护方法。
背景技术
随着网络的普及和应用,各类网络应用层出不穷。网络在给企业带来收益的同时也存在着各种安全风险,网络服务的漏洞一旦被发现并利用,整个主机和存储的数据信息将完全暴露在攻击者面前,从而造成严重的损失。如何保证网络服务主机的安全引起了大家越来越多的关注。
基于此,本发明提出了一种基于强制访问控制的Windows系统文件防护方法。通过分析得到的系统中的关键文件,结合SSR(浪潮主机安全增强系统)的文件强制访问控制功能,对系统中的关键文件进行最后一层防护,从最根本上防止恶意上传和破坏,保证网络服务主机的安全和稳定。SSR是基于对主机的内核级安全增强防护,当未经授权的内、外网用户进入了主机内部,它通过对原有系统管理员的权力进行分散,使其不再具有对系统自身安全构成威胁的能力,从而达到从根本上保障系统安全的目的。
发明内容
本发明为了弥补现有技术的缺陷,提供了一种简单高效的基于强制访问控制的Windows系统文件防护方法。
本发明是通过如下技术方案实现的:
一种基于强制访问控制的Windows系统文件防护方法,其特征在于:首先在服务器上安装SSR客户端,在本地计算机上安装SSR控制端,计算机SSR控制端通过三层交换机连接外网,服务器SSR客户端也连接到三层交换机,所述三层交换机与外网之间还连接有防火墙;然后通过对已知漏洞和高危文件的分析,得到Windows系统中的关键文件列表,并确定需要防护的系统的关键路径,修改提前制定好的文件防护规则模版中文件的路径,通过SSR的文件强制访问控制功能进行文件防护规则配置和下发,实现对系统中的关键文件的底层防护。
通过分析发现,当前Windows主机环境下被攻击率较高的文件包括以下几类文件:.EXE、.CMD、.COM、.MSI、.DLL、.PIF、.LNK、.SCR、.SYS、.BAT、.VBE、.VBS、.REG;针对上述类型文件,制定文件防护策略,并做成基于SSR的文件防护规则模版,根据系统环境中的关键路径,修改规则路径,然后使用SSR的规则导入功能将文件防护规则导入,从而按照规则对系统中的关键文件进行内核级的强制访问控制。
针对关键类型文件,制定文件防护策略,所述文件防护策略具体如下:设置.EXE、.CMD、.COM、.MSI、.DLL、.PIF、.LNK、.SCR、.SYS、.BAT、.VBE、.VBS格式的文件对于所有进程均只有读权限;设置.REG格式的文件对所有进程无任何权限。
本发明的有益效果是:该基于强制访问控制的Windows系统文件防护方法,基于白名单,与其他黑名单形式的防护手段形成了互补,且实现于内核层,即使攻击者突破了防火墙、IPS、WAF、杀毒软件等防护设备,获取了系统的管理员权限,准备上传木马或修改、破坏系统中的关键文件时,基于内核层文件强制访问控制的文件防护策略仍能阻止其恶意行为,从而使主机环境不受破坏,同时赢得宝贵的漏洞修复和攻击溯源时间。
附图说明
附图1为本发明基于强制访问控制的Windows系统文件防护系统示意图。
附图2为本发明基于强制访问控制的Windows系统文件防护方法示意图。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行详细的说明。应当说明的是,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
该基于强制访问控制的Windows系统文件防护方法,首先在服务器上安装SSR客户端,在本地计算机上安装SSR控制端,计算机SSR控制端通过三层交换机连接外网,服务器SSR客户端也连接到三层交换机,所述三层交换机与外网之间还连接有防火墙;然后通过对已知漏洞和高危文件的分析,得到Windows系统中的关键文件列表,并确定需要防护的系统的关键路径,修改提前制定好的文件防护规则模版中文件的路径,通过SSR的文件强制访问控制功能进行文件防护规则配置和下发,实现对系统中的关键文件的底层防护。
通过分析发现,当前Windows主机环境下被攻击率较高的文件包括以下几类文件:.EXE、.CMD、.COM、.MSI、.DLL、.PIF、.LNK、.SCR、.SYS、.BAT、.VBE、.VBS、.REG;针对上述类型文件,制定文件防护策略,并做成基于SSR的文件防护规则模版,根据系统环境中的关键路径,修改规则路径,然后使用SSR的规则导入功能将文件防护规则导入,从而按照规则对系统中的关键文件进行内核级的强制访问控制。
针对关键类型文件,制定文件防护策略,所述文件防护策略具体如下:
为了保护系统中的可执行文件,避免攻击者创建或替换成恶意程序,设置.EXE、.COM、.MSI格式的文件对于所有进程均只有读权限;
为了保护系统中的动态链接库文件,防止攻击者创建或替换为恶意库文件,设置.DLL格式的文件对于所有进程只有读权限;
为了防止PIF病毒的感染和传播,设置:.PIF格式的文件对所有进程只有读权限;
为了保护桌面快捷方式,防止攻击者创建或替换为执行恶意程序的快捷方式,设置.LNK、.SCR格式的文件对所有进程只有读权限;
为了保护系统驱动文件,防止攻击者创建或替换为恶意程序,设置:.SYS格式的文件对所有进程只有读权限;
为了保护脚本文件,防止攻击者创建或替换为恶意脚本,设置.CMD、.BAT、.VBE、.VBS格式的文件对所有进程只有读权限;
为了保护注册表,防止攻击者导入或篡改为注册表信息,设置.REG格式的文件对所有进程无任何权限。
传统主机防护策略主要基于应用层、网络层,并基于黑名单的规则匹配来实现。本方法基于白名单,与其他黑名单形式的防护手段形成了互补,且实现于内核层,作为主机防护体系中的最后一道防线,保证了主机的安全、稳定运行。
Claims (3)
1.一种基于强制访问控制的Windows系统文件防护方法,其特征在于:首先在服务器上安装SSR客户端,在本地计算机上安装SSR控制端,计算机SSR控制端通过三层交换机连接外网,服务器SSR客户端也连接到三层交换机,所述三层交换机与外网之间还连接有防火墙;然后通过对已知漏洞和高危文件的分析,得到Windows系统中的关键文件列表,并确定需要防护的系统的关键路径,修改提前制定好的文件防护规则模版中文件的路径,通过SSR的文件强制访问控制功能进行文件防护规则配置和下发,实现对系统中的关键文件的底层防护。
2.根据权利要求1所述的基于强制访问控制的Windows系统文件防护方法,其特征在于:通过分析发现,当前Windows主机环境下被攻击率较高的文件包括以下几类文件:.EXE、.CMD、.COM、.MSI、.DLL、.PIF、.LNK、.SCR、.SYS、.BAT、.VBE、.VBS、.REG;针对上述类型文件,制定文件防护策略,并做成基于SSR的文件防护规则模版,根据系统环境中的关键路径,修改规则路径,然后使用SSR的规则导入功能将文件防护规则导入,从而按照规则对系统中的关键文件进行内核级的强制访问控制。
3.根据权利要求2所述的基于强制访问控制的Windows系统文件防护方法,其特征在于:针对关键类型文件,制定文件防护策略,所述文件防护策略具体如下:设置.EXE、.CMD、.COM、.MSI、.DLL、.PIF、.LNK、.SCR、.SYS、.BAT、.VBE、.VBS格式的文件对于所有进程均只有读权限;设置.REG格式的文件对所有进程无任何权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610263308.4A CN105791316A (zh) | 2016-04-26 | 2016-04-26 | 一种基于强制访问控制的Windows系统文件防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610263308.4A CN105791316A (zh) | 2016-04-26 | 2016-04-26 | 一种基于强制访问控制的Windows系统文件防护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105791316A true CN105791316A (zh) | 2016-07-20 |
Family
ID=56399628
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610263308.4A Pending CN105791316A (zh) | 2016-04-26 | 2016-04-26 | 一种基于强制访问控制的Windows系统文件防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105791316A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107480528A (zh) * | 2017-08-16 | 2017-12-15 | 郑州云海信息技术有限公司 | 一种操作系统防病毒的方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040078568A1 (en) * | 2002-10-16 | 2004-04-22 | Duc Pham | Secure file system server architecture and methods |
CN103647753A (zh) * | 2013-11-19 | 2014-03-19 | 北京奇虎科技有限公司 | 一种局域网文件安全管理方法、服务端和系统 |
CN104702620A (zh) * | 2015-03-26 | 2015-06-10 | 浪潮集团有限公司 | 一种基于文件强制访问控制的网站防护方法 |
-
2016
- 2016-04-26 CN CN201610263308.4A patent/CN105791316A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040078568A1 (en) * | 2002-10-16 | 2004-04-22 | Duc Pham | Secure file system server architecture and methods |
CN103647753A (zh) * | 2013-11-19 | 2014-03-19 | 北京奇虎科技有限公司 | 一种局域网文件安全管理方法、服务端和系统 |
CN104702620A (zh) * | 2015-03-26 | 2015-06-10 | 浪潮集团有限公司 | 一种基于文件强制访问控制的网站防护方法 |
Non-Patent Citations (2)
Title |
---|
周颖: "《浪潮SSR填补服务器安全空白》", 《信息网络安全》 * |
浪潮专栏: "《浪潮SSR服务器安全加固系统在高法行业的应用》", 《信息安全与通信保密》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107480528A (zh) * | 2017-08-16 | 2017-12-15 | 郑州云海信息技术有限公司 | 一种操作系统防病毒的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10599841B2 (en) | System and method for reverse command shell detection | |
US11347843B2 (en) | Asset-based security systems and methods | |
US10474813B1 (en) | Code injection technique for remediation at an endpoint of a network | |
US9876806B2 (en) | Behavioral detection of malware agents | |
US11288362B2 (en) | System and method for creating antivirus records for antivirus applications | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
CN104660610A (zh) | 一种基于云计算环境下的智能安全防护系统及其防护方法 | |
Baliga et al. | Automated containment of rootkits attacks | |
Wood et al. | Keyloggers in Cybersecurity Education. | |
Durve et al. | Windows 10 security hardening using device guard whitelisting and applocker blacklisting | |
Gounder et al. | New ways to fight malware | |
CN105791316A (zh) | 一种基于强制访问控制的Windows系统文件防护方法 | |
KR20220086402A (ko) | 클라우드 기반 통합 보안서비스 제공 시스템 | |
CN113824678A (zh) | 处理信息安全事件以检测网络攻击的系统和方法 | |
Nguyen et al. | Preventing the attempts of abusing cheap-hosting Web-servers for monetization attacks | |
Witczyńska | Effective protection of information systems and networks against attacks in the era of globalization | |
Win et al. | Handling the hypervisor hijacking attacks on virtual cloud environment | |
Cui | Embedded system security: A software-based approach | |
EP3522058B1 (en) | System and method of creating antivirus records | |
US20230244787A1 (en) | System and method for detecting exploit including shellcode | |
Ahmed | Behaviour Anomaly on Linux Systems to Detect Zero-day Malware Attacks | |
Ganganagari | Defining Best Practices to Prevent Zero-Day and Polymorphic Attacks | |
RU2673407C1 (ru) | Система и способ определения вредоносного файла | |
Jayarathna et al. | Hypervisor-based Security Architecture to Protect Web Applications. | |
Ramachandran et al. | Rapid and proactive approach on exploration of vulnerabilities in cloud based operating systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160720 |
|
RJ01 | Rejection of invention patent application after publication |