CN106203108A - 基于内核模块的Linux白名单***保护方法和装置 - Google Patents
基于内核模块的Linux白名单***保护方法和装置 Download PDFInfo
- Publication number
- CN106203108A CN106203108A CN201610500257.2A CN201610500257A CN106203108A CN 106203108 A CN106203108 A CN 106203108A CN 201610500257 A CN201610500257 A CN 201610500257A CN 106203108 A CN106203108 A CN 106203108A
- Authority
- CN
- China
- Prior art keywords
- white list
- inner nuclear
- application layer
- program
- hash value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Devices For Executing Special Programs (AREA)
Abstract
本发明公开了一种基于内核模块的Linux白名单***保护方法,应用于Linux***,包括:白名单生成步骤:扫描***中所有被允许执行的可执行文件,根据扫描结果,生成应用层白名单;通过套接字技术,将所述应用层白名单包含的白名单信息传输至内核层,并将所述白名单信息整合入预设的内核层白名单;所述内核层白名单编译为模块的形式设置于内核层中;校验步骤:当监测到任一程序运行时,通过hook劫持技术将所述程序拦截;判定所述程序是否处于所述内核层白名单中,若是,则正常执行所述程序;否则,阻止执行所述程序;本发明在实现上灵活、简单,在应用中易于维护。
Description
技术领域
本发明涉及信息安全技术领域,特别是指一种基于内核模块的Linux白名单***保护方法和装置。
背景技术
随着信息化技术的推动、网络化技术的发展,信息***的安全面临着巨大的威胁。通过网络传输而感染木马、病毒、恶意程序,在所难免。多数恶意程序通过创建非法可执行文件攻击宿主机,影响***的正常工作。这些非法的可执行程序有的会大量占用***资源导致***崩溃,有的会盗取***中的重要信息,还有的会使***中重要服务运行出错。那么如何禁止这些非法程序的执行,成为了信息安全领域一个重要的研究方向。
现行的Linux白名单主要通过修改防火墙策略的方法,阻止一些端口或者IP的访问。但是对于许多需要对外开放的服务器,必须开放端口供外界访问。如果访问者通过开放端口建立链接的方式传播木马病毒,那么利用防火墙策略制作的白名单将不再起作用,使得恶意可执行程序能够进入***影响其正常工作。此时就需要针对可执行文件,对***做出防护,基于Linux可执行程序制作的白名单,将***中允许执行的程序记录在白名单中,然后将白名单放入到***内核层,每次运行某个程序时,都必须到白名单中查询对比,只有记录在白名单中的程序才允许执行。通过这样的方法可以有效的阻止***中非法程序的执行,从而保障***的安全。
发明人在实际应用中发现,虽然内核层对执行程序的过滤确实可以有效的防护***安全,但是也有很大的局限性,那就是每一个需要安装白名单的***,都需要编译一次内核,然后才能安装白名单。这要就使得白名单成了一次性的,尽管对非法程序的防护十分有效,但是对***的维护却变得很不方便了。
发明内容
有鉴于此,本发明的目的在于提出一种在实现上灵活、简单,在应用中易于维护的基于内核模块的Linux白名单***保护方法和装置。
基于上述目的本发明提供的一种基于内核模块的Linux白名单***保护方法,应用于Linux***,包括:
白名单生成步骤:
扫描***中所有被允许执行的可执行文件,根据扫描结果,生成应用层白名单;
通过套接字技术,将所述应用层白名单包含的白名单信息传输至内核层,并将所述白名单信息整合入预设的内核层白名单;所述内核层白名单编译为模块的形式设置于内核层中;
校验步骤:
当监测到任一程序运行时,通过hook劫持技术将所述程序拦截;
判定所述程序是否处于所述内核层白名单中,若是,则正常执行所述程序;否则,阻止执行所述程序。
在一些实施方式中,所述扫描***内所有的可执行文件,根据扫描结果,生成应用层白名单具体包括:
扫描***内所有的可执行文件,对每个扫描到的可执行文件均进行hash值转换处理,获得所述可执行文件对应的第一hash值,并将所述第一hash值作为所述白名单信息生成所述应用层白名单。
在一些实施方式中,所述判定所述程序是否处于所述内核层白名单中具体包括:
查找所述程序的绝对路径找到源文件,将所述源文件进行hash值转换处理,获得第二hash值;
在所述内核层白名单中检索比对是否存在与所述第二hash值相对应的第一hash值,若是,则正常执行所述程序;否则,阻止执行所述程序。
在一些实施方式中,所述扫描***中所有被允许执行的可执行文件,根据扫描结果,生成应用层白名单之后,还包括:
接收编辑指令,扫描所述编辑指令指定的路径下所有的可执行文件;
根据扫描结果,更新所述应用层白名单。
在一些实施方式中,所述扫描***中所有被允许执行的可执行文件,根据扫描结果,生成应用层白名单之后,还包括:
接收编辑信息;
根据所述编辑信息,更新所述应用层白名单。
另一方面,本发明实施例还提供了一种基于内核模块的Linux白名单***保护装置,应用于Linux***,包括:设置于应用层的应用层白名单模块和设置于内核层的内核层白名单模块,其中:
所述应用层白名单模块包括:
生成单元,用于扫描***中所有被允许执行的可执行文件,根据扫描结果,生成应用层白名单;
传输单元,用于通过套接字技术,将所述应用层白名单包含的白名单信息传输至内核层,并将所述白名单信息整合入预设的内核层白名单;所述内核层白名单编译为模块的形式设置于内核层中;
所述内核层白名单模块包括:
拦截单元,用于当监测到任一程序运行时,通过hook劫持技术将所述程序拦截;
校验单元,用于判定所述程序是否处于所述内核层白名单中,若是,则正常执行所述程序;否则,阻止执行所述程序。
在一些实施方式中,所述生成单元具体用于:扫描***内所有的可执行文件,对每个扫描到的可执行文件均进行hash值转换处理,获得所述可执行文件对应的第一hash值,并将所述第一hash值作为所述白名单信息生成所述应用层白名单。
在一些实施方式中,所述校验单元具体用于:查找所述程序的绝对路径找到源文件,将所述源文件进行hash值转换处理,获得第二hash值;在所述内核层白名单中检索比对是否存在与所述第二hash值相对应的第一hash值,若是,则正常执行所述程序;否则,阻止执行所述程序。
在一些实施方式中,所述生成单元进一步用于:接收编辑指令,扫描所述编辑指令指定的路径下所有的可执行文件;根据扫描结果,更新所述应用层白名单。
在一些实施方式中,所述生成单元进一步用于:接收编辑信息;根据所述编辑信息,更新所述应用层白名单。
从上面所述可以看出,本发明提供的基于内核模块的Linux白名单***保护方法和装置,在现有的Linux***白名单和内核的基础上,提出内核白名单模块,将白名单的内核编译成模块的形式,在相同的内核***中,均可以使用该模块,而无需重新编译整个内核。这样的方式既能有效的阻止恶意程序的破坏,又不需要有太复杂的操作。它不仅可以随时创建、添加和删除白名单,而且可以随时装载或者卸载白名单的内核模块,实现灵活、简单的***安全防护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的基于内核模块的Linux白名单***保护方法流程图;
图2为本发明实施例的基于内核模块的Linux白名单***保护装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
本发明实施例提供了一种基于内核模块的Linux白名单***保护方法。参考图1,为本发明实施例的基于内核模块的Linux白名单***保护方法流程图。
所述方法包括:白名单生成步骤101和校验步骤102。
其中,白名单生成步骤101用于在首先在Linux***的应用层中,根据扫描出所有被允许执行的可执行文件,生成应用层白名单,然后将应用层白名单包含的白名单信息传输至Linux***的内核层中,将应用层白名单包含的白名单信息整合入Linux***预设的内核层白名单中。为了实现上述的整合过程,在本发明实施例中,将现有的内核层中的白名单进行模块化处理,即将白名单的内核编译成模块的形式,形成模块形式的所述的内核层白名单。
然后,基于模块形式的所述内核层白名单,进行校验步骤102。通过校验步骤102,过滤所有被执行的程序,阻止不在内核层白名单中的程序的运行。
所述白名单生成步骤101,具体包括以下步骤:
步骤1011、扫描***中所有被允许执行的可执行文件,根据扫描结果,生成应用层白名单。
作为一个实施方式,本步骤具体包括:扫描***内所有的可执行文件,对每个扫描到的可执行文件均进行hash值转换处理,获得所述可执行文件对应的第一hash值,并将所述第一hash值作为所述白名单信息生成所述应用层白名单。
即于应用层中,使用gla_wl_adm命令,扫描***内所有的可执行文件,然后将每个上述的可执行文件对应生成一条白名单信息,制作成应用层白名单(带有wl后缀的文件)。应用层白名单以列表文件的形成存在,其包含本步骤中生成的多条白名单信息。
步骤1012、通过套接字技术,将所述应用层白名单包含的白名单信息传输至内核层,并将所述白名单信息整合入预设的内核层白名单;所述内核层白名单编译为模块的形式设置于内核层中。
本步骤中,通过netlink通信,即套接字技术,将新生成的应用层中的应用层白名单发送到内核层。在内核层中加载内核层白名单模块,通过内核版本加载内核信息,之后将前述的应用层白名单包含的白名单信息加载入内核中的内核层白名单,待做校验用。
所述校验步骤102,具体包括以下步骤:
步骤1021、当监测到任一程序运行时,通过hook劫持技术将所述程序拦截。
作为一个实施方式,本步骤具体包括:当运行一个程序或者执行一个可执行文件时,会用hook劫持技术将该程序拦截,然后查找程序的绝对路径,将该程序的原文件用如前述的hash值转换处理转换成固定长度的第二hash值。
步骤1022、判定所述程序是否处于所述内核层白名单中,若是,则正常执行所述程序;否则,阻止执行所述程序。
作为一个实施方式,本步骤具体包括:在所述内核层白名单中检索比对是否存在与所述第二hash值相对应的第一hash值,若是,则正常执行所述程序;否则,阻止执行所述程序。
既将新生成的第二hash值与内核层白名单中的所有第一hash值做比较,如果内核层白名单中有与所述第二hash值相同的第一hash值记录,那么说明此执行程序是程序允许的命令,那么调用源程序文件继续执行;如果内核层白名单中没有与所述第二hash值相同的第一hash值记录,那么将会直接返回内核报错信息,以此实现阻止未知程序的效果。
作为步骤1011的一个可选的实施方式,其还可以包括以下步骤:接收编辑指令,扫描所述编辑指令指定的路径下所有的可执行文件;根据扫描结果,更新所述应用层白名单。
在本步骤中,用户可以对应用层白名单进行添加和删除等编辑操作,具体的,用户输入编辑指令,根据该编辑指令,扫描指定路径下的所有可执行文件,然后将扫描结果生成白名单信息,将该部分白名单信息添加到应用层白名单中或从应用层白名单中删除。
作为步骤1011的另一个可选的实施方式,其还可以包括以下步骤:接收编辑信息;根据所述编辑信息,更新所述应用层白名单。
在本步骤中,用户可以对应用层白名单进行添加和删除等编辑操作,具体的,用户直接输入对应用层白名单的编辑信息,根据该编辑信息对应用层白名单的保护的内容进行修改。
可见,在本发明实施例中,应用层命令gla_wl_adm用于生成和向内核发送白名单,在使用了内核模块的白名单上,可以灵活的操作白名单的添加和删除。在应用层中,有一个白名单列表,表中记录着每一次添加的wl文件。从表象上看,添加和删除白名单操作就是对白名单列表的操作,可以删除其中的一条或者几条,也可以向此列表中添加白名单信息。而在命令执行时,实际上是将更新了的白名单列表中的所有项都做一次转换,然后发到内核层。这样就可以使白名单软件易于操作,方便新增可执行文件,而不必要再次重新编译内核。从深层的上看,是由于使用了rootkits这种黑客的方式,在***每次运行一个程序的时候,调用了hook函数,从而影响了Linux操作***的动态链接库,这样就可以通过我们注入的函数替换了本应该执行的函数,然后做我们需要的转换和校验。不能通过校验的直接调用报错函数并退出,而通过了校验的就取得原本的正常函数,让程序继续正常执行。
另一方面,本发明实施例还提供了一种基于内核模块的Linux白名单***保护装置。参考图2,为本发明实施例的基于内核模块的Linux白名单***保护装置结构示意图。
所述装置,包括:设置于应用层的应用层白名单模块201和设置于内核层的内核层白名单模块202。其中:
所述应用层白名单模块201包括:
生成单元2011,用于扫描***中所有被允许执行的可执行文件,根据扫描结果,生成应用层白名单;
传输单元2012,用于通过套接字技术,将所述应用层白名单包含的白名单信息传输至内核层,并将所述白名单信息整合入预设的内核层白名单;所述内核层白名单编译为模块的形式设置于内核层中;
所述内核层白名单模块201包括:
拦截单元2021,用于当监测到任一程序运行时,通过hook劫持技术将所述程序拦截;
校验单元2022,用于判定所述程序是否处于所述内核层白名单中,若是,则正常执行所述程序;否则,阻止执行所述程序。
可选的,所述生成单元2011具体用于:扫描***内所有的可执行文件,对每个扫描到的可执行文件均进行hash值转换处理,获得所述可执行文件对应的第一hash值,并将所述第一hash值作为所述白名单信息生成所述应用层白名单。
可选的,所述校验2022单元具体用于:查找所述程序的绝对路径找到源文件,将所述源文件进行hash值转换处理,获得第二hash值;在所述内核层白名单中检索比对是否存在与所述第二hash值相对应的第一hash值,若是,则正常执行所述程序;否则,阻止执行所述程序。
可选的,所述生成单元2011进一步用于:接收编辑指令,扫描所述编辑指令指定的路径下所有的可执行文件;根据扫描结果,更新所述应用层白名单。
可选的,所述生成单元2011进一步用于:接收编辑信息;根据所述编辑信息,更新所述应用层白名单。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本发明难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本发明难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本发明的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本发明的具体实施例对本发明进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于内核模块的Linux白名单***保护方法,应用于Linux***,其特征在于,包括:
白名单生成步骤:
扫描***中所有被允许执行的可执行文件,根据扫描结果,生成应用层白名单;
通过套接字技术,将所述应用层白名单包含的白名单信息传输至内核层,并将所述白名单信息整合入预设的内核层白名单;所述内核层白名单编译为模块的形式设置于内核层中;
校验步骤:
当监测到任一程序运行时,通过hook劫持技术将所述程序拦截;
判定所述程序是否处于所述内核层白名单中,若是,则正常执行所述程序;否则,阻止执行所述程序。
2.根据权利要求1所述的方法,其特征在于,所述扫描***内所有的可执行文件,根据扫描结果,生成应用层白名单具体包括:
扫描***内所有的可执行文件,对每个扫描到的可执行文件均进行hash值转换处理,获得所述可执行文件对应的第一hash值,并将所述第一hash值作为所述白名单信息生成所述应用层白名单。
3.根据权利要求2所述的方法,其特征在于,所述判定所述程序是否处于所述内核层白名单中具体包括:
查找所述程序的绝对路径找到源文件,将所述源文件进行hash值转换处理,获得第二hash值;
在所述内核层白名单中检索比对是否存在与所述第二hash值相对应的第一hash值,若是,则正常执行所述程序;否则,阻止执行所述程序。
4.根据权利要求1所述的方法,其特征在于,所述扫描***中所有被允许执行的可执行文件,根据扫描结果,生成应用层白名单之后,还包括:
接收编辑指令,扫描所述编辑指令指定的路径下所有的可执行文件;
根据扫描结果,更新所述应用层白名单。
5.根据权利要求1所述的方法,其特征在于,所述扫描***中所有被允许执行的可执行文件,根据扫描结果,生成应用层白名单之后,还包括:
接收编辑信息;
根据所述编辑信息,更新所述应用层白名单。
6.一种基于内核模块的Linux白名单***保护装置,应用于Linux***,其特征在于,包括:设置于应用层的应用层白名单模块和设置于内核层的内核层白名单模块,其中:
所述应用层白名单模块包括:
生成单元,用于扫描***中所有被允许执行的可执行文件,根据扫描结果,生成应用层白名单;
传输单元,用于通过套接字技术,将所述应用层白名单包含的白名单信息传输至内核层,并将所述白名单信息整合入预设的内核层白名单;所述内核层白名单编译为模块的形式设置于内核层中;
所述内核层白名单模块包括:
拦截单元,用于当监测到任一程序运行时,通过hook劫持技术将所述程序拦截;
校验单元,用于判定所述程序是否处于所述内核层白名单中,若是,则正常执行所述程序;否则,阻止执行所述程序。
7.根据权利要求6所述的装置,其特征在于,所述生成单元具体用于:扫描***内所有的可执行文件,对每个扫描到的可执行文件均进行hash值转换处理,获得所述可执行文件对应的第一hash值,并将所述第一hash值作为所述白名单信息生成所述应用层白名单。
8.根据权利要求7所述的装置,其特征在于,所述校验单元具体用于:查找所述程序的绝对路径找到源文件,将所述源文件进行hash值转换处理,获得第二hash值;在所述内核层白名单中检索比对是否存在与所述第二hash值相对应的第一hash值,若是,则正常执行所述程序;否则,阻止执行所述程序。
9.根据权利要求6所述的装置,其特征在于,所述生成单元进一步用于:接收编辑指令,扫描所述编辑指令指定的路径下所有的可执行文件;根据扫描结果,更新所述应用层白名单。
10.根据权利要求6所述的装置,其特征在于,所述生成单元进一步用于:接收编辑信息;根据所述编辑信息,更新所述应用层白名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610500257.2A CN106203108A (zh) | 2016-06-29 | 2016-06-29 | 基于内核模块的Linux白名单***保护方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610500257.2A CN106203108A (zh) | 2016-06-29 | 2016-06-29 | 基于内核模块的Linux白名单***保护方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106203108A true CN106203108A (zh) | 2016-12-07 |
Family
ID=57463434
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610500257.2A Pending CN106203108A (zh) | 2016-06-29 | 2016-06-29 | 基于内核模块的Linux白名单***保护方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106203108A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106650435A (zh) * | 2016-12-28 | 2017-05-10 | 郑州云海信息技术有限公司 | 一种保护***安全的方法及装置 |
| CN107066311A (zh) * | 2017-03-20 | 2017-08-18 | 中国科学院软件研究所 | 一种内核数据访问控制方法与*** |
| CN107491697A (zh) * | 2017-09-29 | 2017-12-19 | 南京宏海科技有限公司 | 基于动态白名单的服务器安全维护方法 |
| CN108959969A (zh) * | 2018-07-26 | 2018-12-07 | 北京北信源信息安全技术有限公司 | 文件保护方法及装置 |
| CN109214186A (zh) * | 2018-08-29 | 2019-01-15 | 厦门快快网络科技有限公司 | 一种基于内核层的拦截木马病毒***及方法 |
| CN111324437A (zh) * | 2020-02-17 | 2020-06-23 | 青岛海信传媒网络技术有限公司 | 操作***的内核函数调用方法及计算机设备 |
| CN114138362A (zh) * | 2021-11-18 | 2022-03-04 | 武汉深之度科技有限公司 | 一种内核模块防卸载方法、防卸载装置及计算设备 |
| CN115118674A (zh) * | 2022-06-22 | 2022-09-27 | 深圳市沃特沃德信息有限公司 | 应用程序联网监控方法、装置、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101650768A (zh) * | 2009-07-10 | 2010-02-17 | 深圳市永达电子股份有限公司 | 基于自动白名单的Windows终端安全保障方法与*** |
| CN102930205A (zh) * | 2012-10-10 | 2013-02-13 | 北京奇虎科技有限公司 | 一种监测单元及方法 |
| CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
| CN104008337A (zh) * | 2014-05-07 | 2014-08-27 | 广州华多网络科技有限公司 | 一种基于Linux***的主动防御方法及装置 |
| US20150193614A1 (en) * | 2004-12-03 | 2015-07-09 | Fortinet, Inc. | Secure system for allowing the execution of authorized computer program code |
-
2016
- 2016-06-29 CN CN201610500257.2A patent/CN106203108A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150193614A1 (en) * | 2004-12-03 | 2015-07-09 | Fortinet, Inc. | Secure system for allowing the execution of authorized computer program code |
| CN101650768A (zh) * | 2009-07-10 | 2010-02-17 | 深圳市永达电子股份有限公司 | 基于自动白名单的Windows终端安全保障方法与*** |
| CN102930205A (zh) * | 2012-10-10 | 2013-02-13 | 北京奇虎科技有限公司 | 一种监测单元及方法 |
| CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
| CN104008337A (zh) * | 2014-05-07 | 2014-08-27 | 广州华多网络科技有限公司 | 一种基于Linux***的主动防御方法及装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106650435A (zh) * | 2016-12-28 | 2017-05-10 | 郑州云海信息技术有限公司 | 一种保护***安全的方法及装置 |
| CN107066311A (zh) * | 2017-03-20 | 2017-08-18 | 中国科学院软件研究所 | 一种内核数据访问控制方法与*** |
| CN107066311B (zh) * | 2017-03-20 | 2020-11-20 | 中国科学院软件研究所 | 一种内核数据访问控制方法与*** |
| CN107491697A (zh) * | 2017-09-29 | 2017-12-19 | 南京宏海科技有限公司 | 基于动态白名单的服务器安全维护方法 |
| CN108959969A (zh) * | 2018-07-26 | 2018-12-07 | 北京北信源信息安全技术有限公司 | 文件保护方法及装置 |
| CN109214186A (zh) * | 2018-08-29 | 2019-01-15 | 厦门快快网络科技有限公司 | 一种基于内核层的拦截木马病毒***及方法 |
| CN111324437A (zh) * | 2020-02-17 | 2020-06-23 | 青岛海信传媒网络技术有限公司 | 操作***的内核函数调用方法及计算机设备 |
| CN114138362A (zh) * | 2021-11-18 | 2022-03-04 | 武汉深之度科技有限公司 | 一种内核模块防卸载方法、防卸载装置及计算设备 |
| CN114138362B (zh) * | 2021-11-18 | 2024-03-01 | 武汉深之度科技有限公司 | 一种内核模块防卸载方法、防卸载装置及计算设备 |
| CN115118674A (zh) * | 2022-06-22 | 2022-09-27 | 深圳市沃特沃德信息有限公司 | 应用程序联网监控方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106203108A (zh) | 基于内核模块的Linux白名单***保护方法和装置 | |
| US10291634B2 (en) | System and method for determining summary events of an attack | |
| EP3465529B1 (en) | Apparatus and method for locking and unlocking removable media for use inside and outside protected systems | |
| US10476900B2 (en) | Safe sharing of sensitive data | |
| US8959628B2 (en) | Method and apparatus for preventing unwanted code execution | |
| US9703974B1 (en) | Coordinated file system security via rules | |
| CN104081404A (zh) | 使用动态优化框架的应用沙盒化 | |
| US20170351870A1 (en) | Apparatus and method for device whitelisting and blacklisting to override protections for allowed media at nodes of a protected system | |
| Abi-Antoun et al. | Checking threat modeling data flow diagrams for implementation conformance and security | |
| US10402559B2 (en) | System and method supporting secure data transfer into and out of protected systems using removable media | |
| US20090216768A1 (en) | Database sandbox | |
| Meyerovich et al. | Object views: Fine-grained sharing in browsers | |
| KR20160054589A (ko) | 멀웨어 및 익스플로잇 캠패인 검출 시스템 및 방법 | |
| EP3465519B1 (en) | System and method for bridging cyber-security threat intelligence into a protected system using secure media | |
| US20170351877A1 (en) | System and method for auditing file access to secure media by nodes of a protected system | |
| CN113138836B (zh) | 一种使用基于Docker容器的防逃逸***的防逃逸方法 | |
| CN113779578B (zh) | 移动端应用的智能混淆方法和*** | |
| US20150020201A1 (en) | Anti-viral compiler | |
| US20170353461A1 (en) | System and method for providing command and control parameters, configuration data, and other data to nodes of a protected system using secure media | |
| CN109286630A (zh) | 等保处理方法、装置、设备及存储介质 | |
| Gupta et al. | Evaluation and monitoring of XSS defensive solutions: a survey, open research issues and future directions | |
| Pecka et al. | Privilege escalation attack scenarios on the devops pipeline within a kubernetes environment | |
| Van Acker et al. | Javascript sandboxing: Isolating and restricting client-side javascript | |
| CN103514401A (zh) | 利用沙箱技术进行防御的方法、装置及安全浏览器 | |
| CN109165509B (zh) | 软件实时可信度量的方法、设备、***及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161207 |