[发明专利]一种基于Windows操作系统中运行可执行文件的审计方法

说明书

本发明公开了一种基于Windows操作系统中运行可执行文件的审计方法，该方法包括以下步骤S100：设置服务器运行环境；S200：在客户端安装并运行主机安全加固软件，检查客户端和服务器之间的网络连接是否正常；S300：客户端扫描自身系统分区中所有可执行文件，并采用DJB Hash算法生成原始可信应用列表；S400：审计客户端运行的可执行文件；S500：服务器确认当前可执行文件的安全性，根据确认的结果选择“允许”或者“拒绝”来回应客户端；S600：客户端接收服务器的回应，根据回应进行操作：如果回应是“允许”，那么客户端将当前可执行文件加入到所述可信应用列表中并运行当前可执行文件；如果回应是“拒绝”，则客户端不运行当前可执行文件。

技术领域

本发明属于网络及信息安全领域，涉及一种运行可执行文件的审计方法，尤其涉及一种基于Windows操作系统中运行可执行文件的审计方法。

背景技术

随着全球信息化进程不断推进，信息安全问题已经成为抑制全球信息化进程发展的重大障碍。各级政府部门及企事业单位在多年的信息化建设过程中，通过采用防火墙、入侵检测、杀毒软件、桌面管理系统等传统的安全技术和手段，在网络边界层防范外来攻击方面起到一定程度的安全防范作用。但随着信息化需求的不断增长，网络应用的不断扩展，现有的网络基础设施和信息系统安全措施逐渐暴露出了诸多问题，各类业务应用系统的运行环境依然面临着很多安全威胁，受到攻击时依然显得十分脆弱、不堪一击。主要表现为：

一、外部攻击

面对天天变种、层出不穷的新型病毒，蠕虫，木马等恶意代码的攻击，服务器安装的杀毒软件无能为力；利用各种系统漏洞、应用程序漏洞进行攻击防不胜防，服务器管理员的“补丁”永远打不完。

二、内部破坏

面对内部的恶意攻击和破坏，服务器上敏感信息泄密，重要数据失窃，造成的影响和损失难以估计。

三、其他问题

由于安全管理体系的缺陷，人员安全意识薄弱造成的操作失误、设备配置不当，权限过于集中，给服务器带来安全隐患难以控制。

以上安全风险和潜在威胁长期存在无法根本解决的主要原因，是因为防火墙、杀毒软件、入侵检测、桌面管理系统等技术手段均属于基础传统的边缘层安全防护措施，由于其技术实现的局限性使得安全防护手段受制于病毒库、特征库、木马库等的更新滞后性，信息安全“头痛医头、脚痛医脚”的现象无法改变。而随着信息化持续发展，信息安全需求也随之动态发展变化，“道高一尺、魔高一丈”，安全威胁层出不穷，传统的安全防护手段只能疲于应付，通过“围追堵截”的被动方式实现局部分散的安全补救措施。因此，只有将传统的被动补救方式转变成主动防御模式，从信息安全的根本和源头入手进行安全防护体系建设，才能从根本上扭转被动局面，构建信息安全的主动式体系化防御体系。

发明内容

本发明针对现有技术的不足问题，提出了一种基于Windows操作系统中运行可执行文件的审计方法，通过生成可信应用列表（即，可信应用白名单），判断所有可执行文件是否存在于可信应用列表且仅执行可信应用列表中存在的可执行文件，从而Windows操作系统中运行可执行文件的审计，保障了系统的安全，包括以下步骤：

S100：设置服务器运行环境，包括运行https网页服务，用以提供操作接口及客户端通信；

S200：在客户端安装并运行主机安全加固软件，检查客户端和服务器之间的网络连接是否正常，其中，安装时设置服务器的IP地址和端口号，用以建立客户端和服务器之间的网络连接；

S300：客户端扫描自身系统分区中所有可执行文件，并采用DJBHash算法生成原始可信应用列表，其中，DJBHash算法用以校验并加密所述可信应用列表的记录，以确保所述记录的唯一性；所述可信应用列表的记录包含可信任的可执行文件的名称及路径；