[发明专利]基于自动白名单的Windows终端安全保障方法与系统

说明书

技术领域

本发明涉及信息安全领域，更具体地说，涉及一种基于自动白名单的Windows终端安全保障方法与系统。

背景技术

随着网络和信息技术的发展，现代社会生活对信息技术的依赖度不断增强，因此，无论是企业、组织还是个人，对计算机终端的安全要求越来越高。然而，病毒、木马以及恶意软件制作的技术水平不断提高，导致针对微软Windows类操作系统终端安全的防护总是处于被动状态。

现有的防病毒、防木马以及防恶意软件的工作模式是捕获样本、分析特征、更新特征库、特征向量分析、最终识别非法目标对象，并执行清洗或阻隔，这就是黑名单技术。即使是目前最流行的“云安全”技术，其处理方式也是类似的，只是将执行流程提前到网络体中，而非用户计算机本地终端。这种方式最大的缺陷是：基于现有的知识库来预防，由此导致1)知识库的大小决定了防范已知非法对象的能力；2)对新变种的预防存在滞后时间窗；3)需要经常升级，维护成本高。

人们在认识到现有的通用型终端安全产品与技术无法保证终端足够安全后，改变了处理问题的切入点，从罗列非法对象的特征转变为罗列合法软件名单特征，即白名单技术。方法论的改变确实为个人终端安全提供了非常有益的帮助，但是目前在白名单技术上，还存在如下缺陷：1)白名单需要人工配置与管理，对企业来说比较适合，对普通用户来说，要自己定义白名单，在许多情况下都比较难；2)即使存在白名单，也可以通过拷贝白名单文件，并盗用他人用户名和密码，从而在本地终端上提升权限；3)无法有效预防无进程、无端口、无文件的隐形木马。

发明内容

本发明需要解决的技术问题在于：针对上述Windows终端安全的黑名单技术与白名单技术的缺陷，提出了一种新的基于自动白名单的Windows终端安全保障方法与系统。

本发明解决上述技术问题的技术方案是，构建一种基于自动白名单的Windows终端安全保障系统，包括白名单模块以及与所述白名单模块相连的检测模块；所述白名单模块用于自动创建和人工维护白名单数据信息；所述检测模块用于检测待执行程序是否合法。

在本发明所述基于自动白名单的Windows终端安全保障系统中，还包括动态连接库模块和应用层模块；所述动态连接库模块用于直接与所述白名单模块和检测模块通信；所述应用层模块用于与所述动态连接库模块通信，间接控制所述白名单模块以及处理所述检测模块提交的告警信息。

本发明所述基于自动白名单的Windows终端安全保障系统中，所述检测模块，封装为驱动程序，其钩住了Windows的内核函数，基于白名单内容检测每个待启动进程，允许或禁止启动进程。

所述白名单模块，包括白名单自动生成模块和白名单维护模块：其中，所述白名单自动生成模块，用于自动创建合法软件白名单；所述白名单维护模块，用于保护所述系统中所使用的白名单文件不会被用户直接访问、处理所述检测模块的白名单信息查询请求以及维护白名单内容更新。

本发明所述基于自动白名单的Windows终端安全保障系统中，所述应用层模块，包括管理端模块和客户端模块，所述管理端模块提供特权用户更改白名单内容支持，并强制已注册的所述客户端模块更新其本地的白名单信息；所述客户端模块，部署在受控个人终端上，用于接收所述管理端模块的控制，并上报本地告警到所述管理端模块。

本发明所述基于自动白名单的Windows终端安全保障系统中，系统只能在安全模式下卸载，且需要输入正确的PIN码后才启动卸载；所述PIN码，是所述系统的身份号码。

本发明还提供了一种基于自动白名单的Windows终端安全保障方法，包括如下步骤：

第一步：个人终端上在Windows操作系统与所有必须的应用软件安装完毕后，连接到网络前，安装白名单终端安全保障系统，包括安装白名单监护程序和检测驱动程序，并自动加载所述检测驱动程序；

第二步：通过扫描方法自动采集本地所有可执行文件信息，在此基础上构建可执行文件白名单，并将白名单文件加密保存到预设目录；

第三步：重启机器，白名单终端安全保障系统自动启动，个人终端开始受控。

本发明所述一种基于自动白名单的Windows终端安全保障方法中，在上述步骤执行完后，还包括：所述白名单终端安全保障系统启动后，主动注册到预设的管理端系统，接受所述管理端系统的控制，并上报本地告警信息。