本发明专利技术提供一种基于黑白名单的安全防护控制方法,包括:计算机终端用户启动应用程序时,安全防护客户端软件的文件系统过滤驱动模块查询配置信息中的黑白名单进程列表,并根据相应查询结果控制禁止/允许进程启动;所述文件系统过滤驱动模块监控到计算机终端用户对应用程序执行改名操作时,查询所述配置信息中的黑白名单进程列表,如被执行改名的应用程序进程存在于所述黑白名单进程列表中,则禁止改名或同步将更改后的应用程序名称更新到进程列表中的对应列。本发明专利技术实时监控计算机终端用户对应用程序的启动或者改名操作,并且防止了通过更改程序名称,更改程序版本,更改程序路径的方式绕过监控,真正完成了黑、白、红名单的目的。
【技术实现步骤摘要】
本专利技术涉及计算机
,尤其涉及基于黑白名单的安全防护控制方法及系统。
技术介绍
计算机软件给我们的工作 和生活带来了极大的便利,我们可以基于先进的电子流完成以前复杂的工作流程,我们可以在家里通过互联网足不出户的与远方的朋友聊天、上网炒股、看电影等。但是,在带来便利的同时,也带来了烦恼,一切都变得如此便利,那么在工作场所接入互联网之后,如何能保障员工的工作效率呢?如何能保障日益紧缺的网络资源都能被重要的工作数据使用呢?如何能保障在接入互联网之后企业、单位的重要信息不被泄露呢?这些都困扰企业用户的管理者。同时,一些病毒、木马也是通过运行某些指定的进程或程序来实现对计算机终端主机的控制,如何帮助计算机终端将这些进程中止掉,将程序删除掉,也是网络管理需要做的事情。软件黑、白、红名单控制技术是一种有效的行为控制和安全防护的措施,管理员通过配置软件黑白红名单可以限制计算机终端只能运行某些软件、不能运行某些软件或者在一段时间范围内必须运行某些软件,从而防止计算机终端运行某些危害系统安全性的软件或在指定时间内禁止运行的软件。通常把禁止使用的软件列入黑名单,把允许使用的软件列入白名单,把必须运行的软件列入红名单。举例来说,为提升工作效率、防止信息泄露、保障网络性能,在公司禁止使用炒股软件、聊天软件和P2P下载软件,从而将该类软件列入黑名单;而为了做好公司的资产管理和监控,必须安装资产管理软件的客户端,故将该软件列入红名单等等。传统的黑白红名单控制的实现技术普遍有以下两类缺点第一类是实现有漏洞,例如修改程序名称、更改安装路径、使用不同版本等可以让黑名单的控制失效;第二类是策略配置麻烦,例如需要控制的程序多、程序版本多、安装路径不确定等,使得黑白名单这个功能有等于无。所以,有必要提出一种新的基于黑白名单的计算机终端的安全防护控制技术。
技术实现思路
有鉴于此,本专利技术实施例提供了一种基于黑白名单的安全防护控制方法,可不受更改进程名、安装路径、版本的影响完成对指定程序的控制。本专利技术实施例还提供了一种基于黑白名单的安全防护控制系统,可不受更改进程名、安装路径、版本的影响完成对指定程序的控制。为解决上述技术问题,本专利技术的技术方案是这样实现的一种基于黑白名单的安全防护控制方法,包括A.计算机终端用户登录安全防护客户端软件,登录信息通过服务器认证后,服务器向计算机终端下发包含黑白名单进程列表的配置信息;B.计算机终端用户启动应用程序时,安全防护客户端软件的文件系统过滤驱动模块查询所述配置信息中的黑白名单进程列表,并根据相应查询结果控制禁止/允许进程启动;C.所述文件系统过滤驱动模块监控到计算机终端用户对应用程序执行改名操作时,查询所述配置信息中的黑白名单进程列表,如被执行改名的应用程序进程存在于所述黑白名单进程列表中,则禁止改名或同步将更改后的应用程序名称更新到进程列表中的对应列。优选地,所述步骤A还包括安全防护客户端软件在接收到用户成功登录的消息并获取配置信息后,将所述配置信息中的黑白名单进程列表重新组装为驱动可识别的数据格式,并发送到文件系统过滤驱动模块,文件系统过滤驱动模块缓存该组装后的黑白名单 进程列表。优选地,所述步骤B具体包括BI、文件系统过滤驱动模块拦截系统中所有应用程序启动时的I/O请求包;B2、检查所述I/O请求包中是否包含待启动的应用程序进程,若是,则查询所述应用程序进程是否在所述黑白名单进程列表中,若判断位于黑名单,则控制该应用程序禁止启动,否则允许启动。优选地,所述步骤C具体包括Cl、计算机终端用户对应用程序执行改名操作时,操作系统发送I/O请求包到其文件系统驱动;C2、安全防护客户端的文件系统过滤驱动模块拦截操作系统发送的所述I/O请求包,依据所述I/o请求包的内容,查询被执行改名的应用程序是否在黑白名单进程列表,并控制执行相应操作。具体的,所述步骤C2中,查询被执行改名的应用程序是否在黑白名单进程列表,并控制执行相应操作的方法为如果在黑白名单进程列表中找到所述应用程序对应的进程,则阻止所述I/O请求包下发到操作系统的文件系统驱动;或者同步将更改后的应用程序名称更新到进程列表中的对应列。一种基于黑白名单的安全防护控制系统,包括运行在计算机终端的安全防护客户端软件和服务器;所述服务器用于对登录安全防护客户端软件的用户进行认证,并向计算机终端下发包含黑白名单进程列表的配置信息;所述安全防护客户端软件包括用户登录认证模块,用于提供计算机终端用户的登录界面,并向服务器发起登录认证,接收登录认证结果信息;黑白名单配置保存模块,用于接收并缓存服务器下发的包含黑白名单进程列表的配置信息;文件系统过滤驱动模块,用于监控计算机终端用户对应用程序的启动,查询黑白名单配置保存模块中的黑白名单进程列表,并根据相应查询结果控制禁止/允许进程启动;还用于监控计算机终端用户对应用程序执行的改名操作,查询所述黑白名单进程列表,并根据相应查询结果控制禁止/允许进程启动。优选地,所述文件系统过滤驱动模块用于拦截系统中所有应用程序启动时的I/O请求包,检查所述I/O请求包中是否包含待启动的应用程序进程,若是,则查询所述应用程序进程是否在所述黑白名单进程列表中,若判断位于黑名单,则控制该应用程序禁止启动,否则允许启动。优选地,所述文件系统过滤驱动模块还用于当于计算机终端用户对应用程序执行改名操作时,拦截操作系统发送的所述I/o请求包,依据所述I/O请求包的内容,查询被执行改名的应用程序是否在黑白名单进程列表,并控制执行相应操作。综上所述,本专利技术实施例所提供的基于黑白名单的安全防护控制方法和系统,实时监控计算机终端用户对应用程序的启动或者改名操作,并且防止了通过更改程序名称,更改程序版本,更改程序路径的方式绕过监控,真正完成了黑、白、红名单的目的。 附图说明图I为本专利技术实施例基于黑白名单的安全防护控制方法流程图;图2为本专利技术实施例基于黑白名单的安全防护控制系统结构框图。具体实施例方式为使本专利技术的目的、技术方案及优点更加清楚明白,以下参照附图并结合实施例,对本专利技术所述方案作进一步地详细说明。参见图1,为本专利技术实施例基于黑白名单的安全防护控制方法流程图。,所述的安全防护控制方法包括如下步骤步骤101,计算机终端用户登录安全防护客户端软件,登录信息通过服务器认证后,服务器向计算机终端下发包含黑白名单进程列表的配置信息。本步骤中,计算机终端用户登录安全防护客户端软件,通过输入例如用户名/密码或指纹或使用USB钥匙等登录凭证申请认证,所述登录凭证可以通过TLS或SSL TCP安全送达到服务器,服务器本地成功认证登录凭证后,将通过同一个安全隧道连接下发包含黑白名单进程列表的配置信息。本步骤中,安全防护客户端软件在接收到用户成功登录的消息并获取配置信息后,将所述配置信息中的黑白名单进程列表重新组装为驱动可识别的数据格式,并发送到文件系统过滤驱动模块,文件系统过滤驱动模块缓存该组装后的黑白名单进程列表。步骤102,计算机终端用户启动应用程序时,安全防护客户端软件的文件系统过滤驱动模块查询所述配置信息中的黑白名单进程列表,并根据相应查询结果控制禁止/允许进程启动。本步骤中,文件系统过滤驱动模块拦截操作系统中所有的I/O请求包(IRP),检查所述I/O请本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于黑白名单的安全防护控制方法,其特征在于,包括 A.计算机终端用户登录安全防护客户端软件,登录信息通过服务器认证后,服务器向计算机终端下发包含黑白名单进程列表的配置信息; B.计算机终端用户启动应用程序时,安全防护客户端软件的文件系统过滤驱动模块查询所述黑白名单进程列表,并根据相应查询结果控制禁止/允许进程启动; C.所述文件系统过滤驱动模块监控到计算机终端用户对应用程序执行改名操作时, 查询所述黑白名单进程列表,如被执行改名的应用程序进程存在于所述黑白名单进程列表中,则禁止改名或同步将更改后的应用程序名称更新到黑白名单进程列表中的对应列。2.如权利要求I所述的方法,其特征在于,所述步骤A还包括安全防护客户端软件在接收到用户成功登录的消息并获取配置信息后,将所述配置信息中的黑白名单进程列表重新组装为驱动可识别的数据格式,并发送到文件系统过滤驱动模块,文件系统过滤驱动模块缓存该组装后的黑白名单进程列表。3.如权利要求I所述的方法,其特征在于,所述步骤B具体包括 BI、文件系统过滤驱动模块拦截系统中所有应用程序启动时的I/O请求包; B2、检查所述I/O请求包中是否包含待启动的应用程序进程,若是,则查询所述应用程序进程是否在所述黑白名单进程列表中,若判断位于黑名单,则控制该应用程序禁止启动,否则允许启动。4.如权利要求I所述的方法,其特征在于,所述步骤C具体包括 Cl、计算机终端用户对应用程序执行改名操作时,操作系统发送I/O请求包到其文件系统驱动; C2、安全防护客户端的文件系统过滤驱动模块拦截操作系统发送的所述I/O请求包,依据所述I/O请求包的内容,查询被执行改名的应用程序是否在黑白名单进程列表中,并控制执行相应操作。5.如权利要求4所述的方法,其特征在于,所述步骤C2中,查询被执行改名的应用程序是否在黑白名单进程列表,并控制执行相应操作的方法为 如果在黑白名单进程列表中找到所述应用程序对应的进程,则阻止所述I/O请求包下发到操作系统的文件系统驱动;或者...
【专利技术属性】
技术研发人员:何剑波,韩昆,吴小文,宁忠亮,
申请(专利权)人:成都新云软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。