本发明专利技术公开了一种基于Windows操作系统中运行可执行文件的审计方法,该方法包括以下步骤S100:设置服务器运行环境;S200:在客户端安装并运行主机安全加固软件,检查客户端和服务器之间的网络连接是否正常;S300:客户端扫描自身系统分区中所有可执行文件,并采用DJB Hash算法生成原始可信应用列表;S400:审计客户端运行的可执行文件;S500:服务器确认当前可执行文件的安全性,根据确认的结果选择“允许”或者“拒绝”来回应客户端;S600:客户端接收服务器的回应,根据回应进行操作:如果回应是“允许”,那么客户端将当前可执行文件加入到所述可信应用列表中并运行当前可执行文件;如果回应是“拒绝”,则客户端不运行当前可执行文件。
【技术实现步骤摘要】
一种基于Windows操作系统中运行可执行文件的审计方法
本专利技术属于网络及信息安全领域,涉及一种运行可执行文件的审计方法,尤其涉及一种基于Windows操作系统中运行可执行文件的审计方法。
技术介绍
随着全球信息化进程不断推进,信息安全问题已经成为抑制全球信息化进程发展的重大障碍。各级政府部门及企事业单位在多年的信息化建设过程中,通过采用防火墙、入侵检测、杀毒软件、桌面管理系统等传统的安全技术和手段,在网络边界层防范外来攻击方面起到一定程度的安全防范作用。但随着信息化需求的不断增长,网络应用的不断扩展,现有的网络基础设施和信息系统安全措施逐渐暴露出了诸多问题,各类业务应用系统的运行环境依然面临着很多安全威胁,受到攻击时依然显得十分脆弱、不堪一击。主要表现为:一、外部攻击面对天天变种、层出不穷的新型病毒,蠕虫,木马等恶意代码的攻击,服务器安装的杀毒软件无能为力;利用各种系统漏洞、应用程序漏洞进行攻击防不胜防,服务器管理员的“补丁”永远打不完。二、内部破坏面对内部的恶意攻击和破坏,服务器上敏感信息泄密,重要数据失窃,造成的影响和损失难以估计。三、其他问题由于安全管理体系的缺陷,人员安全意识薄弱造成的操作失误、设备配置不当,权限过于集中,给服务器带来安全隐患难以控制。以上安全风险和潜在威胁长期存在无法根本解决的主要原因,是因为防火墙、杀毒软件、入侵检测、桌面管理系统等技术手段均属于基础传统的边缘层安全防护措施,由于其技术实现的局限性使得安全防护手段受制于病毒库、特征库、木马库等的更新滞后性,信息安全“头痛医头、脚痛医脚”的现象无法改变。而随着信息化持续发展,信息安全需求也随之动态发展变化,“道高一尺、魔高一丈”,安全威胁层出不穷,传统的安全防护手段只能疲于应付,通过“围追堵截”的被动方式实现局部分散的安全补救措施。因此,只有将传统的被动补救方式转变成主动防御模式,从信息安全的根本和源头入手进行安全防护体系建设,才能从根本上扭转被动局面,构建信息安全的主动式体系化防御体系。
技术实现思路
本专利技术针对现有技术的不足问题,提出了一种基于Windows操作系统中运行可执行文件的审计方法,通过生成可信应用列表(即,可信应用白名单),判断所有可执行文件是否存在于可信应用列表且仅执行可信应用列表中存在的可执行文件,从而Windows操作系统中运行可执行文件的审计,保障了系统的安全,包括以下步骤:S100:设置服务器运行环境,包括运行https网页服务,用以提供操作接口及客户端通信;S200:在客户端安装并运行主机安全加固软件,检查客户端和服务器之间的网络连接是否正常,其中,安装时设置服务器的IP地址和端口号,用以建立客户端和服务器之间的网络连接;S300:客户端扫描自身系统分区中所有可执行文件,并采用DJBHash算法生成原始可信应用列表,其中,DJBHash算法用以校验并加密所述可信应用列表的记录,以确保所述记录的唯一性;所述可信应用列表的记录包含可信任的可执行文件的名称及路径;S400:审计客户端运行的可执行文件,具体包括以下步骤:S401:检测客户端运行的文件;S402:判断当前文件是否为可执行文件,如果是,执行步骤S403,否则执行步骤S401;S403:客户端驱动层程序运行windows的API函数,用以调用回调函数,所述回调函数获取可执行文件的信息并拦截可执行文件,所述可执行文件的信息包含可执行文件的名称、路径、进程ID、线程ID及进程句柄;S404:对所述可执行文件的信息采用DJBHash算法以生成当前可执行文件的名称及路径并在所述可信应用列表中遍历查找是否存在当前可执行文件的名称及路径,如果是,执行步骤S406,否则执行步骤S405;S405:客户端向服务器发出申请,将当前可执行文件的名称添加至所述可信应用列表,执行步骤S500;S406:执行当前可执行文件并结束流程;S500:服务器确认当前可执行文件的安全性,根据确认的结果选择“允许”或者“拒绝”来回应客户端;S600:客户端接收服务器的回应,根据回应进行操作:如果回应是“允许”,那么客户端将当前可执行文件加入到所述可信应用列表中并运行当前可执行文件;如果回应是“拒绝”,则客户端不运行当前可执行文件。优选地,所述步骤S200中所述端口号为443。优选地,所述windows的API函数包含PsSetCreateProcessNotifyRoutineEx函数和PsSetCreateThreadNotifyRoutineEx函数;所述PsSetCreateProcessNotifyRoutineEx函数在当有进程创建或退出时调用所述回调函数,所述PsSetCreateThreadNotifyRoutineEx函数在有线程创建时调用所述回调函数。本专利技术的有益效果是:1、基于可信应用列表(可信应用白名单)进行安全检测。2、每个应用采用DJBHash算法对基本信息和应用内容双重检查,保证唯一性。3、基本信息和内容均采用DJBHash算法,确保一致性。4、采用高性能摘要算法,系统负荷小,响应快。附图说明图1为本专利技术所提供的方法的总流程图。具体实施方式图1示出了本专利技术所提供的方法的总流程图。如图1所示,本专利技术包括以下步骤:S100:设置服务器运行环境,包括运行https网页服务,用以提供操作接口及客户端通信;S200:在客户端安装并运行主机安全加固软件,检查客户端和服务器之间的网络连接是否正常,其中,安装时设置服务器的IP地址,端口号设置为443,用以建立客户端和服务器之间的网络连接;S300:客户端扫描自身系统分区中所有可执行文件,并采用DJBHash算法生成原始可信应用列表,其中,DJBHash算法用以校验并加密可信应用列表的记录,以确保记录的唯一性;可信应用列表的记录包含可信任的可执行文件的名称及路径;S400:审计客户端运行的可执行文件,具体包括以下步骤:S401:检测客户端运行的文件;S402:判断当前文件是否为可执行文件,如果是,执行步骤S403,否则执行步骤S401;S403:客户端驱动层程序运行windows的API函数,用以调用回调函数,回调函数获取可执行文件的信息并拦截可执行文件,可执行文件的信息包含可执行文件的名称、路径、进程ID、线程ID及进程句柄;其中,windows的API函数包含PsSetCreateProcessNotifyRoutineEx函数和PsSetCreateThreadNotifyRoutineEx函数;PsSetCreateProcessNotifyRoutineEx函数在当有进程创建或退出时调用回调函数,PsSetCreateThreadNotifyRoutineEx函数在有线程创建时调用回调函数。S本文档来自技高网...
【技术保护点】
1.一种基于Windows操作系统中运行可执行文件的审计方法,其特征在于包括以下步骤:/nS100:设置服务器运行环境,包括运行https网页服务,用以提供操作接口及客户端通信;/nS200:在客户端安装并运行主机安全加固软件,检查客户端和服务器之间的网络连接是否正常,其中,安装时设置服务器的IP地址和端口号,用以建立客户端和服务器之间的网络连接;/nS300:客户端扫描自身系统分区中所有可执行文件,并采用DJB Hash算法生成原始可信应用列表,其中,DJB Hash算法用以校验并加密所述可信应用列表的记录,以确保所述记录的唯一性;所述可信应用列表的记录包含可信任的可执行文件的名称及路径;/nS400:审计客户端运行的可执行文件,具体包括以下步骤:/nS401:检测客户端运行的文件;/nS402:判断当前文件是否为可执行文件,如果是,执行步骤S403,否则执行步骤S401;/nS403:客户端驱动层程序运行windows的API函数,用以调用回调函数,所述回调函数获取可执行文件的信息并拦截可执行文件,所述可执行文件的信息包含可执行文件的名称、路径、进程ID、线程ID及进程句柄;/nS404:对所述可执行文件的信息采用DJB Hash算法以生成当前可执行文件的名称及路径并在所述可信应用列表中遍历查找是否存在当前可执行文件的名称及路径,如果是,执行步骤S406,否则执行步骤S405;/nS405:客户端向服务器发出申请,将当前可执行文件的名称添加至所述可信应用列表,执行步骤S500;/nS406:执行当前可执行文件并结束流程;/nS500:服务器确认当前可执行文件的安全性,根据确认的结果选择“允许”或者“拒绝”来回应客户端;/nS600:客户端接收服务器的回应,根据回应进行操作:如果回应是“允许”,那么客户端将当前可执行文件加入到所述可信应用列表中并运行当前可执行文件;如果回应是“拒绝”,则客户端不运行当前可执行文件。/n...
【技术特征摘要】
1.一种基于Windows操作系统中运行可执行文件的审计方法,其特征在于包括以下步骤:
S100:设置服务器运行环境,包括运行https网页服务,用以提供操作接口及客户端通信;
S200:在客户端安装并运行主机安全加固软件,检查客户端和服务器之间的网络连接是否正常,其中,安装时设置服务器的IP地址和端口号,用以建立客户端和服务器之间的网络连接;
S300:客户端扫描自身系统分区中所有可执行文件,并采用DJBHash算法生成原始可信应用列表,其中,DJBHash算法用以校验并加密所述可信应用列表的记录,以确保所述记录的唯一性;所述可信应用列表的记录包含可信任的可执行文件的名称及路径;
S400:审计客户端运行的可执行文件,具体包括以下步骤:
S401:检测客户端运行的文件;
S402:判断当前文件是否为可执行文件,如果是,执行步骤S403,否则执行步骤S401;
S403:客户端驱动层程序运行windows的API函数,用以调用回调函数,所述回调函数获取可执行文件的信息并拦截可执行文件,所述可执行文件的信息包含可执行文件的名称、路径、进程ID、线程ID及进程句柄;
S404:对所述可执行文件的信息采用DJBHash算法以生成当前可执行文件的名称及路径并在所述可信应用列表中遍历查找是否存在当前可执行文件的名称及路径...
【专利技术属性】
技术研发人员:刘勇,黄旭,梁效宁,
申请(专利权)人:陕西思科锐迪网络安全技术有限责任公司,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。