[发明专利]一种基于白名单的系统防御方法、装置、介质及电子设备

权利要求书

1.一种基于白名单的系统防御方法，其特征在于，所述系统防御方法包括：

根据待处理文件的属性信息得到目标白名单策略文件，其中，所述目标白名单策略文件是多个白名单策略文件中的一个，所述多个白名单策略文件至少包括：系统白名单策略文件和容器白名单策略文件；

根据所述目标白名单策略文件确定所述待处理文件是否属于可加载或可执行文件。

2.如权利要求1所述的系统防御方法，其特征在于，所述属性信息采用所述待处理文件的命名空间进行表征。

3.如权利要求1所述的系统防御方法，其特征在于，所述根据待处理文件的属性信息得到目标白名单策略文件，包括：

获取所述待处理文件所在的命名空间；

根据所述命名空间从所述多个白名单策略文件中得到所述目标白名单策略文件。

4.如权利要求3所述的系统防御方法，其特征在于，所述待处理文件为脚本文件，其中，

在所述获取所述待处理文件所在的命名空间之前，所述根据待处理文件的属性信息得到目标白名单策略文件还包括：

注册一个脚本解释器钩子对脚本解释器进行劫持；

通过解析所述脚本解释器的参数获取所述脚本文件的脚本文件名；

根据所述脚本文件名得到与所述待处理文件对应的命名空间。

5.如权利要求1-4任一项所述的系统防御方法，其特征在于，

所述目标白名单策略文件至少用于存储安全应用的哈希值和所述安全应用的文件路径；

其中，

所述根据所述目标白名单策略文件确定所述待处理文件是否属于可加载或可执行文件，包括：

若根据所述待处理文件的文件路径确定所述目标白名单策略文件中存在所述待处理文件，则计算所述待处理文件的哈希值得到待匹配哈希值并根据所述待匹配哈希值确定所述待处理文件是否属于所述可执行或可加载文件；

若根据所述待处理文件的文件路径确定所述目标白名单策略文件中不存在所述待处理文件，则拒绝执行或加载所述待处理文件。

6.如权利要求5所述的系统防御方法，其特征在于，所述根据所述待匹配哈希值确定所述待处理文件是否属于所述可执行或可加载文件，包括：

从所述目标白名单策略文件中读取与所述待处理文件对应的存储哈希值；

比较所述待匹配哈希值与所述存储哈希值，若两者不一致则禁止执行或加载所述待处理文件，若两者一致则执行或者加载所述待处理文件。

7.如权利要求6所述的系统防御方法，其特征在于，在所述根据待处理文件的属性信息得到目标白名单策略文件之前，所述方法进一步包括：

扫描系统文件目录通过文件头方式筛选出目标文件集合，其中，所述目标文件集合中文件的种类包括：动态库文件、可执行二进制程序、内核模块和脚本文件；

根据所述目标文件集合得到多类白名单策略文件。

8.如权利要求7所述的系统防御方法，其特征在于，所述根据所述目标文件集合得到多类白名单策略文件，包括：

计算所述目标文件集合中各目标文件的哈希值，得到多个存储哈希值；

获取与所述目标文件集合中各目标文件对应的文件路径，得到多个文件路径；

将所述多个存储哈希值与所述多个文件路径统一作为所述白名单策略文件中的内容。

9.如权利要求8所述的系统防御方法，其特征在于，在所述将所述多个存储哈希值与所述多个文件路径统一作为所述白名单策略文件中的内容之后，所述方法还包括：对所述白名单策略文件进行签名。

10.如权利要求9所述的系统防御方法，其特征在于，所述系统文件目录包括通过解压镜像内文件得到的目标项。