本发明专利技术提供一种基于白名单技术的主动防御系统的设计方法及系统,属于安全技术领域。该主动防御系统的设计方法通过搜集正版操作系统镜像的Hash值,保证了白名单来源的可靠性;通过为用户生成定制本地白名单库,减少了网络访问,一定程度上提高了程序的识别效率,保证了运行程序启动的速度;通过实时获取操作系统更新补丁保证了白名单的实效性及识别效率;通过未知程序信任识别功能,解决了传统白名单技术的资源要求,确保了白名单的非局限性。本发明专利技术的方法及系统可以有效的解决黑名单所面临的问题,是一种可靠的,效率的,实效的,非局限的白名单主动防御系统设计实现方法及系统。
【技术实现步骤摘要】
一种基于白名单技术的主动防御系统的设计方法及系统
本专利技术涉及安全
,具体地说是一种基于白名单技术的主动防御系统的设计方法及系统。
技术介绍
随着计算机网络开放性、互联性,网络信息安全面临种种威胁,病毒等恶意程序层出不穷。传统的黑名单技术面临黑名单库趋于无限,且难以对付零日攻击、特定攻击等安全威胁,安全专家们急于寻找一种技术可以解决黑名单面临的问题。白名单作为一项刚提出时被人们质疑的技术,现在被越来越多的安全类软件应用于主动防御的设计中,但现有白名单产品大多局限于用户定义的白名单,或者需要强大的软件资源以识别程序的可信性,前者不够安全,后者对软件资源数量要求非常大。
技术实现思路
本专利技术的技术任务是针对现有技术的不足,提供一种可靠的、高效的、有实效性、非局限性的基于白名单的主动防御系统的设计实现方法及系统。缩略语及关键术语说明:OSOperatingSystem操作系统PEPortaleExecutable可移植的可执行文件,属于Windows操作系统ELFExecutableandLinkableFormat一种Linux操作系统可执行文件格式清单库是一个包含应用程序信息(文件大小,信任级别,文件Hash值等)的数据库白名单库是一个包含特定条件的应用程序的Hash值、信任级别的一个数据库Hash信息安全领域中加密算法,主流有Sha1,Sha256,Sha512,MD5,SM3等;本专利技术解决其技术问题所采用的技术方案是:1、一种基于白名单技术的主动防御系统的设计方法,其具体实现步骤为:1)清单搜集:服务端软件搜集从操作系统官网下载的OS安装镜像,从中获取操作系统自带程序的Hash值,生成清单库;2)来源可靠的白名单生成:在服务端,由清单库生成一个白名单总库;在客户端,根据用户的操作系统版本,由清单库生成对应的本地白名单库,保存在用户本地;3)程序信任识别:对于每个客户端上所运行或安装的程序,在启动之前都需识别其是否可信,首先需要检查客户端所执行或安装程序的Hash值是否存在于本地白名单库中,如果不在本地白名单库,则请求查询服务端白名单总库;4)客户端本地运行管控:在客户端只有识别结果为可信的程序才允许运行。作为本专利技术进一步改进的,步骤1)中,服务端软件搜集来自于操作系统官网下载的OS安装镜像中的可执行文件,获取可执行文件的详细信息,包括文件名、操作系统版本、文件修改时间、文件Hash值,并将其信任级别设置为白(允许执行),生成清单库。作为本专利技术进一步改进的,步骤1)中,所述可执行文件包括Windows操作系统下的PE文件、Linux操作系统下的ELF文件。作为本专利技术进一步改进的,步骤1)中,所述清单库通过服务器端的MySQL生成。作为本专利技术进一步改进的,步骤3)中,如果也不在白名单总库中,则需要在服务端进行未知程序信任识别,如果程序是经过数字签名的,则验证数字签名是否可信;如果程序没有数字签名,则进行程序行为分析以确定程序是否可信。作为本专利技术进一步改进的,步骤4)中,在客户端只有识别结果为可信的程序才允许运行,否则将识别结果及意见反馈给客户,由用户决定是否运行。作为本专利技术进一步改进的,在服务端,采用爬虫程序,实时获取操作系统官网发布的更新补丁,更步骤1)建立的清单库及步骤2)建立的白名单总库和本地白名单库。作为本专利技术进一步改进的,对步骤3)中未知程序的识别结果,首先更新到服务端白名单总库中,然后同步更新到本地白名单库中。作为本专利技术进一步改进的,对步骤3)中未知程序识别结果为可信的,安装之后,在安装目录生成相应程序的Hash值,只更新到本地白名单库中,无需同步更新到服务器白名单总库。2、本专利技术还提供一种基于白名单技术的主动防御系统的设计系统,其中,服务端设备包括:清单搜集模块,用于搜集从操作系统官网下载的OS安装镜像,从中获取操作系统自带程序的Hash值,并生成清单库;在服务端部署一个由清单库生成的白名单总库;客户端设备包括:检测模块,用于检测并获取客户端所执行或安装程序的Hash值;在客户端根据用户的操作系统版本,部署一个由清单库生成的本地白名单库;还包括:信任识别模块,用于识别客户端所执行或安装程序是否可信,首先判断客户端所执行或安装程序的Hash值是否包含在本地白名单库中,如果不在本地白名单库,则请求查询服务端白名单总库;通信模块,接收信任识别模块反馈的识别信息,如果识别信息为可信,客户端程序允许运行。作为本专利技术进一步改进的,信任识别模块还用于对不在白名单总库中的未知程序进行信任识别,如果程序是经过数字签名的,则验证数字签名是否可信;如果程序没有数字签名,则进行程序行为分析以确定程序是否可信。作为本专利技术进一步改进的,还包括:实时更新模块,与清单搜集模块及信任识别模块相连,实现白名单总库、本地白名单库的更新。本专利技术的一种基于白名单技术的主动防御系统的设计方法及系统,与现有技术相比所产生的有益效果是:本专利技术形成了一个基于白名单技术的主动防御系统的设计方法及系统,通过搜集正版操作系统镜像的Hash值,保证了白名单来源的可靠性;通过为用户生成定制本地白名单库,减少了网络访问,一定程度上提高了程序的识别效率,保证了运行程序启动的速度;通过实时获取操作系统更新补丁保证了白名单的实效性及识别效率;通过未知程序信任识别功能,解决了传统白名单技术的资源要求,确保了白名单的非局限性。此方法可以有效的解决黑名单所面临的问题,因此是一种可靠的,效率的,实效的,非局限的白名单主动防御系统设计实现方法。附图说明附图1是本专利技术一种基于白名单技术的主动防御系统的设计方法的流程图;附图2是本专利技术一种基于白名单技术的主动防御系统的设计系统的结构图。具体实施方式下面结合附图1-2,对本专利技术的一种基于白名单技术的主动防御系统的设计方法及系统作以下详细说明。实施例一(一种基于白名单技术的主动防御系统的设计方法)如附图1所示,本专利技术的一种基于白名单技术的主动防御系统的设计方法,其具体实现步骤如下:1)清单搜集:服务端软件搜集来自于操作系统官网下载的OS安装镜像中的可执行文件,获取可执行文件的详细信息,比如文件名、操作系统版本、文件修改时间、文件Hash值等,并将其信任级别设置为白(允许执行),采用MySQL,生成清单库。【设计意图:通过服务端软件搜集从操作系统官网下载的OS安装镜像,从中获取操作系统自带程序的Hash值,保证了白名单来源的可靠性】2)来源可靠的白名单生成:在服务端,由清单库生成一个白名单总库;在客户端,根据用户的操作系统版本,由清单库生成对应的本地白名单库,保存在用户本地;【设计意图:通过为用户生成定制白名单库保存在用户本地,减少了网络访问,可以保证用户查询速度,将对程序启动速度的影响降至最低,在一定程度上保证了程序启动的速度】3)程序信任识别:对于每个客户端上所运行或安装的程序,在启动之前都需识别其是否可信,首先需要检查客户端所执行或安装程序的Hash值是否存在于本地白名单库中,如果不在本地白名单库,则请求查询服务端白名单总库。4)客户端本地运行管控:在客户端只有识别结果为可信的程序才允许运行。本专利技术步骤1)中,针对不同类型的操作系统,可执行文件包括Windows操作系统下的PE文件、Linux操作系统下的E本文档来自技高网...
【技术保护点】
一种基于白名单技术的主动防御系统的设计方法,其特征在于,其具体实现步骤为:1)清单搜集:服务端软件搜集从操作系统官网下载的OS安装镜像,从中获取操作系统自带程序的Hash值,生成清单库;2)来源可靠的白名单生成:在服务端,由清单库生成一个白名单总库;在客户端,根据用户的操作系统版本,由清单库生成对应的本地白名单库,保存在用户本地;3)程序信任识别:对于每个客户端上所运行或安装的程序,在启动之前都需识别其是否可信,首先需要检查客户端所执行或安装程序的Hash值是否存在于本地白名单库中,如果不在本地白名单库,则请求查询服务端白名单总库;4)客户端本地运行管控:在客户端只有识别结果为可信的程序才允许运行。
【技术特征摘要】
1.一种基于白名单技术的主动防御系统的设计方法,其特征在于,其具体实现步骤为:1)清单搜集:服务端软件搜集从操作系统官网下载的OS安装镜像,从中获取操作系统自带程序的Hash值,生成清单库;2)来源可靠的白名单生成:在服务端,由清单库生成一个白名单总库;在客户端,根据用户的操作系统版本,由清单库生成对应的本地白名单库,保存在用户本地;3)程序信任识别:对于每个客户端上所运行或安装的程序,在启动之前都需识别其是否可信,首先需要检查客户端所执行或安装程序的Hash值是否存在于本地白名单库中,如果不在本地白名单库,则请求查询服务端白名单总库;4)客户端本地运行管控:在客户端只有识别结果为可信的程序才允许运行。2.根据权利要求1所述的一种基于白名单技术的主动防御系统的设计方法,其特征在于,步骤1)中,服务端软件搜集来自于操作系统官网下载的OS安装镜像中的可执行文件,获取可执行文件的详细信息,包括文件名、操作系统版本、文件修改时间、文件Hash值,并将其信任级别设置为白,生成清单库。3.根据权利要求2所述的一种基于白名单技术的主动防御系统的设计方法,其特征在于,步骤1)中,所述可执行文件包括Windows操作系统下的PE文件、Linux操作系统下的ELF文件。4.根据权利要求1、2或3所述的一种基于白名单技术的主动防御系统的设计方法,其特征在于,步骤1)中,所述清单库通过服务器端的MySQL生成。5.根据权利要求1、2或3所述的一种基于白名单技术的主动防御系统的设计方法,其特征在于,步骤3)中,如果也不在白名单总库中,则需要在服务端进行未知程序信任识别,如果程序是经过数字签名的,则验证数字签名是否可信;如果程序没有数字签名,则进行程序行为分...
【专利技术属性】
技术研发人员:唐洪英,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。