一種基于系統告警機制的應用自保護工作模型的制作方法

文檔序號：11156165閱讀：399來源：國知局

導航： X技術> 最新專利>計算;推算;計數設備的制造及其應用技術

本發明涉及系統自保護領域，尤其涉及一種基于系統告警機制的應用自保護工作模型。

背景技術：

目前對系統自保護技術的研究，主要包括以下三個方面：硬件層面的系統自保護技術、操作系統層面的系統自保護技術、應用層面的系統自保護技術。

1.1硬件層面的系統自保護技術

基于硬件的系統自保護技術一般有以下兩類：自安全存儲設備、安全芯片技術。

1.1.1自安全存儲設備

防止入侵者進行諸如私自篡改或者永久刪除存儲數據這類攻擊行為是自安全存儲設備的主要目標。但是，由于用戶身份和操作系統身份可以被入侵者取得，所以，認為包括存儲器自身的由操作系統所控制的資源不可靠。操作系統所管理的資源中不包括自安全存儲設備，自安全存儲設備把操作系統以及用戶看作不可以信任的實體對象。

1.1.2安全芯片技術

安全芯片可認為是一種可信任平臺模塊，是一個可獨立進行密鑰生成、加解密的裝置，內部擁有獨立的處理器和存儲單元，可存儲密鑰和特征數據，為電腦提供加密和安全認證服務。用安全芯片進行加密，密鑰被存儲在硬件中，被竊的數據無法解密，從而保護商業隱私和數據安全。

1.2操作系統層面的系統自保護技術

操作系統層面的自保護技術主要包括：安全操作系統和訪問控制技術。

1.2.1安全操作系統

安全操作系統是指計算機信息系統在自主訪問控制、強制訪問控制、標記、身份鑒別、客體重用、審計、數據完整性、隱蔽信道分析、可信路徑、可信恢復等十個方面滿足相應的安全技術要求。安全操作系統主要特征：1、最小特權原則，即每個特權用戶只擁有能進行他工作的權力；2、自主訪問控制；強制訪問控制，包括保密性訪問控制和完整性訪問控制；3、安全審計；4、安全域隔離。只要有了這些最底層的安全功能，各種混為“應用軟件”的病毒、木馬程序、網絡入侵和人為非法操作才能被真正抵制，因為它們違背了操作系統的安全規則，也就失去了運行的基礎。然而，安全操作系統真正的市場化時間較短，在目前的技術條件下，安全性仍不容易讓人信服。

1.2.2訪問控制技術

傳統的訪問控制策略主要包括強制訪問控制策略(Mandatory Access Control，簡稱MAC)和自主訪問控制策略(Discretionary Access Control，簡稱DAC)

(1)MAC：強制訪問控制(Mandatory Access Control——MAC)，用于將系統中的信息分密級和類進行管理，以保證每個用戶只能訪問到那些被標明可以由他訪問的信息的一種訪問約束機制。通俗的來說，在強制訪問控制下，用戶(或其他主體)與文件(或其他客體)都被標記了固定的安全屬性(如安全級、訪問權限等)，在每次訪問發生時，系統檢測安全屬性以便確定一個用戶是否有權訪問該文件。

(2)DAC：自主訪問控制是由客體的屬主對自己的客體進行管理，由屬主自己決定是否將自己客體的訪問權或部分訪問權授予其他主體，這種控制方式是自主的，我們把它稱為自主訪問控制(Discretionary Access Control——DAC)。在自主訪問控制下，一個用戶可以自主選擇哪些用戶可以共享他的文件。

1.3應用層面的系統自保護技術

應用層面的系統自保護技術主要有反病毒軟件、沙盒(SandBox)技術等。

1.3.1反病毒軟件

反病毒軟件的種類很多，所采用的原理也不相同。當前一般的反病毒軟件根據病毒程序的特征來采取防御策略。掃描系統中的文件，把文件中是否含有病毒特征碼作為查殺的根據。或者根據程序是否有某些行為，來判斷程序是否含有惡意。由于判斷的依據不充分，給反病毒軟件帶來缺陷。當前反病毒軟件有如下缺點：1)防御滯后于災難的發生。2)反病毒軟件判斷不準，會錯誤的查殺非惡意的應用程序。3)反病毒軟件需要定期的升級，打補丁。

1.3.2沙盒技術

沙盒技術的基本思想是：“沙盒”技術發現可疑行為后讓程序繼續運行，當發現的確是病毒時才會終止。“沙盒”技術的實踐運用流程是：讓疑似病毒文件的可疑行為在虛擬的“沙盒”里充分表演，“沙盒”會記下它的每一個動作；當疑似病毒充分暴露了其病毒屬性后，“沙盒”就會執行“回滾”機制：將病毒的痕跡和動作抹去，恢復系統到正常狀態。

基于硬件和基于操作系統的系統自保護技術依賴于硬件及操作系統自身的支持，從目前的硬件及操作系統市場來看，傳統知名產品較少提供系統自保護能力，而部分新產品雖然宣稱已集成部分系統自保護功能，但此類產品仍有待進一步成熟，難以滿足電力系統高安全性、可靠性的要求。

在基于應用系統的自保護技術方面，防病毒產品目前已較為成熟，但仍存在兩個問題難以解決，一是對各類Unix系統的支持能力不足，二是對電力監控系統本身的獨特需求支持不足，難以準確定位電力監控系統所需的進程及數據，可能出現誤殺或者漏防問題。沙盒技術目前應用范圍有限，主用用于瀏覽器、Java虛擬機等有“容器”的運行環境，而電力監控系統大多不具備此類環境。

技術實現要素：

本發明實施例提供了一種基于系統告警機制的應用自保護工作模型，解決了現有技術中基于硬件和基于操作系統的系統自保護技術依賴于硬件及操作系統自身的支持，難以滿足電力系統高安全性、可靠性的要求及基于應用系統的自保護技術對電力監控系統本身的獨特需求支持不足的技術問題。

本發明實施例提供的一種基于系統告警機制的應用自保護工作模型，包括：

定時告警模塊和后臺監控模塊；

定時告警模塊包括監控定時設置子模塊，用于配置系統定時告警功能；

定時告警模塊包括監控內容設置子模塊，用于根據系統運行配置對應的后臺監控函數；

后臺監控模塊包括系統性能子模塊，用于對系統占用帶寬、內存、處理器資源等性能相關指標進行監控，并在系統性能出現異常時采取必要措施；

后臺監控模塊包括系統安全監控子模塊，用于對系統關鍵進程存活、重要數據完整性安全性指標進行監控，并在系統安全性出現異常時采取必要措施；

后臺監控模塊包括定時告警設置子模塊，用于調用定時告警模塊，使得后臺監控模塊所在進程能定時被激活。

可選地，定時告警模塊基于操作系統的定制告警應用程序接口進行應用。

可選地，定時告警模塊基于JAVA虛擬機提供的應用程序接口進行應用。

可選地，后臺監控模塊基于JAVA虛擬機提供的應用程序接口進行應用。

可選地，定時告警模塊及后臺監控模塊分別在繼承自Service類的自定義子類TimerService和繼承自BroadcastReceiver類的自定義子類MonitorAndControl中應用。

從以上技術方案可以看出，本發明實施例具有以下優點：

本發明實施例提供了一種基于系統告警機制的應用自保護工作模型，包括：定時告警模塊和后臺監控模塊；定時告警模塊包括監控定時設置子模塊，用于配置系統定時告警功能；定時告警模塊包括監控內容設置子模塊，用于根據系統運行需要配置合適的后臺監控函數；后臺監控模塊包括系統性能子模塊，用于對系統占用帶寬、內存、處理器資源等性能相關指標進行監控，并在系統性能出現異常時采取必要措施；后臺監控模塊包括系統安全監控子模塊，用于對系統關鍵進程存活、重要數據完整性等安全性指標進行監控，并在系統安全性出現異常時采取必要措施，后臺監控模塊包括定時告警設置子模塊，用于調用定時告警模塊，保證后臺監控模塊所在進程能定時被激活，本發明實施例中通過基于電力監控操作系統的告警應用程序接口，設置了定時告警模塊和后臺監控模塊，定時告警模塊包括監控定時設置子模塊、監控內容設置子模塊，后臺監控模塊包括系統性能子模塊、系統安全監控子模塊，完全適應了電力系統監控安全防護的特點，此外定時告警模塊和后臺監控模塊可相互調用，且該調用關系難以被外界中斷，保證了應用系統的自保護監控功能實時運行，解決了現有技術中基于硬件和基于操作系統的系統自保護技術依賴于硬件及操作系統自身的支持，難以滿足電力系統高安全性、可靠性的要求及基于應用系統的自保護技術對電力監控系統本身的獨特需求支持不足的技術問題。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其它的附圖。

圖1為本發明實施例提供的一種基于系統告警機制的應用自保護工作模型結構示意圖；

圖2為本發明實施例提供的一種基于JAVA虛擬機的模型實現技術框架圖；

圖3為本發明實施例提供的MonitorAndControl類的關鍵代碼示意圖；

圖4為本發明實施例提供的TimerService類的關鍵代碼示意圖。

具體實施方式

本發明實施例提供了一種基于系統告警機制的應用自保護工作模型，用于解決現有技術中基于硬件和基于操作系統的系統自保護技術依賴于硬件及操作系統自身的支持，難以滿足電力系統高安全性、可靠性的要求及基于應用系統的自保護技術對電力監控系統本身的獨特需求支持不足的技術問題。

為使得本發明的發明目的、特征、優點能夠更加的明顯和易懂，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，下面所描述的實施例僅僅是本發明一部分實施例，而非全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其它實施例，都屬于本發明保護的范圍。

請參閱圖1，本發明實施例提供的一種基于系統告警機制的應用自保護工作模型，包括：

定時告警模塊和后臺監控模塊；

定時告警模塊包括監控定時設置子模塊，用于配置系統定時告警功能；

定時告警模塊包括監控內容設置子模塊，用于根據系統運行配置對應的后臺監控函數；

后臺監控模塊包括系統性能子模塊，用于對系統占用帶寬、內存、處理器資源等性能相關指標進行監控，并在系統性能出現異常時采取必要措施；

后臺監控模塊包括系統安全監控子模塊，用于對系統關鍵進程存活、重要數據完整性安全性指標進行監控，并在系統安全性出現異常時采取必要措施；

后臺監控模塊包括定時告警設置子模塊，用于調用定時告警模塊，使得后臺監控模塊所在進程能定時被激活。

可選地，定時告警模塊基于操作系統的定制告警應用程序接口進行應用。

可選地，定時告警模塊基于JAVA虛擬機提供的應用程序接口進行應用。

可選地，后臺監控模塊基于JAVA虛擬機提供的應用程序接口進行應用。

可選地，定時告警模塊及后臺監控模塊分別在繼承自Service類的自定義子類TimerService和繼承自BroadcastReceiver類的自定義子類MonitorAndControl中應用。

在該工作模型中，定時告警模塊和后臺監控模塊相互調用，且該調用關系難以被外界中斷，從而保證了應用系統的自保護監控功能實時運行，解決了傳統監控手段中監控進程本身遭到破壞從而導致應用系統自保護功能失敗的問題。本工作模型可作為應用系統自身的一個模塊，也可作為一套獨立的系統運行。

需要說明的是，基于系統告警機制的應用自保護工作模型實現方式根據操作系統本身提供的應用程序接口的差異而有所不同，本文使用了基于JAVA虛擬機提供的應用程序接口為例，介紹本工作模型的實現機制，并驗證該工作模型的自保護能力。

請參閱圖2，為基于JAVA虛擬機的模型實現技術框架圖。

在該技術框架中，定時告警模塊及后臺監控模塊分別在繼承自Service類的自定義子類TimerService和繼承自BroadcastReceiver類的自定義子類MonitorAndControl實例中實現。請參閱圖3，為MonitorAndControl類的關鍵代碼。請參閱圖4，為TimerService類的關鍵代碼。

經過實驗驗證，基于上述關鍵代碼實現的應用系統自保護模型，能夠有效保證后臺監控服務的持續運行，避免監控進程受到非預期中斷，只要在后臺監控模塊中針對業務需求實現性能監控及安全監控處理函數，該模型能為應用系統提供有效的自保護能力。

所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統，裝置和單元的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。

在本申請所提供的幾個實施例中，應該理解到，所揭露的系統，裝置和方法，可以通過其它的方式實現。例如，以上所描述的裝置實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現時可以有另外的劃分方式，例如多個單元或組件可以結合或者可以集成到另一個系統，或一些特征可以忽略，或不執行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。

另外，在本發明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現，也可以采用軟件功能單元的形式實現。

所述集成的單元如果以軟件功能單元的形式實現并作為獨立的產品銷售或使用時，可以存儲在一個計算機可讀取存儲介質中。基于這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟件產品的形式體現出來，該計算機軟件產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，服務器，或者網絡設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括：U盤、移動硬盤、只讀存儲器(ROM，Read-Only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質。

以上所述，以上實施例僅用以說明本發明的技術方案，而非對其限制；盡管參照前述實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解：其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分技術特征進行等同替換；而這些修改或者替換，并不使相應技術方案的本質脫離本發明各實施例技術方案的精神和范圍。

完整全部詳細技術資料下載

當前第1頁1 2 3