[发明专利]一种智能的进程识别控制方法和系统

说明书

技术领域

本申请涉及安全领域，尤其涉及一种进程识别控制系统。

背景技术

当今时代，计算机已经成为政府、企业办公的必需品。工作机中包含大量的机密信息。一旦被软件非法窃取或主动泄漏，后果将不堪设想。所以如何管理控制本地应用软件的使用成为关键。

从现实情况来看，Windows的本地安全策略里的应用程序控制策略技术与本专利比较接近，图1给出了Windows的本地安全策略里的应用程序控制策略技术的实现流程，但其存在以下缺点：Windows的应用程序控制策略属于用户自定义策略，用户自己添加需要禁止或允许的进程，在实际的使用中比较麻烦，不仅需要手工配置需要控制的进程，进程快速更新变化也无法做出及时调整，而且也无法控制未知的进程，还不具有强制性，用户可以通过停止应用程序控制策略的服务或修改进程属性来绕开管理员的管理。

发明内容

本发明解决的技术问题：从实际需求和应用的角度出发，构建一个智能的进程识别控制系统，客户端用户实行身份认证，根据服务器端管理员下发的控制策略对对应的进程进行控制，对未知的进程可以自动生成已安装软件的进程配置，上传并添加到服务器的应用程序配置库中，还可以智能的放过windows的所有进程；服务器端管理员通过身份认证登录Web控制台，根据应用程序配置给客户端用户下发策略，便可实现对客户端的严格控制，无需因进程更新变化而需重新获取进程配置信息，重新下发策略等繁琐操作。

本发明技术方案：

本发明提供一种智能的进程识别控制系统，包括服务器和客户端，服务器中包括用户管理模块、应用程序配置管理模块、进程控制策略管理模块，用户管理模块进行用户组和用户帐号的创建，应用程序配置管理模块支持编辑、导入和导出应用程序配置库的功能，进程控制策略管理模块进行策略的下发，并根据客户端不断上传的新的应用程序配置，对服务器中的应用程序配置库进行不断的更新，并同步更新客户端的应用程序配置库；客户端包括功能模块、策略配置模块、客户端交互模块，客户端交互模块实现用户身份认证功能，功能模 块完成对进程启动的监测、进程属性的解析、以及依据用户身份认证结果以及本地策略对进程进行控制，策略配置模块实现本地策略和应用程序配置库与服务器端策略和应用程序配置库的同步，以保证本地策略和应用程序配置库的实时性。

优选的，服务器中包括Web控制台，所述用户管理模块、应用程序配置管理模块、进程控制策略管理模块置于Web控制台中。

本发明还提供一种智能的进程识别控制方法，适用于包括服务器和客户端的系统，其特征在于，包括以下步骤：1)对服务器的部署：创建用户帐号和用户所在的组，然后导入默认的应用程序配置库，并根据需要为不同的组或用户下发不同的进程识别控制策略；2)对客户端的部署：客户端安装完成后，进行初始化工作，后台注册WMI实例用于监控新创建进程，同时启动单独线程枚举当前所有执行进程并存储；3)客户端根据服务器端管理员提供的帐号密码进行认证，如果未认证或认证失败，启用默认的禁用所有进程的策略，如果认证成功，则运行应用软件，后台监测新进程的创建，解析获取新创建进程的属性信息，并与应用程序配置库进行匹配，如果匹配命中就取出该进程所属软件的唯一ID，在用户策略中检测此ID的控制方法，并根据控制方法对该进程进行相应的控制；如果没有匹配命中，则禁止该进程运行并给相应提示，并智能生成应用程序配置，添加入应用程序配置库中并上传至服务器，服务器将客户端生成的应用程序配置信息添加入应用程序配置库中。

优选的，步骤1)中服务器自动从LDAP同步用户组织结构和用户信息。步骤3)中客户端采用USBKEY认证方式。

优选的，客户端通过进程属性信息中的颁发者签名、版权和原始文件名，对微软的所有进程实行放过，并通过核心态的方式终止不允许运行的进程。

优选的，步骤3)中“智能生成应用程序配置，添加入应用程序配置库中”通过以下方式实现：通过进程属性反向获取所属软件的安装路径，然后解析获取该软件的所有进程属性，添加到应用程序配置库中。

本发明技术效果：

1)实施简单，方便于大范围的部署使用。

2)具有强制性，无法通过伪造绕过管理。

3)自动生成应用程序配置，无需管理员手动添加。

4)管理员维护简单，管理方便。

附图说明

图1是Windows本地安全策略里应用程序控制策略技术的实现流程。

图2是本申请技术方案的总体架构图。

图3是本申请关键技术的实现流程图。