本发明专利技术公开了一种基于自动白名单的Windows终端安全保障系统,其包括白名单模块以及与所述白名单模块相连的检测模块;所述白名单模块用于自动创建和人工维护白名单数据信息;所述检测模块用于检测待执行程序是否合法。本发明专利技术首先可自动生成白名单对普通用户来说简单易用;其次是通过服务器端控制从而保证本地文件安全性;还可有效预防隐形木马。
【技术实现步骤摘要】
本专利技术涉及信息安全领域,更具体地说,涉及一种基于自动白名单的 Windows终端安全保障方法与系统。
技术介绍
随着网络和信息技术的发展,现代社会生活对信息技术的依赖度不断 增强,因此,无论是企业、组织还是个人,对计算机终端的安全要求越来 越高。然而,病毒、木马以及恶意软件制作的技术水平不断提高,导致针 对微软Windows类操作系统终端安全的防护总是处于被动状态。现有的防病毒、防木马以及防恶意软件的工作模式是捕获样本、分析 特征、更新特征库、特征向量分析、最终识别非法目标对象,并执行清洗 或阻隔,这就是黑名单技术。即使是目前最流行的云安全技术,其处 理方式也是类似的,只是将执行流程提前到网络体中,而非用户计算机本 地终端。这种方式最大的缺陷是基于现有的知识库来预防,由此导致l) 知识库的大小决定了防范已知非法对象的能力;2)对新变种的预防存在滞 后时间窗;3)需要经常升级,维护成本高。人们在认识到现有的通用型终端安全产品与技术无法保证终端足够安 全后,改变了处理问题的切入点,从罗列非法对象的特征转变为罗列合法 软件名单特征,即白名单技术。方法论的改变确实为个人终端安全提供了 非常有益的帮助,但是目前在白名单技术上,还存在如下缺陷1)白名单需要人工配置与管理,对企业来说比较适合,对普通用户来说,要自己定义白名单,在许多情况下都比较难;2)即使存在白名单,也可以通过拷贝 白名单文件,并盗用他人用户名和密码,从而在本地终端上提升权限;3) 无法有效预防无进程、无端口、无文件的隐形木马。
技术实现思路
本专利技术需要解决的技术问题在于针对上述Windows终端安全的黑名 单技术与白名单技术的缺陷,提出了一种新的基于自动白名单的Windows 终端安全保障方法与系统。本专利技术解决上述技术问题的技术方案是,构建一种基于自动白名单的 Windows终端安全保障系统,包括白名单模块以及与所述白名单模块相连 的检测模块;所述白名单模块用于自动创建和人工维护白名单数据信息; 所述检测模块用于检测待执行程序是否合法。在本专利技术所述基于自动白名单的Windows终端安全保障系统中,还包 括动态连接库模块和应用层模块;所述动态连接库模块用于直接与所述白 名单模块和检测模块通信;所述应用层模块用于与所述动态连接库模块通信,间接控制所述白名单模块以及处理所述检测模块提交的告警信息。本专利技术所述基于自动白名单的Windows终端安全保障系统中,所述检 测模块,封装为驱动程序,其钩住了 Windows的内核函数,基于白名单内 容检测每个待启动进程,允许或禁止启动进程。所述白名单模块,包括白名单自动生成模块和白名单维护模块其中,所述白名单自动生成模块,用于自动创建合法软件白名单;所述白名单维 护模块,用于保护所述系统中所使用的白名单文件不会被用户直接访问、 处理所述检测模块的白名单信息査询请求以及维护白名单内容更新。本专利技术所述基于自动白名单的Windows终端安全保障系统中,所述应 用层模块,包括管理端模块和客户端模块,所述管理端模块提供特权用户 更改白名单内容支持,并强制已注册的所述客户端模块更新其本地的白名 单信息;所述客户端模块,部署在受控个人终端上,用于接收所述管理端 模块的控制,并上报本地告警到所述管理端模块。本专利技术所述基于自动白名单的\Tmdows终端安全保障系统中,系统只 能在安全模式下卸载,且需要输入正确的PIN码后才启动卸载;所述PIN 码,是所述系统的身份号码。本专利技术还提供了一种基于自动白名单的Windows终端安全保障方法, 包括如下步骤第一步个人终端上在Windows操作系统与所有必须的应用软件安装 完毕后,连接到网络前,安装白名单终端安全保障系统,包括安装白名单 监护程序和检测驱动程序,并自动加载所述检测驱动程序;第二步通过扫描方法自动采集本地所有可执行文件信息,在此基础 上构建可执行文件白名单,并将白名单文件加密保存到预设目录;第三步重启机器,白名单终端安全保障系统自动启动,个人终端开 始受控。本专利技术所述一种基于自动白名单的Windows终端安全保障方法中,在 上述步骤执行完后,还包括所述白名单终端安全保障系统启动后,主动 注册到预设的管理端系统,接受所述管理端系统的控制,并上报本地告警 信息。本专利技术所述一种基于自动白名单的Windows终端安全保障方法中,所 述扫描由所述白名单终端安全保障系统的安装程序调用内嵌的采集工具自 动完成;所述可执行文件,至少包括扩展名为.exe文件、.dll文件、.sys文 {牛、.bat文《牛、.com文《牛、.cmd文4牛、.scr文《牛、.ocx文《牛以及.acm文fh 所述可执行文件信息,至少包括绝对路径的文件名、基于文件大小、创建 日期、修改日期和属性内容的MD5 (字节串变换算法5)计算值、以及基 于文件内容的MD5计算值属性;所述终端受控,是指终端上,仅允许启动 其执行文件的信息是与白名单中完全一致的程序;本专利技术所述一种基于自动白名单的Windows终端安全保障方法中,所 述白名单终端安全保障系统的安装程序还会自动安装文件系统过滤驱动, 用以保护所述白名单文件免受操作用户变更;本专利技术所述一种基于自动白名单的终端安全保障方法中,还 包括所述驱动程序,终端用户只有通过本专利技术所述白名单终端安全保障 系统才能进行卸载和删除;所述白名单终端安全保障系统,无论是否能与所述管理端系统通信, 均能正常工作,终端用户无法停止该系统,且只能在安全模式下输入正确 的PIN码后方可卸载,但保存在本地的未上传的告警信息会一直保留,且能被再次安装的所述白名单终端安全保障系统所处理。本专利技术提供了扫描方式自动生成白名单方法,解决了目前白名单维护麻烦的缺陷,增加了灵活性,扩展了适应范围。在终端安装完windows操 作系统与应用程序后,再安装终端监控系统时,自动创建了白名单,对普 通个人用户来说,无需手工编制白名单;对企业和事业单位用户来说,无 需为不同品牌、不同型号的终端初始化白名单。此外,本专利技术同时提供白 名单手工维护功能,普通个人用户可以在需要时通过维护界面更改本地白 名单;企业和事业单位的管理员可以灵活控制不同部门、不同岗位员工的 白名单。本专利技术提供了进程启动前,对待启动进程的执行程序,首先取得绝对 路径的文件名,并基于文件大小、创建日期、修改日期和属性内容计算MD5 值,以及基于文件内容计算MD5值后;再与白名单中具有相同绝对路径的 文件名的白名单项的两个MD5值比较,只有完全一致时才启动进程的合法 进程验证方法,能有效禁止隐形木马,从而提高终端安全。附图说明图1是本专利技术所述基于自动白名单的Windows终端安全保障方法的流 程图2是本专利技术所述基于自动白名单的Windows终端安全保障系统结构 示意图;图3是终端的白名单驱动内部流程图; 图4是终端的文件保护驱动内部流程图; 图5是终端的应用程序与白名单驱动的交互流程图。 具体实施例方式本专利技术的核心思想是构建一个基于自动白名单的Wid0WS终端安全 保障系统,该系统所依赖的白名单由系统在安装时通过扫描本地硬盘自动 生成。所述系统在成功启动后,捕获内核的启动进程操作,并验证待启动 进程所依赖的可执行程序是否与白名单记录完全一致,否则终止启本文档来自技高网...
【技术保护点】
一种基于自动白名单的Windows终端安全保障系统,其特征在于,包括白名单模块以及与所述白名单模块相连的检测模块; 所述白名单模块,用于自动创建和人工维护白名单数据信息; 所述检测模块,用于检测待执行程序是否合法。
【技术特征摘要】
1.一种基于自动白名单的Windows终端安全保障系统,其特征在于,包括白名单模块以及与所述白名单模块相连的检测模块;所述白名单模块,用于自动创建和人工维护白名单数据信息;所述检测模块,用于检测待执行程序是否合法。2. 如权利要求1所述一种基于自动白名单的Windows终端安全保障系统, 其特征在于,还包括动态连接库模块和应用层模块;所述动态连接库模块,用于直接与所述白名单模块和检测模块通信; 所述应用层模块,用于与所述动态连接库模块通信,间接控制所述白 名单模块以及处理所述检测模块提交的告警信息。3. 如权利要求1所述一种基于自动白名单的Windows终端安全保障系统, 其特征在于,所述检测模块,封装为驱动程序,其钩住了 Windows的内核 函数,基于白名单内容检测每个待启动进程,允许或禁止启动进程;所述白名单模块,包括白名单自动生成模块和白名单维护模块其中, 所述白名单自动生成模块,用于自动创建合法软件白名单;所述白名单维 护模块,用于保护所述系统中所使用的白名单文件不会被用户直接访问、 处理所述检测模块的白名单信息查询请求以及维护白名单内容更新。4. 如权利要求1所述一种基于自动白名单的Windows终端安全保障系统, 其特征在于,所述应用层模块,包括管理端模块和客户端模块,所述管理 端模块提供特权用户更改白名单内容支持,并强制已注册的所述客户端模 块更新其本地的白名单信息;所述客户端模块,部署在受控个人终端上, 用于接收所述管理端模块的控制,并上报本地告警到所述管理端模块。5. 如权利要求1所述一种基于自动白名单的Windows终端安全保障系统, 其特征在于,系统只能在安全模式下卸载,且需要输入正确的PIN码后才 启动卸载;所述PIN码,是所述系统的身份号码。6. —种基于自动白名单的Windows终端安全方法,其特征在于,包括如 下步骤-第一步个人终端上Windows操作系统与所有必须的应用软件安装完 毕后,连接到网络前,安装...
【专利技术属性】
技术研发人员:戚建淮,曾广良,杨勇飞,刘云,伍立华,
申请(专利权)人:深圳市永达电子股份有限公司,
类型:发明
国别省市:94[]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。