【技术实现步骤摘要】
一种可信白名单快速匹配装置与方法
本专利技术涉及信息安全
,尤其是一种可信白名单快速匹配装置与方法。
技术介绍
可信计算作为一种主动防御技术,不需要依赖病毒库的升级更新,就可以自动免疫诸如勒索病毒、广告木马、挖矿机等新型安全威胁。主动防御技术要求对一个已知可信的系统的所有非用户数据文件进行完整性度量并建立可信基准数据库(这一过程可以是由计算机厂商在生产时完成,或由系统管理员在初始化系统时完成),随后在系统正常运行时,时刻对比可信基准数据库,如有超出可信基准数据库范围的非用户数据文件将被执行,则进行拦截。为实现对任何文件的执行的拦截,需要在操作系统(Windows/Linux等)的内核中增加相应的安全钩子,这些钩子可以在操作系统加载可执行镜像和与可执行镜像关联的文件时,转到可信计算度量程序中预先对将要执行的文件进行度量。可信度量的方法一般为使用密码学Hash函数对被度量文件进行消息摘要运算。所以“对比可信基准数据库”这一过程,可以看作把被度量文件的消息摘要与预存的一组消息摘要进行白名单查找的过程。如果被度量文件的消息摘要在预存的一组消息摘要之中,那么说明被度量文件是合法的、经过授权的,而如果被度量文件的消息摘要不在预存的一组消息摘要之中,那么说明被度量文件是不被信任的,不可继续执行的。前述在操作系统内核中进行白名单查验的过程,面对的主要问题是如何把相对庞大的白名单数据信息放到相对有限的内核内存空间中(因为内核模块一般完全在内存中运行,为保持速度一般不直接访问大容量外部存储器),又如何保持相 ...
【技术保护点】
1.一种可信白名单快速匹配装置,其特征在于,包括:文件句柄监控单元、文件内容读取单元、SM3计算单元、Bloom过滤器Hash单元、Bloom过滤器控制单元、Hash暂存单元和用户态数据库单元;其中文件句柄监控单元连接文件内容读取单元、文件内容读取单元连接SM3计算单元、SM3计算单元连接Bloom过滤器Hash单元和Hash暂存单元、Bloom过滤器Hash单元连接Bloom过滤器控制单元、Bloom过滤器控制单元连接Hash暂存单元和用户态数据库单元。/n
【技术特征摘要】
1.一种可信白名单快速匹配装置,其特征在于,包括:文件句柄监控单元、文件内容读取单元、SM3计算单元、Bloom过滤器Hash单元、Bloom过滤器控制单元、Hash暂存单元和用户态数据库单元;其中文件句柄监控单元连接文件内容读取单元、文件内容读取单元连接SM3计算单元、SM3计算单元连接Bloom过滤器Hash单元和Hash暂存单元、Bloom过滤器Hash单元连接Bloom过滤器控制单元、Bloom过滤器控制单元连接Hash暂存单元和用户态数据库单元。
2.如权利要求1所述的可信白名单快速匹配装置,其特征在于,文件句柄监控单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现:在内核态对用户态文件打开操作进行拦截,并通知文件内容读取单元。
3.如权利要求1所述的可信白名单快速匹配装置,其特征在于,文件内容读取单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现:利用内核态自身接口,在用户态文件打开之前,预先读取其内容,并送入SM3计算单元。
4.如权利要求1所述的可信白名单快速匹配装置,其特征在于,SM3计算单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现:按国密SM3算法计算文件内容的128比特Hash值,并送入Bloom过滤器Hash单元,并将文件名和128比特Hash值组成二元组送入Hash暂存单元。
5.如权利要求1所述的可信白名单快速匹配装置,其特征在于,Bloom过滤器Hash单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现:将128比特Hash值分为四组,每组各32比特,最终形成一个四元组,每组各为32比特长的Hash值,将此Hash值四元组和原128比特Hash值送入Bloom过滤器控制单元。
6.如权利要求1所述的可信白名单快速匹配装置,其特征在于,Bloom过滤器控制单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现:将前述Hash值四元组中的每一位,作为索引,取出预存的比特数组对应位上的比特值,如果四个比特值不同时为1,则向用户反馈判决结果“不在可信白名单”,如果四个比特值同时为1,则向Hash暂存单元询问前述128比特Hash值是否在四元组列表中,如果不存在,则向用户态数据库单元查询128比特Hash是否在可信白名单中,并将结果设置到Hash暂存单元,再从Hash暂存单元得到判决值并向用户反馈的判决结果,即“在可信白名单”或“不在可信白名单”;如果存在,则以Hash暂存单元反馈的判决值为Bloom过滤器控制单元向用户反馈的判决结果,即“在可信白名单”或“不在可信白名单”。
7.如权利要求1所述的可信白名单快速匹配装置,其特征在于,用户态数据库单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现:预先存入可信白名单,可信白名单内容为可信文件的128比特Hash值,在Bloom过滤器控制单元从内核发来查询请求时,查找白名单内是否有Bloom过滤器控...
【专利技术属性】
技术研发人员:方昊,吴鹤意,
申请(专利权)人:南京东科优信网络安全技术研究院有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。