CN111914249A - 一种程序白名单的生成方法、程序更新方法及装置 - Google Patents
一种程序白名单的生成方法、程序更新方法及装置 Download PDFInfo
- Publication number
- CN111914249A CN111914249A CN202010803775.8A CN202010803775A CN111914249A CN 111914249 A CN111914249 A CN 111914249A CN 202010803775 A CN202010803775 A CN 202010803775A CN 111914249 A CN111914249 A CN 111914249A
- Authority
- CN
- China
- Prior art keywords
- program
- file
- new file
- information
- updating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 85
- 238000012795 verification Methods 0.000 claims abstract description 33
- 241000700605 Viruses Species 0.000 claims abstract description 30
- 238000012544 monitoring process Methods 0.000 claims abstract description 28
- 230000008859 change Effects 0.000 claims abstract description 20
- 230000015654 memory Effects 0.000 claims description 19
- 238000000605 extraction Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 abstract description 12
- 238000012545 processing Methods 0.000 abstract description 8
- 230000007246 mechanism Effects 0.000 abstract description 4
- 230000008569 process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000009434 installation Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种程序白名单的生成方法、程序更新方法及装置,其中,该程序白名单生成方法包括:基于文件变更通知机制对目标文件存放目录进行监测,当监测到新建文件信息时,扫描新建文件进行校验,当新建文件通过校验时,提取文件特征信息;根据文件特征信息,生成信任安装程序信息。通过实施本发明,解决了由于工控主机没有对程序更新包进行核查就进行更新,而带来的安全隐患问题,通过自动化地扫描新建文件,查杀病毒木马,确保了程序更新包的安全性,避免了病毒木马在工业控制网络内的传播;也实现了程序白名单管控模式下的程序从下载到安装的全自动处理流程,在不改变用户本身使用习惯的前提下,实现了程序的安全更新。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种程序白名单的生成方法、程序更新方法及装置。
背景技术
随着网络技术的快速发展,工业控制系统中网络的应用也越来越广泛,在工控系统中,程序是使工控系统正常运转必不可少的一部分,但是,不管是大型程序还是小型应用程序,都会存在BUG或者是新功能的扩展,同样的,工业组态程序或编程程序也是如此,此时,就需要程序进行版本更新。
工业组态程序的更新一般是通过U盘或光盘直接在工业主机进行本地安装,但是由于现有的部分安全更新程序可能会直接或间接受到“污染”,例如感染病毒、被“黑客”动过手脚、篡改更新包、裹挟恶意程序或后门程序,因此此种更新方式存在较大的风险与隐患。
现有的工业组态程序的更新方法是采用客户端服务器模式来实现程序更新,客户端通过向专用存放更新程序的服务器请求下载更新应用程序包,服务器继而向客户端发送更新程序包,例如,现有的信任程序库的程序更新方法,基于纯人工的方式,由安全运维人员主动上报可信任的安装程序,分享给所有的受控端。一般情况来说,这样的做法是比较安全可行的,但是也存在一定的风险,例如,运维管理员对更新程序把控不严,下载或从其它途径获取已经感染计算机病毒的更新包,而服务器侧也没有对更新包进行安全验证或核查,那么会导致由于更新了携带恶意程序或病毒的程序,而带来不可预知的风险与隐患。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中的运维管理员对更新程序把控不严,以及服务器侧又没有对更新包进行安全验证或核查,那么会导致由于更新了携带恶意程序或病毒的程序,而带来不可预知的风险与隐患的缺陷,从而提供一种程序白名单的生成方法、程序更新方法及装置。
根据第一方面,本发明实施例提供了一种程序白名单的生成方法,包括:当监测到新建文件信息时,根据所述新建文件信息扫描新建文件进行校验,当所述新建文件通过校验时,提取所述新建文件的文件特征信息;根据所述文件特征信息,生成信任安装程序信息。
结合第一方面,在第一方面第一实施方式中,所述根据所述新建文件信息扫描新建文件进行校验的步骤,具体包括:校验所述新建文件是否为可执行文件;以及对所述新建文件进行病毒检查;当所述新建文件为可执行文件,且所述新建文件通过病毒检查时,确定所述新建文件通过校验。
结合第一方面第一实施方式,在第一方面第二实施方式中,所述校验所述新建文件是否为可执行文件,包括:判断所述新建文件是否存在预设扩展名,以及判断所述新建文件是否符合标准格式;当所述新建文件是否存在预设扩展名,且所述新建文件符合标准格式时,确定所述新建文件为可执行文件。
结合第一方面,在第一方面第三实施方式中,所述文件特征信息包括文件指纹特征信息以及文件内容信息。
结合第一方面,在第一方面第四实施方式中,在监测到新建文件信息的步骤之前,该方法还包括:注册文件变更操作回调通知;根据所述文件变更操作回调通知,对目标文件存放目录进行监测。
根据第二方面,本发明实施例提供了一种程序更新方法,包括:向应用程序服务器发送程序更新包下载请求;接收所述应用程序服务器根据所述程序更新包请求下发的程序更新包;根据预设的信任安装程序列表判断所述程序更新包是否安全,所述预设的信任安装程序列表为根据如第一方面或第一方面任一实施方式所述的程序白名单的生成方法所生成的信任安装程序信息构建而成的;当判断所述程序更新包安全时,获取更新指令,根据所述更新指令、所述程序更新包进行更新。
结合第二方面,在第二方面第一实施方式中,该方法还包括:根据所述更新指令以及所述程序更新包,生成更新后的程序,确定所述更新后的程序的哈希值;根据所述哈希值将所述更新后的程序存储于预设白名单库中。
根据第三方面,本发明实施例提供了一种程序白名单的生成装置,包括:文件特征信息提取模块,用于当监测到新建文件信息时,根据所述新建文件信息扫描新建文件进行校验,当所述新建文件通过校验时,提取所述新建文件的文件特征信息;信任安装程序信息生成模块,用于根据所述文件特征信息,生成信任安装程序信息。
根据第四方面,本发明实施例提供了一种程序更新装置,包括:程序更新包下载请求发送模块,用于向应用程序服务器发送程序更新包下载请求;程序更新包下载模块,用于接收所述应用程序服务器根据所述程序更新包请求下发的程序更新包;判断模块,用于根据预设的信任安装程序列表判断所述程序更新包是否安全,所述预设的信任安装程序列表为根据如第一方面或第一方面任一实施方式所述的程序白名单的生成方法所生成的信任安装程序信息构建而成的;程序更新模块,用于当判断所述程序更新包安全时,获取更新指令,根据所述更新指令、所述程序更新包进行更新。
根据第五方面,本发明实施例提供了一种计算机设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行如第一方面或第一方面任一实施方式所述的程序白名单的生成方法或者第二方面或第二方面任一实施方式所述的程序更新方法的步骤。
根据第六方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面或第一方面任一实施方式所述的程序白名单的生成方法或者第二方面或第二方面任一实施方式所述的程序更新方法的步骤。
本发明技术方案,具有如下优点:
1.本发明提供的一种程序白名单的生成方法及装置,包括:基于文件变更通知机制对目标文件存放目录进行监测,当监测到新建文件信息时,根据新建文件信息扫描新建文件进行校验,当新建文件为可执行文件,且不存在病毒木马时,确定新建文件通过校验,之后提取新建文件的文件特征信息;根据文件特征信息,生成信任安装程序信息。通过实施本发明,解决了由于工控主机没有对程序更新包进行核查就进行更新,而带来的安全隐患问题,通过文件变更通知,实现对上传安装程序,也就是新增文件的实时监测;通过后台自动化地扫描新建文件,即对新增文件的安全扫描,确保了安装程序本身安全性,避免了病毒木马在工业控制网络内的传播;通过全后台化自动处理的流程,可以在不改变用户任何原有使用习惯的情况下,实现了在程序白名单受控模式下的软件安全更新。
2.本发明提供的一种程序更新方法及装置,包括:向应用程序服务器发送程序更新包下载请求;接收所述应用程序服务器根据所述程序更新包请求下发的程序更新包;根据预设的信任安装程序列表判断所述程序更新包是否安全,所述预设的信任安装程序列表为根据上述实施例所述的程序白名单的生成方法所生成的信任安装程序信息构建而成的;当判断所述程序更新包安全时,获取更新指令,根据所述更新指令、所述程序更新包进行更新。通过实施本发明,解决了由于工控主机没有对程序更新包进行核查就进行更新,而带来的安全隐患问题,通过后台系统自动化地扫描新建文件,查杀病毒木马,确保了程序更新包的安全性,避免了病毒木马在工业控制网络内的传播;也实现了程序白名单管控模式下的程序从下载到安装的全自动处理流程,在不改变用户本身使用习惯的前提下,实现了程序的安全更新。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中程序白名单的生成方法的一个具体示例的流程图;
图2为本发明实施例中程序更新方法的一个具体示例的流程图;
图3为本发明实施例中一个具体示意图;
图4为本发明实施例中程序白名单的生成装置的一个具体示例的原理框图;
图5为本发明实施例中程序更新装置的一个具体示例的原理框图;
图6为本发明实施例中计算机设备中控制器的一个具体示例图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
在工业控制系统网络的实际应用场景中,由于工控系统程序以及工控主机的使用特性,其上的程序更新频率较低,使用进程、通讯数据较为单一、稳定,加之工控设备对业务数据的可靠性、连续性有严格要求,因此基于白名单的程序更新方法不失为一种行之有效的降低工控主机更新风险的方案。“白名单”机制相对“黑名单”而言,更适用于工业控制场景,工业控制的实际操作现场中,工控设备长时间处于较为隔离的状态,不会联网更新病毒库。工控系统一旦建设完成后,很长一段时间不会再进行升级或改造,“白名单”形成后也相对稳定,有利于工业现场的保护。
具体地,程序白名单,是指只有与预设白名单特征库匹配的程序、且为可执行文件才允许在工控主机上运行。程序白名单保护的方式是计算目标程序的哈希值,再与预设白名单特征库作比对,作为控制程序是否被执行的基本判别式。基于白名单的程序更新方法中,应用程序服务器和管理服务器需要进行数据传输,应用程序服务器中的文件操作监控器组件,将通过安全扫描的相关应用程序的信息传输给管理服务器,管理服务器将其添加至信任安装库并下发给受控主机端。因此,本发明提供了一种程序白名单的生成方法及装置、一种程序更新方法及装置。
如图1所示,本发明实施例提供了一种程序白名单的生成方法,包括:
步骤S11:当监测到新建文件信息时,根据新建文件信息扫描新建文件进行校验,当新建文件通过校验时,提取新建文件的文件特征信息;在本实施例中,新建文件信息可以是,当应用程序服务器有新增文件时,应用程序服务器生成的文件变更通知信息。新建文件可以是由于原始程序都会存在一些不够完美的地方,为了对原始程序的问题处进行修复,而开发生成的程序更新文件,也就是程序更新包;新建文件也可以是新增种类的程序文件。新建文件的文件特征信息可以是文件的标识信息以及相关内容信息。
具体地,应用程序服务器中的文件操作监控组件,采用了基于文件系统的变更通知机制,可以在应用程序服务器中一有新建文件增加时,就监测到新建文件。具体地,也可以是通过对缓存新建文件的路径的目录进行监控。当监测到有新文件增加时,应用程序服务器生成文件变更通知信息,也就是新建文件信息。当文件操作监控组件监测到新建文件时,说明此时在应用程序服务器中有文件增加。文件操作监控组件根据新建文件信息,获取对应的新建文件并扫描上述新建文件,进行安全校验与核查。安全校验与核查可以是对文件内是否存在病毒木马进行核验,以及对新建文件是否为可执行文件进行核查。当新建文件通过文件操作监控组件的核验后,获取该新建文件的文件特征信息,例如,文件指纹信息以及文件内容信息。
步骤S12:根据文件特征信息,生成信任安装程序信息。在本实施例中,信任安装程序信息可以是表示新建文件安全性的信息,当新增文件存在对应的信任安装程序信息时,表示该新建文件已经通过安全扫描,其中不存在病毒木马,可以在工控主机端直接安装并运行,而不会给工业控制系统网络带来不可预知的风险与隐患。具体地,根据在新建文件中提取的文件指纹信息以及文件内容信息,生成新建文件的信任安装程序信息,也就是提取新建文件的特征信息,将所述新建文件独一无二的标识信息上传至管理服务器端的信任安装程序库中。
示例性地,文件指纹信息用于表示该新建文件是否为原装程序包。提取新建文件的文件指纹信息的具体过程可以是,通过预设算法,可以是国密SM3哈希算法,对新建文件进行校验求和,计算得到32位的十六进制数,即为所述新建文件的文件特征信息;本发明对预设算法的具体种类并不做限制,本领域技术人员可以根据实际应用场景选择相应的算法。
本发明提供的一种程序白名单的生成方法,包括:对目标文件存放目录进行监测,当监测到新建文件信息时,根据新建文件信息扫描新建文件进行校验,当新建文件通过校验时,也就是验证了新建文件的安全性以及可靠性时,再提取新建文件的文件特征信息;根据文件特征信息,生成信任安装程序信息。通过实施本发明,解决了由于工控主机没有对程序更新包进行核查就进行更新,而带来的安全隐患问题,通过文件变更通知,实现对上传安装程序,也就是新增文件的实时监测;通过后台自动化地扫描新建文件,即对新增文件的安全扫描,确保了安装程序本身安全性,避免了病毒木马在工业控制网络内的传播;通过全后台化自动处理的流程,可以在不改变用户任何原有使用习惯的情况下,实现了在程序白名单受控模式下的软件安全更新。
作为本发明一个可选的实施方式,根据新建文件信息扫描新建文件进行校验的步骤,具体包括:
首先,校验新建文件是否为可执行文件;以及对新建文件进行病毒检查;在本实施例中,可执行文件是在工控主机上可以安装以及运行的文件,也就是说,可执行文件对应的程序能够在工控主机上无障碍的安装以及运行。具体地,检验新建文件是否为可执行文件,也就是检查所述新建文件是否存在扩展名,或,扩展名是否符合预设扩展名格式,以及检查所述新建文件的内容格式是否符合标准格式。对新建文件进行病毒检查可以是扫描所述新建文件,根据预设病毒库的特征信息比对所述新建文件中是否存在病毒。
其次,当新建文件为可执行文件,且新建文件通过病毒检查时,确定新建文件通过校验。在本实施例中,当判断该新建文件为可执行文件,且上述新建文件中不存在木马病毒时,确定上述新建文件通过校验,也就是说,此时确定新建文件为安全的、无潜在风险的。
作为本发明一个可选的实施方式,校验新建文件是否为可执行文件的步骤,具体包括:
判断新建文件是否存在预设扩展名,以及判断新建文件是否符合标准格式;当新建文件是否存在预设扩展名,且新建文件符合标准格式时,确定新建文件为可执行文件。在本实施例中,预设拓展名为系统预先设置的文件后缀标识名,可以是(.exe)等。标准格式为程序文件在生成时所需要符合的撰写形式。具体地,判断新建文件是否存在后缀名,且所述后缀名是否符合预设后缀名格式;当新建文件存在后缀名,且所述后缀名符合预设后缀名格式时,判断所述新建文件是否符合标准格式,也就是对文件本身的格式进行筛查。
本发明实施例提供的一种程序白名单的生成方法,当监测到有新建文件增加时,对新建文件进行检验,通过检验新建文件的扩展名是否符合预设扩展名格式、检查新建文件是否符合预设格式以及通过与预设病毒库进行比对,检查所述新建文件是否存在病毒,可以全面、及时地检查应用程序服务器中新增的文件,保证了工业控制网络的安全运行。
作为本发明一个可选的实施方式,该程序白名单的生成方法还包括:文件特征信息包括文件指纹特征信息以及文件内容信息。
作为本发明一个可选的实施方式,在监测到新建文件信息的步骤之前,该程序白名单的生成方法还包括:注册文件变更操作回调通知;根据所述文件变更操作回调通知,对目标文件存放目录进行监测。在本实施例中,应用程序服务器中的文件操作监控组件预先设置新增文件的存放路径,文件操作监控组件开始监控目标存放路径的变更情况,当存放路径中有新增文件时,相应的目标存放路径的目录信息也会发生变化,文件操作监控组件通过在应用程序服务器上注册文件变更信息回调通知,以便文件操作监控组件在新增文件时,也就是目标存放路径发生变化时,能够接收到应用程序服务器发送的文件变更通知,也就是接收到新建文件消息,进行扫描所述新建文件。
本发明实施例还提供了一种程序更新方法,如图2所示,包括:
步骤S21:向应用程序服务器发送程序更新包下载请求;在本实施例中,受控主机在程序需要更新时,会生成程序更新包下载请求,并将生成的程序更新包下载请求发送至应用程序服务器中,请求下载相应的程序包。
步骤S22:接收应用程序服务器根据程序更新包请求下发的程序更新包;在本实施例中,在本实施例中,应用程序服务器根据下载请求,将相应的程序更新包发送至对应的受控主机端。
步骤S23:根据预设的信任安装程序列表判断程序更新包是否安全,预设的信任安装程序列表为根据如上述实施例所述的程序白名单的生成方法所生成的信任安装程序信息构建而成的;在本实施例中,受控主机在接收到程序更新包后,对所述程序更新包进行校验,也就是判断所述程序更新包是否安全,在实际应用场景中,也就是判断在信任安装程序列表中是否存在所述程序更新包,根据上述任一实施例所述的程序白名单的生成方法,生成信任安装程序信息;根据若干个信任安装程序信息,构建而成信任安装程序列表。当在所述信任安装程序列表中存在程序更新包时,说明此程序更新包已经通过应用程序服务器中的文件操作监控组件的核查与校验,可以是受控主机上安全运行,且不会给受控主机带来未知的风险与隐患。
步骤S24:当判断程序更新包安全时,获取更新指令,根据更新指令、程序更新包进行更新,在本实施例中,当在信任安装程序列表中提取到对应的程序更新包时,接收用户输入的更新指令,在实际应用场景中,也就是用户对程序更新包的双击操作,可以解析对应的程序更新包,并将所述程序更新包安装到受控主机上。
作为本发明一个可选的实施方式,该程序更新方法还包括:
根据更新指令以及程序更新包,生成更新后的程序,确定更新后的程序的哈希值;根据哈希值将更新后的程序存储于预设白名单库中。
如图3所示,以下结合一系统的示意图,详细描述上述实施例中的程序白名单的生成方法及程序更新方法的具体实现过程,也就是说,上述方法可以应用于如图3所示的系统中。具体地,该系统包括:应用程序服务器、文件操作监控组件、管理服务器、受控主机。所述应用程序服务器包括文件操作监控组件。
所述文件监控组件用于预先配置应用程序服务器中的应用软件的存放路径,也就是当应用程序服务器中有新增文件时存储的位置。并在所述存放路径注册文件变更操作的回调通知,也就是监控应用软件存放路径的目录的变化。
应用程序服务器用于当目标路径有新建文件时,向文件操作监控组件推送新建文件信息,也就是向文件操作监控组件推送文件变更通知信息,通知所述文件操作监控组件,目标存放路径有新增文件。
文件操作监控组件还用于当接收到所述文件更新通知信息时,根据所述通知信息获取新建文件,进而对新建文件进行校验,包括检查新建文件是否为可执行文件,检查新建文件中是否存在木马病毒;当新建文件通过检验与核查之后,提取新建文件中的文件特征信息,生成信任安装程序信息,根据多个信任安装程序信息,生成信任安装程序列表,并将其上传至管理服务器端。
管理服务器用于将所述信任安装程序列表发送至受控主机端。
当受控主机需要对主机内的程序进行更新时,受控主机用于向应用程序服务器发送程序更新包下载请求;应用程序服务器还用于根据接收到的程序更新包下载请求,将对应的程序更新包下发至受控主机端。受控主机在接收到程序更新包时,对所述程序更新包进行校验,也就是判断所述程序更新包是否安全,当用户判断所述程序更新包为信任安装列表中的程序时,受控主机可以直接安装所述程序更新包。
本发明实施例还提供了一种程序白名单的生成装置,如图4所示,包括:
文件特征信息提取模块31,用于当监测到新建文件信息时,根据新建文件信息扫描新建文件进行校验,当新建文件通过校验时,提取新建文件的文件特征信息;详细实施内容可参见上述方法实施例中步骤S11的相关描述。
信任安装程序信息生成模块32,用于根据文件特征信息,生成信任安装程序信息。详细实施内容可参见上述方法实施例中步骤S12的相关描述。
本发明提供的一种程序白名单的生成装置,包括:通过文件特征信息提取模块31,对目标文件存放目录进行监测,当监测到新建文件信息时,根据新建文件信息扫描新建文件进行校验,当新建文件为可执行文件,且不存在病毒木马时,确定新建文件通过校验,之后提取新建文件的文件特征信息;通过信任安装程序信息生成模块32,根据文件特征信息,生成信任安装程序信息。通过实施本发明,解决了由于工控主机没有对程序更新包进行核查就进行更新,而带来的安全隐患问题,通过文件变更通知,实现对上传安装程序,也就是新增文件的实时监测;通过后台自动化地扫描新建文件,即对新增文件的安全扫描,确保了安装程序本身安全性,避免了病毒木马在工业控制网络内的传播;通过全后台化自动处理的流程,可以在不改变用户任何原有使用习惯的情况下,实现了在程序白名单受控模式下的软件安全更新。
本发明实施例还提供了一种程序更新装置,如图5所示,包括:
程序更新包下载请求发送模块41,用于向应用程序服务器发送程序更新包下载请求;详细实施内容可参见上述方法实施例中步骤S21的相关描述。
程序更新包下载模块42,用于接收应用程序服务器根据程序更新包请求下发的程序更新包;详细实施内容可参见上述方法实施例中步骤S22的相关描述。
判断模块43,用于根据预设的信任安装程序列表判断程序更新包是否安全,预设的信任安装程序列表为根据如上述实施例任一项的程序白名单的生成方法所生成的信任安装程序信息构建而成的;详细实施内容可参见上述方法实施例中步骤S23的相关描述。
程序更新模块44,用于当判断程序更新包安全时,获取更新指令,根据更新指令、程序更新包进行更新,详细实施内容可参见上述方法实施例中步骤S24的相关描述。
本发明提供的一种程序更新装置,包括:通过程序更新包下载请求发送模块41,向应用程序服务器发送程序更新包下载请求;通过程序更新包下载模块42,接收所述应用程序服务器根据所述程序更新包请求下发的程序更新包;通过判断模块43,根据预设的信任安装程序列表判断所述程序更新包是否安全,所述预设的信任安装程序列表为根据上述实施例所述的程序白名单的生成方法所生成的信任安装程序信息构建而成的;通过程序更新模块44,当判断所述程序更新包安全时,获取更新指令,根据所述更新指令、所述程序更新包进行更新。通过实施本发明,解决了由于工控主机没有对程序更新包进行核查就进行更新,而带来的安全隐患问题,通过后台系统自动化地扫描新建文件,查杀病毒木马,确保了程序更新包的安全性,避免了病毒木马在工业控制网络内的传播;也实现了程序白名单管控模式下的程序从下载到安装的全自动处理流程,在不改变用户本身使用习惯的前提下,实现了程序的安全更新。
本发明实施例还提供了一种计算机设备,如图6所示,该计算机设备可以包括处理器51和存储器52,其中处理器51和存储器52可以通过总线或者其他方式连接,图6中以通过总线连接为例。
处理器51可以为中央处理器(Central Processing Unit,CPU)。处理器51还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器52作为一种非暂态计算机可读存储介质,可用于存储非暂态程序、非暂态计算机可执行程序以及模块,如本发明实施例中的程序更新方法对应的程序指令/模块(例如,图4所示的文件特征信息提取模块31、信任安装程序信息生成模块32以及图5所示的程序更新包下载请求发送模块41、程序更新包下载模块42、判断模块43、程序更新模块44)。处理器51通过运行存储在存储器52中的非暂态程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的程序更新方法。
存储器52可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器51所创建的数据等。此外,存储器52可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器52可选包括相对于处理器51远程设置的存储器,这些远程存储器可以通过网络连接至处理器51。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。所述一个或者多个模块存储在所述存储器52中,当被所述处理器51执行时,执行如图1以及图2所示实施例中的程序更新方法。
上述计算机设备具体细节可以对应参阅图1以及图2所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
可选地,本发明实施例还提供了一种非暂态计算机可读介质,非暂态计算机可读存储介质存储计算机指令,计算机指令用于使计算机执行如上述实施例中任意一项描述的一种程序白名单的生成方法以及程序更新方法,其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (11)
1.一种程序白名单的生成方法,其特征在于,包括:
当监测到新建文件信息时,根据所述新建文件信息扫描新建文件进行校验,当所述新建文件通过校验时,提取所述新建文件的文件特征信息;
根据所述文件特征信息,生成信任安装程序信息。
2.根据权利要求1所述的方法,其特征在于,所述根据所述新建文件信息扫描新建文件进行校验的步骤,具体包括:
校验所述新建文件是否为可执行文件;以及
对所述新建文件进行病毒检查;
当所述新建文件为可执行文件,且所述新建文件通过病毒检查时,确定所述新建文件通过校验。
3.根据权利要求2所述的方法,其特征在于,所述校验所述新建文件是否为可执行文件,包括:
判断所述新建文件是否存在预设扩展名,以及判断所述新建文件是否符合标准格式;
当所述新建文件存在预设扩展名,且所述新建文件符合标准格式时,确定所述新建文件为可执行文件。
4.根据权利要求1所述的方法,其特征在于,所述文件特征信息包括文件指纹特征信息以及文件内容信息。
5.根据权利要求1所述的方法,其特征在于,在监测到新建文件信息的步骤之前,还包括:
注册文件变更操作回调通知;
根据所述文件变更操作回调通知,对目标文件存放目录进行监测。
6.一种程序更新方法,其特征在于,包括:
向应用程序服务器发送程序更新包下载请求;
接收所述应用程序服务器根据所述程序更新包请求下发的程序更新包;
根据预设的信任安装程序列表判断所述程序更新包是否安全,所述预设的信任安装程序列表为根据如权利要求1-5中任一项所述的程序白名单的生成方法所生成的信任安装程序信息构建而成的;
当判断所述程序更新包安全时,获取更新指令,根据所述更新指令、所述程序更新包进行更新。
7.根据权利要求6所述的方法,其特征在于,还包括:
根据所述更新指令以及所述程序更新包,生成更新后的程序,确定所述更新后的程序的哈希值;
根据所述哈希值将所述更新后的程序存储于预设白名单库中。
8.一种程序白名单的生成装置,其特征在于,包括:
文件特征信息提取模块,用于当监测到新建文件信息时,根据所述新建文件信息扫描新建文件进行校验,当所述新建文件通过校验时,提取所述新建文件的文件特征信息;
信任安装程序信息生成模块,用于根据所述文件特征信息,生成信任安装程序信息。
9.一种程序更新装置,其特征在于,包括:
程序更新包下载请求发送模块,用于向应用程序服务器发送程序更新包下载请求;
程序更新包下载模块,用于接收所述应用程序服务器根据所述程序更新包请求下发的程序更新包;
判断模块,用于根据预设的信任安装程序列表判断所述程序更新包是否安全,所述预设的信任安装程序列表为根据如权利要求1-5中任一项所述的程序白名单的生成方法所生成的信任安装程序信息构建而成的;
程序更新模块,用于当判断所述程序更新包安全时,获取更新指令,根据所述更新指令、所述程序更新包进行更新。
10.一种计算机设备,其特征在于,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行如权利要求1-5任一项所述的程序白名单的生成方法或者权利要求6或7所述的程序更新方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-5任一项所述的程序白名单的生成方法或者权利要求6或7所述的程序更新方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010803775.8A CN111914249A (zh) | 2020-08-11 | 2020-08-11 | 一种程序白名单的生成方法、程序更新方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010803775.8A CN111914249A (zh) | 2020-08-11 | 2020-08-11 | 一种程序白名单的生成方法、程序更新方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111914249A true CN111914249A (zh) | 2020-11-10 |
Family
ID=73284150
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010803775.8A Pending CN111914249A (zh) | 2020-08-11 | 2020-08-11 | 一种程序白名单的生成方法、程序更新方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111914249A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112685743A (zh) * | 2020-12-28 | 2021-04-20 | 北京珞安科技有限责任公司 | 一种主机安全基线自动加固方法及系统 |
| CN113986123A (zh) * | 2021-10-22 | 2022-01-28 | 深圳忆联信息系统有限公司 | 基于行为监控的ssd优化管理方法、装置及计算机设备 |
| CN114579967A (zh) * | 2022-03-16 | 2022-06-03 | 北京珞安科技有限责任公司 | 一种程序白名单的快速构建方法 |
| CN115080966A (zh) * | 2022-08-23 | 2022-09-20 | 北京六方云信息技术有限公司 | 动态白名单驱动方法及系统 |
| CN115935431A (zh) * | 2023-01-05 | 2023-04-07 | 北京微步在线科技有限公司 | 一种风险检测引擎的白名单生成方法及装置 |
| CN116595509A (zh) * | 2023-07-11 | 2023-08-15 | 北京珞安科技有限责任公司 | 一种程序白名单构建方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
| CN106529281A (zh) * | 2016-11-07 | 2017-03-22 | 广东浪潮大数据研究有限公司 | 一种可执行文件处理方法及装置 |
| CN109145532A (zh) * | 2018-08-20 | 2019-01-04 | 北京广成同泰科技有限公司 | 一种支持软件在线升级的程序白名单管理方法及系统 |
| CN110188543A (zh) * | 2019-05-21 | 2019-08-30 | 北京威努特技术有限公司 | 白名单库、白名单程序库更新方法及工控系统 |
| CN111125688A (zh) * | 2019-12-13 | 2020-05-08 | 北京浪潮数据技术有限公司 | 一种进程控制方法、装置及电子设备和存储介质 |
| CN111177706A (zh) * | 2019-12-25 | 2020-05-19 | 北京珞安科技有限责任公司 | 一种基于信任软件库的进程白名单更新方法 |
-
2020
- 2020-08-11 CN CN202010803775.8A patent/CN111914249A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
| CN106529281A (zh) * | 2016-11-07 | 2017-03-22 | 广东浪潮大数据研究有限公司 | 一种可执行文件处理方法及装置 |
| CN109145532A (zh) * | 2018-08-20 | 2019-01-04 | 北京广成同泰科技有限公司 | 一种支持软件在线升级的程序白名单管理方法及系统 |
| CN110188543A (zh) * | 2019-05-21 | 2019-08-30 | 北京威努特技术有限公司 | 白名单库、白名单程序库更新方法及工控系统 |
| CN111125688A (zh) * | 2019-12-13 | 2020-05-08 | 北京浪潮数据技术有限公司 | 一种进程控制方法、装置及电子设备和存储介质 |
| CN111177706A (zh) * | 2019-12-25 | 2020-05-19 | 北京珞安科技有限责任公司 | 一种基于信任软件库的进程白名单更新方法 |
Non-Patent Citations (1)
| Title |
|---|
| 马建峰等: "信息安全", 28 February 2013, 西安电子科技大学出版社, pages: 41 - 44 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112685743A (zh) * | 2020-12-28 | 2021-04-20 | 北京珞安科技有限责任公司 | 一种主机安全基线自动加固方法及系统 |
| CN113986123A (zh) * | 2021-10-22 | 2022-01-28 | 深圳忆联信息系统有限公司 | 基于行为监控的ssd优化管理方法、装置及计算机设备 |
| CN114579967A (zh) * | 2022-03-16 | 2022-06-03 | 北京珞安科技有限责任公司 | 一种程序白名单的快速构建方法 |
| CN114579967B (zh) * | 2022-03-16 | 2022-09-23 | 北京珞安科技有限责任公司 | 一种程序白名单的快速构建方法 |
| CN115080966A (zh) * | 2022-08-23 | 2022-09-20 | 北京六方云信息技术有限公司 | 动态白名单驱动方法及系统 |
| CN115080966B (zh) * | 2022-08-23 | 2022-11-25 | 北京六方云信息技术有限公司 | 动态白名单驱动方法及系统 |
| CN115935431A (zh) * | 2023-01-05 | 2023-04-07 | 北京微步在线科技有限公司 | 一种风险检测引擎的白名单生成方法及装置 |
| CN116595509A (zh) * | 2023-07-11 | 2023-08-15 | 北京珞安科技有限责任公司 | 一种程序白名单构建方法及系统 |
| CN116595509B (zh) * | 2023-07-11 | 2023-10-03 | 北京珞安科技有限责任公司 | 一种程序白名单构建方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111914249A (zh) | 一种程序白名单的生成方法、程序更新方法及装置 | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| US9003519B2 (en) | Verifying transactions using out-of-band devices | |
| US20140096246A1 (en) | Protecting users from undesirable content | |
| CN112783518B (zh) | 一种基于ipfs的车载应用容器化隔离的框架系统及实现方法 | |
| WO2020264535A1 (en) | Firmware management for iot devices | |
| KR101972110B1 (ko) | 블록체인 기술을 활용한 포그 컴퓨터의 보안 및 디바이스 제어 방법 | |
| KR101138748B1 (ko) | 악성 코드 차단 장치, 시스템 및 방법 | |
| CN105183504A (zh) | 基于软件服务器的进程白名单更新方法 | |
| US8127033B1 (en) | Method and apparatus for accessing local computer system resources from a browser | |
| CN110557255A (zh) | 一种证书管理的方法和装置 | |
| CN112380170A (zh) | 一种文件更新操作的关联方法、装置及计算机设备 | |
| CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
| KR101451323B1 (ko) | 애플리케이션 보안 시스템, 보안 서버, 보안 클라이언트 장치 및 기록매체 | |
| JP2019008738A (ja) | 検証装置 | |
| US11995450B2 (en) | Cloud-based provisioning of UEFI-enabled systems | |
| WO2022257927A1 (zh) | 密钥烧录方法、装置、电子设备板卡及存储介质 | |
| CN112823339A (zh) | 信息处理装置、日志分析方法及程序 | |
| KR102408247B1 (ko) | 의료기기 네트워크 보안 장치 및 방법 | |
| CN109714371B (zh) | 一种工控网络安全检测系统 | |
| CN115623013A (zh) | 一种策略信息同步方法、系统及相关产品 | |
| CN111930394A (zh) | 工控系统用软件包管理及操作的方法、装置、工控系统及计算机可读介质 | |
| CN105825124A (zh) | 一种服务器非法操作的监测方法和监测系统 | |
| CN114143106B (zh) | 一种审批方法、装置、电子设备及存储介质 | |
| CN113067840B (zh) | 一种云化插件式漏洞响应的蜜网架构实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |