本申請實施例提供一種基于白名單的系統防御方法、裝置、介質及電子設備，所述系統防御方法包括：根據待處理文件的屬性信息得到目標白名單策略文件，其中，所述目標白名單策略文件是多個白名單策略文件中的一個，所述多個白名單策略文件至少包括：系統白名單策略文件和容器白名單策略文件；根據所述目標白名單策略文件確定所述待處理文件是否屬于可加載或可執行文件。本申請的實施例的白名單策略文件中存儲了哈希值和文件路徑，執行或加載文件時可通過文件路徑快速定位到對應的文件并對其哈希值進行對比，提升處理速度，本申請的實施例兼容內核模塊文件、腳本文件以及未直接存放于系統中的文件(例如docker鏡像文件)。

技術領域

本申請涉及系統安全領域，具體而言本申請實施例涉及一種基于白名單的系統防御方法、裝置、介質及電子設備。

背景技術

隨著計算機技術的飛速發展，各類應用層出不窮并涉及到方方面面，因此計算機信息安全愈發受到重視。計算機系統安全防御方法有很多種，其中應用白名單技術是最為普遍的技術之一。

相關技術披露的基于白名單的系統防御方法還存在如下缺陷：捕獲動態庫文件和可執行程序時對prelink機制依賴性強；通過運行或加載動態庫文件和可執行程序來計算當前哈希值造成效率低；僅根據當前哈希值與原始哈希值對比結果允許或拒絕執行、加載造成兼容性差，無法兼容內核模塊文件、腳本文件，同時也不兼容隔離文件系統中文件(如：docker容器)。

因此如何提升相關技術的系統防御方法成了亟待解決的技術問題。

發明內容

本申請實施例的目的在于提供一種基于白名單的系統防御方法、裝置、介質及電子設備，本申請的實施例的白名單策略文件中存儲了哈希值和文件路徑，執行或加載文件時可通過文件路徑快速定位到對應的文件并對其哈希值進行對比，提升處理速度，本申請的實施例兼容內核模塊文件、腳本文件以及未直接存放于系統中的文件(例如docker鏡像文件)。

第一方面，本申請實施例提供一種基于白名單的系統防御方法，所述系統防御方法包括：根據待處理文件的屬性信息得到目標白名單策略文件，其中，所述目標白名單策略文件是多個白名單策略文件中的一個，所述多個白名單策略文件至少包括：系統白名單策略文件和容器白名單策略文件；根據所述目標白名單策略文件確定所述待處理文件是否屬于可加載或可執行文件。

本申請的一些實施例設置多類白名單策略文件，通過待處理文件的屬性為其匹配對應的白名單策略文件，可以提升技術方案的通用性。

在一些實施例中，所述屬性信息采用所述待處理文件的命名空間進行表征。

本申請的一些實施例采用待處理文件的命名空間來為待處理文件選擇對應的白名單策略文件，提升從多個白名單策略文件中選取目標白名單策略文件的速度。

在一些實施例中，所述根據待處理文件的屬性信息得到目標白名單策略文件，包括：獲取所述待處理文件所在的命名空間；根據所述命名空間從所述多個白名單策略文件中得到所述目標白名單策略文件。

本申請的一些實施例需要首先獲取待處理文件的命名空間，之后在根據命名空間得到目標白名單策略文件。

在一些實施例中，所述待處理文件為腳本文件，其中，在所述獲取所述待處理文件所在的命名空間之前，所述根據待處理文件的屬性信息得到目標白名單策略文件還包括：注冊一個腳本解釋器鉤子對腳本解釋器進行劫持；通過解析所述腳本解釋器的參數獲取所述腳本文件的腳本文件名；根據所述腳本文件名得到與所述待處理文件對應的命名空間。

本申請的一些實施例還可以對腳本文件進行安全防御，提升技術方案的通用性。