CN1823318A - 实时修复重要计算机文件的系统 - Google Patents
实时修复重要计算机文件的系统 Download PDFInfo
- Publication number
- CN1823318A CN1823318A CNA2004800202559A CN200480020255A CN1823318A CN 1823318 A CN1823318 A CN 1823318A CN A2004800202559 A CNA2004800202559 A CN A2004800202559A CN 200480020255 A CN200480020255 A CN 200480020255A CN 1823318 A CN1823318 A CN 1823318A
- Authority
- CN
- China
- Prior art keywords
- file
- vital document
- data processing
- repair
- healer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
一种在包括传输网络(10)的数据传输系统中的实时修复系统,所述修复系统和至少是具有要防止遭受入侵者入侵的重要文件的数据处理设备(16、18、20或22)被连接到所述传输网络。这种修复系统包括:主系统修复器(28),其包括:用于存储重要文件的部件;用于识别使能对所述重要文件的修改的条件的部件、用于当所述重要文件之一已经被修改时进行检测的部件、和用于当对所述数据处理设备中的所述重要文件的修改没有满足所需条件时将原始重要文件回拷到所述数据处理设备中的部件。
Description
技术领域
本发明涉及一种用来抵御试图访问存储在计算机中的文件的黑客的安全系统,并且具体涉及一种用于实时修复重要计算机文件的系统。
背景技术
一般,在网络环境中,系统管理员是被授权来修改在计算机本身上或者来自中心监控计算机的一些重要程序和系统文件的唯一的人。越来越多的敌意黑客试图危及(compromise)这些文件,以便以后访问该系统。新的系统漏洞定期地被发现,从而导致所谓的“利用(exploit)”,即允许几乎任何人—来自公司内部或来自公司外部—得到系统管理员特权一段时间。那些方式可以包括—但是不限于—“竟态条件”、缓冲器溢出、堆栈溢出等。
入侵者(pirate)一获得系统管理员特权访问,他们就将修改一些系统文件和/或数据文件,以便以后更容易地进入该系统,因为他们知道他们进入所利用的突破口有一天将被修补好(colamted)。他们可以例如通过尤其是在源码开放(open-source)的系统上、谨慎地修改用户和/或系统目录(和/或权限),或者通过重新编译一些系统文件,来引入“后门”。他们甚至可以在被危及的系统上修改编译器,使得任何利用其编译的程序可以自动包括这样的后门。
检测这种入侵的方案是(a)在计算机被连接到任何网络前的计算机安装时,计算所有重要文件的“MD5签名”(或者类似的签名方法,如SHA-1,其更好,但是也较慢),和(b)将这些MD5签名存储在安全的地方(例如,在将被设置成一次写入只读的磁盘上;在CD/R上;或者通过将它们安全地发送到网络上的另一台计算机上,在其上它们将被加密)。
在此方法中,周期地监控数据处理系统,检查具有被修改的MD5签名的文件和没有MD5签名数据库中的MD5签名的文件,可以指示不期望的修改的存在。每当这些情况中的一个或多个发生时,就要采取补救措施。“补救”一般采取给系统管理员或安全管理员的一个或多个消息的形式,所述消息指示没有MD5签名和/或具有被修改的MD5签名的文件的列表。
尽管MD5签名是个好方法,以致当修改此文件时必定改变文件的MD5签名,但是此方案需要定期检查所有文件,这要通过在每台计算机上应用自动检查过程并且收集要由系统管理员或者软件工具进行分析的安全日志上的结果来进行。更具体而言,(a)如果检查进行的太频繁,则频繁请求计算机资源。相反,(b)如果以较长的时间间隔进行检查,那么入侵者在他/她被检测到之前将拥有更多可用时间来对所危及的系统进行实验。在大多数环境中,这些检查每夜都进行,例如在上午3点左右,从而给入侵者留出平均12个小时来在系统上造成麻烦,而且,在检查开始之前,他/她还得到大量时间来恢复神志清楚的(sane)状态。
应当注意:当入侵者拥有系统管理员的访问时,甚至可以修改与对每个文件的最后的操作相关联的系统时戳,从而覆盖他/她的踪迹。本地系统日志具有相同的脆弱性。
因此,需要一种实时检测攻击性入侵的方法。在所引用的IBM专利中请FR 920020083中描述的这种方法是在引导时向在引导时启动的程序声明计算机的重要文件,并且其启动对有关所声明的重要文件的任何修改的守护程序(daemon)检测。在检测到这种系统调用时,该方法产生中断并且向管理员计算机发送消息。几秒钟之后,其识别重要计算机文件产生的该系统调用并且在第二消息中将其发送。尽管这种方法使管理员实时知道何时存在黑客入侵,但是其不提供修复已经被攻击的重要计算机文件的解决方案。
发明内容
因此,本发明的主要目的在于提供一种能够实时修复已经被黑客入侵的、不论程序还是数据的重要计算机文件的系统。
本发明因此涉及一种在包括传输网络的数据传输系统中的实时修复系统,所述修复系统和至少是具有要防止遭受入侵者入侵的重要文件的数据处理设备被连接到所述传输网络。这种修复系统包括系统修复器,其包括:用于存储重要文件的部件;用于识别使能对重要文件的修改的条件的部件,用于当重要文件之一已经被修改时进行检测的部件;和用于当对数据处理设备中的重要文件的修改没有满足所需条件时、将原始重要文件回拷(copy back)到数据处理设备中的部件。
根据另一方面,本发明涉及一种用于在包括网络的数据传输系统中实时修复具有至少重要文件的计算机的方法,所述网络连接有修复层,该方法在于:在包括在修复层中的系统修复器中存储重要文件;在系统修复器中识别使能对重要文件的修改的条件;当重要文件已经被修改时进行检测;和当修改没有满足所需条件时,将重要文件回拷到相应的数据处理设备中。
附图说明
通过结合附图阅读下面对本发明的更具体的描述,将更好地理解本发明的以上和其它方面、特征和优点,其中:
图1是其中实现了根据本发明的修复系统的数据传输系统的方框图;
图2是表示在被监控的计算机上的引导过程的流程图;和
图3是表示当检测文件修改时系统修复器使用的方法的步骤的流程图。
具体实施方式
此后描述的发明最好利用运行诸如Windows或Linux那样的操作系统的计算机来实现,但是也可以利用具有操作本发明所必须的等同特性的任何操作系统来使用本发明。根据本发明的修复系统包括:传输网络10,例如互联网;普通局域网(LAN)12,其通过防火墙14连接到传输网络;和多台要被监控的计算机,例如连接到LAN12的计算机16和18,或者属于虚拟专用网(VPN)并且直接连接到传输网络10的计算机20和22。
专用网络24通过防火墙26连接到传输网络10,所述专用网络24或者是真实的,例如专用LAN,或者是虚拟的(与VPN相关联的一组服务)所谓的修复层。应当最好例如通过使用专用适配器和/或建立子网络(subnetting),来将修复层与网络的其余部分物理地、逻辑地或者物理和逻辑地隔离开,
此外,将构成本发明的主要特征的系统修复器28连接到修复层24。这种系统修复器是专用“计算机”,负责远程修补正被监控的计算机的重要文件,所述计算机例如直接连接到修复层的计算机16和18,或者连接到网络10的计算机20和22。必须注意:系统修复器28也被用作被监控的计算机的所有重要文件的原始副本连同它们的MD5签名的存储库,以便加速处理。
如所提到的那样,最好将系统修复器托管在专用计算机中。也可以将其通过虚拟化机制实现为被隔离的程序,或者甚至将其实现为提供一些稍后将要具体说明的预防措施的守护程序(驻留程序)。在这两种情况下,由于系统恢复器呈现为只有它的系统恢复端口打开的“裸的(bare)”的黑盒,所以系统恢复器能够不仅恢复其它系统而且同样能够恢复自身—除非系统恢复器被实现为现有计算机上的守护程序而没有虚拟化(可能但不是优选的实现),否则无论如何极不可能需要修复其自身。
对于系统修复器,优选的隔离是像z系列(390)计算机线上的z/VM的虚拟化系统,在支持它的硬件上的VMWARE(TM)(目前为Intel和AMD32位线计算机,和可能其它类型)。另一种隔离类型,尽管复杂并且服从竞态条件,可能将有多组包含修复数据和系统的文件(具有随机、隐藏的名称),并且将它们作为重要文件自身来监控。在内核或内核模块中受保护的MD5表将允许确定未改变的(多个)副本。
这里假设被监控的计算机可以是任何数据处理设备,例如通用计算机、有人值守或无人值守的用户工作站、文件服务器、名称服务器、数据库服务器、网关、网络服务器或在操作系统的控制下运行的任何其它类型的服务程序和服务程序组,其能够当其重要文件之一被修改时进行检测。
在监控计算机中,必须组织引导文件,使得修复层总是在系统的任何其它部分之前打开并且在修复层允许之前没有系统的其它部分启动。这暗示任何被监控的计算机的引导将根据图2的流程图所示的方法来进行。
开始,启动计算机的操作系统(步骤30)。然后,打开修复层(步骤32)并且计算机向系统修复器发送它的标识和凭证(步骤34),所述系统修复器确定计算机是否被识别(步骤36)。如果没有,终止此过程(步骤38)。如果计算机被识别,则有系统修复器向计算机给出OK,以便继续引导过程(步骤40)。在此阶段,计算机向系统修复器给出控制,以便在它的可能已经被攻击的计算机的所有重要文件的数据库中进行替换(步骤42)。最后,继续引导(步骤44)。
必须注意:当计算机第一次被连接到修复层时,并且在其被连接到任何其它类型的网络之前,所有其重要文件的副本被发送到系统修复器,以便将它们作为“原始”文件存储在它的数据库中。
总之,修复层用来专门承载:
-用于识别的在被监控的计算机和系统修复器之间的握手机制,
-从可能被攻击的计算机到系统修复器的重要文件通知改变,
-从系统修复器到可能被攻击的计算机的、并且如果必要,停止其
通信行为的强制命令。注意:这些命令由对所有其它进程具有强优
先权的本地守护程序在被攻击的计算机上控制。
-被修改的文件到系统修复器的传送,以用于攻击后的分析,
-重要文件的完整副本到被攻击的计算机的传送;以及
-在极端情况下,在彻底的计算机清理之后关闭或重启被攻击的计算机自身。这将或者当被攻击的计算机没有它预期的行为时或者当
一些文件由于操作系统将它们视作由不可停止的进程“正在使用”而不能被替换时需要。
还要注意:重要文件,即使具有相同的名称和路径,对于给定的计算机(例如UNIX系统上的口令等)也是特有的,但是它们中的多数(系统程序)不是这样的。所以,系统修复器对于具有相同名称(除路径之外)和相同MD5签名的文件将只存储一个副本。曾经具有相同签名的两个文件的偶然情况的可能性据估计包括在2^47分之一和2^128分之一(对于SHA-1而言,2^160分之一)之间,并且我们只比较具有相同名称的文件的MD5密钥的事实使得冲突的风险更低。此外,在不同计算机上具有相同名称、但是不同MD5签名—这是对于给定系统或程序的不同发布的情况—的文件将不会混淆。
使用用于参考副本的数目的计数器系统。其每当加入新的参考副本时就递增,而当此数目减少时就递减。当计数器达到零时副本自身可以被压缩,公知技术“无用单元收集”。
每当文件被修改时,系统修复器都确定此修改是否已经被计划(系统或应用程序升级、系统补丁、新软件的安装和卸载),并且因此是否已经—根据安全所需的粒度和维护方便的需要—在存储在文件和数据库中的表中声明。在所有其它情况中,所有被修改的文件都被恢复到它们的初始状态,其副本被保存在修复器系统中。
表(在文件或数据库中)中每项的结构为下面的一种:(1)注册自身到系统修复器作为进行修复的候选者的计算机的说明(specification)、凭证和指纹(这可以使用计算机名称或网络地址—IP、IPX、MAC或者将被认为是对于所考虑的计算机组和连接它们的安全网络来说最安全的无论哪个命名);(2)已经被授权修改的每个重要文件的完整路径(这些文件的列表通常用于在Windows及Linux包(RPM、DEB和其它格式)以及无格式(plain)UNIX tarball(“tar tvftarball-名称”)的安装/卸载包中很容易得到);(3)已经授权此修改的经计划的时间窗,就是说,将只产生信息消息和普通行踪日志(regular trace log),而不产生告警,并且起动自动修复过程。值得注意的是:时间的知晓不需要精确到秒或者甚至分钟,所以这里时间服务器(其可能自身包含安全缺陷)的使用不是强制的。
例如,表的逻辑结构可能如下:
a.已经被计划修改的计算机的识别(例如,IP地址),
b.包括其路径和文件名的要被修改的文件的名称(一般在提供给软件的卸载表中可以找到),
c.预期的改变类型(将被创建、修改、删除或者“忽略(do not care)”),
d.预期监控(可以被改变,不必、必须改变一次或多次,必须只改变一次),
e.最先允许的修改,
f.最后允许的修改,
g.用于在给定延迟中文件的修改的次数的计数器。
必须注意:e和f项由系统管理员根据他想要安装或更新系统的时间以成批的方式(in bulk mode)来填写。在一些琐细的但是经常发生的情况中—例如添加、删除或者改变关于用户或者系统中的文件访问参数的信息,这样的项可以由在系统修复器中进行表插入和对目标系统进行想要的修改的小(trivial)脚本来自动添加,对目标系统进行想要的修改根据系统修复器对远程系统的命令在例如一分钟之后进行。
现在参照图3来描述修复过程。当在可能被攻击的计算机的重要文件之一上检测到“删除”或“为修改而打开”调用时(步骤48),本发明的原理在于检查是否存在常规的改变(步骤50),以便发出或不发出告警。此检查最好由产生被异步例行程序(称为守护程序)所捕获的自动中断的计算机实时地进行,所述异步例行程序向系统修复器发送消息。然而,该检查也可以通过使用诸如Enterprise System Manager(ESM)of Symantec那样的专用软件周期性地扫描重要文件来延期地执行(批处理方式)。
当系统修复器收到可能被攻击的计算机的调用或者来自批监控安全系统的调用时,与可能被攻击的计算机有关的表的一部分被调入主存储器。在可能的替换实现中,可以通过大约每分钟激活的精密计时程序(cron)或者象精密计时程序一样(cron-like)的工作将包含当前时间的表的所有行保存在存储器中。
被修改的重要文件的名称一到达,系统修复器就根据上述表检查相应的改变是否被计划。受伤害的计算机和系统修复器的完全地相互识别由达到最新技术发展水平的技术来保证,所述达到最新技术发展水平的技术包括一但是不限于—MAC地址识别、IP地址控制、询问/回答口令、最终公共密钥识别的使用。尽管由于所有权的低的总费用(TCO)和此方案的高隔离度—因此安全—而导致修复层最好拥有和使用其自己的专用物理网络,但是可以考虑在现有的LAN、VPN中使用子网络,或者甚至通过上述的适当的隔离在相同的物理计算机上共存。出于安全的理由,系统修复器不应当认同任何远程登录企图,并且最好不提供除了此修复服务之外的任何其它外部服务,应当为此修复服务保留端口并且关闭所有其它端口。此系统修复器理想地应当为黑盒,并且其操作系统安装在CD、CD/R、DVD或DVD-RW/DVD+RW,例如“àlaKnoppix”(Knoppix是只从CD运行而不使用硬盘的Linux系统),其恰好具有存储其数据文件的足够的可写非易失性存储器(小硬盘、闪存卡或者USB密钥存储器)以便存储其数据文件。由于系统修复器必须保证无停止的操作,所以优选的解决方案是具有两个工作的系统修复器—主系统修复器和备用系统修复器,每当主单元失效时备用系统修复器接管。两个单元并行存储信息,在正常情况下只有主单元答复,当主单元在超时延迟内没有答复时备用单元接管。
如果当前时间落在实时系统的所计划的时间周期之外,或者在批处理安全系统的情况下、那个周期不包括在此次运行和前一个运行之间的时间内,则系统修复器上产生告警。另外,运行所述改变。注意:不使用与每个文件相关联的时戳,因为如果入侵者得到超级用户访问,则它们不可靠。
技术人员将理解可以以任何形式产生告警,例如在计算机显示器上和/或者过程的开始的特定消息。
如果所请求的文件的修改对应于常规改变,该进程在所修改的文件已经被复制到系统修复器的数据库中以替换文件的以前的版本之后被返回到下一次调用的检测(步骤52)。
在此阶段,提到三种将要被考虑的重要文件是有用处的,这三种重要文件为:一般数据文件、守护程序文件和核心系统文件。因此,该过程确定文件是否是一般数据文件(步骤54)。如果是,那么所有可以使用此文件的过程一被取消,就用存储在系统修复器中的副本来替换该文件(步骤56)并且此过程返回到开始。
如果它不是一般数据文件,则确定该文件是否相当于具有数据部分(配置文件)和可执行部分(守护程序本身)的守护程序文件(步骤58)。在第一种情况中,不仅将必须恢复配置文件,而且也必须检查和更新守护程序的可执行部分,这意味着它重新读取它的配置文件以便相应地动作(步骤60)。在第二种情况中,将必须停止或者最终取消守护程序,从系统修复器带回新的副本,并且重启守护程序。
如果它不是守护程序文件,则确定该文件是否相当于没有重新引导就不能被安全地改变的核心系统文件(步骤62)。如果是,则用系统修复器中存储的副本来替换该文件,但是此副本必须从系统修复器被下载到专用目录(步骤64),从所述专用目录它将在重新引导的时候被更新(这是在操作系统上可使用的一般方案,所以它们可以加载它们自己的更新。在Windows中,例如,要被重新引导文件列表存储在注册项中“System\CurrentControlSet\Control\SessionManager[PendingFileRenameOperations]”)。
如果它不是核心系统文件,则最后的情况是确定该文件是否是上面已经提到的卸载文件之一(步骤66)。哈希表可以用来快速确定此情况。如果文件名存在于卸载文件中,则它由存储在系统修复器中的副本来替换(步骤68)。如果不是这种情况,在将该文件复制到用于由系统管理员或安全管理员事后分析的SH之后,删除该文件(步骤70)。在两种情况中,该过程被返回到开始。
在任何情况中,当已经检测到入侵时,有必要取消使用被攻击的文件的所有进程(包括入侵者的会话),所述被攻击的文件可以由系统表中的搜索来识别。对待此情况的另一种方法是:在从多用户方式适度地退出之后将受伤害的计算机临时回复到只识别修复层的单用户方式。系统修复器处于只读访问方式,以便避免对所复制的文件的任何修改或者避免当复制原始文件时的任何文件创建。每当启动修复进程,除了对系统修复器的通信之外拒绝所有连接到被入侵的计算机的通信。所有通信被(适度地)关闭并且直到自愈过程结束才恢复,以便防止另一个有害的干扰和/或入侵。在多数情况中,此过程将不需要重新引导。
一旦文件被复制,系统管理员进行所有改变以便保持和/或用适当的文件—其在入侵之前意味着原始文件—来更新系统修复器机器,同时除了在内核表(Linux和其它源码开放系统)或被监控的文件(Windows和其它专用系统)中声明的通信连接之外、所有到被入侵的计算机的通信连接都被关闭并且中断修复特征。当被入侵的计算机的维护/更新结束时,将由被授权的系统管理员引入的改变复制到系统修复器,其然后从只读访问方式切换到可写方式,并且当此过程结束时返回到只读方式。
注意:尽管本发明是在网络系统的情况下描述的,但是本领域的那些技术人员应理解本发明的机制能够作为各种形式的程序产品而被分布到任何类型的信息处理系统,并且其可以等同地应用而不用考虑用来实际执行所述分布的信号承载介质的特定类型。信号承载介质的示例包括,而不是限制于,可记录型介质,例如软盘或CD ROM,和传输型介质,例如模拟或数字通信链路。
尽管已经参照优选实施例特别示出和描述了本发明,但是本领域的那些技术人员应理解:在不偏离本发明的精神和范围的情况下可以在其中进行形式和细节上的各种修改。
Claims (18)
1.一种在包括传输网络(10)的数据传输系统中的实时修复系统,所述修复系统和至少具有需要防止遭受入侵者入侵的重要文件的数据处理设备(16、18、20或22)被连接到所述传输网络;
所述修复系统特征在于它包括:主系统修复器(28),其包括:用于存储所述重要文件的部件、用于识别使能对所述重要文件的修改的条件的部件、用于当所述重要文件之一已经被修改时进行检测的部件、和用于当对所述数据处理设备中的所述重要文件的修改没有满足所述条件时将原始重要文件回拷到所述数据处理设备中的部件。
2.根据权利要求1所述的实时修复系统,包括所述系统修复器(28)连接到其上的修复层(24),其是物理和/或逻辑上与所述传输网络(10)隔离的专用网络。
3.根据权利要求2所述的实时修复系统,其中所述修复层(24)是专用局域网(LAN)。
4.根据权利要求2所述的实时修复系统,其中所述系统修复器(28)或者是通过虚拟化机制被隔离的程序或者是守护程序。
5.根据权利要求4所述的实时修复系统,其中所述系统修复器(28)托管在专用计算机中。
6.根据权利要求5所述的实时修复系统,其中所述数据处理设备是当其重要文件之一被修改时能够检测的计算机、有人值守或无人值守的工作站、文件服务器、名称服务器、数据库服务器、网络服务器或者在操作系统的控制下运行的任何类型的服务或服务组。
7.根据权利要求1至6中的任何一项所述的实时修复系统,其中所述用于存储被监控的数据处理设备的重要文件的部件被适配为当几个数据处理设备使用所述重要文件时只存储重要文件的一个副本,并且包括计数器,其每当存储新数据文件时递增而当所存储的数据文件的数目减少时递减。
8.根据权利要求7所述的实时修复系统,其中所述用于识别使能对所述重要文件的修改的条件的部件包括:表,其包括所监控的数据处理设备的标识和凭证、被授权修改的每个重要文件的完整路径和在其中被授权此修改的经计划的时间窗。
9.根据权利要求1至8中的任何一项所述的实时修复系统,其中所述重要文件是一般的数据文件、守护程序文件、核心系统文件或卸载文件。
10.根据权利要求1至9中的任何一项所述的实时修复系统,还包括备份系统修复器,其存储与主系统修复器相同的信息并且每当所述主系统修复器故障时接管。
11.一种用于在包括传输网络(20)的数据传输系统中实时修复至少一数据处理设备的方法,修复层和一个或多个具有需要防止遭受入侵者入侵的重要文件的数据处理设备(16、18、20、22)被连接到所述传输网络;
所述方法特征在于包括以下步骤:
-在包括在所述修复层中的系统修复器(28)中存储所述重要文件;
-在所述系统修复器中识别使能对每个重要文件的修改的条件;
-当所述重要文件之一已经被修改时进行检测;和
-当对此文件的修改没有满足所述条件时,将所述所存储的重要文件回拷到相应的数据处理设备中。
12.根据权利要求11所述的方法,其中所述修复层(24)在数据传输系统的任何其它部分之前打开,并且在被所述修复层允许之前没有系统的其它部分启动。
13.根据权利要求12所述的方法,其中要被监控的任何数据处理设备的引导过程包括步骤:在启动所述数据处理设备的操作系统并且打开所述修复层之后,向所述系统修复器(28)发送所述数据处理设备的标识和凭证以用于控制。
14.根据权利要求11、12或13中的任何一项所述的方法,其中在检测到所述修改时,所述系统修复器(28)在包含所述重要文件的修改的条件的表中检查该修改是否满足所述条件。
15.根据权利要求14所述的方法,其中所述检测响应于在所述数据处理设备中产生并且被发送到所述系统修复器(28)的中断。
16.根据权利要求15所述的方法,其中当修改的时间与被授权这种修改的经计划的时间窗不对应时启动修复过程,在所述修复过程中,存储在所述系统修复器(28)中的重要文件的原始副本被回拷到相应的数据处理设备中。
17.根据权利要求16所述的方法,其中重要文件是守护程序文件,并且还包括在所述守护程序文件的原始副本已经被回拷之后更新所述守护程序文件的步骤。
18.根据权利要求16所述的方法,其中所述重要文件是核心系统文件,并且还包括在所述核心系统文件的原始副本已经被回拷之后重新引导所述核心系统文件的步骤。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP03368045.5 | 2003-05-13 | ||
EP03368045 | 2003-05-13 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1823318A true CN1823318A (zh) | 2006-08-23 |
CN100524155C CN100524155C (zh) | 2009-08-05 |
Family
ID=33442890
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2004800202559A Expired - Fee Related CN100524155C (zh) | 2003-05-13 | 2004-04-23 | 实时修复重要计算机文件的系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US7617258B2 (zh) |
EP (1) | EP1634136A1 (zh) |
CN (1) | CN100524155C (zh) |
WO (1) | WO2004102361A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104750536A (zh) * | 2013-12-30 | 2015-07-01 | 华为技术有限公司 | 一种实现虚拟机自省的方法和装置 |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8272058B2 (en) | 2005-07-29 | 2012-09-18 | Bit 9, Inc. | Centralized timed analysis in a network security system |
US8984636B2 (en) | 2005-07-29 | 2015-03-17 | Bit9, Inc. | Content extractor and analysis system |
US7895651B2 (en) | 2005-07-29 | 2011-02-22 | Bit 9, Inc. | Content tracking in a network security system |
JP4895718B2 (ja) * | 2006-08-14 | 2012-03-14 | 株式会社リコー | 画像形成装置、データ復旧方法および記録媒体 |
US7392544B1 (en) * | 2007-12-18 | 2008-06-24 | Kaspersky Lab, Zao | Method and system for anti-malware scanning with variable scan settings |
US20090234953A1 (en) * | 2008-03-11 | 2009-09-17 | Palm, Inc. | Apparatus and methods for integration of third party virtual private network solutions |
GB2469308B (en) * | 2009-04-08 | 2014-02-19 | F Secure Oyj | Disinfecting a file system |
US8732834B2 (en) * | 2012-09-05 | 2014-05-20 | Symantec Corporation | Systems and methods for detecting illegitimate applications |
US20140143864A1 (en) * | 2012-11-21 | 2014-05-22 | Snoopwall Llc | System and method for detecting, alerting and blocking data leakage, eavesdropping and spyware |
US9208349B1 (en) | 2015-01-13 | 2015-12-08 | Snoopwall, Inc. | Securing data gathering devices of a personal computing device while performing sensitive data gathering activities to prevent the misappropriation of personal user data gathered therewith |
KR102218799B1 (ko) * | 2019-03-18 | 2021-02-23 | 주식회사 안랩 | 중요파일 판단 시스템 및 중요파일 판단 방법 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5826012A (en) * | 1995-04-21 | 1998-10-20 | Lettvin; Jonathan D. | Boot-time anti-virus and maintenance facility |
EP1193962A1 (en) * | 2000-09-21 | 2002-04-03 | Siemens Aktiengesellschaft | Transmission of real-time data from a network element to an application server with recovery method for link failure |
AU2001296205A1 (en) * | 2000-10-17 | 2002-04-29 | Shyne-Song Chuang | A method and system for detecting rogue software |
US7039830B2 (en) * | 2000-12-14 | 2006-05-02 | Far Stone Technology Corporation | Backup/recovery system and methods for protecting a computer system |
US7003672B2 (en) | 2001-09-25 | 2006-02-21 | Hewlett-Packard Development Company, L.P. | Authentication and verification for use of software |
US6961870B2 (en) * | 2002-03-13 | 2005-11-01 | Inventec Corporation | Data exchange update and back-up system and method between dual operating systems of a computer |
-
2004
- 2004-04-23 CN CNB2004800202559A patent/CN100524155C/zh not_active Expired - Fee Related
- 2004-04-23 EP EP04729112A patent/EP1634136A1/en not_active Withdrawn
- 2004-04-23 WO PCT/EP2004/005184 patent/WO2004102361A1/en active Application Filing
- 2004-04-23 US US10/556,627 patent/US7617258B2/en not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104750536A (zh) * | 2013-12-30 | 2015-07-01 | 华为技术有限公司 | 一种实现虚拟机自省的方法和装置 |
US10007785B2 (en) | 2013-12-30 | 2018-06-26 | Huawei Technologies Co., Ltd. | Method and apparatus for implementing virtual machine introspection |
CN104750536B (zh) * | 2013-12-30 | 2018-08-21 | 华为技术有限公司 | 一种实现虚拟机自省的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
EP1634136A1 (en) | 2006-03-15 |
US20060253712A1 (en) | 2006-11-09 |
US7617258B2 (en) | 2009-11-10 |
CN100524155C (zh) | 2009-08-05 |
WO2004102361A1 (en) | 2004-11-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9021595B2 (en) | Asset risk analysis | |
CN101901314B (zh) | 反恶意软件处理中误报的检测和最小化 | |
US7549164B2 (en) | Intrustion protection system utilizing layers and triggers | |
US7512977B2 (en) | Intrustion protection system utilizing layers | |
KR100711017B1 (ko) | 소프트웨어 에이전트와 에이전트 행동의 검증 방법 | |
US20110225128A1 (en) | Clean store for operating system and software recovery | |
US11374964B1 (en) | Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints | |
US20080178290A1 (en) | Method of secure data processing on a computer system | |
US20100262584A1 (en) | Disinfecting a file system | |
US20110016467A1 (en) | System And Method For Managing Virtual Machines | |
CN100524155C (zh) | 实时修复重要计算机文件的系统 | |
CN101529385A (zh) | 用于修复应用程序的方法和系统 | |
CN1773417A (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
CN101763479A (zh) | 自适应数据丢失防护策略 | |
US8392998B1 (en) | Uniquely identifying attacked assets | |
CN106295355A (zh) | 一种面向Linux服务器的主动安全保障方法 | |
JP6918269B2 (ja) | 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム | |
CN117270785B (zh) | 一种基于大数据平台的数据安全存储方法及系统 | |
RU2738334C1 (ru) | Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент | |
KR100456512B1 (ko) | 커널 백도어 탐지 시스템, 이를 이용한 커널 백도어 탐지방법 및 커널 데이터 복구 방법 | |
RU2399091C2 (ru) | Способ адаптивного параметрического управления безопасностью информационных систем и система для его осуществления | |
RU2468427C1 (ru) | Система и способ защиты компьютерной системы от активности вредоносных объектов | |
Gehani | Support for automated passive host-based intrusion response | |
JP2000112890A (ja) | 不正操作防止と追跡装置 | |
KR100959277B1 (ko) | 커널계층에서 통제리스트를 이용한 mbr공격차단 시스템 및 그 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20211117 Address after: New York, United States Patentee after: Qindarui Co. Address before: New York grams of Armand Patentee before: International Business Machines Corp. |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090805 Termination date: 20210423 |