本发明专利技术公开了一种程序白名单知识库更新的方法及装置,该方法包括:检测系统中是否产生运行安装程序的操作;如果检测到运行安装程序的操作,建立安装程序的进程父子关系树及临时程序白名单列表;在临时程序白名单列表中执行安装程序;判断安装程序的执行过程中产生的新的文件是否属于进程父子关系树;如果新的文件属于进程父子关系树,则将文件存入临时程序白名单列表;根据临时程序白名单列表更新预设的程序白名单知识库。本发明专利技术使安装程序在安装和更新过程中不影响程序白名单知识库对工控系统的控制,且安装程序在安装和更新的过程中可以自动更新程序白名单知识库,和普通程序安装类似,无需要过多的人工干预。
【技术实现步骤摘要】
一种程序白名单知识库更新的方法及装置
本专利技术涉及工控主机安全
,具体涉及一种程序白名单知识库更新的方法及装置。
技术介绍
随着工业4.0及两化融合的趋势到来,传统的工业控制系统网络安全(简称工控安全)问题已成为企业及国家安全面临的严峻挑战,受到越来越多的企业及政府关注,工业控制系统在经历很长一段时间的封闭状态之后已经开始发展起来。早期,工业控制系统由于担心系统兼容性问题,通常不升级补丁,因此针对工控的特定环境,工控环境下的程序白名单知识库技术被引入进来。未来为了提高生产效率和效益,工控网络会越来越开放,而开放带来的诸如木马、病毒、网络攻击等安全问题将成为制约两化融合以及工业4.0发展的重要因素。如何为这些工控主机提供适当的安全防护,安全增强和运维管理,同时保障生产安全、系统可靠无疑是当前工控企业需要重点解决的问题。其中,工控主机操作系统升级和程序安装升级的过程存在很大安全隐患并且对运维工作极大的不利,因此人们迫切地希望工控主机能够自动安装和升级程序,在保证安全的同时能够自动把程序添加到程序白名单知识库中。
技术实现思路
有鉴于此,本专利技术实施例提供了一种程序白名单知识库更新的方法及装置,以实现工控主机操作系统和应用程序自动安装和升级,保证安全的同时能够自动把程序添加到程序白名单知识库中。根据第一方面,本专利技术实施例提供了一种程序白名单知识库更新的方法,包括:检测系统中是否产生运行安装程序的操作;如果检测到运行安装程序的操作,建立安装程序的进程父子关系树及临时程序白名单列表;判断所述安装程序是否属于临时程序白名单列表;如果安装程序属于临时程序白名单列表,则执行安装程序;判断安装程序的父进程是否属于进程父子关系树;如果安装程序的父进程属于进程父子关系树,则将安装程序执行过程中产生的新的文件存入临时程序白名单列表;根据临时程序白名单列表更新预设的程序白名单知识库。可选地,在将安装程序执行过程中产生的新的文件存入临时程序白名单列表之后,该程序白名单知识库更新的方法还包括:在临时程序白名单列表中执行安装程序执行过程中产生的子程序;判断子程序是否在程序白名单知识库或临时程序白名单列表中;如果子程序在程序白名单知识库或临时程序白名单列表中,执行子程序。可选地,如果子程序不在程序白名单知识库或临时程序白名单列表中,阻止子程序执行。可选地,在执行子程序之后,该程序白名单知识库更新的方法还包括:判断子程序的父进程是否在进程父子关系树中;如果子程序的父进程在进程父子关系树中,则将子程序存入进程父子关系树中。可选地,如果子程序的父进程不在进程父子关系树中,则子程序生成的文件不放入临时程序白名单列表。可选地,在根据临时程序白名单列表更新预设的程序白名单知识库之后,该程序白名单知识库更新的方法还包括:重启操作系统;判断操作系统修复程序是否读取或执行临时程序白名单列表中的程序修复操作系统文件;如果操作系统修复程序读取或执行临时程序白名单列表中的程序修复操作系统文件,则将操作系统修复程序放到进程父子关系树中;判断程序修复操作系统执行过程中产生的子程序是否属于进程父子关系树;如果程序修复操作系统执行过程中产生的子程序属于进程父子关系树,则将子程序执行过程中产生的第二文件存入临时程序白名单列表;根据临时程序白名单列表更新预设的程序白名单知识库。根据第二方面,本专利技术实施例提供了一种程序白名单知识库更新的装置,包括:检测模块,用于检测系统中是否产生运行安装程序的操作;建立模块,用于如果检测到运行安装程序的操作,建立安装程序的进程父子关系树及临时程序白名单列表;第一判断模块,用于判断安装程序是否属于临时程序白名单列表;执行模块,用于如果安装程序属于临时程序白名单列表,则执行安装程序;第二判断模块,用于判断安装程序的的父进程是否属于进程父子关系树;存入模块,用于如果安装程序的父进程属于进程父子关系树,则将文件存入临时程序白名单列表;更新模块,用于根据临时程序白名单列表更新预设的程序白名单知识库。根据第三方面,本专利技术实施例提供了一种控制器,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器执行上述任意实施例的程序白名单知识库更新的方法。根据第四方面,本专利技术实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,计算机指令用于使计算机执行上述任意实施例的程序白名单知识库更新的方法。本专利技术实施例提供了一种程序白名单知识库更新的方法及装置,通过建立安装程序的进程父子关系树及临时程序白名单列表,在临时程序白名单列表中执行安装程序,使安装程序在安装和更新过程中不影响程序白名单知识库对工控系统的控制;且安装程序在安装和更新的过程中可以自动更新程序白名单知识库,和普通程序安装类似,无需要过多的人工干预,针对定期升级程序白名单知识库中可信的程序,只需要指定升级路径就可以自动更新程序白名单知识库。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1示出了根据本专利技术实施例程序白名单知识库更新的方法的流程图;图2示出了本专利技术实施例安装程序执行前程序白名单知识库结构框图;图3示出了本专利技术实施例安装程序执行时程序白名单知识库和临时程序白名单列表结构框图;图4示出了本专利技术实施例安装程序升级流程图;图5示出了本专利技术实施例程序安装升级完成程序白名单知识库更新后的结构框图;图6示出了本专利技术实施例程序安装升级结构图;图7示出了现有技术中程序白名单知识库实现基本结构图;图8示出了本专利技术实施例安装程序执行过程中程序白名单知识库和临时程序白名单列表结构框图;图9示出了本专利技术实施例程序白名单知识库更新的装置示意图;图10示出了本专利技术实施例控制器示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本专利技术实施例提供了一种程序白名单知识库更新的方法,如图1所示,包括:S101.检测系统中是否产生运行安装程序的操作;实际应用中,在工控主机白名单防护的环境下,可以根据工控主机的操作系统类型及安装的工控软件自动扫描生成程序白名单知识库或根据操作系统类型从集中管理中心获取到程序白名单知识库,如图2所示,程序白名单知识库按照作用一般分为系统类白名单和应用类白名单,系统类白名单指操作系统环境运行的基本程序,应用类白名单是指在操作系统之上的一些应用程序,包括监控软件、组态软件、办公软件等,程序知识库中每条规则包括程序的名称,文件内容的标记(如哈希值)等。在程序白名单知识库控制启动之后,不在程序白名单列表中的安装程序将无法直接运行。S102.如果检测到运行安装程序的操作,建立安装程序的进程父子关系树及临本文档来自技高网...
【技术保护点】
1.一种程序白名单知识库更新的方法,其特征在于,包括:检测系统中是否产生运行安装程序的操作;如果检测到运行安装程序的操作,建立所述安装程序的进程父子关系树及临时程序白名单列表;判断所述安装程序是否属于临时程序白名单列表;如果所述安装程序属于所述临时程序白名单列表,则执行所述安装程序;判断所述安装程序的父进程是否属于所述进程父子关系树;如果所述安装程序的父进程属于所述进程父子关系树,则将所述安装程序执行过程中产生的新的文件存入所述临时程序白名单列表;根据所述临时程序白名单列表更新预设的程序白名单知识库。
【技术特征摘要】
1.一种程序白名单知识库更新的方法,其特征在于,包括:检测系统中是否产生运行安装程序的操作;如果检测到运行安装程序的操作,建立所述安装程序的进程父子关系树及临时程序白名单列表;判断所述安装程序是否属于临时程序白名单列表;如果所述安装程序属于所述临时程序白名单列表,则执行所述安装程序;判断所述安装程序的父进程是否属于所述进程父子关系树;如果所述安装程序的父进程属于所述进程父子关系树,则将所述安装程序执行过程中产生的新的文件存入所述临时程序白名单列表;根据所述临时程序白名单列表更新预设的程序白名单知识库。2.根据权利要求1所述的程序白名单知识库更新的方法,其特征在于,在将所述安装程序执行过程中产生的新的文件存入所述临时程序白名单列表之后,所述方法还包括:在所述临时程序白名单列表中执行所述安装程序执行过程中产生的子程序;判断所述子程序是否在所述程序白名单知识库或所述临时程序白名单列表中;如果所述子程序在所述程序白名单知识库或所述临时程序白名单列表中,执行所述子程序。3.根据权利要求2所述的程序白名单知识库更新的方法,其特征在于,如果所述子程序不在所述程序白名单知识库或所述临时程序白名单列表中,阻止所述子程序执行。4.根据权利要求2所述的程序白名单知识库更新的方法,其特征在于,在执行所述子程序之后,所述方法还包括:判断所述子程序的父进程是否在所述进程父子关系树中;如果所述子程序的父进程在所述进程父子关系树中,则将所述子程序存入所述进程父子关系树中。5.根据权利要求4所述的程序白名单知识库更新的方法,其特征在于,如果所述子程序的父进程不在所述进程父子关系树中,则所述子程序生成的文件不放入临时程序白名单列。6.根据权利要求1所述的程序白名单知识库更新的方法,其特征在于,在所述根据所述临时程序白名单列表更新预设的程序白名单知...
【专利技术属性】
技术研发人员:杨建平,
申请(专利权)人:北京威努特技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。