本公開涉及一種基于布隆過濾器的軟件白名單查詢方法，包括：將軟件的指紋數據與終端白名單布隆過濾器中的數據進行匹配，若匹配成功，則判定所述軟件為疑似合法軟件；若匹配不成功，則判定所述軟件屬于非法軟件；將所述疑似合法軟件的指紋數據與終端白名單數據緩存中的白名單軟件的指紋數據進行匹配；若匹配成功則判定所述疑似合法軟件為合法軟件；若匹配不成功，則將所述疑似合法軟件的指紋數據與服務器中的樹形白名單數據索引庫進行匹配，若匹配成功則判定所述疑似合法軟件為合法軟件，若匹配不成功則所述疑似合法軟件為非法軟件，通過以上方案，消除了布隆過濾器的誤判，同時實現了在白名單查詢效率和存儲占用之間權衡。

技術領域

本公開屬于數據庫技術領域，具體而言涉及一種基于布隆過濾器的軟件白名單查詢方法。

背景技術

隨著網絡和信息技術的飛速發展，終端軟件的規模和復雜度正在不斷擴大和提升，實現對終端軟件執行的安全管控是保證終端安全以及整個網絡安全的關鍵。在工業控制、航空航天等領域，終端軟件的安全性會直接影響整個計算控制能否正常執行。在這些關鍵設施中，惡意軟件的運行會造成巨大的損失和代價。因此，在這些領域采用基于白名單的軟件管控機制非常重要。

現有的白名單管控系統中采用客戶端-服務端的架構，服務端會預先將龐大的白名單庫下發的客戶端中。客戶端在運行程序時，會基于采集的軟件指紋信息在白名單庫中索引。這種方式雖然能夠實現白名單的管控，但是存在白名單資源占用高、查詢效率低的問題。因此降低客戶端的白名單資源占用，提升白名單的查詢效率是白名單管理系統的關鍵。

布隆過濾器是一種基于二進制向量的概率型數據結構，可支持高效的插入和查詢，可以用于確定某一條數據一定不存在或者可能存在一個集合中。基于這種特點，布隆過濾器一般會用作黑名單，例如在DNS查詢[1]中，可基于黑名單快速過濾得到合法的DNS請求。但是布隆過濾器有一定的誤判率，因此對于命中的請求，則需要進一步查詢是非法還是合法請求。綜上所述，在大規模數據過濾場景中、布隆過濾器具有高效查詢符合條件數據的優勢，但是存在一定的誤判率。

在白名單軟件管控系統中，布隆過濾器的特性也有很大的應用優勢，需要解決的關鍵問題是消除布隆過濾器帶來的誤判。布隆過濾器存儲白名單數據的原理如圖2所示，布隆過濾器的結構為16bit長度的二進制向量。在對布隆過濾器更新過程中，將軟件指紋數據作為輸入經過4個哈希函數處理后得到4個輸出，每個輸出結果是在二進制向量中的索引位置，將這4個索引位置的值設置為1，其他12個位置的值設置為0生成該軟件的哈希特征。將軟件哈希特征與布隆過濾器舊值取或后，可得到插入白名單數據后的布隆過濾器。在查詢軟件指紋時，同樣將軟件指紋數據作為輸入經過4個哈希函數處理后得到4個輸出，在二進制向量中判斷這4個索引位置是否都為1，若不是，則表明該軟件為非法軟件；若是，則表明該軟件為疑似合法軟件，因為布隆過濾器存在一定的誤判。

對于在布隆過濾器中命中的軟件，需要進一步判斷該軟件指紋是否真正在白名單中。在客戶端上緩存白名單數據全集，通過逐條匹配查找能夠判定疑似合法軟件究竟是合法軟件還是非法軟件。但是這種方式存在對客戶端中存儲占用高、且白名單查詢匹配效率低的問題。因此如何降低客戶端中白名單數據的占用量以及白名單的查詢效率非常關鍵。

發明內容

本公開正是基于現有技術的上述需求而提出的，本公開要解決的技術問題是提供一種基于布隆過濾器的軟件白名單查詢方法，以在白名單軟件的判斷中提高判斷的效率并消除誤判。

為了解決上述問題，本公開提供的技術方案包括：

提供了一種基于布隆過濾器的軟件白名單查詢方法，將軟件的指紋數據與終端白名單布隆過濾器中的數據進行匹配，若匹配成功，則判定所述軟件為疑似合法軟件；若匹配不成功，則判定所述軟件屬于非法軟件；