基于軟件服務(wù)器的進程白名單更新方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及基于軟件服務(wù)器的進程白名單更新方法,屬于計算機安全防護技術(shù)領(lǐng)域���。
【背景技術(shù)】
[0002]目前���,傳統(tǒng)的針對終端計算機的安全防護普遍采用的安全防護手段是通過安裝殺毒軟件來阻止機器上的惡意軟件運行和傳播。但是殺毒軟件是一種基于黑名單的查殺方式�,黑名單是指“壞的”、“不被允許的”���,即只有在惡意軟件被加入黑名單時才會被阻止運行�����,黑名單之外的軟件和行為被認為都是正常����、可信的。防病毒軟件主要基于一個持續(xù)積累的病毒庫對惡意代碼進行識別�,其本質(zhì)上存在兩個嚴重缺陷:一方面,對新病毒的防御總是被動滯后的�;另一方面,對于高級別的零日攻擊無能為力����。
[0003]針對黑名單安全防護技術(shù)的弱點,網(wǎng)絡(luò)安全公司將應(yīng)用程序白名單管理技術(shù)引入到網(wǎng)絡(luò)安全防護���?���!鞍酌麊巍笔侵敢?guī)則中設(shè)置的允許使用的名單列表�,其意義是“好的”、“被允許的”�����,“應(yīng)用程序進程白名單”是一組應(yīng)用程序名單列表,只有在此列表中的應(yīng)用程序是被允許在系統(tǒng)中運行��,之外的任何程序都不被允許運行�。白名單技術(shù)主要是對程序文件的完整性進行驗證��,通常采用文件的哈希值作為比對標準�����。
[0004]進程白名單管理系統(tǒng)通常都是包含管理端與受控端兩部分�����。由于這種基于進程白名單的主機防護模式完全采用文件哈希值對比的方式來對文件進行合法性校驗�����,當白名單內(nèi)的程序更新時或者新增應(yīng)用程序時都會執(zhí)行失敗�,因此白名單進程的更新是限制該技術(shù)發(fā)展的重大瓶頸。
[0005]現(xiàn)有的傳統(tǒng)的白名單更新方法通常是基于單主機模式的����,例如專利公開號為CN201010108793-的專利基于可信進程樹的白名單更新方法提出一種基于可信進程樹的白名單更新方法,當新的程序安裝或原有程序更新時���,通過可信進程樹安全機制���,實現(xiàn)對白名單的更新����,該白名單更新方法��,包含執(zhí)行程序的啟動�����,以及可執(zhí)行程序?qū)ξ募Y源的訪問操作的文件系統(tǒng)監(jiān)控模塊��;用于根據(jù)進程間及進程對可執(zhí)行程序的調(diào)用關(guān)系���,構(gòu)建合法可執(zhí)行程序所形成的可信進程樹的構(gòu)建模塊�����;將程序的判定結(jié)果通知調(diào)用接口的系統(tǒng)白名單安全控制機制的可信報告模塊���;提取可信進程樹中的各個節(jié)點對應(yīng)可執(zhí)行程序的特征值,并將這些特征值更新至白名單的更新模塊��;通過對進程間創(chuàng)建及調(diào)用關(guān)系的分析,準確的定位非白名單程序中的新安裝合法程序和系統(tǒng)中的非法程序����,收集新安裝程序的特征值。
[0006]但是,以上現(xiàn)有技術(shù)的缺點和缺陷是:只能針對單一計算機進行白名單更新操作����,假若局域網(wǎng)中的多臺電腦需要對同一軟件進行更新或需要安裝同一軟件,則需要對每臺電腦各執(zhí)行一次跟蹤更新操作����,費時費力,成本較高�。而且這種復(fù)雜的操作往往是終端用戶所不能接受的。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的在于提供一種能夠克服上述技術(shù)問題的基于軟件服務(wù)器的進程白名單更新方法��,本發(fā)明的基于軟件服務(wù)器的進程白名單更新方案在企業(yè)部署環(huán)境中只需要更新軟件服務(wù)器計算機上的進程白名單列表便能使全網(wǎng)相同操作系統(tǒng)的電腦都能共享這一更新的白名單���,從而不需再對每臺計算機進行重復(fù)操作��。
[0008]本發(fā)明的基于軟件服務(wù)器的進程白名單更新方法的特征是:通過軟件服務(wù)器來更新進程白名單�����;通過軟件服務(wù)器來積累行業(yè)軟件白名單庫���。
[0009]本發(fā)明的網(wǎng)絡(luò)拓撲結(jié)構(gòu)包括受控端、軟件服務(wù)器端�����、服務(wù)器端、管理平臺���。所述受控端部署基于進程白名單的主機防護軟件;所述軟件服務(wù)器端部署內(nèi)核級文件系統(tǒng)監(jiān)控模塊�,由于相同軟件在不同版本的操作系統(tǒng)上所安裝的文件也不一樣��,因此����,為了使受控端更新的白名單列表準確無誤就需要部署多臺軟件服務(wù)器�,軟件服務(wù)器的數(shù)量根據(jù)局域網(wǎng)內(nèi)的操作系統(tǒng)版本數(shù)量來確定,即每個版本的操作系統(tǒng)對應(yīng)一臺軟件服務(wù)器。軟件服務(wù)器同時安裝相關(guān)模塊用于處理來自受控端的下載請求����;服務(wù)器端作為整個系統(tǒng)的數(shù)據(jù)存儲中心以及策略下發(fā)中心,所述服務(wù)器端同時還為軟件服務(wù)器提供軟件管理界面服務(wù)���;所述管理平臺為管理員提供集中管理界面�����。
[0010]本發(fā)明的基于軟件服務(wù)器的進程白名單更新方法包括以下步驟:
[0011](I)在軟件服務(wù)器上安裝受控端需要安裝的程序或需要更新的程序�����,軟件服務(wù)器上的文件系統(tǒng)監(jiān)控模塊會跟蹤到新的程序所釋放的進程文件,并針對每個文件計算其哈希值��,最終將程序名稱����、版本號���、程序安裝的各個文件及其哈希值保存至數(shù)據(jù)庫中���;
[0012](2)軟件服務(wù)器將新增的程序信息發(fā)送到服務(wù)器端進行注冊�,該過程中服務(wù)器端會記錄新增程序的名稱�、版本號、以及對應(yīng)的軟件服務(wù)器標識信息����;
[0013](3)受控端打開軟件服務(wù)器管理界面,選擇需要新增的程序進行下載����,下載過程中除了下載軟件程序本身之外,還會同時將步驟(I)中所生成的文件哈希值列表一并下載到本地計算機中�;
[0014](4)受控端將步驟(3)中下載的哈希值列表追加更新到自身的白名單數(shù)據(jù)庫中;
[0015](5)受控端啟動安裝程序進行安裝���,由于安裝程序本身以及安裝程序所釋放所有文件均已經(jīng)被添加到受控端的白名單內(nèi)���,因此軟件能夠順利安裝,且能夠順利執(zhí)行�����。
[0016]上述步驟(I)中跟蹤軟件安裝的所有文件的方法為基于可信進程樹的白名單更新方法���。上述步驟(2)中將新增的程序信息發(fā)送到服務(wù)器端進行注冊操作�����,所述步驟(2)采用TCP協(xié)議socket將數(shù)據(jù)發(fā)送至服務(wù)器中�;所述的TCP協(xié)議也能夠被HTTP協(xié)議替代。
[0017]上述步驟(3)中所述受控端打開軟件服務(wù)器管理界面是指受控端通過瀏覽器訪問位于服務(wù)器端的http server�����。上述步驟(3)下載過程中除了下載軟件程序本身之外還會同時將步驟(I)中所生成的文件哈希值列表一并下載�,即受控端首先從服務(wù)器端獲取到軟件程序所在軟件服務(wù)器的IP地址,然后連接此IP地址并發(fā)送軟件下載請求����,軟件服務(wù)器會響應(yīng)此請求��,軟件服務(wù)器根據(jù)受控端請求的軟件信息將軟件的所有數(shù)據(jù)發(fā)送給受控端���,軟件的所有數(shù)據(jù)包括:軟件安裝包��、軟件安裝過程中所釋放所有安裝文件名稱列表以及所有安裝文件的哈希值列表�����。
[0018]本發(fā)明的優(yōu)點是:
[0019]1�、只需在軟件服務(wù)器端執(zhí)行一次跟蹤軟件安裝操作便能解決全網(wǎng)針對該軟件的進程文件白名單更新問題。
[0020]2����、有益于積累全網(wǎng)軟件的白名單庫。
【附圖說明】
[0021]圖1是本發(fā)明所述基于軟件服務(wù)器的進程白名單更新方法的網(wǎng)絡(luò)拓撲圖���;
[0022]圖2是本發(fā)明所述基于軟件服務(wù)器的進程白名單更新方法的流程圖��。
【具體實施方式】
[0023]下面結(jié)合附圖對本發(fā)明的實施方式進行詳細描述���。如圖1所示,本發(fā)明的網(wǎng)絡(luò)拓撲結(jié)構(gòu)包括受