【技术实现步骤摘要】
一种基于文件扩展属性的进程白名单实现方法及装置
[0001]本专利技术涉及一种基于文件扩展属性的进程白名单实现方法及装置,属于工业信息安全
技术介绍
[0002]进程白名单技术可以有效抵御恶意代码攻击,只有白名单上被批准的合法的进程才被允许在系统上运行。目前大多数白名单实现方法是预先收集一个较完整的进程白名单,保存其可执行文件的路径、校验值等关键信息,再通过监控程序的扫描结果与白名单核对,及时发现可疑进程;或者在应用程序每次启动执行时先基于白名单检查程序的合法性,在程序执行的初始阶段就对非法进程实施拦截。
[0003]使用进程白名单可以有效控制应用程序的运行权限,提升系统安全性,而白名单列表文件记录了白名单关键信息,若白名单列表文件遭到篡改,将导致白名单防护功能失效,因此保障白名单列表文件本身的安全性,是白名单技术发挥安全防护功能的关键。另外,当前基于白名单对应用程序执行的合法性检查是每次执行程序时都需要对程序进行校验计算并与白名单进行匹配,这种做法极大地影响了合法程序的启动效率。
[0004]鉴于 ...
【技术保护点】
【技术特征摘要】
1.一种基于文件扩展属性的进程白名单实现方法,其特征在于:包括以下步骤:当装置中系统监测到任一可执行文件启动执行时,检查在白名单列表文件中是否存在可执行文件;在确定出存在可执行文件时,检查可执行文件是否存在文件修改扩展属性;若不存在文件修改扩展属性,则检查可执行文件是否存在文件可信扩展属性,若不存在文件可信扩展属性,向系统发出阻止第二可执行文件执行指令;若存在文件可信扩展属性,向系统发出允许可执行文件执行指令;若存在文件修改扩展属性,则获取可执行文件的绝对路径,通过绝对路径读取可执行文件内容并计算SM3摘要值,再与白名单列表文件中可执行文件的绝对路径和SM3摘要值进行对比,若对比一致,则添加可执行文件的文件可信扩展属性,向系统发出允许可执行该文件执行指令;若对比不一致,则删除可执行文件的文件可信扩展属性,向系统发出阻止可执行文件执行指令。2.根据权利要求1所述的一种基于文件扩展属性的进程白名单实现方法,其特征在于:白名单列表文件获取的方法,包括如下步骤:当装置开机系统运行时,获取白名单列表文件的加密文件和签名文件,并对所述加密文件进行解密,对所述签名文件进行验签,获得白名单列表文件。3.根据权利要求1所述的一种基于文件扩展属性的进程白名单实现方法,其特征在于:可执行文件中文件修改扩展属性的获取方法,包括如下步骤:当装置中系统监测到白名单列表文件中的可执行文件被修改时,可执行文件添加文件修改扩展属性。4.根据权利要求1所述的一种基于文件扩展属性的进程白名单实现方法,其特征在于:可执行文件中文件可信扩展属性的获取方法,还包括如下步骤:逐个扫描白名单列表文件中的可执行文件,若白名单列表文件中存在可执行文件的信任标志,则对可执行文件添加文件可信扩展属性;若白名单列表文件中可执行文件无信任标志,则使用白名单列表文件中的可执行文件绝对路径读取对应的可执行文件内容,计算可执行文件的SM3摘要值,并与SM3摘要基准值进行对比,若对比一致,则对该可执行文件添加文件可信扩展属性。5.根据权利要求2所述的一种基于文件扩展属性的进程白名单实现方法,其特征在于:所述白名单列表文件获取的方法还包括:若无法获取白名单列表文件的加密文件和签名文件,向系统发出阻止装置正常运行的指令,并发出等待重新下载白名单列表文件的加密文件和签名文件的指令。6.根据权利要求2...
【专利技术属性】
技术研发人员:沈志浩,李友军,甘云华,周华良,夏雨,夏建伟,赵翔,戴欣欣,饶丹,张成彬,张吉,李铁成,陈天英,何亚坤,
申请(专利权)人:国电南瑞南京控制系统有限公司国网电力科学研究院有限公司国网河北省电力有限公司国网河北省电力有限公司电力科学研究院国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。