一种基于操作系统类型的程序白名单服务方法及系统技术方案

本发明专利技术实施例公开了一种基于操作系统类型的程序白名单服务方法及系统，方法包括获取操作系统的程序清单，形成操作系统白名单子库；获取当前操作系统的版本号，并请求当前操作系统的白名单子库；根据返回的白名单子库，在本地获知操作系统程序的信任级别。本发明专利技术在白名单客户端运行时，一次获取该操作系统版本的所有程序的白名单，而不是通过向白名单服务端逐一发送程序hash值来获取程序的信任级别，节省了近一半的宽带，大大提高了白名单服务识别效率。

A program whitelist service method and system based on operating system type

The embodiment of the invention discloses a program whitelist service method and a system based on an operating system type. The method includes obtaining a program list of the operating system, forming a whitelist sublibrary of the operating system, obtaining the version number of the current operating system, and requesting a whitelist sublibrary of the current operating system, and returning a whitelist according to the whitelist. The library is locally aware of the trust level of the operating system program. When the white list client runs, the invention obtains the white list of all programs of the operating system version at one time, instead of obtaining the trust level of the program by sending the hash value of the program one by one to the white list server, thus saving nearly half of the broadband and greatly improving the efficiency of white list service identification.

【技术实现步骤摘要】
一种基于操作系统类型的程序白名单服务方法及系统
本专利技术涉及计算机安全
,具体地说是一种基于操作系统类型的程序白名单服务方法及系统。
技术介绍
随着互联网的高速发展，网络环境越来越复杂，以往的黑名单技术难以应对零日攻击、特定目标攻击等安全问题，白名单技术被广泛的应用于主动防御领域。白名单技术主要是针对已知安全的可执行文件、库文件、驱动等的程序，形成一个安全的白名单总库，白名单库中程序允许运行，而不在白名单库中的文件不允许运行，这样可以有效防止不安全程序的运行。传统的基于白名单的主动防御技术，需要根据所管控的客户端的程序Hash值(或散列算法，又称哈希函数)，通过网络从白名单总库获取每个程序的信任级别。这样在请求的时候需要附带程序信息(Hash值)，而返回消息同样需要附带程序的信息，这样占用了大量的网络资源，且程序的信任级别识别会很慢。
技术实现思路
本专利技术实施例中提供了一种基于操作系统类型的程序白名单服务方法及系统，以解决现有技术中程序新人级别识别过程占用大量网络资源、效率低的问题。为了解决上述技术问题，本专利技术实施例公开了如下技术方案：本专利技术第一方面提供了一种基于操作系统类型的程序白名单服务方法，包括以下步骤：获取操作系统程序清单，形成操作系统白名单子库；获取当前操作系统的版本号，并请求当前操作系统的白名单子库；根据返回的白名单子库，在本地获知操作系统程序的信任级别。结合第一方面，在第一方面第一种可能的实现方式中，所述操作系统程序清单包括操作系统安装前后的可执行文件，每个操作系统版本形成一个白名单子库。结合第一方面，在地方面第一种可能的实现方式中，所述白名单子库中的信息包括程序的hash值和信任级别，所述程序的hash值通过对可执行文件的计算获得。结合第一方面，在第一方面第二种可能的实现方式中，所述方法还包括请求识别未知程序；在接收到请求后，首先判断请求的类型，若是基于操作系统版本的请求，则返回请求操作系统版本的白名单子库，若是未知程序识别的请求，则根据所述未知程序的hash值，在白名单总库中查询其信任级别。结合第一方面，在第一方面可能的实现方式中，通过白名单总库获取到未知程序的信任级别后，在本地对该程序的信任级别进行记录。本专利技术第二方面提供了一种基于操作系统类型的程序白名单服务系统，所述系统包括白名单服务端和白名单客户端，所述白名单客户端部署在用户计算机上，所述白名单服务端包括程序采集模块和请求处理模块，所述白名单客户端包括信息获取模块和请求发送模块；所述程序采集模块用于获取操作系统程序清单，并形成白名单子库，所述请求处理模块用于识别白名单客户端的请求类型，返回白名单子库和未知程序的信任级别给白名单客户端；所述信息获取模块用于获取当前操作系统的版本号和未知程序的hash值，所述请求发送模块用于向白名单服务端发送程序信任级别的请求。结合第二方面，在第二方面一种可能的实现方式中，所述程序采集模块包括第一采集单元和第二采集单元；所述第一采集单元用于扫描操作系统安装前的镜像文件，获取镜像文件中的可执行文件，并将所述可执行文件加入到白名单子库中；所述第二采集单元用于扫描以所述镜像文件安装的纯净操作系统，获取纯净安装后的可执行文件，并将纯净安装后的可执行文件加入到白名单子库中。本专利技术第二方面的所述白名单服务系统能够实现第一方面及第一方面的各实现方式中的方法，并取得相同的效果。
技术实现思路
中提供的效果仅仅是实施例的效果，而不是专利技术所有的全部效果，上述技术方案中的一个技术方案具有如下优点或有益效果：将操作系统自身的程序清单信息生成白名单子库，在白名单客户端运行时，一次获取该操作系统版本的所有程序的白名单，而不是通过向白名单服务端逐一发送程序hash值来获取程序的信任级别，节省了近一半的宽带，大大提高了白名单服务识别效率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术方法的流程示意图；图2是本专利技术请求处理的流程示意图；图3是本专利技术系统的结构示意图。具体实施方式为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本专利技术进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本专利技术的不同结构。为了简化本专利技术的公开，下文中对特定例子的部件和设置进行描述。此外，本专利技术可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本专利技术省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本专利技术。一台安装有操作系统的计算机，其中操作系统安装之后生成的可执行文件、库文件、驱动等程序占到很大一部分(可多达几万条)，而用户自己安装的程序则相对比较少。基于此，可以通过只发送客户端所在操作系统版本信息，由白名单服务返回给当前操作系统自身程序的信任级别。而客户端中不在操作系统白名单子库中的程序(这部分程序比较少)，可通过传统方式获取其信任级别。如图1所示，白名单服务方法包括以下步骤：S1,获取操作系统程序清单，形成操作系统白名单子库；S2,获取当前操作系统的版本号，并请求当前操作系统的白名单子库；S3,根据返回的白名单子库，在本地获知操作系统程序的信任级别。步骤S1中，操作系统程序清单包括操作系统安装前后的可执行文件，每个操作系统版本形成一个白名单子库。白名单服务端通过扫描操作系统镜像文件和以该镜像安装的纯净操作系统程序文件，识别PE(PortableExecutable格式,是微软Win32环境可移植可执行文件，如exe、dll、vxd、sys和vdm等的标准文件格式)/ELF(ExecutableandLinkableFormat，可执行与可链接格式)格式的文件。对于一个操作系统镜像(往往是.iso文件)解压后其中包括很多PE/ELF文件，获取之加入到该操作系统白名单子库中。一个PE/ELF安装后还是有可能产生PE/ELF文件的，比如一个安装程序test.exe，安装后在安装文件夹又产生了新的exe等PE文件，所以又对已该镜像安装的纯净操作系统主机进行扫描获取新产生的PE/ELF文件加入到该操作系统白名单子库中。将操作系统安装前后的程序均加入，从而形成操作系统的白名单子库。其中也会将这些程序信息加入到白名单总库中。白名单子库中的信息包括程序名称、相应程序的hash值和信任级别，其中程序的hash值通过对获取的可执行文件的计算获取，具体的hash算法可为sha1、md5或sha256等，但需要与白名单总库中hash值的算法一致。步骤S2中，在用户计算机部署白名单服务客户端后，白名单服务客户端会获取操作系统的版本号，并将该版本号发送给白名单服务端，请求当前操作系统的白名单子库。操作系统版本号的获取：比如windows/linux版本获取均可通过相应的API(ApplicationProgrammingInterface,应用程序编程接口)。步骤S3中，白名单服务端接收到操作系统的白名单子库请求后，返当前操作系统对应的本文档来自技高网...

【技术保护点】
1.一种基于操作系统类型的程序白名单服务方法，其特征是：包括以下步骤：获取操作系统的程序清单，形成操作系统白名单子库；获取当前操作系统的版本号，并请求当前操作系统的白名单子库；根据返回的白名单子库，在本地获知操作系统程序的信任级别。

【技术特征摘要】
1.一种基于操作系统类型的程序白名单服务方法，其特征是：包括以下步骤：获取操作系统的程序清单，形成操作系统白名单子库；获取当前操作系统的版本号，并请求当前操作系统的白名单子库；根据返回的白名单子库，在本地获知操作系统程序的信任级别。2.根据权利要求1所述的一种基于操作系统类型的程序白名单服务方法，其特征是：所述操作系统程序清单包括操作系统安装前后的可执行文件，每个操作系统版本形成一个白名单子库。3.根据权利要求2所述的一种基于操作系统类型的程序白名单服务方法，其特征是：所述白名单子库中的信息包括程序的hash值和信任级别，所述程序的hash值通过对可执行文件的计算获得。4.根据权利要求1所述的一种基于操作系统类型的程序白名单服务方法，其特征是：所述方法还包括请求识别未知程序；在接收到请求后，首先判断请求的类型，若是基于操作系统版本的请求，则返回请求操作系统版本的白名单子库，若是未知程序识别的请求，则根据所述未知程序的hash值，在白名单总库中查询其信任级别。5.根据权利要求4所述的一种基于操作系统类型的程序白名单服务方法，其特征是：通过白...

【专利技术属性】
技术研发人员：唐洪英，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41