[发明专利]一种基于白名单技术的主动防御系统的设计方法及系统

说明书

技术领域

本发明涉及安全技术领域，具体地说是一种基于白名单技术的主动防御系统的设计方法及系统。

背景技术

随着计算机网络开放性、互联性，网络信息安全面临种种威胁，病毒等恶意程序层出不穷。传统的黑名单技术面临黑名单库趋于无限，且难以对付零日攻击、特定攻击等安全威胁，安全专家们急于寻找一种技术可以解决黑名单面临的问题。白名单作为一项刚提出时被人们质疑的技术，现在被越来越多的安全类软件应用于主动防御的设计中，但现有白名单产品大多局限于用户定义的白名单，或者需要强大的软件资源以识别程序的可信性，前者不够安全，后者对软件资源数量要求非常大。

发明内容

本发明的技术任务是针对现有技术的不足，提供一种可靠的、高效的、有实效性、非局限性的基于白名单的主动防御系统的设计实现方法及系统。

缩略语及关键术语说明：

OS Operating System 操作系统

PE Portale Executable 可移植的可执行文件,属于Windows操作系统

ELF Executable and Linkable Format 一种Linux操作系统可执行文件格式

清单库 是一个包含应用程序信息(文件大小，信任级别，文件Hash值等)的数据库

白名单库 是一个包含特定条件的应用程序的Hash值、信任级别的一个数据库

Hash 信息安全领域中加密算法，主流有Sha1, Sha256, Sha512, MD5, SM3等；

本发明解决其技术问题所采用的技术方案是：

1、一种基于白名单技术的主动防御系统的设计方法，其具体实现步骤为：

1）清单搜集：服务端软件搜集从操作系统官网下载的OS安装镜像，从中获取操作系统自带程序的Hash值，生成清单库；

2）来源可靠的白名单生成：在服务端，由清单库生成一个白名单总库；

在客户端，根据用户的操作系统版本，由清单库生成对应的本地白名单库，保存在用户本地；

3）程序信任识别：对于每个客户端上所运行或安装的程序，在启动之前都需识别其是否可信，首先需要检查客户端所执行或安装程序的Hash值是否存在于本地白名单库中，如果不在本地白名单库，则请求查询服务端白名单总库；

4）客户端本地运行管控：在客户端只有识别结果为可信的程序才允许运行。

作为本发明进一步改进的，步骤1）中，服务端软件搜集来自于操作系统官网下载的OS安装镜像中的可执行文件，获取可执行文件的详细信息，包括文件名、操作系统版本、文件修改时间、文件Hash值，并将其信任级别设置为白（允许执行），生成清单库。

作为本发明进一步改进的，步骤1）中，所述可执行文件包括Windows操作系统下的PE文件、Linux操作系统下的ELF文件。

作为本发明进一步改进的，步骤1）中，所述清单库通过服务器端的MySQL生成。

作为本发明进一步改进的，步骤3）中，如果也不在白名单总库中，则需要在服务端进行未知程序信任识别，如果程序是经过数字签名的，则验证数字签名是否可信；如果程序没有数字签名，则进行程序行为分析以确定程序是否可信。

作为本发明进一步改进的，步骤4）中，在客户端只有识别结果为可信的程序才允许运行，否则将识别结果及意见反馈给客户，由用户决定是否运行。

作为本发明进一步改进的，在服务端，采用爬虫程序，实时获取操作系统官网发布的更新补丁，更步骤1）建立的清单库及步骤2）建立的白名单总库和本地白名单库。

作为本发明进一步改进的，对步骤3）中未知程序的识别结果，首先更新到服务端白名单总库中，然后同步更新到本地白名单库中。

作为本发明进一步改进的，对步骤3）中未知程序识别结果为可信的，安装之后，在安装目录生成相应程序的Hash值，只更新到本地白名单库中，无需同步更新到服务器白名单总库。

2、本发明还提供一种基于白名单技术的主动防御系统的设计系统，其中，

服务端设备包括：

清单搜集模块，用于搜集从操作系统官网下载的OS安装镜像，从中获取操作系统自带程序的Hash值，并生成清单库；

在服务端部署一个由清单库生成的白名单总库；

客户端设备包括：

检测模块，用于检测并获取客户端所执行或安装程序的Hash值；

在客户端根据用户的操作系统版本，部署一个由清单库生成的本地白名单库；