白名单主动防御系统的
设计
领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计
与实现
计算机工程与设计ComputerEngineeringandDesign2011,Vo1.32,No.72241
白名单主动防御系统的设计与实现
汪锋,周大水
(山东大学网络信息安全研究所,山东济南250100)
摘要:党政机关对于未知木马,恶意程序入侵造成的泄密往往采用安装杀毒软件的
方法,但是基于黑名单技术的传统杀
毒软件的特征库的更新晚于恶意软件的发现,所以无法从根本上做提前防范,因此
提出了一种基于白名单技术的主动防御
系统.详细阐述了系统功能模块的划分和客户端验证等关键技术的实现方法.白名
单采集的是经过管理员验证后可信任软
件的文件指纹,然后通过文件指纹的校验和比对,可以禁止运行未知的软件,从而
在根源上节制了恶意软件的运行和传播.
关键词:黑名单:白名单;主动防御;文件指纹;校验和
中图法分类号:TP319文献标识码:A文章编号:1000—7024(2011)07—2241—04
Designandimplementationofactivedefensesystembasedonwhitelist
WANGFeng,ZHOUDa—shui
(InstituteofNetworkInformationandSecurity,ShandongUniversity,Jinan250100,China) Abstract:Thepartyandgovernmentorgansgenerallyapplythewayofinstallantivirussoftwaretopreventtheleakagecausedbythein—
vasionofsomeunknownTrojansandmalwares,buttheupdateoftraditionalantivirussoftwaresignaturebasedontheblacklisttechnology
iSlaterthanthefoundofthemalware.SOitcannotpreventaheadfundamentally,SOanactivedelensesystembasedonthewhitelistiS
putforward,thedivisionofthesystemfunctionmodulesandtherealizationofsomekeytechnologiessuchastheverificationoftheclient
areelaborated.Thewhitelististhecollectionoffilefingerprintofthesoftwaretrustedbyadmin
istrator,thenthroughthematchingof thefilefingerprintchecksumcanpreventrunningtheunknownsoftwaretocontrolthertmnin
gandspreadingofmalwaresfundamentally.
Keywords:blacklist;whitelist;activedefense;filefingerprint;checksum
0引言
目前党政机关内网泄密存在三大途径,一是涉密机上互联 网造成泄密,二是移动存储介质交叉使用造成泄密,三是一些 未知木马,恶意程序入侵造成泄密.一般情况下,党政机关都 会采用安装杀毒软件的方式防止用户机器运行恶意软件,由 于杀毒软件识别的滞后性,因此无法做提前的防范.而自名单 主动防御技术是通过HOOKAPI的方法实现的,是在Windows 层进行动态行为判断的一种技术,通过文件指纹的校验和比对 的方法从根源上节制了恶意软件的运行和传播.国内外的白 名单主动防御系统的同类产品大多针对普通的用户,对于未知 软件的处理也只是提示拦截,由用户来判断是否允许运行,但 是由于党政机关应用需求的保密性,必须彻底拦截未知软件的 运行,而且由于党政机关应用程序的单一性和
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
性,因此对 于未知软件的合法性可提交管理员进行统一判断.
1WindowsH00K技术
在Windows系统中,通过消息之间的相互传递实现系统 各部分之间的通信,程序的设计围绕事件驱动来进行.应用 程序一般只能处理其他进程发来的消息或进程内部的消息, 如果要对进程外传递的消息进行拦截处理就必须使用HOOK 技术.HOOK钩子程序是Windows操作系统重要的系统接口, 相当于操作系统留给用户的后门,HOOK钩子程序可以不断 地在内存中截获并处理在系统各部分之间传递的信息,由此 完成一些特定的功能.
Windows的HOOK钩子程序就像DOS下的内存驻留 程序,通过系统API调用,用来驻留或者脱钩,达到拦截和
处理系统消息的功能.HOOK钩子程序允许应用程序拦截 并处理发往指定窗口的消息或特定事件,并对截获的消息 进行各种操作处理,甚至强行终止该消息的继续传递. HOOK钩子函数的应用对于白名单系统中的内核驱动控制 是非常重要的.
2功能结构
整体设计
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
的架构图如图l所示.
(1)客户端各模块功能如下:
底层驱动:负责对文件加载进行实时监控,以及自我保护. 基础功能服务:负责加载驱动程序,响应驱动对上层的通 收稿日期:2011-01—16;修订日期:20l1-03-20. 作者简介:汪锋(1986一),男,the,济南人,硕士研究生,研究方向为信息安全和密码学;
周大水(1970--),男,山东济南人,博士,教授,
研究方向为信息安全和密码学.E—mail:202ziyihan@163.corn
22422011,Vo1.32,No.7计算机工程与设计ComputerEngineeringandDesign
图1整体设计方案架枸
知,以及提供一些基础功能的接口.
界面uI:响应底层发送来的显示信息,展现给用户,以及 提供一些基本功能的操作,如扫描,软件下载等. (2)服务端各模块功能如下:
数据管理程序:提供白名单数据管理,软件管理,及日志 信息管理等.
客户端交互接口:负责向客户端提供通讯接口,所有客户 端对服务器的请求以及服务器下发的命令都是通过此接口来 操作的.
白名单收集程序模块:对指定目录,安装包,文件等进行 白名单收集,然后提交服务器.
2.1客户端应用程序
客户应用程序结构如图2所示.
(1)基础应用服务是一个可以使用服务管理器管理的可执 行文件,可以提供多个com接口,能实现程序的高权限逻辑部 分,以及响应内核驱动的监控.
(2)用户界面分为两部分,一部分作为应用程序主界面在 用户点击的时候展现,提供计算机扫描,软件下载等操作;另 一
部分作为托盘部分,实时响应基础服务监视的应用程序的 动作,莠且给予提示信息,以及鄙时交互.
(3)本地数据库是存储用户白名单的缓存,所有应用程序 的配置和存储都在数据库中保存.
图2客户应用程序结构
2.2内核驱动
内核驱动程序主要有以下几个模块:
(1)进程控制:本模块的功能是控制pe文件(可执行文件) 的执行.首先底层获得进程信息,传递给应用层.然后应用 层通过查询白名单数据库,获取进程是否允许加载的信息,最 后将该信息通过应用层和驱动层接口传到内核,内核根据命 令决定是否允许该进程执行.
(2)驱动文件控制:本模块是用来控制sys文件(系统文件) 的加载.通过底层inlinehook获得驱动文件加载信息,然后获 取应用层是否允许记载的命令,最后控制驱动文件加载. (3)防止DLL注入:本模块实现的功能是拦截系统DLL~N 载的信息和注入的信息,根据应用层的指令,控制其运行. (4)进程自我保护:本模块是通过应用层和驱动层的接口, 内核模块获得保护的进程信息后,通过任务管理器,句柄表来 隐藏进程的方法,从而保护自己进程不会被非法结束. (5)文件保护:本模块用来获取应用层指定的文件信息,控 制对指定文件的访问.
(6)注册表自我保护:本模块用来获得应用层需要保护的
注册表信息,拦截底层控制注册表的内核函数,控制其对注册 表的访问.
2.3服务端程序
服务端设计方案的架构图如图3所示.整个服务端的功 能如下几部分:
图3服务端设计架构
汪锋,周大水:白名单主动防御系统的设计与实现2011,Vo1.32,No.72243
(1)管理程序主要功能
管理员管理:系统管理员管理使用该系统的用户,保证需 要使用该系统的人员能够正常访问系统.
用户管理:用户管理主要是登记和维护用户信息,每个用 户都具有一个唯一标识,可以用其mac作为标识,每个用户都 应具有真实的身份.通过为每个用户分配白名单方式来实现 权限管理,可使某个客户端独自具有某些程序的运行权限. 用户组管理:用户组即权限组,通过建立用户组,添加用 户组成员,分配用户组白名单来实现用户组权限管理.系统 默认初始化一个everyone用户组,包含所有用户. 白名单查询:在此可以根据不同的查询条件(按日期,按 散列值,按公司名称,按签名公司等)查询白名单数据. 未知指纹管理:在此可以查询未知指纹的数据,并可以将 认为安全的指纹信息加入白名单库.
报警信息图表:按不同的时间粒度(分钟,小时,天,周)以 图表的形式显示程序警告次数曲线图,白名单比较次数曲线图. 服务器状态查询:显示程序服务器目前的数据存储状 态,空间状态,用户连接状态,CPU负载情况,内存占用情况, 请求量等.
局域网状态查询:显示本日局域网内警告次数,操作日志 数目,以及新增加的白名单条目数等.
系统公告:管理员用于发布群体消息,客户端会弹出最新
消息的提示.
服务器配置管理:提供对服务器配置,配置内容为数据库 服务器的连接,上传文件的存放路径等.
(2)管理程序其他功能
管理员验证:所有使用该系统的人员都要以用户名和密码 的方式进行身份验证,验证通过方可使用该系统的相关功能. 修改密码:提供管理员修改密码功能,修改密码时须验证 旧密码.
退出功能:管理员退出系统后,再次进入系统必须重新进 行身份验证.
(3)数据接口
白名单数据请求:接收到客户端发出的请求信息,根据客 户端编号获取其具有权限的所有白名单信息,以定义的XML
格式
pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载
发回白名单信息.
白名单数据收集:接收到客户端提交的白名单数据后,将 接收到的数据存入白名单库.
未知指纹收集:接收到客户端提交的未知指纹数据,将数 据存入未知指纹库.
上传文件:接收到客户端发送的文件和文件信息后,首先 将文件存入上传文档库,然后记录本次上传的信息,上传成功 后返回客户端处理结果.
下载文件:接收到客户端发送的下载请求后,从服务器找 到请求的文件输入到客户端.
定时通信接口:用于接收客户端的定时访问,接受每次访 问的请求信息,并返回相应的请求数据.
2.4白名单收集程序
(1)功能流程
白名单的收集主要是对文件进行扫描,记录文件的信息, 包括文件名,散列值,公司名,产品名,产品版本,是否经过微
软签名,签名公司,文件类型,软件名称,形成文件指纹.白名 单文件的扫描主要包括3个部分:单文件扫描,目录扫描,安 装文件扫描.
对于单文件和目录文件可以直接扫描收集,记录文件的 指纹信息.但对于安装文件的扫描,需要使用到了沙盘方法 安装包收集.由于有些安装包无法通过技术手段解压,需要 安装后进行指纹收集,但是安装后的文件在硬盘上分布比较 松散,可把安装包安装到沙盘中,从而可以集中到一个目录 中,进行统一的文件指纹收录,并且通过沙盘安装的程序是驻 留在系统的一个虚拟环境当中,不会对系统环境造成任何影 响,沙盘关闭的时候会清楚一切安装痕迹.
在沙盘中执行安装文件扫描时,在安装开始时调用Ser- vice服务(Service服务是一直开着的一个进程,开机就自动打 开,关机时候才关闭,主要功能就是监控的功能)的接口,启动 监控,监控的同时就HOOK掉系统的删除的API函数,这样就 防止安装过程中有删除的文件的现象,当有删除的时候给系 统返回删除成功(实际上本文件未删除),同时记录安装程序释 放的所有的文件的路径(硬盘记录).在启动Service服务的同 时将写入注册表一个"安装未完成"的标识,在安装过程中可 能发生重启的现象,重启后,Service服务先启动,Service服务 发现注册表中的标示是安装没有完成,它就启动监控功能,同 时它启动我们的白名单收集程序界面.如果是注册表中标示 安装完成,Service服务启动后不会监控,也不会启动我们的白 名单收集程序.(Service服务是先于安装程序的,如果在我们 的程序中写入监控,重启后可能慢于安装程序,因而可能造成 监控不全).安装结束,将跳转到扫描收集界面,同时写入注 册表的标示改为安装完成.
(2)时间特性
表1是计算文件信息的具体时间数据.
表1计算文件信息的具体时间数据
计算签名的时间计算SHA1时间计算文件信息的大小(M) 时间/ms
462(签名)141002O1562
248(未签名)6500956140
6l1391237516
2159418120
103475940
1782860
15078O
在计算签名的时候,签名的文件比没有签名的文件所用 的时间少长一点,但偏差不是很大.传输数据的速度是平均 10M/S.
3业务流程
3.1客户端验证流程
客户端验证流程如图4所示.
具体流程详细描述:
(1)对驱动,动态库,可执行程序的加载进行拦截. (2)获取加载文件的路径.
2244201],,『0】.32,No.7计算机工程与设计ComputerEngineeringandDesign
(3)通过文件路径作为关键字,首先查找到此文件在最后 一
次进行指纹计算后是否修改过,如果修改过,则重新计算文 件指纹,如未修改过,则直接通过路径在数据库能获取指纹, 从而优化了指纹计算的时间.
(4)提取出文件指纹后,首先在本地缓存数据库中查找文 件指纹,如果找到了文件指纹,再查看本地缓存文件指纹是否 有效.指纹有效性判断是通过将当前缓存指纹的单条版本号, 和服务器当前全局指纹信息的版本号对比得出的.
(5)如果本地有效则直接通过本地缓存来判断是否可以放 行文件加载,否则,向服务器请求更新指纹信息,更新到本地 缓存,并且将当前全局版本号存储到单条指纹信息中,依据新 的指纹信息判断是否放行文件加载.
3.2客户端程序升级流程
(1)管理员首先将我们提供的升级安装包,或者补丁包上 传到服务器,服务器将会获取安装包的版本号,保存在数据库 当中,替换最新版本的版本号.
(2)客户端在进行轮询的状态通知请求时,服务端会将当 前的版本信息发送给客户端的应用程序,客户端会判断本地版 本号和服务端版本号的差异,如果本地版本号小于服务端的版 本号,则说明客户端程序版本已经老了,需要升级到新的版本. 【3)客户端向服务器请求一个指定的URL来访问下载升级安 装文件,下载完毕后会自动关闭本地的自我保护和实时监控以及 正在运行的白名单应用程序,进行新版本程序的安装和升级. 4系统实施方案
4.1白名单基准线收集流程
(1)第,白名单基准线:在产品出厂前把所有版本的操作 系统进行白名单收集,形成操作系统的白名单基线.把所有 机器的特定驱动做白名单基线,如显卡,声卡,等特定机型的 外设白名单收集.把常用的办公软件,公司开发软件,第三方 常用软件做白名单收集.
(2)第二白名单基准线:在项目实施前把客户方驱动软件, 特定ghost版本的操作系统,第三方软件进行自名单收集. 4.2系统部署维护模式
(1)公司客服人员配合客户人员安装服务端数据管理程 序,架设IIS服务,安装数据库.
(2)通过白名单收集程序,进行第二白名单基准线的建立, 包括客户方驱动软件,特定ghost版本的操作系统,第三方软
件进行自名单收集.
(3)由服务器端生成具有白名单基线的客户端应用程序, 可以按不同的域,不同组生成不同的白名单基线的客户端应 用程序,并安装各终端机器上.
(4)新增加的应用程序,通过管理员指纹收录后,纳入白名 单库,可以按域,组的形式授权给终端用户.
(5)管理员可以把单位所有机器类型的驱动,常用办公软件, 第三方软件,按类别建立可信安全软件,下载页面.客户端可以 根据自己的权限不下载不同的可信软件(特别对重装系统用户). (6)管理员查看终端报警日志信息,第一时间发现终端机 器是否被未知木马,病毒攻击.
【7)管理员重复(4),(5),(6)步完成日常的软件维护运行工作. 5结束语
目前,白名单主动防御系统的同类产品主要有:国际上的 Bit9和CoreTrace,Lumension,国内的软件E盾,中网s3等.与 上述软件产品相对比来说,本系统主要具有以下优点: (1)白名单指纹收录和授权用户终端使用均由服务器管理 图4客户端验证流程(下转第23l3页)
刘俊,童学红:TCP拥塞控制算法2011,Vo1.32,No.72313
性;在拥塞避免阶段,采用基于拥塞窗口的自适应增长因子, 增长因子随拥塞窗口增大而减小,加大了拥塞周期,明显降低 了拥塞丢包的次数.NS仿真证明了TCP算法的有效性,_ S&A
同时保持了相同
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
间的公平性与不同协议问的友好性.该 算法只需对TCP发送端进行修改,无需在中间路由器引入任 何开销,代价很小,便于部署与应用.但是,TCP_ S&A慢启动
算法对准确的慢启动门限有一定要求,基于带宽估计的慢启 动门限设置是下一步的工作;TCPS&A拥塞避免算法中的
参数研究是优化该算法的进一步工作.
参考文献:
【1】刘文远,冯波,龙承念,等.一种新的TCP拥塞控制慢启动策略 [J].,J,型微型计算机系统,2005,26(1):23.25. [2】邓晓衡,陈志刚,张连明.P—Start:一种分阶段TCP慢启动机制 [J]-,J,型微型计算机系统,2005,26(10):1728.1731. 【3】孙素环,孔功胜,赵长伟.TCP拥塞控制中慢启动算法的改进[J】. 平顶山学院,2007,22(2):l06-108.
[4]邓晓衡,陈志刚,张连明,等.MP.Start:基于带宽测量的分阶段
TCP慢启动机制[J1.通信,2007,28(11):92.102. 【5】顾明,张军,苏东林.大带宽时延积网络TCPVegas自适应慢启 动算法[J]_电视技术,2007,47(2):27—30.
[6】陈虎,关治洪,陈建聪.GSS:针对高带宽时延积网络的温和慢启 动方法【J].计算机工程与科学,2008,30(5):23—25.
【7】双雪芹,陈琳.基于流量预测的TCP慢启动算法【J].长江大学 (自然科学版),2010,7(1):222—224.
[8】JAlexKessetman,YishayMansour.AdaptiveAIMDcongestion
control[J].Algorithmica(NewYork),2005,43(1/2):97—111.
【9】易发胜,夏梦芹,王焱,等.一种改进的基于延迟的TCP拥塞避 免算法[J].计算机科学,2006,33(2):61—64.
[10】茹新宇,刘渊.新的TCP拥塞控制机fl~J[J].计算机工程与设计, 2007,28(24):5887—5892.
[11】HayderNatiqJasem,ZuriatiAhmadZukamain,Mohamed
Othman,eta1.TheTCP-basednewAIMDcongestioncontrolal-
gorithm[J].InternationalJoumalofComputerScienceandNet—
workSecurity,2008,8(10):331-338. 【12]wUYuan—ban,LIUZhen—sheng,ZHANGWen—liang.Congestion controlmechanismofstudy.basedexpandedAIMD【JJ.Com—
puterEngineering,2008,34(9):232—234.
[13】HayderNatiqJasem,ZufiafiAhmadZukarnain,Mohamed
Othman.eta1.TheTCP—basednewAIMDcongestioncontrolal— gorithm[J].InternationalJoumalofComputerScienceandNet— workSecurity,2008,8(10):331-338. [14]张丽娟,杨晓萍,陈虹,等.基于自适应参数设置的AIMD算法 【J】.吉林大学,2010,28(1):77-83. 【15】NsnamSourceforgeProject.Thenetworksimulator2[EB/OL].
,2010—12—10.
(上接第2244页)
端统一管理,安全机制强.白名单主动防御系统客户端对未 知软件进行强制拦截,而非上述其他厂商的提示拦截,特别是 在党政机关单位,提示拦截的方式从根本上否定了此系统的 可用性,因为用户也不知提示的软件是否为安全的,一旦把未 知木马放行,意味整个系统实施不存任何意义.
(2)针对性强.特别是对党政机关,军队,银行等单位,如 日志报警功能,统计图,折线图,分域,分组授权白名单,一方 面可以实时的监测未知程序的运行状况,第一时间发现未知 木马与病毒并能做出及时的响应:另一方面可灵活的控制部 分软件和重要系统等只在特定的机器上运行.
(3)统一的软件管理.把单位所有指纹收录后的安全软件 进行统一分类管理,可方便安装客户端机器的下载使用. 但是系统也存在一些缺点,比如后期维护使用依赖于管 理人员,底层驱动控制频繁的与系统底层做交互处理而影响 性能,不过在应用中可以通过软件注册等方式来解决. 参考文献:
【1】王永达.浅谈计算机病毒及其检测与预防【J】.今日科苑,2010,15
(2):133.
[2】钱秀峰.计算机网络病毒的防范措施初探[J].中国科技信息, 2010,13(15):112—114.
【3】杨飞.计算机病毒与反病毒技术研究[J】.信息与电脑(理论版), 2010,5(4):13—15.
【4】胡道元.网络安全[M】.北京:清华大学出版社,2004:287—293. 刘澜.木马隐藏技术的研究与分析【J].通信技术,2010,44(4): 78—80.
WalnumClayton.Windows2000编程核心技术精解【M].北京: 中国水利水电出版社,2002.
郝东白.基于Hook的程序异常行为检测系统设计与实现fJ]. 计算机工程与设计,2007,28(18):48-49. 李伟.基于内核驱动的恶意代码动态检测技术[J].中国科学院 研究生院,2010,27(5):695—703.
石磊.Hook函数在监控记录系统中的应用【J].微计算机信息, 2006,23(21):88—89.
王远.Windows系统API函数拦截技术研究【J].微计算机信息, 2006,23(30):220.224.
骆力明.利用Hook技术实现进程控制[J1.微计算机信息,2007, 24(15):121—123.
徐海峰.基于消息和钩子数据自动获取技术的实现fJ1.计算机 工程与设计,2010,3l(5):1009—1012.
孟令强.基于可信计算的应用程序白名单管理系统[J].计算机 安全,20l0,10(10):16一l7.
王建.基于自动白名单的个人数字身份保护技术研究[D].上海: 复旦大学,2010.
刘曼华.基于可信计算平台的DRM应用研究[J].微计算机信 息,2010,27(6):232—234.
[OL]. [OL]. …
浙公网安备 33021202002483