本發(fā)明實(shí)施例公開了一種基于操作系統(tǒng)類型的程序白名單服務(wù)方法及系統(tǒng)，方法包括獲取操作系統(tǒng)的程序清單，形成操作系統(tǒng)白名單子庫；獲取當(dāng)前操作系統(tǒng)的版本號(hào)，并請求當(dāng)前操作系統(tǒng)的白名單子庫；根據(jù)返回的白名單子庫，在本地獲知操作系統(tǒng)程序的信任級(jí)別。本發(fā)明在白名單客戶端運(yùn)行時(shí)，一次獲取該操作系統(tǒng)版本的所有程序的白名單，而不是通過向白名單服務(wù)端逐一發(fā)送程序hash值來獲取程序的信任級(jí)別，節(jié)省了近一半的寬帶，大大提高了白名單服務(wù)識(shí)別效率。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域,具體地說是一種基于操作系統(tǒng)類型的程序白名單服務(wù)方法及系統(tǒng)。

背景技術(shù)

隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)環(huán)境越來越復(fù)雜，以往的黑名單技術(shù)難以應(yīng)對零日攻擊、特定目標(biāo)攻擊等安全問題，白名單技術(shù)被廣泛的應(yīng)用于主動(dòng)防御領(lǐng)域。

白名單技術(shù)主要是針對已知安全的可執(zhí)行文件、庫文件、驅(qū)動(dòng)等的程序，形成一個(gè)安全的白名單總庫，白名單庫中程序允許運(yùn)行，而不在白名單庫中的文件不允許運(yùn)行，這樣可以有效防止不安全程序的運(yùn)行。

傳統(tǒng)的基于白名單的主動(dòng)防御技術(shù)，需要根據(jù)所管控的客戶端的程序Hash值(或散列算法，又稱哈希函數(shù))，通過網(wǎng)絡(luò)從白名單總庫獲取每個(gè)程序的信任級(jí)別。這樣在請求的時(shí)候需要附帶程序信息(Hash值)，而返回消息同樣需要附帶程序的信息，這樣占用了大量的網(wǎng)絡(luò)資源，且程序的信任級(jí)別識(shí)別會(huì)很慢。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例中提供了一種基于操作系統(tǒng)類型的程序白名單服務(wù)方法及系統(tǒng)，以解決現(xiàn)有技術(shù)中程序新人級(jí)別識(shí)別過程占用大量網(wǎng)絡(luò)資源、效率低的問題。

為了解決上述技術(shù)問題，本發(fā)明實(shí)施例公開了如下技術(shù)方案：

本發(fā)明第一方面提供了一種基于操作系統(tǒng)類型的程序白名單服務(wù)方法，包括以下步驟：獲取操作系統(tǒng)程序清單，形成操作系統(tǒng)白名單子庫；獲取當(dāng)前操作系統(tǒng)的版本號(hào)，并請求當(dāng)前操作系統(tǒng)的白名單子庫；根據(jù)返回的白名單子庫，在本地獲知操作系統(tǒng)程序的信任級(jí)別。

結(jié)合第一方面，在第一方面第一種可能的實(shí)現(xiàn)方式中，所述操作系統(tǒng)程序清單包括操作系統(tǒng)安裝前后的可執(zhí)行文件，每個(gè)操作系統(tǒng)版本形成一個(gè)白名單子庫。

結(jié)合第一方面，在地方面第一種可能的實(shí)現(xiàn)方式中，所述白名單子庫中的信息包括程序的hash值和信任級(jí)別，所述程序的hash值通過對可執(zhí)行文件的計(jì)算獲得。

結(jié)合第一方面，在第一方面第二種可能的實(shí)現(xiàn)方式中，所述方法還包括請求識(shí)別未知程序；在接收到請求后，首先判斷請求的類型，若是基于操作系統(tǒng)版本的請求，則返回請求操作系統(tǒng)版本的白名單子庫，若是未知程序識(shí)別的請求，則根據(jù)所述未知程序的hash值，在白名單總庫中查詢其信任級(jí)別。

結(jié)合第一方面，在第一方面可能的實(shí)現(xiàn)方式中，通過白名單總庫獲取到未知程序的信任級(jí)別后，在本地對該程序的信任級(jí)別進(jìn)行記錄。

本發(fā)明第二方面提供了一種基于操作系統(tǒng)類型的程序白名單服務(wù)系統(tǒng)，所述系統(tǒng)包括白名單服務(wù)端和白名單客戶端，所述白名單客戶端部署在用戶計(jì)算機(jī)上，所述白名單服務(wù)端包括程序采集模塊和請求處理模塊，所述白名單客戶端包括信息獲取模塊和請求發(fā)送模塊；

所述程序采集模塊用于獲取操作系統(tǒng)程序清單，并形成白名單子庫，所述請求處理模塊用于識(shí)別白名單客戶端的請求類型，返回白名單子庫和未知程序的信任級(jí)別給白名單客戶端；所述信息獲取模塊用于獲取當(dāng)前操作系統(tǒng)的版本號(hào)和未知程序的hash值，所述請求發(fā)送模塊用于向白名單服務(wù)端發(fā)送程序信任級(jí)別的請求。

結(jié)合第二方面，在第二方面一種可能的實(shí)現(xiàn)方式中，所述程序采集模塊包括第一采集單元和第二采集單元；

所述第一采集單元用于掃描操作系統(tǒng)安裝前的鏡像文件，獲取鏡像文件中的可執(zhí)行文件，并將所述可執(zhí)行文件加入到白名單子庫中；