技術(shù)領(lǐng)域

本發(fā)明基于可信進(jìn)程樹(shù)的白名單更新方法，涉及對(duì)采用白名單機(jī)制的病毒防御機(jī)制的系統(tǒng)進(jìn)行程序安裝及更新的方法。該方法能實(shí)現(xiàn)對(duì)白名單的安全更新，依據(jù)進(jìn)程間的創(chuàng)建及調(diào)用關(guān)系，既將合法安裝程序的特征值加入到白名單，同時(shí)又不會(huì)誤引入病毒的特征碼，屬于信息安全領(lǐng)域。

背景技術(shù)

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，計(jì)算機(jī)病毒不僅在數(shù)量上不斷上升，而且朝著多樣化、復(fù)雜化的方向發(fā)展，而現(xiàn)有的主要的病毒防御手段便是殺毒軟件。殺毒軟件以特征值掃描法作為理論基礎(chǔ)，其核心是從現(xiàn)有的病毒樣本中提取特征值構(gòu)成龐大的病毒特征庫(kù)，然后以用戶計(jì)算機(jī)中的可執(zhí)行程序或文件等作為目標(biāo)，逐一與病毒特征庫(kù)中的惡意特征值進(jìn)行比對(duì)，最后根據(jù)比對(duì)結(jié)果判斷目標(biāo)程序或文件是否被病毒感染。但該技術(shù)的重大缺陷是殺毒軟件廠商只有發(fā)現(xiàn)并捕獲到新病毒后，才會(huì)從計(jì)算機(jī)病毒中提取出其特征值，也就是說(shuō)病毒庫(kù)的更新永遠(yuǎn)滯后于病毒的出現(xiàn)。

面對(duì)千變?nèi)f化的計(jì)算機(jī)病毒，基于主動(dòng)防御的白名單技術(shù)越來(lái)越成為關(guān)注的焦點(diǎn)。白名單技術(shù)，通過(guò)為系統(tǒng)制定合法的允許執(zhí)行的程序的特征值“白名單”，對(duì)未知病毒能夠起到防御作用。它是殺毒軟件“黑名單”的反邏輯，不是掃描程序中是否含有病毒特征碼，而是查看該程序的特征值是否與系統(tǒng)允許執(zhí)行的白名單相符合。如果是，則允許執(zhí)行；否則，拒絕執(zhí)行。這種白名單技術(shù)的特征值主要檢查程序是否是已知合法程序，且程序是否被病毒感染，因此主要是對(duì)程序的完整性進(jìn)行驗(yàn)證。提供完整性特征校驗(yàn)值的方法有很多，目前較為流行的是計(jì)算整個(gè)程序的摘要值，如用SHA1或MD5算法計(jì)算整個(gè)可執(zhí)行文件的哈希值等等。

這種基于白名單的較為嚴(yán)格的控制方式，雖然能夠較好的防御病毒、木馬，但是對(duì)白名單的更新卻是一大難題。因?yàn)橥鈦?lái)的合法程序與計(jì)算機(jī)病毒一樣，其特征值都不在白名單中。而程序安裝或升級(jí)過(guò)程中，如果繼續(xù)按照原先的白名單進(jìn)行控制，則由于新安裝或更新程序的特征值由于不在白名單中，會(huì)導(dǎo)致安裝或更新失敗；如果不對(duì)系統(tǒng)中的可執(zhí)行程序進(jìn)行控制，則系統(tǒng)中的非法病毒、木馬等惡意程序可能會(huì)啟動(dòng)，或者對(duì)系統(tǒng)造成破壞，使這些被破壞的程序永遠(yuǎn)不能啟動(dòng)，或者會(huì)感染新安裝或更新的可執(zhí)行程序，使系統(tǒng)收集到包含惡意的可執(zhí)行程序的特征值更新至白名單中。因此，如何對(duì)采用白名單機(jī)制的計(jì)算機(jī)防御系統(tǒng)的白名單進(jìn)行安全更新，既將新安裝或更新的程序的特征值更新至白名單，又不會(huì)勿將病毒等惡意代碼的特征值引入，便成為一大難題。

發(fā)明內(nèi)容

本發(fā)明的目的在于，通過(guò)提供一種基于可信進(jìn)程樹(shù)的白名單更新方法，以解決軟件安裝及程序更新過(guò)程中對(duì)白名單更新的問(wèn)題。通過(guò)對(duì)程序問(wèn)創(chuàng)建及調(diào)用關(guān)系的分析，準(zhǔn)確的定位非白名單程序中的新安裝合法程序和系統(tǒng)中的非法程序，既能收集到新安裝程序的特征值，又不會(huì)將非法程序的特征值加入白名單中，以更好的解決白名單的更新問(wèn)題。

本發(fā)明是采用以下技術(shù)手段實(shí)現(xiàn)的：

一種基于可信進(jìn)程樹(shù)的白名單更新方法，包含執(zhí)行程序的啟動(dòng)，以及可執(zhí)行程序?qū)ξ募Y源的訪問(wèn)操作的文件系統(tǒng)監(jiān)控模塊；用于根據(jù)進(jìn)程間及進(jìn)程對(duì)可執(zhí)行程序的調(diào)用關(guān)系，構(gòu)建合法可執(zhí)行程序所形成的可信進(jìn)程樹(shù)的構(gòu)建模塊；將程序的判定結(jié)果通知調(diào)用接口的系統(tǒng)白名單安全控制機(jī)制的可信報(bào)告模塊；提取可信進(jìn)程樹(shù)中的各個(gè)結(jié)點(diǎn)對(duì)應(yīng)可執(zhí)行程序的特征值，并將這些特征值更新至白名單的更新模塊；通過(guò)對(duì)程序間創(chuàng)建及調(diào)用關(guān)系的分析，準(zhǔn)確的定位非白名單程序中的新安裝合法程序和系統(tǒng)中的非法程序，收集到新安裝程序的特征值，鑒別非法程序的特征值，使其無(wú)法加入白名單中；包括下述步驟：

(1)監(jiān)控并記錄系統(tǒng)中可執(zhí)行程序的啟動(dòng)，以及可執(zhí)行程序?qū)ξ募Y源的寫(xiě)訪問(wèn)操作；

(2)在內(nèi)存中構(gòu)造可信進(jìn)程樹(shù)數(shù)據(jù)結(jié)構(gòu)，將安裝、升級(jí)過(guò)程中新引入計(jì)算機(jī)系統(tǒng)的可執(zhí)行程序加入到可信進(jìn)程樹(shù)中，其中包括其全路徑名、特征值、父進(jìn)程在樹(shù)中的廣度遍歷序號(hào)；并將這些信息寫(xiě)入文件中；

(3)將判定結(jié)果通知系統(tǒng)的白名單控制機(jī)制；對(duì)于特征值不在白名單中的程序，若在可信進(jìn)程樹(shù)中，同樣允許啟動(dòng)；

(4)收集可信進(jìn)程樹(shù)中的可執(zhí)行程序信息，更新系統(tǒng)白名單。

前述的可信進(jìn)程樹(shù)的模型，其中：

(1)樹(shù)的根是安裝包及升級(jí)包程序，或者是其中的一個(gè)升級(jí)進(jìn)程；

(2)樹(shù)中任意結(jié)點(diǎn)用三元組表示，Path為可執(zhí)行程序的全路徑名，H為該程序的特征值，Parent為該程序的父結(jié)點(diǎn)在樹(shù)中按廣度遍歷的序號(hào)；

(3)樹(shù)中任意結(jié)點(diǎn)與其子女的關(guān)系是以下兩種中的任一種：父結(jié)點(diǎn)對(duì)應(yīng)的程序?qū)ψ优袑?xiě)操作，父結(jié)點(diǎn)對(duì)應(yīng)的程序有改名操作，父結(jié)點(diǎn)啟動(dòng)或調(diào)用了子女結(jié)點(diǎn)對(duì)應(yīng)的可執(zhí)行程序。