CN106202458A - 一种可快速实时检测并恢复升级操作系统中文件的方法 - Google Patents

Abstract

本发明涉及一种可快速实时检测并恢复升级操作系统中文件的方法，该系统包括：一组支持文件检测、文件传输的QCRP协议；运行在服务器端支持QCRP协议的服务端软件；运行在终端节点支持QCRP协议的客户端软件；一组支持文件检测、文件传输的安全协议被用于服务端与服务端、客户端与客户端、服务端与客户端之间的交互操作，协议具有防重放和防篡改机制，保证部件之间数据交互的完整性，由UDP和TCP2种传输协议组成。本发明在检测到异常文件需要修复时，会优先选择局域网内的设备进行文件传输，速度快，效率高；本发明在检测到监测目标中文件或目录需要升级时，会优先选择局域网内的设备进行文件传输，速度快，效率高。

Description

一种可快速实时检测并恢复升级操作系统中文件的方法

技术领域

本发明涉及一种可快速实时检测并恢复升级操作系统中文件的方法，属于信息安全技术领域。

背景技术

在一般具有文件检测、文件恢复和升级功能的系统中都会部署一台存储文件资产的服务器，各终端通过连接服务器，下载文件正确版本描述库(文件内容指纹)和本地文件进行比对校验，根据文件检测结果和策略对本地终端文件进行恢复或升级操作。在实时检测、恢复/升级系统中，如果终端节点存在大量的文件/目录发生异常改变或服务器存在大量的文件被升级更新后需要下发到各终端节点，服务器的性能以及网络带宽将会对恢复或升级操作带来性能瓶颈，实时性将会出现滞后情况，特别是当终端数目又比较多时，性能瓶颈将会越发突显。在服务器出现故障或网络出现故障的情况下，整个系统将无法提供实时检测、恢复/升级服务,终端安全环境可能会遭受破坏而得不到及时修复。

发明内容

本发明的目的在于提供一种可快速实时检测并恢复升级操作系统中文件的方法，以便更好地改善使用效果，方便根据需要使用。

为了实现上述目的，本发明的技术方案如下。

一种可快速实时检测并恢复升级操作系统中文件的方法，该系统包括：一组支持文件检测、文件传输的QCRP协议；运行在服务器端支持QCRP协议的服务端软件；运行在终端节点支持QCRP协议的客户端软件；一组支持文件检测、文件传输的安全协议被用于服务端与服务端、客户端与客户端、服务端与客户端之间的交互操作，协议具有防重放和防篡改机制，保证部件之间数据交互的完整性，由UDP和TCP2种传输协议组成。

服务端软件主要功能是文件资产库存储、文件资产库安全策略配置、安全检测及文件资产库更新与同步、响应客户端安全策略库更新请求、响应客户端文件资产库的恢复/升级请求，功能详情如下：

文件资产库存储：存储大量经过安全检测的文件内容指纹，满足快速查询，用于快速过滤已认定为安全文件的检测请求；存储被配置为重要状态的文件内容，用于快速恢复/升级；

文件资产库安全策略配置：配置监测目录和业务的重要性以及出现异常变化时的处理措施；配置已存储文件内容的重要程度以及发生异常变化时的处理措施；配置多服务器共同运行时所存储文件发生更新时的同步规则；配置多服务器共同运行时所存储文件内容版本发生冲突时的处理措施；

安全检测及文件资产库更新与同步：对新增的文件资产进行安全检测并存储到资产库中同时向其他服务端进行同步更新(仅限多服务端模式)，保证所有服务器的文件资产库一致；接收其他服务端发送的文件同步和更新请求(仅限多服务端模式)，保证所有服务器的文件资产库一致；接收客户端发送的文件指纹比对请求，用于客户端的快速检测；接收客户端发送的文件内容安全检测结果，加入安全文件内容指纹库；

响应客户端安全策略库更新请求：客户端会定时向服务端询问安全策略库当前版本等信息，如果服务端出现新的变化则进行下载更新；

响应客户端文件资产库的恢复/升级请求：客户端对文件资产进行安全检测后，如果发现文件出现异常需要进行恢复/升级操作，则向服务端和其他客户端发送恢复/升级请求，服务端收到请求后将进行响应，客户端会根据实际网络情况，选择是否从服务端接收文件。

客户端软件主要功能是文件资产的检测与修复、文件资产的升级、系统监测目标的配置、与其他客户端的检测、修复/升级交互，功能详情如下:

文件资产的检测与修复：对客户端监测目标中的文件和目录进行实时监控，发生变化则根据安全策略做进一步处理；对客户端系统中的部分文件(例如后缀为exe,dll,sys等)加载运行时进行检测，发现异常则根据安全策略做进一步处理，检测机制采用客户端/服务端+客户端模式，检测与修复过程中需要服务端和其他客户端参与，检测流程具体如下：

在a处执行向服务端和其他客户端发送文件内容指纹请求时，有以下几点技术细节需要注意：

1)通信协议模式：向服务端的请求命令采用TCP协议通信；向其他客户端的请求命令采用UDP协议的广播通信；

2)检测结果响应：服务端文件检测结果文件指纹是否安全都需返回给客户端；其他客户端的检测结果只有在文件检测结果安全的情况下才返回给请求方。

请求返回的检测结果存在以下几种情况：

1)都没有返回(未部署服务端和客户端或网络中断)，判定为不安全文件；

2)服务端返回检测结果安全，无客户端返回，请求方在收到结果后保存到本地的安全文件指纹库中，同时需要广播该检测信息到网络中；

3)服务端返回检测结果异常，请求方收到结果后判定为不安全文件，继续向下执行；

4)服务端无返回，收到客户端安全检测结果，请求方收到结果后判定为安全文件并保存该文件指纹到本地的安全文件指纹库中。

5)由于客户端与客户端采用的是广播通信，在同一个子网中的所有客户端都会收到请求和返回结果，当某一个客户端发送安全的检测结果时，其他客户端都要查询并保存该安全指纹到本地指纹库中。

在b处执行向服务器和其他客户端发送文件恢复/升级请求时，有以下几点技术细节需要注意：

1)通信协议模式：向服务端的请求文件传输命令采用TCP协议通信；向其他客户端的请求文件传输命令采用UDP协议的广播通信；与服务端和其他客户端传输文件内容采用TCP协议通信；

2)收到请求返回后，优先选择采用UDP协议返回结果的本地其他客户端作为恢复文件的目标源，传输速度快同时也减小了服务端的压力；

3)升级请求时候，被升级文件可能存在多个，升级流程将在文件资产的升级中详细说明。

文件资产的升级：对客户端监测目标中的文件进行版本查询并升级，升级机制采用客户端/(服务端+客户端)模式，升级流程具体如下：

在c、d处执行向服务器和其他客户端发送查询文件新版本请求时，有以下几点技术细节需要注意：

1)通信协议模式：向服务端的查询请求命令采用TCP协议通信；向其他客户端的查询请求命令采用UDP协议的广播通信；

2)d处与服务端或其他客户端传输文件内容时均采用TCP协议通信；

3)收到请求返回后，优先选择采用UDP协议返回结果的本地其他客户端作为升级文件的目标源，传输速度快同时也减小了服务端的压力；

系统监测目标的配置：配置文件检测的目标范围(包含文件、文件夹)以及基本的其他系统参数。

与其他客户端的检测、修复/升级交互：响应其他客户端的发送的检测、修复/升级请求命令，协助其他客户端执行操作命令；接收其他客户端发送的检测结果，查询并存储到本地安全指纹库，用于以后自身检测需要。

该发明的有益效果在于：

1)本发明在安全检测机制中，当监测到有文件发生变更或文件被加载运行时才会触发安全检测，对文件内容进行安全检查，避免长期耗用系统资源；

2)本发明采用UDP和TCP2种传输协议制定通信协议，其中客户端与客户端之间的通信采用UDP广播协议，一个客户端发出请求，网内其他客户端都可以收到，及时做出响应，方便网内所有客户端一起协作执行命令和更新数据；

3)本发明在执行安全检测中，会首先在本地安全文件指纹库中直接查询，如未查询到结果，则通知服务端和局域网其他客户端进行查询，整个执行过程中，所有客户端和服务端都做为计算节点进行检测，一个新样品文件只需要对文件内容检测一次，其检测结果就会在整个业务系统网内进行传递，其他客户端再次检测时只需查询即可；

4)本发明在检测到异常文件需要修复时，会优先选择局域网内的设备进行文件传输，速度快，效率高；

5)本发明在检测到监测目标中文件或目录需要升级时，会优先选择局域网内的设备进行文件传输，速度快，效率高。

附图说明

图1是本发明实施例中所使用系统模块关系示意图。

图2是本发明实施例中系统所使用检测流程示意图。

图3是本发明实施例中系统所使用升级流程示意图。

具体实施方式

下面结合附图对本发明的具体实施方式进行描述，以便更好的理解本发明。

实施例

本实施例中的可快速实时检测并恢复升级操作系统中文件的方法，该系统包括：一组支持文件检测、文件传输的QCRP协议；运行在服务器端支持QCRP协议的服务端软件；运行在终端节点支持QCRP协议的客户端软件；系统部署以及各部件之间交互简单示意图如图1所示。一组支持文件检测、文件传输的安全协议被用于服务端与服务端、客户端与客户端、服务端与客户端之间的交互操作，协议具有防重放和防篡改机制，保证部件之间数据交互的完整性，由UDP和TCP2种传输协议组成。

服务端软件主要功能是文件资产库存储、文件资产库安全策略配置、安全检测及文件资产库更新与同步、响应客户端安全策略库更新请求、响应客户端文件资产库的恢复/升级请求，功能详情如下：

文件资产库存储：存储大量经过安全检测的文件内容指纹，满足快速查询，用于快速过滤已认定为安全文件的检测请求；存储被配置为重要状态的文件内容，用于快速恢复/升级；

文件资产库安全策略配置：配置监测目录和业务的重要性以及出现异常变化时的处理措施；配置已存储文件内容的重要程度以及发生异常变化时的处理措施；配置多服务器共同运行时所存储文件发生更新时的同步规则；配置多服务器共同运行时所存储文件内容版本发生冲突时的处理措施；

安全检测及文件资产库更新与同步：对新增的文件资产进行安全检测并存储到资产库中同时向其他服务端进行同步更新(仅限多服务端模式)，保证所有服务器的文件资产库一致；接收其他服务端发送的文件同步和更新请求(仅限多服务端模式)，保证所有服务器的文件资产库一致；接收客户端发送的文件指纹比对请求，用于客户端的快速检测；接收客户端发送的文件内容安全检测结果，加入安全文件内容指纹库；

响应客户端安全策略库更新请求：客户端会定时向服务端询问安全策略库当前版本等信息，如果服务端出现新的变化则进行下载更新；

响应客户端文件资产库的恢复/升级请求：客户端对文件资产进行安全检测后，如果发现文件出现异常需要进行恢复/升级操作，则向服务端和其他客户端发送恢复/升级请求，服务端收到请求后将进行响应，客户端会根据实际网络情况，选择是否从服务端接收文件。

客户端软件主要功能是文件资产的检测与修复、文件资产的升级、系统监测目标的配置、与其他客户端的检测、修复/升级交互，功能详情如下:

文件资产的检测与修复：对客户端监测目标中的文件和目录进行实时监控，发生变化则根据安全策略做进一步处理；对客户端系统中的部分文件(例如后缀为exe,dll,sys等)加载运行时进行检测，发现异常则根据安全策略做进一步处理，检测机制采用客户端/服务端+客户端模式，检测与修复过程中需要服务端和其他客户端参与，检测流程如图2所示，具体如下：

在a处执行向服务端和其他客户端发送文件内容指纹请求时，有以下几点技术细节需要注意：

1)通信协议模式：向服务端的请求命令采用TCP协议通信；向其他客户端的请求命令采用UDP协议的广播通信；

2)检测结果响应：服务端文件检测结果文件指纹是否安全都需返回给客户端；其他客户端的检测结果只有在文件检测结果安全的情况下才返回给请求方。

请求返回的检测结果存在以下几种情况：

1)都没有返回(未部署服务端和客户端或网络中断)，判定为不安全文件；

2)服务端返回检测结果安全，无客户端返回，请求方在收到结果后保存到本地的安全文件指纹库中，同时需要广播该检测信息到网络中；

3)服务端返回检测结果异常，请求方收到结果后判定为不安全文件，继续向下执行；

4)服务端无返回，收到客户端安全检测结果，请求方收到结果后判定为安全文件并保存该文件指纹到本地的安全文件指纹库中。

5)由于客户端与客户端采用的是广播通信，在同一个子网中的所有客户端都会收到请求和返回结果，当某一个客户端发送安全的检测结果时，其他客户端都要查询并保存该安全指纹到本地指纹库中。

在b处执行向服务器和其他客户端发送文件恢复/升级请求时，有以下几点技术细节需要注意：

1)通信协议模式：向服务端的请求文件传输命令采用TCP协议通信；向其他客户端的请求文件传输命令采用UDP协议的广播通信；与服务端和其他客户端传输文件内容采用TCP协议通信；

2)收到请求返回后，优先选择采用UDP协议返回结果的本地其他客户端作为恢复文件的目标源，传输速度快同时也减小了服务端的压力；

3)升级请求时候，被升级文件可能存在多个，升级流程将在文件资产的升级中详细说明。

文件资产的升级：对客户端监测目标中的文件进行版本查询并升级，升级机制采用客户端/(服务端+客户端)模式，升级流程如图3所示，具体如下：

在c、d处执行向服务器和其他客户端发送查询文件新版本请求时，有以下几点技术细节需要注意：

1)通信协议模式：向服务端的查询请求命令采用TCP协议通信；向其他客户端的查询请求命令采用UDP协议的广播通信；

2)d处与服务端或其他客户端传输文件内容时均采用TCP协议通信；

3)收到请求返回后，优先选择采用UDP协议返回结果的本地其他客户端作为升级文件的目标源，传输速度快同时也减小了服务端的压力；

系统监测目标的配置：配置文件检测的目标范围(包含文件、文件夹)以及基本的其他系统参数。

与其他客户端的检测、修复/升级交互：响应其他客户端的发送的检测、修复/升级请求命令，协助其他客户端执行操作命令；接收其他客户端发送的检测结果，查询并存储到本地安全指纹库，用于以后自身检测需要。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。

Claims (1)

1.一种可快速实时检测并恢复升级操作系统中文件的方法，其特征在于：所采用系统包括：一组支持文件检测、文件传输的QCRP协议；运行在服务器端支持QCRP协议的服务端软件；运行在终端节点支持QCRP协议的客户端软件；一组支持文件检测、文件传输的安全协议被用于服务端与服务端、客户端与客户端、服务端与客户端之间的交互操作，协议具有防重放和防篡改机制，保证部件之间数据交互的完整性，由UDP和TCP2种传输协议组成；

服务端软件主要功能是文件资产库存储、文件资产库安全策略配置、安全检测及文件资产库更新与同步、响应客户端安全策略库更新请求、响应客户端文件资产库的恢复/升级请求，功能详情如下：

文件资产库存储：存储大量经过安全检测的文件内容指纹，满足快速查询，用于快速过滤已认定为安全文件的检测请求；存储被配置为重要状态的文件内容，用于快速恢复/升级；

文件资产库安全策略配置：配置监测目录和业务的重要性以及出现异常变化时的处理措施；配置已存储文件内容的重要程度以及发生异常变化时的处理措施；配置多服务器共同运行时所存储文件发生更新时的同步规则；配置多服务器共同运行时所存储文件内容版本发生冲突时的处理措施；

安全检测及文件资产库更新与同步：对新增的文件资产进行安全检测并存储到资产库中同时向其他服务端进行同步更新，保证所有服务器的文件资产库一致；接收其他服务端发送的文件同步和更新请求，保证所有服务器的文件资产库一致；接收客户端发送的文件指纹比对请求，用于客户端的快速检测；接收客户端发送的文件内容安全检测结果，加入安全文件内容指纹库；

响应客户端安全策略库更新请求：客户端会定时向服务端询问安全策略库当前版本等信息，如果服务端出现新的变化则进行下载更新；

响应客户端文件资产库的恢复/升级请求：客户端对文件资产进行安全检测后，如果发现文件出现异常需要进行恢复/升级操作，则向服务端和其他客户端发送恢复/升级请求，服务端收到请求后将进行响应，客户端会根据实际网络情况，选择是否从服务端接收文件；

客户端软件主要功能是文件资产的检测与修复、文件资产的升级、系统监测目标的配置、与其他客户端的检测、修复/升级交互，功能详情如下:

文件资产的检测与修复：对客户端监测目标中的文件和目录进行实时监控，发生变化则根据安全策略做进一步处理；对客户端系统中的部分文件，后缀为exe,dll,sys，加载运行时进行检测，发现异常则根据安全策略做进一步处理，检测机制采用客户端/服务端+客户端模式，检测与修复过程中需要服务端和其他客户端参与，检测流程具体如下：

在a处执行向服务端和其他客户端发送文件内容指纹请求时，有以下几点技术细节需要注意：

1)通信协议模式：向服务端的请求命令采用TCP协议通信；向其他客户端的请求命令采用UDP协议的广播通信；

2)检测结果响应：服务端文件检测结果文件指纹是否安全都需返回给客户端；其他客户端的检测结果只有在文件检测结果安全的情况下才返回给请求方；

请求返回的检测结果存在以下几种情况：

1)都没有返回(未部署服务端和客户端或网络中断)，判定为不安全文件；

2)服务端返回检测结果安全，无客户端返回，请求方在收到结果后保存到本地的安全文件指纹库中，同时需要广播该检测信息到网络中；

3)服务端返回检测结果异常，请求方收到结果后判定为不安全文件，继续向下执行；

4)服务端无返回，收到客户端安全检测结果，请求方收到结果后判定为安全文件并保存该文件指纹到本地的安全文件指纹库中；

5)由于客户端与客户端采用的是广播通信，在同一个子网中的所有客户端都会收到请求和返回结果，当某一个客户端发送安全的检测结果时，其他客户端都要查询并保存该安全指纹到本地指纹库中；

在b处执行向服务器和其他客户端发送文件恢复/升级请求时，有以下几点技术细节需要注意：

1)通信协议模式：向服务端的请求文件传输命令采用TCP协议通信；向其他客户端的请求文件传输命令采用UDP协议的广播通信；与服务端和其他客户端传输文件内容采用TCP协议通信；

2)收到请求返回后，优先选择采用UDP协议返回结果的本地其他客户端作为恢复文件的目标源，传输速度快同时也减小了服务端的压力；

3)升级请求时候，被升级文件可能存在多个，升级流程将在文件资产的升级中详细说明；

文件资产的升级：对客户端监测目标中的文件进行版本查询并升级，升级机制采用客户端/(服务端+客户端)模式，升级流程具体如下：

在c、d处执行向服务器和其他客户端发送查询文件新版本请求时，有以下几点技术细节需要注意：

1)通信协议模式：向服务端的查询请求命令采用TCP协议通信；向其他客户端的查询请求命令采用UDP协议的广播通信；

2)d处与服务端或其他客户端传输文件内容时均采用TCP协议通信；

3)收到请求返回后，优先选择采用UDP协议返回结果的本地其他客户端作为升级文件的目标源，传输速度快同时也减小了服务端的压力；

系统监测目标的配置：配置文件检测的目标范围(包含文件、文件夹)以及基本的其他系统参数；

与其他客户端的检测、修复/升级交互：响应其他客户端的发送的检测、修复/升级请求命令，协助其他客户端执行操作命令；接收其他客户端发送的检测结果，查询并存储到本地安全指纹库，用于以后自身检测需要。