技术领域
[0001] 本
发明涉及的是一种互联网信息安全技术领域的方法,具体是一种基于统一可扩展固定
接口(UEFI,Unified Extensible Firmware Interface)和Windows预安装环境(WinPE,Windows Preinstallation Environment)的安全防护方法。
背景技术
[0002] 随着网络应用和
电子商务的不断发展,
计算机系统的安全问题日益突出。现有的计算机系统及其安全防护手段显然不能满足应用对安全的需求,人们开始从计算
机体系结构上探寻全面彻底的安全解决方案。TCG(Trusted Computing Group,可信计算组织)拟定的可信平台规范就是其中一个很好的思路,已经得到大多数安全研究人员的认同。UEFI是Intel提出的全新计算机
固件接口标准,它正逐步取代传统的BI0S。UEFI提供了一个高效的嵌入式应用平台,可根据需要开发出各种各样特殊的应用。WinPE作为一个轻量级
操作系统,提供了操作系统的核心功能,在PE的支持下我们可以高效地实现许多安全防护功能。
[0003] 恶意代码(含传统
计算机病毒)防范是信息安全领域的难点之一。在当前,仅依赖运行在操作系统上的杀毒
软件来防范恶意代码是远远不够的,典型的问题包括:有些恶意代码会先于安全软件加载到系统,优先控制系统;有些恶意代码寄生在核心服务中,安全软件不能对其进行有效清除。现有恶意代码防范软件不能较好地处理上述情况。
[0004]
专利文献CN101436247A公开了一种基于UEFI的
生物身份识别方法及系统,该技术包括:预存用户的生物特征识别码;调用图形库用户身份认证界面;显示用户登录图形界面,提示用户输入生物身份识别数据信息;采集用户的生物身份识别数据信息;提取特征值,获得生物特征识别码;调用生物特征识别码与预存的生物特征识别码相比对;判断是否相匹配;如果相匹配,则用户认证成功。上述技术进行了身份认证,没有涉及恶意代码的防范内容。
[0005] 专利文献CN101587451A,公开了一种基于EFI固件的数据备份与恢复方法利,该技术通过EFI_BLOCK_IO_PROTOCOL(
块输入输出接口)对
硬盘扇区进行读/写操作,通过EFI_FILE_PROTOCOL(文件接口)对文件进行读/写操作。在接收到数据备份指令时,将源分区中的
引导扇区数据和所有文件备份入映像文件;在接收到系统恢复指令时,将映像文件中的引导扇区和文件数据信息写入目标分区。上述技术进行了数据备份与恢复工作,没有涉及恶意代码的防范内容。
[0006] 专利文献CN101482907A公开了一种基于
专家系统的主机恶意代码行为检测系统,该技术主要包括行为捕获模块、输出规格化处理模块、推理机和行为
知识库等内容,应用该系统能够检测具有特定行为的特征码已知或未知的恶意代码,该技术是目前恶意代码防范的典型代表系统,这类系统都在操作系统环境进行恶意代码的检测和清除工作,但是,却存在无法应付
内核级恶意代码的局面。
[0007] 专利文献CN102024114B公开了一种基于统一可扩展固定接口的恶意代码防范方法,通过采用UEFI提供的编程接口实现网络连接模块,维护远程
服务器上的基于特征码的恶意代码检查的恶意代码特征库以及用于数据恢复的程序备份;然后在本地硬盘创建一个存储空间,存储作为完整性检查信息的核心文件的
摘要集合和清理系统的垃圾信息及顽固数据的配置信息;最后执行恶意代码防范。该方法基于统一可扩展接口实现了先于操作系统加载的恶意代码防护功能,但是对于恶意代码的检测和清除,尤其是对当前流行的内核级恶意代码的防护功能还不够完善。
发明内容
[0008] 针对
现有技术中的
缺陷,本发明的目的是提供一种基于UEFI和WinPE的终端安全防范方法及系统。
[0009] 根据本发明提供的一种基于UEFI和WinPE的终端安全防范方法,包括以下步骤:
[0010] 步骤A:执行远程数据
访问,采用UEFI提供的网络编程接口,实现网络连接,访问远程服务器上的数据;
[0011] 步骤B:执行身份认证,基于UEFI实现的网络连接模块,与远程服务器进行身份认证;
[0012] 步骤C:执行内核文件防护,对操作系统中的核心文件执行完整性检查与恢复;
[0013] 步骤D:执行恶意代码检测,与远程服务器通信,下载恶意代码判别模型,操作系统内的恶意代码使用恶意代码判别模型进行处理;
[0014] 步骤E:执行第三方安全软件检测,根据安全软件列表,对于操作系统中安装的第三方安全软件进行完整性检查与恢复。
[0015] 优选地,所述远程服务器上的数据包括用户认证信息库、内核文件库、第三方安全软件库中任一个或任多个
数据库中的数据;
[0016] 用户认证信息库用于客户端的身份认证,远程服务器通过身份标识信息对客户端进行认证,身份标识信息包括唯一标识客户端的字符串、用户公钥;
[0017] 包括操作系统的核心程序的内核文件库用于数据的完整性检测与恢复;
[0018] 第三方安全软件库用于第三方软件的完整性检测与恢复。
[0019] 优选地,所述数据的完整性检测是,首先对所述操作系统的核心文件进行MD5摘要得到摘要信息,把摘要信息记录,当计算得到的摘要信息与存储的摘要不同时,则判定所述操作系统的核心文件遭到篡改。
[0020] 优选地,所述内核文件库是操作系统中系统路径下标识为Microsoft
版权的核心文件;内核文件库存储在远程服务器上,用于核心文件的完整性检测;如果核心文件被破坏,则从远程数据库下载更新以实现恢复。
[0021] 优选地,所述第三方安全软件库是,操作系统内安装的第三方安全软件程序的文件,将这些第三方安全软件程序的文件的信息存储在远程服务器上,用于程序的完整性检测;如果该文件被破坏,则从远程数据库下载更新以实现恢复。
[0022] 优选地,身份认证包含以下步骤:
[0023] 步骤S1:客户端将唯一标识用户的ID发送给远程服务器;
[0024] 步骤S2:远程服务器将用户ID与唯一标识用户的字符串连接,并计算MD5值,将再MD5值、时间戳、生成随机数三个字符串相连,使用用户公钥进行加密,将加密后的信息发回给客户端;
[0025] 步骤S3:客户端用本地存放的用户私钥对远程服务器发来的加密后的信息进行解密,解密后获得的MD5值与客户端本地存放的用户ID与唯一标识用户的字符串连接后计算的MD5值一致后,将解密获得的MD5值,连同远程服务器传送的随机数与用户ID、唯一标识用户的字符串相连,计算MD5值,再用私钥进行签名加密,将加密后的签名发送给远程服务器;
[0026] 步骤S4:远程服务器使用远程数据库中存储的用户信息进行计算得到的签名,与经解密后的客户端传送的加密后的签名相比较,若一致,则认证通过。
[0027] 优选地,所述的恶意代码判别模型是指基于
机器学习训练出的用于识别文件是否属于恶意代码的检测模型,将文件对象送入恶意代码判别模型检测,判定是否为恶意代码并对恶意代码进行清除、隔离或恢复处理;部分顽固数据根据安全配置,在UEFI环境下进行清除,其中,所述顽固数据是指被判定为恶意代码且未清除、隔离或恢复处理成功的代码。
[0028] 优选地,所述的安全软件列表,具体为,根据操作系统内注册表信息得到的安装软件列表,并进一步进行关键词筛选,获取已安装的安全软件列表。
[0029] 根据本发明提供的一种基于UEFI和WinPE的终端安全防范系统,包括如下模块:
[0030] 远程数据访问模块:执行远程数据访问,采用UEFI提供的网络编程接口,实现网络连接,访问远程服务器上的数据;
[0031] 身份认证模块:执行身份认证,基于UEFI实现的网络连接模块,与远程服务器进行身份认证;
[0032] 内核文件防护模块:执行内核文件防护,对操作系统中的核心文件执行完整性检查与恢复;
[0033] 恶意代码检测模块:执行恶意代码检测,与远程服务器通信,下载恶意代码判别模型,操作系统内的恶意代码使用恶意代码判别模型进行处理;
[0034] 第三方安全软件检测模块:执行第三方安全软件检测,根据安全软件列表,对于操作系统中安装的第三方安全软件进行完整性检查与恢复。
[0035] 优选地,所述远程服务器上的数据包括用户认证信息库、内核文件库、第三方安全软件库中任一个或任多个数据库中的数据;
[0036] 用户认证信息库用于客户端的身份认证,远程服务器通过身份标识信息对客户端进行认证,身份标识信息包括唯一标识客户端的字符串、用户公钥;
[0037] 包括操作系统的核心程序的内核文件库用于数据的完整性检测与恢复;
[0038] 第三方安全软件库用于第三方软件的完整性检测与恢复。
[0039] 所述数据的完整性检测是,首先对所述操作系统的核心文件进行MD5摘要得到摘要信息,把摘要信息记录,当计算得到的摘要信息与存储的摘要不同时,则判定所述操作系统的核心文件遭到篡改。
[0040] 所述内核文件库是操作系统中系统路径下标识为Microsoft版权的核心文件;内核文件库存储在远程服务器上,用于核心文件的完整性检测;如果核心文件被破坏,则从远程数据库下载更新以实现恢复。
[0041] 所述第三方安全软件库是,操作系统内安装的第三方安全软件程序的文件,将这些第三方安全软件程序的文件的信息存储在远程服务器上,用于程序的完整性检测;如果该文件被破坏,则从远程数据库下载更新以实现恢复。
[0042] 身份认证模块包含:
[0043] ID发送模块:控制客户端将唯一标识用户的ID发送给远程服务器;
[0044] 串接加密模块:令远程服务器将用户ID与唯一标识用户的字符串连接,并计算MD5值,将再MD5值、时间戳、生成随机数三个字符串相连,使用用户公钥进行加密,将加密后的信息发回给客户端;
[0045] 解密对比模块:令客户端用本地存放的用户私钥对远程服务器发来的加密后的信息进行解密,解密后获得的MD5值与客户端本地存放的用户ID与唯一标识用户的字符串连接后计算的MD5值一致后,将解密获得的MD5值,连同远程服务器传送的随机数与用户ID、唯一标识用户的字符串相连,计算MD5值,再用私钥进行签名加密,将加密后的签名发送给远程服务器;
[0046] 比对认证模块:令远程服务器使用远程数据库中存储的用户信息进行计算得到的签名,与经解密后的客户端传送的加密后的签名相比较,若一致,则认证通过。
[0047] 所述的恶意代码判别模型是指基于机器学习训练出的用于识别文件是否属于恶意代码的检测模型,将文件对象送入恶意代码判别模型检测,判定是否为恶意代码并对恶意代码进行清除、隔离或恢复处理;部分顽固数据根据安全配置,在UEFI环境下进行清除。
[0048] 所述的安全软件列表,具体为,根据操作系统内注册表信息得到的安装软件列表,并进一步进行关键词筛选,获取已安装的安全软件列表。
[0049] 与现有技术相比,本发明具有如下的有益效果:
[0050] 1、本发明的防范过程在操作系统加载前进行,对于依赖操作系统的恶意代码尚未运行之前进行查杀,恶意代码不能对该防范程序形成威胁,做到了先发制人的目的,可以实现真正的恶意代码防范。
[0051] 2、本发明的运行环境基于UEFI和WindowsPE双重环境,可以根据防护工作的特性选择相应的运行环境,确保防护
力度的同时提升运行效率。
[0052] 3、本发明能够在操作系统启动之前对内核文件进行修复,在用户启动系统前对系统进行安全防护工作。
[0053] 4、本发明的恶意代码的检测和清除不在操作系统中进行,可以实现全自动、一次性、彻底的恶意代码清除。
[0054] 5、本发明的身份认证模块既能保障用户操作系统的安全,又能确保防护软件自身的安全可靠。
附图说明
[0055] 通过阅读参照以下附图对非限制性
实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
[0056] 图1是本发明结构示意图。
[0057] 图2是本发明流程示意图
[0058] 图3是实施例身份认证模块示意图。
[0059] 图4是实施例内核文件防护模块示意图。
[0060] 图5是实施例恶意代码检测模块示意图,尤其示出了恶意代码文件与正常文件文件转
化成的灰度图像之间的对比效果。
[0061] 图6是实施例恶意代码图像转化示意图。
[0062] 图7是实施例机器学习训练模型示意图。
[0063] 图8是实施例第三方安全软件防护模块示意图。
[0064] 其中,在图3中,IDC表示用户ID标识;Ts表示远程服务器提供的时间戳;Ns表示远程服务器提供的随机数;Tc表示客户端提供的时间戳。
具体实施方式
[0065] 下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干
变形和改进。这些都属于本发明的保护范围。
[0066] 如图1所示,本发明提出的一种基于UEFI和WinPE的终端安全防范系统结构包括客户端与远程服务器这两部分,运行时与电脑终端的操作系统、UEFI环境以及WindowsPE环境进行交互。远程服务器包括远程数据访问模块,远程数据访问模块主要由存储与检测相关的远程数据库以及与客户端进行通信交互的交互模块组成。客户端包括身份认证模块、安全策略模块、文件完整性检测修复模块、恶意代码检测模块。文件完整性检测修复模块用于文件防护。
[0067] 如图2所示,本发明提出的一种基于统一可扩展固定接口和WinPE的终端安全防范方法,包括以下步骤:
[0068] 步骤A:执行远程数据访问,采用UEFI提供的UEFI网络编程接口,实现网络连接,访问远程服务器上的远程数据库;所述UEFI网络编程接口,具体为,UEFI提供丰富的网络协议编程接口。本发明在UEFI环境下实现网络连接客户端,通过Socket连接方式和远程服务器建立连接,并与远程服务器上的数据进行交互,维护远程服务器上的数据。
[0069] 所述远程服务器上的远程数据库主要包括用户认证信息库、内核文件库、第三方安全软件库;
[0070] 用户认证信息库用于客户端的身份认证,远程服务器通过身份标识信息对客户端进行认证,身份标识信息包括唯一标识客户端的字符串、用户公钥。
[0071] 本领域技术人员可以结合现有技术实现用户认证信息库的组织方式,在优选例中,用户认证信息库的组织方式如表1所示:
[0072] 表1
[0073]
[0074]
[0075] 内核文件库用于数据的完整性检测与恢复,内核文件库包括操作系统的核心程序,所述数据的完整性检查是,首先对所述操作系统的核心文件进行MD5摘要得到摘要信息,把摘要信息详细地记录,当计算得到的摘要与存储的摘要不同时,认为所述操作系统的核心文件遭到篡改;所述内核文件库是操作系统中系统路径下标识为Microsoft版权的核心文件。内核文件库存储在远程服务器上,可以用于核心文件的完整性检测。如果该文件被破坏,可以从远程数据库下载更新以实现恢复。
[0076] 本领域技术人员可以结合现有技术实现内核文件库的组织方式,在优选例中,内核文件库的组织方式如表2所示。
[0077] 表2
[0078]
[0079]
[0080] 第三方安全软件库用于第三方软件的完整性检测与恢复,所述第三方安全软件库是操作系统内安装的第三方安全软件,将这些程序的信息存储在远程服务器上,可以用于程序的完整性检测。如果该文件被破坏,可以从远程数据库下载更新以实现恢复。
[0081] 本领域技术人员可以结合现有技术实现第三方安全软件库的组织方式,在优选例中,第三方安全软件库的组织方式如表3所示。
[0082] 表3
[0083]
[0084]
[0085] 步骤B:执行身份认证,基于UEFI实现的网络连接模块,与远程服务器进行身份认证,如图3所示,身份认证包含以下步骤:
[0086] 步骤S1:客户端将唯一标识用户的ID发送给远程服务器;
[0087] 步骤S2:远程服务器将用户ID与唯一标识用户的字符串连接,并计算MD5值,将再MD5值、时间戳、生成随机数三个字符串相连,使用用户公钥进行加密,将加密后的信息作为认证消息发回给客户端;
[0088] 步骤S3:客户端用本地存放的用户私钥对远程服务器发来的信息进行解密,将解密获得的MD5值,连同远程服务器传送的随机数与用户ID、唯一标识用户的字符串相连,计算MD5值,再用私钥进行签名加密,将加密后的签名作为响应消息发送给远程服务器;
[0089] 步骤S4:远程服务器使用远程数据库中存储的用户信息进行计算,与客户端传送的响应信息相比较,若一致,则认证通过,给客户端发送确认信息。
[0090] 本领域技术人员可以结合现有技术实现认证过程用到的信息表征,在优选例中,认证过程用到的信息表征如表4所示。
[0091] 表4
[0092]
[0093]
[0094] 步骤C:执行内核文件防护,对操作系统中的核心文件执行完整性检查与恢复。内核文件防护流程如图4所示,首先与远程服务器通信,提供操作系统的版本信息,若版本信息与远程数据库不一致,则对数据库信息进行更新。随后远程数据库提供内核文件的列表与MD5值比对信息。客户端程序使用MD5值进行完整性检查。若发现文件破坏或缺失,将文件记录在日志文件中,并使用远程数据库中存储的备份文件进行恢复。
[0095] 所述的内核文件,具体为,操作系统中不可或缺的系统文件。Windows操作系统中文件属性标注有Microsoft出版的系统文件,也就是内核文件。
[0096] 所述的完整性检查,具体为,根据表2进行完整性检查。对于一个文件,若新生成的MD5值与表2中存储的MD5值相同,则认为文件没有被
修改过。若新生成的MD5值与表2中存储的不同,则认为该文件遭到了篡改,需要进行修复。修复的具体方法是从远程数据库中读取表2中的文件内容等信息,将其恢复到相应的文件路径下。
[0097] 步骤D:执行恶意代码检测,与远程服务器通信,下载最新的恶意代码判别模型,操作系统内的恶意代码使用判别模型进行处理,部分顽固数据根据安全配置,在UEFI环境下进行清除。恶意代码检测流程如图7所示,首先与远程服务器通信,与数据库中的判别模型进行比对,若发现新版本的判别模型,则首先进行模型的更新。随后客户端程序调用恶意代码判别模型对操作系统中的文件进行检测,若发现文件被判定为恶意代码,则对其进行清除、隔离、恢复等处理。部分顽固数据可根据安全配置,在UEFI环境下进行清除。
[0098] 具体地,所述的恶意代码判别模型是指基于机器学习训练出的用于识别文件是否属于恶意代码的检测模型,将文件对象送入恶意代码判别模型检测,判定是否为恶意代码并进行清除、隔离或恢复处理。
[0099] 判别模型的
训练数据是基于恶意代码转换而来的恶意代码图像文件。文件以二进制的形式读取,将读取到的内容按字节进行切割,并作为图像中一个
像素点的灰度值进行转化。每个文件转化为500×500大小的灰度图像,若文件内容不足,则在末尾以0补全。转化得到的恶意代码灰度图像如图5所示。正常文件与恶意代码文件转化成的灰度图像具有不同的纹理特征,可以用来作为判别恶意代码文件的依据。
[0100] 机器学习的训练结构如图6所示。模型的训练结构包含了5个卷积层,5个
池化层,以及全连接层。卷积层使用的卷积核大小分别为8、16、32、64、64。
[0101] 所述的顽固数据,具体为,在操作系统环境下无法删除的数据。这些数据可以在UEFI环境下删除。
[0102] 步骤E:执行第三方安全软件检测,根据安全软件列表,对于操作系统中安装的第三方安全软件进行完整性检查与恢复。第三方安全软件检测防护流程如图8所示,首先读取操作系统内的注册表信息,获取安全软件列表。将安全软件列表与远程数据库中信息进行比对,若发现有新安装的安全软件,则将其信息更新到远程数据库中。随后远程数据库提供相应的比对信息,客户端程序使用比对信息进行完整性检测。若发现软件被篡改,则将其记录到日志文件中,并对用户提出警示。
[0103] 所述的安全软件列表,具体为,根据操作系统内注册表信息得到的安装软件列表,并进一步进行关键词筛选,获取已安装的安全软件列表。根据操作系统内注册表信息
定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall路径,根据关键字段DisplayName以及InstallLocation获取安装程序的程序名称与安装路径。随后,根据安全软件的关键字对获取的程
序列表进行筛选,最终得到操作系统内已安装的安全软件列表。
[0104] 本实施例描述了基于UEFI和WindowsPE的恶意代码防范的详细过程。整个防护过程经历了远程数据访问、身份认证、内核文件防护、恶意代码检测、第三方安全软件防护等5个步骤。同时详细描述了远程数据库中数据的组织形式。本发明的重点在于,从在UEFI和WindowsPE环境中开发安全防护模块,从计算机加电开始对用户操作系统进行安全防护工作,直至用户成功进入操作系统。本实施例的优点:所有安全防护模块都在UEFI或WindowsPE下运行,能够在恶意代码发作之前进行查杀,能够在操作系统启动之前对内核文件进行修复,真正做到在用户启动系统前对其进行安全防护工作。具体而言,对于内核驱动级恶意代码,现有的
杀毒软件处理起来非常繁琐:需要用户自己手工启动到
安全模式下进行大量手工操作;需要频繁重启机器;清除不干净,有大量恶意代码文件残留等。本发明的检测和清除不在操作系统中进行,可以实现全自动、一次性、彻底的恶意代码清除。与此同时,身份认证模块使得本实施例既能保障用户操作系统的安全,又能确保防护软件自身的安全可靠。
[0105] 本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以
逻辑门、
开关、专用集成
电路、可编程逻辑
控制器以及嵌入式
微控制器等的形式来实现相同程序。所以,本发明提供的系统、装置及其各个模块可以被认为是一种
硬件部件,而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构;也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。
[0106] 以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在
权利要求的范围内做出各种变形或修改,这并不影响本发明的实质内容。在不冲突的情况下,本
申请的实施例和实施例中的特征可以任意相互组合。
