本發(fā)明涉及計算機安全技術領域�,具體地說是一種實用性強、主動防御及異常上報系統(tǒng)的設計方法���。
背景技術:
隨著計算機的普及以及人們對個人信息安全的重視����,如何保障計算機乃至個人信息的安全成為了一個至關重要的問題�����。傳統(tǒng)的計算機安全設備往往基于病毒及木馬掃描技術����,該技術用來掃描文件是否包含病毒或木馬,因此該技術屬于針對性保護�,并不能完全的保障計算機的安全。因此�,如何全方位的保障計算機的安全便成為了一個急需解決的問題。
為了解決傳統(tǒng)計算機安全設備所存在的不足����,本發(fā)明提出的一種高安全性的主動防御及異常上報系統(tǒng)設計方法,在文件初次使用時記錄其內存信息的標準哈希度量值��,在文件版本發(fā)生改變時����,重新計算其內存信息的哈希值,并將此哈希值與標準哈希度量值進行比對��,根據(jù)比對結果是否一致來判斷文件是否安全��。即���,本發(fā)明使用文件的內存度量值作為文件是否安全的唯一標準��,從根本上保障的文件全方位的安全�����。
技術實現(xiàn)要素:
本發(fā)明的技術任務是針對以上不足之處���,提供一種實用性強�、主動防御及異常上報系統(tǒng)的設計方法����。
一種主動防御及異常上報系統(tǒng)的設計方法,其具體設計過程為:
設計內存映射模塊:用于將文件映射到內存中����;
設計度量模塊:對讀取到的文件內容進行度量值計算,并將得到的度量結果記錄到度量日志中�;
設計文件版本控制及異常上報模塊:該模塊負責在使用文件時,判斷文件版本是否發(fā)生變化����,根據(jù)判斷結果,確定文件是否進行下一步操作���;
設計監(jiān)控模塊:負責接收文件版本控制及異常上報模塊發(fā)來的異常信息���,并將信息以郵件形式提示給管理員����。
所述文件是指可執(zhí)行文件����、二進制文件����、配置文件或讀寫文件。
所述度量模塊使用TPM對度量值進行簽名����,記載該度量值的度量日志包含PCR索引號、PCR當前內容�����、文件度量值��、TPM簽名內容�、文件名。
上述文件版本控制及異常上報模塊的工作過程為:首先檢查該文件版本是否發(fā)生變化��,如果沒有發(fā)生變化,則直接允許文件繼續(xù)操作�����,若文件版本發(fā)生變化�,則計算文件映射入內存內容的度量值,并驗證該文件在度量日志中的簽名值��,簽名驗證通過后�,將該度量值與度量日志中的標準度量值進行比對,允許文件繼續(xù)操作��;若文件為首次使用��,由于度量日志中不存在該文件的度量記錄�,因此本次使用不進行度量值比對,而是將本文件的度量值寫入度量日志中���,此后繼續(xù)該文件的操作����。
主動防御的過程為:通過修改文件系統(tǒng)���,在使用文件前����,調用度量模塊計算該文件的度量值,并記錄此結果��,并將此結果和文件版本號作為文件的屬性����;下次使用該文件時���,如果文件版本發(fā)生改變�,則計算該文件最新的度量值�����,與之前的度量值進行比對����,比對結果一致則允許文件繼續(xù)操作,否則阻止文件操作并將該異常情況主動上報給監(jiān)控程序����,從而達到主動防御的目的。
異常上報的過程為:使用文件時���,通過內存映射模塊��,將文件映射到內存中�,并調用文件版本控制及異常上報模塊對文件的版本進行判斷,若文件版本符合度量要求���,則對文件映射入內存的內容進行度量�����,并將度量結果與標準度量結果進行比對����,根據(jù)度量結果完成對文件后續(xù)操作的控制:比對結果一致��,則允許文件繼續(xù)操作���,否則阻止文件操作并將異常結果提交給監(jiān)控模塊�����,由監(jiān)控模塊將異常信息反饋給管理員�。
文件的度量結果記錄到空間內存中,該記錄采用迭代記錄的方式��,即最新度量結果內容為當前度量結果內容與本條文件度量結果的哈希值�。
本發(fā)明的一種主動防御及異常上報系統(tǒng)的設計方法,具有以下優(yōu)點:
本發(fā)明的一種主動防御及異常上報系統(tǒng)的設計方法��,可以發(fā)現(xiàn)文件異常�����,并阻止文件的下一步操作����,同時向管理員發(fā)送異常信息�,在保障系統(tǒng)的安全同時,還有利于管理員處理異常���,為計算機安全提供一個有力的保障���,實用性強,易于推廣���。
附圖說明
附圖1為本發(fā)明的實現(xiàn)流程圖�����。
具體實施方式
下面結合附圖及具體實施例對本發(fā)明作進一步說明�����。
本發(fā)明提供一種主動防御及異常上報系統(tǒng)的設計方法����,通過修改文件系統(tǒng),在使用文件前����,這里的文件包括可執(zhí)行文件、二進制文件�����、配置文件�、讀寫文件。調用度量模塊計算該文件的哈希結果���,并記錄此結果����,并將此結果和文件版本號作為文件的屬性。下次使用該文件時���,如果文件版本發(fā)生改變�,則計算該文件最新的哈希結果�����,與之前的度量結果進行比對�����,比對結果一致則允許文件繼續(xù)操作�����,否則阻止文件操作并將該異常情況主動上報給監(jiān)控程序�����。從而達到主動防御的目的����。
本發(fā)明基于以下四個模塊實現(xiàn):
內存映射模塊�,用于將文件映射到內存中,在使用該文件時,比對文件版本是否發(fā)生變化����,若發(fā)生變化,則對文件調用度量模塊����,否則直接允許操作文件;
度量模塊:對讀取到的文件內容進行哈希計算����,并將得到的哈希結果記錄到度量日志中,并使用TPM對度量值進行簽名���,度量日志包含了PCR索引號�、PCR當前內容���、文件度量值�、TPM簽名內容�����、文件名����;
文件版本控制及異常上報模塊:該模塊負責在使用文件時����,判斷文件版本是否發(fā)生變化��,若發(fā)生變化����,則在內存映射模塊完成映射后,調用度量模塊對文件內容進行度量����,計算哈希結果,并驗證度量日志中該文件的簽名值����,簽名驗證通過后,將此時的哈希結果與度量日志中的哈希結果進行比對���,若比對結果一致,則允許文件進行下一步操作�,否則阻止文件繼續(xù)操作并將異常結果反饋給監(jiān)控模塊。
監(jiān)控模塊:負責接收文件版本控制及異常上報模塊發(fā)來的異常信息����,并將信息以郵件形式提示給管理員�����。
本發(fā)明通過內存映射模塊�,將文件映射到內存中����,并調用文件版本控制及異常上報模塊對文件的版本進行判斷,若文件版本符合度量要求�,則對文件映射入內存的內容進行度量,并將度量結果與標準度量結果進行比對����,根據(jù)度量結果完成對文件后續(xù)操作的控制:比對結果一致,則允許文件繼續(xù)操作��,否則阻止文件操作并將異常結果提交給監(jiān)控模塊���,由監(jiān)控模塊將異常信息反饋給管理員���。
本發(fā)明中,將文件度量結果記錄到特殊的空間內存中��,該記錄方式采用迭代記錄的方式,即最新度量結果內容為當前度量結果內容與本條文件度量結果的哈希值���。由于此記錄為依次迭代方式����,因此任何文件的度量結果發(fā)生改變時����,都將導致最終的度量結果發(fā)生改變,從而保障了所有文件的安全性����。
下面結合圖1來說明本發(fā)明所涉及系統(tǒng)的工作方式:
步驟1:操作系統(tǒng)使用文件時,需要將文件內容映射入內存����,此時調用內存映射模塊,完成文件內容的映射�����;
步驟2:文件版本控制及異常上報模塊�,首先檢查該文件版本是否發(fā)生變化,如果沒有發(fā)生變化�,則直接允許文件進行下一步操作,若文件版本發(fā)生變化��,則計算文件映射入內存內容的度量值����,并驗證該文件在度量日志中的簽名值,簽名驗證通過后����,將該度量值與度量日志中的標準度量值進行比對,繼續(xù)步驟3��;若文件為首次使用��,由于度量日志中不存在該文件的度量記錄����,因此本次使用不進行度量值比對,而是將本文件的度量值寫入度量日志中�����,此后繼續(xù)該文件的操作���;
步驟3:如果比對結果一致�,則允許文件繼續(xù)操作,否則��,繼續(xù)步驟4����;
步驟4:阻止文件繼續(xù)操作,并調用監(jiān)控模塊��,監(jiān)控模塊負責將異常信息以郵件的形式發(fā)送給管理員��。
以上為主動度量及異常上報系統(tǒng)的工作方式�����。
通過以上操作��,可以發(fā)現(xiàn)文件異常�,并阻止文件的下一步操作,同時向管理員發(fā)送異常信息��,在保障系統(tǒng)的安全同時����,還有利于管理員處理異常。為計算機安全提供一個有力的保障。
上述具體實施方式僅是本發(fā)明的具體個案����,本發(fā)明的專利保護范圍包括但不限于上述具體實施方式,任何符合本發(fā)明的一種主動防御及異常上報系統(tǒng)的設計方法的權利要求書的且任何所述技術領域的普通技術人員對其所做的適當變化或替換�����,皆應落入本發(fā)明的專利保護范圍��。