[发明专利]一种服务器操作系统的故障检测技术

摘要

本发明提供一种服务器操作系统的故障检测技术，该技术包括以下内容：(1)通过比对特征码进行文件完整性检测，确定被修改的文件的位置；(2)替换为正常文件后，利用系统加固技术对目标文件进行强制访问控制；(3)记录要更改此文件的进程项和具体的绝对路径，检测出恶意进程的破坏行为，根据此进程的行为制定恢复服务器的方案；通过强制访问控制快速处理服务器操作系统的故障并定位故障点，该服务器操作系统的故障检测技术与传统的防火墙，杀毒软件等产品相比，具有快速检测并定位针对服务器操作系统的攻击所造成的故障，包括已知或未知的病毒程序，ROOTKIT级后门木马等。

主权项

一种服务器操作系统的故障检测技术，其特征在于，包括以下内容：(1)通过比对特征码进行文件完整性检测，确定被修改的文件的位置；(2)替换为正常文件后，利用系统加固技术对目标文件进行强制访问控制；(3)记录要更改此文件的进程项和具体的绝对路径，检测出恶意进程的破坏行为，根据此进程的行为制定恢复服务器的方案；具体步骤如下：在原有操作系统的驱动层加上安全内核模块，来处理并检测操作系统故障，拦截并记录所有的内核访问路径，从而达到处理服务器故障的技术要求，在操作系统的核心层重构操作系统的权限访问模型来实现强制访问控制，并利用强制访问控制技术进行系统故障的快速检测和处理，其中，1)文件系统过滤驱动程序在初始化时，逐条插入访问规则，并允许在运行期间动态添加或删除指定结点，以便截获所有对文件或目录的I/O请求，当截获到文件或目录的I/O请求时遍历规则链表，并根据访问规则进行过滤，符合规则者立即转交原服务函数，否则丢弃；2)注册表访问过滤驱动程序在初始化时，建立双向链表，逐条插入“只读”注册表项，并允许在运行期间动态添加或删除指定结点，以便截获所有对注册表项的读写请求，当截获到注册表项读写请求时遍历规则链表，并根据规则进行过滤，符合规则者立即转交原服务函数，否则丢弃；3)进程保护过滤驱动程序在初始化时，逐条插入访问规则，并允许在运行期间动态添加或删除指定结点，以便截获所有对进程的遍历请求，当截获到进程遍历请求时根据规则链表修改进程列表，并将修改后的列表转交原服务函数；4)加载后自动保护系统注册表，通过过滤注册表请求，实时监控是否有服务或驱动要进行注册，当发现有服务或驱动要注册而修改注册表时，安全内核立即强行终止服务或驱动的注册；5)通过递归算法为每个文件及子目录建立数据摘要，并保存在数据文件中，其中“内容校验和”为通过MD5算法生成的16位散列结果，在尽可能提高性能的前提下保证校验和的唯一性；采用RC2算法加密最终数据文件，防止无关用户或恶意程序更改数据文件内容；系统主要由以下几个模块构成：一、文件强制访问控制模块允许用户或进程以不同访问权限对文件/目录设置访问规则，并且对文件/目录和用户设定安全级别，按级别通过安全模型实施访问控制，在任何用户包括系统管理员及非授权进程对敏感文件或目录进行创建、删除、修改、读取等操作时，将根据规则进行过滤并记录行为；二、注册表强制访问控制模块允许进程以不同访问权限对注册表项设置访问规则，任何用户包括系统管理员及其调用的非授权进程对设置为“只读”或“禁止访问”的注册表项进行写操作时，将被无条件拒绝并记录详细行为；三、进程强制访问控制模块允许进程以不同访问权限对进程设置访问规则，任何用户包括系统管理员及其调用的非授权进程都无权终止与操作受保护的进程；四、服务强制访问控制模块通过该模块能够及时发现新增应用服务或驱动，并立即强行终止应用服务或驱动的注册，以达到对服务进行访问控制的目的；五、应用级文件完整性检测模块由用户指定需要建立校验信息的关键性只读目录及数据文件名称，检测程序自动记录目录中所有文件的基本属性及内容校验和定期进行校验和的有效性检测，以达到验证重要文件或目录完整性的目的。