[发明专利]基于可信进程树的白名单更新方法无效
| 申请号: | 201010108793.0 | 申请日: | 2010-02-05 |
| 公开(公告)号: | CN101788915A | 公开(公告)日: | 2010-07-28 |
| 发明(设计)人: | 赵勇;李瑜;韩培胜 | 申请(专利权)人: | 北京工业大学 |
| 主分类号: | G06F9/445 | 分类号: | G06F9/445;G06F21/00 |
| 代理公司: | 北京思海天达知识产权代理有限公司 11203 | 代理人: | 楼艮基 |
| 地址: | 10012*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于可信进程树的白名单更新方法,包含监控模块、可信进程树的构建模块、可信报告模块、白名单更新模块;通过对程序间创建及调用关系的分析,准确的定位非白名单程序中的新安装合法程序和系统中的非法程序,收集到新安装程序的特征值,鉴别非法程序的特征值,使其无法加入白名单中;当新的程序安装或原有程序更新时,通过本发明中可信进程树等安全机制,安全顺利实现对白名单的更新。保证在安装及更新过程中,将特征值都不在白名单的新安装程序和计算机病毒区分开来,既能全部收集到新安装或更新的可执行程序的特征值,又保证在此过程中不会将病毒等不相关的程序的特征值误引入白名单中。 | ||
| 搜索关键词: | 基于 可信 进程 名单 更新 方法 | ||
【主权项】:
一种基于可信进程树的白名单更新方法,包含执行程序的启动,以及可执行程序对文件资源的访问操作的文件系统监控模块;用于根据进程间及进程对可执行程序的调用关系,构建合法可执行程序所形成的可信进程树的构建模块;将程序的判定结果通知调用接口的系统白名单安全控制机制的可信报告模块;提取可信进程树中的各个结点对应可执行程序的特征值,并将这些特征值更新至白名单的更新模块;其特征在于:通过对程序间创建及调用关系的分析,准确的定位非白名单程序中的新安装合法程序和系统中的非法程序,收集到新安装程序的特征值,鉴别非法程序的特征值,使其无法加入白名单中;包括下述步骤:(1)监控并记录系统中可执行程序的启动,以及可执行程序对文件资源的写访问操作;(2)在内存中构造可信进程树数据结构,将安装、升级过程中新引入计算机系统的可执行程序加入到可信进程树中,其中包括其全路径名、特征值、父进程在树中的广度遍历序号;并将这些信息写入文件中;(3)将判定结果通知系统的白名单控制机制;对于特征值不在白名单中的程序,若在可信进程树中,同样允许启动;(4)收集可信进程树中的可执行程序信息,更新系统白名单。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京工业大学,未经北京工业大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201010108793.0/,转载请声明来源钻瓜专利网。
- 上一篇:一种存储器数据保护的方法
- 下一篇:散热装置
