专利名称:一种服务器操作系统的故障检测技术的制作方法
技术领域:
本发明涉及计算机系统内核加固领域,主要是对用户层和系统层之间的通信进行控制,核心是在操作系统的核心层重构操作系统的权限访问模型,通过实现强制访问控制 来处理服务器故障,快速定位故障点以及产生原因。
背景技术:
网络技术的飞速发展在给信息共享带来翻天覆地变化的同时,也带来了安全隐 患。Internet和Intranet无所不在的紧密结合亦使网络安全问题突出显现。长期以来,网 络安全界对基于网络应用的外部防范技术关注较多,对服务器操作系统出现的故障却往往 束手无策,既无法快速检测故障也无法迅速恢复业务。当前常用的安全技术主要有防火墙技术、入侵检测系统技术(IDS)、漏洞扫描 Scanner技术等,但每种技术都存在其局限性。防火墙技术号称一夫当关,万夫莫开,在一定程度上简化了网络的安全管理,但入 侵者却可能寻找到防火墙背后可能敞开的后门,对于这种入侵者可能就在防火墙内的网络 内部攻击基本无法防范。入侵检测系统技术(IDS)很难跟踪新的入侵模式,且时有误报警的情况发生。漏洞扫描Scanner技术很难跟踪新的漏洞,并且不能真正全面实时地扫描漏洞。综上所述,正是由于以上常用网络安全技术存在的局限性,所以迫切需要发展一 种能够快速处理操作系统故障、恢复系统业务并迅速定位故障点的技术。本技术能与杀毒 软件等应用层软件相结合快速检测并处理操作系统故障,必将成为未来系统安全技术发展 的趋势。所有病毒或者木马的发作一般都通过以下步骤实现(1)写入系统,替换系统关键文件(2)修改注册表或者相关系统配置文件(3)创建进程,把自身添加到开机启动项或者服务中其他系统故障原因主要有以下几项(1)缺少某些关键文件或被误删除,比如开机引导文件(2)配置文件被恶意更改,比如服务器ip地址等等(3)注册恶意驱动(4)操作系统关键文件被修改或者替换。
发明内容
本发明的目的是提供一种服务器操作系统的故障检测技术。本发明的服务器操作系统故障检测技术是按以下方式实现的包括以下内容(1)通过比对特征码进行文件完整性检测,确定被修改的文件的位置;(2)替换为正常文件后,利用系统加固技术对目标文件进行强制访问控制;
(3)记录要更改此文件的进程项和具体的绝对路径,即可检测出恶意进程的破坏 行为,根据此进程的行为制定恢复服务器的方案;具体步骤如下在原有操作系统的驱动层加上安全内核模块,来处理并检测操作系统故障,拦截 并记录所有的内核访问路径,从而达到处理服务器故障的技术要求,在操作系统的核心层 重构操作系统的权限访问模型来实现强制访问控制,并利用强制访问控制技术进行系统故 障的快速检测和处理,其中,1)文件系统过滤驱动程序在初始化时,逐条插入访问规则,并允许在运行期间动 态添加或删除指定结点,以便截获所有对文件或目录的I/O请求,当截获到文件或目录的 I/O请求时遍历规则链表,并根据访问规则进行过滤,符合规则者立即转交原服务函数,否 则丢弃;2)注册表访问过滤驱动程序在初始化时,建立双向链表,逐条插入“只读”注册表 项,并允许在运行期间动态添加或删除指定结点,以便截获所有对注册表项的读写请求,当 截获到注册表项读写请求时遍历规则链表,并根据规则进行过滤,符合规则者立即转交原 服务函数,否则丢弃;3)进程保护过滤驱动程序在初始化时,逐条插入访问规则,并允许在运行期间动 态添加或删除指定结点,以便截获所有对进程的遍历请求,当截获到进程遍历请求时根据 规则链表修改进程列表,并将修改后的列表转交原服务函数;4)加载后自动保护系统注册表,通过过滤注册表请求,实时监控是否有服务或驱 动要进行注册,当发现有服务或驱动要注册而修改注册表时,安全内核立即强行终止服务 或驱动的注册;5)通过递归算法为每个文件及子目录建立数据摘要,并保存在数据文件中,其中 “内容校验和”为通过MD5算法生成的16位散列结果,在尽可能提高性能的前提下保证校验 和的唯一性;采用RC2算法加密最终数据文件,防止无关用户或恶意程序更改数据文件内 容;本发明的技术主要由以下几个模块构成一、文件强制访问控制模块允许用户或进程以不同访问权限对文件/目录设置访问规则,并且对文件/目录 和用户设定安全级别,按级别通过安全模型实施访问控制,在任何用户包括系统管理员及 非授权进程对敏感文件或目录进行创建、删除、修改、读取等操作时,将根据规则进行过滤 并记录行为;二、注册表强制访问控制模块允许进程以不同访问权限对注册表项设置访问规则,任何用户包括系统管理员及 其调用的非授权进程对设置为“只读”或“禁止访问,,的注册表项进行写操作时,将被无条 件拒绝并记录详细行为;三、进程强制访问控制模块允许进程以不同访问权限对进程设置访问规则,任何用户包括系统管理员及其调 用的非授权进程都无权终止与操作受保护的进程;四、服务强制访问控制模块
通过该模块能够及时发现新增应用服务或驱动,并立即强行终止应用服务或驱动 的注册,以达到对服务进行访问控制的目的;五、应用级文件完整性检测模块由用户指定需要建立校验信息的关键性只读目录及数据文件名称,检测程序自动 记录目录中所有文件的基本属性及内容校验和定期进行校验和的有效性检测,以达到验证 重要文件或目录完整性的目的。本发明的优异效果是本发明的服务器操作系统故障检测技术是通过控制文件、注册表、进程、服务等系 统基本资源,快速检测操作系统故障、并解决病毒木马等等的困扰,通过强制访问控制保护 操作系统资源,从根本上了解系统被破坏的程度及原因,以便快速修复故障。在驱动层(0 层)加上安全内核模块,拦截并记录所有的内核访问路径,从而达到处理服务器故障的技 术要求,达到的安全效果和重构操作系统代码技术差不多,其好处是不会影响客户的业务 连续性,甚至不需要客户重启系统,对上层的所有应用以及下层的所有系统和机器都支持, 而且能在操作系统粒度上保证上层应用的安全。
图1是故障检测流程图;
具体实施例方式在驱动层(0层)加上安全内核模块,拦截并记录所有的内核访问路径,从而达到 处理服务器故障的技术要求,达到的安全效果和重构操作系统代码技术差不多,其好处是 不会影响客户的业务连续性,甚至不需要客户重启系统,对上层的所有应用以及下层的所 有系统和机器都支持,而且能在操作系统粒度上保证上层应用的安全。主要由以下几个模块构成一、文件强制访问控制模块允许用户或进程以不同访问权限对文件/目录设置访问规则,并且可以对文件/ 目录和用户设定安全级别,按级别通过安全模型实施访问控制,在任何用户(包括系统管 理员)及非授权进程对敏感文件或目录进行创建、删除、修改、读取等操作时,将根据规则 进行过滤(允许或拒绝)并记录行为。二、注册表强制访问控制模块允许进程以不同访问权限对注册表项设置访问规则,任何用户(包括系统管理 员)及其调用的非授权进程对设置为“只读”或“禁止访问”的注册表项进行写操作时,将 被无条件拒绝并记录详细行为。三、进程强制访问控制模块允许进程以不同访问权限对进程设置访问规则,任何用户(包括系统管理员)及 其调用的非授权进程都无权终止与操作受保护的进程。 四、服务强制访问控制模块 通过该模块能够及时发现新增应用服务或驱动,并立即强行终止应用服务或驱动 的注册,以达到对服务进行访问控制的目的。
五、应用级文件完整性检测模块由用户指定需要建立校验信息的关键性只读目录及数据文件名称,检测程序自动 记录目录中所有文件的基本属性及内容校验和。定期进行校验和的有效性检测,可以达到 验证重要文件或目录完整性的目的。
权利要求
一种服务器操作系统的故障检测技术,其特征在于,包括以下内容(1)通过比对特征码进行文件完整性检测,确定被修改的文件的位置;(2)替换为正常文件后,利用系统加固技术对目标文件进行强制访问控制;(3)记录要更改此文件的进程项和具体的绝对路径,检测出恶意进程的破坏行为,根据此进程的行为制定恢复服务器的方案;具体步骤如下在原有操作系统的驱动层加上安全内核模块,来处理并检测操作系统故障,拦截并记录所有的内核访问路径,从而达到处理服务器故障的技术要求,在操作系统的核心层重构操作系统的权限访问模型来实现强制访问控制,并利用强制访问控制技术进行系统故障的快速检测和处理,其中,1)文件系统过滤驱动程序在初始化时,逐条插入访问规则,并允许在运行期间动态添加或删除指定结点,以便截获所有对文件或目录的I/O请求,当截获到文件或目录的I/O请求时遍历规则链表,并根据访问规则进行过滤,符合规则者立即转交原服务函数,否则丢弃;2)注册表访问过滤驱动程序在初始化时,建立双向链表,逐条插入“只读”注册表项,并允许在运行期间动态添加或删除指定结点,以便截获所有对注册表项的读写请求,当截获到注册表项读写请求时遍历规则链表,并根据规则进行过滤,符合规则者立即转交原服务函数,否则丢弃;3)进程保护过滤驱动程序在初始化时,逐条插入访问规则,并允许在运行期间动态添加或删除指定结点,以便截获所有对进程的遍历请求,当截获到进程遍历请求时根据规则链表修改进程列表,并将修改后的列表转交原服务函数;4)加载后自动保护系统注册表,通过过滤注册表请求,实时监控是否有服务或驱动要进行注册,当发现有服务或驱动要注册而修改注册表时,安全内核立即强行终止服务或驱动的注册;5)通过递归算法为每个文件及子目录建立数据摘要,并保存在数据文件中,其中“内容校验和”为通过MD5算法生成的16位散列结果,在尽可能提高性能的前提下保证校验和的唯一性;采用RC2算法加密最终数据文件,防止无关用户或恶意程序更改数据文件内容;系统主要由以下几个模块构成一、文件强制访问控制模块允许用户或进程以不同访问权限对文件/目录设置访问规则,并且对文件/目录和用户设定安全级别,按级别通过安全模型实施访问控制,在任何用户包括系统管理员及非授权进程对敏感文件或目录进行创建、删除、修改、读取等操作时,将根据规则进行过滤并记录行为;二、注册表强制访问控制模块允许进程以不同访问权限对注册表项设置访问规则,任何用户包括系统管理员及其调用的非授权进程对设置为“只读”或“禁止访问”的注册表项进行写操作时,将被无条件拒绝并记录详细行为;三、进程强制访问控制模块允许进程以不同访问权限对进程设置访问规则,任何用户包括系统管理员及其调用的非授权进程都无权终止与操作受保护的进程;四、服务强制访问控制模块通过该模块能够及时发现新增应用服务或驱动,并立即强行终止应用服务或驱动的注册,以达到对服务进行访问控制的目的;五、应用级文件完整性检测模块由用户指定需要建立校验信息的关键性只读目录及数据文件名称,检测程序自动记录目录中所有文件的基本属性及内容校验和定期进行校验和的有效性检测,以达到验证重要文件或目录完整性的目的。
全文摘要
本发明提供一种服务器操作系统的故障检测技术,该技术包括以下内容(1)通过比对特征码进行文件完整性检测,确定被修改的文件的位置;(2)替换为正常文件后,利用系统加固技术对目标文件进行强制访问控制;(3)记录要更改此文件的进程项和具体的绝对路径,检测出恶意进程的破坏行为,根据此进程的行为制定恢复服务器的方案;通过强制访问控制快速处理服务器操作系统的故障并定位故障点,该服务器操作系统的故障检测技术与传统的防火墙,杀毒软件等产品相比,具有快速检测并定位针对服务器操作系统的攻击所造成的故障,包括已知或未知的病毒程序,ROOTKIT级后门木马等。
文档编号G06F21/00GK101877039SQ20091023061
公开日2010年11月3日 申请日期2009年11月23日 优先权日2009年11月23日
发明者井明阳, 周水波 申请人:浪潮电子信息产业股份有限公司