[发明专利]一种基于白名单的系统防御方法、装置、介质及电子设备

说明书

本申请实施例提供一种基于白名单的系统防御方法、装置、介质及电子设备，所述系统防御方法包括：根据待处理文件的属性信息得到目标白名单策略文件，其中，所述目标白名单策略文件是多个白名单策略文件中的一个，所述多个白名单策略文件至少包括：系统白名单策略文件和容器白名单策略文件；根据所述目标白名单策略文件确定所述待处理文件是否属于可加载或可执行文件。本申请的实施例的白名单策略文件中存储了哈希值和文件路径，执行或加载文件时可通过文件路径快速定位到对应的文件并对其哈希值进行对比，提升处理速度，本申请的实施例兼容内核模块文件、脚本文件以及未直接存放于系统中的文件(例如docker镜像文件)。

技术领域

本申请涉及系统安全领域，具体而言本申请实施例涉及一种基于白名单的系统防御方法、装置、介质及电子设备。

背景技术

随着计算机技术的飞速发展，各类应用层出不穷并涉及到方方面面，因此计算机信息安全愈发受到重视。计算机系统安全防御方法有很多种，其中应用白名单技术是最为普遍的技术之一。

相关技术披露的基于白名单的系统防御方法还存在如下缺陷：捕获动态库文件和可执行程序时对prelink机制依赖性强；通过运行或加载动态库文件和可执行程序来计算当前哈希值造成效率低；仅根据当前哈希值与原始哈希值对比结果允许或拒绝执行、加载造成兼容性差，无法兼容内核模块文件、脚本文件，同时也不兼容隔离文件系统中文件(如：docker容器)。

因此如何提升相关技术的系统防御方法成了亟待解决的技术问题。

发明内容

本申请实施例的目的在于提供一种基于白名单的系统防御方法、装置、介质及电子设备，本申请的实施例的白名单策略文件中存储了哈希值和文件路径，执行或加载文件时可通过文件路径快速定位到对应的文件并对其哈希值进行对比，提升处理速度，本申请的实施例兼容内核模块文件、脚本文件以及未直接存放于系统中的文件(例如docker镜像文件)。

第一方面，本申请实施例提供一种基于白名单的系统防御方法，所述系统防御方法包括：根据待处理文件的属性信息得到目标白名单策略文件，其中，所述目标白名单策略文件是多个白名单策略文件中的一个，所述多个白名单策略文件至少包括：系统白名单策略文件和容器白名单策略文件；根据所述目标白名单策略文件确定所述待处理文件是否属于可加载或可执行文件。

本申请的一些实施例设置多类白名单策略文件，通过待处理文件的属性为其匹配对应的白名单策略文件，可以提升技术方案的通用性。

在一些实施例中，所述属性信息采用所述待处理文件的命名空间进行表征。

本申请的一些实施例采用待处理文件的命名空间来为待处理文件选择对应的白名单策略文件，提升从多个白名单策略文件中选取目标白名单策略文件的速度。

在一些实施例中，所述根据待处理文件的属性信息得到目标白名单策略文件，包括：获取所述待处理文件所在的命名空间；根据所述命名空间从所述多个白名单策略文件中得到所述目标白名单策略文件。

本申请的一些实施例需要首先获取待处理文件的命名空间，之后在根据命名空间得到目标白名单策略文件。

在一些实施例中，所述待处理文件为脚本文件，其中，在所述获取所述待处理文件所在的命名空间之前，所述根据待处理文件的属性信息得到目标白名单策略文件还包括：注册一个脚本解释器钩子对脚本解释器进行劫持；通过解析所述脚本解释器的参数获取所述脚本文件的脚本文件名；根据所述脚本文件名得到与所述待处理文件对应的命名空间。

本申请的一些实施例还可以对脚本文件进行安全防御，提升技术方案的通用性。