[发明专利]基于可执行体的进程指纹智能识别与模糊采集系统及其方法

说明书

技术领域

本发明主要涉及信息安全领域，主要用于在windows下可执行文件甄别。

背景技术

透明文件加密技术，是为了防止信息未经授权被拷贝出安全的计算机系统环境，将文档自动进行加密的技术。透明文件加密系统不改变应用业务流程、不改变操作流程，计算机系统某些敏感程序生成的特定类型的即可文档保存为加密文档，系统使用者无权将文档解密或者拷贝出特定的环境使用的一种系统。

透明文件加密技术中关键是通过对进程识别判定是否涉密，而对进程的识别主要采用“进程名的识别方式”，“取进程MD5值或进程HASH值”的方法这两种方法前者存在被篡改，精准性差，后者存在精准性高，但是采集和识别计算量大，运行效率不高不能接受进程微小变化。

 

发明内容

本发明针对现有技术中的不足，提供了一种基于可执行体的进程指纹智能识别与模糊采集技术既可高效、高精度比对又可减少进程采集次数。

为了解决上述技术问题，本发明通过下述技术方案得以解决：

本发明的目的在于克服传统进程识别体系中存在的两个极端，分别为进程名的识别易被篡改，精准性差，而取进程MD5值、进程HASH值的方式精准性高但采集量大，可执行体略微变化，小版本修改就不能识别的弊端。对功能行为没有本质变量的进程一次采集可多种识别。进而提高识别效率，减少采集次数。更符合透明加解密和进程控制中对进程识别的需求，理论原理可执行程序基本功能不发生变化，其所依赖的动态库和动态库数量不会发生变化，本发明不光透明文件加密技术使用，也可用于在windows下进程识别比对所有情况，例如进程权限控制中的进程识别。

本发明解决其技术问题采用的技术方案，基于可执行体的进程指纹智能识别与模糊采集技术该方法包括如下步骤：

1进程指纹采集

    1.1采集程序加载可执行文件

    1.2采集程序解析pe头部得到导入表和导出表

    1.3确定导入表中相关导入项，得到第一项名称导入项数量和最后项名称导入项数量

    1.4确定导出表中相关导出项，得到导出项第一名称，如没导出项取得可执行程序映像名

    1.5取入相关数据结构，取结构MD5摘要存入数据库中

2进程指识别

    2.1在应用程序启动时，通过工作在windows内核中的进程指识别模块解析加载的可执行文件

    2.2进程指识别模块解析pe头部得到导入表和导出表

    2.3确定导入表中相关导入项，得到第一项名称导入项数量和最后项名称导入项数量

2.4确定导出表中相关导出项，得到导出项第一名称，如没导出项则取得可执行程序映像名

    2.5取入相关数据结构

    2.6取结构MD5摘要与存储在数据库中采集的MD5摘要对比，匹配认定为该进程为采集集合中，不匹配认定为不在采集集合中。

附图说明

图1 为进程指纹形成图；

图2 为采集流程图；

图3 为比对流程图；

图4 为指纹结构图；

图5 为透明解密系统使用；

图6 为采集程序流程图。

具体实施方式

下面结合附图与具体实施方式对本发明作进一步详细描述：

图1过程为进程指纹形成的示意图，包括三类元素分别为导入项、导入项数量和导出项。图4为具体存放进程指纹的相关数据结构PROCESS_MARK_INFORMATION_EX，第一导入项名、最后导入项名、导入项数量和导出项名。使用图6流程，在图6中调用图2流程完成进程指纹的采集。透明文件加密系统文件过滤模块其使用图5流程实现对进程是否涉密作判定，在采集集合中为涉密，不在采集集合中中为非涉密，使用指纹得到摘要并从数据库中比对。

本发明解决其技术问题采用的技术方案，基于可执行体的进程指纹智能识别与模糊采集技术该方法包括如下步骤：

1进程指纹采集

    1.1采集程序加载可执行文件

    1.2采集程序解析pe头部得到导入表和导出表

    1.3确定导入表中相关导入项，得到第一项名称和最后项名称导入项数量

    1.4确定导出表中相关导出项，得到导出项第一名称，如没导出项则取得可执行程序映像名

    1.5取入相关数据结构，取结构MD5摘要存入数据库中

2进程指识别