一种基于白名单的系统防御方法、装置、介质及电子设备制造方法及图纸

本申请实施例提供一种基于白名单的系统防御方法、装置、介质及电子设备，所述系统防御方法包括：根据待处理文件的属性信息得到目标白名单策略文件，其中，所述目标白名单策略文件是多个白名单策略文件中的一个，所述多个白名单策略文件至少包括：系统白名单策略文件和容器白名单策略文件；根据所述目标白名单策略文件确定所述待处理文件是否属于可加载或可执行文件。本申请的实施例的白名单策略文件中存储了哈希值和文件路径，执行或加载文件时可通过文件路径快速定位到对应的文件并对其哈希值进行对比，提升处理速度，本申请的实施例兼容内核模块文件、脚本文件以及未直接存放于系统中的文件(例如docker镜像文件)。系统中的文件(例如docker镜像文件)。系统中的文件(例如docker镜像文件)。

【技术实现步骤摘要】
一种基于白名单的系统防御方法、装置、介质及电子设备


[0001]本申请涉及系统安全领域，具体而言本申请实施例涉及一种基于白名单的系统防御方法、装置、介质及电子设备。

技术介绍

[0002]随着计算机技术的飞速发展，各类应用层出不穷并涉及到方方面面，因此计算机信息安全愈发受到重视。计算机系统安全防御方法有很多种，其中应用白名单技术是最为普遍的技术之一。
[0003]相关技术披露的基于白名单的系统防御方法还存在如下缺陷：捕获动态库文件和可执行程序时对prelink机制依赖性强；通过运行或加载动态库文件和可执行程序来计算当前哈希值造成效率低；仅根据当前哈希值与原始哈希值对比结果允许或拒绝执行、加载造成兼容性差，无法兼容内核模块文件、脚本文件，同时也不兼容隔离文件系统中文件(如：docker容器)。
[0004]因此如何提升相关技术的系统防御方法成了亟待解决的技术问题。

技术实现思路

[0005]本申请实施例的目的在于提供一种基于白名单的系统防御方法、装置、介质及电子设备，本申请的实施例的白名单策略文件中存储了哈希值和文件路径，执行或加载文件时可通过文件路径快速定位到对应的文件并对其哈希值进行对比，提升处理速度，本申请的实施例兼容内核模块文件、脚本文件以及未直接存放于系统中的文件(例如docker镜像文件)。
[0006]第一方面，本申请实施例提供一种基于白名单的系统防御方法，所述系统防御方法包括：根据待处理文件的属性信息得到目标白名单策略文件，其中，所述目标白名单策略文件是多个白名单策略文件中的一个，所述多个白名单策略文件至少包括：系统白名单策略文件和容器白名单策略文件；根据所述目标白名单策略文件确定所述待处理文件是否属于可加载或可执行文件。
[0007]本申请的一些实施例设置多类白名单策略文件，通过待处理文件的属性为其匹配对应的白名单策略文件，可以提升技术方案的通用性。
[0008]在一些实施例中，所述属性信息采用所述待处理文件的命名空间进行表征。
[0009]本申请的一些实施例采用待处理文件的命名空间来为待处理文件选择对应的白名单策略文件，提升从多个白名单策略文件中选取目标白名单策略文件的速度。
[0010]在一些实施例中，所述根据待处理文件的属性信息得到目标白名单策略文件，包括：获取所述待处理文件所在的命名空间；根据所述命名空间从所述多个白名单策略文件中得到所述目标白名单策略文件。
[0011]本申请的一些实施例需要首先获取待处理文件的命名空间，之后在根据命名空间得到目标白名单策略文件。
[0012]在一些实施例中，所述待处理文件为脚本文件，其中，在所述获取所述待处理文件所在的命名空间之前，所述根据待处理文件的属性信息得到目标白名单策略文件还包括：注册一个脚本解释器钩子对脚本解释器进行劫持；通过解析所述脚本解释器的参数获取所述脚本文件的脚本文件名；根据所述脚本文件名得到与所述待处理文件对应的命名空间。
[0013]本申请的一些实施例还可以对脚本文件进行安全防御，提升技术方案的通用性。
[0014]在一些实施例中，所述目标白名单策略文件至少用于存储安全应用的哈希值和所述安全应用的文件路径；其中，所述根据所述目标白名单策略文件确定所述待处理文件是否属于可加载或可执行文件，包括：若根据所述待处理文件的文件路径确定所述目标白名单策略文件中存在所述待处理文件，则计算所述待处理文件的哈希值得到待匹配哈希值并根据所述待匹配哈希值确定所述待处理文件是否属于所述可执行或可加载文件；若根据所述待处理文件的文件路径确定所述目标白名单策略文件中不存在所述待处理文件，则拒绝执行或加载所述待处理文件。
[0015]本申请的一些实施例首先通过文件路径判断该文件是否在白名单策略中，如果不在就表明该文件属于木马程序，此时系统就会禁止执行或加载该文件，与相关技术方案直接进行哈希值对比相比明显提升处理速度且进一步提升系统的安全性。
[0016]在一些实施例中，所述根据所述待匹配哈希值确定所述待处理文件是否属于所述可执行或可加载文件，包括：从所述目标白名单策略文件中读取与所述待处理文件对应的存储哈希值；比较所述待匹配哈希值与所述存储哈希值，若两者不一致则禁止执行或加载所述待处理文件，若两者一致则执行或者加载所述待处理文件。
[0017]本申请的一些实施例将待处理文件的哈希值与从白名单策略文件中存储的哈希值进行比较可以提升判决结果的准确性。
[0018]在一些实施例中，在所述根据待处理文件的属性信息得到目标白名单策略文件之前，所述方法进一步包括：扫描系统文件目录通过文件头方式筛选出目标文件集合，其中，所述目标文件集合中文件的种类包括：动态库文件、可执行二进制程序、内核模块和脚本文件；根据所述目标文件集合得到多类白名单策略文件。
[0019]本申请的一些实施例通过判断文件头方式对应用白名单文件进行识别，进而不再依赖prelink机制，白名单策略生成依赖性低，可在任意linux系统中生成。
[0020]在一些实施例中，所述根据所述目标文件集合得到多类白名单策略文件，包括：计算所述目标文件集合中各目标文件的哈希值，得到多个存储哈希值；获取与所述目标文件集合中各目标文件对应的文件路径，得到多个文件路径；将所述多个存储哈希值与所述多个文件路径统一作为所述白名单策略文件中的内容。
[0021]本申请的一些实施例在各白名单策略文件中需要存储哈希值以及文件路径，使得后续在对待处理文件进行安全性认证时可首先依据文件路径来进行初步判断之后再依据哈希值进行二次判断，这样一方面提升了系统的安全性而且由于减少了哈希值匹配次数也提升了数据处理速度提升了哈希值匹配的速度。
[0022]在一些实施例中，在所述将所述多个存储哈希值与所述多个文件路径统一作为所述白名单策略文件中的内容之后，所述方法还包括：对所述白名单策略文件进行签名。
[0023]为了进一步提升白名单策略文件的安全性本申请的一些实施例还需要对白名单策略文件进行签名处理。
[0024]在一些实施例中，所述系统文件目录包括通过解压镜像内文件得到的目标项。
[0025]本申请的一些实施例在生成各类白名单策略文件时还需要将容器内的文件进行处理，提升了技术方案的通用性。
[0026]在一些实施例中，在根据所述目标文件集合得到多类白名单策略文件之后，所述方法还进一步包括：在用户态的系统运行环境中导入所述系统白名单策略和所述容器白名单策略文件，以根据所述系统白名单策略或所述容器白名单策略文件确定所述待处理文件是否属于所述可执行或可加载文件。
[0027]本申请的一些实施例还需要将多类白名单策略文件导入系统中，以在该系统运行或者加载文件时可以利用导入的白名单策略文件进行文件安全性识别，提升系统的安全性。
[0028]在一些实施例中，所述在用户态的系统运行环境中导入所述系统白名单策略文件，包括：在linux系统启动的时候自动调用白名单策略导入工具通过netlink本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于白名单的系统防御方法，其特征在于，所述系统防御方法包括：根据待处理文件的属性信息得到目标白名单策略文件，其中，所述目标白名单策略文件是多个白名单策略文件中的一个，所述多个白名单策略文件至少包括：系统白名单策略文件和容器白名单策略文件；根据所述目标白名单策略文件确定所述待处理文件是否属于可加载或可执行文件。2.如权利要求1所述的系统防御方法，其特征在于，所述属性信息采用所述待处理文件的命名空间进行表征。3.如权利要求1所述的系统防御方法，其特征在于，所述根据待处理文件的属性信息得到目标白名单策略文件，包括：获取所述待处理文件所在的命名空间；根据所述命名空间从所述多个白名单策略文件中得到所述目标白名单策略文件。4.如权利要求3所述的系统防御方法，其特征在于，所述待处理文件为脚本文件，其中，在所述获取所述待处理文件所在的命名空间之前，所述根据待处理文件的属性信息得到目标白名单策略文件还包括：注册一个脚本解释器钩子对脚本解释器进行劫持；通过解析所述脚本解释器的参数获取所述脚本文件的脚本文件名；根据所述脚本文件名得到与所述待处理文件对应的命名空间。5.如权利要求1
‑
4任一项所述的系统防御方法，其特征在于，所述目标白名单策略文件至少用于存储安全应用的哈希值和所述安全应用的文件路径；其中，所述根据所述目标白名单策略文件确定所述待处理文件是否属于可加载或可执行文件，包括：若根据所述待处理文件的文件路径确定所述目标白名单策略文件中存在所述待处理文件，则计算所述待处理文件的哈希值得到待匹配哈希值并根据所述待匹配哈希值确定所述待处理文件是否属于所述可执行或可加载文件；若根据所述待处理文件的文件路径确定所述目标白名单策略文件中不存在所述待处理文件，则拒绝执行或加载所述待处理文件。6.如权利要求5所述的系统防御方法，其特征在于，所述根据所述待匹配哈希值确定所述待处理文件是否属于所述可执行或可加载文件，包括：从所述目标白名单策略文件中读取与所述待处理文件对应的存储哈希值；比较所述待匹配哈希值与所述存储哈希值，若两者不一致则禁止执行或加载所述待处理文件，若两者一致则执行或者加载所述待处理文件。7.如权利要求6所述的系统防御方法，其特征在于，在所述根据待处理文件的属性信息得到目标白名单策略文件之前，所述方法进一步包括：扫描系统文件目录通过文件头方式筛选出目标文件集合，其中，所述目标文件集合中文件的种类包括：动态库文件、可执行二进制程序、内核模块和脚本文件；根据所述目标文件集合得到多类白名单策略文件。8.如权利要求7所述的系统防御方法，其特征在于，所述根据所述目标文件集合得到多
类白名单策略文件，包括：计算所述目标文件集...

【专利技术属性】
技术研发人员：叶立杰，胡亚运，
申请(专利权)人：北京天融信网络安全技术有限公司北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：