CN111177706A - 一种基于信任软件库的进程白名单更新方法 - Google Patents
一种基于信任软件库的进程白名单更新方法 Download PDFInfo
- Publication number
- CN111177706A CN111177706A CN201911360094.2A CN201911360094A CN111177706A CN 111177706 A CN111177706 A CN 111177706A CN 201911360094 A CN201911360094 A CN 201911360094A CN 111177706 A CN111177706 A CN 111177706A
- Authority
- CN
- China
- Prior art keywords
- installation program
- hash value
- file
- white list
- trust
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种基于信任软件库的白名单更新方法,包括以下步骤:提取安装程序的基本信息;将安装程序的基本信息添加到管理服务器的信任安装程序库中;管理服务器将信任安装程序列表下发到所有受控端;所述受控端启动安装程序;文件系统监控模块计算安装程序的哈希值;文件系统监控模块将安装程序的哈希值与信任安装程序列表中的哈希值进行对比;文件系统监控模块追踪信任安装程序的文件更新操作;计算更新文件的哈希值;将更新文件的哈希值更新到本地白名单库中。
Description
技术领域
本发明涉及计算机安全防护技术领域,更具体的说是涉及一种基于信任软件库的进程白名单更新方法。
背景技术
目前,随着工业互联网、物联网、云计算、移动互联网等技术的深入发展,IT与OT加速融合,工业网络逐渐由封闭走向开放,网络安全威胁全面向工业环境渗透,工业网络安全问题日益凸显,与大众日常生活息息相关的能源通信、生产制造等重要领域频繁遭受安全攻击。工业网络环境中的工程师站、操作员站、数据服务器等关键设施,是安全攻击的重点目标,著名的“震网”、“勒索”、“挖矿”等病毒都是以工业终端为目标,给工业生产造成了巨大的损失。
传统的杀毒软件是防范终端病毒木马的一种有效手段,但是它对于系统内存资源、CPU资源的占用比较高,非常影响老旧的工业终端设备的运行效率;另外,工业环境以可用性为第一诉求,杀毒软件的潜在误杀行为会对工业生产造成严重的挑战。再者,工业生产环境相对孤立,杀毒软件的病毒库更新会严重滞后,往往难以检测新的病毒木马。
为了应对这种安全威胁,业界推出了应用白名单技术,以严格的程序准入方式来固化工业终端的运行环境,默认拦截一切未知可执行程序和脚本的执行,可有效抵御已知和未知的恶意代码,保障工业主机的安全。这种基于白名单的较为严格的控制方式,虽然能够很好地防御病毒木马,但却对于工业生产软件的更新带来了很大的麻烦。因为白名单控制机制默认禁止所有不认识的程序,更新软件以及其释放的模块都被禁止了。现实情况是,软件更新场景普遍存在。
为了解决白名单管控模式下的软件更新问题,专利公开号为CN101788915A的专利提供一种单机解决方案。该专利提出了一种基于可信进程树的白名单更新方法,当新的程序安装或原有程序更新时,通过可信进程树安全机制,实现对白名单的更新,该白名单更新方法,包含执行程序的启动,以及可执行程序对文件资源的访问操作的文件系统监控模块;用于根据进程间及进程对可执行程序的调用关系,构建合法可执行程序所形成的可信进程树的构建模块;将程序的判定结果通知调用接口的系统白名单安全控制机制的可信报告模块;提取可信进程树中的各个节点对应可执行程序的特征值,并将这些特征值更新至白名单的更新模块;通过对进程间创建及调用关系的分析,准确的定位非白名单程序中的新安装合法程序和系统中的非法程序,收集新安装程序的特征值。
该方法可有效用实现单机环境下的软件更新,且一般需要专业的维护人员手工进行操作,以避免普通人误将带毒的安装程序添加到白名单中。但在实际工业场景下,一条生产线就有几十台机器,一个车间可能有上百台机器,这种靠专业人员逐台机器进行手动化更新的方式会极大增加运维人员的负担。
专利公开号为CN105183504A的基于软件服务器的进程白名单更新方法,提供了一种通过软件服务器捕获软件更新信息,并将捕获的更新信息与安装包一起推送到受控主机上,自动完成白名单的更新。
这种方案可以实现一款软件白名单的快速共享,让普通人员也可以直接运行安装程序,简化了软件更新的过程。但是,该专利在软件服务器端捕获软件更新的过程存在两方面的问题:一是软件安装程序一般会释放并执行临时文件,这些临时文件只在安装过程中使用,安装完成后即会删除,这些临时文件也添加到白名单,会引入众多的无效文件HASH;二是一些软件在不同的操作系统环境下,释放的二进制文件可能不太一样,这会导致软件在不同版本操作系统上执行时增加的白名单会有缺失,安装后的软件可能无法运行。
因此,发明一种将受信任的安装程序添加到信任安装程序名单列表中,并通过服务器共享给所有的受控端;当受控端运行信任列表中的安装程序时,借助软件更新文件捕获机制,自动提取新增二进制文件的HASH值,并更新到本地白名单库中,从而让更新的软件无障碍运行的白名单更新方法是本领域技术人员亟需解决的问题。
发明内容
有鉴于此,本发明提供了一种基于信任软件库的进程白名单更新方法。
为了实现上述目的,本发明采用如下技术方案:
一种基于信任软件库的进程白名单更新方法,包括以下步骤:
S1、提取安装程序的基本信息;
S2、将安装程序的基本信息添加到管理服务器的信任安装程序库中;
S3、管理服务器将信任安装程序列表下发到所有受控端;
S4、所述受控端启动安装程序;
S5、文件系统监控模块计算安装程序的哈希值;
S6、文件系统监控模块将安装程序的哈希值与信任安装程序列表中的哈希值进行对比;
S7、文件系统监控模块追踪信任安装程序的文件更新操作;
S8、计算更新文件的哈希值;
S9、将更新文件的哈希值更新到本地白名单库中。
优选的,所述步骤S6还包括,比对完成后,所述文件系统监控模块标记信任安装程序。
优选的,步骤S7中的文件系统监控模块追踪的方法为基于可信进程树的白名单更新方法。
优选的,所述基本信息为安装程序文件的哈希值。
优选的,所述基本信息还包括安装程序名称、版本信息。
优选的,所述文件更新操作包括新建和重命名操作。
经由上述的技术方案可知,与现有技术相比,本发明公开提供了一种将受信任的安装程序添加到信任安装程序名单列表中,并通过服务器共享给所有的受控端;当受控端运行信任列表中的安装程序时,借助软件更新文件捕获机制,自动提取新增二进制文件的HASH值,并更新到本地白名单库中,从而让更新的软件无障碍运行的基于信任软件库的进程白名单更新方法。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1附图为本发明提供的流程示意图。
图2附图为本发明提供的网络拓扑结构示意图。
图3附图为本发明提供的监控流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明公开了一种基于信任软件库的进程白名单更新方法,包括以下步骤:
S1、提取安装程序的基本信息;
S2、将安装程序的基本信息添加到管理服务器的信任安装程序库中;
S3、管理服务器将信任安装程序列表下发到所有受控端;
S4、所述受控端启动安装程序;
S5、文件系统监控模块计算安装程序的哈希值;
S6、文件系统监控模块将安装程序的哈希值与信任安装程序列表中的哈希值进行对比;
S7、文件系统监控模块追踪信任安装程序的文件更新操作;
S8、计算更新文件的哈希值;
S9、将更新文件的哈希值更新到本地白名单库中。
为进一步优化上述技术方案,所述步骤S6还包括,比对完成后,所述文件系统监控模块标记信任安装程序。
为进一步优化上述技术方案,步骤S7中的文件系统监控模块追踪的方法为基于可信进程树的白名单更新方法。
为进一步优化上述技术方案,所述基本信息为安装程序文件的哈希值。
为进一步优化上述技术方案,所述基本信息还包括安装程序名称、版本信息。
为进一步优化上述技术方案,所述文件更新操作包括新建和重命名操作。
实施例
如图2所示,本发明的网络拓扑结构包括受控端、管理服务器端和管理控制台。受控端部署基于进程白名单的主机安全防护软件,其中包含文件系统监控模块;管理服务器作为整个系统的安全策略配置和日志管理中心,所述管理控制台负责为管理员提供集中管理界面,其上可以运行软件信息提取工具。
安装程序是一种PE格式的文件,使用哈希算法计算安装程序的哈希值,其中,哈希算法可以为SM3、MD5、SHA1、SHA256或其他更加安全的算法;PE文件中还存在通用格式的版本信息数据,使用提取工具从中提取出PE文件的版本号和产品名称,将安装程序以及安装程序的哈希值、版本号和产品名称发送到管理服务器的信任安装程序库中,版本号和产品名称用于辅助管理信任安装程序列表,管理服务器将信任安装程序列表下发到所有的受控端。
受控端运行安装程序,文件系统监控模块在捕获到安装程序启动后,计算安装程序的哈希值,并将安装程序的哈希值与受控端中保存的哈希值对比,检查是否为信任的安装程序,若不是,则不做任何监控,若是则标记并跟踪该安装程序运行过程中产生的二进制文件,计算二进制文件的哈希值,并将哈希值追加到白名单库中,完成白名单的更新。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (6)
1.一种基于信任软件库的进程白名单更新方法,其特征在于,包括以下步骤:
S1、提取安装程序的基本信息;
S2、将安装程序的基本信息添加到管理服务器的信任安装程序库中;
S3、管理服务器将信任安装程序列表下发到所有受控端;
S4、所述受控端启动安装程序;
S5、文件系统监控模块计算安装程序的哈希值;
S6、文件系统监控模块将安装程序的哈希值与信任安装程序列表中的哈希值进行对比;
S7、文件系统监控模块追踪信任安装程序的文件更新操作;
S8、计算更新文件的哈希值;
S9、将更新文件的哈希值更新到本地白名单库中。
2.根据权利要求1所述的一种基于信任软件库的进程白名单更新方法,其特征在于,所述步骤S6还包括,比对完成后,所述文件系统监控模块标记信任安装程序。
3.根据权利要求1所述的一种基于信任软件库的进程白名单更新方法,其特征在于,步骤S7中的文件系统监控模块追踪的方法为基于可信进程树的白名单更新方法。
4.根据权利要求1所述的一种基于信任软件库的进程白名单更新方法,其特征在于,所述基本信息为安装程序文件的哈希值。
5.根据权利要求1所述的一种基于信任软件库的进程白名单更新方法,其特征在于,所述基本信息还包括安装程序名称、版本信息。
6.根据权利要求1所述的一种基于信任软件库的进程白名单更新方法,其特征在于,所述文件更新操作包括新建和重命名操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911360094.2A CN111177706A (zh) | 2019-12-25 | 2019-12-25 | 一种基于信任软件库的进程白名单更新方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911360094.2A CN111177706A (zh) | 2019-12-25 | 2019-12-25 | 一种基于信任软件库的进程白名单更新方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111177706A true CN111177706A (zh) | 2020-05-19 |
Family
ID=70654061
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911360094.2A Pending CN111177706A (zh) | 2019-12-25 | 2019-12-25 | 一种基于信任软件库的进程白名单更新方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111177706A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111914249A (zh) * | 2020-08-11 | 2020-11-10 | 北京珞安科技有限责任公司 | 一种程序白名单的生成方法、程序更新方法及装置 |
| CN111930394A (zh) * | 2020-07-21 | 2020-11-13 | 北京威努特技术有限公司 | 工控系统用软件包管理及操作的方法、装置、工控系统及计算机可读介质 |
| CN112269644A (zh) * | 2020-10-16 | 2021-01-26 | 苏州浪潮智能科技有限公司 | 一种子进程调用的验证方法、系统、设备及可读存储介质 |
| CN113779584A (zh) * | 2021-11-15 | 2021-12-10 | 北京信达环宇安全网络技术有限公司 | 防护软件安装方法及系统 |
| CN113836542A (zh) * | 2021-10-13 | 2021-12-24 | 南方电网数字电网研究院有限公司 | 可信白名单匹配方法、系统和装置 |
| CN114896117A (zh) * | 2022-03-08 | 2022-08-12 | 安芯网盾(北京)科技有限公司 | 软件安装更新过程基于白名单的内存行为监控方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
| US20150193618A1 (en) * | 2012-10-09 | 2015-07-09 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, method of controlling the same, information processing system, and information processing method |
| CN105183504A (zh) * | 2015-08-12 | 2015-12-23 | 北京威努特技术有限公司 | 基于软件服务器的进程白名单更新方法 |
| CN109145532A (zh) * | 2018-08-20 | 2019-01-04 | 北京广成同泰科技有限公司 | 一种支持软件在线升级的程序白名单管理方法及系统 |
| CN109766112A (zh) * | 2018-12-29 | 2019-05-17 | 北京威努特技术有限公司 | 一种程序白名单知识库更新的方法及装置 |
-
2019
- 2019-12-25 CN CN201911360094.2A patent/CN111177706A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
| US20150193618A1 (en) * | 2012-10-09 | 2015-07-09 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, method of controlling the same, information processing system, and information processing method |
| CN105183504A (zh) * | 2015-08-12 | 2015-12-23 | 北京威努特技术有限公司 | 基于软件服务器的进程白名单更新方法 |
| CN109145532A (zh) * | 2018-08-20 | 2019-01-04 | 北京广成同泰科技有限公司 | 一种支持软件在线升级的程序白名单管理方法及系统 |
| CN109766112A (zh) * | 2018-12-29 | 2019-05-17 | 北京威努特技术有限公司 | 一种程序白名单知识库更新的方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111930394A (zh) * | 2020-07-21 | 2020-11-13 | 北京威努特技术有限公司 | 工控系统用软件包管理及操作的方法、装置、工控系统及计算机可读介质 |
| CN111914249A (zh) * | 2020-08-11 | 2020-11-10 | 北京珞安科技有限责任公司 | 一种程序白名单的生成方法、程序更新方法及装置 |
| CN112269644A (zh) * | 2020-10-16 | 2021-01-26 | 苏州浪潮智能科技有限公司 | 一种子进程调用的验证方法、系统、设备及可读存储介质 |
| CN112269644B (zh) * | 2020-10-16 | 2022-07-08 | 苏州浪潮智能科技有限公司 | 一种子进程调用的验证方法、系统、设备及可读存储介质 |
| CN113836542A (zh) * | 2021-10-13 | 2021-12-24 | 南方电网数字电网研究院有限公司 | 可信白名单匹配方法、系统和装置 |
| CN113779584A (zh) * | 2021-11-15 | 2021-12-10 | 北京信达环宇安全网络技术有限公司 | 防护软件安装方法及系统 |
| CN114896117A (zh) * | 2022-03-08 | 2022-08-12 | 安芯网盾(北京)科技有限公司 | 软件安装更新过程基于白名单的内存行为监控方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111177706A (zh) | 一种基于信任软件库的进程白名单更新方法 | |
| CN109922075B (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| EP4027604A1 (en) | Security vulnerability defense method and device | |
| TWI677213B (zh) | 監控裝置、方法及其電腦程式產品 | |
| US10929538B2 (en) | Network security protection method and apparatus | |
| KR101291782B1 (ko) | 웹쉘 탐지/대응 시스템 | |
| EP3038006B1 (en) | System and method for distributed detection of malware | |
| US8898784B1 (en) | Device for and method of computer intrusion anticipation, detection, and remediation | |
| EP3474174B1 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| CN113704767A (zh) | 融合漏洞扫描引擎和漏洞工单管理的漏洞管理系统 | |
| CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
| CN112491883A (zh) | 一种检测web攻击的方法、装置、电子装置和存储介质 | |
| CN107430665B (zh) | 安全措施无效化防止装置、安全措施无效化防止方法和记录介质 | |
| US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
| US20240137768A1 (en) | Automatic dynamic secure connection system and method thereof | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| CN111158736B (zh) | 一种智能捕获windows操作系统补丁更新文件的方法 | |
| CN109218315B (zh) | 一种安全管理方法和安全管理装置 | |
| CN112398784B (zh) | 防御漏洞攻击的方法及装置、存储介质、计算机设备 | |
| Farhaoui et al. | Creating a Complete Model of an Intrusion Detection System effective on the LAN | |
| CN116760819B (zh) | 计算机文件网络传送方法、计算机装置和装置介质 | |
| CN105825124A (zh) | 一种服务器非法操作的监测方法和监测系统 | |
| KR101943900B1 (ko) | 하나 이상의 발전사를 관리하며, 발전사의 이상 여부를 판단하는 발전사 통합 관리 시스템 및 그 방법 | |
| CN116938605B (zh) | 网络攻击防护方法、装置、电子设备及可读存储介质 | |
| US20230385415A1 (en) | Arrangement and method of threat detection in a computer or computer network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |