技術(shù)特征:1.一種可快速實時檢測并恢復升級操作系統(tǒng)中文件的方法,其特征在于:所采用系統(tǒng)包括:一組支持文件檢測����、文件傳輸?shù)腝CRP協(xié)議;運行在服務器端支持QCRP協(xié)議的服務端軟件�����;運行在終端節(jié)點支持QCRP協(xié)議的客戶端軟件����;一組支持文件檢測�����、文件傳輸?shù)陌踩珔f(xié)議被用于服務端與服務端、客戶端與客戶端�����、服務端與客戶端之間的交互操作����,協(xié)議具有防重放和防篡改機制,保證部件之間數(shù)據(jù)交互的完整性��,由UDP和TCP2種傳輸協(xié)議組成�;
服務端軟件主要功能是文件資產(chǎn)庫存儲、文件資產(chǎn)庫安全策略配置�����、安全檢測及文件資產(chǎn)庫更新與同步�����、響應客戶端安全策略庫更新請求���、響應客戶端文件資產(chǎn)庫的恢復/升級請求����,功能詳情如下:
文件資產(chǎn)庫存儲:存儲大量經(jīng)過安全檢測的文件內(nèi)容指紋,滿足快速查詢���,用于快速過濾已認定為安全文件的檢測請求�����;存儲被配置為重要狀態(tài)的文件內(nèi)容��,用于快速恢復/升級�����;
文件資產(chǎn)庫安全策略配置:配置監(jiān)測目錄和業(yè)務的重要性以及出現(xiàn)異常變化時的處理措施�����;配置已存儲文件內(nèi)容的重要程度以及發(fā)生異常變化時的處理措施����;配置多服務器共同運行時所存儲文件發(fā)生更新時的同步規(guī)則;配置多服務器共同運行時所存儲文件內(nèi)容版本發(fā)生沖突時的處理措施���;
安全檢測及文件資產(chǎn)庫更新與同步:對新增的文件資產(chǎn)進行安全檢測并存儲到資產(chǎn)庫中同時向其他服務端進行同步更新�����,保證所有服務器的文件資產(chǎn)庫一致�����;接收其他服務端發(fā)送的文件同步和更新請求,保證所有服務器的文件資產(chǎn)庫一致����;接收客戶端發(fā)送的文件指紋比對請求,用于客戶端的快速檢測����;接收客戶端發(fā)送的文件內(nèi)容安全檢測結(jié)果,加入安全文件內(nèi)容指紋庫����;
響應客戶端安全策略庫更新請求:客戶端會定時向服務端詢問安全策略庫當前版本等信息,如果服務端出現(xiàn)新的變化則進行下載更新����;
響應客戶端文件資產(chǎn)庫的恢復/升級請求:客戶端對文件資產(chǎn)進行安全檢測后��,如果發(fā)現(xiàn)文件出現(xiàn)異常需要進行恢復/升級操作����,則向服務端和其他客戶端發(fā)送恢復/升級請求�����,服務端收到請求后將進行響應���,客戶端會根據(jù)實際網(wǎng)絡(luò)情況��,選擇是否從服務端接收文件�����;
客戶端軟件主要功能是文件資產(chǎn)的檢測與修復�����、文件資產(chǎn)的升級�、系統(tǒng)監(jiān)測目標的配置����、與其他客戶端的檢測����、修復/升級交互�����,功能詳情如下:
文件資產(chǎn)的檢測與修復:對客戶端監(jiān)測目標中的文件和目錄進行實時監(jiān)控��,發(fā)生變化則根據(jù)安全策略做進一步處理���;對客戶端系統(tǒng)中的部分文件,后綴為exe,dll,sys�����,加載運行時進行檢測�,發(fā)現(xiàn)異常則根據(jù)安全策略做進一步處理,檢測機制采用客戶端/服務端+客戶端模式�,檢測與修復過程中需要服務端和其他客戶端參與,檢測流程具體如下:
在a處執(zhí)行向服務端和其他客戶端發(fā)送文件內(nèi)容指紋請求時�,有以下幾點技術(shù)細節(jié)需要注意:
1)通信協(xié)議模式:向服務端的請求命令采用TCP協(xié)議通信;向其他客戶端的請求命令采用UDP協(xié)議的廣播通信����;
2)檢測結(jié)果響應:服務端文件檢測結(jié)果文件指紋是否安全都需返回給客戶端�����;其他客戶端的檢測結(jié)果只有在文件檢測結(jié)果安全的情況下才返回給請求方����;
請求返回的檢測結(jié)果存在以下幾種情況:
1)都沒有返回(未部署服務端和客戶端或網(wǎng)絡(luò)中斷)���,判定為不安全文件�;
2)服務端返回檢測結(jié)果安全����,無客戶端返回,請求方在收到結(jié)果后保存到本地的安全文件指紋庫中�����,同時需要廣播該檢測信息到網(wǎng)絡(luò)中�;
3)服務端返回檢測結(jié)果異常,請求方收到結(jié)果后判定為不安全文件����,繼續(xù)向下執(zhí)行�;
4)服務端無返回�,收到客戶端安全檢測結(jié)果,請求方收到結(jié)果后判定為安全文件并保存該文件指紋到本地的安全文件指紋庫中�;
5)由于客戶端與客戶端采用的是廣播通信,在同一個子網(wǎng)中的所有客戶端都會收到請求和返回結(jié)果��,當某一個客戶端發(fā)送安全的檢測結(jié)果時���,其他客戶端都要查詢并保存該安全指紋到本地指紋庫中�;
在b處執(zhí)行向服務器和其他客戶端發(fā)送文件恢復/升級請求時�����,有以下幾點技術(shù)細節(jié)需要注意:
1)通信協(xié)議模式:向服務端的請求文件傳輸命令采用TCP協(xié)議通信���;向其他客戶端的請求文件傳輸命令采用UDP協(xié)議的廣播通信�;與服務端和其他客戶端傳輸文件內(nèi)容采用TCP協(xié)議通信�;
2)收到請求返回后���,優(yōu)先選擇采用UDP協(xié)議返回結(jié)果的本地其他客戶端作為恢復文件的目標源���,傳輸速度快同時也減小了服務端的壓力�����;
3)升級請求時候�����,被升級文件可能存在多個��,升級流程將在文件資產(chǎn)的升級中詳細說明�;
文件資產(chǎn)的升級:對客戶端監(jiān)測目標中的文件進行版本查詢并升級����,升級機制采用客戶端/(服務端+客戶端)模式,升級流程具體如下:
在c��、d處執(zhí)行向服務器和其他客戶端發(fā)送查詢文件新版本請求時��,有以下幾點技術(shù)細節(jié)需要注意:
1)通信協(xié)議模式:向服務端的查詢請求命令采用TCP協(xié)議通信����;向其他客戶端的查詢請求命令采用UDP協(xié)議的廣播通信;
2)d處與服務端或其他客戶端傳輸文件內(nèi)容時均采用TCP協(xié)議通信�����;
3)收到請求返回后,優(yōu)先選擇采用UDP協(xié)議返回結(jié)果的本地其他客戶端作為升級文件的目標源�,傳輸速度快同時也減小了服務端的壓力;
系統(tǒng)監(jiān)測目標的配置:配置文件檢測的目標范圍(包含文件�����、文件夾)以及基本的其他系統(tǒng)參數(shù)�;
與其他客戶端的檢測、修復/升級交互:響應其他客戶端的發(fā)送的檢測��、修復/升級請求命令��,協(xié)助其他客戶端執(zhí)行操作命令�;接收其他客戶端發(fā)送的檢測結(jié)果,查詢并存儲到本地安全指紋庫�,用于以后自身檢測需要。