CN101594248A - 信息安全和系统维护的远程协助方法、系统及服务器 - Google Patents
信息安全和系统维护的远程协助方法、系统及服务器 Download PDFInfo
- Publication number
- CN101594248A CN101594248A CNA2008101129809A CN200810112980A CN101594248A CN 101594248 A CN101594248 A CN 101594248A CN A2008101129809 A CNA2008101129809 A CN A2008101129809A CN 200810112980 A CN200810112980 A CN 200810112980A CN 101594248 A CN101594248 A CN 101594248A
- Authority
- CN
- China
- Prior art keywords
- client
- assist server
- diagnostic message
- apocrypha
- assist
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明披露了一种信息系统维护的远程协助方法和系统。在一个方案中,提供一种由协助服务器为客户端提供信息系统维护的远程协助方法,协助服务器与客户端通过网络互联,其特征在于所述方法包括下列步骤:所述客户端监控自身的运行以确定是否有系统异常;所述客户端搜集与系统异常有关的诊断信息,并将搜集的所述诊断信息发送至所述协助服务器;所述协助服务器基于所述诊断信息,对系统异常进行分析,并且向客户端提供相应的解决方案;以及,所述客户端实施所述解决方案。利用本发明能够让用户得到便利的日常维护服务,尤其是能够有效免疫、与安全风险彻底隔离。
Description
技术领域
本发明涉及系统维护领域,尤其是信息安全领域。
背景技术
随着计算机、互联网等信息技术的日益普及和应用,对于信息系统(包括计算机系统)的维护,尤其是信息安全等需要较强专业性、较深技术性的服务的需求日益增强。IT服务外包已经深入到企业用户,成为各类企业日常营运不可或缺的一部分。另外,经验表明,需要维护和处理的问题中绝大部分属于与病毒、木马等恶意软件相关的问题。其余的也多与软件安装、系统配置等相关。
尤其值得关注的是,随着社会信息化程度的不断提高,网络犯罪情形日益严重。尽管现有的系统维护方式中应对恶意软件、病毒、木马等攻击的解决方案丰富多样,但攻击(尤其是通过互联网)个人电脑、服务器、或者其他计算机化装置的事件(例如改变数据、窃取数据或破坏数据等)仍然越来越频繁地发生。据统计,2007年被安全公司查杀到的新的恶意软件有近30万种。显然,病毒、木马乃至恶意软件已有产业化、规模化的趋势,而且其隐蔽性也进一步加强。
迄今为止所有的针对病毒、木马等恶意软件的问题解决方案中,其本质上都有很大的局限性,因为它们只是表面上解决了有限的几个问题,而没有应对产业化、隐蔽化日渐增强的恶意软件的根本办法。大部分解决方案都是一些杀毒软件或者网络防火墙之类,其难以及时、准确地应对恶意软件的攻击。杀毒软件主要是采用黑名单过滤的方式,但它们只能检测出那些已知的病毒或蠕虫等,而对未知的或者以目前技术无法判断的病毒或变种则任其肆虐,用户只能等到相应安全公司识别出未知病毒或其变种后,通过更新/下载新的病毒库才能查杀这种恶意软件,而此时用户数据可能早已被窃取或破坏。网络防火墙则是采用特定格式数据包放行的方式,但其为这些数据包制订的过滤规则仍有局限性,一旦程序发生了错误或遇到不良程序巧妙伪装的情况等,不良程序仍可能控制计算机、服务器、甚至整个网络,而此时防火墙则对此束手无策,任其控制用户系统。
而且,在上述现有的针对病毒、木马等恶意软件的问题解决方案中,用户通常需要在客户端下载和/或安装体积庞大的病毒库和杀毒引擎来实现对恶意软件的防范,这无疑增加了用户系统及整个网络链路的负担。目前主流杀毒软件的病毒库体积普遍在几十兆以上,用户在下载、安装病毒库时存在时间过长的问题,而且在数据传输过程中也存在误包率较高的风险。这种情形在用户不断更新/下载新病毒库或升级数据量较大的病毒库时越发明显。
此外,在上述的针对病毒、木马等恶意软件的问题解决方案中其解除病毒威胁的手段也往往比较单一,而且即便识别出病毒体,但无法杀除病毒的情形也时有发生。仅依靠单独的杀毒软件无法提供更多、更有效的彻底清除病毒的手段。
再者,当信息系统在软件安装、系统配置等相关方面出现问题时,现有的传统维护手段和问题解决手段也往往比较烦琐,诸如由信息提供商上门服务等,不但服务成本高而且服务周期也比较长。
发明内容
本发明的目的在于提供一种信息系统维护的远程协助机制,其包含相应的方法及系统,利用该机制能够让用户与安全风险有效隔离,防止恶意软件尤其是新型恶意软件的攻击和感染。
本发明的另一目的在于提供一种信息系统维护的远程协助机制,其包含相应的方法及系统,利用该机制能够减轻用户系统本身以及网络通信的负担,使用户无需时刻关注病毒库版本,也无需在客户端不断更新下载数据,即能确保系统安全。
本发明的另一目的在于提供一种信息系统维护的远程协助机制,其包含相应的方法及系统,借助该机制能够为用户提供更多、更有效的彻底解除恶意软件威胁的办法。
本发明的另一目的在于提供一种信息系统维护的远程协助机制,其包含相应的方法及系统,借助该机制能够为用户提供信息系统的日常维护并相应信息系统出现的各种问题提供解决方案。
为了实现上述目的,本发明在第一方面提供一种由协助服务器为客户端提供信息系统维护的远程协助方法,协助服务器与客户端通过网络互联,其特征在于所述方法包括下列步骤:所述客户端监控自身的运行以确定是否有系统异常;所述客户端搜集与系统异常有关的诊断信息,并将搜集的所述诊断信息发送至所述协助服务器;所述协助服务器基于所述诊断信息,对系统异常进行分析,并且向客户端提供相应的解决方案;以及,所述客户端实施所述解决方案。
在第一方面的远程协助方法的例子中,所述系统异常是安全性可疑的文件;所述协助服务器分析并且提供解决方案的步骤包括协助服务器基于所述诊断信息对安全性可疑文件进行安全性分析,确定所述可疑文件是否为存在安全隐患的文件;若协助服务器判定所述安全性可疑文件为存在安全隐患的文件,则提供相应的解决方案。
在第二方面,本发明还提供一种客户端,其与协助服务器通过网络互联,其特征在于所述客户端包括:监控自身的运行以获得可疑文件的监控模块;所述监控模块搜集可疑文件的诊断信息,以便将搜集的所述诊断信息发送至所述协助服务器;接收来自所述协助服务器的解决方案并且加以实施的模块;其中所述解决方案由协助服务器基于所述诊断信息对可疑文件进行安全性分析,并且在确定所述可疑文件为存在安全隐患的文件的情况下提供的。
在第三方面,本发明还提供一种协助服务器,其与客户端通过网络互联;其特征在于所述协助服务器包括:接收来自客户端的诊断信息,并基于所述诊断信息进行安全性分析,以便确定所述客户端获得的可疑文件是否为存在安全隐患的文件的模块,其中所述诊断信息是由客户端在监控自身的运行时所获得可疑文件的诊断信息;和,若判定所述可疑文件为存在安全隐患的文件,向客户端提供相应的解决方案的模块。
在第四方面,本发明还提供一种信息系统维护的远程协助系统,包括第二方面的客户端和第三方面的协助服务器。
在第五方面,本发明还提供一种由协助服务器为客户端提供信息系统维护的远程协助方法,协助服务器与客户端通过网络互联,其特征在于所述方法包括以下步骤:客户端监控自身运行以确定是否有系统异常;客户端搜集与系统异常有关的诊断信息;客户端将所述诊断信息发送至所述协助服务器;所述协助服务器基于所述诊断信息进行系统异常的分析,确定系统异常的解决方案;若所述协助服务器无法确定针对系统异常的解决方案,则向至少一个协助机发布协助请求;所述至少一个协助机响应所述协助请求并向协助服务器发出确认消息;所述协助服务器基于所述至少一个协助机的确认消息,将所述至少一个协助机的至少一个与客户端配对,协助客户端与至少一个协助机中的所述至少一个建立网络连接;所述至少一个协助机中的所述至少一个登录客户端进行协助处理,并给出相应的解决方案。
在第五方面的远程协助方法的一个例子中,系统异常是安全性可疑的文件;所述协助服务器分析并且确定解决方案的步骤包括协助服务器确定安全性可疑文件是否为存在安全隐患的文件,并且/或者确定解除所述客户端的存在安全隐患的文件的解决方案。
在第六方面,本发明还提供一种协助服务器,其与客户端通过网络互联,其特征在于所述协助服务器包括:接收客户端发来的诊断信息,并基于所述诊断信息进行安全性分析,以便确定所述客户端获得的可疑文件是否为存在安全隐患的文件的模块;若所述协助服务器无法确定是否为存在安全隐患的文件或无法解除所述客户端的存在安全隐患的文件,则向所述至少一个协助机发布协助请求的模块;基于所述至少一个协助机的确认消息,将所述至少一个协助机的至少一个与客户端配对,协助客户端与至少一个协助机中的至少一个建立网络连接的模块,以便所述至少一个协助机中的所述至少一个登录客户端进行协助处理,并给出相应的解决方案。
在第七方面,本发明还提供一种客户端,其与协助服务器通过网络互联,其特征在于所述客户端包括:监控自身运行以获得可疑文件的监控模块;所述监控模块搜集可疑文件的诊断信息;将所述可疑文件的诊断信息发送至所述协助服务器的模块;应所述协助服务器的将所述至少一个协助机的至少一个与客户端配对的要求,与至少一个协助机中的所述至少一个建立网络连接的模块,以便所述至少一个协助机中的所述至少一个登录客户端进行协助处理,并给出相应的解决方案;其中所述配对要求是所述协助服务器基于所述诊断信息进行可疑文件的安全性分析时无法确定是否为存在安全隐患的文件或无法解除所述客户端的存在安全隐患的文件的情况下发出的。
在第八方面,本发明还提供一种信息系统维护的远程协助系统,包括第七方面的客户端和第六方面的协助服务器。
前文所述的诊断信息可以是以下系统信息的一项或多项:注册表;软件安装;活跃进程及进程历史记录;网络链接;文件目录;驱动程序;需要关键资源的程序或进程;上述各项系统信息之间的创建、调用、修改、删除、或关闭关系。
与现有技术相比,本发明通过上述机制提供完善、便利的各种信息系统的日常维护服务,尤其是能够及时发现恶意软件的侵袭,并能给出完善的解决方案。通过远程协助机制进行异常分析或安全性分析,能够节约维护服务成本,并能让用户充分享受远程协助的便利。
附图说明
下面将参照附图对本发明的具体实施方案进行更详细的说明,其中:
图1为本发明第一实施方案的信息系统维护的远程协助系统结构示例图;
图2为图1所示系统的远程协助机制的处理流程示例图;
图3为本发明第二实施方案的信息系统维护的远程协助系统结构示例图;
图4为图3所示系统的远程协助机制的处理流程示例图。
图5为本发明协助服务器的优选结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚,以下结合附图以及实施例对本发明的远程协助机制的优选方案进行详细说明。应当理解,此处所描述的具体实施方式仅仅是用以解释本发明的远程协助的发明构思,并不用于限定本发明。
图1为本发明第一实施方案的信息系统维护的远程协助系统的结构示例图。如图1所示,本发明的远程协助系统包括客户端110以及协助服务器120,客户端110与协助服务器通过网络130相互通信。客户端110基于本地的监控模块112对客户端的运行进行监控,并获得可疑文件,并且搜集可疑文件的诊断信息,为本发明的远程协助机制提供支持。协助服务器120根据监控模块112上传的可疑文件的诊断信息为客户端110远程提供安全协助,进而保障客户端110的信息安全与正常运行。
图2为图1所示系统的远程协助机制的处理流程示例图。应当理解的是,本发明的各处理流程可以对应为或组合为相应的产品模块或装置。
如图2所示,本发明第一实施例的远程协助处理流程包括以下内容:
在步骤200中,客户端110的监控模块112监控系统运行,并获得可疑文件。
在步骤202中,客户端110搜集可疑文件的相关诊断信息。
在步骤204中,客户端110向协助服务器120发出求助请求,并上传搜集的诊断信息。
在步骤206中,协助服务器120响应客户端110的请求,根据上传的诊断信息,人工分析或通过分析工具确定可疑文件是否为病毒文件。
如果在步骤206中,根据当前的诊断信息能够判定可疑文件是病毒文件,则转入步骤214。
如果根据当前的诊断信息无法准确判定可疑文件是否为病毒或无法判定其种类时,则转入步骤208。在步骤208中向客户端110反馈指令,进一步要求更多的系统、文件信息。例如发现某个驱动是没有签名的,而且没有公司信息,虽然其诊断信息(如特征码)不在病毒库中,但需要其全部文件内容才可以确定是否有害。也就是说,虽然根据当前病毒库的检测结果判定可疑文件为“安全文件”,但本发明仍由协助服务器120向客户端110发出指令:如提取某个文件、某个注册表的内容等,从而获得完整的诊断信息,以做进一步的判定。
在步骤210中,客户端110根据协助服务器120的要求收集更多的诊断信息,如文件、系统信息,并上传给协助服务器120。
协助服务器120在步骤212中根据进一步的诊断信息,人工分析或通过分析工具确定可疑文件是否为病毒文件。
若在步骤212中确定可疑文件是病毒文件则转入步骤214中,若确定可疑文件为安全文件则转入步骤218中。
在步骤214中,协助服务器120相应于病毒的确认给出安全问题的解除办法。具体而言,在确定了恶意程序后,对已知病毒,向客户端110发送专杀工具或处理脚本,对找到的可疑程序,向客户端110发送处理命令,如终止相关进程、隔离相关文件、删除启动项目等等。
客户端110在步骤216中实施协助服务器120给出的安全问题解除指令并向协助服务器120确认问题的解决。例如客户端110收到相关指令后,执行专杀工具或处理脚本、逐步终止相关进程、或隔离文件、删除注册表(删除前备份)等。当安全问题解除后,客户端110向协助服务器120发送确认信息。
在步骤218中,协助服务器120相应于问题解除的确认信息或相应于文件安全的判定而向客户端反馈结果,进而结束本次远程协助。
此外,较佳的是,在步骤206中,协助服务器本身也包含类似白名单的架构,由此可以根据诊断信息先确认文件是否为安全的文件,若文件安全则向客户端反馈结果,若不能确定文件为安全文件,则进行其后的步骤208至步骤218。藉此,对于客户端白名单不全、而文件本身安全的情形下,可以藉由协助服务器所具有的更大容量的白名单快速地向客户端反馈结果,减少客户端110的等待时间。
接下来以磁碟机病毒为例对本发明的远程协助处理流程进行说明。应当明确的是,这里的磁碟机病毒仅是实施本发明远程协助流程的一个举例,而不应作为实施本发明的限制。
客户端110中的监控模块112监控客户端的运行,并获取可疑文件A。该可疑文件A的获得是基于客户端的基本病毒库过滤,通过已知的病毒特征串或病毒技巧特征对客户端上的文件/进程进行判断,当发现疑似文件或未知文件时,将其作为可疑文件。
此外,优选的,该可疑文件的获得是基于客户端110的白名单过滤,该白名单中包含已知的安全文件的特征集合。这一集合的数量没有限制,可以视客户端的情况而定。诸如客户端的白名单中仅包含基本的安全文件的集合,或是根据客户端需求装载一比较全面的安全文件的集合。本发明通过客户端的白名单过滤客户端运行的文件、系统进程等,放行已知的没有问题的、安全的文件,而对于其他的文件则一律予以阻挡,并将其作为可疑文件。藉此可以将客户端与病毒等不安全因素有效隔绝,彻底地保障客户端的信息安全。
客户端110针对可疑文件A搜集相关的诊断信息,其诊断信息可以是可疑文件的特征信息,如特征码、关键值等。
此外,优选的,该诊断信息为经过白名单过滤后的系统信息,包括但不限于以下系统信息或其组合:1)注册表;2)软件安装;3)活跃进程及进程历史记录;4)网络链接;5)文件目录;6)驱动程序;7)需要关键资源的程序或进程;8)上述各项系统信息之间的创建、调用、修改、删除、或关闭关系等。通过搜集客户端运行的相关系统信息作为诊断信息,即便恶意软件是由多于一个的模块组成时,本发明也能准确地判断是否为病毒文件。比如有些程序如果缺少其他的模块将无法执行,但一旦有了其他的模块,这个程序将成为一个典型的病毒文件或木马。因此此时将单个文件的特征信息上传基本无法做出正确的判断,所以也无法断定其是否有害,而将经过白名单过滤后的系统信息作为诊断信息则可全面地评估该可疑文件及其关联文件对客户端系统的影响,进而可有效断定文件是否有害。
在这里,作为示例,提取的诊断信息是根据已知病毒的行为特征,从用户系统提取的文件、注册表、进程等系统信息。客户端110搜集的该可疑文件A的相关诊断信息包含下列内容:
1、注册表信息,其中包括:
1.1自运行项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
1.2软件安装信息
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
HKEY_LOCAL_MACHINE\SOFTWARE
HKEY_CURRENT_USER\Software
1.3系统信息
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
2、进程信息,其中包括:
当前活跃的进程信息(进程路径进程父子关系等),进程使用的DLL文件信息。
3、文件信息,其中包括:
注册表信息和进程信息中相关文件的版本号、公司名称、签名信息、修改时间、文件特征码等。
当客户端110将相关诊断信息搜集完毕后,通过网络130向协助服务器120发出求助请求,并将搜集的诊断信息进行压缩和/或加密,发送给协助服务器120。协助服务器120收到压缩和/或加密的诊断信息后,进行相应的解压和/或解密并对诊断信息进行诊断分析,其诊断方式可以是人工分析或通过分析工具分析。其中,本发明所使用的分析工具包括但不限于现有的各种病毒查杀工具,诸如各种自动安全工具、恶意软件检测工具等。
此外,优选的是,本发明的诊断方式中包含正常软件的确认工具。
而且,当协助服务器120通过分析工具对可疑文件进行分析时,协助服务器120包含一数据库,藉此,分析工具可以对可疑文件进行安全性分析。
在这里,作为示例,协助服务器120基于上述搜集的关于可疑文件A的诊断信息,通过数据特征解析和数据库查询后,得到以下关键信息:
Run项为空
HKEY_LOCAL_MACHINE
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}不存在
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows
AppInit_DLLs=%SYSTEM%\dnsq.dll.此项默认为空
每个进程中都加载了非系统DLL:dnsq.dll
发现进程smss.exe、netcfg.000、lsass.exe。
通过数据库查询,可以发现该客户端110中了磁碟机病毒。此时,协助服务器120基于该可疑文件A为磁碟机病毒的确认,向客户端提供相应的解决方案。
此外,当发现可疑的项目,而相关信息不全时,协助服务器120反馈给客户端110指令:如提取某个文件、某个注册表的内容。
在此假设磁碟机病毒是未知病毒,基于现有的诊断信息无法断定,而通过注册表的特殊信息,可以确定还需要提取dnsq.dll,因为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows的AppInit_DLLs默认是空的,此处对应的文件,必定是可疑的。
当客户端110收到指令后,向协助服务器120发送其需要的进一步的诊断信息。需要进一步搜集的诊断信息视具体现象或情况而定,如可疑文件本身或进一步的具体注册表内容等,其包含或体现的信息比首次上传的诊断信息更为详细、完整。诸如首次上传的诊断信息为可疑文件的特征码,而进一步搜集的诊断信息可包括相关的系统运行信息、和/或可疑文件本身等。在这里,作为示例,客户端110向协助服务器120发送其需要的注册表内容dnsq.dll。
协助服务器120端在接收到进一步的文件或注册表内容dnsq.dll后,根据反汇编获得的API信息,确定此文件的动作范围:如进程钩子、注册表操作等。在确定了该可疑文件A是磁碟机病毒后,协助服务器120根据客户端110的相关信息,向客户端110以下解决方案:
正确的注册表信息(Run ControlSet AppIni DLL等);
需要删除的文件:dnsq.dll(钩子)、smss.exe、lsass.exe(仿冒系统进程)。
客户端110收到命令后,执行专杀工具或处理脚本、逐步终止相关进程、隔离文件、删除注册表(删除前备份)。此外,客户端110也可在处理结束后,重启系统,检查系统是否正常。当问题解除/系统运行正常时,客户端110向协助服务器120发送确认信息。
本实施例中,优选的,协助服务器120基于其对病毒的研究或对新型病毒的认知不断更新其数据库,以最大限度应对新型病毒的攻击,从而为客户端提供全面的安全保障。此外,对于每次解决问题的解决方案,若其数据库中不存在,则也相应添加到数据库中。
本实施例中,优选的,客户端110还包括存储模块,用于将协助服务器120发送的问题解决方案做本地保存,以减少网络通信的负担及风险,并能快速应对此后的同类问题。
图3为本发明第二实施方案的信息系统维护的远程协助系统结构示例图。如图3所示,为了给用户提供更新、更全面的信息安全服务,本发明提出了另一种远程协助机制,其包括客户端310以及协助服务器320。此外,还包括至少一个协助机330。客户端310、协助服务器320以及至少一个协助机330通过网络340相互通信。其中,协助服务器320与客户端310之间的交互流程如第一实施例所述。本实施例通过至少一个协助机30的远程协助,可更有效地应对各种病毒的攻击,尤其面对层出不穷的新型病毒,该机制可直接为用户提供彻底的解决方案。
图4为图3所示系统的远程协助机制的处理流程示例图。应当理解的是,本发明的各处理流程可以对应为或组合为相应的产品模块或装置。
如图4所示,当协助服务器320无法满足客户端310的需求时,即协助服务器通过诊断分析仍不能确定可疑文件是否为病毒文件时,或协助服务器给出的解决方案仍然不能解决客户端的安全问题时,在步骤400中,协助服务器320向至少一个协助机330发布协助请求。
在步骤402中,至少一个协助机330响应所述协助请求并向协助服务器发出确认消息。
在步骤404中,协助服务器320基于所述至少一个协助机的确认消息,将所述至少一个协助机330与客户端310配对,协助客户端310与至少一个协助机330中的一个如协助机332建立连接。
在步骤406中,协助机332登录客户端310进行协助处理,并给出安全问题的相应解决方案。诸如协助机332可以根据客户端310之前提交的诊断信息和远程看到的现象,进行分析。如协助机查看所有的隐藏文件,发现autorun.inf信息,做相关监控,并进一步发现释放autorun.inf的程序或模块,再向用户提供清除病毒文件的脚本或程序文件。
在步骤408中,客户端310执行协助机332给出的解决方案,并向协助服务器320确认问题解决。
此外,本实施例中,优选的,至少一个协助机330的拥有者可以是有经验的病毒专家或相关领域的爱好者。通过本发明的这一远程协助机制,一方面不但能为客户端310提供有效的和/或最新的解决方案,或是提供多种解决方案供客户端根据其实际情况选择采用;另一方面,这一远程协助机制也能够为有兴趣的专业或非专业人士提供展示才能或研究交流的平台。
而且,除本实施例之外,协助服务器320与至少一个协助机330之间不仅可以通过网络互联,还可以通过诸如即时通信工具、短信、电话、Email等通讯方式相互传递信息。
本实施例中,优选的,在步骤400中,协助服务器320发布一个或多个协助请求,所述至少一个协助机330选择其愿意接受的协助请求并向协助服务器320发出确认消息。协助服务器320接受多个协助机332-338对于同一协助请求的确认信息,并将其加入同一队列等待配对。
此外,协助服务器还可以将相关的诊断信息及协助请求同时发布,以便至少一个协助机330选择其愿意接受的协助请求。
本实施例中,优选的,多个协助机330登录客户端310进行远程协助,并给出多个解决方案。由客户端310根据其情况选择一优选方案进行实施,或者也可由协助服务器320对多个解决方案进行评估后,选择一优选解决方案提供给客户端进行实施。协助服务器320所进行的评估手段可以是人工评估,也可以是在协助服务器320端实施多个解决方案后得出优选方案。
本实施例中,优选的,如图5所示,协助服务器还包括信用记录模块506,用于监控并记录所述至少一个协助机330的信用记录。诸如可根据协助机332-338的身份验证信息是否全面、历次协助过程的操作是否规范、或协助机332-338拥有者的相关知名度等,为各协助机332-338进行积分,建立信用等级。由此可以避免信用低下的协助机藉此威胁客户端的信息安全。
此外,协助服务器还可以包括历史记录模块508,用于记录所述至少一个协助机330的历次协助过程及结果。历史记录可包括协助机330历次的协助处理过程及结果,以及由此统计得出的某一协助机332-338解决某种现象的成功率、或对某类病毒比较擅长等的记录,并进行相应的积分。
由此,在图4的步骤404中,协助服务器可以基于协助机330信用记录和/或历史记录为协助机及客户端配对。诸如若协助机334信用等级较高和/或对客户端出现的磁碟机病毒比较擅长解决,则优先将此协助机334与客户端配对。
在本实施例中,优选的,协助服务器320纪录此连接的双方信息,跟踪并监控协助机的协助过程,并将远程协助的过程数据实时存档。当协助机成功解决问题时,将其解决方案及问题信息更新到数据库502中,用以解决此后的相同现象。此外,协助服务器320还可根据协助机的处理效率及结果为协助机更新信用记录和/或历史记录。
以下,针对信息系统出现的其他问题并结合本发明的协助方式做一说明。应当理解的是,本发明的远程协助机制不光可用于协助客户端防范病毒、木马等恶意软件的侵袭,虽然这是信息系统日常维护的主要内容及方面,而且,本发明的远程协助机制还可用于涉及信息系统其他方面可能出现的各种问题。可以肯定的是,本发明可以为信息系统的日常维护提供便利,并节省服务成本。
例如,当客户端发现系统软件如Office软件出现异常。
收集相关的安装信息(诊断信息示例):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\00002109030000000000000000F01FEC\InstallProperties]″DisplayVersion″=″12.0.6215.1000″
″InstallDate″=″20080508″
″InstallLocation″=″C:\\Program Files\\MicrosoftOffice\\″
″InstallSource″=″C:\\MSOCache\\All
″Publisher″=″Microsoft Corporation″
″Language″=dword:00000000
″DisplayName″=″Microsoft Office Enterprise 2007″
协助服务器经分析所搜集的信息后,给出相应的解决方案,诸如这些解决方案可以是建议客户端卸载其安装的软件″MicrosoftOffice Enterprise 2007″,或者也可以是建议利用Windows的系统还原工具进行还原等等。客户端接收并实施解决方案,并反馈实施结果。如果仍然找不到问题或问题未解决,则通过远程协助服务器发布求助请求,由至少一个协助机响应并协助解决。
显而易见,在此描述的本发明可以有许多变化,这种变化不能认为偏离本发明的精神和范围。因此,所有对本领域技术人员显而易见的改变,都包括在本权利要求书的涵盖范围之内。
Claims (31)
1、一种由协助服务器为客户端提供信息系统维护的远程协助方法,协助服务器与客户端通过网络互联,其特征在于所述方法包括下列步骤:
所述客户端监控自身的运行以确定是否有系统异常;
所述客户端搜集与系统异常有关的诊断信息,并将搜集的所述诊断信息发送至所述协助服务器;
所述协助服务器基于所述诊断信息,对系统异常进行分析,并且向客户端提供相应的解决方案;以及,
所述客户端实施所述解决方案。
2、根据权利要求1的方法,其特征在于:
所述诊断信息包括以下系统信息的一项或多项:
1)注册表;
2)软件安装;
3)活跃进程及进程历史记录;
4)网络链接;
5)文件目录;
6)驱动程序;
7)需要关键资源的程序或进程;
8)上述各项系统信息之间的创建、调用、修改、删除、或关闭关系。
3、根据权利要求1的方法,其特征在于:所述系统异常是安全性可疑的文件;所述协助服务器分析并且提供解决方案的步骤包括协助服务器基于所述诊断信息对安全性可疑文件进行安全性分析,确定所述可疑文件是否为存在安全隐患的文件;若协助服务器判定所述安全性可疑文件为存在安全隐患的文件,则提供相应的解决方案。
4、根据权利要求3的方法,其特征在于:包括所述客户端基于白名单或基本病毒库获得所述可疑文件的步骤。
5、根据权利要求3的方法,其特征在于:所述客户端搜集可疑文件的诊断信息,并将搜集的所述诊断信息发送至所述协助服务器的步骤包括在发送之前将诊断信息压缩和/或加密的步骤。
6、根据权利要求3的方法,其特征在于:所述对所述可疑文件进行安全性分析的步骤包括通过人工进行分析或通过分析工具进行分析。
7、根据权利要求3的方法,其特征在于包括下列步骤:
若所述协助服务器无法判定所述可疑文件是否为存在安全隐患的文件,则向所述客户端要求进一步的诊断信息;
所述协助服务器接收客户端搜集的所述进一步的诊断信息,并进一步确认所述可疑文件是否为存在安全隐患的文件。
8、根据权利要求3的方法,其特征在于:包括若所述协助服务器判定可疑文件是安全的文件,则向客户端反馈结果的步骤。
9、根据权利要求3的方法,其特征在于:
所述协助服务器基于所述诊断信息对可疑文件进行的安全性分析,是先确定所述可疑文件是否为安全的文件。
10、根据权利要求3的方法,其特征在于:包括所述客户端将上述解决方案存储于客户端本地中的步骤。
11、根据权利要求3的方法,其特征在于:包括客户端向协助服务器确认存在安全隐患的文件已解决的步骤。
12、一种客户端,其与协助服务器通过网络互联,其特征在于所述客户端包括:
监控自身的运行以获得可疑文件的监控模块,所述监控模块搜集可疑文件的诊断信息,以便将搜集的所述诊断信息发送至所述协助服务器;
接收来自所述协助服务器的解决方案并且加以实施的模块;其中所述解决方案由协助服务器基于所述诊断信息对可疑文件进行安全性分析,并且在确定所述可疑文件为存在安全隐患的文件的情况下提供的。
13、根据权利要求12的客户端,其特征在于:包括白名单和/或基本病毒库,所述监控模块基于白名单和/或基本病毒库获得所述可疑文件。
14、根据权利要求12的客户端,其特征在于:所述诊断信息包括以下系统信息的一项或多项:
1)注册表;
2)软件安装;
3)活跃进程及进程历史记录;
4)网络链接;
5)文件目录;
6)驱动程序;
7)需要关键资源的程序或进程;
8)上述各项系统信息之间的创建、调用、修改、删除、或关闭关系。
15、根据权利要求12的客户端,其特征在于:所述客户端包括将诊断信息压缩和/或加密的压缩模块和/或加密模块。
16、根据权利要求12的客户端,其特征在于:包括响应协助服务器的要求提供进一步的诊断信息的模块。
17、根据权利要求12的客户端,其特征在于:包括存储器,存储所述解决方案。
18、一种协助服务器,其与客户端通过网络互联;其特征在于所述协助服务器包括:
接受来自客户端的诊断信息,并基于所述诊断信息进行安全性分析,以便确定所述客户端获得的可疑文件是否为存在安全隐患的文件的模块;其中所述诊断信息是由客户端在监控自身的运行时所获得可疑文件的诊断信息;和
若判定所述可疑文件为存在安全隐患的文件,向客户端提供相应的解决方案的模块。
19、根据权利要求18的协助服务器,其特征在于包括:
若所述协助服务器无法判定所述可疑文件是否为存在安全隐患的文件,则向所述客户端要求进一步的诊断信息的模块;
所述协助服务器接收客户端搜集的所述进一步的诊断信息,并进一步确认所述可疑文件是否为存在安全隐患的文件的模块。
20、一种信息系统维护的远程协助系统,包括如权利要求12所述的客户端和权利要求18所述的协助服务器。
21、一种由协助服务器为客户端提供信息系统维护的远程协助方法,协助服务器与客户端通过网络互联,其特征在于所述方法包括以下步骤:
客户端监控自身运行以确定是否有系统异常;
客户端搜集与系统异常有关的诊断信息;
客户端将所述诊断信息发送至所述协助服务器;
所述协助服务器基于所述诊断信息进行系统异常的分析,确定系统异常的解决方案;
若所述协助服务器无法确定针对系统异常的解决方案,则向至少一个协助机发布协助请求;
所述至少一个协助机响应所述协助请求并向协助服务器发出确认消息;
所述协助服务器基于所述至少一个协助机的确认消息,将所述至少一个协助机的至少一个与客户端配对,协助客户端与至少一个协助机中的所述至少一个建立网络连接;
所述至少一个协助机中的所述至少一个登录客户端进行协助处理,并给出相应的解决方案。
22、根据权利要求21的方法,其特征在于系统异常是安全性可疑的文件;所述协助服务器分析并且确定解决方案的步骤包括协助服务器确定安全性可疑文件是否为存在安全隐患的文件,并且/或者确定解除所述客户端的存在安全隐患的文件的解决方案。
23、根据权利要求21的方法,其特征在于包括所述协助服务器基于所述至少一个协助机的信用记录和/或历史记录为所述至少一个协助机及客户端配对的步骤。
24、根据权利要求23的方法,其特征在于:包括所述协助服务器监控并记录所述至少一个协助机的信用记录和/或历史记录的步骤。
25、根据权利要求21的方法,其特征在于包括下列步骤:
所述协助服务器发布多个协助请求,所述至少一个协助机选择其愿意接受的协助请求并向所述协助服务器发出确认消息;
所述协助服务器接受所述至少一个协助机对于同一协助请求的确认信息,并将其加入同一队列等待配对。
26、根据权利要求21的方法,其特征在于包括
所述协助服务器将所述诊断信息与协助请求同时发布,以便所述至少一个协助机根据所述诊断信息选择是否接受协助请求的步骤。
27、根据权利要求21的方法,其特征在于:
所述协助服务器存储有数据库,所述方法包括所述协助服务器将所述至少一个协助机中的所述至少一个所给出的解决方案,添加至所述数据库中。
28、一种协助服务器,其与客户端通过网络互联,其特征在于所述协助服务器包括:
接收客户端发来的诊断信息,并基于所述诊断信息进行安全性分析,以便确定所述客户端获得的可疑文件是否为存在安全隐患的文件的模块;
若所述协助服务器无法确定是否为存在安全隐患的文件或无法解除所述客户端的存在安全隐患的文件,则向所述至少一个协助机发布协助请求的模块;
基于所述至少一个协助机的确认消息,将所述至少一个协助机的至少一个与客户端配对,协助客户端与至少一个协助机中的至少一个建立网络连接的模块,以便所述至少一个协助机中的所述至少一个登录客户端进行协助处理,并给出相应的解决方案。
29、如权利要求28所述的协助服务器,其特征在于包括跟踪并监控所述至少一个协助机中的至少一个的协助处理过程,并将所述至少一个协助机中的至少一个所给出的解决方案加以保存的模块。
30、一种客户端,其与协助服务器通过网络互联,其特征在于所述客户端包括:
监控自身运行以获得可疑文件的监控模块;所述监控模块搜集可疑文件的诊断信息;
将所述可疑文件的诊断信息发送至所述协助服务器的模块;
应所述协助服务器的将所述至少一个协助机的至少一个与客户端配对的要求,与至少一个协助机中的所述至少一个建立网络连接的模块,以便所述至少一个协助机中的所述至少一个登录客户端进行协助处理,并给出相应的解决方案;其中所述配对要求是所述协助服务器基于所述诊断信息进行可疑文件的安全性分析时无法确定是否为存在安全隐患的文件或无法解除所述客户端的存在安全隐患的文件的情况下发出的。
31、一种信息系统维护的远程协助系统,包括如权利要求30的客户端和如权利要求28所述的协助服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101129809A CN101594248A (zh) | 2008-05-27 | 2008-05-27 | 信息安全和系统维护的远程协助方法、系统及服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101129809A CN101594248A (zh) | 2008-05-27 | 2008-05-27 | 信息安全和系统维护的远程协助方法、系统及服务器 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101594248A true CN101594248A (zh) | 2009-12-02 |
Family
ID=41408708
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2008101129809A Pending CN101594248A (zh) | 2008-05-27 | 2008-05-27 | 信息安全和系统维护的远程协助方法、系统及服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101594248A (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546628A (zh) * | 2011-12-31 | 2012-07-04 | 北京奇虎科技有限公司 | 一种样本鉴定方法及系统 |
CN102664921A (zh) * | 2012-03-28 | 2012-09-12 | 北京奇虎科技有限公司 | 一种远程协助方法及系统 |
CN102710447A (zh) * | 2012-06-12 | 2012-10-03 | 腾讯科技(深圳)有限公司 | 终端设备云修复方法和系统 |
CN102789559A (zh) * | 2011-05-20 | 2012-11-21 | 北京网秦天下科技有限公司 | 监测移动设备中程序安装和程序运行的方法和系统 |
CN102915422A (zh) * | 2012-06-21 | 2013-02-06 | 北京金山安全软件有限公司 | 计算机安全防护方法、装置和系统 |
CN103177213A (zh) * | 2011-12-20 | 2013-06-26 | 腾讯科技(深圳)有限公司 | 一种软件漏洞修复方法及系统 |
CN103281325A (zh) * | 2013-06-04 | 2013-09-04 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
CN103294949A (zh) * | 2012-02-29 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 一种检测木马程序的方法及装置 |
CN105320888A (zh) * | 2015-11-24 | 2016-02-10 | 北京交控科技有限公司 | 一种病毒查杀方法以及装置 |
CN105683988A (zh) * | 2013-09-27 | 2016-06-15 | 迈克菲公司 | 管理软件补救 |
CN103685233B (zh) * | 2013-11-15 | 2016-09-14 | 中国人民解放军91635部队 | 一种基于Windows内核驱动的木马监测方法 |
CN108228254A (zh) * | 2017-12-29 | 2018-06-29 | 北京悦畅科技有限公司 | 应用于停车场的智能化问题处理方法、服务器和终端设备 |
US10817611B1 (en) | 2019-12-18 | 2020-10-27 | Capital One Services, Llc | Findings remediation management framework system and method |
-
2008
- 2008-05-27 CN CNA2008101129809A patent/CN101594248A/zh active Pending
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102789559A (zh) * | 2011-05-20 | 2012-11-21 | 北京网秦天下科技有限公司 | 监测移动设备中程序安装和程序运行的方法和系统 |
CN103177213B (zh) * | 2011-12-20 | 2016-01-20 | 腾讯科技(深圳)有限公司 | 一种软件漏洞修复方法及系统 |
CN103177213A (zh) * | 2011-12-20 | 2013-06-26 | 腾讯科技(深圳)有限公司 | 一种软件漏洞修复方法及系统 |
CN102546628A (zh) * | 2011-12-31 | 2012-07-04 | 北京奇虎科技有限公司 | 一种样本鉴定方法及系统 |
CN103294949A (zh) * | 2012-02-29 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 一种检测木马程序的方法及装置 |
CN102664921B (zh) * | 2012-03-28 | 2016-04-20 | 北京奇虎科技有限公司 | 一种远程协助方法及系统 |
CN102664921A (zh) * | 2012-03-28 | 2012-09-12 | 北京奇虎科技有限公司 | 一种远程协助方法及系统 |
CN102710447B (zh) * | 2012-06-12 | 2015-07-29 | 深圳市腾讯计算机系统有限公司 | 终端设备云修复方法和系统 |
CN102710447A (zh) * | 2012-06-12 | 2012-10-03 | 腾讯科技(深圳)有限公司 | 终端设备云修复方法和系统 |
CN102915422A (zh) * | 2012-06-21 | 2013-02-06 | 北京金山安全软件有限公司 | 计算机安全防护方法、装置和系统 |
CN103281325A (zh) * | 2013-06-04 | 2013-09-04 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
WO2014194803A1 (zh) * | 2013-06-04 | 2014-12-11 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
US9948670B2 (en) | 2013-06-04 | 2018-04-17 | Beijing Qihoo Technology Company Limited | Cloud security-based file processing by generating feedback message based on signature information and file features |
CN103281325B (zh) * | 2013-06-04 | 2018-03-02 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
US10305929B2 (en) | 2013-09-27 | 2019-05-28 | Mcafee, Llc | Managed software remediation |
CN105683988A (zh) * | 2013-09-27 | 2016-06-15 | 迈克菲公司 | 管理软件补救 |
CN103685233B (zh) * | 2013-11-15 | 2016-09-14 | 中国人民解放军91635部队 | 一种基于Windows内核驱动的木马监测方法 |
CN105320888A (zh) * | 2015-11-24 | 2016-02-10 | 北京交控科技有限公司 | 一种病毒查杀方法以及装置 |
CN108228254A (zh) * | 2017-12-29 | 2018-06-29 | 北京悦畅科技有限公司 | 应用于停车场的智能化问题处理方法、服务器和终端设备 |
US10817611B1 (en) | 2019-12-18 | 2020-10-27 | Capital One Services, Llc | Findings remediation management framework system and method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101594248A (zh) | 信息安全和系统维护的远程协助方法、系统及服务器 | |
US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
CN102694817B (zh) | 一种识别程序的网络行为是否异常的方法、装置及系统 | |
EP2447877B1 (en) | System and method for detection of malware and management of malware-related information | |
US8392995B2 (en) | Network management | |
CN101478407B (zh) | 在线安全登录的方法及装置 | |
CN105787370B (zh) | 一种基于蜜罐的恶意软件收集和分析方法 | |
CN101098226B (zh) | 一种病毒在线实时处理系统及其方法 | |
CN104270467B (zh) | 一种用于混合云的虚拟机管控方法 | |
US9129287B2 (en) | System and method for gathering data for detecting fraudulent transactions | |
CN111651754A (zh) | 入侵的检测方法和装置、存储介质、电子装置 | |
CN102083089A (zh) | 一种访问业务监控方法、系统及装置 | |
CN113595981B (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
CN102299958B (zh) | 通过ie浏览监控视频的方法、客户端及系统 | |
KR101088084B1 (ko) | 전자상거래 불법 침입 감시 및 차단 방법과 시스템 | |
RU2481633C2 (ru) | Система и способ автоматического расследования инцидентов безопасности | |
CN109076068A (zh) | 减少经由网络接入点对设备弱点的攻击可能性 | |
CN114710300B (zh) | 一种新型的Windows远程安全防护方法 | |
CN115086081A (zh) | 一种蜜罐防逃逸方法及系统 | |
CN111258712B (zh) | 一种虚拟平台网络隔离下保护虚拟机安全的方法及系统 | |
CN111209171B (zh) | 安全风险的闭环处置方法、装置及存储介质 | |
CN109327433B (zh) | 基于运行场景分析的威胁感知方法及系统 | |
CN109033840B (zh) | 一种对计算机终端进行保密检查的方法 | |
CN103150512B (zh) | 一种蜜罐系统和运用该系统检测木马的方法 | |
US8949979B1 (en) | Protecting local users from remote applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20091202 |