CN114896117A - 软件安装更新过程基于白名单的内存行为监控方法及装置 - Google Patents
软件安装更新过程基于白名单的内存行为监控方法及装置 Download PDFInfo
- Publication number
- CN114896117A CN114896117A CN202210219447.2A CN202210219447A CN114896117A CN 114896117 A CN114896117 A CN 114896117A CN 202210219447 A CN202210219447 A CN 202210219447A CN 114896117 A CN114896117 A CN 114896117A
- Authority
- CN
- China
- Prior art keywords
- white list
- behavior
- software
- memory
- update process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006399 behavior Effects 0.000 title claims abstract description 128
- 238000000034 method Methods 0.000 title claims abstract description 110
- 230000008569 process Effects 0.000 title claims abstract description 76
- 238000012544 monitoring process Methods 0.000 title claims abstract description 57
- 238000012795 verification Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 14
- 238000003860 storage Methods 0.000 claims description 14
- 238000012360 testing method Methods 0.000 claims description 10
- 230000001172 regenerating effect Effects 0.000 claims description 6
- 238000009434 installation Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000011900 installation process Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000009776 industrial production Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3051—Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Mathematical Physics (AREA)
- Computer Security & Cryptography (AREA)
- Stored Programmes (AREA)
Abstract
根据本公开的实施例,提供一种软件安装更新过程基于白名单的内存行为监控方法及装置,在应用环境下,在软件安装或更新过程中,监测内存中调用的指令,当存在不在行为白名单中的指令时,中断软件安装或更新进程;所述行为白名单包括:安装或更新所述软件时,内存中调用的所有指令。本公开在保证支持大规模部署的基础上,通过引入内存行为监控和改进软件安装更新过程,提升了软件安装更新过程的安全性和灵活性,可以有效发现和拦截软件部署和升级过程中的恶意行为。
Description
技术领域
本公开涉及信息安全技术领域,尤其涉及一种软件安装更新过程基于白名单的内存行为监控方法及装置。
背景技术
白名单技术是工业生产领域下应对安全威胁的有效方式,它默认拦截一切未知可执行程序和脚本的执行,可以有效抵御已知和未知的恶意代码。另一方面,这也造成了工业生产软件安装和更新的不便。
同时现有的白名单技术存在白利用的问题。
为解决这一问题,公开号为CN101788915A的专利提供了一种单机解决方案,该方案基于可信进程树进行白名单更新,在软件升级/新安装时构建可信进程树,记录可信进程树中各节点对应可执行程序的特征值,将其更新至白名单中,在此基础上,可实现单机环境下的软件升级。该方法的缺陷是需专业维护人员进行人工安装,在工业场景下,运维人员负担较大。
公开号为CN105183504A的专利,提供了一种基于服务器的进程白名单更新方法,可实现同一软件白名单的共享,专利公开号为CN111177706A的专利,对其进一步进行了优化,解决了系统版本差异化导致的安装失败的问题。这两方案有效解决了上述问题,但在安全性方面带来了新的风险。
该方式仅通过进程调用关系的方式管控,以供应链攻击为例,在软件安装/升级过程中,该进程树被主机视为可信任进程,甚至可以绕过安全防护软件的检测,攻击者利用服务器漏洞植入恶意代码,在软件部署和升级过程中执行恶意行为,则会造成大规模的感染。恶意代码也将获取和应用相同的信任和权限等级。
发明内容
本公开提供一种软件安装更新过程基于白名单的内存行为监控方法及装置,解决工业生产或者大型企业场景下的软件部署和升级过程中,现有白名单技术可能造成安全性问题。在满足大规模软件自动化部署升级的要求下,能够降低受到恶意攻击的风险。
为达到上述目的,本公开提供了一种软件安装更新过程基于白名单的内存行为监控方法,包括:
在应用环境下,在软件安装或更新过程中,监测内存中调用的指令,当存在不在行为白名单中的指令时,中断软件安装或更新进程;
所述行为白名单包括:安装或更新所述软件时,内存中调用的所有指令。
进一步地,所述行为白名单的生成包括:在测试环境下,安装或更新待测试的软件,监测内存中调用指令并将所述指令加入行为白名单。
进一步地,所述行为白名单的生成,还包括,安装或更新待测试的软件时,收集安装软件名称、文件哈希值、版本信息、可能访问的文件资源以及可执行程序的调用执行路径并写入所述行为白名单;
在应用环境或测试环境下,在软件安装或更新过程中,收集安装或更新软件名称、文件哈希值、版本信息、可能访问的文件资源以及可执行程序的调用执行路径,验证所述行为白名单。
进一步地,所述行为白名单的生成,还包括:
设置行为黑名单,所述黑名单包括非法的系统敏感文件读写行为;
在验证环境下,安装或更新待测试的软件,监测内存中调用的指令,当存在不在所述行为白名单中的指令时,判断该指令是否在所述黑名单中,如果在,则针对该软件重新生成行为白名单,如果不在,则将该指令加入所述行为白名单。
进一步地,所述验证环境包括与所述测试环境不同的系统版本。
进一步地,管理服务器向各个受控端下发信任安装程序,包括对应的行为白名单。
进一步地,当存在不在所述行为白名单中的指令时,向所述管理服务器反馈错误信息,所述管理服务器分析判断,如果为软件版本未包括对应的行为白名单或者与对应的行为白名单不匹配引发的错误,则针对该软件版本生成新的行为白名单。
另一方面提供一种软件安装更新过程基于白名单的内存行为监控系统,至少包括:
白名单存储模块,存储行为白名单,包括:安装或更新所述软件时,内存中调用的所有指令。
监控模块,在应用环境下,在软件安装或更新过程中,监测内存中调用的指令,当存在不在行为白名单中的指令时,中断软件安装或更新进程。
第三方面提供一种电子设备,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述软件安装更新过程基于白名单的内存行为监控方法。
第三方面提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序用于由处理器加载并执行所述的软件安装更新过程基于白名单的内存行为监控方法。
本公开的上述技术方案具有如下有益的技术效果:
(1)本公开在保证支持大规模部署的基础上,通过引入内存行为监控和改进软件安装更新过程,提升了软件安装更新过程的安全性和灵活性,可以有效发现和拦截软件部署和升级过程中的恶意行为。
(2)传统的不监控指令和内存的行为,监控不细致,攻击者可以混淆。本公开从内存行为监控的角度出发,增大了利用白名单植入恶意代码的难度;一旦出现恶意软件攻击供应链,恶意行为不会出现在白名单内,本公开对行为进行监控,恶意软件无法获知行为监控点,很难绕过或伪造。因此本公开可以对升级和安装行为进行更加细粒度的监控,保证了监控的全面性。
(3)本公开引入的学习和验证过程,有效解决了软件在不同操作系统下释放的二进制文件不同导致的安装失败。
(4)服务器和受控端的信息反馈也能辅助运维管理人员识别风险和判断异常原因。
附图说明
图1示出了根据本公开的一些实施例提供的软件安装更新过程基于白名单的内存行为监控方法流程图;
图2示出了根据本公开的另一些实施例提供的软件安装更新过程基于白名单的内存行为监控方法流程图;
图3示出了根据本公开的一些实施例提供的软件安装更新过程基于白名单的内存行为监控装置构成示意图;
图4示出了根据本公开的一些实施例提供的电子设备构成示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本公开进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本公开的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
本公开从内存行为监控的角度出发,可以对升级和安装行为进行更加细粒度的监控。采用CPU提供的硬件虚拟化技术监控CPU敏感指令,抓取软件在安装/升级过程中所触发的敏感指令和内存的读写行为,作为一次学习的过程,在不同类型主机进行多次学习后,生成软件升级的内存行为白名单。在大规模软件安装时,将监控整个安装过程是否在白名单允许范围内,发现未被允许的敏感行为,并及时阻断安装进程。
在一些实施例中,白名单的生成和使用分为学习、推广几个阶段,结合图1。
S100学习阶段
在软件大规模应用之前,先进入学习阶段。在测试环境下,安装或更新待测试的软件,监测内存中调用指令并将所述指令加入行为白名单。
学习阶段还会收集信息,包括:安装程序名称、文件哈希值、版本信息、可能访问的文件资源、可执行程序的调用执行路径。
进一步地,不同的系统版本会导致可能访问的文件资源、可执行程序的调用执行路径不同。如果应用环境的存在多种类型的系统版本,那么行为白名单应当针对每一种系统版本生成,保证适用性的。
S200推广阶段
通过管理服务器向所有受控端下发信任安装程序,包括进程白名单。受控端在收到安装程序后需按照进程白名单的路径在监控规则范围内执行,一旦出现不在行为白名单中的指令时,中断软件安装或更新进程。进一步地,中断软件安装或更新进程的同时,可以向管理服务器反馈错误信息,包括异常执行的CPU命令等。管理服务器可以根据各受控端反馈的错误执行信息进一步分析判断,定位异常原因,亦可再次进行单独学习,更新进程白名单及监控规则。
在一个实施例中,在一些实施例中,白名单的S100学习阶段、S200推广阶段之间还包括S110验证阶段,结合图2。验证阶段的操作包括:
设置行为黑名单,包括敏感行为指令。
在验证环境下,安装或更新待测试的软件,监测内存中调用的指令,当存在不在所述行为白名单中的指令时,判断该指令是否在所述黑名单中,如果在,则针对该软件重新生成行为白名单,如果不在,则将该指令加入所述行为白名单。
所述验证环境包括与所述测试环境不同的系统版本。验证该安装过程在不同系统版本的验证执行情况,如果验证失败,则可以再次验证,如果再次验证仍然失败,则重新进入学习流程,重新生成行为白名单。
在一些实施例中,提供一种软件安装更新过程基于白名单的内存行为监控方法,包括:在应用环境下,在软件安装或更新过程中,监测内存中调用的指令,当存在不在行为白名单中的指令时,中断软件安装或更新进程。
所述行为白名单包括:安装或更新所述软件时,内存中调用的所有指令。
在一个实施例中,所述行为白名单的生成包括:在测试环境下,安装或更新待测试的软件,监测内存中调用指令并将所述指令加入行为白名单。
进一步地,所述行为白名单的生成,还包括,安装或更新待测试的软件时,收集安装软件名称、文件哈希值、版本信息、可能访问的文件资源以及可执行程序的调用执行路径,写入所述行为白名单。
在软件安装或更新过程中,收集安装软件名称、文件哈希值、版本信息、可能访问的文件资源以及可执行程序的调用执行路径,验证与所述行为白名单的一致性。
所述行为白名单的生成,还包括进行验证:
设置行为黑名单,所述黑名单包括非法的系统敏感文件读写行为。
在验证环境下,安装或更新待测试的软件,监测内存中调用的指令,当存在不在所述行为白名单中的指令时,判断该指令是否在所述黑名单中,如果在,则针对该软件重新生成行为白名单,如果不在,则将该指令加入所述行为白名单。
在一些实施例中,提供一种软件安装更新过程基于白名单的内存行为监控装置,结合图3,至少包括白名单存储模块和监控模块。
白名单存储模块,存储行为白名单,包括:安装或更新所述软件时,内存中调用的所有指令。
监控模块,在应用环境下,在软件安装或更新过程中,监测内存中调用的指令,当存在不在行为白名单中的指令时,中断软件安装或更新进程。
进一步地,白名单存储模块中存储的行为白名单生成包括:在测试环境下,安装或更新待测试的软件,监测内存中调用指令并将所述指令加入行为白名单。
进一步地,行为白名单生成包括还包括,安装或更新待测试的软件时,收集安装软件名称、文件哈希值、版本信息、可能访问的文件资源以及可执行程序的调用执行路径,并写入所述行为白名单;在软件安装或更新过程中,收集安装软件名称、文件哈希值、版本信息、可能访问的文件资源以及可执行程序的调用执行路径,验证行为白名单。
进一步地,行为白名单生成包括还包括,设置行为黑名单;在验证环境下,安装或更新待测试的软件,监测内存中调用的指令,当存在不在所述行为白名单中的指令时,判断该指令是否在所述黑名单中,如果在,则针对该软件重新生成行为白名单,如果不在,则将该指令加入所述行为白名单。
进一步地,还包括管理服务器,向各个受控端下发信任安装程序,包括对应的行为白名单。各个受控端具有白名单存储模块和监控模块。
监控模块,监控过程中,当发现不在所述行为白名单中的指令时,向所述管理服务器反馈错误信息,所述管理服务器分析判断,如果为软件版本未包括对应的行为白名单或者与对应的行为白名单不匹配引发的错误,则针对该软件版本生成新的行为白名单。
图4示出了可以用来实施本公开的实施例的电子设备,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述的软件安装更新过程基于白名单的内存行为监控方法。
本公开的实施例的提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序用于由处理器加载并执行所述的软件安装更新过程基于白名单的内存行为监控方法。
处理器执行上文所描述的各个方法和处理,例如过程在应用环境下,在软件安装或更新过程中,监测内存中调用的指令,当存在不在行为白名单中的指令时,中断软件安装或更新进程。例如,在一些实施例中,该步骤可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储器。在一些实施例中,计算机程序的部分或者全部被载入和/或安装到电子设备上。当计算机程序加载到RAM并由处理器执行时,可以执行上文描述的步骤。
本公开中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)等等。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
综上,根据本公开的实施例,提供一种软件安装更新过程基于白名单的内存行为监控方法及装置,在应用环境下,在软件安装或更新过程中,监测内存中调用的指令,当存在不在行为白名单中的指令时,中断软件安装或更新进程;所述行为白名单包括:安装或更新所述软件时,内存中调用的所有指令。本公开在保证支持大规模部署的基础上,通过引入内存行为监控和改进软件安装更新过程,提升了软件安装更新过程的安全性和灵活性,可以有效发现和拦截软件部署和升级过程中的恶意行为。
应当理解的是,本公开的上述具体实施方式仅仅用于示例性说明或解释本公开的原理,而不构成对本公开的限制。因此,在不偏离本公开的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。此外,本公开所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (10)
1.一种软件安装更新过程基于白名单的内存行为监控方法,其特征在于,包括:
在应用环境下,在软件安装或更新过程中,监测内存中调用的指令,当存在不在行为白名单中的指令时,中断软件安装或更新进程;
所述行为白名单包括:安装或更新所述软件时,内存中调用的所有指令。
2.根据权利要求1所述的软件安装更新过程基于白名单的内存行为监控方法,其特征在于,所述行为白名单的生成包括:在测试环境下,安装或更新待测试的软件,监测内存中调用指令并将所述指令加入行为白名单。
3.根据权利要求2所述的软件安装更新过程基于白名单的内存行为监控方法,其特征在于,所述行为白名单的生成,还包括,安装或更新待测试的软件时,收集安装软件名称、文件哈希值、版本信息、可能访问的文件资源以及可执行程序的调用执行路径并写入所述行为白名单;
在应用环境或测试环境下,在软件安装或更新过程中,收集安装或更新软件名称、文件哈希值、版本信息、可能访问的文件资源以及可执行程序的调用执行路径,验证所述行为白名单。
4.根据权利要求1至3之一所述的软件安装更新过程基于白名单的内存行为监控方法,其特征在于,所述行为白名单的生成,还包括:
设置行为黑名单,所述黑名单包括非法的系统敏感文件读写行为;
在验证环境下,安装或更新待测试的软件,监测内存中调用的指令,当存在不在所述行为白名单中的指令时,判断该指令是否在所述黑名单中,如果在,则针对该软件重新生成行为白名单,如果不在,则将该指令加入所述行为白名单。
5.根据权利要求4所述的软件安装更新过程基于白名单的内存行为监控方法,其特征在于,所述验证环境包括与所述测试环境不同的系统版本。
6.根据权利要求1或2所述的软件安装更新过程基于白名单的内存行为监控方法,其特征在于,管理服务器向各个受控端下发信任安装程序,包括对应的行为白名单。
7.根据权利要求6所述的软件安装更新过程基于白名单的内存行为监控方法,其特征在于,当存在不在所述行为白名单中的指令时,向所述管理服务器反馈错误信息,所述管理服务器分析判断,如果为软件版本未包括对应的行为白名单或者与对应的行为白名单不匹配引发的错误,则针对该软件版本生成新的行为白名单。
8.一种软件安装更新过程基于白名单的内存行为监控系统,其特征在于,至少包括:
白名单存储模块,存储行为白名单,包括:安装或更新所述软件时,内存中调用的所有指令。
监控模块,在应用环境下,在软件安装或更新过程中,监测内存中调用的指令,当存在不在行为白名单中的指令时,中断软件安装或更新进程。
9.一种电子设备,包括处理器和存储器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1-7任一项所述的软件安装更新过程基于白名单的内存行为监控方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序用于由处理器加载并执行如权利要求1-9任一项所述的软件安装更新过程基于白名单的内存行为监控方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210219447.2A CN114896117A (zh) | 2022-03-08 | 2022-03-08 | 软件安装更新过程基于白名单的内存行为监控方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210219447.2A CN114896117A (zh) | 2022-03-08 | 2022-03-08 | 软件安装更新过程基于白名单的内存行为监控方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114896117A true CN114896117A (zh) | 2022-08-12 |
Family
ID=82715853
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210219447.2A Pending CN114896117A (zh) | 2022-03-08 | 2022-03-08 | 软件安装更新过程基于白名单的内存行为监控方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114896117A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
US20150215335A1 (en) * | 2014-01-27 | 2015-07-30 | Webroot Inc. | Detecting and preventing execution of software exploits |
CN105183504A (zh) * | 2015-08-12 | 2015-12-23 | 北京威努特技术有限公司 | 基于软件服务器的进程白名单更新方法 |
CN106529282A (zh) * | 2016-11-10 | 2017-03-22 | 广东电网有限责任公司电力科学研究院 | 一种基于信任链的白名单执行系统及执行方法 |
CN111177706A (zh) * | 2019-12-25 | 2020-05-19 | 北京珞安科技有限责任公司 | 一种基于信任软件库的进程白名单更新方法 |
-
2022
- 2022-03-08 CN CN202210219447.2A patent/CN114896117A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
US20150215335A1 (en) * | 2014-01-27 | 2015-07-30 | Webroot Inc. | Detecting and preventing execution of software exploits |
CN105183504A (zh) * | 2015-08-12 | 2015-12-23 | 北京威努特技术有限公司 | 基于软件服务器的进程白名单更新方法 |
CN106529282A (zh) * | 2016-11-10 | 2017-03-22 | 广东电网有限责任公司电力科学研究院 | 一种基于信任链的白名单执行系统及执行方法 |
CN111177706A (zh) * | 2019-12-25 | 2020-05-19 | 北京珞安科技有限责任公司 | 一种基于信任软件库的进程白名单更新方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106991324B (zh) | 一种基于内存保护类型监控的恶意代码跟踪识别方法 | |
EP3326100B1 (en) | Systems and methods for tracking malicious behavior across multiple software entities | |
US8443354B1 (en) | Detecting new or modified portions of code | |
US9021584B2 (en) | System and method for assessing danger of software using prioritized rules | |
US8984331B2 (en) | Systems and methods for automated memory and thread execution anomaly detection in a computer network | |
US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
US11012449B2 (en) | Methods and cloud-based systems for detecting malwares by servers | |
CN105408911A (zh) | 硬件和软件执行概况分析 | |
JP2019527877A (ja) | Plcの仮想的なパッチおよびセキュリティコンテキストの自動配信 | |
US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
US20230185921A1 (en) | Prioritizing vulnerabilities | |
US9613212B2 (en) | Execution profile assembly using branch records | |
CN110348180B (zh) | 一种应用程序启动控制方法和装置 | |
CN114896117A (zh) | 软件安装更新过程基于白名单的内存行为监控方法及装置 | |
CN114896592B (zh) | 一种wmi恶意代码的通用检测方法、装置、设备及存储介质 | |
KR102170737B1 (ko) | 악성 스레드를 추적하는 장치 및 방법 | |
TWI730415B (zh) | 偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法 | |
CN113868626A (zh) | 权限提升漏洞的检测方法、系统、计算机可读存储介质 | |
WO2020012474A1 (en) | Return-oriented programming attack protection system and method | |
JP2019220132A (ja) | プログラムの危険な挙動のパターンをユーザのコンピュータシステムに適応させるシステムおよび方法 | |
CN113836542B (zh) | 可信白名单匹配方法、系统和装置 | |
CN115828246B (zh) | 一种离线恶意程序及行为监测方法、装置、介质及设备 | |
CN113778509B (zh) | 一种确定开源组件的版本的方法、存储介质和电子装置 | |
CN115130113A (zh) | 一种汽车ecu固件的漏洞分析方法、系统和介质 | |
CN113779561A (zh) | 内核漏洞处理方法、装置、存储介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220812 |
|
RJ01 | Rejection of invention patent application after publication |