[发明专利]基于黑白名单的安全防护控制方法

说明书

本发明涉及计算机技术领域，尤其涉及基于黑白名单的安全防护控制方法，其特征在于通过查询黑白名单中是否包括待测试关键字，通过关键字哈希值比对后再查询黑白名单，然后检测服务器黑白名单是否发生变化；当服务器黑白名单发生变化时，判断是否需要指示终端删除终端侧黑白名单，最后文件系统过滤驱动模块查询配置信息中的黑白名单进程列表，文件系统过滤驱动模块监控到计算机终端用户对应用程序执行改名操作时，查询所述配置信息中的黑白名单进程列表。该方法能快速、有效的通过黑白名单管理进程列表。

技术领域

本发明涉及计算机技术领域，尤其涉及基于黑白名单的安全防护控制方法。

背景技术

终端中通常存在大量的文件，终端本地保存有这些文件黑白属性的名单(通常黑属性文件属于恶意文件，白属性文件属于安全文件)。软件黑、白、红名单控制技术是一种有效的行为控制和安全防护的措施，管理员通过配置软件黑白名单可以限制计算机终端只能运行某些软件、不能运行某些软件或者在一段时间范围内必须运行某些软件，从而防止计算机终端运行某些危害系统安全性的软件或在指定时间内禁止运行的软件。在实际应用中，管理员一般会更新服务器中的黑白名单，以便各个终端能够从服务端获取更新的黑白名单。

公开号为CN102646173A的发明专利公开了一种基于黑白名单的安全防护控制方法及系统，在终端启动应用程序时过滤驱动模块查询配置信息中的黑白名单进程列表，并根据相应查询结果控制禁止/允许进程启动；过滤驱动模块监控到计算机终端用户对应用程序执行改名操作时，查询所述配置信息中的黑白名单进程列表，如被执行改名的应用程序进程存在于所述黑白名单进程列表中，则禁止改名或同步将更改后的应用程序名称更新到进程列表中的对应列。该方法的缺陷在于当服务器的黑白名单发生变动时，服务端会向终端下发黑白属性发生变化的文件的文件标识，以便对终端侧本地的黑白名单进行更新。当黑白属性变化的文件较多时，服务器下发的文件标识的数据量较大，当局域网内有终端数量较多时，会对网络带宽造成瞬时的严重挤占，导致网络运行不畅，严重时甚至会影响终端的正常工作。

发明内容

针对现有的基于黑白名单的安全防护控制方法对于局域网内有终端数量较多的环境下容易挤占带宽的问题，本发明提出一种基于黑白名单的安全防护控制方法。

本发明的基于黑白名单的安全防护控制方法，其特征在于：终端用户的登录信息通过服务器认证后，查询黑白名单中是否包括待测试关键字的查询单元，还包括：数组创建单元，用于将黑白名单中的所有关键字分别作运算后根据运算值生成数组；数组存储单元，用于存储所述数组创建单元创建的数组；匹配单元，用于将待测试关键字作运算后将所述待测试关键字的运算值与所述数组存储单元中的数组进行比对，并在待测试关键字的运算值与所述数组匹配时，使查询单元查询黑白名单中是否存在待测试关键字；其中所述数组创建单元进一步包括：数组生成单元，用于生成数组，所述生成的数组的每一位都为0；第一运算单元，用于依次将黑白名单中的每一关键字作运算；第一拆分单元，用于将所述运算所得运算值的多个字节拆分为多组数值；数组维护单元，用于将所述数组中与所述第一拆分单元拆分获得的多组数值对应的位分别设置为1；所述匹配单元进一步包括：第二运算单元，用于将待测试关键字作运算；第二拆分单元，用于将待测试关键字运算值的多个字节拆分为多组数值；比较单元，分别查询并判断所述数组中与拆分待测试关键字的运算值获得的多组数值对应的位是否为1，若所述数组中所有对应的位都为1，则确定待测试关键字的运算值与所述数组匹配，使查询单元查询黑白名单中是否存在待测试关键字；所述系统还包括关键字拆分单元，用于在所述比较单元判断数组中对应的 位中包括0且待测试关键字可拆分时，或者在查询单元确认所述待测试关键字 不存在于黑白名单中且待测试关键字可拆分时，拆分所述待测试关键字，并使 所述匹配单元将拆分后的待测试关键字的运算值进行拆分并与数组进行匹配， 所述黑白名单中的关键字及待测试关键字为URL、域名或通配符替换后的域名，服务器向计算机终端下发包含黑白名单进程列表的配置信息，检测检测服务器黑白名单是否发生变化；