[发明专利]一种基于白名单的云主机主动防御实现方法

摘要

本发明公开了一种基于白名单的云主机主动防御实现方法，包括服务端的集中管理平台和客户端，且该客户端安装在每台需要保护的云主机上，其具体实现过程为首先通过服务端软件对受保护的云主机上的所有二进制文件进行扫描；云端安全中心鉴别出上述扫描文件的信任等级，并将该划分等级的文件清单库分别加入白名单库、黑名单库和灰名单库；在客户端只有受信任的白名单中的应用程序允许运行，防止动态链接库文件在内核中的加载。该一种基于白名单的云主机主动防御实现方法与现有技术相比，可完全防范潜在有害应用程序和代码，阻止高级威胁且无需特征码更新，能够一致地启用已知良好软件，阻止已知或未知的不良软件，正确管理新的软件，有效的防止未知恶意软件和零日攻击。

主权项

一种基于白名单的云主机主动防御实现方法，其特征在于，包括服务端的集中管理平台和客户端，且该客户端安装在每台需要保护的云主机上；所述客户端设置有以下模块：内核底层驱动模块，负责对文件加载进行实时监控以及自我保护；基本功能服务模块，负责提供基础功能的接口，该基础功能包括加载驱动程序、响应驱动对上层的通知、加载和下发策略、威胁日志上传；网络通讯模块，负责集中管理平台通信，默认固定时间周期主动和集中管理平台进行一次通信；其中，内核底层驱动模块包括以下模块：进程控制模块，控制可执行文件的执行：首先底层获得进程信息，传递给应用层；然后应用层通过查询下发的策略，即默认的白名单策略，获取进程是否允许加载的信息；最后将该信息通过应用层和驱动层接口传到内核，内核根据命令决定是否允许该进程执行，防止进程被篡改、劫持和注入；防止DLL注入模块，拦截系统DLL加载的信息和注入的信息，根据应用层的指令，控制其运行；进程自我保护模块，通过应用层和驱动层的接口，内核模块获得保护的进程信息后，通过任务管理器、句柄表来隐藏进程的方法，从而保护自己进程不会被非法结束；文件读写保护模块，通过读写保护来阻止包括云主机上配置、注册表、日志文件的关键文件的未授权的变化；所述集中管理平台用来集中管理客户端程序，该集中管理平台的功能模块如下：用户管理模块，包括以下三种：安全管理，进行配置策略、查看违规日志、设置软件安全参数操作；审计管理，查看安全管理的操作日志、查看和管理违规日志；系统管理，对平台进行操作；清单管理模块，包括受保护的云主机上的可执行二进制文件的信息，通过对受保护的云主机进行扫描来搜集应用程序清单，记录文件的信息，形成文件指纹；策略管理模块，授权程序或文件覆盖白名单保护机制的规则组的集合，策略是由规则组组成；资产管理模块，对保护的云主机进行管理和分组；日志报表管理模块，包括集中管理平台的操作日志和云主机上的威胁日志，按不同的时间粒度以图表的形式显展现云主机的攻击情况；所述策略管理模块对应用程序清单中的二进制文件制定规则组：允许或禁止其运行，这种自定义的规则组覆盖系统默认的执行权限；所述规则根据更新程序、受信任用户、受信任目录制定，其中：更新程序是指通过配置规则授权云主机中的组件允许更新系统，即允许的安装新软件和更新现有软件组件一个保护系统；受信任用户指当一个用户设置为受信任的用户，则允许该用户安装或更新任何软件；受信任目录指添加规则设置受信任的目录，在受信任目录中运行任何软件；其具体实现过程为：步骤一、首先通过服务端软件对受保护的云主机上的所有二进制文件进行扫描；步骤二、云端安全中心鉴别出上述扫描文件的信任等级，并将划分信任等级的文件清单库分别加入白名单库、黑名单库和灰名单库，其中白名单包含已知的受信任应用程序；黑名单包括已知的恶意的应用程序；灰名单包含所有未知应用程序，通过安全引擎无法判断其信任等级；步骤三、在客户端只有受信任的白名单中的应用程序允许运行，防止动态链接库文件在内核中的加载。