一种主动防御及异常上报系统的设计方法技术方案

技术编号:14348118 阅读:93 留言:0更新日期:2017-01-04 18:43
本发明专利技术公开了一种主动防御及异常上报系统的设计方法,其设计过程为:设计内存映射模块,将文件映射到内存中;设计度量模块,对读取到的文件内容进行度量值计算,并将得到的度量结果记录到度量日志中;设计文件版本控制及异常上报模块,负责在使用文件时,判断文件版本是否发生变化,根据判断结果,确定文件是否进行下一步操作;设计监控模块,负责接收文件版本控制及异常上报模块发来的异常信息,并将信息以邮件形式提示给管理员。该一种主动防御及异常上报系统的设计方法与现有技术相比,使用文件的内存度量值作为文件是否安全的唯一标准,从根本上保障的文件全方位的安全,解决传统计算机安全设备所存在的不足,实用性强,易于推广。

【技术实现步骤摘要】

本专利技术涉及计算机安全
,具体地说是一种实用性强、主动防御及异常上报系统的设计方法
技术介绍
随着计算机的普及以及人们对个人信息安全的重视,如何保障计算机乃至个人信息的安全成为了一个至关重要的问题。传统的计算机安全设备往往基于病毒及木马扫描技术,该技术用来扫描文件是否包含病毒或木马,因此该技术属于针对性保护,并不能完全的保障计算机的安全。因此,如何全方位的保障计算机的安全便成为了一个急需解决的问题。为了解决传统计算机安全设备所存在的不足,本专利技术提出的一种高安全性的主动防御及异常上报系统设计方法,在文件初次使用时记录其内存信息的标准哈希度量值,在文件版本发生改变时,重新计算其内存信息的哈希值,并将此哈希值与标准哈希度量值进行比对,根据比对结果是否一致来判断文件是否安全。即,本专利技术使用文件的内存度量值作为文件是否安全的唯一标准,从根本上保障的文件全方位的安全。
技术实现思路
本专利技术的技术任务是针对以上不足之处,提供一种实用性强、主动防御及异常上报系统的设计方法。一种主动防御及异常上报系统的设计方法,其具体设计过程为:设计内存映射模块:用于将文件映射到内存中;设计度量模块:对读取到的文件内容进行度量值计算,并将得到的度量结果记录到度量日志中;设计文件版本控制及异常上报模块:该模块负责在使用文件时,判断文件版本是否发生变化,根据判断结果,确定文件是否进行下一步操作;设计监控模块:负责接收文件版本控制及异常上报模块发来的异常信息,并将信息以邮件形式提示给管理员。所述文件是指可执行文件、二进制文件、配置文件或读写文件。所述度量模块使用TPM对度量值进行签名,记载该度量值的度量日志包含PCR索引号、PCR当前内容、文件度量值、TPM签名内容、文件名。上述文件版本控制及异常上报模块的工作过程为:首先检查该文件版本是否发生变化,如果没有发生变化,则直接允许文件继续操作,若文件版本发生变化,则计算文件映射入内存内容的度量值,并验证该文件在度量日志中的签名值,签名验证通过后,将该度量值与度量日志中的标准度量值进行比对,允许文件继续操作;若文件为首次使用,由于度量日志中不存在该文件的度量记录,因此本次使用不进行度量值比对,而是将本文件的度量值写入度量日志中,此后继续该文件的操作。主动防御的过程为:通过修改文件系统,在使用文件前,调用度量模块计算该文件的度量值,并记录此结果,并将此结果和文件版本号作为文件的属性;下次使用该文件时,如果文件版本发生改变,则计算该文件最新的度量值,与之前的度量值进行比对,比对结果一致则允许文件继续操作,否则阻止文件操作并将该异常情况主动上报给监控程序,从而达到主动防御的目的。异常上报的过程为:使用文件时,通过内存映射模块,将文件映射到内存中,并调用文件版本控制及异常上报模块对文件的版本进行判断,若文件版本符合度量要求,则对文件映射入内存的内容进行度量,并将度量结果与标准度量结果进行比对,根据度量结果完成对文件后续操作的控制:比对结果一致,则允许文件继续操作,否则阻止文件操作并将异常结果提交给监控模块,由监控模块将异常信息反馈给管理员。文件的度量结果记录到空间内存中,该记录采用迭代记录的方式,即最新度量结果内容为当前度量结果内容与本条文件度量结果的哈希值。本专利技术的一种主动防御及异常上报系统的设计方法,具有以下优点:本专利技术的一种主动防御及异常上报系统的设计方法,可以发现文件异常,并阻止文件的下一步操作,同时向管理员发送异常信息,在保障系统的安全同时,还有利于管理员处理异常,为计算机安全提供一个有力的保障,实用性强,易于推广。附图说明附图1为本专利技术的实现流程图。具体实施方式下面结合附图及具体实施例对本专利技术作进一步说明。本专利技术提供一种主动防御及异常上报系统的设计方法,通过修改文件系统,在使用文件前,这里的文件包括可执行文件、二进制文件、配置文件、读写文件。调用度量模块计算该文件的哈希结果,并记录此结果,并将此结果和文件版本号作为文件的属性。下次使用该文件时,如果文件版本发生改变,则计算该文件最新的哈希结果,与之前的度量结果进行比对,比对结果一致则允许文件继续操作,否则阻止文件操作并将该异常情况主动上报给监控程序。从而达到主动防御的目的。本专利技术基于以下四个模块实现:内存映射模块,用于将文件映射到内存中,在使用该文件时,比对文件版本是否发生变化,若发生变化,则对文件调用度量模块,否则直接允许操作文件;度量模块:对读取到的文件内容进行哈希计算,并将得到的哈希结果记录到度量日志中,并使用TPM对度量值进行签名,度量日志包含了PCR索引号、PCR当前内容、文件度量值、TPM签名内容、文件名;文件版本控制及异常上报模块:该模块负责在使用文件时,判断文件版本是否发生变化,若发生变化,则在内存映射模块完成映射后,调用度量模块对文件内容进行度量,计算哈希结果,并验证度量日志中该文件的签名值,签名验证通过后,将此时的哈希结果与度量日志中的哈希结果进行比对,若比对结果一致,则允许文件进行下一步操作,否则阻止文件继续操作并将异常结果反馈给监控模块。监控模块:负责接收文件版本控制及异常上报模块发来的异常信息,并将信息以邮件形式提示给管理员。本专利技术通过内存映射模块,将文件映射到内存中,并调用文件版本控制及异常上报模块对文件的版本进行判断,若文件版本符合度量要求,则对文件映射入内存的内容进行度量,并将度量结果与标准度量结果进行比对,根据度量结果完成对文件后续操作的控制:比对结果一致,则允许文件继续操作,否则阻止文件操作并将异常结果提交给监控模块,由监控模块将异常信息反馈给管理员。本专利技术中,将文件度量结果记录到特殊的空间内存中,该记录方式采用迭代记录的方式,即最新度量结果内容为当前度量结果内容与本条文件度量结果的哈希值。由于此记录为依次迭代方式,因此任何文件的度量结果发生改变时,都将导致最终的度量结果发生改变,从而保障了所有文件的安全性。下面结合图1来说明本专利技术所涉及系统的工作方式:步骤1:操作系统使用文件时,需要将文件内容映射入内存,此时调用内存映射模块,完成文件内容的映射;步骤2:文件版本控制及异常上报模块,首先检查该文件版本是否发生变化,如果没有发生变化,则直接允许文件进行下一步操作,若文件版本发生变化,则计算文件映射入内存内容的度量值,并验证该文件在度量日志中的签名值,签名验证通过后,将该度量值与度量日志中的标准度量值进行比对,继续步骤3;若文件为首次使用,由于度量日志中不存在该文件的度量记录,因此本次使用不进行度量值比对,而是将本文件的度量值写入度量日志中,此后继续该文件的操作;步骤3:如果比对结果一致,则允许文件继续操作,否则,继续步骤4;步骤4:阻止文件继续操作,并调用监控模块,监控模块负责将异常信息以邮件的形式发送给管理员。以上为主动度量及异常上报系统的工作方式。通过以上操作,可以发现文件异常,并阻止文件的下一步操作,同时向管理员发送异常信息,在保障系统的安全同时,还有利于管理员处理异常。为计算机安全提供一个有力的保障。上述具体实施方式仅是本专利技术的具体个案,本专利技术的专利保护范围包括但不限于上述具体实施方式,任何符合本专利技术的一种主动防御及异常上报系统的设计方法的权利要求书的且任何所述
的普通技术人员本文档来自技高网
...
一种主动防御及异常上报系统的设计方法

【技术保护点】
一种主动防御及异常上报系统的设计方法,其特征在于,其具体设计过程为:设计内存映射模块:用于将文件映射到内存中;设计度量模块:对读取到的文件内容进行度量值计算,并将得到的度量结果记录到度量日志中;设计文件版本控制及异常上报模块:该模块负责在使用文件时,判断文件版本是否发生变化,根据判断结果,确定文件是否进行下一步操作;设计监控模块:负责接收文件版本控制及异常上报模块发来的异常信息,并将信息以邮件形式提示给管理员。

【技术特征摘要】
1.一种主动防御及异常上报系统的设计方法,其特征在于,其具体设计过程为:设计内存映射模块:用于将文件映射到内存中;设计度量模块:对读取到的文件内容进行度量值计算,并将得到的度量结果记录到度量日志中;设计文件版本控制及异常上报模块:该模块负责在使用文件时,判断文件版本是否发生变化,根据判断结果,确定文件是否进行下一步操作;设计监控模块:负责接收文件版本控制及异常上报模块发来的异常信息,并将信息以邮件形式提示给管理员。2.根据权利要求1所述的一种主动防御及异常上报系统的设计方法,其特征在于,所述文件是指可执行文件、二进制文件、配置文件或读写文件。3.根据权利要求1所述的一种主动防御及异常上报系统的设计方法,其特征在于,所述度量模块使用TPM对度量值进行签名,记载该度量值的度量日志包含PCR索引号、PCR当前内容、文件度量值、TPM签名内容、文件名。4.根据权利要求1所述的一种主动防御及异常上报系统的设计方法,其特征在于,上述文件版本控制及异常上报模块的工作过程为:首先检查该文件版本是否发生变化,如果没有发生变化,则直接允许文件继续操作,若文件版本发生变化,则计算文件映射入内存内容的度量值,并验证该文件在度量日志中的签名值,签名验证通过后,将该度量值与度量日志中的标准度量值进行比对,允许文件继续操作;若文件为首次使用,由于度量日志中不存...

【专利技术属性】
技术研发人员:杨博中
申请(专利权)人:浪潮电子信息产业股份有限公司
类型:发明
国别省市:山东;37

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1