白名单主动防御系统的设计与实现

- LW48 白名单主动防御系统的设计与实现 [摘 要]:·目前党政机关内网泄密存在三大途径,一是涉密机上互联网造成泄密,二是移动存储介质交叉使用造成泄密,三是一些未知木马、恶意程序入侵造成泄密。对于第三类情况,党政机关单位一般会采用安装杀毒软件的方式防止用户机器上运行恶意软件,但是杀毒软件特征库的更新晚于恶意软件的发现,并且这是一种基于黑名单的查杀方式,即只有在发现恶意软件并被加入黑名单之后杀毒软件才具备查杀恶意软件的功能。因此由于杀毒软件识别的滞后性,它并不能发现未知的、新的恶意程序和病毒。为解决党政机关可能由此造成内网泄密的这一重大漏洞,相对于杀毒软件基于黑名单的查杀方式,我们定义了一种基于白名单的主动防御系统,它可以有效的防御未知恶意程序的运行和传播。白名单是采集的经过管理员验证后可信任软件的文件指纹,然后通过文件指纹的比对,可以禁止运行未知的软件,从而在根源上节制了恶意软件的运行和传播。 白名单主动防御系统的主要功能就是通过白名单收集程序对所有可信任程序、驱动文件、DLL文件等进行文件指纹提取,纳入白名单库。客户端软件通过底层驱动控制技术对可执行文件、驱动文件、DLL文件等进行验证,在白名单库之内的允许运行,否则杜绝执行。在客户端彻底拦截没有经过指纹收录的软件的运行的同时,向服务器管理端发送报警信息,记录非法软件的详细信息及当前机器的信息,管理员可第一时间知道该软件信息,判断是否病毒、木马程序并做进一步的处理。建立统一的局域网内的可信安全软件下载平台,所有软件通过管理员的指纹收录后发布,方便用户对软件进行获取,也保证终端用户安装的软件都是安全的。 由于党政机关应用程序的单一性和标准性,白名单主动防御系统可以有效的解决党政机关因未知程序、恶意软件入侵而造成内网泄密的重大问题。 [关键字]:·党政机关 黑名单 白名单 主动防御 文件指纹 [目录]· 摘 要8—9ABSTRACT9—111、 绪论11—14 1.1 背景11—13 1.2 本文的组织结构13—142、 国内外研究现状14—20 2.1 Bit9公司的Parity14—16 2.2 CORETRACE公司的Bouncer16—17 2.3 专家保护公司的专家保护工具17—18 2.4 Faronics公司的Anti—Executable18—203、 白名单相关技术研究20—29 3.1 Windows HOOK技术20—23 3.1.1 HOOK技术简介20 3.1.2 常用的HOOK类型20—23 3.2 沙盘技术23—25 3.3 可信计算25—26 3.3.1 可信计算平台25 3.3.2 可信计算技术的特征25—26 3.4 白名单文件比对算法26—29 3.4.1 校验和技术26—27 3.4.2 通配符扫描技术27—294、 功能结构29—40 4.1 客户端应用程序30—32 4.1.1 功能结构30 4.1.2 内核驱动30—32 4.2 服务端应用程序32—36 4.3 白名单收集程序36—40 4.3.1 功能流程36—37 4.3.2 白名单收集主要功能37—38 4.3.3 时间特性38—405、 业务流程40—42 5.1 客户端验证流程40—41 5.2 客户端程序升级流程41 5.3 涉密单机白名单更新流程41—426、 功能需求42—46 6.1 用户界面42 6.2 功能详细定义42—46 6.2.1 基本功能42—44 6.2.2 日志消息44—45 6.2.3 高级功能45—467、 产品实施46—48 7.1 白名单存储和验证流程46—47 7.2 白名单基准线收集流程47 7.3 产品部署维护模式47—488、 总结与展望48—50 8.1 本文的成果48 8.2 产品优点48—49 8.3 风险分析49—50参 考 文 献50—53致 谢53—54攻读学位期间发表的主要学术论文54—55学位论文评阅及答辩情况表55