CN106933605B - 一种智能的进程识别控制方法和系统 - Google Patents

一种智能的进程识别控制方法和系统 Download PDF

Info

Publication number
CN106933605B
CN106933605B CN201511016744.3A CN201511016744A CN106933605B CN 106933605 B CN106933605 B CN 106933605B CN 201511016744 A CN201511016744 A CN 201511016744A CN 106933605 B CN106933605 B CN 106933605B
Authority
CN
China
Prior art keywords
application program
client
server
program configuration
strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201511016744.3A
Other languages
English (en)
Other versions
CN106933605A (zh
Inventor
龚升俊
王志海
彭涛
张磊
喻波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wondersoft Technology Co Ltd
Original Assignee
Beijing Wondersoft Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wondersoft Technology Co Ltd filed Critical Beijing Wondersoft Technology Co Ltd
Priority to CN201511016744.3A priority Critical patent/CN106933605B/zh
Publication of CN106933605A publication Critical patent/CN106933605A/zh
Application granted granted Critical
Publication of CN106933605B publication Critical patent/CN106933605B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公开了一种智能的进程识别控制方法和系统,客户端用户根据服务器端管理员下发的控制策略对对应的进程进行控制,对未知的进程可自动生成进程配置,上传并添加到服务器的应用程序配置库中,还可以智能的放过windows的所有进程;服务器端管理员只需要登录Web控制台,根据应用程序配置给客户端用户下发策略,便可实现对客户端的严格控制,无需因进程更新变化而需重新获取进程配置信息,重新下发策略等繁琐操作。

Description

一种智能的进程识别控制方法和系统
技术领域
本申请涉及安全领域,尤其涉及一种进程识别控制系统。
背景技术
当今时代,计算机已经成为政府、企业办公的必需品。工作机中包含大量的机密信息。一旦被软件非法窃取或主动泄漏,后果将不堪设想。所以如何管理控制本地应用软件的使用成为关键。
从现实情况来看,Windows的本地安全策略里的应用程序控制策略技术与本专利比较接近,图1给出了Windows的本地安全策略里的应用程序控制策略技术的实现流程,但其存在以下缺点:Windows的应用程序控制策略属于用户自定义策略,用户自己添加需要禁止或允许的进程,在实际的使用中比较麻烦,不仅需要手工配置需要控制的进程,进程快速更新变化也无法做出及时调整,而且也无法控制未知的进程,还不具有强制性,用户可以通过停止应用程序控制策略的服务或修改进程属性来绕开管理员的管理。
发明内容
本发明解决的技术问题:从实际需求和应用的角度出发,构建一个智能的进程识别控制系统,客户端用户实行身份认证,根据服务器端管理员下发的控制策略对对应的进程进行控制,对未知的进程可以自动生成已安装软件的进程配置,上传并添加到服务器的应用程序配置库中,还可以智能的放过windows的所有进程;服务器端管理员通过身份认证登录Web控制台,根据应用程序配置给客户端用户下发策略,便可实现对客户端的严格控制,无需因进程更新变化而需重新获取进程配置信息,重新下发策略等繁琐操作。
本发明技术方案:
本发明提供一种智能的进程识别控制系统,包括服务器和客户端,服务器中包括用户管理模块、应用程序配置管理模块、进程控制策略管理模块,用户管理模块进行用户组和用户帐号的创建,应用程序配置管理模块支持编辑、导入和导出应用程序配置库的功能,进程控制策略管理模块进行策略的下发,并根据客户端不断上传的新的应用程序配置,对服务器中的应用程序配置库进行不断的更新,并同步更新客户端的应用程序配置库;客户端包括功能模块、策略配置模块、客户端交互模块,客户端交互模块实现用户身份认证功能,功能模块完成对进程启动的监测、进程属性的解析、以及依据用户身份认证结果以及本地策略对进程进行控制,策略配置模块实现本地策略和应用程序配置库与服务器端策略和应用程序配置库的同步,以保证本地策略和应用程序配置库的实时性。
优选的,服务器中包括Web控制台,所述用户管理模块、应用程序配置管理模块、进程控制策略管理模块置于Web控制台中。
本发明还提供一种智能的进程识别控制方法,适用于包括服务器和客户端的系统,其特征在于,包括以下步骤:1)对服务器的部署:创建用户帐号和用户所在的组,然后导入默认的应用程序配置库,并根据需要为不同的组或用户下发不同的进程识别控制策略;2)对客户端的部署:客户端安装完成后,进行初始化工作,后台注册WMI实例用于监控新创建进程,同时启动单独线程枚举当前所有执行进程并存储;3)客户端根据服务器端管理员提供的帐号密码进行认证,如果未认证或认证失败,启用默认的禁用所有进程的策略,如果认证成功,则运行应用软件,后台监测新进程的创建,解析获取新创建进程的属性信息,并与应用程序配置库进行匹配,如果匹配命中就取出该进程所属软件的唯一ID,在用户策略中检测此ID的控制方法,并根据控制方法对该进程进行相应的控制;如果没有匹配命中,则禁止该进程运行并给相应提示,并智能生成应用程序配置,添加入应用程序配置库中并上传至服务器,服务器将客户端生成的应用程序配置信息添加入应用程序配置库中。
优选的,步骤1)中服务器自动从LDAP同步用户组织结构和用户信息。步骤3)中客户端采用USBKEY认证方式。
优选的,客户端通过进程属性信息中的颁发者签名、版权和原始文件名,对微软的所有进程实行放过,并通过核心态的方式终止不允许运行的进程。
优选的,步骤3)中“智能生成应用程序配置,添加入应用程序配置库中”通过以下方式实现:通过进程属性反向获取所属软件的安装路径,然后解析获取该软件的所有进程属性,添加到应用程序配置库中。
本发明技术效果:
1)实施简单,方便于大范围的部署使用。
2)具有强制性,无法通过伪造绕过管理。
3)自动生成应用程序配置,无需管理员手动添加。
4)管理员维护简单,管理方便。
附图说明
图1是Windows本地安全策略里应用程序控制策略技术的实现流程。
图2是本申请技术方案的总体架构图。
图3是本申请关键技术的实现流程图。
图4是实例1中服务器流程图。
图5是实例1中客户端流程图。
图6是实例2中服务器流程图。
图7是实例2中客户端流程图。
具体实施方式
本发明涉及的技术术语:
应用程序配置库:存放所有已配置软件的所有进程属性信息,进程属性包括进程名、颁发者签名、版权、原始文件名、大小、版本和MD5。
WMI:Windows Management Instrumentation,Windows管理规范,是一项核心的Windows管理技术;用户可以使用WMI管理本地和远程计算机。
核心态:在处理器的存储保护中,主要有两种权限状态,一种是核心态(管态),也被称为特权态;一种是用户态(目态)。核心态是操作系统内核所运行的模式,运行在该模式的代码,可以无限制地对系统存储、外部设备进行访问。
USBKEY:USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
LDAP:LDAP是轻量目录访问协议,英文全称是Lightweight Directory AccessProtocol,一般都简称为LDAP。
以下对图2所示本申请总体架构进行具体说明:
1)整个进程识别控制系统分为服务器和客户端。
2)服务器主要由三部分组成:用户管理模块可进行用户组和用户帐号的新建;进程控制策略管理模块主要进行策略的下发,应用程序配置模块支持编辑、导入和导出应用程序配置库功能,根据客户端不断上传的新的应用程序配置,对应用程序配置库进行不断的更新,并同步更新客户端的应用程序配置库,也可对应用程序配置库进行导出备份和服务器的部署进行导入。
用户库用于存储用户组织结构和用户帐号等信息;策略库用于存储策略相关的信息;应用程序配置库用于存储应用程序信息和进程属性等信息。
3)客户端主要包括以下部分:功能模块完成对进程启动的监测、进程属性的解析和进程的控制;策略配置模块实现本地策略和应用程序配置库与服务器保持同步,以保证控制策略和应用程序配置库的实时性;客户端交互模块实现用户身份认证功能。
以下对图3所示本申请客户端关键技术进行说明:
1)监测进程启动:
注册WMI实例用于监控新创建进程和启动单独线程枚举当前所有执行进程并存储,从而达到能够快速的获取新创建的进程,并杜绝了可能绕过WMI启动的漏洞。
2)解析获取进程属性:
为了节省系统资源,并能快速的获取进程属性信息,通过创建文件映射,将已启动的进程映射到自己的进程空间中,从而解析获取进程的属性信息,包括进程名、颁发者签名、版权、原始文件名、大小和版本,除这些基本属性外,并对该进程进行MD5,对大于5M的进程,只对前5M进行MD5;并以MD5作为对比标准,以达到对进程的绝对匹配,无法通过其他手段伪造绕过控制。
3)智能生成配置:
根据进程所在路径反向获取软件的安装目录,获取安装目录下的所有EXE进程,并以软件产品名作为应用程序配置的软件名;对于单个进程或非正常安装的直接获取该进程的属性信息,并解析生成应用程序配置,最后上传添加到服务器的应用程序配置库中。
4)智能控制进程:
通过进程属性的颁发者签名、版权和文件原始名等信息,对微软的所有进程和本系统进程实行智能的放过,并通过核心态的方式终止不允许运行的进程。
具体实施例1:公司进程识别管控系统
此方案中,服务器流程图如图4所示,客户端流程图如图5所示。从流程图4和5中可以看到客户端和服务器在实际的部署和使用中是非常方便简单的,且很好的达到了管理公司员工的办公环境;
对于服务器的部署,只需要为公司人员创建好用户帐号和用户所在的组,然后导入由公司提供的默认的应用程序配置库,接着为不同的组或用户下发不同的进程识别控制策略。
对于客户端的部署,客户端安装完成后,便进行一系列的初始化工作,后台注册WMI实例用于监控新创建进程,为了防止可能出现的绕过WMI启动的进程,启动单独线程枚举当前所有执行进程并存储。
客户端根据管理员提供的帐号密码进行认证,如果未认证或认证失败,便会启用默认禁用所有进程策略;如果认证成功,运行应用软件,后台监测到新进程的创建,解析获取新创建进程的属性信息,并与应用程序配置库进行匹配,如果匹配命中就取出该进程所属软件的唯一ID,在用户策略中检测此ID的控制方法,并根据控制方法对该进程进行相应的控制;如果没有匹配命中,禁止该进程运行并给相应提示,并智能生成应用程序配置,添加入应用程序配置库中,上传至服务器;服务器将配置信息添加入应用程序配置库中,并由管理员选择其所属软件类;如:猎豹安全浏览器属于浏览器类,Foxmail属于邮件客户端类。
具体实施例2:审计署移动支撑系统
审计署的主要业务形态为现场审计(移动审计),现场审计需要通过互联网与总署的核心业务服务器进行数据传输。由于其职业特殊性,要求网络有更好的安全性。移动网络,对于大家来说是一个开放的环境,任何人都可以截获其他人的信息。因此,大家都着重于链路和接入安全,往往忽视本地的应用安全,一旦被恶意软件窃取或主动泄密就会造成重大后果。
在整套方案中,解决了链路、接入安全、外设管控和本地数据的安全,并结合本专利实现的智能进程识别控制系统,实现除了被允许使用的软件外,强制禁止任何进程的运行,助力移动审计安全。
此方案中,服务器流程图如图6所示,包括以下步骤:
1、服务器后台自动从LDAP同步用户组织结构和用户信息至用户库。
2、导入默认应用程序配置库。
3、为用户下发控制策略。
客户端流程图如图7所示,包括以下步骤:
1、判断是否插入USBKEY;若是,进入步骤2;若否,结束;
2、启动windows系统;
3、进行身份认证,若认证成功,进入步骤4;若否,进入步骤6;
4、更新策略和应用程序配置库;
5、启动软件,若为非审计软件,进入步骤6;若为审计软件,进入步骤7;
6、禁用软件;结束;
7、运行软件,结束。

Claims (8)

1.一种智能的进程识别控制系统,其特征在于,包括服务器和客户端,服务器中包括用户管理模块、应用程序配置管理模块、进程控制策略管理模块;用户管理模块进行用户组和用户帐号的创建;进程控制策略管理模块进行策略的下发;应用程序配置管理模块支持编辑、导入和导出应用程序配置库的功能,根据客户端不断上传的新的应用程序配置,对服务器中的应用程序配置库进行不断的更新,并同步更新客户端的应用程序配置库;客户端包括功能模块、策略配置模块、客户端交互模块,客户端交互模块实现用户身份认证功能,功能模块完成对进程启动的监测、进程属性的解析以及依据用户身份认证结果和本地策略对进程进行控制,策略配置模块实现本地策略和应用程序配置库与服务器端策略和应用程序配置库的同步,以保证本地策略和应用程序配置库的实时性。
2.根据权利要求1所述的进程识别控制系统,其特征在于,服务器中包括Web控制台,所述用户管理模块、应用程序配置管理模块、进程控制策略管理模块置于Web控制台中。
3.一种智能的进程识别控制方法,适用于包括服务器和客户端的系统,其特征在于,包括以下步骤:1)对服务器的部署:创建用户帐号和用户所在的组,然后导入默认的应用程序配置库,并根据需要为不同的组或用户下发不同的进程识别控制策略;2)对客户端的部署:客户端安装完成后,进行初始化工作,后台注册WMI实例用于监控新创建进程,同时启动单独线程枚举当前所有执行进程并存储;3)客户端根据服务器端管理员提供的帐号密码进行认证,如果未认证或认证失败,启用默认的禁用所有进程的策略,如果认证成功,则运行应用软件,后台监测新进程的创建,解析获取新创建进程的属性信息,并与应用程序配置库进行匹配,如果匹配命中就取出该进程所属软件的唯一ID,在用户策略中检测此ID的控制方法,并根据控制方法对该进程进行相应的控制;如果没有匹配命中,则禁止该进程运行并给相应提示,并智能生成应用程序配置,添加入应用程序配置库中并上传至服务器,服务器将来自客户端的应用程序配置信息添加到应用程序配置库中。
4.根据权利要求3所述的进程识别控制方法,其特征在于,客户端通过创建文件映射,将已启动的进程映射到自己的进程空间中,从而解析获得进程的属性信息,属性信息包括进程名、颁发者签名、版权、原始文件名、大小和版本,并对该进程进行MD5。
5.根据权利要求3所述的进程识别控制方法,其特征在于,步骤1)中服务器自动从LDAP同步用户组织结构和用户信息。
6.根据权利要求4所述的进程识别控制方法,其特征在于,客户端通过进程属性信息中的颁发者签名、版权和原始文件名,对微软的所有进程实行放过,并通过核心态的方式终止不允许运行的进程。
7.根据权利要求3所述的进程识别控制方法,其特征在于,步骤3)中客户端采用USBKEY认证方式。
8.根据权利要求3所述的进程识别控制方法,其特征在于,步骤3)中“智能生成应用程序配置,添加入应用程序配置库中”通过以下方式实现:通过进程属性反向获取所属软件的安装路径,然后解析获取该软件的所有进程属性,添加到应用程序配置库中。
CN201511016744.3A 2015-12-29 2015-12-29 一种智能的进程识别控制方法和系统 Active CN106933605B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201511016744.3A CN106933605B (zh) 2015-12-29 2015-12-29 一种智能的进程识别控制方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201511016744.3A CN106933605B (zh) 2015-12-29 2015-12-29 一种智能的进程识别控制方法和系统

Publications (2)

Publication Number Publication Date
CN106933605A CN106933605A (zh) 2017-07-07
CN106933605B true CN106933605B (zh) 2020-04-10

Family

ID=59441478

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201511016744.3A Active CN106933605B (zh) 2015-12-29 2015-12-29 一种智能的进程识别控制方法和系统

Country Status (1)

Country Link
CN (1) CN106933605B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107508796B (zh) * 2017-07-28 2019-01-04 北京明朝万达科技股份有限公司 一种数据通信方法和装置
CN107944232A (zh) * 2017-12-08 2018-04-20 郑州云海信息技术有限公司 一种基于白名单技术的主动防御系统的设计方法及系统
CN108332423B (zh) * 2017-12-29 2020-10-09 深圳数联天下智能科技有限公司 信息控制方法、服务器及计算机可读介质
CN108734006A (zh) * 2018-05-25 2018-11-02 山东华软金盾软件股份有限公司 一种禁用 Windows 安装程序的方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101222505A (zh) * 2008-01-24 2008-07-16 中国海洋大学 实现客户端本地部署的方法
CN101390392A (zh) * 2004-10-13 2009-03-18 液滴技术有限公司 视频监控应用、设备结构、及系统结构
CN102165445A (zh) * 2008-09-26 2011-08-24 微软公司 数据层应用程序组件
CN102611705A (zh) * 2012-03-20 2012-07-25 广东电子工业研究院有限公司 一种通用计算账户管理系统及其实现方法
CN102685093A (zh) * 2011-12-08 2012-09-19 陈易 一种基于移动终端的身份认证系统及方法
CN103441986A (zh) * 2013-07-29 2013-12-11 中国航天科工集团第二研究院七〇六所 一种瘦客户端模式的数据资源安全管控方法
CN104202666A (zh) * 2014-09-05 2014-12-10 绿网天下(福建)网络科技股份有限公司 一种基于智能电视/机顶盒应用软件的管控方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8180865B2 (en) * 2007-07-11 2012-05-15 International Business Machines Corporation System and method for application server/operating system network/configuration management

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101390392A (zh) * 2004-10-13 2009-03-18 液滴技术有限公司 视频监控应用、设备结构、及系统结构
CN101222505A (zh) * 2008-01-24 2008-07-16 中国海洋大学 实现客户端本地部署的方法
CN102165445A (zh) * 2008-09-26 2011-08-24 微软公司 数据层应用程序组件
CN102685093A (zh) * 2011-12-08 2012-09-19 陈易 一种基于移动终端的身份认证系统及方法
CN102611705A (zh) * 2012-03-20 2012-07-25 广东电子工业研究院有限公司 一种通用计算账户管理系统及其实现方法
CN103441986A (zh) * 2013-07-29 2013-12-11 中国航天科工集团第二研究院七〇六所 一种瘦客户端模式的数据资源安全管控方法
CN104202666A (zh) * 2014-09-05 2014-12-10 绿网天下(福建)网络科技股份有限公司 一种基于智能电视/机顶盒应用软件的管控方法

Also Published As

Publication number Publication date
CN106933605A (zh) 2017-07-07

Similar Documents

Publication Publication Date Title
US10326795B2 (en) Techniques to provide network security through just-in-time provisioned accounts
US8839234B1 (en) System and method for automated configuration of software installation package
US20190065753A1 (en) Protecting computing devices from unauthorized access
US6243816B1 (en) Single sign-on (SSO) mechanism personal key manager
JP2017517823A (ja) 機械生成認証トークンによってサービスを運用する技法
US9509672B1 (en) Providing seamless and automatic access to shared accounts
WO2015196659A1 (zh) 一种桌面云客户端和服务端之间连接认证的方法及装置
US20130318576A1 (en) Method, device, and system for managing user authentication
CN106933605B (zh) 一种智能的进程识别控制方法和系统
CN107145531B (zh) 分布式文件系统及分布式文件系统的用户管理方法
US20120179915A1 (en) System and method for full disk encryption authentication
CN111414612B (zh) 操作系统镜像的安全保护方法、装置及电子设备
US10162950B2 (en) Methods and apparatus for using credentials to access computing resources
CN105516059A (zh) 一种资源访问控制方法和装置
WO2017114210A1 (zh) 一种数据处理系统的安全控制装置及方法
US9135460B2 (en) Techniques to store secret information for global data centers
US20120144502A1 (en) Directory service distributed product activation
CN101330428A (zh) 虚拟专用网络安全移动客户端的装置及其使用方法
US10142344B2 (en) Credential management system
CN113886014A (zh) 中间件加载动态密钥方法、装置、设备及存储介质
JP2005286402A (ja) 暗号鍵管理サーバ、暗号鍵管理プログラム、暗号鍵取得端末、暗号鍵取得プログラム、暗号鍵管理システム及び暗号鍵管理方法
CN108388792A (zh) 一种办公操作系统加固方法和系统
CN107800536A (zh) 安全进程模仿检测
CN108345801B (zh) 一种面向密文数据库的中间件动态用户认证方法及系统
KR20100001811A (ko) 일회용 비밀번호 생성 방법 및 이를 이용한 인증 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant