TWI802040B

TWI802040B - 基於檔案屬性特徵之應用程式控管方法

Info

Publication number: TWI802040B
Application number: TW110137601A
Authority: TW
Inventors: 賴頌傑; 劉雨芊
Original assignee: 精品科技股份有限公司
Priority date: 2021-10-08
Filing date: 2021-10-08
Publication date: 2023-05-11
Also published as: TW202316300A

Abstract

一種基於檔案屬性特徵之應用程式控管方法，包含底下步驟：於一伺服器設定一應用程式控管的特徵，包含第一部份檔案屬性；透過該伺服器以比對第一部份檔案屬性與一檔案或程式之第二部份檔案屬性；以及，若比對結果，第一部份檔案屬性符合第二部份檔案屬性，則該檔案或程式標定為可執行的白名單。

Description

基於檔案屬性特徵之應用程式控管方法

本發明涉及一種應用程式控管之技術領域，特別是一種基於檔案屬性特徵之應用程式控管方法。

隨著資訊化的發展，出現了大量的應用程式(APP)。同一個廠商可以提供多個應用程式。即使是不同的應用程式，尤其是同一個廠商提供的多個應用程式，可能存在相似的功能。為了適應技術發展或業務需要，常常需要對應用程式進行升級或換代，例如，新版本應用程式的發佈頻率可能大於1次/周。當發佈的新版本應用程式出現了錯誤或者業務出現故障時，需要用戶端的應用程式緊急回到指定版本的應用程式，才能夠滿足用戶的基本使用需求。

現有的應用程式通常會限定可合法使用它的電腦裝置，避免應用程式被複製到其它未經合法授權的電腦裝置上使用。為達到這個目的，目前已有綁定硬體資訊的保護機制。在此機制中，應用程式一旦被啟動就會先讀取並驗證安裝它的電腦裝置中的硬體資訊，例如中央處理器編碼、硬碟序號等等，並只在驗證通過時才允許該電腦裝置正常執行它。這種機制雖可將應用程式與可正常執行它的合法電腦裝置綁定在一起，但因硬體資訊缺乏動態變化，故容易遭到破解。

此外，在網際網路普及的情形之下，在企業內通常都會建構與網際網路的連接，以取得各式各樣的應用程式。然而，從網際網路擷取的各種資訊或應用程式，可能也會有接收到惡意程式的情形發生。一旦惡意程式進入到資訊處理裝置，將會破壞其中的軟體或者是盜取其中的資訊，對於企業內的資訊安全造成莫大的傷害。

另一方面，對於企業而言，在享受網際網路便利性的同時也應盡可能地將這些可能存在的惡意程式的威脅排除。關連於應用程式所實行的限制，傳統上係使用黑名單的控管方式來實施。因為全球的程式太多，因此以黑名單的控管方式已不符使用。

近來駭客常使用本機上原有的程式，做為攻擊的程式，而不是使用駭客自己寫的程式。這樣會造成一個問題，例如Windows上內建的程式是常會被使用者使用的程式，但也是駭客最愛用的程式；如此，這些內建的程式是否可以設為應用程式控管，也是一大問題所在。

再者，應用程式控管有強大的防護力，但是企業內的使用者常會因為底下三種情況：(1)Windows Update；(2)使用者自己安裝已知且安全的新程式(例如：AutoCAD)；(3)每天更新的程式(例如：Teams、Chrome常會背景更新)，而造成無法執行程式的窘境。此不但會影響企業員工的工作效率，也會增加資訊技術(IT：Information Technology)人員的工作量。

針對上述應用程式控管方式，本發明提供一種新穎的應用程式控管方法，以增進應用程式控管的功能。

本發明之目的在於提供一種基於檔案屬性特徵之應用程式控管方法。

本發明之基於檔案屬性特徵之應用程式控管方法，包括：於一伺服器設定一應用程式控管的特徵，其中該特徵包含第一部份檔案屬性；透過該伺服器以比對第一部份檔案屬性與一檔案或程式之第二部份檔案屬性；以及，若比對結果，第一部份檔案屬性符合第二部份檔案屬性，則該檔案或程式標定為可執行的白名單。

其中第一部份檔案屬性包含原始檔名、產品版本以及著作權。

上述應用程式控管的特徵更包含完整憑證。其中若比對該完整憑證符合該檔案或程式之第二完整憑證，則該檔案或程式為可執行的白名單。完整憑證包含一數位簽章，而數位簽章包含一簽章拇指紋。

上述應用程式控管的特徵更包含部份憑證。其中若比對該部份憑證符合該檔案或程式之第二部份憑證，則該檔案或程式為可執行的白名單。其中該部份憑證包含簽署人、憑證簽發者或上述二者之組合。

上述應用程式控管的特徵更包含路徑/檔名，其中若比對該路徑/檔名符合該檔案或程式之第二路徑/檔名，則該檔案或程式為可執行的白名單。

102:執行檔

104:動態連結函式庫(DLL)檔

106:文件檔

108:完整憑證

110:部份憑證

112:雜湊(Hash)

114:路徑/檔名

116:部份檔案屬性

118:簽署人

120:憑證簽發者

122:簽署人和憑證簽發者之組合

202:數位簽章

204:簽署人資訊

206:憑證簽發者

302:簽章拇指紋

304:憑證簽發者關鍵字

306:簽署人關鍵字

402:原始檔名

404:產品版本

406:著作權

408:檔案版本

410:產品名稱

[圖1]第一圖顯示本發明之應用程式控管的基本特徵之示意圖。

[圖2]第二圖顯示本發明之應用程式控管之完整憑證和部份憑證特徵之示意圖。

[圖3]第三圖顯示本發明之應用程式控管之完整憑證和部份憑證特徵之示意圖。

[圖4]第四圖顯示本發明之應用程式控管之部份檔案屬性特徵之示意圖。

此處本發明將針對發明具體實施例及其觀點加以詳細描述，此類描述為解釋本發明之結構或步驟流程，其係供以說明之用而非用以限制本發明之申請專利範圍。因此，除說明書中之具體實施例與較佳實施例外，本發明亦可廣泛施行於其他不同的實施例中。以下藉由特定的具體實施例說明本發明之實施方式，熟悉此技術之人士可藉由本說明書所揭示之內容輕易地瞭解本發明之功效性與其優點。且本發明亦可藉由其他具體實施例加以運用及實施，本說明書所闡述之各項細節亦可基於不同需求而應用，且在不悖離本發明之精神下進行各種不同的修飾或變更。

本發明提出一種基於檔案屬性特徵之應用程式控管方法。其中係以白名單做為控管方案，以取代傳統的黑名單控管方式。在實際上的操作上而言，應用程式控管為白名單的機制。舉例而言，用戶端(個人電腦、平板電腦、或各種計算機裝置)或伺服器進行一掃毒的程序，掃毒完成之後，將沒有問題的檔案、程式或軟體紀錄下來，以當作白名單。換言之，經過掃瞄(掃毒)程序之後，沒有問題的所有的檔案或程式均為白名單。其中白名單可以在本機中執行，黑名單則不可以在本機中執行。因此，若不是白名單，就是有問題的，禁止在電腦之中執行。至於如何辨識一個程式是否為白名單，本發明提出基於檔案屬性特徵之方法，以取得一個應用程式控管的白名單辨識特徵；而在應用程式控管功能執行之後，經過檔案屬性特徵的辨識，即可以得知一個檔案、程式是否為白名單。

第一圖描繪了本發明之應用程式控管的白名單辨識特徵之示意圖。如第一圖所示，應用程式控管的管理包含三個方面的程式或檔案，執行檔102、動態連結函式庫(Dynamic-link library：DLL)檔104和文件檔106。這三方面為應用程式控管所要管理的標的。執行檔102、動態連結函式庫(DLL)檔104和文件檔106各有其基本特徵，以利於應用程式控管來辨識檔案是否為白名單。所謂動態連結，就是把一些經常會共享的程式碼(靜態連結的OBJ程式庫)製作成DLL檔104。當執行檔102呼叫到DLL檔104內的函式時，Windows作業系統才會把DLL檔104載入記憶體內。DLL檔104本身的結構就是可執行檔，當程式有需求時函式才進行連結。透過動態連結方式，記憶體浪費的情形將可大幅降低。DLL檔104的檔案格式與視窗EXE檔案一樣。作為EXE格式，DLL可以包括原始碼、資料和資源的多種組合。

舉例而言，透過一伺服器的一指定單元以指定或定義Word為白名單、Excel為黑名單。而未經由指定單元指定或定義之AutoCAD，因為不是白名單也不是黑名單，自動變成灰名單。另外，舉一實施例而言，在經過伺服器(控制台)掃描之後的檔案，存在於用戶端中的Word均被標示為Word白名單，而Excel則被標示為Excel黑名單。其中Word白名單可以在用戶端本機中執行。Excel黑名單不可以在用戶端本機中執行。另外，AutoCAD灰名單亦不可以在用戶端本機中執行，但可上傳阻擋紀錄至某一資料夾或某一儲存路徑之中。

在一實施例之中，黑名單係由控制台人員所設定，所以一定會被阻擋；反之，白名單大多由掃描而得到，少量的白名單是控制台人員針對全公司所設定。

參考第一圖，如上所述，應用程式控管的基本特徵包含程式、檔案的特徵。其中程式、檔案的特徵例如包含執行檔102的特徵、動態連結函式庫(DLL)檔104的特徵和文件檔106的特徵。應用程式控管係透過辨識這些特徵來確認程式、檔案是否為白名單。執行檔102的基本特徵可以包含五個部分，完整憑證108、部份憑證110、雜湊(Hash)112、路徑/檔名114和部份檔案屬性116。執行檔102的基本特徵可以選擇五個部分的至少一者，作為比對的特徵。應用程式控管係經過伺服器(控制台)進行執行檔102的基本特徵之比對。首先，透過完整憑證108的特徵比對；若比對符合黑名單的完整憑證特徵，則結果為黑名單；若比對符合白名單的完整憑證特徵，則結果為白名單。舉一實施例而言，白名單的完整憑證特徵包含一數位簽章202，如第二圖所示。而數位簽章202例如包含一簽章拇指紋，為拇指紋的紀錄，例如第三圖的檔案資訊之底下欄位中的簽章拇指紋302，和規則之底下欄位中的簽章拇指紋302。因此，若比對結果符合簽章拇指紋的紀錄，則檔案為白名單。

接下來，透過部份憑證110的特徵比對，若比對符合黑名單的部份憑證特徵，則結果為黑名單；若比對符合白名單的部份憑證特徵，則結果為白名單。舉一實施例而言，白名單的部份憑證特徵包含簽署人118、憑證簽發者120、簽署人和憑證簽發者之組合122，如第一圖所示。其中簽署人資訊204例如為Microsoft Windows，而憑證簽發者206資訊例如為Microsoft Windows Production，如第二圖所示。在此即表示該些憑證特徵係由Microsoft公司所發出給用戶端的可信任憑證。在一例子中，簽署人的特徵包含簽署人關鍵字306，而憑證簽發者的特徵包含憑證簽發者關鍵字304，如第三圖所示。其中簽署人關鍵字306或憑證簽發者關鍵字304可以包含部份的字串。換言之，若比對結果符合簽署人關鍵字306，則檔案為白名單。在第二例子中，若比對結果符合憑證簽發者關鍵字304，則檔案為白名單。在第三例子中，若比對結果符合簽署人關鍵字306和憑證簽發者關鍵字304二者的設定者，則檔案為白名單。

然後，透過Hash(雜湊)112的特徵比對，若比對符合黑名單的Hash特徵，則結果為黑名單；若比對符合白名單的Hash特徵，則結果為白名單。舉例而言，完整檔案Hash例如為第三圖之檔案資訊之底下欄位中的檔案雜湊，以及規則之底下欄位中的檔案雜湊。因此，若比對結果符合上述檔案雜湊的設定的，則檔案為白名單。

之後，透過路徑/檔名114的特徵比對，若比對符合黑名單的路徑/檔名(Path/File Name)特徵，則結果為黑名單；若比對符合白名單的路徑/檔名特徵，則結果為白名單。舉例而言，完整檔案的路徑/檔名例如為第三圖之檔案資訊之底下欄位中的檔案名稱和檔案路徑，以及規則之底下欄位中的檔案名稱和檔案路徑。因此，若比對結果符合上述檔案名稱和檔案路徑的設定者，則檔案為白名單。

最後，透過部份檔案屬性116的特徵比對，若比對符合黑名單的部份檔案屬性特徵，則結果為黑名單；若比對符合白名單的部份檔案屬性特徵，則結果為白名單。部份檔案屬性特徵為程式本身的特徵。舉一實施例而言，檔案屬性格式為“原始檔名(產品版本)著作權”；亦即，部份檔案屬性特徵包含三個部份，原始檔名、產品版本以及著作權。舉例而言，部份檔案屬性特徵為“EXPLORER.EXE(10.0.19041.844)©Microsoft Corporation.All rights reserved.”，其中原始檔名402的特徵為EXPLORER.EXE，產品版本404的特徵為(10.0.19041.844)，著作權406的特徵為©Microsoft Corporation.All rights reserved.，檔案版本408的特徵為10.0.19041.844，而產品名稱(檔案名稱)410的特徵為Microsoft®Windows®Operating System，如第四圖所示。因此，若比對結果符合上述三個部份檔案屬性特徵的設定者，則檔案為白名單。通常版本較新的才是白名單，因此可以區隔舊的版本。

此外，透過上述執行檔102的完整憑證108、部份憑證110、雜湊(Hash)112、路徑/檔名114和部份檔案屬性116的特徵比對，若比對結果不符合黑名單或白名單的特徵，則檔案即為灰名單。在應用程式控管的比對流程之後，原則上灰名單是禁止執行的。上述執行檔102的完整憑證108、部份憑證110、雜湊(Hash)112、路徑/檔名114和部份檔案屬性116的特徵比對次序可以依照情況而調整。

應用程式控管之白名單的比對流程之後，使用者發現程式被阻擋的，基本上就是灰名單。因為黑名單已上傳阻擋紀錄而不會被執行，而白名單可執行。

參考第一圖，如上所述，應用程式控管的基本特徵也包含動態連結函式庫(DLL)檔104的特徵和文件檔106的特徵。動態連結函式庫(DLL)檔104的基本特徵包含三個方面，完整憑證108、雜湊(Hash)112和路徑/檔名114。同樣地，應用程式控管亦經過伺服器(控制台)進行動態連結函式庫(DLL)檔104的基本特徵之比對。首先，透過完整憑證108的特徵比對；若比對符合黑名單的完整憑證特徵，則結果為黑名單；若比對符合白名單的完整憑證特徵，則結果為白名單。舉一實施例而言，白名單的完整憑證特徵包含一數位簽章，如第二圖所示。而數位簽章例如為一簽章拇指紋，為拇指紋的紀錄，例如第三圖的檔案資訊之底下欄位中的簽章拇指紋302，和規則之底下欄位中的簽章拇指紋302。因此，若比對結果符合簽章拇指紋的紀錄，則檔案為白名單。

與執行檔102的特徵比對類似，動態連結函式庫(DLL)檔104和文件檔106也進行Hash(雜湊)112的特徵比對與路徑/檔名114的特徵比對。文件檔106包含無法自行執行的文字檔，例如*.bat和*.psl(*可為任意者)..等等。若比對符合黑名單的Hash特徵，則結果為黑名單；若比對符合白名單的Hash特徵，則結果為白名單。舉例而言，完整檔案Hash例如為第三圖之檔案資訊之底下欄位中的檔案雜湊，以及規則之底下欄位中的檔案雜湊。因此，若比對結果符合上述檔案雜湊的設定的，則檔案為白名單。相同地，若比對符合黑名單的路徑/檔名特徵，則結果為黑名單；若比對符合白名單的路徑/檔名特徵，則結果為白名單。舉例而言，完整檔案的路徑/檔名例如為第三圖之檔案資訊之底下欄位中的檔案名稱和檔案路徑，以及規則之底下欄位中的檔案名稱和檔案路徑。因此，若比對結果符合上述檔案名稱和檔案路徑的設定者，則檔案為白名單。

相較於習知的黑名單控管方式，本發明提出基於檔案屬性特徵之應用程式控管方法。本發明之應用程式控管特徵比對方案包含底下特點：(1)完整憑證：同一憑證程式可以更新；(2)部份憑證：部份憑證相同程式可以更新(例如：簽署人含有*Microsoft*字串，*可為任意者、字或字串)；(3)Hash：比對條件最嚴格，但較常因為程式更新之後，導致無法執行(例如：Chrome會每天背景更新，測試應用程式控管時，較常會下一秒即無法執行Chrome，導致使用者的困擾)；(4)路徑+檔名：比對條件最寬鬆，保護力較差；(5)經查，目前許多Windows內建程式並無憑證，因此只能使用Hash或路徑+檔名，而無法取得較佳或較合理的應用程式控管特徵；(6)本發明利用程式所具有的檔案屬性，而使用憑證、部份檔案屬性做為應用程式控管的特徵，以兼顧合理、安全、便利等使用上的目的。

在不脫離本文範疇之情況下，可對上述基於檔案屬性特徵之應用程式控管方法做出改變。因此，應當注意，包含在以上描述中並且在附圖中示出之內容應當被解釋為說明性的而非限制性之意義。以下申請專利範圍旨在涵蓋本文中所描述之所有一般特徵及特定特徵，以及本發明基於檔案屬性特徵之應用程式控管方法之範疇的所有陳述，其在語言上可被說成落在其間。