[发明专利]基于可信进程树的白名单更新方法

权利要求书

1.一种基于可信进程树的白名单更新方法，包含执行程序的启动，以及可执行程序对文件资源的访问操作的文件系统监控模块；用于根据进程间及进程对可执行程序的调用关系，构建合法可执行程序所形成的可信进程树的构建模块；将程序的判定结果通知调用接口的系统白名单安全控制机制的可信报告模块；提取可信进程树中的各个结点对应可执行程序的特征值，并将这些特征值更新至白名单的更新模块；其特征在于：通过对程序间创建及调用关系的分析，准确的定位非白名单程序中的新安装合法程序和系统中的非法程序，收集到新安装程序的特征值，鉴别非法程序的特征值，使其无法加入白名单中；包括下述步骤：

(1)监控并记录系统中可执行程序的启动，以及可执行程序对文件资源的写访问操作；

(2)在内存中构造可信进程树数据结构，将安装、升级过程中新引入计算机系统的可执行程序加入到可信进程树中，其中包括其全路径名、特征值、父进程在树中的广度遍历序号；并将这些信息写入文件中；

(3)将判定结果通知系统的白名单控制机制；对于特征值不在白名单中的程序，若在可信进程树中，同样允许启动；

(4)收集可信进程树中的可执行程序信息，更新系统白名单。

2.根据权利要求1所述的基于可信进程树的白名单更新方法，其特征在于：所述的可信进程树的模型，其中：

(1)树的根是安装包及升级包程序，或者是其中的一个升级进程；

(2)树中任意结点用三元组表示，Path为可执行程序的全路径名，H为该程序的特征值，Parent为该程序的父结点在树中按广度遍历的序号；

(3)树中任意结点与其子女的关系是以下两种中的任一种：父结点对应的程序对子女有写操作，父结点对应的程序有改名操作，父结点启动或调用了子女结点对应的可执行程序。

3.根据权利要求2所述的基于可信进程树的白名单更新方法，其特征在于：其中所述的写操作包括：创建、写、添加写、改名。