本發明公開了一種終端防御的方法、裝置及計算機可讀介質，涉及計算機安全領域。通過獲取文件的加載動作，計算所述文件的特征值；在本地白名單數據庫和匹配的其他終端的白名單數據庫中查找是否存在有所述特征值；當本地白名單數據庫和匹配的其他終端的白名單數據庫中都存在有所述特征值時，加載所述文件。避免了現有技術中將各個終端上的文件特征值上傳至一臺單獨的白名單服務器，該白名單服務器容易被黑客攻陷、篡改而出現的安全單點瓶頸的技術問題。解決了現有技術中使用白名單技術對計算機進行防御時容易被黑客攻陷的技術問題，并取得了積極的技術效果。

技術領域

本發明涉及計算機安全領域，尤其涉及一種終端防御的方法、裝置及計算機可讀介質。

背景技術

隨著時代的發展，功能相對固定的專用主機在工業生產、金融服務等多個國家關鍵領域的信息系統中發揮著重要作用。由于其重要性，逐漸成為網絡攻擊的熱點和主要對象。由于攻擊者通常采用APT攻擊、木馬、零日攻擊等攻擊手段進行攻擊，與此同時，大多數專用主機的行為和狀態較為固定，基本不會安裝未知軟件，所以專用主機的主流防御手段之一是白名單技術。

白名單技術的原理是只有受信任的軟件才會被允許執行，而不在白名單內的一切未知行為都會被阻止執行。當前常用的白名單技術對各個終端的正常組件、軟件等文件進行掃描，提取特征值在服務器端建立白名單，當終端運行文件時，提取其特征值與服務器白名單進行比對，只有其在白名單之內時，才會被允許執行；否則，會對一切未知文件的加載、安裝、運行等行為進行阻攔，消除未知威脅。

首先，白名單模塊收集終端所有文件信息，通過自動創建和人工維護的方式，生成白名單；其次，當終端程序執行時，檢測模塊檢測待執行程序是否合法，通過服務器端控制，從而保證本地文件安全性?，F有技術中將各個終端上的文件特征值上傳至一臺單獨的服務器，構成了單點瓶頸。如果黑客攻陷了存儲該白名單的服務器，并對某文件的特征值進行篡改，那么在所有的終端上，該文件將無法正常執行，而只能執行具備篡改后特征值對應的惡意文件。

發明內容

本發明提供一種終端防御的方法、裝置及計算機可讀介質，用以解決現有技術中使用白名單技術對計算機進行防御時容易被黑客攻陷的技術問題。

依據本發明的一個方面，提供一種終端防御的方法，所述方法包括：

獲取文件的加載動作，計算所述文件的特征值；

在本地白名單數據庫和匹配的其他終端的白名單數據庫中查找是否存在有所述特征值；

當本地白名單數據庫和匹配的其他終端的白名單數據庫中都存在有所述特征值時，加載所述文件。

可選的，在獲取文件的加載動作，計算所述文件的特征值之前，所述方法還包括：

對本地文件進行掃描，并計算每一文件對應的特征值，生成白名單，并將所述白名單及其對應的數字證書寫入到本地白名單數據庫中；

接收匹配的其他終端發送的白名單及對應的數字證書；以及

將接收到的其他終端發送的白名單及對應的數字證書寫入到本地白名單數據庫中。

可選的，所述方法還包括：

獲取管理員權限，響應管理員對本地白名單進行的更改，并將更改后的白名單及其對應的數字證書寫入到本地和匹配的其他終端的白名單數據庫中。

可選的，所述方法還包括：

記錄管理員對本地白名單進行更改的日志。

可選的，所述方法還包括：

當本地白名單數據庫和匹配的其他終端的白名單數據庫中不是全部存在有所述特征值時，生成警告信息。

依據本發明的二個方面，提供一種終端防御的裝置，所述裝置包括：