技術簡介

應用程式白名單技術係透過嚴格的程序控管，要求系統只能執行經由企業及設備廠商允許的合法程序，縱使駭客繞過層層防護進入系統底層，此技術仍可利用編碼驗證，禁止保護名單外之未知程式存取系統資源，可廣泛應用於車聯網、金融、國防、關鍵基礎設施等機敏服務平台安全防護。

在物聯網、智能裝置與無人載具等各式新興應用，為傳統資安防護機制帶來全新安全挑戰，目前發展中的新世代產品皆強調高智能與連網能力，但同時也為惡意程式布建了執行環境與攻擊缺口。經由網路連線控制，傳統資通設備操作方式與控制面多元化，進而使得聯網設備潛在攻擊面無限擴大，過往針對惡意行為特徵辨識，缺乏嚴謹認證機制的防禦方式，可預見未來恐遭受系統管理弱點入侵，及未知軟體漏洞的嚴峻威脅。

以「自駕車」為例，自駕車已完全進入物聯網範疇，在「萬物聯網，萬物皆可駭」的概念下，如果掛載的車載平台缺乏足夠防禦能量，自駕車將成為攻擊者手中最具威脅性的籌碼，一個指令就可以脅持車輛的煞車與引擎，將會引起嚴重的交通事故。

技術特色

• 應用程式白名單為一作業系統層級的程式完整性檢查程式，其檢測位階與傳統防毒軟體相同，皆透過系統核心驅動程式對作業系統核心所有相關程式執行點進行攔截與檢測。
• 白名單防禦技術部署檢測方法，第一種為在作業系統核心驅動程式中進行檢測，在效能上目前已能做到判斷時間達到50us以內的檢測效能，記憶體視檔案多寡而定也僅需要4~8MB。其二為統一在虛擬機監視器中對客體作業系統進行白名單檢測，此技術在實作上除本身白名單防禦外，將建置保護機制，能夠攔截除錯相關的系統呼叫、卸載指定驅動程式等行為以確保白名單防禦機制能夠正常運作，避免遭到惡意軟體關閉進而失去防護效能。
• 系統可透過記憶體為基礎的白名單技術進行更嚴格的程序管控，每個記憶體頁面 (memory page) 要執行的時候都檢查此頁面是否在白名單當中，避免保護名單外的可疑程序在平台內執行。此技術的優點在於惡意軟體無法得知作業系統是否有此保護機制的存在，並且能夠在極低運算成本條件下完成防禦建置，達到輕量化虛擬機防禦部署。
• 突破進階描述語言（Scripting）攻擊及行為式（Behavior）白名單管控等機制，針對作業系統中所有可執行的物件進行阻擋，範圍包含：二進制可執行檔、系統驅動程式、動態載入連結檔、與腳本語言的執行進行檢測辨識。

應用範圍

車聯網及金融、國防、關鍵基礎設施等機敏服務平台安全防護。

連絡窗口

黃彥程
電話：03-5919302
Email：dh@itri.org.tw
https://www.itri.org.tw/
工研院資訊與通訊研究所