[发明专利]一种基于双HASH验证的主机防御方法和系统

说明书

本发明公开了一种基于双HASH验证的主机防御方法，包括：(1)获取主机中的可执行文件，对该可执行文件进行第一HASH计算，并判断哈希计算的结果是否存在于预先存储的第一白名单数据库中，如果是则加载该可执行文件，然后转入步骤(2)，否则阻止加载该可执行文件，然后过程结束；(2)从主机的磁盘内读取该可执行文件的分片，对该分片所属的可执行文件进行第二HASH计算，并判断哈希计算的结果是否存在于预先存储的第二白名单数据库中，如果是则读取该分片上的数据，过程结束，否则阻止对该分片上数据的读取。本发明解决了可执行文件实时检测的效率低和进程运行速度变慢的问题，保证更安全、准确的校验，保障主机提供服务的效率和抵御外界的防御能力。

技术领域

本发明属于计算机安全技术领域，更具体地，涉及一种基于双HASH验证的主机防御方法和系统。

背景技术

主机应用白名单技术是一种主机安全防御的常见技术，其对计算机实现更加精准和相对固化的安全防御效果。

现有的主机应用白名单技术实现主机防御的方案有三种：第一种是全文校验法，每当主机读取磁盘内可执行文件的分片时，对可执行文件进行白名单校验；第二种是分片校验法，其将可执行文件按系统固定大小的分片切割开来计算HASH值，并与预先分片计算存储好的HASH库进行白名单校验；第三种是签名校验法，其校验文件发布厂商的数字签名。

然而，上述三种现有的主机防御方法均存在一些不可忽略的缺陷：全文校验法在设备内存不足的情况下，分片在内存中切入切出，会频繁引起白名单校验，而白名单校验机制需要完整校验整个可执行文件，也就会造成重新读取整个文件并计算的动作，其结果是数倍地放大了磁盘读写操作，且消耗大量CPU在重复的计算上，严重拖慢了系统速度；分片校验法减少了全文校验法中白名单校验产生的过度的不必要的磁盘读写，同时减少不必要的大量重复的HASH值计算，从磁盘读写和CPU两个角度节约资源，同时提高进程加载速度和运行速度，但这种方案会使得预先存储的白名单库十分庞大，占用更大的磁盘空间，同时庞大的白名单增大了HASH冲突，从而降低了主机的防御效果；签名校验法非所有可执行文件都有厂商的数字签名，只有一些大的软件厂商对自己发布的文件进行了签名，且有些厂商只对特定时间后发布的新版本文件采用了数字签名技术，而对此前发布的合法文件无法追溯，这使得无法对主机的全部可执行文件进行白名单校验，据统计，即使把微软自带的文件计算在内，一台计算机上的有签名的文件通常也不超过20％。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种基于双HASH验证的主机防御方法和系统，其目的在于，解决现有全文校验的主机防御方法由于完整校验整个可执行文件导致的实时检测效率低、耗费大量CPU计算资源和影响系统运行性能的技术问题。以及现有分片校验的主机防御方法白名单过于庞大带来的HASH冲突过多的技术问题，以及现有签名校验的主机防御方法无法对无签名的可执行文件做白名单校验的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种基于双HASH验证的主机防御方法，包括如下步骤：

(1)获取主机中的可执行文件，对该可执行文件进行第一HASH计算，并判断哈希计算的结果是否存在于预先存储的第一白名单数据库中，如果是则加载该可执行文件，然后转入步骤(2)，否则阻止加载该可执行文件，然后过程结束。

(2)从主机的磁盘内读取该可执行文件的分片，对该分片所属的可执行文件进行第二HASH计算，并判断哈希计算的结果是否存在于预先存储的第二白名单数据库中，如果是则读取该分片上的数据，过程结束，否则阻止对该分片上数据的读取，过程结束。

优选地，可执行文件可以包括.EXE进程文件、.DLL模块文件、以及.SYS模块文件中的任意一种到三种。

优选地，第一白名单数据库的建立过程如下：遍历主机中的所有可执行文件，对每个可执行文件进行第一HASH计算，以得到每个可执行文件对应的第一计算结果，并将得到的所有可执行文件对应的第一计算结果存储在第一白名单数据库中；