【技术实现步骤摘要】
软件安装更新过程基于白名单的内存行为监控方法及装置
[0001]本公开涉及信息安全
,尤其涉及一种软件安装更新过程基于白名单的内存行为监控方法及装置。
技术介绍
[0002]白名单技术是工业生产领域下应对安全威胁的有效方式,它默认拦截一切未知可执行程序和脚本的执行,可以有效抵御已知和未知的恶意代码。另一方面,这也造成了工业生产软件安装和更新的不便。
[0003]同时现有的白名单技术存在白利用的问题。
[0004]为解决这一问题,公开号为CN101788915A的专利提供了一种单机解决方案,该方案基于可信进程树进行白名单更新,在软件升级/新安装时构建可信进程树,记录可信进程树中各节点对应可执行程序的特征值,将其更新至白名单中,在此基础上,可实现单机环境下的软件升级。该方法的缺陷是需专业维护人员进行人工安装,在工业场景下,运维人员负担较大。
[0005]公开号为CN105183504A的专利,提供了一种基于服务器的进程白名单更新方法,可实现同一软件白名单的共享,专利公开号为CN111177706A的...
【技术保护点】
【技术特征摘要】
1.一种软件安装更新过程基于白名单的内存行为监控方法,其特征在于,包括:在应用环境下,在软件安装或更新过程中,监测内存中调用的指令,当存在不在行为白名单中的指令时,中断软件安装或更新进程;所述行为白名单包括:安装或更新所述软件时,内存中调用的所有指令。2.根据权利要求1所述的软件安装更新过程基于白名单的内存行为监控方法,其特征在于,所述行为白名单的生成包括:在测试环境下,安装或更新待测试的软件,监测内存中调用指令并将所述指令加入行为白名单。3.根据权利要求2所述的软件安装更新过程基于白名单的内存行为监控方法,其特征在于,所述行为白名单的生成,还包括,安装或更新待测试的软件时,收集安装软件名称、文件哈希值、版本信息、可能访问的文件资源以及可执行程序的调用执行路径并写入所述行为白名单;在应用环境或测试环境下,在软件安装或更新过程中,收集安装或更新软件名称、文件哈希值、版本信息、可能访问的文件资源以及可执行程序的调用执行路径,验证所述行为白名单。4.根据权利要求1至3之一所述的软件安装更新过程基于白名单的内存行为监控方法,其特征在于,所述行为白名单的生成,还包括:设置行为黑名单,所述黑名单包括非法的系统敏感文件读写行为;在验证环境下,安装或更新待测试的软件,监测内存中调用的指令,当存在不在所述行为白名单中的指令时,判断该指令是否在所述黑名单中,如果在,则针对该软件重新生成行为白名单,如果不在,则将该指令加入所述行为白名单。5.根据权利要求4所述的软件安装更新过...
【专利技术属性】
技术研发人员:师一帅,
申请(专利权)人:安芯网盾北京科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。