《计算机自防御系统及方法.pdf》由会员分享,可在线阅读,更多相关《计算机自防御系统及方法.pdf(14页完整版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 102436560 A (43)申请公布日 2012.05.02 C N 1 0 2 4 3 6 5 6 0 A *CN102436560A* (21)申请号 201110241211.0 (22)申请日 2011.08.22 G06F 21/00(2006.01) (71)申请人高振宇 地址 100044 北京市西城区西直门外大街 142号科协小楼2层 申请人高深 (72)发明人高振宇 高深 (74)专利代理机构北京北新智诚知识产权代理 有限公司 11100 代理人赵郁军 (54) 发明名称 计算机自防御系统及方法 (57) 摘要 本发明公开了一种计算机自防御系统及。
2、方 法。该自防御系统包括隔离区计算机及无菌区计 算机。当有客户端请求时,先经数字皮肤装置挡 住、过滤或删除识别出的大多数已知攻击。对于进 入隔离区计算机内部的已知和未知攻击,隔离区 计算机通过认证特征值比对方式,判断隔离区计 算机中的数据是否被篡改,若未被篡改,则不进行 处理,反之,则通知无菌区计算机进行修复处理, 以保证响应给客户端的数据均为正确数据。本发 明自防御系统及方法根据人体的“免疫系统”、“神 经监测系统”、“自我治愈系统”等构成的生物自我 防御系统的原理设计,增加了计算机自身的防御 功能,能够有效抵挡各种已知和未知攻击。 (51)Int.Cl. (19)中华人民共和国国家知识产权。
3、局 (12)发明专利申请 权利要求书 2 页 说明书 9 页 附图 2 页 CN 102436567 A 1/2页 2 1.一种计算机自防御系统,其特征在于:它包括隔离区计算机及无菌区计算机,其中: 该隔离区计算机包括镜像数据存储模块、检测对比模块、自治愈修复模块; 该无菌区计算机包括原始数据存储模块、数字免疫模块; 用于存储原始数据的该原始数据存储模块将存储的原始数据经过该数字免疫模块变 成镜像数据后发送并存储在该隔离区计算机中用于存储镜像数据的该镜像数据存储模块 内; 该检测对比模块根据客户端发出的请求而从该镜像数据存储模块内提取与该请求对 应的镜像数据,对提取的该镜像数据进行认证检测,当。
4、认证检测结果为该镜像数据未被篡 改时,该镜像数据进行相应处理后响应给客户端,当认证检测结果为该镜像数据被篡改时, 该检测对比模块向该自治愈修复模块发出修复指令,该自治愈修复模块向该无菌区计算机 发出修复请求,以使该原始数据存储模块将与该被篡改的镜像数据对应的原始数据经由该 数字免疫模块变成镜像数据后存储在该镜像数据存储模块内而替换该被篡改的镜像数据, 完成对该被篡改的镜像数据的修复,并将修复后的该镜像数据进行相应处理后响应给客户 端。 2.如权利要求1所述的计算机自防御系统,其特征在于:所述数字免疫模块包括格式 变换单元和认证单元,所述原始数据存储模块中的原始数据经由该格式变换单元进行格式 变。
5、换、该认证单元认证后变成镜像数据,以存储在所述镜像数据存储模块内。 3.如权利要求2所述的计算机自防御系统,其特征在于:所述检测对比模块包括认证 特征值计算单元和比较单元,当对从所述镜像数据存储模块内提取的与该客户端发出的请 求对应的镜像数据进行认证检测时,该认证特征值计算单元对该镜像数据中的存储数据计 算认证特征值并发送给该比较单元,由该比较单元对该镜像数据本身带有的认证特征值与 计算出的该认证特征值进行异同比较。 4.如权利要求1所述的计算机自防御系统,其特征在于:所述无菌区计算机包括神经 监测模块,该神经监测模块包括监测单元和报警单元;该监测单元定时监测所述隔离区计 算机的工作状态,若监。
6、测到异常,则该监测单元启动该报警单元报警;当所述检测对比模块 根据客户端发出的请求而从所述镜像数据存储模块内提取与该请求对应的镜像数据,对提 取的该镜像数据进行认证检测,且认证检测结果为镜像数据被篡改时,所述检测对比模块 启动所述报警单元报警。 5.如权利要求1至4中任一项所述的计算机自防御系统,其特征在于:所述隔离区计 算机内设有数字皮肤装置,所述无菌区计算机内设有数字淋巴装置,所述隔离区计算机与 互联网连接,所述无菌区计算机与内网或数据库连接。 6.如权利要求5所述的计算机自防御系统,其特征在于:所述数字皮肤装置为用于拦 截已知攻击的防火墙和应用防火墙,所述数字淋巴装置为用于隔断入侵的防火。
7、墙。 7.一种基于权利要求1所述的计算机自防御系统实现的自防御方法,其特征在于:该 方法包括: 所述隔离区计算机中的检测对比模块根据客户端发出的请求,从所述镜像数据存储模 块中提取出与该请求对应的镜像数据,对提取出的该镜像数据进行认证检测,判断该镜像 数据是否被篡改:若认证检测结果为该镜像数据未被篡改,则该镜像数据进行相应处理后 响应给客户端;若认证检测结果为该镜像数据被篡改,则所述检测对比模块向所述自治愈 权 利 要 求 书CN 102436560 A CN 102436567 A 2/2页 3 修复模块发出修复指令,所述自治愈修复模块向所述无菌区计算机发出修复请求,使所述 原始数据存储模块。
8、将与该被篡改的镜像数据对应的原始数据经由所述数字免疫模块变成 镜像数据后存储在所述镜像数据存储模块内而替换该被篡改的镜像数据,完成对该被篡改 的镜像数据的修复,并将修复后的该镜像数据进行相应处理后响应给客户端。 8.一种基于权利要求3所述的计算机自防御系统实现的自防御方法,其特征在于:该 方法包括: 所述隔离区计算机中的检测对比模块根据客户端发出的请求,从所述镜像数据存储模 块中提取出与该请求对应的镜像数据,对提取出的该镜像数据进行认证检测,该认证检测 为通过认证算法对该镜像数据中的存储数据计算出认证特征值,将该认证特征值与该镜像 数据中本身带有的认证特征值进行比较:若计算出的认证特征值与该镜。
9、像数据中本身带有 的认证特征值相同,则认为该镜像数据未被篡改,该镜像数据进行相应处理后响应给客户 端;若计算出的认证特征值与该镜像数据中本身带有的认证特征值不同,则认为该镜像数 据被篡改,所述检测对比模块向所述自治愈修复模块发出修复指令,所述自治愈修复模块 向所述无菌区计算机发出修复请求,使所述原始数据存储模块将与该被篡改的镜像数据对 应的原始数据经由所述格式变换单元进行格式变换、所述认证单元认证后变成镜像数据, 然后存储在所述镜像数据存储模块内而替换该被篡改的镜像数据,完成对该被篡改的镜像 数据的修复,并将修复后的该镜像数据进行相应处理后响应给客户端。 9.如权利要求8所述的自防御方法,其特。
10、征在于:所述认证单元的认证是通过所述认 证算法计算出原始数据的认证特征值,然后将该认证特征值添加到经过所述格式变换单元 进行格式变换后得到的数据中,以变成镜像数据。 10.如权利要求9所述的自防御方法,其特征在于:一个所述认证特征值唯一对应一个 原始数据。 权 利 要 求 书CN 102436560 A CN 102436567 A 1/9页 4 计算机自防御系统及方法 技术领域 0001 本发明涉及一种计算机系统及运行方法,特别是涉及一种用于计算机的自防御系 统及自防御方法。 背景技术 0002 随着网络技术的发展,越来越多的人通过互联网获取、分享各种信息,即时通讯、 电子商务、电子银行、电。
11、子政务、电子媒体、远程教育、电子邮件等各种互联网应用已经逐渐 渗入了人们生活的方方面面。但另一方面,互联网今天已经进入了以“未知攻击主流化”、 “网军多国化”和“黑客产业化”为主要特征的网络战时代,互联网上的各种服务器受到空前 的网络威胁。 0003 各种服务器都存在着自身的安全漏洞,如:当前广泛使用的第二代Web服务器直 接贯通着内网数据库和互联网,其中的web原文件均为可读可写的平文且无监管,黑客可 以利用这些漏洞,通过篡改关键数据、植入木马、盗取密码等各种手段,盗取服务器中的关 键信息,严重时会导致网络服务器瘫痪。 0004 针对网络中的各种攻击、病毒,市面上已有大量的安全产品,比如防火。
12、墙、WAF(Web 应用防火墙)、IPS、IDS等,但是,这些安全产品作为服务器的“周边安全产品”,一方面需要 单独配置,额外增加了成本,另一方面其实现原理基本上是基于已知攻击的“攻击特征值” 而进行阻挡、过滤、删除等操作,而对于未知攻击,并不能够识别并采取相应的策略,阻拦不 住,存在着重大的安全漏洞。因此,单纯使用周边安全产品,无论使用多少,服务器仍有可能 被入侵。例如,到2011年,中国超过80的网站都发生了挂码(黑客把木马病毒挂到他人 网站的犯罪行为)(塞迪)。在现实中,尽管使用了大量的周边安全产品,仍发生了大量的被 攻击、被入侵、被利用散发病毒和散发虚假信息、客户信息被偷盗等各种各样的。
13、网络犯罪事 件。 0005 另外,现在的服务器系统管理员任务艰巨,不仅需要全天24小时轮班倒工作,而 且技术要求也很高,当服务器被攻击至异常运行甚至瘫痪时需要快速定位并及时解决,以 恢复服务器的正常运行,降低损失。 0006 由于当前的各种周边安全产品不能防御愈演愈烈的“未知攻击”,因此,包括比尔 盖茨和美国西门铁克的董事长在内的各位安全专家们嘲讽了周边安全产品的理念和技术 的陈旧性:“城堡式的防御是中世纪的”。现在,各国专家们都在寻找可以防御未知攻击的方 法,以避免复杂的网络环境对服务器造成的损害,从而降低用户的损失。 0007 “自我防御(Self-Defending)”是一种可以有效地防。
14、御“未知攻击”的下一代安全 技术。因为它追求的目标是不管黑客使用任何攻击方法,无论是已知攻击,还是未知攻击, 入侵到了计算机内部,探讨的问题是我们如何可以确保计算机继续工作,从而可以摆脱对 攻击特征值的依赖。问题是,如何在计算机里实现自我防御机制?美国思科公司从9年前 就开始研究“自防御网络(Self-Defending Network)”,但至今仍在探索中。 0008 科学家们注意到,在自然世界里尽管充满了各种病毒和已知/未知攻击,人类一 说 明 书CN 102436560 A CN 102436567 A 2/9页 5 生中虽然可能多次生病受伤,但仍然可以在严酷的自然世界里长期存活、繁衍进。
15、化,这是因 为人体里存在着一套“生物自我防御”机制,包括:“皮肤”、“免疫”、“自我治愈”、“神经监测” 和“淋巴系统”等多道防线,帮助抵御各种入侵和伤害。而计算机里由于没有这样的系统, 所以抵抗不了任何入侵,无法在充满威胁的互联网世界里长期运行。 发明内容 0009 鉴于上述原因,本发明的目的在于提供一种能够有效防御来自互联网等外部环境 的各种攻击,特别是未知攻击的计算机自防御系统及自防御方法,本发明系统及方法使得 计算机今后可以在日益险恶的互联网环境里长期地工作,就像人类可以在严酷的自然界里 长期存活一样。 0010 为达到上述目的,本发明采用以下技术方案: 0011 一种计算机自防御系统。
16、,其特征在于:它包括隔离区计算机及无菌区计算机,其 中: 0012 该隔离区计算机包括镜像数据存储模块、检测对比模块、自治愈修复模块; 0013 该无菌区计算机包括原始数据存储模块、数字免疫模块; 0014 用于存储原始数据的该原始数据存储模块将存储的原始数据经过该数字免疫模 块变成镜像数据后发送并存储在该隔离区计算机中用于存储镜像数据的该镜像数据存储 模块内; 0015 该检测对比模块根据客户端发出的请求而从该镜像数据存储模块内提取与该请 求对应的镜像数据,对提取的该镜像数据进行认证检测,当认证检测结果为该镜像数据未 被篡改时,该镜像数据进行相应处理后响应给客户端,当认证检测结果为该镜像数据。
17、被篡 改时,该检测对比模块向该自治愈修复模块发出修复指令,该自治愈修复模块向该无菌区 计算机发出修复请求,以使该原始数据存储模块将与该被篡改的镜像数据对应的原始数据 经由该数字免疫模块变成镜像数据后存储在该镜像数据存储模块内而替换该被篡改的镜 像数据,完成对该被篡改的镜像数据的修复,并将修复后的该镜像数据进行相应处理后响 应给客户端。 0016 所述数字免疫模块包括格式变换单元和认证单元,所述原始数据存储模块中的原 始数据经由该格式变换单元进行格式变换、该认证单元认证后变成镜像数据,以存储在所 述镜像数据存储模块内。所述检测对比模块包括认证特征值计算单元和比较单元,当对从 所述镜像数据存储模块。
18、内提取的与该客户端发出的请求对应的镜像数据进行认证检测时, 该认证特征值计算单元对该镜像数据中的存储数据计算认证特征值并发送给该比较单元, 由该比较单元对该镜像数据本身带有的认证特征值与计算出的该认证特征值进行异同比 较。 0017 一种基于计算机自防御系统实现的自防御方法,其特征在于:该方法包括:所述 隔离区计算机中的检测对比模块根据客户端发出的请求,从所述镜像数据存储模块中提取 出与该请求对应的镜像数据,对提取出的该镜像数据进行认证检测,判断该镜像数据是否 被篡改:若认证检测结果为该镜像数据未被篡改,则该镜像数据进行相应处理后响应给客 户端;若认证检测结果为该镜像数据被篡改,则所述检测对比。
19、模块向所述自治愈修复模块 发出修复指令,所述自治愈修复模块向所述无菌区计算机发出修复请求,使所述原始数据 说 明 书CN 102436560 A CN 102436567 A 3/9页 6 存储模块将与该被篡改的镜像数据对应的原始数据经由所述数字免疫模块变成镜像数据 后存储在所述镜像数据存储模块内而替换该被篡改的镜像数据,完成对该被篡改的镜像数 据的修复,并将修复后的该镜像数据进行相应处理后响应给客户端。 0018 另一种基于计算机自防御系统实现的自防御方法,其特征在于:该方法包括:所 述隔离区计算机中的检测对比模块根据客户端发出的请求,从所述镜像数据存储模块中提 取出与该请求对应的镜像数据,。
20、对提取出的该镜像数据进行认证检测,该认证检测为通过 认证算法对该镜像数据中的存储数据计算出认证特征值,将该认证特征值与该镜像数据中 本身带有的认证特征值进行比较:若计算出的认证特征值与该镜像数据中本身带有的认证 特征值相同,则认为该镜像数据未被篡改,该镜像数据进行相应处理后响应给客户端;若 计算出的认证特征值与该镜像数据中本身带有的认证特征值不同,则认为该镜像数据被篡 改,所述检测对比模块向所述自治愈修复模块发出修复指令,所述自治愈修复模块向所述 无菌区计算机发出修复请求,使所述原始数据存储模块将与该被篡改的镜像数据对应的原 始数据经由所述格式变换单元进行格式变换、所述认证单元认证后变成镜像数。
21、据,然后存 储在所述镜像数据存储模块内而替换该被篡改的镜像数据,完成对该被篡改的镜像数据的 修复,并将修复后的该镜像数据进行相应处理后响应给客户端。 0019 本发明的优点在于: 0020 1)将原始数据和免疫生成处理后与原始数据对应的镜像数据分别存储在物理隔 离的无菌区计算机、隔离区计算机内,隔离区计算机用于对客户端请求进行直接响应,而无 需无菌区计算机作出响应,因此,含有关键数据的原始数据被隔离保护起来,避免了黑客对 原始数据的直接操作。 0021 2)本发明自防御系统可对黑客发出的已知攻击和未知攻击进行防御。通过在隔离 区计算机内或外设置诸如防火墙等数字皮肤装置,能够有效地拦截大部分已知。
22、攻击;对未 能拦截住的少数已知攻击和未知攻击,可通过本发明自防御系统中的数字免疫模块、检测 对比模块等模块的设计来阻止其对隔离区计算机的入侵。 0022 在实际应用本发明时,黑客最多只能入侵到隔离区计算机,无菌区计算机内是无 法进入的。在隔离区计算机中的镜像数据存储模块内存储的镜像数据是通过对无菌区计算 机内原始数据存储模块中存储的原始数据进行格式变换、认证后得到的,而非平文的原始 数据,即使黑客获取到该镜像数据,也会因镜像数据显示的内容与其对应的原始数据的内 容已完全不同而无从下手,即使黑客对镜像数据中的存储数据有所篡改,由于当存储数据 被黑客篡改,发生变化后,由变化的存储数据计算出的认证特。
23、征值与该镜像数据中本身带 有的认证特征值相比,必定会不同,因此,检测对比模块会通过判断认证特征值异同的方式 识别出镜像数据被篡改并对被篡改的镜像数据进行自我修复,从而有效地阻止了黑客对镜 像数据的篡改,确保了客户端发出的正常请求能够得到正确的回应。若黑客对镜像数据中 的认证特征值进行了篡改,则不论其内的存储数据是否被篡改,篡改的该认证特征值也不 会与由其内的存储数据计算出的认证特征值相同。在实际中,黑客可通过网页篡改、缓冲区 溢出、零日攻击、SQL注入、蠕虫等多种攻击方法对镜像数据进行篡改,攻击包括已知和未知 攻击。 0023 3)在本发明中,神经监测模块定时监测隔离区计算机,特别是镜像数据存。
24、储模块, 是否正常,比如不能响应客户端的正常请求等,当发现异常时,即会启动报警单元,及时通 说 明 书CN 102436560 A CN 102436567 A 4/9页 7 知管理者,既降低了管理者的劳动强度,也降低了对其的技术要求,大大降低了维护成本。 0024 4)通过对计算机自身构建本发明自防御系统,不仅减少了用户对外围安全产品的 盲目使用,而且对管理者的要求大大减低,节省了成本,更重要的是能够防御各种已知、未 知攻击,有效地避免计算机受到任何侵害。本发明计算机自防御系统及方法可以应用于各 种类型的服务器和电脑,比如web服务器、DNS服务器、邮件服务器、个人电脑、手机、ipad 等。。
25、对于应用本发明系统及方法的DNS服务器,可将其称为“生物自防御域名服务器”。对 于应用本发明系统及方法的电子邮件服务器(email server),可将其称为“生物自防御电 子邮件服务器”。 0025 5)本发明系统及方法将人类身体里存在的生物自防御机能原理在计算机里得以 实现,可以有效地防御任何攻击,特别是未知攻击,通过本发明系统及方法的使用,计算机 将可以长期、健壮地运行在日益险恶的互联网世界里,如同人类可以长期地存活在严酷的 自然世界里一样。 附图说明 0026 图1是本发明自防御系统的第一实施例的组成示意图; 0027 图2是本发明自防御系统的第二实施例的组成示意图; 0028 图3是。
26、基于本发明自防御系统的第一实施例实现的本发明自防御方法的流程示 意图; 0029 图4是本发明应用于web服务器的具体实施例示意图。 具体实施方式 0030 下面结合附图和实施例对本发明作进一步详细的说明。 0031 如图1所示,设置在计算机5内的本发明计算机自防御系统包括隔离区计算机2 及无菌区计算机4,其中: 0032 该隔离区计算机2包括镜像数据存储模块21、检测对比模块22、自治愈修复模块 23; 0033 该无菌区计算机4包括原始数据存储模块41、数字免疫模块42; 0034 用于存储原始数据的该原始数据存储模块41将存储的原始数据经过该数字免疫 模块42变成镜像数据后发送并存储在该。
27、隔离区计算机2中用于存储镜像数据的该镜像数 据存储模块21内,以待客户端的请求; 0035 该检测对比模块22根据客户端发出的请求而从该镜像数据存储模块21内提取与 该请求对应的镜像数据,对提取的该镜像数据进行认证检测,当认证检测结果为该镜像数 据未被篡改时,该镜像数据进行相应处理后响应给客户端,例如,该检测对比模块22通知 隔离区计算机2的格式反变换模块(图中未示出)将该镜像数据复原成原始数据,并经由 隔离区计算机2的主功能模块(图中未示出)将该原始数据直接响应给客户端或将执行该 原始数据后得到的执行结果响应给客户端,当认证检测结果为该镜像数据被篡改(例如被 病毒篡改等)时,该检测对比模块2。
28、2向该自治愈修复模块23发出修复指令,该自治愈修复 模块23向该无菌区计算机4的主功能模块(图中未示出)发出修复请求(该修复请求需 经数字淋巴装置44进行过滤处理),以使该主功能模块通知该原始数据存储模块41将与该 说 明 书CN 102436560 A CN 102436567 A 5/9页 8 被篡改的镜像数据对应的原始数据经由该数字免疫模块42变成镜像数据后存储在该镜像 数据存储模块21内而替换该被篡改的镜像数据,完成对该被篡改的镜像数据的修复(实现 自我治愈过程),并将修复后的该镜像数据(指替换该被篡改的镜像数据的镜像数据)进行 相应处理后响应给客户端,例如,将修复后的该镜像数据经由格。
29、式反变换模块复原成原始 数据,经由隔离区计算机2的主功能模块将该原始数据直接响应给客户端或将执行该原始 数据后得到的执行结果响应给客户端。 0036 在实际中,客户端发出的请求是向计算机5请求某一或某些原始数据的请求,该 请求可能是无攻击的正常请求,也可能是已知或未知攻击。 0037 如图2所示,该数字免疫模块42可包括格式变换单元421和认证单元422,原始数 据存储模块41中的原始数据经由该格式变换单元421进行格式变换、该认证单元422认证 后变成镜像数据,以存储在镜像数据存储模块21内。实际中,格式变换处理可为加密处理 等,认证单元422的认证算法可为Hash算法等。 0038 如图2。
30、所示,该检测对比模块22可包括认证特征值计算单元221和比较单元222, 当对从镜像数据存储模块21内提取的与该客户端发出的请求对应的镜像数据进行认证检 测时,该认证特征值计算单元221对该镜像数据中的存储数据通过认证算法计算认证特征 值并发送给该比较单元222,由该比较单元222对该镜像数据本身带有的认证特征值与计 算出的该认证特征值进行异同比较:若两个认证特征值相同,则认证检测结果为该镜像数 据未被篡改,反之,则认证检测结果为该镜像数据被篡改。需要说明的是,镜像数据由认证 特征值和存储数据两部分构成,认证特征值可放于存储数据之前或之后等位置。 0039 在本发明中,无菌区计算机4将原始数据。
31、取出后进行格式变换及认证处理,有效 防止了黑客通过各种手段试图获取信息或是篡改原始数据。这是由于,数据格式变换后,即 使获取到也是不可识别的乱码,黑客极难、甚至无法得到想要的信息;在此基础上,再通过 认证,即利用认证算法计算出原始数据的认证特征值并将该认证特征值添加在该格式变换 后得到的数据中(例如放置在数据头部、尾部等位置),且使得认证特征值与原始数据唯一 的一一对应,这样,即使黑客篡改了镜像数据,该镜像数据所对应的认证特征值便会改变, 检测对比模块22即会识别出该镜像数据已被篡改,从而被篡改的镜像数据被及时进行修 复,以保障向正常请求响应正确的原始数据。 0040 在实际中,该格式反变换是。
32、与该格式变换单元421所做的格式变换操作相反的操 作。 0041 如图1和图2,无菌区计算机4可包括神经监测模块43,该神经监测模块43可包括 监测单元431和报警单元432;该监测单元431定时监测隔离区计算机2的工作状态,若监 测到异常,则该监测单元431启动该报警单元432报警,另外,当检测对比模块22根据客户 端发出的请求而从镜像数据存储模块21内提取与该请求对应的镜像数据,对提取的该镜 像数据进行认证检测,且认证检测结果为镜像数据被篡改时,检测对比模块22也会启动报 警单元432报警。在实际应用中,报警单元432可通过手机短信、邮件等方式通知管理者, 也可通过自动报警方式(如振铃或其。
33、他形式)通知管理者。这样,通过报警单元432的即 时报警,管理者无需全天候看守隔离区计算机2,即使出了问题,也无需耗费大量精力进行 错误定位,只需启动自治愈修复模块23进行修复即可,降低了管理者的劳动强度,也降低 了对管理者的技术要求,从而大大降低了计算机的维护成本。在实际中,对于服务器而言, 说 明 书CN 102436560 A CN 102436567 A 6/9页 9 上述管理者指系统管理员。 0042 如图1和图2,在实际应用中,隔离区计算机2内设有数字皮肤装置24,隔离区计 算机2与互联网连接,用于直接响应客户端的请求,无菌区计算机4内设有数字淋巴装置 44,无菌区计算机4直接与内。
34、网或数据库连接,用于存放内网中含有关键信息的原始数据, 仅计算机自身管理者有管理权限。当然,在实际设计时,数字皮肤装置24也可设置在隔离 区计算机2外,位于隔离区计算机2与互联网之间,数字淋巴装置44也可设置在无菌区计 算机4外,位于隔离区计算机2与无菌区计算机4之间。该数字皮肤装置24可为防火墙和 应用防火墙,用于拦截外网中大部分已知攻击。数字淋巴装置44可为防火墙,进一步保护 无菌区计算机4不被侵害。这样,一方面,隔离区计算机2可以实现计算机的基本功能,另 一方面,无菌区计算机4可以通过隔离区计算机2及数字淋巴装置44与外网相互隔离,有 效地保护内网或数据库中的原始数据。 0043 针对图。
35、1所示的自防御系统(有无神经监测模块43均可),本发明提出了一种自 防御方法,该方法包括: 0044 当客户端发起请求时,客户端发出的请求到达数字皮肤装置24,数字皮肤装置24 通过端口检查或特征检测等方法检查请求是否为攻击,若是,则进行阻挡、过滤或删除操 作,反之,则放行并交由隔离区计算机2内部处理; 0045 隔离区计算机2中的检测对比模块22根据客户端发出的请求中请求的内容,从镜 像数据存储模块21中提取出与该请求对应的镜像数据,对提取出的该镜像数据进行认证 检测,判断该镜像数据是否被篡改:若认证检测结果为该镜像数据未被篡改,则该镜像数据 进行相应处理后响应给客户端,例如,该检测对比模块。
36、22通知隔离区计算机2的格式反变 换模块(图中未示出)将该镜像数据复原成原始数据,并经由隔离区计算机2的主功能模 块(图中未示出)将该原始数据直接响应给客户端或将执行该原始数据后得到的执行结果 响应给客户端;若认证检测结果为该镜像数据被篡改,则检测对比模块22向自治愈修复模 块23发出修复指令,自治愈修复模块23向无菌区计算机4的主功能模块发出修复请求(该 请求需经数字淋巴装置44过滤处理),使该主功能模块通知原始数据存储模块41将与该被 篡改的镜像数据对应的原始数据经由数字免疫模块进行免疫生成处理、变成镜像数据后存 储在镜像数据存储模块21内而替换该被篡改的镜像数据,完成对该被篡改的镜像数据。
37、的 修复,并将修复后的该镜像数据(指替换该被篡改的镜像数据的镜像数据)进行相应处理 后响应给客户端,例如,将修复后的该镜像数据经由格式反变换模块复原成原始数据,经由 隔离区计算机2的主功能模块将该原始数据直接响应给客户端或将执行该原始数据后得 到的执行结果响应给客户端。 0046 针对图2所示的自防御系统(有无神经监测模块43均可),本发明也提出了一种 自防御方法,该方法包括: 0047 当客户端发起请求时,客户端发出的请求到达数字皮肤装置24,数字皮肤装置24 通过端口检查或特征检测等方法检查请求是否为攻击,若是,则进行阻挡、过滤或删除操 作,反之,则放行并交由隔离区计算机2内部处理; 00。
38、48 隔离区计算机2中的检测对比模块22根据客户端发出的请求中请求的内容,从 镜像数据存储模块21中提取出与该请求对应的镜像数据,对提取出的该镜像数据进行认 证检测,该认证检测为通过认证算法对该镜像数据中的存储数据计算出认证特征值,将该 说 明 书CN 102436560 A CN 102436567 A 7/9页 10 认证特征值与该镜像数据中本身带有的认证特征值进行比较:若计算出的认证特征值与该 镜像数据中本身带有的认证特征值相同,则认为该镜像数据未被篡改,该镜像数据进行相 应处理后响应给客户端,例如,该检测对比模块22通知隔离区计算机2的格式反变换模块 (图中未示出)将该镜像数据复原成原。
39、始数据,并经由隔离区计算机2的主功能模块(图中 未示出)将该原始数据直接响应给客户端或将执行该原始数据后得到的执行结果响应给 客户端;若计算出的认证特征值与该镜像数据中本身带有的认证特征值不同,则认为该镜 像数据被篡改,检测对比模块22向自治愈修复模块23发出修复指令,自治愈修复模块23 向无菌区计算机4的主功能模块发出修复请求(该请求需经数字淋巴装置44过滤处理), 使该主功能模块通知原始数据存储模块41将与该被篡改的镜像数据对应的原始数据经由 格式变换单元421进行格式变换、认证单元422认证(免疫生成处理)后变成镜像数据,然 后存储在镜像数据存储模块21内而替换该被篡改的镜像数据,完成对。
40、该被篡改的镜像数 据的修复,并将修复后的该镜像数据(指替换该被篡改的镜像数据的镜像数据)进行相应 处理后响应给客户端,例如,将修复后的该镜像数据经由格式反变换模块复原成原始数据, 经由隔离区计算机2的主功能模块将该原始数据直接响应给客户端或将执行该原始数据 后得到的执行结果响应给客户端。 0049 认证单元422的认证是通过认证算法计算出原始数据的认证特征值,然后将该认 证特征值添加到经过格式变换单元421进行格式变换后得到的数据中(例如头部、尾部等 位置),以变成镜像数据。一个认证特征值唯一对应一个原始数据,以用于监测原始数据的 改变。 0050 对于图1和图2所示的自防御系统,若无菌区计算。
41、机4内设有神经监测模块43,且 该神经监测模块43包括监测单元431和报警单元432,则该监测单元431定时监测隔离区 计算机2的工作状态,若监测到异常,则该监测单元启动该报警单元432报警。并且,当检 测对比模块22根据客户端发出的请求而从镜像数据存储模块21内提取与该请求对应的镜 像数据,对提取的该镜像数据进行认证检测,且认证检测结果为镜像数据被篡改时,检测对 比模块22也要启动报警单元432报警。 0051 综上所述,本发明计算机自防御系统及自防御方法可以近似比拟成人体的生物自 我防御系统。第一,数字皮肤装置24识别和阻拦多数已知攻击,如网页篡改、缓冲区溢出、 SQL注入、蠕虫等,因此,。
42、该数字皮肤装置24相当于人体的“皮肤”,可以抵挡住日常生活中 遇到的大部分细菌,防止细菌侵入人体;第二,存储着原始数据的无菌区计算机4与隔离区 计算机2通过数字淋巴装置44进一步隔离开来,将攻击进一步阻断,抵御入侵者对无菌区 计算机4内部的攻击,因此,该数字淋巴装置44相当于人体的“淋巴系统”;第三,原始数据 通过数字免疫模块42进行格式变换、认证处理后才存储在隔离区计算机2内,只由隔离区 计算机2响应客户端的请求,而格式变换、认证处理后得到的镜像数据与原始数据的内容 已完全不同,攻击者无从下手,因此,格式变换和认证处理相当于生成免疫力的免疫生成处 理,数字免疫模块42相当于人体的“免疫系统”。
43、,即使有细菌入侵体内,也可以有效阻挡细 菌对身体的伤害;第四,无菌区计算机4中的神经监测模块43定时监测隔离区计算机2,以 确定其是否正常运行,一旦检测到异常就启动报警单元,以及时通知管理者进行相应处理, 因此,该神经监测模块43相当于人体的“神经监测系统”,随时监测着人体的健康状况;第 五,当认证检测到客户请求的原始数据被篡改时,自治愈修复模块23就会向无菌区计算机 说 明 书CN 102436560 A CN 102436567 A 8/9页 11 4请求干净的原始数据,以修复被篡改的镜像数据,因此,该自治愈修复模块23相当于人体 的“自我治愈系统”,对于头疼感冒等症状经过一定时间即可自行。
44、恢复至健康状态。 0052 由此可见,本发明正是根据人体的生物自我防御系统的自我防御原理,将计算机5 内部的关键数据保护起来,首先使黑客不易对关键数据进行篡改,其次,一旦有黑客篡改获 取关键数据,计算机5内的自防御系统便会有效识别出并自我恢复,免受侵害。 0053 本发明计算机自防御系统及方法可以应用于各种类型的服务器和电脑,比如web 服务器、DNS服务器、邮件服务器、个人电脑、手机、ipad等。 0054 图4为本发明应用于web服务器的具体实施例示意图。如图4,web服务器中设有 隔离区计算机和无菌区计算机,该隔离区计算机内设有应用防火墙、防火墙,隔离区计算 机通过路由器与互联网连接,用。
45、于响应客户端的请求,无菌区计算机内设有防火墙,无菌区 计算机内存储有web静态文件(如html、jpg、mp3文件等)、web动态文件(如php、perl、 shell脚本等)等,无菌区计算机内还可设置有数据库等,无菌区计算机与内网直接连接, 由系统管理员管理,隔离区计算机内存储着经过格式变换、认证处理后的web静态文件及 web动态文件等。 0055 当黑客、攻击者通过互联网试图窃取篡改web服务器中的关键数据时,比如篡改 html文件,以期望显示其想要的显示内容,又比如篡改脚本文件,以期望执行某些木马程序 来获取用户资料等。首先,黑客、攻击者会遇到千兆级防火墙和应用防火墙,通过配置防火 墙。
46、,可以过滤http、https协议报文,自动封闭黑客、攻击者的IP地址,同时防御应用层攻击 和网络/系统层的攻击,但是,对于未能过滤掉的未知攻击和少数已知攻击,其可访问到隔 离区计算机内部。其次,对于入侵到隔离区计算机内部的已知和未知攻击,黑客、攻击者可 获取到某些数据,但是,一方面这些数据都是经过格式变换的,比如经过了加密处理,这些 数据呈现出的是乱码,黑客、攻击者还是不能够获取到有用的信息,另一方面,即使强行篡 改了数据,当客户端请求该数据时,隔离区计算机也会做出认证检测操作,当发现该数据被 篡改过时,随即向无菌区计算机请求干净的原始数据,将该被篡改的数据替换为干净的数 据,完成修复,从而。
47、使得客户端得到的数据永远是干净的数据。 0056 与此同时,无菌区计算机还定时地扫描监测隔离区计算机是否运行正常。比如,当 黑客通过泛洪攻击等手段占满了内存,而使得正常的客户端请求无法得到响应时,可被及 时发现,然后及时地向系统管理员报警,系统管理员就可以有针对性地通过删掉被攻击的 数据或是重新启动等方式来对系统进行修复。 0057 当本发明自防御系统应用于DNS服务器时,无菌区计算机内存储着域名与IP地址 对照表,该对照表经过格式变换、认证后发送至隔离区计算机,用于响应客户的DNS请求。 当黑客试图篡改该对照表,以使某网站的域名不能正确解释而造成该网站不可访问时,同 样可以通过“皮肤”、“淋。
48、巴系统”、“免疫系统”、“神经监测系统”、“自我治愈系统”构成的本 发明自防御系统及方法来阻止任何企图对原始数据的篡改。 0058 在本发明中,认证算法、格式变换单元的格式变换方法、格式反变换模块及其格式 反变换方法、隔离区计算机2的主功能模块、无菌区计算机4的主功能模块等均为公知技 术,不再在这里赘述。 0059 本发明的优点在于: 0060 1)将原始数据和免疫生成处理后与原始数据对应的镜像数据分别存储在物理隔 说 明 书CN 102436560 A CN 102436567 A 9/9页 12 离的无菌区计算机、隔离区计算机内,隔离区计算机用于对客户端请求进行直接响应,而无 需无菌区计算。
49、机作出响应,因此,含有关键数据的原始数据被隔离保护起来,避免了黑客对 原始数据的直接操作。 0061 2)本发明自防御系统可对黑客发出的已知攻击和未知攻击进行防御。通过在隔离 区计算机内或外设置诸如防火墙等数字皮肤装置,能够有效地拦截大部分已知攻击;对未 能拦截住的少数已知攻击和未知攻击,可通过本发明自防御系统中的数字免疫模块、检测 对比模块等模块的设计来阻止其对隔离区计算机的入侵。 0062 在实际应用本发明时,黑客最多只能入侵到隔离区计算机,无菌区计算机内是无 法进入的。在隔离区计算机中的镜像数据存储模块内存储的镜像数据是通过对无菌区计算 机内原始数据存储模块中存储的原始数据进行格式变换、认证后得到的,而非平文的原始 数据,即使黑客获取到该镜像数据,也会因镜像数据显示的内容与其对应的原始数据的内 容已完全不同而无从下手,即使黑客对镜像数据中的存储数据有所篡改,由于当存储数据 被黑客篡改,发生变化后,由变化的存储数据计算出的认证特征值与该镜像数据中本身带 有的认证特征值相比,必定会不同,因此,检测对比模块会通过判断认证特征值异同的方。