[发明专利]一种进程管控的方法、装置及设备

说明书

本发明涉及了一种进程管控的方法、装置及设备，其中该方法包括：根据标准操作系统镜像文件的进程元素以及安全防护软件文件的进程元素生成内置清单库，并将内置清单库集成在客户端的安全防护软件中；搜集并根据所述客户端中的所有进程元素生成元素清单列表，并基于内置清单库为元素清单列表中的进程元素相应地标记来源参数；响应于客户端的进程调用进程元素，在元素清单列表中检查进程元素的来源参数以判断进程元素是否来自内置清单库；响应于进程元素的来源为内置清单库，执行进程元素，并为进程元素及执行过程中新生成的进程元素标记信任标识，且执行新生成的进程元素。本发明的实施例有效提高了安全防护软件的易用性，使进程管控更便捷、高效。

技术领域

本发明涉及计算机安全技术领域。本发明进一步涉及一种进程管控的方法、装置及设备。

背景技术

随着计算机应用的普及，对计算机安全的关注也提高了。目前已有的安全防护软件等都有对操作系统中的应用程序和驱动进行管理和控制的方法。

安全防护软件安装到目标客户端的操作系统上后，会对目标客户端上已有的程序和驱动进行全量搜集。由于不清楚程序的信任级别，在搜集完成后，所有的程序和驱动都默认为灰名单级别，允许运行并记录安全日志。由于操作系统是正常运行的，安全防护软件上会不停的产生安全日志。而为了解决这个问题，可以将全部的程序和驱动设置为白名单，这样又可能将真正的病毒设置为了白名单，失去了对系统保护的初衷。

针对上述情况，现有的解决方案有两点：

1、离线采集程序和驱动清单：软件本身提供离线采集工具，客户可以根据需要，在确认没有病毒的操作系统上执行离线清单采集。将该操作系统的全部或指定目录下的应用程序和驱动采集并生成清单文件。在安全防护软件的管理平台上将离线采集的清单上传，并将清单中的应用程序和驱动更新为白名单。

2、分操作系统采集应用程序：内置应用程序的清单。服务端软件搜集从操作系统官网下载的OS安装镜像，从中获取操作系统自带程序的Hash值，生成清单库。将清单库内置到安全防护软件的管理平台的清单库中。

对于第一个解决方案，需要客户端自己采集程序清单并导入，操作繁琐。因为Linux系统和Windows系统要执行指令不一致，且离线采集工具本身不是白名单程序，离线采集工具安装过程产生的临时程序和驱动等都不是白名单，需要先手动设置这些程序及驱动为白名单，再执行离线采集。由于每个涉及到的操作系统都需要采集一份清单，给客户使用造成了极大的不方便。

对于第二个解决方案，已经大大提升了用户体验。但是还存在着以下缺点：

1、缺少对驱动的采集；

2、仅将应用程序设置为了白名单，没有设置信任链。即内置白名单程序运行产生的程序及驱动依旧识别为未知，所以内置白名单的安装程序依旧无法正常运行；

3、未将安全防护软件自身携带的小工具设置为内置白名单。

因此，针对上述问题，需要提出一种对服务器进程的执行过程进行管控的方案，解决服务器安全管理中缺失对驱动、信任链、安全防护软件自身携带的小工具等的管控的缺点，提高服务器的安全性和管理效率。

发明内容

一方面，本发明基于上述目的提出了一种进程管控的方法，其中该方法包括以下步骤：

根据标准操作系统镜像文件的进程元素以及安全防护软件文件的进程元素生成内置清单库，并将内置清单库集成在客户端的安全防护软件中；

搜集并根据所述客户端中的所有进程元素生成元素清单列表，并基于内置清单库为元素清单列表中的进程元素相应地标记来源参数；

响应于客户端的进程调用进程元素，在元素清单列表中检查进程元素的来源参数以判断进程元素是否来自内置清单库；