CN109117628A - 一种白名单程序控制方法及系统 - Google Patents
一种白名单程序控制方法及系统 Download PDFInfo
- Publication number
- CN109117628A CN109117628A CN201810947240.0A CN201810947240A CN109117628A CN 109117628 A CN109117628 A CN 109117628A CN 201810947240 A CN201810947240 A CN 201810947240A CN 109117628 A CN109117628 A CN 109117628A
- Authority
- CN
- China
- Prior art keywords
- certificate
- white list
- information
- control method
- signature information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种白名单程序控制方法及系统,方法包括:获取全部被监控对象的证书签名信息并保存至缓存;获取执行请求;根据所述执行请求从所述缓存中查询对应的证书签名信息;如果能够查询到对应的证书签名信息则允许运行,否则进行实际证书验证;如果实际证书验证成功则允许运行,否则进行智能识别,如果识别成功则允许运行,否则拦截。本发明通过采集数字签名并将签名信息存放在缓存中,在使用的时候进行缓存查询,如果查询不到再进行实际证书验证,如果实际证书验证失败再进行智能识别,在阻止恶意软件和垃圾邮件的同时允许合法代码的运行和合法邮件的通过,能够提高白名单使用效率。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种白名单程序控制方法及系统。
背景技术
白名单技术在安全软件领域十分常见,很多白名单原理都是提前采集程序的hash值,在程序启动或修改的时候通过程序判断hash值是否一致来实现,白名单技术的宗旨是不阻止某些特定的事物,它采取了与黑名单相反的做法,利用一份“已知为良好”的实体(程序、电子邮件地址、域名或网址)名单。
白名单具有以下优点:无需运行必须不断更新的防病毒软件;任何不在名单上的事物都阻止运行;系统能够免受零日攻击。因为白名单的设置,用户不能够运行不在名单上的未经授权的程序,所以不必担心用户有意或无意的安装可执行的有害程序、浪费时间的个人程序或未经授权的软件。
但是,在使用白名单技术的时候,除阻止恶意软件和垃圾邮件外同样也会阻止合法代码的运行和合法邮件的通过,影响了白名单使用效率。
发明内容
本发明实施例中提供了一种白名单程序控制方法及系统,以解决现有技术中白名单使用效率低的问题。
为了解决上述技术问题,本发明实施例公开了如下技术方案:
本发明第一方明提供了一种白名单程序控制方法,包括:
获取全部被监控对象的证书签名信息并保存至缓存;
获取执行请求;
根据所述执行请求从所述缓存中查询对应的证书签名信息;
如果能够查询到对应的证书签名信息则允许运行,否则进行实际证书验证;
如果实际证书验证成功则允许运行,否则进行智能识别,如果识别成功则允许运行,否则拦截。
优选地,获取全部被监控对象的证书签名信息具体包括:
获取被监控对象路径;
从所述被监控对象路径下获取对象信息;
从所述对象信息中获取证书签名信息。
优选地,所述实际证书验证具体包括:
获取被监控功对象数字证书;
对所述数字证书进行解析;
从解析的所述数字证书中获取程序hash值;
判断所述程序hash值与预设hash值是否一致。
优选地,所述方法还包括:
当数字证书解析时间超过预设解析时间时实际证书验证失败。
优选地,所述智能识别具体包括:
确定所述执行请求类型;
如果所述请求类型属于用户或操作系统则识别成功;
如果所述请求类型属于应用程序则从数据库中查询所述执行请求;
如果能够查询到执行请求则识别成功,否则识别失败。
优选地,所述方法还包括:
根据刷新后的被监控对象重新获取证书签名信息并保存至缓存。
本发明第二方明提供了一种白名单程序控制系统,包括:信息采集模块、签名信息验证模块、数字证书验证模块以及智能识别模块,其中,所述信息采集模块分别与所述签名信息验证模块以及数字证书验证模块通信连接,所述签名信息验证模块、数字证书验证模块以及智能识别模块依次通信连接。
优选地,所述信息采集模块包括证书采集单元和签名采集单元,所述证书采集单元与所述数字证书验证模块通信连接;所述签名采集单元与所述签名信息验证模块通信连接。
优选地,所述数字证书验证模块包括解析、验证单元和超时中断单元,所述超时中断单元与所述智能识别模块通信连接,用于向智能识别单元发送证书识别超时信号。
由以上技术方案可见,本发明通过采集数字签名并将签名信息存放在缓存中,在使用的时候进行缓存查询,如果查询不到再进行实际证书验证,如果实际证书验证失败再进行智能识别,在阻止恶意软件和垃圾邮件的同时允许合法代码的运行和合法邮件的通过,能够提高白名单使用效率。
附图说明
了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种白名单程序控制方法的流程示意图;
图2为本发明实施例提供获取证书签名信息的方法的流程示意图;
图3为本发明实施例提供实际证书验证的方法的流程示意图;
图4为本发明实施例提供的一种白名单程序控制系统的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
参见图1,为本发明实施例提供的一种白名单程序控制方法的流程示意图,如图1所示,本发明实施例提供的白名单程序控制方法,包括:
S10:获取全部被监控对象的证书签名信息并保存至缓存。
本发明实施例中所提及的被监控对象是用户设备上已经安装的应用程序以及驱动,因为其已经安装在设备上因此可以确定属于白名单上的对象,再次运行的时候可以不需要经过白名单检测,只需要经过证书签名信息验证即可,为了减少采集证书签名信息的时间,将设备上已经安装的程序和驱动的证书签名信息采集后保存在缓存中,需要说明的事,如果设备上安装的应用程序或驱动发生了刷新则需要重新进行证书签名信息获取并重新保存进缓存。
参见图2,为本发明实施例提供获取证书签名信息的方法的流程示意图,如图2所示,获取全部被监控对象的证书签名信息具体包括:
S11:获取被监控对象路径。
该路径为设备上的应用程序或驱动的安装位置,关于该应用程序以及驱动的相关文件都保存于该路径下,根据公知常识,每个被监控对象一个路径。
S12:从所述被监控对象路径下获取对象信息。
获取被监控对象路径后从该路径下读取对象信息,给对象信息包括数字证书信息和证书签名信息。
S13:从所述对象信息中获取证书签名信息。
因为本发明实施例中先进行证书签名验证,如果证书签名验证失败再进行实际证书验证,因此,还需要从获取的对象信息中提取出证书签名信息,进行第一步验证。
S20:获取执行请求。
获取设备上触发的执行请求,该执行请求包括多种类型,如操作系统的后台运行指令、用户触发的操作以及应用程序的安装指令或触发的某些操作。
S30:根据所述执行请求从所述缓存中查询对应的证书签名信息。
如果能够查询到对应的证书签名信息则执行步骤S60:允许运行,否则执行步骤S40:实际证书验证。
如果实际证书验证成功则执行步骤S60:允许运行,否则执行步骤S50:智能识别,如果识别成功则执行步骤S60:允许运行,否则执行步骤S70:拦截。
参见图3,为本发明实施例提供实际证书验证的方法的流程示意图,如图3所示,所述实际证书验证具体包括:
S41:获取被监控功对象数字证书。
S42:对所述数字证书进行解析。
S43:从解析的所述数字证书中获取程序hash值。
S44:判断所述程序hash值与预设hash值是否一致。
实际证书验证中证书解析要等十几秒的时间,有可能导致很多问题,容易感染病毒或者遭受攻击,这是十分危险的,特别是在很多涉密行业,因此,本发明实施例还包括:当数字证书解析时间超过预设解析时间时实际证书验证失败,避免由于长时间解析造成的影响。
本发明实施例中的所述智能识别具体包括:首先确定执行请求类型的类型,如果所述请求类型属于用户或操作系统则识别成功;如果所述请求类型属于应用程序则从数据库中查询所述执行请求;如果能够查询到执行请求则识别成功,否则识别失败。
对于操作系统以及用户触发的操作,因为其不是应用程序或驱动,因此无法进行证书签名信息验证和数字证书验证,且对于此类操作一般均为合法操作,因此,对于此类执行请求可以直接执行,对于执行请求为应用程序的类型,因为证书签名新验证以及数字证书验证均失败,则可能会存在风险,此时需要再从数据中进行查找,如果能够查询到则说明该应用程序属于白名单,否则不属于,此时需进行拦截。
参见图4,为本发明实施例提供的一种白名单程序控制系统的结构示意图,如图4所示,本发明实施例提供的白名单程序控制系统,包括:信息采集模块、签名信息验证模块、数字证书验证模块以及智能识别模块。
所述信息采集模块分别与所述签名信息验证模块以及数字证书验证模块通信连接,所述签名信息验证模块、数字证书验证模块以及智能识别模块依次通信连接。
具体的,所述信息采集模块包括证书采集单元和签名采集单元,所述证书采集单元与所述数字证书验证模块通信连接;所述签名采集单元与所述签名信息验证模块通信连接。所述数字证书验证模块包括解析、验证单元和超时中断单元,所述超时中断单元与所述智能识别模块通信连接,用于向智能识别单元发送证书识别超时信号。
本发明通过采集数字签名并将签名信息存放在缓存中,在使用的时候进行缓存查询,如果查询不到再进行实际证书验证,如果实际证书验证失败再进行智能识别,在阻止恶意软件和垃圾邮件的同时允许合法代码的运行和合法邮件的通过,能够提高白名单使用效率。
以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种白名单程序控制方法,其特征在于,包括:
获取全部被监控对象的证书签名信息并保存至缓存;
获取执行请求;
根据所述执行请求从所述缓存中查询对应的证书签名信息;
如果能够查询到对应的证书签名信息则允许运行,否则进行实际证书验证;
如果实际证书验证成功则允许运行,否则进行智能识别,如果识别成功则允许运行,否则拦截。
2.根据权利要求1所述的白名单程序控制方法,其特征在于,获取全部被监控对象的证书签名信息具体包括:
获取被监控对象路径;
从所述被监控对象路径下获取对象信息;
从所述对象信息中获取证书签名信息。
3.根据权利要求1所述的白名单程序控制方法,其特征在于,所述实际证书验证具体包括:
获取被监控功对象数字证书;
对所述数字证书进行解析;
从解析的所述数字证书中获取程序hash值;
判断所述程序hash值与预设hash值是否一致。
4.根据权利要求3所述的白名单程序控制方法,其特征在于,所述方法还包括:
当数字证书解析时间超过预设解析时间时实际证书验证失败。
5.根据权利要求1所述的白名单程序控制方法,其特征在于,所述智能识别具体包括:
确定所述执行请求类型;
如果所述请求类型属于用户或操作系统则识别成功;
如果所述请求类型属于应用程序则从数据库中查询所述执行请求;
如果能够查询到执行请求则识别成功,否则识别失败。
6.根据权利要求1-5任一所述的白名单程序控制方法,其特征在于,所述方法还包括:
根据刷新后的被监控对象重新获取证书签名信息并保存至缓存。
7.一种白名单程序控制系统,其特征在于,包括:信息采集模块、签名信息验证模块、数字证书验证模块以及智能识别模块,其中,所述信息采集模块分别与所述签名信息验证模块以及数字证书验证模块通信连接,所述签名信息验证模块、数字证书验证模块以及智能识别模块依次通信连接。
8.根据权利要求7所述的白名单程序控制系统,其特征在于,所述信息采集模块包括证书采集单元和签名采集单元,所述证书采集单元与所述数字证书验证模块通信连接;所述签名采集单元与所述签名信息验证模块通信连接。
9.根据权利要求7所述的白名单程序控制系统,其特征在于,所述数字证书验证模块包括解析、验证单元和超时中断单元,所述超时中断单元与所述智能识别模块通信连接,用于向智能识别单元发送证书识别超时信号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810947240.0A CN109117628A (zh) | 2018-08-20 | 2018-08-20 | 一种白名单程序控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810947240.0A CN109117628A (zh) | 2018-08-20 | 2018-08-20 | 一种白名单程序控制方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109117628A true CN109117628A (zh) | 2019-01-01 |
Family
ID=64853471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810947240.0A Pending CN109117628A (zh) | 2018-08-20 | 2018-08-20 | 一种白名单程序控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109117628A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110532775A (zh) * | 2019-07-26 | 2019-12-03 | 苏州浪潮智能科技有限公司 | 一种计算机进程管制的方法和工具 |
| CN111125666A (zh) * | 2019-12-25 | 2020-05-08 | 四川英得赛克科技有限公司 | 一种基于可信计算体系的可信控制方法及系统 |
| CN111324887A (zh) * | 2020-02-25 | 2020-06-23 | 广东天波信息技术股份有限公司 | 一种应用程序的安装控制方法及装置 |
| CN112506531A (zh) * | 2020-12-11 | 2021-03-16 | 中国科学院信息工程研究所 | 软件安装方法、装置、电子设备和存储介质 |
| CN112948831A (zh) * | 2021-03-12 | 2021-06-11 | 哈尔滨安天科技集团股份有限公司 | 应用程序风险识别的方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103167497A (zh) * | 2011-12-19 | 2013-06-19 | 卓望数码技术(深圳)有限公司 | 一种鉴权处理方法和鉴权处理系统 |
| CN106911477A (zh) * | 2015-12-23 | 2017-06-30 | 上海格尔软件股份有限公司 | 针对慢速的数字证书验证设备缓存其验证结果的加速方法 |
-
2018
- 2018-08-20 CN CN201810947240.0A patent/CN109117628A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103167497A (zh) * | 2011-12-19 | 2013-06-19 | 卓望数码技术(深圳)有限公司 | 一种鉴权处理方法和鉴权处理系统 |
| CN106911477A (zh) * | 2015-12-23 | 2017-06-30 | 上海格尔软件股份有限公司 | 针对慢速的数字证书验证设备缓存其验证结果的加速方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110532775A (zh) * | 2019-07-26 | 2019-12-03 | 苏州浪潮智能科技有限公司 | 一种计算机进程管制的方法和工具 |
| CN111125666A (zh) * | 2019-12-25 | 2020-05-08 | 四川英得赛克科技有限公司 | 一种基于可信计算体系的可信控制方法及系统 |
| CN111324887A (zh) * | 2020-02-25 | 2020-06-23 | 广东天波信息技术股份有限公司 | 一种应用程序的安装控制方法及装置 |
| CN112506531A (zh) * | 2020-12-11 | 2021-03-16 | 中国科学院信息工程研究所 | 软件安装方法、装置、电子设备和存储介质 |
| CN112948831A (zh) * | 2021-03-12 | 2021-06-11 | 哈尔滨安天科技集团股份有限公司 | 应用程序风险识别的方法和装置 |
| CN112948831B (zh) * | 2021-03-12 | 2024-02-13 | 安天科技集团股份有限公司 | 应用程序风险识别的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109117628A (zh) | 一种白名单程序控制方法及系统 | |
| US20210067529A1 (en) | System and method of adding tags for use in detecting computer attacks | |
| EP3111330B1 (en) | System and method for verifying and detecting malware | |
| US8443439B2 (en) | Method and system for mobile network security, related network and computer program product | |
| KR101122646B1 (ko) | 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치 | |
| US20090241190A1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| CN101626368A (zh) | 一种防止网页被篡改的设备、方法和系统 | |
| US11729183B2 (en) | System and method for providing secure in-vehicle network | |
| KR100788256B1 (ko) | 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법 | |
| CN112653654A (zh) | 安全监控方法、装置、计算机设备及存储介质 | |
| CN111353151B (zh) | 一种网络应用的漏洞检测方法和装置 | |
| KR102079304B1 (ko) | 화이트리스트 기반 악성코드 차단 장치 및 방법 | |
| CN110138731B (zh) | 一种基于大数据的网络防攻击方法 | |
| CN103428212A (zh) | 一种恶意代码检测及防御的方法 | |
| KR102230442B1 (ko) | 진단 대상 서버의 설정파일 수집 및 설정파일에 대한 취약점 진단의 주체가 이원화된 취약점 진단 장치 및 방법 | |
| CN102984134A (zh) | 安全防御系统 | |
| CN113301028B (zh) | 网关防护方法和数据打标签方法 | |
| CN104426836A (zh) | 一种入侵检测方法及装置 | |
| US9219728B1 (en) | Systems and methods for protecting services | |
| CN102984135A (zh) | 安全防御方法、装置与系统 | |
| CN112257058A (zh) | 一种操作系统可信计算校验方法及系统 | |
| CN105354341B (zh) | 文件的更新方法及装置 | |
| KR101723623B1 (ko) | 악성 코드 탐지 시스템 및 방법 | |
| KR100695489B1 (ko) | 프로파일링 기반 웹 서비스 보안 시스템 및 그 방법 | |
| CN112395617A (zh) | 防护docker逃逸漏洞的方法、装置、存储介质及计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190101 |