CN109460638A - 一种用于管控可执行程序的方法和装置 - Google Patents
一种用于管控可执行程序的方法和装置 Download PDFInfo
- Publication number
- CN109460638A CN109460638A CN201811401177.7A CN201811401177A CN109460638A CN 109460638 A CN109460638 A CN 109460638A CN 201811401177 A CN201811401177 A CN 201811401177A CN 109460638 A CN109460638 A CN 109460638A
- Authority
- CN
- China
- Prior art keywords
- executable program
- program
- executable
- high level
- level rules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000008901 benefit Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种用于管控可执行程序的方法和装置。该方法包括:当检测到运行第一可执行程序的时候,停止运行第一可执行程序,并且采集第一可执行程序的信息;根据第一可执行程序的信息,检查第一可执行程序是否符合一个高级规则;如果符合一个高级规则,则根据所符合的高级规则,允许运行或终止运行第一可执行程序;如果不符合任何高级规则,则根据第一可执行程序的信息之中的哈希值所确定的第一可执行程序的信任级别,允许运行或终止运行第一可执行程序。由于设置的高级规则可以批量地确定是否能够运行可执行程序,因此可以通过灵活地设置高级规则来优化识别可执行程序的过程,从而可以提高可执行程序的可维护性、易用性和操作系统的性能。
Description
技术领域
本申请涉及系统安全领域,尤指一种用于管控可执行程序的方法和装置。
背景技术
随着攻击手段日新月异,传统的黑名单防御软件只能识别已知的恶意软件和攻击,针对当前的病毒、蠕虫、入侵等种种威胁构成的混合型威胁,基于白名单的安全软件日益盛行,通过对受保护的服务器上的所有可执行程序进行搜集,并设置信任级别(黑名单、白名单),只允许白名单库之内的允许运行,否则禁止执行,可以阻止高级威胁且无需特征码更新,有效的防止未知恶意软件和零日攻击。但是,当客户业务升级或操作系统更新时,操作系统内的可执行程序可能会有大量改变,基于原有的可执行程序的信任级别的管控方式可能无法提供很好的支持,需要系统管理员手动管控可执行程序,运维效率比较低,可操作性比较差。
发明内容
为了解决上述技术问题,本申请提供了一种用于管控可执行程序的方法和装置,能够更高效地管控可执行程序。
为了达到本申请的目的,本发明实施例提供了一种用于管控可执行程序的方法,该方法包括:
当检测到运行第一可执行程序的时候,停止运行第一可执行程序,并且采集第一可执行程序的信息;
根据第一可执行程序的信息,检查第一可执行程序是否符合一个高级规则;
如果第一可执行程序符合一个高级规则,则根据所符合的高级规则,允许运行或终止运行第一可执行程序;
如果第一可执行程序不符合任何高级规则,则根据第一可执行程序的信息之中的哈希值所确定的第一可执行程序的信任级别,允许运行或终止运行第一可执行程序。
进一步地,在一个可选的实施例中,根据第一可执行程序的信息之中的哈希值所确定的第一可执行程序的信任级别,允许运行或终止运行第一可执行程序的步骤包括:
根据第一可执行程序的信息,检索第一可执行程序在程序清单中的分类;其中,在程序清单中是根据可执行程序的信任级别对可执行程序进行分类的;
如果第一可执行程序属于程序清单中的白名单,则允许运行第一可执行程序;
如果第一可执行程序属于程序清单中的灰名单,则允许运行第一可执行程序,并且在安全日志中记录运行第一可执行程序的事件;
如果第一可执行程序属于程序清单中的黑名单,则终止运行第一可执行程序;
如果第一可执行程序不符合任何高级规则,并且无法确定第一可执行程序的信任级别,则终止运行第一可执行程序。
进一步地,在一个可选的实施例中,在根据第一可执行程序的信息,检索第一可执行程序在程序清单中的分类的步骤之后,该方法还包括:
如果第一可执行程序属于程序清单中的白名单或者灰名单,则当检测到改变第一可执行程序的程序完整性的操作的时候,停止执行操作;
如果第一可执行程序属于程序清单中的黑名单或者第一可执行程序不符合任何高级规则,并且无法确定第一可执行程序的信任级别,则允许执行改变第一可执行程序的程序完整性的操作。
进一步地,在一个可选的实施例中,在根据所符合的高级规则,允许运行或终止运行第一可执行程序的步骤之后,该方法还包括:
如果根据第一可执行程序所符合的一个高级规则,允许第一可执行程序运行,则根据第一可执行程序所符合的高级规则所检查的第一可执行程序的第一信息,允许运行或者终止运行或者更新其他的可执行程序。
进一步地,在一个可选的实施例中,采集第一可执行程序的信息的步骤包括:
根据第一可执行程序的大小,确定是读取第一可执行程序的全部内容还是读取第一可执行程序的一部分内容,并且计算其哈希值:
如果第一可执行程序的大小未超过阈值,则读取第一可执行程序的全部内容并且计算其哈希值;
如果第一可执行程序的大小大于阈值,则读取第一可执行程序的首部和尾部的大小之和不超过阈值的内容,并且计算所读取的内容的哈希值。
为了达到本申请的目的,本发明实施例提供了一种用于管控可执行程序的装置,该装置包括存储器和处理器,
存储器,用于存储计算机可读指令;
处理器,用于执行计算机可读指令,以执行如下操作:
当检测到运行第一可执行程序的时候,停止运行第一可执行程序,并且采集第一可执行程序的信息;
根据第一可执行程序的信息,检查第一可执行程序是否符合一个高级规则;
如果第一可执行程序符合一个高级规则,则根据所符合的高级规则,允许运行或终止运行第一可执行程序;
如果第一可执行程序不符合任何高级规则,则根据第一可执行程序的信息之中的哈希值所确定的第一可执行程序的信任级别,允许运行或终止运行第一可执行程序。
进一步地,在一个可选的实施例中,根据第一可执行程序的信息之中的哈希值所确定的第一可执行程序的信任级别,允许运行或终止运行第一可执行程序的操作包括:
根据第一可执行程序的信息,检索第一可执行程序在程序清单中的分类;其中,在程序清单中是根据可执行程序的信任级别对可执行程序进行分类的;
如果第一可执行程序属于程序清单中的白名单,则允许运行第一可执行程序;
如果第一可执行程序属于程序清单中的灰名单,则允许运行第一可执行程序,并且在安全日志中记录运行第一可执行程序的事件;
如果第一可执行程序属于程序清单中的黑名单,则终止运行第一可执行程序;
如果第一可执行程序不符合任何高级规则,并且无法确定第一可执行程序的信任级别,则终止运行第一可执行程序。
进一步地,在一个可选的实施例中,在根据第一可执行程序的信息,检索第一可执行程序在程序清单中的分类的操作之后,处理器还执行如下操作:
如果第一可执行程序属于程序清单中的白名单或者灰名单,则当检测到改变第一可执行程序的程序完整性的操作的时候,停止执行操作;
如果第一可执行程序属于程序清单中的黑名单或者第一可执行程序不符合任何高级规则,并且无法确定第一可执行程序的信任级别,则允许执行改变第一可执行程序的程序完整性的操作。
进一步地,在一个可选的实施例中,在根据所符合的高级规则,允许运行或终止运行第一可执行程序的操作之后,处理器还执行如下操作:
如果根据第一可执行程序所符合的一个高级规则,允许第一可执行程序运行,则根据第一可执行程序所符合的高级规则所检查的第一可执行程序的第一信息,允许运行或者终止运行或者更新其他的可执行程序。
进一步地,在一个可选的实施例中,采集第一可执行程序的信息的操作包括:
根据第一可执行程序的大小,确定是读取第一可执行程序的全部内容还是读取第一可执行程序的一部分内容,并且计算其哈希值:
如果第一可执行程序的大小未超过阈值,则读取第一可执行程序的全部内容并且计算其哈希值;
如果第一可执行程序的大小大于阈值,则读取第一可执行程序的首部和尾部的大小之和不超过阈值的内容,并且计算所读取的内容的哈希值。
本发明实施例的有益效果在于,上述方案提供了高级规则,由于设置了高级规则的时候,可以批量地确定是否能够运行可执行程序,因此可以通过灵活地设置高级规则来优化识别可执行程序的过程,从而可以提高可执行程序的可维护性、易用性和操作系统的性能。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明实施例提供的用于管控可执行程序的方法的流程图;
图2为本发明可选实施例提供的用于管控可执行程序的方法的步骤S107的流程图;
图3为本发明实施例提供的用于管控可执行程序的装置的框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
为了解决上述问题,一方面,本发明实施例提供了一种用于管控可执行程序的方法,如图1所示,该方法包括步骤S101-步骤S107。
步骤S101,当检测到运行第一可执行程序的时候,停止运行第一可执行程序,并且采集第一可执行程序的信息。
这里所说的“运行”,意为将受保护的主机的操作系统之中的第一可执行程序运行到被保护的主机的内存中,以便在受保护的主机的操作系统中执行这个第一可执行程序。如果第一可执行程序中存在着恶意软件或者攻击行为,那么受保护的主机及其操作系统将会受到威胁。因此,为了保护的目的,需要首先停止运行第一可执行程序,并且采集第一可执行程序的信息,以便在后续步骤中判断第一可执行程序是否是安全的,如果是安全的,那么可以运行执行第一可执行程序;如果是不安全的,那么终止执行第一可执行程序。其中,所采集的第一可执行程序的信息包括:第一可执行程序的文件名、文件类型、文件大小、哈希值(Hash值)、公司名、产品名、版本号、是否经过微软签名、签名公司等。
步骤S103,根据第一可执行程序的信息,检查第一可执行程序是否符合一个高级规则。
这里所说的“符合”,意为可以根据高级规则判断出第一可执行程序是否是可信任的,并且能够根据高级规则的判断结果,确定是允许运行第一可执行程序,还是终止运行第一可执行程序。
步骤S105,如果第一可执行程序符合一个高级规则,则根据所符合的高级规则,允许运行或终止运行第一可执行程序。
其中,在一个可选的实施例中,可以设置多个高级规则,并且依次根据多个高级规则相互之间的优先级排列依次采用各个高级规则检查第一可执行程序,并且只要当第一可执行程序符合当前检查的时候所采用的高级规则,那么就按照当前所采用的高级规则来确定是允许运行第一可执行程序,还是终止运行第一可执行程序,而不再采用按次序接下来的高级规则检查第一可执行程序。进一步地,在一个可选的实施例中,包括以下多条高级规则:
1、信任程序的高级规则:即根据第一可执行程序本身,就能确定是允许运行还是终止运行第一可执行程序;
2、信任产品名称或公司名称的高级规则:根据第一可执行程序的关于产品名称或者公司名称的信息,确定是允许运行还是终止运行第一可执行程序;
3、信任路径的高级规则:根据第一可执行程序的索引路径,确定是允许运行还是终止运行第一可执行程序;
4、信任数字证书的高级规则:根据第一可执行程序所具有的一个或者多个数字证书,确定是允许运行还是终止运行第一可执行程序。
进一步地,在一个可选的实施例中,在使用上述四种高级规则来检查第一可执行程序是否符合一个高级规则的时候,可以按照以下的顺序来依次使用上述高级规则:
首先使用信任路径的规则来检查第一可执行程序;如果第一可执行程序不符合信任路径的规则,则接下来采用信任程序的规则进行检查;如果第一可执行程序不符合信任程序的规则,则接下来采用信任数字证书的规则进行检查;如果第一可执行程序不符合信任证书的规则,则最后采用信任产品名称或公司名称的规则进行检查。
如果在使用了上述的全部的高级规则检查第一可执行程序之后,第一可执行程序仍然不能符合其中的任何的高级规则,则如下面的步骤所示,采用第一可执行程序的信任级别来确定是否可以运行第一可执行程序。
步骤S107,如果第一可执行程序不符合任何高级规则,则根据第一可执行程序的信息之中的哈希值所确定的第一可执行程序的信任级别,允许运行或终止运行第一可执行程序。
其中,根据在采集第一可执行程序的信息时获取到的第一可执行程序的哈希值,查询在程序清单之中的第一可执行程序的分类,根据第一可执行程序在程序清单之中的分类,可以确定第一可执行程序的信任级别。在本发明实施例中,高级规则的优先级高于可执行程序的信任级别,只有在高级规则不能确定是否允许运行第一可执行程序的时候,才会根据第一可执行程序的信任级别,确定是否允许运行第一可执行程序。当设置了高级规则的时候,可以批量地确定是否能够运行可执行程序,这样可以减少采用第一可执行程序的信任级别进行判断的次数。
本发明实施例的有益效果在于,上述方案提供了高级规则,由于设置了高级规则的时候,可以批量地确定是否能够运行可执行程序,因此可以通过灵活地设置高级规则来优化识别可执行程序的过程,从而可以提高可执行程序的可维护性、易用性和操作系统的性能。
如图2所示,在一个可选的实施例中,步骤S107可以包括:
步骤S1071,根据第一可执行程序的信息,检索第一可执行程序在程序清单中的分类;其中,在程序清单中,是根据可执行程序的信任级别对可执行程序进行分类的;
步骤S1073,如果第一可执行程序属于程序清单中的白名单,则允许运行第一可执行程序;
步骤S1075,如果第一可执行程序属于程序清单中的灰名单,则允许运行第一可执行程序,并且在安全日志中记录运行第一可执行程序这一事件;
步骤S1077,如果第一可执行程序属于程序清单中的黑名单,则终止运行第一可执行程序。
步骤S1079,如果第一可执行程序不符合任何高级规则,并且无法确定第一可执行程序的信任级别,则终止运行第一可执行程序。
将第一可执行程序的信任级别设置为未知,将在安全日志中记载第一可执行程序不符合任何高级规则并且无法确定第一可执行程序的信任级别。安全日志可以用来记录拒绝未授权的可执行程序的违规操作,便于日后的审计和跟踪,同时帮助系统管理员快速发现和消除潜在的安全风险。进一步地,在上述可选的实施例的基础上,在步骤S1071之后,该方法还可以包括:如果第一可执行程序属于程序清单中的白名单或者灰名单,则当检测到改变第一可执行程序的程序完整性的操作的时候,停止执行操作;
如果第一可执行程序属于程序清单中的黑名单或者第一可执行程序不符合任何高级规则,并且无法确定第一可执行程序的信任级别,则允许执行改变第一可执行程序的程序完整性的操作。
这里所说的“改变第一可执行程序的程序完整性的操作”,包括:对第一可执行程序进行重命名、编辑、删除等等的操作。如果第一可执行程序属于程序清单之中的白名单或者灰名单,则对第一可执行程序进行编辑、删除、重命名等等操作可能危及第一可执行程序的安全性,那么第一可执行程序不能再得到信任,因此需要终止上述的改变程序完整性的操作,此外还可以将上述事件(试图改变第一可执行程序的程序完整性的事件)记录到安全日志中;如果第一可执行程序属于程序清单之中的黑名单,或者第一可执行程序的信任级别是无法确定的,那么在此情况下操作系统会终止运行第一可执行程序,因此,即使是改变第一可执行程序的程序完整性的操作也不会使第一可执行程序影响到操作系统的安全,因此,可以允许执行改变第一可执行程序的程序完整性的操作。
在一个可选的实施例中,在步骤S105之后,该方法还可以包括:
如果根据第一可执行程序所符合的一个高级规则,允许第一可执行程序运行,则根据第一可执行程序所符合的高级规则所检查的第一可执行程序的第一信息,允许运行或者终止运行或者更新其他的可执行程序。
例如,如果为可执行程序设置了上述四个高级规则(信任程序、信任产品名称或公司名称、信任路径、信任数字证书),那么,对于第一可执行程序符合其中一种高级规则的情况,可以以下列方式来允许运行或者终止运行或者更新其他的可执行程序。
当第一可执行程序的第一信息(这里的“第一信息”的作用是:高级规则根据这个第一信息,可以确定是否允许运行第一可执行程序)符合信任程序的高级规则时(也就是说,第一可执行程序本身就是符合特定于程序的高级规则的),那么可以授权第一可执行程序作为系统工具而允许运行或终止运行其他的可执行程序,或者更新其他的可执行程序;在此,可以支持通过第一可执行程序上传安装包或升级包;此外,为了操作系统的安全方面考虑,第一可执行程序还可以采集上传的安装包或者升级包的哈希值,并且为更新的可执行程序添加高级规则。
当第一可执行程序符合信任产品名称或公司名称的高级规则时,支持通过配置信任某类产品名称或公司名称进行批量设置允许运行或终止运行其他可执行程序,也就是说,如果其他的可执行程序的产品名称/或者公司名称与第一可执行程序的产品名称/公司名称相同或者对应,那么允许运行或者终止运行这个可执行程序,或者更新这个可执行程序。
当第一可执行程序符合信任路径的高级规则时,如果一个可执行程序的索引路径与第一可执行程序的索引路径相同,那么允许运行或者终止运行这个可执行程序,或者更新这个可执行程序。该规则适用于客户手动维护业务。
当第一可执行程序符合信任数字证书的高级规则时,如果一个可执行程序具有与第一可执行程序相同的数字证书,那么允许运行或者拒绝运行具有该数字证书的可执行程序,或者可以更新具有该数字证书的可执行程序。
运用以上的第一可执行程序所符合的高级规则之中的第一信息,可以为操作系统之中的其他可执行程序进行归类,从而对符合第一信息的其他可执行程序批量地进行允许运行的操作、拒绝运行的操作或者更新程序的操作,这样可以减少系统管理员的工作量,提高系统运维的效率。
作为上述方案的一个可选的补充方案,如果有可执行程序根据高级规则进行了更新,那么可以设置更新后的这个可执行程序的信任级别,使得更新后的这个可执行程序属于程序清单中的白名单。这样可以不再需要系统管理员确认这个可执行程序的信任级别,减少系统管理员的工作量,提高运维效率。
作为上述方案的一个可选的补充方案,如果系统管理员需要临时维护操作系统之中的特定的可执行程序,那么可以通过添加高级规则并且针对这个特定的可执行程序设定高级规则,来实现更新特定的可执行程序的目的。
在操作系统上运行或新增一个可执行程序需要自动检测并计算这个可执行程序的哈希值,当可执行程序的大小过大时(例如,超过2G),计算这个大文件的哈希值会非常耗时,并且可能会占用操作系统过多资源,出现系统卡住现象。
为了解决这个问题,在一个可选的实施例中,步骤S101可以包括:
根据第一可执行程序的大小,确定是读取第一可执行程序的全部内容还是读取第一可执行程序的一部分内容,并且计算其哈希值:
如果第一可执行程序的大小未超过阈值,则读取第一可执行程序的全部内容并且计算其哈希值;
如果第一可执行程序的大小大于阈值,则读取第一可执行程序的首部和尾部的大小之和不超过阈值的内容,并且计算所读取的内容的哈希值。
例如,如果为可执行程序(可以是操作系统之中的每个可执行程序)的大小设置的阈值是20MB,那么可以将第一可执行程序的大小与阈值进行比较:如果第一可执行程序的大小≤20MB(未超过),那么操作系统计算可执行程序的全部内容的哈希值不会耗费较多的时间或者占用较多的资源;如果第一可执行程序的大小>20MB,那么操作系统计算可执行程序的全部内容的哈希值会耗费较多的时间或者占用较多的资源,或者既耗费较多的时间又占用较多的资源,这对于管控运行第一可执行程序的操作来说是不符合实际情况的,因此,可以仅仅计算第一可执行程序的首部的内容的哈希值以及尾部的内容的哈希值,并且首部的内容与尾部的内容的大小之和不超过阈值,这样既能够获取第一可执行程序的尽可能多的特征值(哈希值),耗费的时间和系统资源也在可承受的范围之内,避免了计算大文件的哈希值耗费大量时间并且占用过多系统资源造成系统卡住的现象。
为了解决上述技术问题,本发明实施例提供了一种用于管控可执行程序的装置,如图3所示,该装置包括存储器10和处理器20。
存储器10,用于存储计算机可读指令;
处理器20,用于执行计算机可读指令,以执行如下操作:
当检测到运行第一可执行程序的时候,停止运行第一可执行程序,并且采集第一可执行程序的信息;
根据第一可执行程序的信息,检查第一可执行程序是否符合一个高级规则;
如果第一可执行程序符合一个高级规则,则根据所符合的高级规则,允许运行或终止运行第一可执行程序;
如果第一可执行程序不符合任何高级规则,则根据第一可执行程序的信息之中的哈希值所确定的第一可执行程序的信任级别,允许运行或终止运行第一可执行程序。
本发明实施例的有益效果在于,上述方案提供了高级规则,由于设置了高级规则的时候,可以批量地确定是否能够运行可执行程序,因此可以通过灵活地设置高级规则来优化识别可执行程序的过程,从而可以提高可执行程序的可维护性、易用性和操作系统的性能。
进一步地,在一个可选的实施例中,根据第一可执行程序的信息之中的哈希值所确定的第一可执行程序的信任级别,允许运行或终止运行第一可执行程序的操作包括:
根据第一可执行程序的信息,检索第一可执行程序在程序清单中的分类;其中,在程序清单中是根据可执行程序的信任级别对可执行程序进行分类的;
如果第一可执行程序属于程序清单中的白名单,则允许运行第一可执行程序;
如果第一可执行程序属于程序清单中的灰名单,则允许运行第一可执行程序,并且在安全日志中记录运行第一可执行程序的事件;
如果第一可执行程序属于程序清单中的黑名单,则终止运行第一可执行程序;
如果第一可执行程序不符合任何高级规则,并且无法确定第一可执行程序的信任级别,则终止运行第一可执行程序。
进一步地,在一个可选的实施例中,在根据第一可执行程序的信息,检索第一可执行程序在程序清单中的分类的操作之后,处理器还执行如下操作:
如果第一可执行程序属于程序清单中的白名单或者灰名单,则当检测到改变第一可执行程序的程序完整性的操作的时候,停止执行操作;
如果第一可执行程序属于程序清单中的黑名单或者第一可执行程序不符合任何高级规则,并且无法确定第一可执行程序的信任级别,则允许执行改变第一可执行程序的程序完整性的操作。
进一步地,在一个可选的实施例中,在根据所符合的高级规则,允许运行或终止运行第一可执行程序的操作之后,处理器还执行如下操作:
如果根据第一可执行程序所符合的一个高级规则,允许第一可执行程序运行,则根据第一可执行程序所符合的高级规则所检查的第一可执行程序的第一信息,允许运行或者终止运行或者更新其他的可执行程序。
进一步地,在一个可选的实施例中,采集第一可执行程序的信息的操作包括:
根据第一可执行程序的大小,确定是读取第一可执行程序的全部内容还是读取第一可执行程序的一部分内容,并且计算其哈希值:
如果第一可执行程序的大小未超过阈值,则读取第一可执行程序的全部内容并且计算其哈希值;
如果第一可执行程序的大小大于阈值,则读取第一可执行程序的首部和尾部的大小之和不超过阈值的内容,并且计算所读取的内容的哈希值。
虽然本发明所揭露的实施方式如上,但上述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (10)
1.一种用于管控可执行程序的方法,其特征在于,所述方法包括:
当检测到运行第一可执行程序的时候,停止运行所述第一可执行程序,并且采集所述第一可执行程序的信息;
根据所述第一可执行程序的信息,检查所述第一可执行程序是否符合一个高级规则;
如果所述第一可执行程序符合一个所述高级规则,则根据所符合的高级规则,允许运行或终止运行所述第一可执行程序;
如果所述第一可执行程序不符合任何高级规则,则根据所述第一可执行程序的信息之中的哈希值所确定的所述第一可执行程序的信任级别,允许运行或终止运行所述第一可执行程序。
2.根据权利要求1所述的方法,其中,所述根据所述第一可执行程序的信息之中的哈希值所确定的所述第一可执行程序的信任级别,允许运行或终止运行所述第一可执行程序的步骤包括:
根据所述第一可执行程序的信息,检索所述第一可执行程序在程序清单中的分类;其中,在所述程序清单中是根据可执行程序的信任级别对可执行程序进行分类的;
如果所述第一可执行程序属于所述程序清单中的白名单,则允许运行所述第一可执行程序;
如果所述第一可执行程序属于所述程序清单中的灰名单,则允许运行所述第一可执行程序,并且在安全日志中记录运行所述第一可执行程序的事件;
如果所述第一可执行程序属于所述程序清单中的黑名单,则终止运行所述第一可执行程序;
如果所述第一可执行程序不符合任何高级规则,并且无法确定所述第一可执行程序的信任级别,则终止运行所述第一可执行程序。
3.根据权利要求2所述的方法,其特征在于,在所述根据所述第一可执行程序的信息,检索所述第一可执行程序在程序清单中的分类的步骤之后,所述方法还包括:
如果所述第一可执行程序属于所述程序清单中的白名单或者灰名单,则当检测到改变所述第一可执行程序的程序完整性的操作的时候,停止执行所述操作;
如果所述第一可执行程序属于所述程序清单中的黑名单或者所述第一可执行程序不符合任何高级规则,并且无法确定所述第一可执行程序的信任级别,则允许执行改变所述第一可执行程序的程序完整性的操作。
4.根据权利要求1所述的方法,其特征在于,在所述根据所符合的高级规则,允许运行或终止运行所述第一可执行程序的步骤之后,所述方法还包括:
如果根据所述第一可执行程序所符合的一个高级规则,允许所述第一可执行程序运行,则根据所述第一可执行程序所符合的高级规则所检查的所述第一可执行程序的第一信息,允许运行或者终止运行或者更新其他的可执行程序。
5.根据权利要求1所述的方法,其特征在于,所述采集所述第一可执行程序的信息的步骤包括:
根据所述第一可执行程序的大小,确定是读取所述第一可执行程序的全部内容还是读取所述第一可执行程序的一部分内容,并且计算其哈希值:
如果所述第一可执行程序的大小未超过阈值,则读取所述第一可执行程序的全部内容并且计算其哈希值;
如果所述第一可执行程序的大小大于阈值,则读取所述第一可执行程序的首部和尾部的大小之和不超过所述阈值的内容,并且计算所读取的内容的哈希值。
6.一种用于管控可执行程序的装置,包括存储器和处理器,
所述存储器,用于存储计算机可读指令;
所述处理器,用于执行所述计算机可读指令,以执行如下操作:
当检测到运行第一可执行程序的时候,停止运行所述第一可执行程序,并且采集所述第一可执行程序的信息;
根据所述第一可执行程序的信息,检查所述第一可执行程序是否符合一个高级规则;
如果所述第一可执行程序符合一个所述高级规则,则根据所符合的高级规则,允许运行或终止运行所述第一可执行程序;
如果所述第一可执行程序不符合任何高级规则,则根据所述第一可执行程序的信息之中的哈希值所确定的所述第一可执行程序的信任级别,允许运行或终止运行所述第一可执行程序。
7.根据权利要求6所述的装置,其特征在于,所述根据所述第一可执行程序的信息之中的哈希值所确定的所述第一可执行程序的信任级别,允许运行或终止运行所述第一可执行程序的操作包括:
根据所述第一可执行程序的信息,检索所述第一可执行程序在程序清单中的分类;其中,在所述程序清单中是根据可执行程序的信任级别对可执行程序进行分类的;
如果所述第一可执行程序属于所述程序清单中的白名单,则允许运行所述第一可执行程序;
如果所述第一可执行程序属于所述程序清单中的灰名单,则允许运行所述第一可执行程序,并且在安全日志中记录运行所述第一可执行程序的事件;
如果所述第一可执行程序属于所述程序清单中的黑名单,则终止运行所述第一可执行程序;
如果所述第一可执行程序不符合任何高级规则,并且无法确定所述第一可执行程序的信任级别,则终止运行所述第一可执行程序。
8.根据权利要求7所述的装置,其特征在于,在所述根据所述第一可执行程序的信息,检索所述第一可执行程序在程序清单中的分类的操作之后,所述处理器还执行如下操作:
如果所述第一可执行程序属于所述程序清单中的白名单或者灰名单,则当检测到改变所述第一可执行程序的程序完整性的操作的时候,停止执行所述操作;
如果所述第一可执行程序属于所述程序清单中的黑名单或者所述第一可执行程序不符合任何高级规则,并且无法确定所述第一可执行程序的信任级别,则允许执行改变所述第一可执行程序的程序完整性的操作。
9.根据权利要求6所述的装置,其特征在于,在所述根据所符合的高级规则,允许运行或终止运行所述第一可执行程序的操作之后,所述处理器还执行如下操作:
如果根据所述第一可执行程序所符合的一个高级规则,允许所述第一可执行程序运行,则根据所述第一可执行程序所符合的高级规则所检查的所述第一可执行程序的第一信息,允许运行或者终止运行或者更新其他的可执行程序。
10.根据权利要求6所述的装置,其特征在于,所述采集所述第一可执行程序的信息的操作包括:
根据所述第一可执行程序的大小,确定是读取所述第一可执行程序的全部内容还是读取所述第一可执行程序的一部分内容,并且计算其哈希值:
如果所述第一可执行程序的大小未超过阈值,则读取所述第一可执行程序的全部内容并且计算其哈希值;
如果所述第一可执行程序的大小大于阈值,则读取所述第一可执行程序的首部和尾部的大小之和不超过所述阈值的内容,并且计算所读取的内容的哈希值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811401177.7A CN109460638A (zh) | 2018-11-22 | 2018-11-22 | 一种用于管控可执行程序的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811401177.7A CN109460638A (zh) | 2018-11-22 | 2018-11-22 | 一种用于管控可执行程序的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109460638A true CN109460638A (zh) | 2019-03-12 |
Family
ID=65611375
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811401177.7A Pending CN109460638A (zh) | 2018-11-22 | 2018-11-22 | 一种用于管控可执行程序的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109460638A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110008694A (zh) * | 2019-04-15 | 2019-07-12 | 苏州浪潮智能科技有限公司 | 一种应用程序安全控制方法、装置、设备及可读存储介质 |
| CN110086932A (zh) * | 2019-04-24 | 2019-08-02 | 努比亚技术有限公司 | 一种进程启动控制方法、穿戴式设备及存储介质 |
| CN110516443A (zh) * | 2019-07-19 | 2019-11-29 | 苏州浪潮智能科技有限公司 | 一种基于离线智能学习的应用程序管控方法及系统 |
| CN111770114A (zh) * | 2020-09-01 | 2020-10-13 | 北京安帝科技有限公司 | 一种基于指纹采集的工业控制应用程序安全监测方法 |
| CN114780168A (zh) * | 2022-03-30 | 2022-07-22 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577712A (zh) * | 2014-10-10 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 一种文件上传方法、装置和系统 |
| CN107657171A (zh) * | 2017-09-11 | 2018-02-02 | 郑州云海信息技术有限公司 | 一种在ssr集中管理平台管理应用程序的方法 |
| CN107766731A (zh) * | 2017-09-22 | 2018-03-06 | 郑州云海信息技术有限公司 | 一种基于应用程序管控的防病毒攻击实现方法及系统 |
-
2018
- 2018-11-22 CN CN201811401177.7A patent/CN109460638A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577712A (zh) * | 2014-10-10 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 一种文件上传方法、装置和系统 |
| CN107657171A (zh) * | 2017-09-11 | 2018-02-02 | 郑州云海信息技术有限公司 | 一种在ssr集中管理平台管理应用程序的方法 |
| CN107766731A (zh) * | 2017-09-22 | 2018-03-06 | 郑州云海信息技术有限公司 | 一种基于应用程序管控的防病毒攻击实现方法及系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110008694A (zh) * | 2019-04-15 | 2019-07-12 | 苏州浪潮智能科技有限公司 | 一种应用程序安全控制方法、装置、设备及可读存储介质 |
| CN110086932A (zh) * | 2019-04-24 | 2019-08-02 | 努比亚技术有限公司 | 一种进程启动控制方法、穿戴式设备及存储介质 |
| CN110086932B (zh) * | 2019-04-24 | 2021-05-25 | 努比亚技术有限公司 | 一种进程启动控制方法、穿戴式设备及存储介质 |
| CN110516443A (zh) * | 2019-07-19 | 2019-11-29 | 苏州浪潮智能科技有限公司 | 一种基于离线智能学习的应用程序管控方法及系统 |
| CN111770114A (zh) * | 2020-09-01 | 2020-10-13 | 北京安帝科技有限公司 | 一种基于指纹采集的工业控制应用程序安全监测方法 |
| CN114780168A (zh) * | 2022-03-30 | 2022-07-22 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
| CN114780168B (zh) * | 2022-03-30 | 2023-04-28 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109460638A (zh) | 一种用于管控可执行程序的方法和装置 | |
| US10511632B2 (en) | Incremental security policy development for an enterprise network | |
| US10691814B2 (en) | Method and system for improving security and reliability in a networked application environment | |
| US7702693B1 (en) | Role-based access control enforced by filesystem of an operating system | |
| RU2468426C2 (ru) | Преобразование файла в ограниченном процессе | |
| US7472167B2 (en) | System and method for uniform resource locator filtering | |
| US8739287B1 (en) | Determining a security status of potentially malicious files | |
| CN101894225B (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
| CN1773417B (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
| US9083720B2 (en) | Managing security objects | |
| US20100122313A1 (en) | Method and system for restricting file access in a computer system | |
| US8291493B2 (en) | Windows registry modification verification | |
| US20120174227A1 (en) | System and Method for Detecting Unknown Malware | |
| US20180211043A1 (en) | Blockchain Based Security for End Points | |
| US20100275252A1 (en) | Software management apparatus and method, and user terminal controlled by the apparatus and management method for the same | |
| KR101260028B1 (ko) | 악성코드 그룹 및 변종 자동 관리 시스템 | |
| EP2560120B1 (en) | Systems and methods for identifying associations between malware samples | |
| US8656494B2 (en) | System and method for optimization of antivirus processing of disk files | |
| US8813229B2 (en) | Apparatus, system, and method for preventing infection by malicious code | |
| CN113179271A (zh) | 一种内网安全策略检测方法及装置 | |
| CN109800571B (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
| CN103235918B (zh) | 可信文件的收集方法及系统 | |
| CN102750476B (zh) | 鉴定文件安全性的方法和系统 | |
| RU2481633C2 (ru) | Система и способ автоматического расследования инцидентов безопасности | |
| CN113722703A (zh) | 白名单自适应程序管理方法、系统、终端及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190312 |