一种智能捕获WINDOWS操作系统补丁更新文件的方法与流程

本发明涉及计算机技术领域，更具体的说是涉及一种智能捕获windows操作系统补丁更新文件的方法。

背景技术：

目前，随着工业互联网、物联网、云计算、移动互联网等技术的深入发展，it与ot加速融合，工业网络逐渐由封闭走向开放，网络安全威胁全面向工业环境渗透，工业网络安全问题日益凸显，与大众日常生活息息相关的能源通信、生产制造等重要领域频繁遭受安全攻击。工业网络环境中的工程师站、操作员站、数据服务器等关键设施，是安全攻击的重点目标，著名的“震网”、“勒索”、“挖矿”等病毒都是以工业终端为目标，给工业生产造成了巨大的损失。

传统的杀毒软件是防范终端病毒木马的一种有效手段，但它对于系统内存资源、cpu资源的占用比较高，非常影响老旧的工业终端设备的运行效率；另外，工业环境以可用性为第一诉求，杀毒软件的潜在误杀行为会对工业生产造成严重的挑战。再者，工业生产环境相对孤立，杀毒软件的病毒库更新会严重滞后，往往难以检测新的病毒木马。

为了应对这种安全威胁，业界推出了应用白名单技术，以严格的程序准入方式来固化工业终端的运行环境，默认拦截一切未知可执行程序和脚本的执行，可有效抵御已知和未知的恶意代码，保障工业主机的安全。

但是，应用白名单管控技术之后，操作系统自身的补丁更新机制无法运行了。因为，补丁更新包要更新的文件都是白名单所不认识的，自然无法执行，这给实际的工业生产环境造成了不小的困扰。

目前，各安全厂商应对系统补丁更新的办法，采取的是人工处理方式，基本步骤是：1)暂停白名单管控机制；2)执行系统补丁更新操作；3)重新扫描本地的二进制程序，构建白名单；4)开启白名单管控。这种方法一需要人工介入；二需要重复扫描所有的文件，效率低下；三要暂停白名单保护机制，为非法程序的运行提供可乘之机。

因此，如何提供一种智能捕获windows操作系统补丁更新文件的方法是本领域技术人员亟需解决的问题。

技术实现要素：

有鉴于此，本发明提供了一种智能捕获windows操作系统补丁更新文件的方法。

为了实现上述目的，本发明采用如下技术方案：

一种智能捕获windows操作系统补丁更新文件的方法，所述方法包括以下步骤：

步骤一、捕获补丁更新包，存储在补丁更新包列表中，并将获取的补丁更新包列表中的exe升级包添加到补丁更新追踪队列；

步骤二、基于补丁更新追踪队列，标记补丁更新进程；

步骤三、捕获更新程序的文件更新操作；

步骤四、捕获重启替换任务信息；

步骤五、根据捕获的信息，检查每一个待更新文件的签名信息；

步骤六、判断所述签名信息是否为微软签名，若是，则计算文件的hash值，并更新到白名单列表中；否则，忽略该文件。

优选的，所述步骤一之前包括：补丁更新程序启动更新检查，下载补丁更新包列表。

优选的，所述步骤一包括补丁更新程序调度并运行exe类型更新程序或msu类型更新程序。

优选的，所述步骤二包括：所述更新进程包括exe类型的更新进程或msu类型的更新进程。

优选的，所述步骤三包括：所述文件更新操作包括新建和重命名操作。

优选的，所述步骤四包括：补丁更新程序将待更新文件存放在固定位置，设置重启替换任务信息，文件系统监控程序捕获所述重启替换任务信息，等待执行重启替换任务。

优选的，所述重启替换任务信息包含待更新文件的当前存放路径、重启后所述待更新文件存放的位置。

优选的，所述一种智能捕获windows操作系统补丁更新文件的方法的实现方式通过文件系统监控程序捕获控制实现。

现有技术中，专利公开号为cn101788915a的专利基于可信进程树的白名单更新方法提出一种基于可信进程树的白名单更新方法，该方法可有效用于单一安装程序进行软件更新的场景，但系统补丁更新机制是多进程协同进行的，而且，操作系统文件一般处于使用状态，很多情况下都需要重启更新才能生效。该方法并不能解决系统补丁更新场景下的白名单更新问题。专利公开号为cn105183504a的基于软件服务器的进程白名单更新方法，提供了一种通过软件服务器捕获软件更新信息，并分享给所有使用者的方案，并不能解决本机的补丁更新问题。

经由上述的技术方案可知，与现有技术相比，本发明公开提供了一种智能捕获windows操作系统补丁更新文件的方法，通过文件系统监控程序捕获补丁更新服务下载的文件，并将exe升级包添加到补丁更新追踪队列；在补丁更新服务启动更新程序时，基于补丁更新追踪队列，标记更新进程；文件系统监控程序捕获更新进程的新建和重命名操作；文件系统监控程序捕获更新程序设置的重启替换任务信息；文件系统监控程序根据捕获的信息，检查每一个待更新文件的签名信息；对于微软签名的更新文件，计算文件的hash值，并更新到白名单列表中。其中，补丁更新流程包括：补丁更新服务启动更新检查；下载待更新补丁文件列表；启动exe更新程序或启动msu更新程序；执行更新；判断是否需要重启替换；如需要重启替换，则设置重启替换任务，完成补丁更新，按需要重启；如不需要重启替换，则完成补丁更新。本发明实现了白名单管控模式下，windows系统补丁更新时，系统更新文件的自动捕获与添加白名单，保障系统补丁更新机制的正常运行，减少操作系统自身的漏洞；白名单更新过程仅针对修改的文件，极大提升了手工模式下的更新效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1附图为本发明提供的更新捕获程序流程图。

图2附图为本发明提供的补丁更新程序流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种智能捕获windows操作系统补丁更新文件的方法，所述方法包括以下步骤：

步骤一、捕获补丁更新包，存储在补丁更新包列表中，并将获取的补丁更新包列表中的exe升级包添加到补丁更新追踪队列；

步骤二、基于补丁更新追踪队列，标记补丁更新进程；

步骤三、捕获更新程序的文件更新操作；

步骤四、捕获重启替换任务信息；

步骤五、根据捕获的信息，检查每一个待更新文件的签名信息；

步骤六、判断签名信息是否为微软签名，若是，则计算文件的hash值，并更新到白名单列表中；否则，忽略该文件。

为了进一步优化上述技术方案，步骤一之前包括：补丁更新程序启动更新检查，下载补丁更新包列表。

为了进一步优化上述技术方案，步骤一包括补丁更新程序调度并运行exe类型更新程序或msu类型更新程序。

为了进一步优化上述技术方案，所述步骤二包括：所述更新进程包括exe类型的更新进程或msu类型的更新进程。

为了进一步优化上述技术方案，步骤三包括：文件更新操作包括新建和重命名操作。

为了进一步优化上述技术方案，步骤四包括：补丁更新程序将待更新文件存放在固定位置，设置重启替换任务信息，文件系统监控程序捕获重启替换任务信息，等待执行重启替换任务。

为了进一步优化上述技术方案，重启替换任务信息包含待更新文件的当前存放路径、重启后待更新文件存放的位置。

为了进一步优化上述技术方案，一种智能捕获windows操作系统补丁更新文件的方法的实现方式通过文件系统监控程序捕获控制实现。

8、本发明公开提供了一种智能捕获windows操作系统补丁更新文件的方法，通过文件系统监控程序捕获补丁更新程序下载的补丁更新包列表，并将exe升级包添加到补丁更新追踪队列；在补丁更新程序调度并运行exe类型更新程序或msu类型更新程序时，基于补丁更新追踪队列，标记更新进程；文件系统监控程序捕获更新进程的新建和重命名操作；补丁更新程序将待更新文件存放在固定位置，设置重启替换任务信息，文件系统监控程序捕获所述重启替换任务信息，等待执行重启替换任务；文件系统监控程序根据捕获的信息，检查每一个待更新文件的签名信息；对于微软签名的更新文件，计算文件的hash值，并更新到白名单列表中。其中，补丁更新流程如图二所示，包括：补丁更新服务程序启动更新检查；下载待更新补丁文件列表；启动exe更新程序或启动msu更新程序；执行更新；判断是否需要重启替换；如需要重启替换，则设置重启替换任务，完成补丁更新，按需要重启；如不需要重启替换，则完成补丁更新。本发明实现了白名单管控模式下，windows系统补丁更新时，系统更新文件的自动捕获与添加白名单，保障系统补丁更新机制的正常运行，减少操作系统自身的漏洞；白名单更新过程仅针对修改的文件，极大提升了手工模式下的更新效率。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。