本发明专利技术公开了基于软件服务器的进程白名单更新方法,本发明专利技术的基于软件服务器的进程白名单更新方案在企业部署环境中只需要更新软件服务器计算机上的进程白名单列表便能使全网相同操作系统的电脑都能共享这一更新的白名单,从而不需再对每台计算机进行重复操作:通过软件服务器来更新进程白名单;通过软件服务器来积累行业软件白名单库;本发明专利技术的优点是:1、只需在软件服务器端执行一次跟踪软件安装操作便能解决全网针对该软件的进程文件白名单更新问题;2、有益于积累全网软件的白名单库。
【技术实现步骤摘要】
本专利技术涉及,属于计算机安全防护
技术介绍
目前,传统的针对终端计算机的安全防护普遍采用的安全防护手段是通过安装杀毒软件来阻止机器上的恶意软件运行和传播。但是杀毒软件是一种基于黑名单的查杀方式,黑名单是指“坏的”、“不被允许的”,即只有在恶意软件被加入黑名单时才会被阻止运行,黑名单之外的软件和行为被认为都是正常、可信的。防病毒软件主要基于一个持续积累的病毒库对恶意代码进行识别,其本质上存在两个严重缺陷:一方面,对新病毒的防御总是被动滞后的;另一方面,对于高级别的零日攻击无能为力。针对黑名单安全防护技术的弱点,网络安全公司将应用程序白名单管理技术引入到网络安全防护。“白名单”是指规则中设置的允许使用的名单列表,其意义是“好的”、“被允许的”,“应用程序进程白名单”是一组应用程序名单列表,只有在此列表中的应用程序是被允许在系统中运行,之外的任何程序都不被允许运行。白名单技术主要是对程序文件的完整性进行验证,通常采用文件的哈希值作为比对标准。进程白名单管理系统通常都是包含管理端与受控端两部分。由于这种基于进程白名单的主机防护模式完全采用文件哈希值对比的方式来对文件进行合法性校验,当白名单内的程序更新时或者新增应用程序时都会执行失败,因此白名单进程的更新是限制该技术发展的重大瓶颈。现有的传统的白名单更新方法通常是基于单主机模式的,例如专利公开号为CN201010108793-的专利基于可信进程树的白名单更新方法提出一种基于可信进程树的白名单更新方法,当新的程序安装或原有程序更新时,通过可信进程树安全机制,实现对白名单的更新,该白名单更新方法,包含执行程序的启动,以及可执行程序对文件资源的访问操作的文件系统监控模块;用于根据进程间及进程对可执行程序的调用关系,构建合法可执行程序所形成的可信进程树的构建模块;将程序的判定结果通知调用接口的系统白名单安全控制机制的可信报告模块;提取可信进程树中的各个节点对应可执行程序的特征值,并将这些特征值更新至白名单的更新模块;通过对进程间创建及调用关系的分析,准确的定位非白名单程序中的新安装合法程序和系统中的非法程序,收集新安装程序的特征值。但是,以上现有技术的缺点和缺陷是:只能针对单一计算机进行白名单更新操作,假若局域网中的多台电脑需要对同一软件进行更新或需要安装同一软件,则需要对每台电脑各执行一次跟踪更新操作,费时费力,成本较高。而且这种复杂的操作往往是终端用户所不能接受的。
技术实现思路
本专利技术的目的在于提供一种能够克服上述技术问题的,本专利技术的基于软件服务器的进程白名单更新方案在企业部署环境中只需要更新软件服务器计算机上的进程白名单列表便能使全网相同操作系统的电脑都能共享这一更新的白名单,从而不需再对每台计算机进行重复操作。本专利技术的的特征是:通过软件服务器来更新进程白名单;通过软件服务器来积累行业软件白名单库。本专利技术的网络拓扑结构包括受控端、软件服务器端、服务器端、管理平台。所述受控端部署基于进程白名单的主机防护软件;所述软件服务器端部署内核级文件系统监控模块,由于相同软件在不同版本的操作系统上所安装的文件也不一样,因此,为了使受控端更新的白名单列表准确无误就需要部署多台软件服务器,软件服务器的数量根据局域网内的操作系统版本数量来确定,即每个版本的操作系统对应一台软件服务器。软件服务器同时安装相关模块用于处理来自受控端的下载请求;服务器端作为整个系统的数据存储中心以及策略下发中心,所述服务器端同时还为软件服务器提供软件管理界面服务;所述管理平台为管理员提供集中管理界面。本专利技术的包括以下步骤:(I)在软件服务器上安装受控端需要安装的程序或需要更新的程序,软件服务器上的文件系统监控模块会跟踪到新的程序所释放的进程文件,并针对每个文件计算其哈希值,最终将程序名称、版本号、程序安装的各个文件及其哈希值保存至数据库中;(2)软件服务器将新增的程序信息发送到服务器端进行注册,该过程中服务器端会记录新增程序的名称、版本号、以及对应的软件服务器标识信息;(3)受控端打开软件服务器管理界面,选择需要新增的程序进行下载,下载过程中除了下载软件程序本身之外,还会同时将步骤(I)中所生成的文件哈希值列表一并下载到本地计算机中;(4)受控端将步骤(3)中下载的哈希值列表追加更新到自身的白名单数据库中;(5)受控端启动安装程序进行安装,由于安装程序本身以及安装程序所释放所有文件均已经被添加到受控端的白名单内,因此软件能够顺利安装,且能够顺利执行。上述步骤(I)中跟踪软件安装的所有文件的方法为基于可信进程树的白名单更新方法。上述步骤(2)中将新增的程序信息发送到服务器端进行注册操作,所述步骤(2)采用TCP协议socket将数据发送至服务器中;所述的TCP协议也能够被HTTP协议替代。上述步骤(3)中所述受控端打开软件服务器管理界面是指受控端通过浏览器访问位于服务器端的http server。上述步骤(3)下载过程中除了下载软件程序本身之外还会同时将步骤(I)中所生成的文件哈希值列表一并下载,即受控端首先从服务器端获取到软件程序所在软件服务器的IP地址,然后连接此IP地址并发送软件下载请求,软件服务器会响应此请求,软件服务器根据受控端请求的软件信息将软件的所有数据发送给受控端,软件的所有数据包括:软件安装包、软件安装过程中所释放所有安装文件名称列表以及所有安装文件的哈希值列表。本专利技术的优点是:1、只需在软件服务器端执行一次跟踪软件安装操作便能解决全网针对该软件的进程文件白名单更新问题。2、有益于积累全网软件的白名单库。【附图说明】图1是本专利技术所述的网络拓扑图;图2是本专利技术所述的流程图。【具体实施方式】下面结合附图对本专利技术的实施方式进行详细描述。如图1所示,本专利技术的网络拓扑结构包括受当前第1页1 2 本文档来自技高网...
【技术保护点】
基于软件服务器的进程白名单更新方法,其特征在于,在企业部署环境中只需要更新软件服务器计算机上的进程白名单列表便能使全网相同操作系统的电脑都能共享这一更新的白名单,从而不需再对每台计算机进行重复操作;通过软件服务器来更新进程白名单;通过软件服务器来积累行业软件白名单库。
【技术特征摘要】
【专利技术属性】
技术研发人员:霍会勇,龙国东,黄敏,赵宇,
申请(专利权)人:北京威努特技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。