[发明专利]基于软件服务器的进程白名单更新方法

说明书

本发明公开了基于软件服务器的进程白名单更新方法,本发明的基于软件服务器的进程白名单更新方案在企业部署环境中只需要更新软件服务器计算机上的进程白名单列表便能使全网相同操作系统的电脑都能共享这一更新的白名单，从而不需再对每台计算机进行重复操作：通过软件服务器来更新进程白名单；通过软件服务器来积累行业软件白名单库；本发明的优点是：1、只需在软件服务器端执行一次跟踪软件安装操作便能解决全网针对该软件的进程文件白名单更新问题；2、有益于积累全网软件的白名单库。

技术领域

本发明涉及基于软件服务器的进程白名单更新方法,属于计算机安全防护技术领域。

背景技术

目前，传统的针对终端计算机的安全防护普遍采用的安全防护手段是通过安装杀毒软件来阻止机器上的恶意软件运行和传播。但是杀毒软件是一种基于黑名单的查杀方式，黑名单是指“坏的”、“不被允许的”，即只有在恶意软件被加入黑名单时才会被阻止运行，黑名单之外的软件和行为被认为都是正常、可信的。防病毒软件主要基于一个持续积累的病毒库对恶意代码进行识别，其本质上存在两个严重缺陷：一方面，对新病毒的防御总是被动滞后的；另一方面，对于高级别的零日攻击无能为力。

针对黑名单安全防护技术的弱点，网络安全公司将应用程序白名单管理技术引入到网络安全防护。“白名单”是指规则中设置的允许使用的名单列表，其意义是“好的”、“被允许的”，“应用程序进程白名单”是一组应用程序名单列表，只有在此列表中的应用程序是被允许在系统中运行，之外的任何程序都不被允许运行。白名单技术主要是对程序文件的完整性进行验证，通常采用文件的哈希值作为比对标准。

进程白名单管理系统通常都是包含管理端与受控端两部分。由于这种基于进程白名单的主机防护模式完全采用文件哈希值对比的方式来对文件进行合法性校验，当白名单内的程序更新时或者新增应用程序时都会执行失败，因此白名单进程的更新是限制该技术发展的重大瓶颈。

现有的传统的白名单更新方法通常是基于单主机模式的，例如专利公开号为CN101788915A 的专利基于可信进程树的白名单更新方法提出一种基于可信进程树的白名单更新方法，当新的程序安装或原有程序更新时，通过可信进程树安全机制，实现对白名单的更新，该白名单更新方法，包含执行程序的启动，以及可执行程序对文件资源的访问操作的文件系统监控模块；用于根据进程间及进程对可执行程序的调用关系，构建合法可执行程序所形成的可信进程树的构建模块；将程序的判定结果通知调用接口的系统白名单安全控制机制的可信报告模块；提取可信进程树中的各个节点对应可执行程序的特征值，并将这些特征值更新至白名单的更新模块；通过对进程间创建及调用关系的分析，准确的定位非白名单程序中的新安装合法程序和系统中的非法程序，收集新安装程序的特征值。

但是，以上现有技术的缺点和缺陷是：只能针对单一计算机进行白名单更新操作，假若局域网中的多台电脑需要对同一软件进行更新或需要安装同一软件，则需要对每台电脑各执行一次跟踪更新操作，费时费力，成本较高。而且这种复杂的操作往往是终端用户所不能接受的。

发明内容

本发明的目的在于提供一种能够克服上述技术问题的基于软件服务器的进程白名单更新方法，本发明的基于软件服务器的进程白名单更新方案在企业部署环境中只需要更新软件服务器计算机上的进程白名单列表便能使全网相同操作系统的电脑都能共享这一更新的白名单，从而不需再对每台计算机进行重复操作。

本发明的基于软件服务器的进程白名单更新方法的特征是：通过软件服务器来更新进程白名单；通过软件服务器来积累行业软件白名单库。