CN106295331A - 一种主动防御及异常上报系统的设计方法 - Google Patents
一种主动防御及异常上报系统的设计方法 Download PDFInfo
- Publication number
- CN106295331A CN106295331A CN201610698846.6A CN201610698846A CN106295331A CN 106295331 A CN106295331 A CN 106295331A CN 201610698846 A CN201610698846 A CN 201610698846A CN 106295331 A CN106295331 A CN 106295331A
- Authority
- CN
- China
- Prior art keywords
- file
- measurement
- module
- abnormal
- design
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种主动防御及异常上报系统的设计方法,其设计过程为:设计内存映射模块,将文件映射到内存中;设计度量模块,对读取到的文件内容进行度量值计算,并将得到的度量结果记录到度量日志中;设计文件版本控制及异常上报模块,负责在使用文件时,判断文件版本是否发生变化,根据判断结果,确定文件是否进行下一步操作;设计监控模块,负责接收文件版本控制及异常上报模块发来的异常信息,并将信息以邮件形式提示给管理员。该一种主动防御及异常上报系统的设计方法与现有技术相比,使用文件的内存度量值作为文件是否安全的唯一标准,从根本上保障的文件全方位的安全,解决传统计算机安全设备所存在的不足,实用性强,易于推广。
Description
技术领域
本发明涉及计算机安全技术领域,具体地说是一种实用性强、主动防御及异常上报系统的设计方法。
背景技术
随着计算机的普及以及人们对个人信息安全的重视,如何保障计算机乃至个人信息的安全成为了一个至关重要的问题。传统的计算机安全设备往往基于病毒及木马扫描技术,该技术用来扫描文件是否包含病毒或木马,因此该技术属于针对性保护,并不能完全的保障计算机的安全。因此,如何全方位的保障计算机的安全便成为了一个急需解决的问题。
为了解决传统计算机安全设备所存在的不足,本发明提出的一种高安全性的主动防御及异常上报系统设计方法,在文件初次使用时记录其内存信息的标准哈希度量值,在文件版本发生改变时,重新计算其内存信息的哈希值,并将此哈希值与标准哈希度量值进行比对,根据比对结果是否一致来判断文件是否安全。即,本发明使用文件的内存度量值作为文件是否安全的唯一标准,从根本上保障的文件全方位的安全。
发明内容
本发明的技术任务是针对以上不足之处,提供一种实用性强、主动防御及异常上报系统的设计方法。
一种主动防御及异常上报系统的设计方法,其具体设计过程为:
设计内存映射模块:用于将文件映射到内存中;
设计度量模块:对读取到的文件内容进行度量值计算,并将得到的度量结果记录到度量日志中;
设计文件版本控制及异常上报模块:该模块负责在使用文件时,判断文件版本是否发生变化,根据判断结果,确定文件是否进行下一步操作;
设计监控模块:负责接收文件版本控制及异常上报模块发来的异常信息,并将信息以邮件形式提示给管理员。
所述文件是指可执行文件、二进制文件、配置文件或读写文件。
所述度量模块使用TPM对度量值进行签名,记载该度量值的度量日志包含PCR索引号、PCR当前内容、文件度量值、TPM签名内容、文件名。
上述文件版本控制及异常上报模块的工作过程为:首先检查该文件版本是否发生变化,如果没有发生变化,则直接允许文件继续操作,若文件版本发生变化,则计算文件映射入内存内容的度量值,并验证该文件在度量日志中的签名值,签名验证通过后,将该度量值与度量日志中的标准度量值进行比对,允许文件继续操作;若文件为首次使用,由于度量日志中不存在该文件的度量记录,因此本次使用不进行度量值比对,而是将本文件的度量值写入度量日志中,此后继续该文件的操作。
主动防御的过程为:通过修改文件系统,在使用文件前,调用度量模块计算该文件的度量值,并记录此结果,并将此结果和文件版本号作为文件的属性;下次使用该文件时,如果文件版本发生改变,则计算该文件最新的度量值,与之前的度量值进行比对,比对结果一致则允许文件继续操作,否则阻止文件操作并将该异常情况主动上报给监控程序,从而达到主动防御的目的。
异常上报的过程为:使用文件时,通过内存映射模块,将文件映射到内存中,并调用文件版本控制及异常上报模块对文件的版本进行判断,若文件版本符合度量要求,则对文件映射入内存的内容进行度量,并将度量结果与标准度量结果进行比对,根据度量结果完成对文件后续操作的控制:比对结果一致,则允许文件继续操作,否则阻止文件操作并将异常结果提交给监控模块,由监控模块将异常信息反馈给管理员。
文件的度量结果记录到空间内存中,该记录采用迭代记录的方式,即最新度量结果内容为当前度量结果内容与本条文件度量结果的哈希值。
本发明的一种主动防御及异常上报系统的设计方法,具有以下优点:
本发明的一种主动防御及异常上报系统的设计方法,可以发现文件异常,并阻止文件的下一步操作,同时向管理员发送异常信息,在保障系统的安全同时,还有利于管理员处理异常,为计算机安全提供一个有力的保障,实用性强,易于推广。
附图说明
附图1为本发明的实现流程图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步说明。
本发明提供一种主动防御及异常上报系统的设计方法,通过修改文件系统,在使用文件前,这里的文件包括可执行文件、二进制文件、配置文件、读写文件。调用度量模块计算该文件的哈希结果,并记录此结果,并将此结果和文件版本号作为文件的属性。下次使用该文件时,如果文件版本发生改变,则计算该文件最新的哈希结果,与之前的度量结果进行比对,比对结果一致则允许文件继续操作,否则阻止文件操作并将该异常情况主动上报给监控程序。从而达到主动防御的目的。
本发明基于以下四个模块实现:
内存映射模块,用于将文件映射到内存中,在使用该文件时,比对文件版本是否发生变化,若发生变化,则对文件调用度量模块,否则直接允许操作文件;
度量模块:对读取到的文件内容进行哈希计算,并将得到的哈希结果记录到度量日志中,并使用TPM对度量值进行签名,度量日志包含了PCR索引号、PCR当前内容、文件度量值、TPM签名内容、文件名;
文件版本控制及异常上报模块:该模块负责在使用文件时,判断文件版本是否发生变化,若发生变化,则在内存映射模块完成映射后,调用度量模块对文件内容进行度量,计算哈希结果,并验证度量日志中该文件的签名值,签名验证通过后,将此时的哈希结果与度量日志中的哈希结果进行比对,若比对结果一致,则允许文件进行下一步操作,否则阻止文件继续操作并将异常结果反馈给监控模块。
监控模块:负责接收文件版本控制及异常上报模块发来的异常信息,并将信息以邮件形式提示给管理员。
本发明通过内存映射模块,将文件映射到内存中,并调用文件版本控制及异常上报模块对文件的版本进行判断,若文件版本符合度量要求,则对文件映射入内存的内容进行度量,并将度量结果与标准度量结果进行比对,根据度量结果完成对文件后续操作的控制:比对结果一致,则允许文件继续操作,否则阻止文件操作并将异常结果提交给监控模块,由监控模块将异常信息反馈给管理员。
本发明中,将文件度量结果记录到特殊的空间内存中,该记录方式采用迭代记录的方式,即最新度量结果内容为当前度量结果内容与本条文件度量结果的哈希值。由于此记录为依次迭代方式,因此任何文件的度量结果发生改变时,都将导致最终的度量结果发生改变,从而保障了所有文件的安全性。
下面结合图1来说明本发明所涉及系统的工作方式:
步骤1:操作系统使用文件时,需要将文件内容映射入内存,此时调用内存映射模块,完成文件内容的映射;
步骤2:文件版本控制及异常上报模块,首先检查该文件版本是否发生变化,如果没有发生变化,则直接允许文件进行下一步操作,若文件版本发生变化,则计算文件映射入内存内容的度量值,并验证该文件在度量日志中的签名值,签名验证通过后,将该度量值与度量日志中的标准度量值进行比对,继续步骤3;若文件为首次使用,由于度量日志中不存在该文件的度量记录,因此本次使用不进行度量值比对,而是将本文件的度量值写入度量日志中,此后继续该文件的操作;
步骤3:如果比对结果一致,则允许文件继续操作,否则,继续步骤4;
步骤4:阻止文件继续操作,并调用监控模块,监控模块负责将异常信息以邮件的形式发送给管理员。
以上为主动度量及异常上报系统的工作方式。
通过以上操作,可以发现文件异常,并阻止文件的下一步操作,同时向管理员发送异常信息,在保障系统的安全同时,还有利于管理员处理异常。为计算机安全提供一个有力的保障。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的一种主动防御及异常上报系统的设计方法的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
Claims (7)
1.一种主动防御及异常上报系统的设计方法,其特征在于,其具体设计过程为:
设计内存映射模块:用于将文件映射到内存中;
设计度量模块:对读取到的文件内容进行度量值计算,并将得到的度量结果记录到度量日志中;
设计文件版本控制及异常上报模块:该模块负责在使用文件时,判断文件版本是否发生变化,根据判断结果,确定文件是否进行下一步操作;
设计监控模块:负责接收文件版本控制及异常上报模块发来的异常信息,并将信息以邮件形式提示给管理员。
2.根据权利要求1所述的一种主动防御及异常上报系统的设计方法,其特征在于,所述文件是指可执行文件、二进制文件、配置文件或读写文件。
3.根据权利要求1所述的一种主动防御及异常上报系统的设计方法,其特征在于,所述度量模块使用TPM对度量值进行签名,记载该度量值的度量日志包含PCR索引号、PCR当前内容、文件度量值、TPM签名内容、文件名。
4.根据权利要求1所述的一种主动防御及异常上报系统的设计方法,其特征在于,上述文件版本控制及异常上报模块的工作过程为:首先检查该文件版本是否发生变化,如果没有发生变化,则直接允许文件继续操作,若文件版本发生变化,则计算文件映射入内存内容的度量值,并验证该文件在度量日志中的签名值,签名验证通过后,将该度量值与度量日志中的标准度量值进行比对,允许文件继续操作;若文件为首次使用,由于度量日志中不存在该文件的度量记录,因此本次使用不进行度量值比对,而是将本文件的度量值写入度量日志中,此后继续该文件的操作。
5.根据权利要求4所述的一种主动防御及异常上报系统的设计方法,其特征在于,主动防御的过程为:通过修改文件系统,在使用文件前,调用度量模块计算该文件的度量值,并记录此结果,并将此结果和文件版本号作为文件的属性;下次使用该文件时,如果文件版本发生改变,则计算该文件最新的度量值,与之前的度量值进行比对,比对结果一致则允许文件继续操作,否则阻止文件操作并将该异常情况主动上报给监控程序,从而达到主动防御的目的。
6.根据权利要求4所述的一种主动防御及异常上报系统的设计方法,其特征在于,异常上报的过程为:使用文件时,通过内存映射模块,将文件映射到内存中,并调用文件版本控制及异常上报模块对文件的版本进行判断,若文件版本符合度量要求,则对文件映射入内存的内容进行度量,并将度量结果与标准度量结果进行比对,根据度量结果完成对文件后续操作的控制:比对结果一致,则允许文件继续操作,否则阻止文件操作并将异常结果提交给监控模块,由监控模块将异常信息反馈给管理员。
7.根据权利要求6所述的一种主动防御及异常上报系统的设计方法,其特征在于,文件的度量结果记录到空间内存中,该记录采用迭代记录的方式,即最新度量结果内容为当前度量结果内容与本条文件度量结果的哈希值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610698846.6A CN106295331A (zh) | 2016-08-22 | 2016-08-22 | 一种主动防御及异常上报系统的设计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610698846.6A CN106295331A (zh) | 2016-08-22 | 2016-08-22 | 一种主动防御及异常上报系统的设计方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106295331A true CN106295331A (zh) | 2017-01-04 |
Family
ID=57662356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610698846.6A Pending CN106295331A (zh) | 2016-08-22 | 2016-08-22 | 一种主动防御及异常上报系统的设计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106295331A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101271498A (zh) * | 2008-03-25 | 2008-09-24 | 浙江大学 | 在linux操作系统通过威胁链表和安全链表实现可信计算的方法 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| KR101073170B1 (ko) * | 2003-12-18 | 2011-10-12 | 파나소닉 주식회사 | 프로그램 데이터 파일 저장 방법 및 인증된 프로그램 실행방법 |
| CN102436566A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 一种动态可信度量方法及安全嵌入式系统 |
| WO2013073762A1 (en) * | 2011-11-14 | 2013-05-23 | Neowiz Games Co., Ltd. | Method and apparatus for providing and collecting data about abnormal termination of program |
-
2016
- 2016-08-22 CN CN201610698846.6A patent/CN106295331A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101073170B1 (ko) * | 2003-12-18 | 2011-10-12 | 파나소닉 주식회사 | 프로그램 데이터 파일 저장 방법 및 인증된 프로그램 실행방법 |
| CN101271498A (zh) * | 2008-03-25 | 2008-09-24 | 浙江大学 | 在linux操作系统通过威胁链表和安全链表实现可信计算的方法 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| WO2013073762A1 (en) * | 2011-11-14 | 2013-05-23 | Neowiz Games Co., Ltd. | Method and apparatus for providing and collecting data about abnormal termination of program |
| CN102436566A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 一种动态可信度量方法及安全嵌入式系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104751049B (zh) | 一种应用程序安装方法及移动终端 | |
| US20140006760A1 (en) | Out-of-band host os boot sequence verification | |
| JP2015111909A5 (zh) | ||
| CN101833631B (zh) | 一种结合指针分析的软件安全漏洞动态检测方法 | |
| TWI717831B (zh) | 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體 | |
| CN106611126A (zh) | 一种漏洞严重性评估及修补方法 | |
| JP2014199672A5 (zh) | ||
| US9202050B1 (en) | Systems and methods for detecting malicious files | |
| US10678914B2 (en) | Virus program detection method, terminal, and computer readable storage medium | |
| CN102130918A (zh) | 一种进行网络登录认证的帐号绑定系统 | |
| CN104346574A (zh) | 基于配置规范的主机安全配置漏洞自动修复方法及系统 | |
| CN104123164A (zh) | 一种应用程序的启动方法和装置 | |
| CN105303094A (zh) | 一种usb主控芯片的安全自验系统及自验方法 | |
| CN106547648A (zh) | 一种备份数据处理方法及装置 | |
| CN111522785A (zh) | 数据提取审计方法、装置和设备 | |
| CN105956191B (zh) | 一种数据迁移的方法及系统 | |
| CN104778410A (zh) | 一种应用程序完整性验证方法 | |
| CN104932963A (zh) | 管理终端的方法及装置 | |
| CN107766734A (zh) | 安全启动raid卡方法、装置、设备及计算机可读存储介质 | |
| CN109784061A (zh) | 控制服务器可信启动的方法及装置 | |
| CN106096421A (zh) | 一种基于tpm的高安全性的主机安全保护系统及方法 | |
| CN110647771A (zh) | 一种mysql数据库存储完整性校验保护方法及装置 | |
| CN106295331A (zh) | 一种主动防御及异常上报系统的设计方法 | |
| CN105224848A (zh) | 一种设备认证方法、装置及系统 | |
| CN111209149B (zh) | 一种服务器稳定性测试方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170104 |