本發明公開了一種基于信任軟件庫的白名單更新方法，包括以下步驟：提取安裝程序的基本信息；將安裝程序的基本信息添加到管理服務器的信任安裝程序庫中；管理服務器將信任安裝程序列表下發到所有受控端；所述受控端啟動安裝程序；文件系統監控模塊計算安裝程序的哈希值；文件系統監控模塊將安裝程序的哈希值與信任安裝程序列表中的哈希值進行對比；文件系統監控模塊追蹤信任安裝程序的文件更新操作；計算更新文件的哈希值；將更新文件的哈希值更新到本地白名單庫中。

技術領域

本發明涉及計算機安全防護技術領域，更具體的說是涉及一種基于信任軟件庫的進程白名單更新方法。

背景技術

目前，隨著工業互聯網、物聯網、云計算、移動互聯網等技術的深入發展，IT與OT加速融合，工業網絡逐漸由封閉走向開放，網絡安全威脅全面向工業環境滲透，工業網絡安全問題日益凸顯，與大眾日常生活息息相關的能源通信、生產制造等重要領域頻繁遭受安全攻擊。工業網絡環境中的工程師站、操作員站、數據服務器等關鍵設施，是安全攻擊的重點目標，著名的“震網”、“勒索”、“挖礦”等病毒都是以工業終端為目標，給工業生產造成了巨大的損失。

傳統的殺毒軟件是防范終端病毒木馬的一種有效手段，但是它對于系統內存資源、CPU資源的占用比較高，非常影響老舊的工業終端設備的運行效率；另外，工業環境以可用性為第一訴求，殺毒軟件的潛在誤殺行為會對工業生產造成嚴重的挑戰。再者，工業生產環境相對孤立，殺毒軟件的病毒庫更新會嚴重滯后，往往難以檢測新的病毒木馬。

為了應對這種安全威脅，業界推出了應用白名單技術，以嚴格的程序準入方式來固化工業終端的運行環境，默認攔截一切未知可執行程序和腳本的執行，可有效抵御已知和未知的惡意代碼，保障工業主機的安全。這種基于白名單的較為嚴格的控制方式，雖然能夠很好地防御病毒木馬，但卻對于工業生產軟件的更新帶來了很大的麻煩。因為白名單控制機制默認禁止所有不認識的程序，更新軟件以及其釋放的模塊都被禁止了?，F實情況是，軟件更新場景普遍存在。

為了解決白名單管控模式下的軟件更新問題，專利公開號為CN101788915A的專利提供一種單機解決方案。該專利提出了一種基于可信進程樹的白名單更新方法，當新的程序安裝或原有程序更新時，通過可信進程樹安全機制，實現對白名單的更新，該白名單更新方法，包含執行程序的啟動，以及可執行程序對文件資源的訪問操作的文件系統監控模塊；用于根據進程間及進程對可執行程序的調用關系，構建合法可執行程序所形成的可信進程樹的構建模塊；將程序的判定結果通知調用接口的系統白名單安全控制機制的可信報告模塊；提取可信進程樹中的各個節點對應可執行程序的特征值，并將這些特征值更新至白名單的更新模塊；通過對進程間創建及調用關系的分析，準確的定位非白名單程序中的新安裝合法程序和系統中的非法程序，收集新安裝程序的特征值。

該方法可有效用實現單機環境下的軟件更新，且一般需要專業的維護人員手工進行操作，以避免普通人誤將帶毒的安裝程序添加到白名單中。但在實際工業場景下，一條生產線就有幾十臺機器，一個車間可能有上百臺機器，這種靠專業人員逐臺機器進行手動化更新的方式會極大增加運維人員的負擔。

專利公開號為CN105183504A的基于軟件服務器的進程白名單更新方法，提供了一種通過軟件服務器捕獲軟件更新信息，并將捕獲的更新信息與安裝包一起推送到受控主機上，自動完成白名單的更新。

這種方案可以實現一款軟件白名單的快速共享，讓普通人員也可以直接運行安裝程序，簡化了軟件更新的過程。但是，該專利在軟件服務器端捕獲軟件更新的過程存在兩方面的問題：一是軟件安裝程序一般會釋放并執行臨時文件，這些臨時文件只在安裝過程中使用，安裝完成后即會刪除，這些臨時文件也添加到白名單，會引入眾多的無效文件HASH；二是一些軟件在不同的操作系統環境下，釋放的二進制文件可能不太一樣，這會導致軟件在不同版本操作系統上執行時增加的白名單會有缺失，安裝后的軟件可能無法運行。