本发明专利技术公开了一种基于白名单的云主机主动防御实现方法,包括服务端的集中管理平台和客户端,且该客户端安装在每台需要保护的云主机上,其具体实现过程为:首先通过服务端软件对受保护的云主机上的所有二进制文件进行扫描;云端安全中心鉴别出上述扫描文件的信任等级,并将该划分等级的文件清单库分别加入白名单库、黑名单库和灰名单库;在客户端只有受信任的白名单中的应用程序允许运行,防止动态链接库文件在内核中的加载。该一种基于白名单的云主机主动防御实现方法与现有技术相比,可完全防范潜在有害应用程序和代码,阻止高级威胁且无需特征码更新,能够一致地启用已知良好软件,阻止已知或未知的不良软件,正确管理新的软件,有效的防止未知恶意软件和零日攻击。
【技术实现步骤摘要】
本专利技术涉及计算机安全
,具体地说是一种实用性强、基于白名单的云主机主动防御实现方法。
技术介绍
企业在云计算、大数据等新一代IT技术的驱动下,业务发展更加高效智能,但信息安全问题却日益严重。由物理服务器群和虚拟计算软件构成的云主机是IaaS的重要组成,不仅要面临服务器固件、硬件、OS、应用等传统攻击,还面临着虚拟引入的VMM篡改、Guest OS镜像篡改、主机租户攻击等新型威胁。以封堵查杀为主的消极被动的防护措施,在新的信息安全形势面前防不胜防,传统的网络安全、终端安全、边界安全解决方案已无法适应云数据中心的安全需求。传统的黑名单防御软件只能识别已知的恶意软件和攻击,针对当前的病毒、蠕虫、入侵等种种威胁构成的混合型威胁,基于白名单的云主机入侵防御系统无疑会给关键资源提供更加主动的防御方式。基于此,现提供一种实时可控的基于白名单的云主机主动防御实现方法。
技术实现思路
本专利技术的技术任务是针对以上不足之处,提供一种实用性强、基于白名单的云主机主动防御实现方法。—种基于白名单的云主机主动防御实现方法,包括服务端的集中管理平台和客户端,且该客户端安装在每台需要保护的云主机上,其具体实现过程为: 一、首先通过服务端软件对受保护的云主机上的所有二进制文件进行扫描; 二、云端安全中心鉴别出上述扫描文件的信任等级,并将该划分等级的文件清单库分别加入白名单库、黑名单库和灰名单库,其中白名单包含已知的受信任应用程序;黑名单包括已知的恶意的应用程序;灰名单包含所有未知应用程序,通过安全引擎无法判断其信任等级; 三、在客户端只有受信任的白名单中的应用程序允许运行,防止动态链接库文件在内核中的加载。所述步骤三中,受信任的白名单允许运行的具体过程为:客户端的管理员根据软件需求设置规则组和策略,分配到指定的云主机,客户端软件根据下发的策略利用底层驱动控制技术对可执行文件进行验证,所述默认策略为:在白名单库之内的允许运行,否则禁止执行。当客户端拦截到非法执行时,向集中管理平台发送报警信息,记录非法应用程序的详细信息及当前机器的信息,管理员则通过集中管理平台查看和下载不同粒度的云主机威胁的报表信息。所述客户端设置有以下模块: 内核底层驱动模块,负责对文件加载进行实时监控以及自我保护; 基本功能服务t吴块,负责提供基础功能的接口,该基础功能包括加载驱动程序、响应驱动对上层的通知、加载和下发策略、威胁日志上传; 网络通讯模块,负责集中管理平台通信,默认固定时间周期主动和集中管理平台进行一次通信。所述内核底层驱动模块包括以下模块: 进程控制模块,控制可执行文件的执行:首先底层获得进程信息,传递给应用层;然后应用层通过查询下发的策略,即默认的白名单策略,获取进程是否允许加载的信息;最后将该信息通过应用层和驱动层接口传到内核,内核根据命令决定是否允许该进程执行,防止进程被篡改、劫持和注入。防止DLL注入模块,拦截系统DLL加载的信息和注入的信息,根据应用层的指令,控制其运行; 进程自我保护模块,通过应用层和驱动层的接口,内核模块获得保护的进程信息后,通过任务管理器、句柄表来隐藏进程的方法,从而保护自己进程不会被非法结束; 文件读写保护模块,通过读写保护来阻止包括云主机上配置、注册表、日志文件的关键文件的未授权的变化。所述集中管理平台用来集中管理客户端程序,该集中管理平台的功能模块如下: 用户管理模块,包括以下三种:安全管理,进行配置策略、查看违规日志、设置软件安全参数操作;审计管理,查看安全管理的操作日志、查看和管理违规日志;系统管理,对平台进行操作; 清单管理模块,包括受保护的云主机上的可执行二进制文件的信息,通过对受保护的云主机进行扫描来搜集应用程序清单,记录文件的信息,形成文件指纹; 策略管理模块,授权程序或文件覆盖白名单保护机制的规则组的集合,策略是由规则组组成; 资产管理模块,对保护的云主机进行管理和分组; 日志报表管理模块,包括集中管理平台的操作日志和云主机上的威胁日志,按不同的时间粒度以图表的形式显展现云主机的攻击情况。所述二进制文件信息包括文件名、散列值、公司名、产品名、产品版本、是否经过微软签名、签名公司、文件类型、软件名称。所述应用程序清单的搜集过程,通过在线和离线两种方式进行清单的搜集,清单的视图分为按照云主机视图和按照应用视图,分为白名单、黑名单和灰名单,系统默认情况下,只有批准的已正式通过授权的应用程序的允许运行。所述白名单的搜集主要包括文件和安装文件扫描,其中安装文件的扫描使用沙盘方法安装包收集,即通过沙盘安装的程序驻留在系统的一个虚拟环境当中,当沙盘关闭时清除一切安装痕迹。所述政策管理模块对应用程序清单中的二进制文件制定规则组:允许或禁止其运行,这种自定义的规则组覆盖系统默认的执行权限;所述规则根据更新程序、受信任用户、受?目任目录制定,其中: 更新程序是指通过配置规则授权云主机中的组件允许更新系统,即允许的安装新软件和更新现有软件组件一个保护系统; 受信任用户指当一个用户设置为受信任的用户,则允许该用户安装或更新任何软件; 受信任目录指添加规则设置受信任的目录,在受信任目录中运行任何软件。本专利技术的,具有以下优点: 本专利技术提出的,可通过定制包含特定需求的规则组的策略对云主机进行下发,另外,可以指定更新、可信用户以及可信路径的规则灵活配置;客户端软件根据下发的策略利用底层驱动控制技术对可执行文件进行验证,可以阻止应用程序的运行,并防止动态链接库文件在内核中的加载;可以基于计算机类型地理位置、行政部门或者网络部署,通过将具有相似属性或要求的云主机分组,可以对一个组进行策略的继承和中断,而不必分别为每台云主机设置策略;可完全防范潜在有害应用程序和代码,阻止高级威胁且无需特征码更新,能够一致地启用已知良好软件,阻止已知或未知的不良软件,正确管理新的软件,有效的防止未知恶意软件和零日攻击,实用性强,易于推广。【附图说明】附图1为本专利技术的实现示意图。【具体实施方式】下面结合附图和具体实施例对本专利技术作进一步说明。本专利技术提供,如附图1所示,包括服务端的集中管理平台和客户端,且该客户端安装在每台需要保护的云主机上,其具体实现过程为: 一、首先通过服务端软件对受保护的云主机上的所有二进制文件进行扫描; 二、云端安全中心鉴别出上述扫描文件的信任等级,并将该划分等级的文件清单库分别加入白名单库、黑名单库和灰名单库,其中白名单包含已知的受信任应用程序;黑名单包括已知的恶意的应用程序;灰名单包含所有未知应用程序,通过安全引擎无法判断其信任等级; 三、在客户端只有受信任的白名单中的应用程序允许运行,防止动态链接库文件在内核中的加载。客户端安装运行在每台需要保护的云主机上,客户端的功能模块如下: 1、内核底层驱动模块:主要负责对文件加载进行实时监控,以及自我保护,该内核底层驱动模块包括以下模块: I)进程控制模块。控制可执行文件的执行。首先底层获得进程信息,传递给应用层。然后应用层通过查询下发的策略(包括默认的白名单策略),获取进程是否允许加载的信息,最后将该信息通过应用层和驱动层接口传到内核,内核根据命令决定是否允许该进程执行,防止进程被篡改,劫持和注入。2)防止DLL本文档来自技高网...
【技术保护点】
一种基于白名单的云主机主动防御实现方法,其特征在于,包括服务端的集中管理平台和客户端,且该客户端安装在每台需要保护的云主机上,其具体实现过程为:一、首先通过服务端软件对受保护的云主机上的所有二进制文件进行扫描;二、云端安全中心鉴别出上述扫描文件的信任等级,并将该划分等级的文件清单库分别加入白名单库、黑名单库和灰名单库,其中白名单包含已知的受信任应用程序;黑名单包括已知的恶意的应用程序;灰名单包含所有未知应用程序,通过安全引擎无法判断其信任等级;三、在客户端只有受信任的白名单中的应用程序允许运行,防止动态链接库文件在内核中的加载。
【技术特征摘要】
【专利技术属性】
技术研发人员:梁媛,
申请(专利权)人:浪潮电子信息产业股份有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。