本发明专利技术公开了一种安全运行可执行文件的方法及系统,当检测到可执行文件被调用时,获取可执行文件、可执行文件的调用主体以及调用主体对可执行文件的操作指令,当确定调用主体对可执行文件的操作指令有效时,进一步验证可执行文件、调用主体和操作指令是否存在于预先设置的ACL中,通过将可执行文件的数字签名与在ACL中对应的可执行文件的数字签名进行匹配验证可执行文件是否被篡改,以及验证可执行文件的数字签名是否可信,当所有的验证均通过时才会加载可执行文件,并启动新进程运行可执行文件。本发明专利技术在运行可执行文件之前,对可执行文件进行了多次验证,将携带病毒和/或恶意程序的可执行文件进行滤除,实现可执行文件的安全运行。
A method and system for safe operation of executable files
【技术实现步骤摘要】
一种安全运行可执行文件的方法及系统
本专利技术涉及计算机
,更具体的说,涉及一种安全运行可执行文件的方法及系统。
技术介绍
随着工业化与信息化在国家电网的融合,以及近年来网络通信技术的快速发展,在网络应用大力发展的同时,网络的开放性也带来了巨大的安全隐患,存在被病毒攻击的风险。由于计算机病毒逐渐从高度依赖“零日”漏洞,演变为不依赖“零日”漏洞的高度定制化特种病毒,因此,如何对病毒进行拦截成为了保障电力物联网安全运行的重要条件。目前病毒拦截方式主要为病毒特征检测技术,通过对病毒特征进行检测,来对病毒进行针对性的拦截,从而防止病毒传播。然而,病毒存在大量变种,采用病毒特征检测方式来防止病毒传播已无法满足物联网终端在新形势下的安全需求。
技术实现思路
有鉴于此,本专利技术公开一种安全运行可执行文件的方法及系统,以实现在运行可执行文件之前,对可执行文件进行了多次验证,将携带病毒和/或恶意程序的可执行文件进行滤除,从而实现可执行文件的安全运行。一种安全运行可执行文件的方法,包括:当检测到可执行文件被调用时,获取所述可执行文件、所述可执行文件的调用主体以及所述调用主体对所述可执行文件的操作指令;判断所述调用主体对所述可执行文件的所述操作指令是否有效;如果是,则拦截所述调用主体对所述可执行文件执行的所述操作指令;判断所述可执行文件、所述调用主体和所述操作指令是否存在于预先设置的ACL中,其中,所述ACL中的内容包括:主体、客体和操作指令;如果是,则判断所述可执行文件的数字签名与在所述ACL中对应的可执行文件的数字签名是否匹配;如果是,则判断所述可执行文件的数字签名是否可信;如果是,则加载所述可执行文件,并启动新进程运行所述可执行文件。可选的,还包括:当所述调用主体对所述可执行文件的所述操作指令无效,或者所述可执行文件、所述调用主体和所述操作指令不存在于所述ACL中,或者所述可执行文件的数字签名与在所述ACL中对应的可执行文件的数字签名不匹配,或者所述可执行文件的数字签名不可信,则禁止所述可执行文件运行。可选的,在所述加载所述可执行文件,并启动新进程运行所述可执行文件之后,还包括:将运行的所述可执行文件存储至预先构建的可信云数据库。可选的,还包括:当检测到所述可信云数据库中存储的可执行文件发生变更后,基于变更后的可执行文件生成新的ACL;对所述新的ACL进行数据签名,得到目标ACL;将所述目标ACL写入区块链分布式账本。可选的,还包括:将写入所述目标ACL的区块链分布式账本同步发送至所述可信云数据库和客户端。一种安全运行可执行文件的系统,包括:获取单元,用于当检测到可执行文件被调用时,获取所述可执行文件、所述可执行文件的调用主体以及所述调用主体对所述可执行文件的操作指令;第一判断单元,用于判断所述调用主体对所述可执行文件的所述操作指令是否有效;拦截单元,用于在所述第一判断单元判断为是的情况下,拦截所述调用主体对所述可执行文件执行的所述操作指令;第二判断单元,用于判断所述可执行文件、所述调用主体和所述操作指令是否存在于预先设置的ACL中,其中,所述ACL中的内容包括:主体、客体和操作指令;第三判断单元,用于在所述第二判断单元判断为是的情况下,判断所述可执行文件的数字签名与在所述ACL中对应的可执行文件的数字签名是否匹配;第四判断单元,用于在所述第三判断单元判断为是的情况下,判断所述可执行文件的数字签名是否可信;加载单元,用于在所述第四判断单元判断为是的情况下,加载所述可执行文件,并启动新进程运行所述可执行文件。可选的,还包括:禁止单元,用于当所述调用主体对所述可执行文件的所述操作指令无效,或者所述可执行文件、所述调用主体和所述操作指令不存在于所述ACL中,或者所述可执行文件的数字签名与在所述ACL中对应的可执行文件的数字签名不匹配,或者所述可执行文件的数字签名不可信,则禁止所述可执行文件运行。可选的,还包括:存储单元,用于在所述加载单元在所述加载所述可执行文件,并启动新进程运行所述可执行文件之后,将运行的所述可执行文件存储至预先构建的可信云数据库。可选的,还包括:生成单元,用于当检测到所述可信云数据库中存储的可执行文件发生变更后,基于变更后的可执行文件生成新的ACL;签名单元,用于对所述新的ACL进行数据签名,得到目标ACL;写入单元,用于将所述目标ACL写入区块链分布式账本。可选的,还包括:发送单元,用于将写入所述目标ACL的区块链分布式账本同步发送至所述可信云数据库和客户端。从上述的技术方案可知,本专利技术公开了一种安全运行可执行文件的方法及系统,当检测到可执行文件被调用时,获取可执行文件、可执行文件的调用主体以及调用主体对可执行文件的操作指令,当确定调用主体对可执行文件的操作指令有效时,并不会执行操作指令,而是进一步验证可执行文件、调用主体和操作指令是否存在于预先设置的ACL中,通过将可执行文件的数字签名与在ACL中对应的可执行文件的数字签名进行匹配验证可执行文件是否被篡改,以及验证可执行文件的数字签名是否可信,当所有的验证均通过时才会加载可执行文件,并启动新进程运行可执行文件,任何一个验证未通过,均禁止可执行文件运行。由于本专利技术在运行可执行文件之前,对可执行文件进行了多次验证,因此,可以将携带病毒和/或恶意程序的可执行文件进行滤除,从而实现了可执行文件的安全运行。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据公开的附图获得其他的附图。图1为本专利技术实施例公开的一种安全运行可执行文件的方法流程图;图2为本专利技术实施例公开的一种安全运行可执行文件的系统的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本专利技术实施例公开了一种安全运行可执行文件的方法及系统,当检测到可执行文件被调用时,获取可执行文件、可执行文件的调用主体以及调用主体对可执行文件的操作指令,当确定调用主体对可执行文件的操作指令有效时,并不会执行操作指令,而是进一步验证可执行文件、调用主体和操作指令是否存在于预先设置的ACL中,通过将可执行文件的数字签名与在ACL中对应的可执行文件的数字签名进行匹配验证可执行文件是否被篡改,以及验证可执行文件的数字签名是否可信,当所有的验证均通过时才会加载可执行文件,并启动本文档来自技高网...
【技术保护点】
1.一种安全运行可执行文件的方法,其特征在于,包括:/n当检测到可执行文件被调用时,获取所述可执行文件、所述可执行文件的调用主体以及所述调用主体对所述可执行文件的操作指令;/n判断所述调用主体对所述可执行文件的所述操作指令是否有效;/n如果是,则拦截所述调用主体对所述可执行文件执行的所述操作指令;/n判断所述可执行文件、所述调用主体和所述操作指令是否存在于预先设置的ACL中,其中,所述ACL中的内容包括:主体、客体和操作指令;/n如果是,则判断所述可执行文件的数字签名与在所述ACL中对应的可执行文件的数字签名是否匹配;/n如果是,则判断所述可执行文件的数字签名是否可信;/n如果是,则加载所述可执行文件,并启动新进程运行所述可执行文件。/n
【技术特征摘要】
1.一种安全运行可执行文件的方法,其特征在于,包括:
当检测到可执行文件被调用时,获取所述可执行文件、所述可执行文件的调用主体以及所述调用主体对所述可执行文件的操作指令;
判断所述调用主体对所述可执行文件的所述操作指令是否有效;
如果是,则拦截所述调用主体对所述可执行文件执行的所述操作指令;
判断所述可执行文件、所述调用主体和所述操作指令是否存在于预先设置的ACL中,其中,所述ACL中的内容包括:主体、客体和操作指令;
如果是,则判断所述可执行文件的数字签名与在所述ACL中对应的可执行文件的数字签名是否匹配;
如果是,则判断所述可执行文件的数字签名是否可信;
如果是,则加载所述可执行文件,并启动新进程运行所述可执行文件。
2.根据权利要求1所述的方法,其特征在于,还包括:
当所述调用主体对所述可执行文件的所述操作指令无效,或者所述可执行文件、所述调用主体和所述操作指令不存在于所述ACL中,或者所述可执行文件的数字签名与在所述ACL中对应的可执行文件的数字签名不匹配,或者所述可执行文件的数字签名不可信,则禁止所述可执行文件运行。
3.根据权利要求1所述的方法,其特征在于,在所述加载所述可执行文件,并启动新进程运行所述可执行文件之后,还包括:
将运行的所述可执行文件存储至预先构建的可信云数据库。
4.根据权利要求3所述的方法,其特征在于,还包括:
当检测到所述可信云数据库中存储的可执行文件发生变更后,基于变更后的可执行文件生成新的ACL;
对所述新的ACL进行数据签名,得到目标ACL;
将所述目标ACL写入区块链分布式账本。
5.根据权利要求4所述的方法,其特征在于,还包括:
将写入所述目标ACL的区块链分布式账本同步发送至所述可信云数据库和客户端。
6.一种安全运行可执行文件的系统,其特征在于,包括:
获取单元,用于当检测到可执行文件被调用时,获取所述可执行文件、所述可执行文件的调用主体...
【专利技术属性】
技术研发人员:赵明明,廖逍,李科,马皓,许勇刚,刘欣,张津明,刘圣龙,冯亮星,刘晓曦,赵建伟,刘柱,李文璞,白景坡,曾令康,张喆,
申请(专利权)人:国网信息通信产业集团有限公司,国网思极网安科技北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。