一种基于白名单机制的进程管理方法及系统技术方案

本发明专利技术公开了一种基于白名单机制的进程管理方法，包括以下步骤：(1)获取来自用户的进程调用请求；(2)判断所述进程调用请求对应的进程是否在预先设置的白名单数据库中；(3)判断进程调用请求中该进程所申请的函数是否位于敏感函数区中；(4)采用训练好的贝叶斯分类器对该进程所申请的多个函数进行识别计算；(5)采用朴素贝叶斯法对获取的每个函数属于放行类别的概率进行再次筛选计算；(6)将该进程添加到预设的初始白名单数据库中并运行所述进程，过程结束；本发明专利技术能够有效将软件功能的白名单防护精确到函数级别，提高白名单防护精度，同时增加手动添加白名单的功能，以提高系统效率与精确度。

A process management method and system based on white name stand-alone system

The invention discloses a process management method based on the white name stand-alone system, which comprises the following steps: (1) obtaining the process call request from the user; (2) judging whether the process corresponding to the process call request is in the preset white list database; (3) judging whether the function applied by the process in the process call request is in the sensitive function area; (4) adopting the trained Bayes The classifier can recognize and calculate multiple functions applied by the process; (5) use naive Bayes method to re screen and calculate the probability that each function obtained belongs to the release category; (6) add the process to the preset initial white list database and run the process, and the process ends; the invention can effectively protect the white list of software functions to the function level In order to improve the efficiency and accuracy of the system, the function of adding white list manually is added.

【技术实现步骤摘要】
一种基于白名单机制的进程管理方法及系统
本专利技术属于信息安全领域，更具体地，涉及一种基于白名单机制的进程管理方法及系统。
技术介绍
白名单技术在信息安全领域十分常见，其规则为不阻止特定的事物运行而是只允许它的名单上的事物进行运行，该技术的特点之一是可以避免零日攻击，不用担心用户无意或有意安装执行有害程序或是未授权软件，此外，该技术的另一个优点是技术手段与布置上简单易行，除了名单上的实体外均拒绝运行或通过。目前，白名单技术被广泛应用在计算机系统的进程管理中，用于针对某一个进程进行整体的防护，即该进程如果在白名单上，则对该进程的操作均被允许通过、执行，如果该进程不在白名单上，则对该进程无法执行任何操作，且该进程会被操作系统禁止访问。然而，上述现有基于白名单的进程管理方法存在着不可忽略的缺点：由于其是基于进程整体的防护模式，一些仅仅需要运行操作系统中少数函数和权限的进程，一旦被拦截，则会使得因进程整体无法执行而导致函数、权限等无法执行，进而降低操作系统的运行效率，并影响用户使用。
技术实现思路
针对现有技术的以上缺陷或改进需求，本专利技术提供了一种基于白名单机制的进程管理方法及系统，其目的在于，通过对进程申请的函数构建白名单管理机制，由此解决现有基于白名单的进程管理方法由于是基于进程整体的防护模式而导致在某个进程被拦截时，该进程运行的函数、权限等无法被执行，进而降低操作系统的运行效率，并影响用户使用的技术问题。为实现上述目的，按照本专利技术的一个方面，提供了一种基于白名单机制的进程管理方法，其特征在于，包括以下步骤：(1)获取来自用户的进程调用请求，并将该进程调用请求对应的进程设置为挂起状态；(2)判断步骤(1)获取的该进程调用请求对应的进程是否在预先设置的白名单数据库中，如果是则运行该进程，过程结束，否则转入步骤(3)；(3)判断进程调用请求中该进程所申请的函数是否位于敏感函数区中，如果是则直接终止该进程并释放内存，过程结束，否则进入步骤(4)；(4)采用训练好的贝叶斯分类器对步骤(3)中该进程所申请的每个函数进行识别，以获取该函数属于放行类别的概率，并判断所述概率是否大于或等于一预设阈值，如果是，则转入步骤(5)，否则过程结束；(5)采用朴素贝叶斯法对步骤(4)中获取的每个函数属于放行类别的概率进行再次筛选计算，以获取二次校验通过概率，并判断该二次校验通过概率是否大于或等于一预设阈值，如果是则进入步骤(6)，否则直接终止进程并释放内存，过程结束；(6)将该进程添加到预设的初始白名单数据库中并运行所述进程，过程结束。优选地，所述的基于白名单机制的进程管理方法，其步骤(4)中所述的贝叶斯分类器通过以下步骤训练生成：(4-1)获取操作系统距离当前时刻最近的一个预设时间周期内的数据集；(4-2)将步骤(4-1)中获取的数据集按照其中的进程调用记录分为运行数据子集和拦截数据子集，并通过Apriori算法分别对数据子集和拦截数据子集进行处理，以得到各个进程的运行频繁项集和拦截频繁项集；(4-3)将步骤(4-2)中获取的各个进程的运行频繁项集和拦截频繁项集作为样本数据，对贝叶斯分类器进行训练，从而得到训练好的贝叶斯分类器。优选地，所述的基于白名单机制的进程管理方法，其步骤(4-1)中所述数据集为操作系统在该预设时间周期内所有进程调用记录，其具体通过如下方式获取：(4-1-1)设置计数器j＝1；(4-1-2)判断计数器j是否大于预设时间周期的阈值，如果是，则过程结束，否则，进入步骤(4-1-3)；(4-1-3)将第j个预设时间周期按照固定时间间隔分为m个时间记录点，并获取相邻两个时间记录点之间的进程调用记录；(4-1-4)设置计数器i＝1；(4-1-5)判断i是否小于记录点个数m，如果是，则转入步骤(4-1-6)，否则，将所有时间记录点中相邻时间记录点之间的所有进程调用记录保存以形成第j个预设时间周期内的数据集，并将第(j-1)个预设时间周期内的数据集删除，并转入步骤(4-1-7)；(4-1-6)设置计数器i＝i+1，并将第i个时间记录点和第i+1个时间记录点之间的进程调用记录进行保存；(4-1-7)设置计数器j＝j+1，并转入步骤(4-1-2)。优选地，所述的基于白名单机制的进程管理方法，其步骤(4-2)中采用Apriori算法分别对数据子集和拦截数据子集进行处理步骤如下：(4-2-1)对步骤(4-1)中获取的数据集按照其中的进程调用记录分为运行数据子集和拦截数据子集；(4-2-2)对步骤(4-2-1)获取的运行数据子集和拦截数据子集进行迭代计算，以获取所有频繁项集；(4-2-3)对步骤(4-2-2)获取的所有频繁项集进行剪枝操作，以得到满足预设指标要求的各个进程的运行频繁项集和拦截频繁项集。优选地，所述的基于白名单机制的进程管理方法，其预设指标要求为支持度不超过95％，所述每个频繁项集中所包含的条目数量不低于10。优选地，所述的基于白名单机制的进程管理方法，其步骤(4)或步骤(5)中所述的预设阈值为操作系统在上一次运行过程中内采用贝叶斯分类算法获取的多个函数属于放行类别的概率中的最小值。优选地，所述的基于白名单机制的进程管理方法，其步骤(3)中所述的敏感函数区是通过以下步骤建立的：(3-1)获取操作系统上一次运行过程中单个进程所申请的每个函数的频率；(3-2)判断步骤(3-1)中获取的单个进程所申请的每个函数的频率是否在预设支持度范围内，如果是，则将该函数加入预设的敏感函数区，过程结束；否则转入步骤(3-3)；(3-3)针对操作系统中的剩余进程，重复上述步骤(3-1)和(3-2)，直到所有的进程都被处理完毕为止。优选地，所述的基于白名单机制的进程管理方法，其预设支持度最小值的取值范围为5％～10％，所述预设支持度最大值的取值范围为80％～85％。优选地，所述的基于白名单机制的进程管理方法，其步骤(2)中所述的预先设置的白名单数据库包括操作系统初始状态时手动添加的维持操作系统正常运行的所有进程、以及操作系统运行过程中按照如下步骤自动添加的进程：(2-1)初始化操作系统，并获取操作系统进入运行过程之前的进程；(2-2)判断步骤(2-1)中获取的进程在一预设的时间监控区间内是否被调用，如果是，则转入步骤(2-3)，否则过程结束；(2-3)将该进程添加至所述预先设置的白名单数据库，过程结束。按照本专利技术的另一个方面，提供了一种基于白名单机制的进程管理系统，其特征在于，包括以下模块：第一模块：用于获取来自用户的进程调用请求，并将该进程调用请求对应的进程设置为挂起状态；第二模块：用于判断第一模块中获取的该进程调用请求对应的进程是否在预先设置的白名单数据库中，如果是则运行该进程，过程结束，否则使用第三模块；第三模块：用于判断进程调用请求中该进程所申请的函数是否位于敏感函本文档来自技高网...

【技术保护点】
1.一种基于白名单机制的进程管理方法，其特征在于，包括以下步骤：/n(1)获取来自用户的进程调用请求，并将该进程调用请求对应的进程设置为挂起状态；/n(2)判断步骤(1)获取的该进程调用请求对应的进程是否在预先设置的白名单数据库中，如果是则运行该进程，过程结束，否则转入步骤(3)；/n(3)判断进程调用请求中该进程所申请的函数是否位于敏感函数区中，如果是则直接终止该进程并释放内存，过程结束，否则进入步骤(4)；/n(4)采用训练好的贝叶斯分类器对步骤(3)中该进程所申请的每个函数进行识别，以获取该函数属于放行类别的概率，并判断所述概率是否大于或等于一预设阈值，如果是，则转入步骤(5)，否则过程结束；/n(5)采用朴素贝叶斯法对步骤(4)中获取的每个函数属于放行类别的概率进行再次筛选计算，以获取二次校验通过概率，并判断该二次校验通过概率是否大于或等于一预设阈值，如果是则进入步骤(6)，否则直接终止进程并释放内存，过程结束。/n(6)将该进程添加到预设的初始白名单数据库中并运行所述进程，过程结束。/n

【技术特征摘要】
1.一种基于白名单机制的进程管理方法，其特征在于，包括以下步骤：
(1)获取来自用户的进程调用请求，并将该进程调用请求对应的进程设置为挂起状态；
(2)判断步骤(1)获取的该进程调用请求对应的进程是否在预先设置的白名单数据库中，如果是则运行该进程，过程结束，否则转入步骤(3)；
(3)判断进程调用请求中该进程所申请的函数是否位于敏感函数区中，如果是则直接终止该进程并释放内存，过程结束，否则进入步骤(4)；
(4)采用训练好的贝叶斯分类器对步骤(3)中该进程所申请的每个函数进行识别，以获取该函数属于放行类别的概率，并判断所述概率是否大于或等于一预设阈值，如果是，则转入步骤(5)，否则过程结束；
(5)采用朴素贝叶斯法对步骤(4)中获取的每个函数属于放行类别的概率进行再次筛选计算，以获取二次校验通过概率，并判断该二次校验通过概率是否大于或等于一预设阈值，如果是则进入步骤(6)，否则直接终止进程并释放内存，过程结束。
(6)将该进程添加到预设的初始白名单数据库中并运行所述进程，过程结束。


2.如权利要求1所述的基于白名单机制的进程管理方法，其特征在于，步骤(4)中所述的贝叶斯分类器通过以下步骤训练生成：
(4-1)获取操作系统距离当前时刻最近的一个预设时间周期内的数据集；
(4-2)将步骤(4-1)中获取的数据集按照其中的进程调用记录分为运行数据子集和拦截数据子集，并通过Apriori算法分别对数据子集和拦截数据子集进行处理，以得到各个进程的运行频繁项集和拦截频繁项集；
(4-3)将步骤(4-2)中获取的各个进程的运行频繁项集和拦截频繁项集作为样本数据，对贝叶斯分类器进行训练，从而得到训练好的贝叶斯分类器。


3.如权利要求1或2所述的基于白名单机制的进程管理方法，其特征在于，步骤(4-1)中所述数据集为操作系统在该预设时间周期内所有进程调用记录，其具体通过如下方式获取：
(4-1-1)设置计数器j＝1；
(4-1-2)判断计数器j是否大于预设时间周期的阈值，如果是，则过程结束，否则，进入步骤(4-1-3)；
(4-1-3)将第j个预设时间周期按照固定时间间隔分为m个时间记录点，并获取相邻两个时间记录点之间的进程调用记录；
(4-1-4)设置计数器i＝1；
(4-1-5)判断i是否小于记录点个数m，如果是，则转入步骤(4-1-6)，否则，将所有时间记录点中相邻时间记录点之间的所有进程调用记录保存以形成第j个预设时间周期内的数据集，并将第(j-1)个预设时间周期内的数据集删除，并转入步骤(4-1-7)；
(4-1-6)设置计数器i＝i+1，并将第i个时间记录点和第i+1个时间记录点之间的进程调用记录进行保存；
(4-1-7)设置计数器j＝j+1，并转入步骤(4-1-2)。


4.如权利要求1至3中任意一项所述的基于白名单机制的进程管理方法，其特征在于，步骤(4-2)中采用Apriori算法分别对数据子集和拦截数据子集进行处理步骤如下：
(4-2-1)对步骤(4-1)中获取的数据集按照其中的进程调用记录分为运行数据子集和拦截数据子集；
(4-2-2)对步骤(4-2-1)...

【专利技术属性】
技术研发人员：杨志邦，陈宝鼎，李方敏，周旭，刘楚波，肖国庆，李肯立，
申请(专利权)人：长沙学院，湖南大学，
类型：发明
国别省市：湖南;43