本发明专利技术涉及一种在具有对用户不可见的高级或协同工作的安全操作系统的计算机系统中进行安全数据的处理方法。安全操作系统作为计算机应用程序提供了带有虚拟计算机硬件的虚拟机(VM),在所述虚拟机上能够执行对用户而言可见的和可用的用户操作系统,所述虚拟机具有至少一个带有用户操作系统的文件系统的虚拟海量存储器,或者所述安全操作系统被封装在第一个虚拟机中,而在第二虚拟机中执行对用户而言可见和可用的、而且配备有带有文件系统的至少一个虚拟海量存储器的用户操作系统。安全操作系统不能被用户或计算机程序应用所操纵,尤其是不能被有害的文件所操纵。用户操作系统的文件系统被读入并提供给在安全操作系统上执行的分析进程。用户操作系统对虚拟海量存储器中的数据块的读取访问被截取并被传递给分析进程,所述分析进程将数据块分配到一个文件并确定属于该文件的所有数据块。分析进程控制在安全操作系统上执行的测试进程以检测有害文件。
【技术实现步骤摘要】
用于计,系统的安^Mst据处理方法本专利技术涉及一种在计B系^Jl进行^^lt据处理的方法。由已知的用户操怍系,怍的计算机系^MM^多地受到malware病毒的攻击。讀^i十 ^U病毒、蠕虫病毒和木马病毒的malware通常不被用户所注意地驻留在l^t 系统中并控制##系统。例如,#于malware病毒的类型,能^#|^6密数 据,并破坏文件。Malware病毒能够通过电子,降、下栽数据或夕f^^i:, 设备,例如USB记'I沐,iiAJ!]计胁系统中。Malware病毒在受到攻击的计 ^中产生附加文件或作为附;Ml^,附在e^在的文件上。当这样的经过 4參改的文件^b^到时,malware病毒变得活跃,并且例M过破if^它文件 实现自身复制。在计胁系统中安^^毒考I^作为应对絲。然而,这种保 护软^ff^^MUi^^丰富的用户关闭,不过特别是通itit当的malware病毒 自身关闭,旨软件可能^LlM^绕过,从而使计^4^Ui^在malware病毒 的攻击^L下或由于malware病毒而失^W。从实践中可以*,在高级操怍系统中提供了虚拟bu,在该虛4財几上用户 操怍系统作为计算^l^^应用被执行。当高级操怍系统借助不能够访问受^^ 的务賭区域的用户操怍系统来保护的时候,用户操怍系统自身的保护通过常规 的^毒程序来实现仍然是不够的。jHW卜,从专利文献EP880743B1中可知,为修复e^fc^毒感染的计^m: 件,在用户辦系统中插A^^麟为封装的计^L应用辦。佩絲染的 计算^LiL件在虚扣^Ji机ft,由此病4^A^L活'通过为用户操怍系^UL危舰 激活病毒,病毒能够净iU^码,lC^^ii:件中^BJ除。处理期间,免受malware病毒攻击、增强系统妙的方法。##本专利技术,通过#用于在具有高级的或协同工作的^^辦系统的计 糸机系^LL^t理数据的方法能够实IUi述目的,对于用户而言该^r^ft 系M不可见的。其中,该^^^操怍系统作为计算机应用^提供了带有虚拟 计算^t件的的虚拟机(VM),在所述虚4財几上能够扭^t对用户而言可见的和可用的用户操作系统,所述虚批艮中有至少一个虛拟海量务賭器,该員 器中存有用户操怍系统的文件系统,或者其中所述^^操作系统被封装在第一个虚批f几中,在第二虚拟K中M酉e^有在其中存有文件系统的至少一个 海量务賭器、并且对于用户可见的和可用的用户操作系统,其中所述^^操作系统不能被用户或计算机应用*所,,尤其是不能被malware病毒所 其中用户操作系统的文件系统被读入并提供给在^^操作系统上M 的分析i^呈,其中用户操作系M虚拟海量务賭器中的数据块的读取访问被 截取并被传递^^析i^,所述分析i^^将数据块分gi^个文件并确^i 于该文件的所有数据块,并且其中所述分析i^f呈控制在安全操作系统(扫描 引擎)中,的测^^以检测有害文件。在itJl;S^面的描述中,有害文件指的是malware病毒和/或被malware 病毒修改的文件和/或由malware病毒产生的文件。关于第二虛扣沐的M实 例,本专利技术假设新技术允许包括反病毒服务本身的安全操怍系^第二虛拟 机中被*#^化(externalised ),并从第二虚^^几访问在第一虚私沐中的用户操作系统的虚扣:w5yt。才睹本专利技术,分析錄和测试进程作为反病毒系统的组成部分从用户操 作系统中被*^化到独立于用户操作系统的、不可见和不可访问的安全, 系统(M夕卜壳)中。用户操作系统能够像通常一样被操作。用户操作系统 和安全操作系统的选择在本专利技术的范围之内不受限。例如,Windows⑧操作 系统在世界范围内通用并被用户所熟知,它适合于作为用户操怍系统,由此 ,本专利技术的方法通^用户IMt系统中实现的^i殳备以,malware病 毒和有害文件的攻击,能够保御艮高的^^度。当启动系统时,#外壳 先于用户操怍系统被启动,随后用户操怍系统膝逸常一样被启动,然而, 本专利技术,分析#、测试进程和^可选提供的安全服务都是在^^操作系 统中隐藏批斤的并防jh^L墓改。通it^虚扣:OUi,用户操怍系统,由在通 常不同种类的基础结构中多个用户操怍系统的管理更加均匀化,并被明显简 化。Unix或Linux,系统特别适^为^^^t系统,因为这些##系统 能够,各自的需M配置,从4^^技术的观^、来看这种配置方式有着更少 的弱点,并能够更好地小型化和强化,以应对来自malware病毒的可能的攻 击。综合^环境的组成部分。^环境中的其它月良^H如可以是石M加密、虚扣:、用于诸如usB设备的访问限制、对来自用户操作系统和到用户操怍系统的网络通信的P艮制,其中用户操作系统也可以受到来自于安全操作系统操作的保护。这些服务的配置与本专利技术所述方法相结合,通常是通过中央管理系统实现的。在本专利技术所述方法的一个优选实例的范围内,提供了创建数据结构,该 数据结构将虚拟海量务賭器的扇区与位于其中的文^H^^表,因此在引导到一个文件的所有文件块的扇区方向中能够实现有效的分配。另外,为每个 文件提供了一个状态变量。通过将文^^接到一个已分配的状态变量,能够 避免在用户操怍系^t虚拟海量务賭器中的数据块进fr^取访问期间必须总 是检查所请求的文件以发现可能被损坏的状态。借助于该lt据结构,在虚拟海量务賭器中已经由测试ii^测有害文件并且已经被识别为无害的文件被 赋予第一状态变量(clean),而尚未被检查的文件或已经被用户操怍系统修改 的文件^^予第4态变量(dirty )。如果分析进程确定对虚拟海量务賭器的 一个赋予了状态变量clean的文件进行沐问,那么其可以被提供给用户操怍系 统而不需要被重新测试,由此可以实现与对所有请求的文件进行无差别检查 相比^增加的数据吞吐量。由于只有樹陚予了状态变量dirty的文件需要通 过测试进程(扫描引擎)对可能的损坏状态进查,仅有的微小的时间延 迟几乎用户察觉到,以这种方式本专利技术所述方法的效率得以提高。总 的来说,作为高数据吞吐量的结果,在用户操作系统和操怍系间的 同步问题能够拟艮大程本专利技术所涉及的在用户IMt系统的 读取访问(常驻扫描)期间为检查有害文件而读Mt据的范围之内。合理的 是,根据本专利技术的方法的范围内没有提供对于病毒的数据流的检查。当被识别为有害文件的文件通过测试位时,有各种备洋的处理 选择方式,这些处理选^式可以,计算机系统操怍者的安全原则来选择。 应该注意到,有害的、被病毒感染的文件不能够被简单地删除,因为在这种 情况下i人为用户操作系统所含有的文件系统与虚拟^it上^l供的实际数据结 构不一定相一致。删除会导致将数据块分配文件,这会引发错 误或用户操作系统的完全崩溃。因本专利技术的方法的范围内,通常不^f'j除有害文件,而是对其进行改写,,从而使其不可用,因此用户IMt 系,这样的文件的读取访问被拒绝。在本专利技术的范围内,也可以采用将有害文件复制到^^^ft系统的^^!^区域中的方式,使得由mahvare病毒 所^的攻击可以被存档和分析。对于用户操作系统的每一次写访问,相关 的扇区被记录并被传递^^析i^呈,在分析进程中给相关的文件赋予状态变 量dirty。除了所述的读取访问(常驻扫描)的监控外,由安全操作系统创建的虚 扣:^本文档来自技高网...
【技术保护点】
一种在具有对用户不可见的高级或协同工作的安全操作系统的计算机系统上进行安全数据处理的方法, 其中所述安全操作系统作为计算机应用程序提供了带有虚拟计算机硬件的虚拟机(VM),在所述虚拟机上可执行对用户而言可见的和可用的用户操作系统,并且所述虚拟机具有至少一个带有用户操作系统的文件系统的虚拟海量存储器,或者其中所述安全操作系统被封装在第一虚拟机中,而在第二虚拟机中执行对用户而言可见的和可用的、而且配备有带有文件系统的至少一个虚拟海量存储器的用户操作系统, 其中所述安全操作系统不能被用户或计算机应用程序所操纵,尤其是不能被malware病毒所操纵, 其中所述用户操作系统的文件系统被读入并提供给在所述安全操作系统上执行的分析进程, 其中所述用户操作系统对虚拟海量存储器中的数据块(扇区)的读取访问被截取并被传递给分析进程,所述分析进程将该数据块分配给一个文件并确定属于该文件的所有数据块,并且 其中所述分析进程控制在所述安全操作系统(扫描引擎)上执行的测试进程以检测有害文件。
【技术特征摘要】
EP 2006-12-12 06025684.91、一种在具有对用户不可见的高级或协同工作的安全操作系统的计算机系统上进行安全数据处理的方法,其中所述安全操作系统作为计算机应用程序提供了带有虚拟计算机硬件的虚拟机(VM),在所述虚拟机上可执行对用户而言可见的和可用的用户操作系统,并且所述虚拟机具有至少一个带有用户操作系统的文件系统的虚拟海量存储器,或者其中所述安全操作系统被封装在第一虚拟机中,而在第二虚拟机中执行对用户而言可见的和可用的、而且配备有带有文件系统的至少一个虚拟海量存储器的用户操作系统,其中所述安全操作系统不能被用户或计算机应用程序所操纵,尤其是不能被malware病毒所操纵,其中所述用户操作系统的文件系统被读入并提供给在所述安全操作系统上执行的分析进程,其中所述用户操作系统对虚拟海量存储器中的数据块(扇区)的读取访问被截取并被传递给分析进程,所述分析进程将该数据块分配给一个文件并确定属于该文件的所有数据块,并且其中所述分析进程控制在所述安全操作系统(扫描引擎)上执行的测试进程以检测有害文件。2. H5U,决求1所述的方法,其中创建一个数据结构,所述数据结构将 虚拟竭^^a器的扇区与位于其中的文^M^来,并#^个文件与一个...
【专利技术属性】
技术研发人员:M贝施,H比尔,A黑尔龙,
申请(专利权)人:SECUNET安全网络股份公司,
类型:发明
国别省市:DE[德国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。