一種服務器操作系統(tǒng)的故障檢測技術的制作方法

專利名稱：一種服務器操作系統(tǒng)的故障檢測技術的制作方法
技術領域：
本發(fā)明涉及計算機系統(tǒng)內核加固領域，主要是對用戶層和系統(tǒng)層之間的通信進行控制，核心是在操作系統(tǒng)的核心層重構操作系統(tǒng)的權限訪問模型，通過實現(xiàn)強制訪問控制 來處理服務器故障，快速定位故障點以及產生原因。
背景技術：
網絡技術的飛速發(fā)展在給信息共享帶來翻天覆地變化的同時，也帶來了安全隱 患。Internet和Intranet無所不在的緊密結合亦使網絡安全問題突出顯現(xiàn)。長期以來，網 絡安全界對基于網絡應用的外部防范技術關注較多，對服務器操作系統(tǒng)出現(xiàn)的故障卻往往 束手無策，既無法快速檢測故障也無法迅速恢復業(yè)務。當前常用的安全技術主要有防火墻技術、入侵檢測系統(tǒng)技術(IDS)、漏洞掃描 Scanner技術等，但每種技術都存在其局限性。防火墻技術號稱一夫當關，萬夫莫開，在一定程度上簡化了網絡的安全管理，但入 侵者卻可能尋找到防火墻背后可能敞開的后門，對于這種入侵者可能就在防火墻內的網絡 內部攻擊基本無法防范。入侵檢測系統(tǒng)技術(IDS)很難跟蹤新的入侵模式，且時有誤報警的情況發(fā)生。漏洞掃描Scanner技術很難跟蹤新的漏洞，并且不能真正全面實時地掃描漏洞。綜上所述，正是由于以上常用網絡安全技術存在的局限性，所以迫切需要發(fā)展一 種能夠快速處理操作系統(tǒng)故障、恢復系統(tǒng)業(yè)務并迅速定位故障點的技術。本技術能與殺毒 軟件等應用層軟件相結合快速檢測并處理操作系統(tǒng)故障，必將成為未來系統(tǒng)安全技術發(fā)展 的趨勢。所有病毒或者木馬的發(fā)作一般都通過以下步驟實現(xiàn)(1)寫入系統(tǒng)，替換系統(tǒng)關鍵文件(2)修改注冊表或者相關系統(tǒng)配置文件(3)創(chuàng)建進程，把自身添加到開機啟動項或者服務中其他系統(tǒng)故障原因主要有以下幾項(1)缺少某些關鍵文件或被誤刪除，比如開機引導文件(2)配置文件被惡意更改，比如服務器ip地址等等(3)注冊惡意驅動(4)操作系統(tǒng)關鍵文件被修改或者替換。

發(fā)明內容
本發(fā)明的目的是提供一種服務器操作系統(tǒng)的故障檢測技術。本發(fā)明的服務器操作系統(tǒng)故障檢測技術是按以下方式實現(xiàn)的包括以下內容(1)通過比對特征碼進行文件完整性檢測，確定被修改的文件的位置；(2)替換為正常文件后，利用系統(tǒng)加固技術對目標文件進行強制訪問控制；
(3)記錄要更改此文件的進程項和具體的絕對路徑，即可檢測出惡意進程的破壞 行為，根據此進程的行為制定恢復服務器的方案；具體步驟如下在原有操作系統(tǒng)的驅動層加上安全內核模塊，來處理并檢測操作系統(tǒng)故障，攔截 并記錄所有的內核訪問路徑，從而達到處理服務器故障的技術要求，在操作系統(tǒng)的核心層 重構操作系統(tǒng)的權限訪問模型來實現(xiàn)強制訪問控制，并利用強制訪問控制技術進行系統(tǒng)故 障的快速檢測和處理，其中，1)文件系統(tǒng)過濾驅動程序在初始化時，逐條插入訪問規(guī)則，并允許在運行期間動 態(tài)添加或刪除指定結點，以便截獲所有對文件或目錄的I/O請求，當截獲到文件或目錄的 I/O請求時遍歷規(guī)則鏈表，并根據訪問規(guī)則進行過濾，符合規(guī)則者立即轉交原服務函數，否 則丟棄；2)注冊表訪問過濾驅動程序在初始化時，建立雙向鏈表，逐條插入“只讀”注冊表 項，并允許在運行期間動態(tài)添加或刪除指定結點，以便截獲所有對注冊表項的讀寫請求，當 截獲到注冊表項讀寫請求時遍歷規(guī)則鏈表，并根據規(guī)則進行過濾，符合規(guī)則者立即轉交原 服務函數，否則丟棄；3)進程保護過濾驅動程序在初始化時，逐條插入訪問規(guī)則，并允許在運行期間動 態(tài)添加或刪除指定結點，以便截獲所有對進程的遍歷請求，當截獲到進程遍歷請求時根據 規(guī)則鏈表修改進程列表，并將修改后的列表轉交原服務函數；4)加載后自動保護系統(tǒng)注冊表，通過過濾注冊表請求，實時監(jiān)控是否有服務或驅 動要進行注冊，當發(fā)現(xiàn)有服務或驅動要注冊而修改注冊表時，安全內核立即強行終止服務 或驅動的注冊；5)通過遞歸算法為每個文件及子目錄建立數據摘要，并保存在數據文件中，其中 “內容校驗和”為通過MD5算法生成的16位散列結果，在盡可能提高性能的前提下保證校驗 和的唯一性；采用RC2算法加密最終數據文件，防止無關用戶或惡意程序更改數據文件內 容；本發(fā)明的技術主要由以下幾個模塊構成一、文件強制訪問控制模塊允許用戶或進程以不同訪問權限對文件/目錄設置訪問規(guī)則，并且對文件/目錄 和用戶設定安全級別，按級別通過安全模型實施訪問控制，在任何用戶包括系統(tǒng)管理員及 非授權進程對敏感文件或目錄進行創(chuàng)建、刪除、修改、讀取等操作時，將根據規(guī)則進行過濾 并記錄行為；二、注冊表強制訪問控制模塊允許進程以不同訪問權限對注冊表項設置訪問規(guī)則，任何用戶包括系統(tǒng)管理員及 其調用的非授權進程對設置為“只讀”或“禁止訪問，，的注冊表項進行寫操作時，將被無條 件拒絕并記錄詳細行為；三、進程強制訪問控制模塊允許進程以不同訪問權限對進程設置訪問規(guī)則，任何用戶包括系統(tǒng)管理員及其調 用的非授權進程都無權終止與操作受保護的進程；四、服務強制訪問控制模塊
通過該模塊能夠及時發(fā)現(xiàn)新增應用服務或驅動，并立即強行終止應用服務或驅動 的注冊，以達到對服務進行訪問控制的目的；五、應用級文件完整性檢測模塊由用戶指定需要建立校驗信息的關鍵性只讀目錄及數據文件名稱，檢測程序自動 記錄目錄中所有文件的基本屬性及內容校驗和定期進行校驗和的有效性檢測，以達到驗證 重要文件或目錄完整性的目的。本發(fā)明的優(yōu)異效果是本發(fā)明的服務器操作系統(tǒng)故障檢測技術是通過控制文件、注冊表、進程、服務等系 統(tǒng)基本資源，快速檢測操作系統(tǒng)故障、并解決病毒木馬等等的困擾，通過強制訪問控制保護 操作系統(tǒng)資源，從根本上了解系統(tǒng)被破壞的程度及原因，以便快速修復故障。在驅動層(0 層)加上安全內核模塊，攔截并記錄所有的內核訪問路徑，從而達到處理服務器故障的技 術要求，達到的安全效果和重構操作系統(tǒng)代碼技術差不多，其好處是不會影響客戶的業(yè)務 連續(xù)性，甚至不需要客戶重啟系統(tǒng)，對上層的所有應用以及下層的所有系統(tǒng)和機器都支持， 而且能在操作系統(tǒng)粒度上保證上層應用的安全。


圖1是故障檢測流程圖；
具體實施例方式在驅動層(0層)加上安全內核模塊，攔截并記錄所有的內核訪問路徑，從而達到 處理服務器故障的技術要求，達到的安全效果和重構操作系統(tǒng)代碼技術差不多，其好處是 不會影響客戶的業(yè)務連續(xù)性，甚至不需要客戶重啟系統(tǒng)，對上層的所有應用以及下層的所 有系統(tǒng)和機器都支持，而且能在操作系統(tǒng)粒度上保證上層應用的安全。主要由以下幾個模塊構成一、文件強制訪問控制模塊允許用戶或進程以不同訪問權限對文件/目錄設置訪問規(guī)則，并且可以對文件/ 目錄和用戶設定安全級別，按級別通過安全模型實施訪問控制，在任何用戶(包括系統(tǒng)管 理員)及非授權進程對敏感文件或目錄進行創(chuàng)建、刪除、修改、讀取等操作時，將根據規(guī)則 進行過濾(允許或拒絕)并記錄行為。二、注冊表強制訪問控制模塊允許進程以不同訪問權限對注冊表項設置訪問規(guī)則，任何用戶(包括系統(tǒng)管理 員)及其調用的非授權進程對設置為“只讀”或“禁止訪問”的注冊表項進行寫操作時，將 被無條件拒絕并記錄詳細行為。三、進程強制訪問控制模塊允許進程以不同訪問權限對進程設置訪問規(guī)則，任何用戶(包括系統(tǒng)管理員)及 其調用的非授權進程都無權終止與操作受保護的進程。 四、服務強制訪問控制模塊 通過該模塊能夠及時發(fā)現(xiàn)新增應用服務或驅動，并立即強行終止應用服務或驅動 的注冊，以達到對服務進行訪問控制的目的。
五、應用級文件完整性檢測模塊由用戶指定需要建立校驗信息的關鍵性只讀目錄及數據文件名稱，檢測程序自動 記錄目錄中所有文件的基本屬性及內容校驗和。定期進行校驗和的有效性檢測，可以達到 驗證重要文件或目錄完整性的目的。
權利要求
一種服務器操作系統(tǒng)的故障檢測技術，其特征在于，包括以下內容(1)通過比對特征碼進行文件完整性檢測，確定被修改的文件的位置；(2)替換為正常文件后，利用系統(tǒng)加固技術對目標文件進行強制訪問控制；(3)記錄要更改此文件的進程項和具體的絕對路徑，檢測出惡意進程的破壞行為，根據此進程的行為制定恢復服務器的方案；具體步驟如下在原有操作系統(tǒng)的驅動層加上安全內核模塊，來處理并檢測操作系統(tǒng)故障，攔截并記錄所有的內核訪問路徑，從而達到處理服務器故障的技術要求，在操作系統(tǒng)的核心層重構操作系統(tǒng)的權限訪問模型來實現(xiàn)強制訪問控制，并利用強制訪問控制技術進行系統(tǒng)故障的快速檢測和處理，其中，1)文件系統(tǒng)過濾驅動程序在初始化時，逐條插入訪問規(guī)則，并允許在運行期間動態(tài)添加或刪除指定結點，以便截獲所有對文件或目錄的I/O請求，當截獲到文件或目錄的I/O請求時遍歷規(guī)則鏈表，并根據訪問規(guī)則進行過濾，符合規(guī)則者立即轉交原服務函數，否則丟棄；2)注冊表訪問過濾驅動程序在初始化時，建立雙向鏈表，逐條插入“只讀”注冊表項，并允許在運行期間動態(tài)添加或刪除指定結點，以便截獲所有對注冊表項的讀寫請求，當截獲到注冊表項讀寫請求時遍歷規(guī)則鏈表，并根據規(guī)則進行過濾，符合規(guī)則者立即轉交原服務函數，否則丟棄；3)進程保護過濾驅動程序在初始化時，逐條插入訪問規(guī)則，并允許在運行期間動態(tài)添加或刪除指定結點，以便截獲所有對進程的遍歷請求，當截獲到進程遍歷請求時根據規(guī)則鏈表修改進程列表，并將修改后的列表轉交原服務函數；4)加載后自動保護系統(tǒng)注冊表，通過過濾注冊表請求，實時監(jiān)控是否有服務或驅動要進行注冊，當發(fā)現(xiàn)有服務或驅動要注冊而修改注冊表時，安全內核立即強行終止服務或驅動的注冊；5)通過遞歸算法為每個文件及子目錄建立數據摘要，并保存在數據文件中，其中“內容校驗和”為通過MD5算法生成的16位散列結果，在盡可能提高性能的前提下保證校驗和的唯一性；采用RC2算法加密最終數據文件，防止無關用戶或惡意程序更改數據文件內容；系統(tǒng)主要由以下幾個模塊構成一、文件強制訪問控制模塊允許用戶或進程以不同訪問權限對文件/目錄設置訪問規(guī)則，并且對文件/目錄和用戶設定安全級別，按級別通過安全模型實施訪問控制，在任何用戶包括系統(tǒng)管理員及非授權進程對敏感文件或目錄進行創(chuàng)建、刪除、修改、讀取等操作時，將根據規(guī)則進行過濾并記錄行為；二、注冊表強制訪問控制模塊允許進程以不同訪問權限對注冊表項設置訪問規(guī)則，任何用戶包括系統(tǒng)管理員及其調用的非授權進程對設置為“只讀”或“禁止訪問”的注冊表項進行寫操作時，將被無條件拒絕并記錄詳細行為；三、進程強制訪問控制模塊允許進程以不同訪問權限對進程設置訪問規(guī)則，任何用戶包括系統(tǒng)管理員及其調用的非授權進程都無權終止與操作受保護的進程；四、服務強制訪問控制模塊通過該模塊能夠及時發(fā)現(xiàn)新增應用服務或驅動，并立即強行終止應用服務或驅動的注冊，以達到對服務進行訪問控制的目的；五、應用級文件完整性檢測模塊由用戶指定需要建立校驗信息的關鍵性只讀目錄及數據文件名稱，檢測程序自動記錄目錄中所有文件的基本屬性及內容校驗和定期進行校驗和的有效性檢測，以達到驗證重要文件或目錄完整性的目的。
全文摘要
本發(fā)明提供一種服務器操作系統(tǒng)的故障檢測技術，該技術包括以下內容(1)通過比對特征碼進行文件完整性檢測，確定被修改的文件的位置；(2)替換為正常文件后，利用系統(tǒng)加固技術對目標文件進行強制訪問控制；(3)記錄要更改此文件的進程項和具體的絕對路徑，檢測出惡意進程的破壞行為，根據此進程的行為制定恢復服務器的方案；通過強制訪問控制快速處理服務器操作系統(tǒng)的故障并定位故障點，該服務器操作系統(tǒng)的故障檢測技術與傳統(tǒng)的防火墻，殺毒軟件等產品相比，具有快速檢測并定位針對服務器操作系統(tǒng)的攻擊所造成的故障，包括已知或未知的病毒程序，ROOTKIT級后門木馬等。
文檔編號G06F21/00GK101877039SQ20091023061
公開日2010年11月3日 申請日期2009年11月23日 優(yōu)先權日2009年11月23日
發(fā)明者井明陽, 周水波 申請人:浪潮電子信息產業(yè)股份有限公司