一种注册表完整性管理方法、系统及设备与流程

本发明涉及操作系统安全管理技术领域,具体地说是一种注册表完整性管理方法、系统及设备。

背景技术：

注册表是windows操作系统重要的系统组件，记录着系统和各种应用程序的设置信息。各种针对windows操作系统的攻击：病毒、木马等，都会通过修改注册表的方式来实现。因此针对注册表完整性的管理对主机安全领域有着重要的意义。

现有的注册表完整性多以检测工具的形式出现，通过安装的客户端上，运行监测工具，进行注册表完整性的检测。

在现有的企业环境中，大量地终端、复杂的网络已是常态，采用检测工具无法进行批量的统一集中管理，不符合现有的实际环境，

技术实现要素：

本发明实施例中提供了一种注册表完整性管理方法、系统及设备，以解决现有技术中利用检测工具对注册表完整性检测无法实现统一集中管理、不符合实际环境的问题。

为了解决上述技术问题，本发明实施例公开了如下技术方案：

本发明第一方面提供了一种注册表完整性管理方法，包括以下步骤：

s1，设置注册表策略并下发到客户端；

s2，采集注册表的基准值，并记录采集时间；

s3,根据所述注册表策略，检测注册表项的基准值是否发生变化，并显示注册表完整性的检测结果。

结合第一方面，在第一方面第一种可能的实现方式中，在步骤s1和步骤s2之间还包括步骤：

s12,更新基准值。

集合第一方面，在第一方面第一种可能的实现方式中，所述更新基准值的操作在进程修改后进行。

结合第一方面，在第一方面第二种可能的实现方式中，所述注册表策略包括分组策略和单台策略，所述分组策略影响整个分组内的所有客户端；所述单台策略影响当前客户端；每个客户端从分组策略和单台策略中择其一。

结合第一方面，在第一方面第二种可能的实现方式中，注册表策略的策略内容包括检测注册表基准值的频率和基准值的更新选项。

结合第一方面，在第一方面第三种可能的实现方式中，，所述显示注册表完整性的检测结果包括显示注册表的完整性状态，并在状态异常时，触发告警。

结合第一方面，在第一方面第三种可能的实现方式中，所述告警内容包括客户端名称、ip、检测时间、异常数与检测数的比值。

本发明第二方面提供了一种注册表完整性管理系统，所述系统包括：

策略管理模块，用于设置注册表策略并下发到客户端；

信息采集模块，用于采集注册表的基准值，记录采集时间；

检测显示模块，用于根据所述注册表策略，检测注册表项的基准值是否发生变化，并显示注册表完整性的检测结果。

结合第二方面，在第二方面第一种可能的实现方式中，所述系统还包括基准值处理模块，所述基准值处理模块在进修改行后，更新基准值。

本发明第三方面提供了一种包括所述注册表完整性管理系统的管理设备。

本发明第二方面的所述的管理系统和第三方面所述的管理设备均能够实现第一方面及第一方面的各实现方式中的方法，并取得相同的效果。

发明内容中提供的效果仅仅是实施例的效果，而不是发明所有的全部效果，上述技术方案中的一个技术方案具有如下优点或有益效果：

本发明实施例为复杂网络环境下，多台客户端的注册表提供了统一集中管理。通过注册表策略检测注册表基准值，并在单台客户端上显示注册表完整性详情，通过告警功能提示注册表完整性的异常状态。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明所述方法实施例一的流程示意图；

图2是本发明所述方法实施例二的流程示意图；

图3是本发明所述系统实施例一的结构示意图；

图4是本发明所述系统实施例二的结构示意图。

具体实施方式

为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

如图1所示，本发明注册表完整性管理的方法包括以下步骤：

s1，设置注册表策略并下发到客户端；

s2，采集注册表的基准值，并记录采集时间；

s3,根据所述注册表策略，检测注册表项的基准值是否发生变化，并显示注册表完整性的检测结果。

步骤s1中，注册表策略包括分组策略和单台策略。

分组策略影响到整个分组内的所有客户端，达到批量管理的目的；单台策略影响当前客户端。每个客户端从分组策略和单台策略中择其一，处于单台策略下，通过锁定可以选择分组策略，反之，通过解锁变为单台策略。

注册表策略的策略内容包括：定时检测开关以及定时配置，开关标识是否开始定时检测，定时配置包括配置定时检测的频率，如每天、每周或每月的某个时间点；是否更新基准值，下发策略后，客户端根据该项策略内容的设置对基准值是否更新进行相应操作。

步骤s2中，采集注册表的基准值时，记录客户端的当前时间，记录时间是为了根据策略内容的要求周期性对注册表完整性进行检测，同时进行告警显示的时候，显示该时间，便于工作人员进行异常排查。

基准值是注册表项的md5值，基准值通过注册表项的key和value来计算，计算过程可采用以下代码实现：

stringhash＝null；

for(regist:regists)

{

hash＝md5(hash+md5(regist.key:regist.value))

}

步骤s3中，在注册表的基准值发生变化时，说明注册表完整性出现了异常，相应的检测结果的状态为异常。显示注册表完整性的检测结果包括显示注册表的完整性状态，并在状态异常时，触发告警。

告警内容包括客户端名称、ip、检测时间、异常数与检测数的比值、异常原因。异常原因包括新增、删除、修改，若当前注册表项检测的基准值在采集的基准值内并没有匹配项，说明该注册表项为新增项；若采集的基准值在当前注册表项检测的基准值没有匹配项，说明该注册表项为删除项；若基准值的当前检测值域采集值不同，说明该注册表项为修改项。

如图2所示，对于检测结果为注册表完整性异常的情况，根据实际情况，执行步骤s12，如进程修改导致的注册表完整性异常，更新基准值。并重新进行注册表基准值的采集及检测。

在触发告警时，生成记录文件，包括，注册表项，采集时间，检测时间，异常原因(新增，删除，修改)。

如图3所示，本发明注册表完整性管理系统包括策略管理模块1、信息采集模块2和检测显示模块3。

策略管理模块1用于设置注册表策略并下发到客户端；信息采集模块2用于采集注册表的基准值，记录采集时间；检测显示模块3用于根据所述注册表策略，检测注册表项的基准值是否发生变化，并显示注册表完整性的检测结果。检测显示模块还包括注册表详情显示单元，该显示单元在采集时，显示所有注册表项的名称，完整性状态以及采集时间；检测后，在采集的基础上，新增检测时间，完整性状态(正常，异常)；当完整性状态为异常时，显示异常原因：新增、删除、编辑。

如图4所示，注册表完整性管理系统还包括基准值处理模块4，基准值处理模块4在进程修改后，更新基准值。

以上所述只是本发明的优选实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也被视为本发明的保护范围。