CN105162620B - 一种实现异架构下系统监控的方法 - Google Patents
一种实现异架构下系统监控的方法 Download PDFInfo
- Publication number
- CN105162620B CN105162620B CN201510471879.2A CN201510471879A CN105162620B CN 105162620 B CN105162620 B CN 105162620B CN 201510471879 A CN201510471879 A CN 201510471879A CN 105162620 B CN105162620 B CN 105162620B
- Authority
- CN
- China
- Prior art keywords
- monitoring
- chip
- monitoring chip
- operating system
- under different
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种实现异架构下系统监控的方法,该方法为:在主板的硬件层设置监控芯片,所述监控芯片包括监控固件和监控操作系统,所述监控芯片通过线路与所述主板上的各信号接口相连,并通过监控信号传输和解析数据的方式进行监控,所述监控固件提供实际的监控并由所述监控操作系统进行管理;所述监控芯片设置有外联网络接口,所述监控芯片通过所述外联网络接口与IT中心服务器的管理端相连;所述监控芯片监控的内容包括对核心硬件进行的主动监控,以及对系统对外数据的交换进行的监控。本发明提供的异架构下系统监控的方法,既能保留X86的便利,又能通过异架构对X86进行有效的监控并实行管理。
Description
技术领域
本发明涉及计算机安全技术领域,具体涉及一种实现异架构下系统监控的方法。
背景技术
随着震网、棱镜门等一系列网络窃密、监控事件的发生,Intel X86+Windows这个Wintel组合在信息安全方面之前所受到的质疑越来越清晰的呈现在大家面前,使得人们对信息安全的担心和猜测变成了现实,为此,国内专注安全的IT业者们设计了各种各样的方法来防堵这些的安全漏洞,如网闸、双网隔离等等,乃至推出了更为宏大的国产CPU的计划。
如网闸、双网隔离等,均有功能单一、使用时针对不同场景切换不方便等局限,且无法达到很好的监控目的;而国产CPU的项目,则面临着产业链成长缓慢,配套软硬件跟不上的窘境。
因此,有必要通过异架构监控的方法,既能保留X86的便利,又能通过异架构对X86进行有效的监控并实行管理。
发明内容
本发明要解决的技术问题是克服现有技术的缺陷,提供一种实现异架构下系统监控的方法。
为了解决上述技术问题,本发明提供了如下的技术方案:
本发明一种实现异架构下系统监控的方法,该方法为:在主板的硬件层设置监控芯片,所述监控芯片包括监控固件和监控操作系统,所述监控芯片通过线路与所述主板上的各信号接口相连,并通过监控信号传输和解析数据的方式进行监控,所述监控固件提供实际的监控并由所述监控操作系统进行管理;所述监控芯片设置有外联网络接口,所述监控芯片通过所述外联网络接口与IT中心服务器的管理端相连;所述监控芯片监控的内容包括对核心硬件进行的主动监控,以及对系统对外数据的交换进行的监控。
进一步地,所述对核心硬件进行的主动监控包括:
a)对主板上启动固件的代码区进行监控,如果代码发生变化,则通知IT管理人员,并执行IT管理人员的指示;
b)对系统中的存储设备进行监控,如果发生更换,则通知IT管理人员,并执行IT管理人员的指示;
c)对系统机箱进行监控,如果发现非法开箱,则通知IT管理人员,并执行IT管理人员的指示。
进一步地,所述对核心硬件进行的主动监控包括:
a)将所述监控芯片的侦测信号连接到USB控制器和端口之间的数据交换信号上,由此侦测USB的数据交换;
b)将所述监控芯片的侦测信号连接到SATA控制器和硬盘之间的数据交换信号上,由此侦测SATA的数据交换;
c)将所述监控芯片的侦测信号连接到网卡控制器和网络端口之间的数据交换信号上,由此侦测网络的数据交换;
d)将侦测到的数据与白色特征码库以及黑色特征码库进行比对,并按照既定的安全策略进行干预。在本发明中,将已知病毒或非法代码整合建立黑色特征代码库,将已知合法代码或地址整合建立白色特征代码库。
进一步地,所述的监控芯片设置有专用的网卡芯片,所述网卡芯片及其端口仅提供所述监控芯片与IT中心服务端相联系,由所述监控操作系统向服务端汇报各种情况,并由IT中心服务端向监控操作系统下达各种指令。
本发明所达到的有益效果是:
本发明针对现有技术所存在的技术缺陷及空白区,在硬件层对核心设备进行数据以及行为监控,尤其对系统对外的交换数据进行监控,在发生情况时,可以根据既定的安全策略来处理,也可以通过特定的端口通知管理人员要求介入处理,并对事件作详细的记录;既能保留X86的便利,又能通过异架构对X86进行有效的监控并实行管理。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明的结构示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
如图1所示,本发明一种实现异架构下系统监控的方法,该方法为:在主板设计的时加入监控芯片,所述监控芯片包括监控固件和监控操作系统,将所述监控芯片的外围线路与主板上的SPI、USB、SATA、LAN等信号相连,通过监控信号并解析数据的方式来达到监控,所述监控固件提供实际的监控并由所述监控操作系统进行管理;所述监控芯片设置有外联网络接口,所述监控芯片通过所述外联网络接口与IT中心服务器的管理端相连;所述监控芯片监控的内容包括对核心硬件进行的主动监控,以及对系统对外数据的交换进行的监控。
其中,所述对核心硬件进行的主动监控包括:
a)在开机前,读取主板上固件的资料,对其代码区进行度量,然后将度量的结果与前一次度量的结果作比对,实现监控的功能;
b)在开机前,读取硬盘等存储设备的硬件信息,对这些信息进行度量,并与之情度量的结果作比对,实现监控的功能;
c)对系统机箱进行监控,如果发现非法开箱,则通知IT管理人员,并执行IT管理人员的指示。
其中,所述对核心硬件进行的主动监控包括:
a)将所述监控芯片的侦测信号连接到USB控制器和端口之间的数据交换信号上,由此侦测USB的数据交换;
b)将所述监控芯片的侦测信号连接到SATA控制器和硬盘之间的数据交换信号上,由此侦测SATA的数据交换;
c)将所述监控芯片的侦测信号连接到网卡控制器和网络端口之间的数据交换信号上,由此侦测网络的数据交换;
d)将侦测到的数据与白色特征码库以及黑色特征码库进行比对,并按照既定的安全策略进行干预。在本发明中,将已知病毒或非法代码整合建立黑色特征代码库,将已知合法代码或地址整合建立白色特征代码库。
在本实施例中,所述监控芯片具备检测USB、SPI、SATA、LAN信号的能力,并能够对其中的数据进行解析。
在本实施例中,单独为该监控芯片设置一个网卡芯片,该网卡芯片及其端口仅提供监控芯片与IT中心服务端相联系,由监控操作系统向服务端汇报各种情况,并由IT中心服务端向监控操作系统下达各种指令,包括关机、报警、关闭某些设备等操作。
在本实施例中,所述监控操作系统中提供Web界面的服务功能,在其中提供安全策略设定的功能,并随时与IT中心同步黑色代码库。
在本实施例中,监控芯片采用ARM架构,运行的监控操作系统为非X86操作系统,该系统仅仅和IT中心服务器相连,其运行环境的封闭性以及系统本身的异架构可以很好的降低监控系统本身受到攻击的几率。
本发明针对现有技术所存在的技术缺陷及空白区,在硬件层对核心设备进行数据以及行为监控,尤其对系统对外的交换数据进行监控,在发生情况时,可以根据既定的安全策略来处理,也可以通过特定的端口通知管理人员要求介入处理,并对事件作详细的记录;既能保留X86的便利,又能通过异架构对X86进行有效的监控并实行管理。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种实现异架构下系统监控的方法,其特征在于,该方法为:
在主板的硬件层设置监控芯片,所述监控芯片包括监控固件和监控操作系统,所述监控芯片采用ARM架构,所述监控操作系统为非X86操作系统,所述监控芯片通过线路与所述主板上的各信号接口相连,并通过监控信号传输和解析数据的方式进行监控,所述监控固件提供实际的监控并由所述监控操作系统进行管理;所述监控芯片设置有外联网络接口,所述监控芯片通过所述外联网络接口与IT中心服务器的管理端相连;所述监控芯片监控的内容包括对核心硬件进行的主动监控,以及对系统对外数据的交换进行的监控,其中,所述对核心硬件进行的主动监控包括:在开机前监控主板上的启动固件的代码区、在开机前监控系统中的存储设备、并且还监控系统的机箱。
2.根据权利要求1所述的一种实现异架构下系统监控的方法,其特征在于,所述对核心硬件进行的主动监控的具体动作包括:
a)如果所述启动固件的代码发生变化,则通知IT管理人员,并执行IT管理人员的指示;
b)如果所述存储设备发生更换,则通知IT管理人员,并执行IT管理人员的指示;
c)如果发现所述机箱被非法开箱,则通知IT管理人员,并执行IT管理人员的指示。
3.根据权利要求1所述的一种实现异架构下系统监控的方法,其特征在于,所述对核心硬件进行的主动监控包括:
a)将所述监控芯片的侦测信号连接到USB控制器和端口之间的数据交换信号上,由此侦测USB的数据交换;
b)将所述监控芯片的侦测信号连接到SATA控制器和硬盘之间的数据交换信号上,由此侦测SATA的数据交换;
c)将所述监控芯片的侦测信号连接到网卡控制器和网络端口之间的数据交换信号上,由此侦测网络的数据交换;
d)将侦测到的数据与白色特征码库以及黑色特征码库进行比对,并按照既定的安全策略进行干预。
4.根据权利要求1所述的一种实现异架构下系统监控的方法,其特征在于,所述的监控芯片设置有专用的网卡芯片,所述网卡芯片及其端口仅提供所述监控芯片与IT中心服务端相联系,由所述监控操作系统向服务端汇报各种情况,并由IT中心服务端向监控操作系统下达各种指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510471879.2A CN105162620B (zh) | 2015-08-04 | 2015-08-04 | 一种实现异架构下系统监控的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510471879.2A CN105162620B (zh) | 2015-08-04 | 2015-08-04 | 一种实现异架构下系统监控的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105162620A CN105162620A (zh) | 2015-12-16 |
| CN105162620B true CN105162620B (zh) | 2018-11-27 |
Family
ID=54803383
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510471879.2A Active CN105162620B (zh) | 2015-08-04 | 2015-08-04 | 一种实现异架构下系统监控的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105162620B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2503675Y (zh) * | 2001-02-14 | 2002-07-31 | 武汉太乙科技开发有限责任公司 | 基于因特网的智能控制终端 |
| CN1423202A (zh) * | 2001-12-05 | 2003-06-11 | 武汉瑞达电子有限公司 | 嵌入式安全模块及其安全保护方法 |
| CN1444742A (zh) * | 2000-05-28 | 2003-09-24 | 梅耶·亚隆 | 针对不良程序窃取信息和破坏行为的通用综合性计算机安全防护系统与方法 |
| US6769022B1 (en) * | 1999-07-09 | 2004-07-27 | Lsi Logic Corporation | Methods and apparatus for managing heterogeneous storage devices |
| CN2771917Y (zh) * | 2005-01-10 | 2006-04-12 | 北京太极英泰信息科技有限公司 | 计算机安全控制模块 |
| CN101079003A (zh) * | 2006-05-23 | 2007-11-28 | 北京金元龙脉信息科技有限公司 | 对计算机bios固件进行安全风险检测的系统和方法 |
| CN101140608A (zh) * | 2007-10-09 | 2008-03-12 | 番禺得意精密电子工业有限公司 | 计算机防盗方法 |
| CN102395891A (zh) * | 2009-03-16 | 2012-03-28 | 艾思玛太阳能技术股份公司 | 用于监测it网隔离的方法和设备 |
-
2015
- 2015-08-04 CN CN201510471879.2A patent/CN105162620B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6769022B1 (en) * | 1999-07-09 | 2004-07-27 | Lsi Logic Corporation | Methods and apparatus for managing heterogeneous storage devices |
| CN1444742A (zh) * | 2000-05-28 | 2003-09-24 | 梅耶·亚隆 | 针对不良程序窃取信息和破坏行为的通用综合性计算机安全防护系统与方法 |
| CN2503675Y (zh) * | 2001-02-14 | 2002-07-31 | 武汉太乙科技开发有限责任公司 | 基于因特网的智能控制终端 |
| CN1423202A (zh) * | 2001-12-05 | 2003-06-11 | 武汉瑞达电子有限公司 | 嵌入式安全模块及其安全保护方法 |
| CN2771917Y (zh) * | 2005-01-10 | 2006-04-12 | 北京太极英泰信息科技有限公司 | 计算机安全控制模块 |
| CN101079003A (zh) * | 2006-05-23 | 2007-11-28 | 北京金元龙脉信息科技有限公司 | 对计算机bios固件进行安全风险检测的系统和方法 |
| CN101140608A (zh) * | 2007-10-09 | 2008-03-12 | 番禺得意精密电子工业有限公司 | 计算机防盗方法 |
| CN102395891A (zh) * | 2009-03-16 | 2012-03-28 | 艾思玛太阳能技术股份公司 | 用于监测it网隔离的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105162620A (zh) | 2015-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2023216641A1 (zh) | 一种电力终端安全防护方法及系统 | |
| US11797684B2 (en) | Methods and systems for hardware and firmware security monitoring | |
| US9197653B2 (en) | Cross-user correlation for detecting server-side multi-target intrusion | |
| JP6568654B2 (ja) | 産業制御システム内の危殆化されたデバイスを識別するためのシステム及び方法 | |
| US10445272B2 (en) | Network function virtualization architecture with device isolation | |
| JP7029000B2 (ja) | 外付け端末保護デバイス及び保護システム | |
| CN102369532B (zh) | 管理网络中的安全性 | |
| CN110233817B (zh) | 一种基于云计算的容器安全系统 | |
| CN103795735B (zh) | 安全设备、服务器及服务器信息安全实现方法 | |
| CN103973481A (zh) | 一种基于sdn的云计算数据中心的审计系统及方法 | |
| US20130086376A1 (en) | Secure integrated cyberspace security and situational awareness system | |
| US20180069866A1 (en) | Managing privileged system access based on risk assessment | |
| US9934378B1 (en) | Systems and methods for filtering log files | |
| US11709723B2 (en) | Cloud service framework | |
| CN108183901A (zh) | 基于fpga的主机安全防护物理卡及其数据处理方法 | |
| CN111316272A (zh) | 使用行为和深度分析的先进网络安全威胁减缓 | |
| Song | Analysis of risks for virtualization technology | |
| CN113672912A (zh) | 基于计算机硬件指征和行为分析的网络安全监控系统 | |
| KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
| CN105162620B (zh) | 一种实现异架构下系统监控的方法 | |
| KR101873970B1 (ko) | 디스크리스 솔루션을 활용한 물리적 망분리 시스템 | |
| CN109729103A (zh) | 一种专用网络智能分析安全控制装置及方法 | |
| JP2014048984A (ja) | 管理装置、管理方法及び管理プログラム | |
| Kuz | The risk management of critical information infrastructure: threats-vulnerabilities-consequences | |
| KR101526471B1 (ko) | 호스트 보안 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20151216 Assignee: JIANGSU ZHUOYI INFORMATION TECHNOLOGY CO., LTD. Assignor: NANJING BYOSOFT CO., LTD. Contract record no.: 2019320000035 Denomination of invention: Method for realizing system monitoring under heterogeneous system architecture Granted publication date: 20181127 License type: Exclusive License Record date: 20190314 |
|
| EE01 | Entry into force of recordation of patent licensing contract |