CN105573893B - 一种软件监控方法和装置 - Google Patents

一种软件监控方法和装置 Download PDF

Info

Publication number
CN105573893B
CN105573893B CN201510986016.9A CN201510986016A CN105573893B CN 105573893 B CN105573893 B CN 105573893B CN 201510986016 A CN201510986016 A CN 201510986016A CN 105573893 B CN105573893 B CN 105573893B
Authority
CN
China
Prior art keywords
software
monitoring client
main frame
authority
authority order
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510986016.9A
Other languages
English (en)
Other versions
CN105573893A (zh
Inventor
杨立群
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Hotdoor Technology Co Ltd
Original Assignee
Zhuhai Hotdoor Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Hotdoor Technology Co Ltd filed Critical Zhuhai Hotdoor Technology Co Ltd
Priority to CN201510986016.9A priority Critical patent/CN105573893B/zh
Publication of CN105573893A publication Critical patent/CN105573893A/zh
Application granted granted Critical
Publication of CN105573893B publication Critical patent/CN105573893B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems

Abstract

本发明的技术方案包括一种软件监控方法和装置。方法包括步骤:主机与监控端之间建立连接,收集一个或多个监控端的机器码;提取监控端上软件的特征码,利用主机或/和监控端,通过匹配所述特征码的方式,分辨所述软件;根据所述机器码和分辨的所述软件,分配对应的权限命令给监控端;监控端获取并执行所述权限命令。该装置包括:机器码收集模块、软件判断模块、权限命令分配模块、权限命令执行模块。

Description

一种软件监控方法和装置
技术领域
本发明涉及一种软件监控方法和装置,属于计算机技术领域。
背景技术
随着数字化的推进,各行业的顺利运转日益依赖于计算机和网络。现有的软件监控方法准确性和安全性不高,无法满足现代办公的需要。
发明内容
针对现有技术存在的上述问题,提出了本发明的技术方案。
根据本发明的一个方面,提供一种软件监控方法,包括以下步骤:
步骤S10,主机与监控端之间建立连接,收集一个或多个监控端的机器码;
步骤S20,提取监控端上软件的特征码,利用主机或/和监控端,通过匹配所述特征码的方式,分辨所述软件;
步骤S30,根据所述机器码和分辨的所述软件,分配对应的权限命令给监控端;
步骤S40,监控端获取并执行所述权限命令;
其中,根据所述软件的文件头,或者所述文件头结合进程或通讯协议中的至少一者生成软件的所述特征码,步骤S20中,利用主机通过匹配所述特征码的方式,判断所述软件的方式通过连接在主机上的硬件设备实现。
优选地,步骤S40包括子步骤:
步骤S401,监控端接收从服务端发出的所述权限命令;
步骤S402,若监控端超时未能接收到服务端发送的所述权限命令,则根据本地缓冲池获取所述权限命令;
步骤S403,监控端执行所述权限命令。
优选地,在步骤S40后还包括步骤:
步骤S50,若监控端从主机获得所述权限命令,则监控端将所述软件的所述特征码和对应的所述权限命令写入本地缓冲池。
优选地,所述硬件设备包括用来存储匹配特征库的存储器和用于根据所述存储器内的匹配特征库,判断所述软件或/和生成对应访问权限命令的处理器;所述硬件设备通过PCI、USB或网卡接口连接于所述主机。
优选地,所述权限命令包括拒绝执行所述软件。
根据本发明另一个方面,提供一种软件监控装置,包括:
机器码收集模块,用于主机与监控端之间建立连接,收集一个或多个监控端的机器码;
软件判断模块,提取监控端上软件的特征码,利用主机或/和监控端,通过匹配所述特征码的方式,判断所述软件;
权限命令分配模块,根据所述机器码和所述软件,分配对应的权限命令给监控端;
权限命令执行模块,监控端获取并执行所述权限命令;
其中,根据所述软件的文件头,或者所述文件头结合进程或通讯协议中的至少一者生成软件的所述特征码,软件判断模块利用主机通过匹配所述特征码的方式,判断所述软件的方式通过连接在主机上的硬件设备实现。
还包括本地缓冲池写入模块,若监控端从主机获得所述权限命令,则监控端将所述软件的所述特征码和对应的所述权限命令写入本地缓冲池。
本发明的有益效果:通过匹配软件特征码的方式,可以准确的识别所运行的软件,根据机器码和特征码结合的方式,实现对软件的可靠控制。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
图1所示为根据本发明实施例一种软件监控方法的流程图。
图2所示为根据本发明实施例一种软件监控方法的主机与监控端的结构示意图。
图3所示为根据本发明实施例一种软件监控方法的单监控端的结构示意图。
具体实施方式
参考图1-2,本发明实施例提供了一种软件监控方法,使用设备包括主机和若干个监控端,受到监控应用程序在监控端运行。其中主机上设有用于的硬件设备。所述硬件设备具有用于存储特征码的存储器和微用于根据所述存储器内的特征码生成对应权限命令的处理器,所述存储器优选高速掉电非易失的存储器。客户端设有本地缓冲池,用于存储主机发出的所述软件的所述特征码和对应的所述权限命令。
实施过程具体包含以下步骤:
步骤S10,主机与监控端之间建立连接,收集一个或多个监控端的机器码:具体而言,监控端向主机发出连接请求,将自身的机器码发送至主机端。机器码可以是将硬件序列号经过一系列加密、散列形成的一串序列号,也可以是硬盘或CPU的识别码。主机接收监控端发出的连接请求并建立连接,记录上述监控端的机器码。
步骤S20,提取监控端上软件的特征码,利用主机或/和监控端,通过匹配所述特征码的方式,分辨所述软件:传统的软件识别方式,通过获取软件运行时的句柄,难于准确的判断对应的软件是什么。例如原来的识别方式能够正常识别word2010软件,当软件从word2010升级至word2013后,如果在识别库内没有预先录入word2013的信息,那么该识别方式不仅不能识别出该软件是word2013,也无法判断该软件word2010的关系。此外还有一种通过软件的行为分析判断软件的方法,但计算量大且准确率低,不具备实用价值。针对以上问题,本发明采取根据软件的文件头生成的特征码的方式识别该软件。当软件升级后,其文件头内的部分数据段是固定不变的,可以用于判断软件是否是同一个系列的不同版本。获取该数据段有多种方法。示例性的可以通过以下步骤获得软件的特征码:首先获取当前进程列表,通过进程获取对应软件的执行文件的文件位置,以只读的形式读取该软件执行文件的文件头的指定字段从而获取该软件的特征码,根据特征码和软件的对应关系识别该软件。该特征码可以是该软件的文件头的指定字段,也可以是根据该指定字段,与该软件的进程ID或该软件利用的网络协议等特征通过综合分析得出。例如先查询文件头指定字段,当无法识别文件类型时,再获取软件的进程ID,对其进行分析(例如剔除其中版本号等信息,只保留软件名),从而获取文件名,根据该文件名及该文件名对应的网络协议进行匹配,匹配一致时即认为所述特征码与所述应用程序一致。以上识别方法,并不会受到软件不断更新升级的影响而无法识别最新的软件,通用性高。
此外,通过二进制的方式读取软件的文件头,能够提高读取速度,达到较为理想的效果。
当执行通过匹配所述特征码的方式,分辨所述软件的操作时,可以利用主机、监控端或二者的结合来实现。当利用主机的匹配所述特征码时,主机得到监控端发送的所述软件特征码,将上述特征码发送至通过PCI、USB、网卡接口或WIFI等方式连接在主机上,用于判断所述软件或生成对应访问权限命令的硬件设备。该硬件设备包括用来存储匹配特征库的存储器和用于根据所述存储器内的匹配特征库,判断所述软件或/和生成对应访问权限命令的处理器。示例性的存储器以分段存储包含了各软件的特征码及代表其对应软件的编号,处理器收到主机发送的特征码,将特征码转化为二进制的形式,以逐段的方式与存储器内的特征库进行对比,当上述特征码与特征库内的特征码匹配时,则返回特征库内特征码对应的软件的编号。主机根据该编号判断对应的软件。此外,所述存储器内可以特征码和机器码及二者对应的权限命令,从而提高检索的速度;也可以只保存特征码和对应的权限命令,机器码与权限命令的对应方法由主机确定,从而节省存储空间。
当监控端数量较多,并且操作较为频繁时,主机将接到大量的请求,挤占主机的大量的资源,影响正常工作。采用硬件设备进行特征码匹配处理后,主机只需将特征码发送至该硬件设备即可得到对应的应用程序类型,极大地降低了资源占用率。此外,也可以采取硬件设备从主机接收机器码与特征码,经匹配运算后向直接主机反馈对应的权限,从而进一步降低主机的资源开支,提高处理速度,增加系统的安全性。当存储器采取加密存储时,处理器可采用专用解密芯片,从而增加系统的安全性和防破解难度。
步骤S30,根据所述机器码和特征码分辨的所述软件,分配对应的权限命令给监控端:示例性的,可以通过查表的方式,先查询所述监控端的机器码对应的允许启动软件的白名单,再用特征码或软件名与白名单的对应项相匹配,假如白名单中包含该特征码或软件名,则发送允许启动该软件的权限命令,否则将发送禁止启动该软件,杀死该软件进程的权限命令。所述权限命令包括执行部分和验证部分。示例性的,执行部分包括禁止或允许运行指定程序运行的指令,验证部分包括对应执行命令的监控端的机器码。
步骤S40,监控端获取并执行所述权限命令:具体而言,监控端等待接收从服务端发出的所述权限命令;若监控端超时未能接收到服务端发送的所述权限命令,则根据本地缓冲池获取所述权限命令。关于本地缓冲池的建立方式,当主机与监控端实现连接后,主机通过一次性发送特征码及其权限的数据副本给监控端,或者监控端记录接收主机发送的权限及其对应特征码的方式,建立本地缓冲池。监控端向主机发送特征码后,等待接收从服务端发出的所述权限命令,若监控端超过预设时间仍未能接收到服务端发送的所述权限命令,则读取本地缓冲池,根据本地缓冲池获取所述权限命令。监控端执行获取的权限命令,例如关闭或启动指定的软件,以及从主机向客户端发送远程操作命令,示例性的开启指定应用程序。
此外该硬件设备还可以直接安装在监控端,从而实现在非联网状态下的单监控端下的软件监视控制功能(参照图3),单监控端下的软件监控方法与主机连接监控端时的方法类似,区别之处主要在于单监控端同时充当原方案的主机和监控端,网络传输部分改为单监控端内部处理。在此不再赘言。
以上所述,只是本发明的较佳实施例而已,本发明并不局限于上述实施方式,只要其以相同的手段达到本发明的技术效果,都应属于本发明的保护范围。在本发明的保护范围内其技术方案和/或实施方式可以有各种不同的修改和变化。

Claims (7)

1.一种软件监控方法,其特征在于,包括以下步骤:
步骤S10,主机与监控端之间建立连接,收集一个或多个监控端的机器码;
步骤S20,提取监控端上软件的特征码,利用主机或/和监控端,通过匹配所述特征码的方式,分辨所述软件;
步骤S30,根据所述机器码和分辨的所述软件,分配对应的权限命令给监控端;步骤S40,监控端获取并执行所述权限命令;
其中,根据所述软件的文件头,或者所述文件头结合进程或通讯协议中的至少一者生成软件的所述特征码,步骤S20中,利用主机通过匹配所述特征码的方式,判断所述软件的方式通过连接在主机上的硬件设备实现,
步骤S20包括子步骤:
步骤S201,获取监控端的当前进程列表;
步骤S202,通过进程获取对应软件的执行文件的文件位置;
步骤S203,以只读的形式读取该软件执行文件的文件头的指定字段从而获取该软件的特征码;
步骤S204,根据特征码和软件的对应关系识别该软件,若无法识别该软件,则跳转至步骤S205;
步骤S205,根据软件的进程ID而获取文件名,根据该文件名及该文件名对应的网络协议进行匹配对应的软件。
2.根据权利要求1所述的一种软件监控方法,其特征在于,步骤S40包括子步骤:步骤S401,监控端接收从服务端发出的所述权限命令;
步骤S402,若监控端超时未能接收到服务端发送的所述权限命令,则根据本地缓冲池获取所述权限命令;
步骤S403,监控端执行所述权限命令。
3.根据权利要求1或2所述的一种软件监控方法,其特征在于,在步骤S40后还包括步骤:
步骤S50,若监控端从主机获得所述权限命令,则监控端将所述软件的所述特征码和对应的所述权限命令写入本地缓冲池。
4.根据权利要求1所述的一种软件监控方法,其特征在于,
所述硬件设备包括用来存储匹配特征库的存储器和用于根据所述存储器内的匹配特征库,判断所述软件或/和生成对应访问权限命令的处理器;所述硬件设备通过PCI、USB或网卡接口连接于所述主机。
5.根据权利要求1所述的一种软件监控方法,其特征在于,所述权限命令包括拒绝执行所述软件。
6.一种软件监控装置,其特征在于,包括:
机器码收集模块,用于主机与监控端之间建立连接,收集一个或多个监控端的机器码;
软件判断模块,提取监控端上软件的特征码,利用主机或/和监控端,通过匹配所述特征码的方式,判断所述软件;
权限命令分配模块,根据所述机器码和所述软件,分配对应的权限命令给监控端;权限命令执行模块,监控端获取并执行所述权限命令;
其中,根据所述软件的文件头,或者所述文件头结合进程或通讯协议中的至少一者生成软件的所述特征码,软件判断模块利用主机通过匹配所述特征码的方式,判断所述软件的方式通过连接在主机上的硬件设备实现,
其中,所述软件判断模块包括以下子模块:
软件判断第一子模块,获取监控端的当前进程列表;
软件判断第二子模块,通过进程获取对应软件的执行文件的文件位置;
软件判断第三子模块,以只读的形式读取该软件执行文件的文件头的指定字段从而获取该软件的特征码;
软件判断第四子模块,根据特征码和软件的对应关系识别该软件,若无法识别该软件,则跳转至第五子模块;
软件判断第五子模块,根据软件的进程ID而获取文件名,根据该文件名及该文件名对应的网络协议进行匹配对应的软件。
7.根据权利要求6所述的一种软件监控装置,其特征在于,
还包括本地缓冲池写入模块,若监控端从主机获得所述权限命令,则监控端将所述软件的所述特征码和对应的所述权限命令写入本地缓冲池。
CN201510986016.9A 2015-12-25 2015-12-25 一种软件监控方法和装置 Active CN105573893B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510986016.9A CN105573893B (zh) 2015-12-25 2015-12-25 一种软件监控方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510986016.9A CN105573893B (zh) 2015-12-25 2015-12-25 一种软件监控方法和装置

Publications (2)

Publication Number Publication Date
CN105573893A CN105573893A (zh) 2016-05-11
CN105573893B true CN105573893B (zh) 2018-03-02

Family

ID=55884059

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510986016.9A Active CN105573893B (zh) 2015-12-25 2015-12-25 一种软件监控方法和装置

Country Status (1)

Country Link
CN (1) CN105573893B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110069382A (zh) * 2019-04-03 2019-07-30 北京奇安信科技有限公司 软件监控方法、服务器、终端设备、计算机设备及介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103631589A (zh) * 2013-11-08 2014-03-12 华为技术有限公司 应用识别方法与装置
CN104184713A (zh) * 2013-05-27 2014-12-03 阿里巴巴集团控股有限公司 终端识别方法、机器识别码注册方法及相应系统、设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090199047A1 (en) * 2008-01-31 2009-08-06 Yahoo! Inc. Executing software performance test jobs in a clustered system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104184713A (zh) * 2013-05-27 2014-12-03 阿里巴巴集团控股有限公司 终端识别方法、机器识别码注册方法及相应系统、设备
CN103631589A (zh) * 2013-11-08 2014-03-12 华为技术有限公司 应用识别方法与装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110069382A (zh) * 2019-04-03 2019-07-30 北京奇安信科技有限公司 软件监控方法、服务器、终端设备、计算机设备及介质

Also Published As

Publication number Publication date
CN105573893A (zh) 2016-05-11

Similar Documents

Publication Publication Date Title
CN109325351B (zh) 一种基于众测平台的安全漏洞自动化验证系统
CN111628967B (zh) 日志数据的传输方法、装置、计算机设备和存储介质
CN110888838B (zh) 基于对象存储的请求处理方法、装置、设备及存储介质
US10389710B2 (en) Method and system for extracting characteristic information
JPWO2003069492A1 (ja) ネットワークによる入力装置の入力特徴を用いた個人認証方法、そのプログラム及びプログラムの記録媒体
CN113190838A (zh) 一种基于表达式的web攻击行为检测方法及系统
CN105573893B (zh) 一种软件监控方法和装置
CN113132329A (zh) Webshell检测方法、装置、设备及存储介质
CN109948332A (zh) 一种物理机登录密码重置方法及装置
CN107808082B (zh) 电子装置、数据访问验证方法和计算机可读存储介质
CN113630418A (zh) 一种网络服务识别方法、装置、设备及介质
CN110086826B (zh) 信息处理方法
CN115935321B (zh) 算法库的访问方法、装置及存储介质
CN112434080A (zh) 一种配电网分析平台的数据获取方法、设备及存储介质
CN111917767B (zh) 一种客户端的请求认证方法、装置、设备及存储介质
CN115190083A (zh) 应用于智能设备的数据传输方法及装置
CN111367573B (zh) 设备登陆方法、装置、存储介质和计算机设备
CN111092867B (zh) Ssh后门账号检测方法、装置及电子设备和存储介质
CN114218561A (zh) 一种弱口令检测方法、终端设备及存储介质
CN113114755A (zh) 设备间平滑切换方法、装置、电子设备及存储介质
CN111291044A (zh) 敏感数据识别方法、装置、电子设备及存储介质
CN105512556B (zh) 一种恶意软件处理方法及装置
CN115242478B (zh) 一种提升数据安全的方法、装置、电子设备及存储介质
CN114338089B (zh) 一种防攻击方法、装置、设备和计算机可读存储介质
CN116611068B (zh) 基于混淆路径的文件扫描方法、电子设备及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant