发明名称 |
基于可信进程树的白名单更新方法 |
摘要 |
本发明公开了一种基于可信进程树的白名单更新方法,包含监控模块、可信进程树的构建模块、可信报告模块、白名单更新模块;通过对程序间创建及调用关系的分析,准确的定位非白名单程序中的新安装合法程序和系统中的非法程序,收集到新安装程序的特征值,鉴别非法程序的特征值,使其无法加入白名单中;当新的程序安装或原有程序更新时,通过本发明中可信进程树等安全机制,安全顺利实现对白名单的更新。保证在安装及更新过程中,将特征值都不在白名单的新安装程序和计算机病毒区分开来,既能全部收集到新安装或更新的可执行程序的特征值,又保证在此过程中不会将病毒等不相关的程序的特征值误引入白名单中。 |
申请公布号 |
CN101788915A |
申请公布日期 |
2010.07.28 |
申请号 |
CN201010108793.0 |
申请日期 |
2010.02.05 |
申请人 |
北京工业大学 |
发明人 |
赵勇;李瑜;韩培胜 |
分类号 |
G06F9/445(2006.01)I;G06F21/00(2006.01)I |
主分类号 |
G06F9/445(2006.01)I |
代理机构 |
北京思海天达知识产权代理有限公司 11203 |
代理人 |
楼艮基 |
主权项 |
一种基于可信进程树的白名单更新方法,包含执行程序的启动,以及可执行程序对文件资源的访问操作的文件系统监控模块;用于根据进程间及进程对可执行程序的调用关系,构建合法可执行程序所形成的可信进程树的构建模块;将程序的判定结果通知调用接口的系统白名单安全控制机制的可信报告模块;提取可信进程树中的各个结点对应可执行程序的特征值,并将这些特征值更新至白名单的更新模块;其特征在于:通过对程序间创建及调用关系的分析,准确的定位非白名单程序中的新安装合法程序和系统中的非法程序,收集到新安装程序的特征值,鉴别非法程序的特征值,使其无法加入白名单中;包括下述步骤:(1)监控并记录系统中可执行程序的启动,以及可执行程序对文件资源的写访问操作;(2)在内存中构造可信进程树数据结构,将安装、升级过程中新引入计算机系统的可执行程序加入到可信进程树中,其中包括其全路径名、特征值、父进程在树中的广度遍历序号;并将这些信息写入文件中;(3)将判定结果通知系统的白名单控制机制;对于特征值不在白名单中的程序,若在可信进程树中,同样允许启动;(4)收集可信进程树中的可执行程序信息,更新系统白名单。 |
地址 |
100124 北京市平乐园100号 |