CN113836542A - 可信白名单匹配方法、系统和装置 - Google Patents
可信白名单匹配方法、系统和装置 Download PDFInfo
- Publication number
- CN113836542A CN113836542A CN202111192183.8A CN202111192183A CN113836542A CN 113836542 A CN113836542 A CN 113836542A CN 202111192183 A CN202111192183 A CN 202111192183A CN 113836542 A CN113836542 A CN 113836542A
- Authority
- CN
- China
- Prior art keywords
- information
- white list
- program
- trusted
- started
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 132
- 230000008569 process Effects 0.000 claims abstract description 78
- 238000004891 communication Methods 0.000 claims abstract description 48
- 230000004044 response Effects 0.000 claims description 11
- 238000001514 detection method Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 description 22
- 238000012550 audit Methods 0.000 description 9
- 230000006399 behavior Effects 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 238000001914 filtration Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000009434 installation Methods 0.000 description 6
- 238000012795 verification Methods 0.000 description 6
- 241000700605 Viruses Species 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000008054 signal transmission Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
- G06F16/9535—Search customisation based on user profiles and personalisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44594—Unloading
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Stored Programmes (AREA)
Abstract
本申请涉及一种可信白名单匹配方法、系统、装置、计算机设备和存储介质。通过在检测到终端发送的包含终端中已启动程序的信息的查询指令时,获取存储在服务器中包含可信程序信息的白名单信息,并根据已启动程序的信息查询白名单信息,若确定已启动程序为可信程序,则获取已启动程序的进程信息,并根据该进程信息获取已启动程序对应的通信指纹的指纹值,并根据该指纹值以及已启动程序的信息形成可信白名单信息。相较于传统的通过可信计算度量进行查验的方式,本方案通过在确定程序为可信程序时利用程序的指纹值更新白名单信息,从而提高了可信白名单匹配的效率。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种可信白名单匹配方法、系统、装置、计算机设备和存储介质。
背景技术
可信计算作为一种主动防御技术,不需要依赖病毒库的升级更新,就可以自动免疫诸如勒索病毒、广告木马、挖矿机等新型安全威胁。主动防御技术要求对一个已知可信的系统的所有非用户数据文件进行完整性度量并建立可信基准数据库,随后在系统正常运行时,时刻对比可信基准数据库,如有超出可信基准数据库范围的非用户数据文件将被执行,则进行拦截。
为实现对任何文件的执行的拦截,需要使用可信计算度量程序中预先对将要执行的文件进行度量。然而,由于白名单数据量庞大,通过可信计算度量进行查验,会极大拖累系统的运行效率,降低用户体验,造成用户卡顿。
因此,目前的可信白名单匹配方法存在运行效率低的缺陷。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高运行效率的可信白名单匹配方法、系统、装置、计算机设备和存储介质。
一种可信白名单匹配方法,应用于服务器,所述方法包括:
响应于终端发送的查询指令,获取存储在服务器中的白名单信息;所述查询指令包括所述终端中已启动程序的信息;所述白名单信息中包括可信程序信息;
根据所述已启动程序的信息查询所述白名单信息,若确定所述已启动程序为可信程序,获取所述已启动程序的进程信息;
根据所述进程信息获取所述已启动程序对应的通信指纹的指纹值,并根据所述指纹值以及所述已启动程序的信息生成可信白名单信息,以基于所述可信白名单信息进行程序管理;所述通信指纹的指纹值表征所述已启动程序通信时对应的唯一特征。
在其中一个实施例中,所述根据所述进程信息获取所述已启动程序对应的通信指纹的指纹值,包括:
获取所述进程信息对应的已启动程序的路径;
根据所述路径以及信息摘要算法,获取所述已启动程序对应的通信指纹的指纹值。
在其中一个实施例中,所述方法还包括:
针对所述白名单信息中的每个可信程序信息,获取该可信程序信息的软件标识;
根据多个可信程序信息的软件标识,生成对应的规则库。
在其中一个实施例中,所述软件标识包括所述可信程序信息的白名单指纹值;
所述根据所述指纹值以及所述已启动程序的信息生成可信白名单信息,包括:
获取并检测所述已启动程序对应的数字签名;
根据所述指纹值查询所述规则库,若所述规则库中存在与所述指纹值匹配的白名单指纹值以及所述数字签名检测通过,根据所述已启动程序的信息生成可信白名单信息。
在其中一个实施例中,所述根据所述指纹值以及所述已启动程序的信息生成可信白名单信息之后,还包括:
将所述可信白名单信息发送至所述终端,以使所述终端下载所述可信白名单信息。
在其中一个实施例中,所述根据所述已启动程序的信息查询所述白名单信息之后,还包括:
若确定所述已启动程序为不可信程序,向所述终端发送针对所述不可信程序的卸载指令,以使所述终端卸载所述已启动程序。
一种可信白名单匹配方法,应用于终端,所述方法包括:
响应于程序启动信号,生成指令信息包含已启动程序的信息的查询指令;
将所述查询指令发送至服务器;所述服务器用于根据所述已启动程序的信息查询白名单信息,并当确定所述已启动程序为可信程序时,根据所述已启动程序的信息生成可信白名单信息,并将所述可信白名单信息发送至所述终端;
获取所述服务器发送的可信白名单信息,并根据所述可信白名单信息覆盖存储至所述终端中旧的白名单信息的位置。
一种可信白名单匹配系统,包括终端和服务器;
所述终端,用于响应于程序启动信号,生成指令信息包含已启动程序的信息的查询指令,将所述查询指令发送至服务器;
所述服务器,用于响应于终端发送的查询指令,获取存储在服务器中的白名单信息;所述查询指令包括所述终端中已启动程序的信息;所述白名单信息中包括可信程序信息,根据所述已启动程序的信息查询所述白名单信息,若确定所述已启动程序为可信程序,获取所述已启动程序的进程信息,根据所述进程信息获取所述已启动程序对应的通信指纹的指纹值,并根据所述指纹值以及所述已启动程序的信息生成可信白名单信息,以基于所述可信白名单信息进行程序管理,将所述可信白名单信息发送至所述终端;所述通信指纹的指纹值表征所述已启动程序通信时对应的唯一特征;
所述终端,用于获取所述服务器发送的新的可信白名单信息,并根据所述可信白名单信息覆盖存储至所述终端中旧的白名单信息的位置。
一种可信白名单匹配装置,应用于服务器,所述装置包括:
第一响应模块,用于响应于终端发送的查询指令,获取存储在服务器中的白名单信息;所述查询指令包括所述终端中已启动程序的信息;所述白名单信息中包括可信程序信息;
确定模块,用于根据所述已启动程序的信息查询所述白名单信息,若确定所述已启动程序为可信程序,获取所述已启动程序的进程信息;
生成模块,用于根据所述进程信息获取所述已启动程序对应的通信指纹的指纹值,并根据所述指纹值以及所述已启动程序的信息生成可信白名单信息,以基于所述可信白名单信息进行程序管理;所述通信指纹的指纹值表征所述已启动程序通信时对应的唯一特征。
一种可信白名单匹配装置,应用于终端,所述装置包括:
第二响应模块,用于响应于程序启动信号,生成指令信息包含已启动程序的信息的查询指令;
发送模块,用于将所述查询指令发送至服务器;所述服务器用于根据所述已启动程序的信息查询白名单信息,并当确定所述已启动程序为可信程序时,根据所述已启动程序的信息生成可信白名单信息,并将所述可信白名单信息发送至所述终端;
存储模块,用于获取所述服务器发送的新的可信白名单信息,并根据所述可信白名单信息覆盖存储至所述终端中旧的白名单信息的位置。
上述可信白名单匹配方法、系统、装置、计算机设备和存储介质,通过在检测到终端发送的包含终端中已启动程序的信息的查询指令时,获取存储在服务器中包含可信程序信息的白名单信息,并根据已启动程序的信息查询白名单信息,若确定已启动程序为可信程序,则获取已启动程序的进程信息,并根据该进程信息获取已启动程序对应的通信指纹的指纹值,并根据该指纹值以及已启动程序的信息形成可信白名单信息。相较于传统的通过可信计算度量进行查验的方式,本方案通过在确定程序为可信程序时利用程序的指纹值更新白名单信息,从而提高了可信白名单匹配的效率。
附图说明
图1为一个实施例中可信白名单匹配方法的应用环境图;
图2为一个实施例中可信白名单匹配方法的流程示意图;
图3为另一个实施例中可信白名单匹配方法的流程示意图;
图4为又一个实施例中可信白名单匹配方法的流程示意图;
图5为一个实施例中可信白名单匹配装置的结构框图;
图6为另一个实施例中可信白名单匹配装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的可信白名单匹配方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。终端102可以向服务器104发送查询指令,服务器104接收到查询指令后可以获取相应的白名单信息,并根据查询指令中包含的已启动程序的信息查询白名单信息,服务器104在确定已启动程序为可信程序时,可以利用已启动程序的进程信息获取对应的通信指纹的指纹值,并基于指纹值将已启动程序的信息生成可信白名单信息。并且,服务器104还可以将可信白名单信息发送至终端102,终端102可以下载该可信白名单信息并存储。另外,在一些实施例中,服务器105还包括监控模块、过滤模块、判断模块和匹配模块,其中监控模块可以实现对软件的监控功能;过滤模块可以实现对非可信程序的信息拦截;判断模块可以用于判断程序是否为可信;匹配模块可以用于匹配相应终端102的用户,并为其提供下载。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机和平板电脑,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种可信白名单匹配方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
步骤S202,响应于终端102发送的查询指令,获取存储在服务器104中的白名单信息;查询指令包括终端中已启动程序的信息;白名单信息中包括可信程序信息。
其中,终端102可以是用户使用的设备,终端102中可以运行多个程序,每个程序运行时可以包含一个或多个进程。终端102可以在程序启动后,生成相应的查询指令,其中查询指令中可以包括已启动程序的相关信息,例如程序的运行信息和进程信息等。终端102可以将查询指令发送至服务器104中,服务器104可以接收来自终端102的查询指令,并在接收该查询指令后获取存储在服务器104中的白名单信息。其中白名单信息可以包含多个白名单程序的相关信息,例如白名单程序的文件信息、存储信息、运行信息和进程信息等。这些白名单程序的信息的集合形成了白名单信息的列表。
其中,服务器104可以利用白名单信息进行软件的管理,服务器104可以通过设置在服务器104中的过滤模块,滤除终端102在运行所述白名单软件的时候所拦截的软件的信息;信息的属性选择在很大程度上取决于对安全性,可维护性,易用性的恰当的平衡。而简单的属性,比如文件路径,文件名称,和文件大小等不能单独使用,除非它们有严格的访问控制以紧密的限制文件的活动,即使如此,与其他属性配合使用会有显著地效果。数字签名、出版商和加密哈希技术的组合能够提供最精确最复杂的应用程序白名单功能。
步骤S204,根据已启动程序的信息查询白名单信息,若确定已启动程序为可信程序,获取已启动程序的进程信息。
其中,已启动程序可以是终端102中已启动的程序,白名单信息可以是包含多个可信程序信息的名单。服务器104可以利用上述接收到的已启动程序信息查询上述白名单信息,确定该已启动程序是否合法或符合要求。若服务器104检测到上述已启动程序为可信程序时,服务器104可以获取该属于可信程序的已启动程序的进程信息。其中,该判断可以通过调用服务器104中的监控模块进行。例如,服务器104可以通过调用监控模块,判断白名单信息中是否存在已启动程序的相关信息,若存在则可以确定已启动程序为可信程序,则服务器104可以获取该可信程序的进程信息。
另外,在一些实施例中,根据已启动程序的信息查询白名单信息之后,还包括:若确定已启动程序为不可信程序,向终端102发送针对不可信程序的卸载指令,以使终端102卸载已启动程序。本实施例中,服务器104在将已启动程序查询白名单信息时,还可能出现查询结果为不可信的情况,此时服务器104可以确定该已启动程序为不可信程序,并利用终端102将该已启动程序卸载,从而保证系统的安全。
步骤S206,根据进程信息获取已启动程序对应的通信指纹的指纹值,并根据指纹值以及已启动程序的信息生成可信白名单信息,以基于可信白名单信息进行程序管理;通信指纹的指纹值表征已启动程序通信时对应的唯一特征。
其中,进程信息而可以是可信程序的进程信息,通信指纹的指纹值表征已启动程序通信时对应的唯一特征,可以标识其信号传输特征的独特指纹。服务器104在确定已启动程序为可信程序后,可以利用该可信程序的进程信息获取对应的通信指纹的指纹值。服务器104获取指纹值后,可以根据该指纹值以及可信的已启动的程序的相关信息,匹配形成可信白名单信息。并且服务器104还可以将该可信白名单信息发送至终端102中,从而服务器104和终端102可以基于该可信白名单对运行中的程序进行判断识别,保证仅运行可信程序。
上述可信白名单匹配方法中,通过在检测到终端发送的包含终端中已启动程序的信息的查询指令时,获取存储在服务器中包含可信程序信息的白名单信息,并根据已启动程序的信息查询白名单信息,若确定已启动程序为可信程序,则获取已启动程序的进程信息,并根据该进程信息获取已启动程序对应的通信指纹的指纹值,并根据该指纹值以及已启动程序的信息形成可信白名单信息。相较于传统的通过可信计算度量进行查验的方式,本方案通过在确定程序为可信程序时利用程序的指纹值更新白名单信息,从而提高了可信白名单匹配的效率。
在一个实施例中,根据进程信息获取已启动程序对应的通信指纹的指纹值,包括:获取进程信息对应的已启动程序的路径;根据路径以及信息摘要算法,获取已启动程序对应的通信指纹的指纹值。
本实施例中,服务器104为了生成可信白名单信息,需要获取可信的已启动程序对应的通信指纹。服务器104可以首先利用进程信息获取对应的已启动程序的路径,并根据该路径以及MD5(Message-Digest Algorithm,信息摘要算法)算法,获取上述的已启动程序对应的通信指纹的指纹值。例如,服务器104可以在白名单进程创建过程汇总,根据白名单信息获取创建上述进程信息对应的软件,并进一步计算通信指纹找到该软件的路径,再利用MD5算法计算通信指纹的指纹值。其中,MD5算法是一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。
通过本实施例,服务器104可以利用已启动程序的路径和信息摘要算法得到对应的通信指纹,从而可以利用该通信指纹得到可信白名单,提高了可信白名单匹配的效率。
在一个实施例中,还包括:针对白名单信息中的每个可信程序信息,获取该可信程序信息的软件标识;根据多个可信程序信息的软件标识,生成对应的规则库。
本实施例中,白名单信息中可以包括多个白名单程序的相关信息,服务器104可以预先收集白名单软件的信息形成规则库。其中每个白名单程序可以有对应的软件标识,服务器104可以针对白名单信息中的每个可信程序信息,获取该可信程序信息的软件标识,从而服务器104可以根据多个可信程序信息的软件标识生成对应的规则库。例如,服务器104可以设置监控管理员角色,并利用软件库中的白名单软件的软件标识形成对应的集合,并将软件标识写入到XML文件,形成规则库。服务器104还可以将该规则库发送至终端102中,使得终端102可以下载该规则库并对相应软件进行管理。
另外,服务器104中还可以包括审计信息库,审计信息库汇总可以包含用户在终端102安装或运行未经授权的软件时产生的审计信息。以及,服务器104可以在监控模块设置监控管理员,包括系统管理员、安全管理员和审计管理员等。系统管理员负责用户和软件库的管理,安全管理员负责规则库的管理,审计管理员则负责对服务器104收到的日志信息进行审计。
通过本实施例,服务器104可以利用白名单程序对应的软件标识生成规则库,从而服务器104可以利用该规则库进行可信白名单的匹配,进而提高了可信白名单匹配的效率。
在一个实施例中,根据指纹值以及已启动程序的信息生成可信白名单信息,包括:获取并检测已启动程序对应的数字签名;根据指纹值查询规则库,若规则库中存在与指纹值匹配的白名单指纹值以及数字签名检测通过,根据已启动程序的信息生成可信白名单信息。
本实施例中,服务器104生成的规则库中的软件标识可以包括该标识对应的可信程序信息的白名单指纹值。服务器104可以通过将可信程序信息与规则库中的相关信息进行对比确定白名单程序是否可以匹配为可信白名单程序。例如,服务器104可以获取并检测已启动程序对应的数字签名,并根据已启动程序对应的指纹值查询上述规则库,若规则库中有对应的白名单指纹与上述已启动程序对应的指纹值匹配,以及上述数字签名的检测通过,则服务器104可以根据已启动程序的信息生成可信白名单信息,从而实现可信白名单的匹配。具体地,服务器104可以根据获得的软件对应的指纹值与上述规则库中的各个指纹进行比对,并检查该软件的数字签名,当指纹比对匹配成功且数字签名验证通过时,服务器104允许执行将该软件匹配为可信白名单;否则,当任一项检测未通过时,匹配尝试将被阻止。其中,上述符合白名单信息的已启动程序可以有多个,则服务器104可以对每个符合白名单信息要求的已启动程序均进行可信白名单的检测匹配,因此可信白名单信息中也可以有多个程序的信息。另外,服务器104还可以调用监控模块,监控可信白名单进程创建过程,当发现创建过程中出现异常时可以及时介入处理,保证匹配创建过程的安全性。
通过本实施例,服务器104通过对程序的指纹值和数字签名进行比对和验证,实现可信白名单信息的匹配创建,提高了可信白名单匹配的效率。
在一个实施例中,根据指纹值以及已启动程序的信息生成可信白名单信息之后,还包括:将可信白名单信息发送至终端102,以使终端102下载可信白名单信息。
本实施例中,指纹值可以是服务器104根据白名单程序的相关信息以及信息摘要算法计算得到的,服务器104可以对各个可信程序信息进行检测,得到包含多个可信的程序信息的可信白名单信息。服务器104还可以将匹配得到的可信白名单信息发送至终端102中,终端102可以下载该可信白名单信息,从而终端102可以基于该可信白名单信息对程序进行管理。例如,服务器104可以通过匹配模块,匹配相应的终端102的用户,并为该终端102的用户提供可信白名单信息的下载,上述监控管理员可以将更新后的白名单软件和系统更新程序添加到白名单列表并推送给用户的终端102,同时还提供对匹配后的可信白名单信息中的软件进行下载。另外,除了上述的可信白名单信息外,终端102中还可以存储有本地的规则库,该本地规则库中可以包含系统软件白名单以及从服务器104中下载的白名单。终端102下载上述可信白名单信息后,可以覆盖旧的白名单进行存储。
通过本实施例,服务器104可以在匹配得到可信白名单信息后,向终端102发送该可信白名单信息,从而终端102可以基于该可信白名单信息对相应的可信程序进行安装或运行,提高了终端102的系统安全性。
在一个实施例中,如图3所示,提供了一种可信白名单匹配方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
步骤S302,响应于程序启动信号,生成指令信息包含已启动程序的信息的查询指令。
其中,程序启动信号可以是终端102中的程序开始运行时产生的信号,终端102中可以运行多个程序,每个程序运行时可以包含一个或多个进程。为了确定终端102中运行的程序的安全性,终端102可以在程序启动后,生成相应的查询指令,其中查询指令中可以包括已启动程序的相关信息,例如程序的运行信息和进程信息等。
步骤S304,将查询指令发送至服务器104;服务器104用于根据已启动程序的信息查询白名单信息,并当确定已启动程序为可信程序时,根据已启动程序的信息生成可信白名单信息,并将可信白名单信息发送至终端102。
其中,终端102可以将上述生成的查询指令发送至服务器104中,服务器104可以接收来自终端102的查询指令,并在接收该查询指令后获取存储在服务器104中的白名单信息。其中白名单信息可以包含多个白名单程序的相关信息,例如白名单程序的文件信息、存储信息、运行信息和进程信息等。这些白名单程序的信息的集合形成了白名单信息的列表。已启动程序可以是终端102中已启动的程序。服务器104可以利用上述接收到的已启动程序信息查询上述白名单信息,确定该已启动程序是否合法或符合要求。若服务器104检测到上述已启动程序为可信程序时,服务器104可以获取该属于可信程序的已启动程序的进程信息。其中,该判断可以通过调用服务器104中的监控模块进行。例如,服务器104可以通过调用监控模块,判断白名单信息中是否存在已启动程序的相关信息,若存在则可以确定已启动程序为可信程序,则服务器104可以获取该可信程序的进程信息。
服务器104在确定已启动程序为可信程序后,可以利用该可信程序的进程信息获取对应的通信指纹的指纹值。服务器104获取指纹值后,可以根据该指纹值以及可信的已启动的程序的相关信息,匹配形成可信白名单信息。并且服务器104还可以将该可信白名单信息发送至终端102中,从而服务器104和终端102可以基于该可信白名单对运行中的程序进行判断识别,保证仅运行可信程序。
步骤S306,获取服务器104发送的可信白名单信息,并根据可信白名单信息覆盖存储至终端102中旧的白名单信息的位置。
其中,服务器104可以对各个可信程序信息进行检测,得到包含多个可信的程序信息的可信白名单信息。服务器104还可以将匹配得到的可信白名单信息发送至终端102中,终端102可以下载该可信白名单信息,从而终端102可以基于该可信白名单信息对程序进行管理。例如,服务器104可以通过匹配模块,匹配相应的终端102的用户,并为该终端102的用户提供可信白名单信息的下载,上述监控管理员可以将更新后的白名单软件和系统更新程序添加到白名单列表并推送给用户的终端102,同时还提供对匹配后的可信白名单信息中的软件进行下载。另外,除了上述的可信白名单信息外,终端102中还可以存储有本地的规则库,该本地规则库中可以包含系统软件白名单以及从服务器104中下载的白名单。终端102下载上述可信白名单信息后,可以覆盖旧的白名单进行存储。
上述可信白名单匹配方法中,通过在检测到终端发送的包含终端中已启动程序的信息的查询指令时,获取存储在服务器中包含可信程序信息的白名单信息,并根据已启动程序的信息查询白名单信息,若确定已启动程序为可信程序,则获取已启动程序的进程信息,并根据该进程信息获取已启动程序对应的通信指纹的指纹值,并根据该指纹值以及已启动程序的信息形成可信白名单信息。相较于传统的通过可信计算度量进行查验的方式,本方案通过在确定程序为可信程序时利用程序的指纹值更新白名单信息,从而提高了可信白名单匹配的效率。
在一个实施例中,如图4所示,图4为又一个实施例中可信白名单匹配方法的流程示意图。包含以下流程:S1、终端102程序启动,在服务器104软件列表上查找白名单信息;S2、服务器104进入白名单软件信息读取,获取软件进程信息;S3、服务器104判断白名单软件是否可信并在白名单可信时获取进程信息;S31、其中服务器104判断白名单软件是否可信的具体步骤为:若白名单软件可信,则获取进程信息,若白名单软件不可信,则卸载白名单软件;S4、服务器104获得可信白名单的通信指纹;S41、白名单进程创建过程中,服务器104根据获取的白名单软件信息找到创建进程的软件,并进一步计算通信指纹找到白名单软件的路径并利用MD5算法计算通信指纹的指纹值;S5、服务器104进入白名单信息匹配,并监控白名单进程创建过程;S6、终端102下载新的匹配可信白名单,覆盖旧的白名单。
具体地,在可信白名单的匹配过程中,服务器104根据获得软件的指纹值和规则库中的指纹进行比对,并检查软件的数字签名;当验证通过时,允许执行并匹配为可信白名单;当验证未通过时,匹配尝试将被阻止。另外监控管理员还可以将更新后的白名单软件和系统更新程序添加到白名单列表并推送给用户的终端102,同时提供对匹配后的可信白名单软件进行下载。
另外,在一些实施例中,还提供了通过对程序间创建及调用关系的分析,准确的定位非白名单程序中的新安装合法程序和系统中的非法程序,服务器104收集到新安装程序的特征值,鉴别非法程序的特征值,使其无法加入白名单中;当新的程序安装或原有程序更新时,服务器104通过可信进程树等安全机制,安全顺利实现对白名单的更新。保证在安装及更新过程中,服务器104可以将特征值都不在白名单的新安装程序和计算机病毒区分开来,既能全部收集到新安装或更新的可执行程序的特征值,又保证在此过程中不会将病毒等不相关的程序的特征值误引入白名单中。通过保证系统和应用的完整性,可以确保使用正确的软件栈,并在软件栈受到攻击发生改变后能及时发现。总的来说,在系统和应用中加入可信验证能够减少由于使用未知或遭到篡改的系统/软件遭到攻击的可能性。
通过上述实施例,结合白名单系统的易用性,可维护性,本文在实现白名单的生成模块时采用白名单的生成分为系统白名单的生成和应用程序白名单的生成。系统白名单的生成为终端用户的系统定义一个良好的基线,在此基线之上的应用全部受到白名单程序的控制。应用程序白名单是终端用户所能使用的全部应用程序。生成应用程序白名单使用的属性包括软件的名称,版本,大小,数字签名以及软件的内容。为了能够保证对所有的软件实行统一的控制规则,在使用以上属性时,对所有内容合并之后统一用MD5算法生成一个哈希值作为软件最终的指纹,这样既能保证软件指纹的唯一性,又避免了多种控制方式带来的复杂度和效率的降低。并且可以使终端102的安装程序在安装和更新过程中不影响程序白名单知识库对工控系统的控制,且安装程序在安装和更新的过程中可以自动更新程序白名单知识库,和普通程序安装类似,无需要过多的人工干预。
在一个实施例中,提供了一种可信白名单匹配系统,包括:终端102和服务器104,其中:终端102,用于响应于程序启动信号,生成指令信息包含已启动程序的信息的查询指令,将查询指令发送至服务器104;服务器104,用于响应于终端102发送的查询指令,获取存储在服务器104中的白名单信息;查询指令包括终端102中已启动程序的信息;白名单信息中包括可信程序信息,根据已启动程序的信息查询白名单信息,若确定已启动程序为可信程序,获取已启动程序的进程信息,根据进程信息获取已启动程序对应的通信指纹的指纹值,并根据指纹值以及已启动程序的信息生成可信白名单信息,将可信白名单信息发送至终端102;终端102,用于获取服务器104发送的新的可信白名单信息,并根据可信白名单信息覆盖存储至终端102中旧的白名单信息的位置。
本系统中,服务器104中可以包括监控模块、过滤模块、判断模块和匹配模块;监控模块设有监控管理员,监控管理员对终端102下载的软件库的白名单软件进行监控。终端102包含规则库和审计信息库;规则库为监控管理员根据软件库的白名单软件生成的软件标识的集合,并将软件标识写入到XML文件并下发给终端102;审计信息库是用户在终端102安装或运行未经授权的软件都会产生相应的审计信息。
监控管理员为系统管理员、安全管理员和审计管理员;系统管理员负责用户和软件库的管理,安全管理员负责规则库的管理,审计管理员则负责对服务器104收到的日志信息进行审计。
服务器104利用过滤模块4滤除终端102在运行白名单软件的时候所拦截的软件的信息;信息的属性选择在很大程度上取决于对安全性,可维护性,易用性的恰当的平衡。例如简单的属性,比如文件路径,文件名称,和文件大小不能单独使用除非它们有严格的访问控制以紧密的限制文件的活动,即使如此,与其他属性配合使用会有显著地效果。数字签名、出版商和加密哈希技术的组合能够提供最精确最复杂的应用程序白名单功能。经服务器104中的判断模块5判定监控管理员授权的可以使用的白名单软件为可信白名单软件,通过匹配模块6匹配相应的终端102的用户,并为终端用户提供下载。当监控到有进程创建时,停止程序继续运行,如果继续运行下去会导致一些恶意的程序去破坏计算机。所以当被监控的程序创建完毕后应立即将其挂起,挂起之后再去获取该软件的信息,然后进行白名单匹配工作。白名单软件对用户本机软件进行管理,并对软件的安装和运行进行控制。终端102还存有本地规则库,本地规则库包含系统软件白名单和从服务器104上下载的白名单。
通过本系统,可信白名单匹配技术在恶意软件侵入计算机之前就将其阻止,它只需要关注可信的应用程序。具有高安全性需求的系统运行的应用程序相对比较固定,使用杀毒软件这种传统的方式只能增加系统复杂性,并不能提高安全性。而白名单技术更加适合这种应用相对固定的环境中,只需要保证系统中运行的是少量的可信的应用程序,使得防恶意软件更加有效,特别适合于安全性要求较高的系统。
而白名单则是记录下授权的可信的实体,一旦发现未授权实体则立即进行阻止。这种方式相对于传统白名单技术方式有了改进,在第一个阶段准备可信白名单数据的时候,用户进程并不需要阻塞等待,而是会立刻收到一个错误返回值从而结束这次调用,然后可以再次进行读操作,直到准备好,这种方式改进了第一个阶段的阻塞,需要用户进行不断的询问。
服务器104中的过滤模块度量和验证的应用行为是系统调用行为,包括进程启动、进程调用、网络访问、文件访问等。系统调用是应用的核心执行动作,一个被攻击过、不再可信的应用在执行实现攻击者目标时必须通过系统调用实现,也就是说,通过对系统调用的监测能够有效地发现应用异常,即不再可信。实现应用可信的具体方式是首先通过对白名单应用的分析,收集用户正常行为,并以此建立行为规则库,然后根据实时采集的应用行为数据,对比应用行为规则库进行判断。如果应用行为无法匹配任何一条规则,这个行为会被判断为异常,过滤模块决定是否告警或滤除终止应用运行。
这些服务决定一个服务,出版商,或其他外部实体是否通常关联良性或恶性的内容。允许应用白名单软件去决定怎样基于关联的服务,出版商等的信誉去处理新的或者改变的文件,而不是简单的把它们加到灰名单等待后续的人工的处理。可信计算另一个核心部分是可信根,通常是可信硬件芯片。可信计算通过芯片厂家植入在可信硬件中的算法和秘钥,以及集成的专用微控制器对软件栈进行度量和验证来确保可信。根据安全芯片和其上运行的可信软件基分类,从而可以基于该方式对可信程序进行分析。
关于可信白名单匹配系统的具体限定可以参见上文中对于可信白名单匹配方法的限定,在此不再赘述。上述可信白名单匹配系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
应该理解的是,虽然图2-图4的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-图4中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图5所示,提供了一种可信白名单匹配装置,包括:第一响应模块500、确定模块502和生成模块504,其中:
第一响应模块500,用于响应于终端发送的查询指令,获取存储在服务器中的白名单信息;查询指令包括终端中已启动程序的信息;白名单信息中包括可信程序信息。
确定模块502,用于根据已启动程序的信息查询白名单信息,若确定已启动程序为可信程序,获取已启动程序的进程信息。
生成模块504,用于根据进程信息获取已启动程序对应的通信指纹的指纹值,并根据指纹值以及已启动程序的信息生成可信白名单信息,以基于可信白名单信息进行程序管理;通信指纹的指纹值表征已启动程序通信时对应的唯一特征。
在一个实施例中,上述生成模块504,具体用于获取进程信息对应的已启动程序的路径;根据路径以及信息摘要算法,获取已启动程序对应的通信指纹的指纹值。
在一个实施例中,上述装置还包括:规则生成模块,用于针对白名单信息中的每个可信程序信息,获取该可信程序信息的软件标识;根据多个可信程序信息的软件标识,生成对应的规则库。
在一个实施例中,上述生成模块504,具体用于获取并检测已启动程序对应的数字签名;根据指纹值查询规则库,若规则库中存在与指纹值匹配的白名单指纹值以及数字签名检测通过,根据已启动程序的信息生成可信白名单信息。
在一个实施例中,上述装置还包括:名单发送模块,用于将可信白名单信息发送至终端,以使终端下载可信白名单信息。
在一个实施例中,上述装置还包括:卸载模块,用于若确定已启动程序为不可信程序,向终端发送针对不可信程序的卸载指令,以使终端卸载已启动程序。
在一个实施例中,如图6所示,提供了一种可信白名单匹配装置,包括:第二响应模块600、发送模块602和存储模块604,其中:
第二响应模块600,用于响应于程序启动信号,生成指令信息包含已启动程序的信息的查询指令。
发送模块602,用于将查询指令发送至服务器;服务器用于根据已启动程序的信息查询白名单信息,并当确定已启动程序为可信程序时,根据已启动程序的信息生成可信白名单信息,并将可信白名单信息发送至终端。
存储模块604,用于获取服务器发送的可信白名单信息,并根据可信白名单信息覆盖存储至终端中旧的白名单信息的位置。
关于可信白名单匹配装置的具体限定可以参见上文中对于可信白名单匹配方法的限定,在此不再赘述。上述可信白名单匹配装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种可信白名单匹配方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述的可信白名单匹配方法。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述的可信白名单匹配方法。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种可信白名单匹配方法,其特征在于,应用于服务器,所述方法包括:
响应于终端发送的查询指令,获取存储在服务器中的白名单信息;所述查询指令包括所述终端中已启动程序的信息;所述白名单信息中包括可信程序信息;
根据所述已启动程序的信息查询所述白名单信息,若确定所述已启动程序为可信程序,获取所述已启动程序的进程信息;
根据所述进程信息获取所述已启动程序对应的通信指纹的指纹值,并根据所述指纹值以及所述已启动程序的信息生成可信白名单信息,以基于所述可信白名单信息进行程序管理;所述通信指纹的指纹值表征所述已启动程序通信时对应的唯一特征。
2.根据权利要求1所述的方法,其特征在于,所述根据所述进程信息获取所述已启动程序对应的通信指纹的指纹值,包括:
获取所述进程信息对应的已启动程序的路径;
根据所述路径以及信息摘要算法,获取所述已启动程序对应的通信指纹的指纹值。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
针对所述白名单信息中的每个可信程序信息,获取该可信程序信息的软件标识;
根据多个可信程序信息的软件标识,生成对应的规则库。
4.根据权利要求3所述的方法,其特征在于,所述软件标识包括所述可信程序信息的白名单指纹值;
所述根据所述指纹值以及所述已启动程序的信息生成可信白名单信息,包括:
获取并检测所述已启动程序对应的数字签名;
根据所述指纹值查询所述规则库,若所述规则库中存在与所述指纹值匹配的白名单指纹值以及所述数字签名检测通过,根据所述已启动程序的信息生成可信白名单信息。
5.根据权利要求1所述的方法,其特征在于,所述根据所述指纹值以及所述已启动程序的信息生成可信白名单信息之后,还包括:
将所述可信白名单信息发送至所述终端,以使所述终端下载所述可信白名单信息。
6.根据权利要求1所述的方法,其特征在于,所述根据所述已启动程序的信息查询所述白名单信息之后,还包括:
若确定所述已启动程序为不可信程序,向所述终端发送针对所述不可信程序的卸载指令,以使所述终端卸载所述已启动程序。
7.一种可信白名单匹配方法,其特征在于,应用于终端,所述方法包括:
响应于程序启动信号,生成指令信息包含已启动程序的信息的查询指令;
将所述查询指令发送至服务器;所述服务器用于根据所述已启动程序的信息查询白名单信息,并当确定所述已启动程序为可信程序时,根据所述已启动程序的信息生成可信白名单信息,并将所述可信白名单信息发送至所述终端;
获取所述服务器发送的可信白名单信息,并根据所述可信白名单信息覆盖存储至所述终端中旧的白名单信息的位置。
8.一种可信白名单匹配系统,其特征在于,包括终端和服务器;
所述终端,用于响应于程序启动信号,生成指令信息包含已启动程序的信息的查询指令,将所述查询指令发送至服务器;
所述服务器,用于响应于终端发送的查询指令,获取存储在服务器中的白名单信息;所述查询指令包括所述终端中已启动程序的信息;所述白名单信息中包括可信程序信息,根据所述已启动程序的信息查询所述白名单信息,若确定所述已启动程序为可信程序,获取所述已启动程序的进程信息,根据所述进程信息获取所述已启动程序对应的通信指纹的指纹值,并根据所述指纹值以及所述已启动程序的信息生成可信白名单信息,以基于所述可信白名单信息进行程序管理,将所述可信白名单信息发送至所述终端;所述通信指纹的指纹值表征所述已启动程序通信时对应的唯一特征;
所述终端,用于获取所述服务器发送的新的可信白名单信息,并根据所述可信白名单信息覆盖存储至所述终端中旧的白名单信息的位置。
9.一种可信白名单匹配装置,其特征在于,应用于服务器,所述装置包括:
第一响应模块,用于响应于终端发送的查询指令,获取存储在服务器中的白名单信息;所述查询指令包括所述终端中已启动程序的信息;所述白名单信息中包括可信程序信息;
确定模块,用于根据所述已启动程序的信息查询所述白名单信息,若确定所述已启动程序为可信程序,获取所述已启动程序的进程信息;
生成模块,用于根据所述进程信息获取所述已启动程序对应的通信指纹的指纹值,并根据所述指纹值以及所述已启动程序的信息生成可信白名单信息,以基于所述可信白名单信息进行程序管理;所述通信指纹的指纹值表征所述已启动程序通信时对应的唯一特征。
10.一种可信白名单匹配装置,其特征在于,应用于终端,所述装置包括:
第二响应模块,用于响应于程序启动信号,生成指令信息包含已启动程序的信息的查询指令;
发送模块,用于将所述查询指令发送至服务器;所述服务器用于根据所述已启动程序的信息查询白名单信息,并当确定所述已启动程序为可信程序时,根据所述已启动程序的信息生成可信白名单信息,并将所述可信白名单信息发送至所述终端;
存储模块,用于获取所述服务器发送的新的可信白名单信息,并根据所述可信白名单信息覆盖存储至所述终端中旧的白名单信息的位置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111192183.8A CN113836542A (zh) | 2021-10-13 | 2021-10-13 | 可信白名单匹配方法、系统和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111192183.8A CN113836542A (zh) | 2021-10-13 | 2021-10-13 | 可信白名单匹配方法、系统和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113836542A true CN113836542A (zh) | 2021-12-24 |
Family
ID=78968814
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111192183.8A Pending CN113836542A (zh) | 2021-10-13 | 2021-10-13 | 可信白名单匹配方法、系统和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113836542A (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
CN104933354A (zh) * | 2014-12-30 | 2015-09-23 | 国家电网公司 | 一种基于可信计算的白名单静态度量方法 |
CN105354493A (zh) * | 2015-10-22 | 2016-02-24 | 中国人民解放军装备学院 | 基于虚拟化技术的终端可信增强方法及系统 |
CN106529282A (zh) * | 2016-11-10 | 2017-03-22 | 广东电网有限责任公司电力科学研究院 | 一种基于信任链的白名单执行系统及执行方法 |
CN107944232A (zh) * | 2017-12-08 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种基于白名单技术的主动防御系统的设计方法及系统 |
CN109214182A (zh) * | 2017-07-03 | 2019-01-15 | 阿里巴巴集团控股有限公司 | 在云平台下虚拟机运行中对勒索软件的处理方法 |
CN110929259A (zh) * | 2019-11-14 | 2020-03-27 | 腾讯科技(深圳)有限公司 | 进程安全验证白名单生成方法、装置 |
CN111177706A (zh) * | 2019-12-25 | 2020-05-19 | 北京珞安科技有限责任公司 | 一种基于信任软件库的进程白名单更新方法 |
-
2021
- 2021-10-13 CN CN202111192183.8A patent/CN113836542A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
CN104933354A (zh) * | 2014-12-30 | 2015-09-23 | 国家电网公司 | 一种基于可信计算的白名单静态度量方法 |
CN105354493A (zh) * | 2015-10-22 | 2016-02-24 | 中国人民解放军装备学院 | 基于虚拟化技术的终端可信增强方法及系统 |
CN106529282A (zh) * | 2016-11-10 | 2017-03-22 | 广东电网有限责任公司电力科学研究院 | 一种基于信任链的白名单执行系统及执行方法 |
CN109214182A (zh) * | 2017-07-03 | 2019-01-15 | 阿里巴巴集团控股有限公司 | 在云平台下虚拟机运行中对勒索软件的处理方法 |
CN107944232A (zh) * | 2017-12-08 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种基于白名单技术的主动防御系统的设计方法及系统 |
CN110929259A (zh) * | 2019-11-14 | 2020-03-27 | 腾讯科技(深圳)有限公司 | 进程安全验证白名单生成方法、装置 |
CN111177706A (zh) * | 2019-12-25 | 2020-05-19 | 北京珞安科技有限责任公司 | 一种基于信任软件库的进程白名单更新方法 |
Non-Patent Citations (1)
Title |
---|
胡海生: "一种基于白名单机制的电力监控主机恶意代码防御方案", 《计算机应用与软件》, vol. 34, no. 09, pages 114 - 119 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220284094A1 (en) | Methods and apparatus for malware threat research | |
CN109684832B (zh) | 检测恶意文件的系统和方法 | |
US11093625B2 (en) | Adaptive file access authorization using process access patterns | |
US9081967B2 (en) | System and method for protecting computers from software vulnerabilities | |
RU2646352C2 (ru) | Система и способ для применения индикатора репутации для облегчения сканирования на наличие вредоносных программ | |
US8042186B1 (en) | System and method for detection of complex malware | |
CN102651061B (zh) | 用于检测复杂恶意软件的系统和方法 | |
US7676845B2 (en) | System and method of selectively scanning a file on a computing device for malware | |
US7669059B2 (en) | Method and apparatus for detection of hostile software | |
US9021584B2 (en) | System and method for assessing danger of software using prioritized rules | |
US20130340080A1 (en) | System and Method for Preventing Spread of Malware in Peer-to-Peer Network | |
US20120102569A1 (en) | Computer system analysis method and apparatus | |
US10783246B2 (en) | Comparing structural information of a snapshot of system memory | |
US20140245450A1 (en) | System and method for patching a device through exploitation | |
AU2021319159B2 (en) | Advanced ransomware detection | |
US11449602B1 (en) | Systems and methods for generating trust binaries | |
Breitenbacher et al. | Hades-iot: A practical and effective host-based anomaly detection system for iot devices (extended version) | |
US11636219B2 (en) | System, method, and apparatus for enhanced whitelisting | |
US7620983B1 (en) | Behavior profiling | |
JP2005527905A (ja) | 実行可能なコードを格納するタンパーエビデントな取り外し可能な媒体 | |
US8640242B2 (en) | Preventing and detecting print-provider startup malware | |
WO2020007249A1 (zh) | 一种操作系统安全主动防御方法及操作系统 | |
US11822647B1 (en) | Data structure for trust store | |
CN113836542A (zh) | 可信白名单匹配方法、系统和装置 | |
JP6884652B2 (ja) | ホワイトリスト管理システムおよびホワイトリスト管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20230802 Address after: 518000 building 501, 502, 601, 602, building D, wisdom Plaza, Qiaoxiang Road, Gaofa community, Shahe street, Nanshan District, Shenzhen City, Guangdong Province Applicant after: China Southern Power Grid Digital Platform Technology (Guangdong) Co.,Ltd. Address before: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province Applicant before: Southern Power Grid Digital Grid Research Institute Co.,Ltd. |