用於計算機網絡中的自動數據異常修正的系統和方法

2023-05-30 13:53:36

專利名稱：用於計算機網絡中的自動數據異常修正的系統和方法
技術領域：
本發明涉及用於自動計算機支持的系統和方法。
背景技術：
對於計算機網絡，即使相對比較小的計算機網絡的管理都可能是困難的。網絡管 理者或是管理員通常負責確保用戶計算機正常地操作，從而最大化生產率並且最小化故障 時間。當計算機開始不規律地工作或是徹底停止工作時，用戶通常會聯繫系統管理員尋求 幫助。如2004年8月11日提交並且公開為US 2005/0038827的共同未決美國專利申請 No. 10/916, 956 ("956申請」)中所闡述的，調查、診斷並且解決與計算機網絡上的個人計算 機相關聯的問題會涉及大量的人力成本。使得給定的計算機不正常工作的原因可能有很多，包括遺漏或是損壞的文件或是 註冊表鍵、「惡意軟體」(包括病毒等)以及用戶錯誤。遺憾的是，典型組織的信息技術(IT) 部門通常缺乏資源或是能力來接收關於給定計算機的所報告問題通知，並在此後對該計算 機進行調查以標識出該問題的根本原因，從而對所述給定計算機進行適當的修補/修復/ 修正。因此，網絡管理者以及IT部門通常不會對多數報告的計算機問題的細節進行研究， 而是訴諸三種常見的「強力」方法來解決所報告的問題，即備份，其中用預先存儲的備份版本來替換整個系統或是應用；黃金映像，其中所有的應用和數據被重置回基線配置；和/或重映像，其中在計算機上再次重新安裝所有的軟體。如本領域技術人員能夠理解的，上述用於計算機問題矯正的「強力」方法實際上是 覆蓋式的數據替換方法，其並非響應以修補例如給定計算機上單個特定問題，並且還經常 會給計算機用戶帶來許多不希望的副作用。例如，用戶可能會遺漏用戶定製的設置，可能必 須在很長的故障停機時間段內進行工作，或是擔心遺漏用戶數據。鑑於維護用戶數據以及避免不必要的故障停機時間的重要性，需要提供一種用於 計算機問題矯正的不同方法。

發明內容
本發明的實施方式提供了利用很少的或是無需人為幹預來修補或是修復在存儲 於計算機上的計算機數據中檢測到的異常的系統和方法。本發明的一個特徵在於利用來自 供給方(Donor)計算機的無損壞可用數據或是「資產」(例如，但不限於文件、文件的部分或 是註冊表鍵)，並且將這些資產傳送到在其上檢測到了異常的目標或是接受方計算機。在一個實施方式中，接受方計算機(S卩，具有在其上檢測到的異常的計算機)向管 理資產請求和供給的仲裁器組件進行資產請求。所述仲裁器組件基於所述資產請求生成供 給請求，並將其發送到被認為或是已知為具有所尋求資產的另一供給方計算機。接收供給 方計算機接著通過將包括所請求資產的資產供給消息發送到發起所述資產請求的接受方 計算機來做出響應。為了「閉合循環」，接受方計算機可選地接著將指示已經接收到所請求資產的確認發送到仲裁器組件。仲裁器接著從待決資產請求的列表或是隊列中移除原始資 產請求。資產也可以經過仲裁器來傳送，而不是直接發送(或是尋址)到目標或是接受方。「956」申請描述了一種可以利用「自適應參考模型」來檢測給定計算機上的異常的 系統和方法，所述「自適應參考模型」可以用來建立存儲在給定計算機網絡中的多個計算機 上的數據的「正常」模式。本發明可以藉助於這種系統進行異常檢測，或是可以依賴於任何 其他的方法來標識計算機網絡中的計算機上的異常。利用本發明的方法特別適於修復的異常包括但不限於遺漏的文件、遺漏的數據、 文件或是數據的遺漏部分、遺漏的註冊表鍵、損壞的文件或是損壞的註冊表鍵。本發明的方 面可以類似地進行操作，從而移除不希望地出現的文件或是數據。通過結合相關附圖來閱讀下面詳細的描述，將充分了解本發明實施方式的這些或 是其他特徵及其所伴隨的優勢。


圖1描述了本發明實施方式可以操作於其中的示例性環境；圖2是描述根據本發明實施方式的信息和動作流的框圖；圖3描繪了根據本發明一個實施方式的通過通信網絡彼此進行通信的接受方或 目標計算機、供給方計算機以及仲裁器組件；圖4-圖6是描繪了根據本發明實施方式的消息和修正數據交換的示例性序列圖。
具體實施例方式本發明的實施方式提供自動計算機支持和矯正的系統和方法。現在參考附圖， 其中相同的編號在附圖中指示著相同的元素。圖1是描述本發明實施方式可以操作於 其中的示例性環境的框圖。該環境和配置在提交於2004年8月11日的美國專利申請 No. 10/916，956 ( 「956」申請)中有所描述，在此通過引用併入該申請的全部。雖然在956 申請的上下文中描述本發明，但是本領域的技術人員可以理解，本發明的方面可以獨立於 在此所描述的系統和方法而使用。另一方面，「956」申請中所描述的系統和方法所實現的 計算機問題/異常檢測的粒度可以有助於進一步利用結合本發明的實施方式而描述的問 題矯正技術的益處。再次參考圖1，其示出了自動支持設施102。雖然自動支持設施102在圖1中示出 為單獨的設施，其可能包括多個設施或是被併入到駐留有被管理的計算機集合114或計算 機網絡的站點。所述自動支持設施102可以包括防火牆104，其與網絡106進行通信用以 向存儲在自動支持設施102內的數據提供安全性。所述自動支持設施102還可以包括收集 器組件108。除其他特徵之外，所述收集器組件108可以提供用於通過諸如文件傳輸協議 (HTP)或超文本傳輸協議(HTTP)的標準協議或是私有協議將數據傳送進或傳送出所述自 動支持設施102的機制。所述收集器組件108還可以提供進行下載、解壓以及解析傳入數 據(包括「快照」)所需的處理邏輯。自動支持設施102還可以包括與收集器組件108進行通信和/或與網絡106並且 因此與被管理的計算機集合114直接進行通信的分析組件110。所述分析組件110可以包 括用以創建「自適應參考模型」並對其進行操作的軟體和硬體，如同在「956」申請中詳述的，在此對其概括為上下文。資料庫組件112可以與收集器組件108和分析組件110 二者進行通信，其可以被 用來存儲自適應參考模型。所述分析組件110從資料庫組件112中提取自適應參考模型和 快照，在參考模型的上下文中對快照進行分析並且過濾掉任何異常，以及在適當時傳送響 應代理(圖2)，下面將對此進行詳述。分析組件110還可以為系統提供用戶接口。圖1僅僅示出了一個收集器組件108、一個分析組件110以及一個資料庫組件 112。然而，本領域的技術人員將會理解，其他可行的實現中可能包括很多此類適當聯網在 一起的組件。如將會在此更為詳細描述的，本發明的實施方式向可以包括多個客戶端計算機 116a-d的被管理的集合114提供自動支持和矯正。本領域的技術人員將會理解，所示出的 四個客戶端計算機116a_d僅僅是示意性的，而本發明的實施方式可以操作在具有成百上 千甚至更多的客戶端計算機的計算機網絡的環境中。被管理的集合114利用相應的代理組 件202、通過網絡106向自動支持設施102提供數據。更具體地，代理組件202被部署在每個被監測的計算機116a_d中，並且採集來自 其相應計算機的數據。例如，按照預定的時間間隔(例如每天一次)或是響應於來自分析 組件110的命令，代理組件獲得其所駐留的機器狀態的詳細「快照」。這種快照可以包括對 於所有系統文件、指定的應用程式文件、註冊表、性能計數器、過程、服務通信埠、硬體配 置以及日誌文件的詳細檢查。每次掃描的結果，即，所述「快照」，接著(可選地)被壓縮並 且被傳送到收集器組件108/資料庫組件112。此外，代理組件202優選地被配置用以通過網絡106並且因此可以向所有的計算 機116a_d傳送針對修正數據的請求，所述修正數據可以被用來替換損壞的數據或是被用 來完成代理組件202所駐留的計算機上的遺漏數據，從而例如使缺失文件的一部分完整。 在優選實施方式中，針對修正數據(此處同樣被稱為「資產」)的請求並非被引向所有的計 算機，而是被引向仲裁器組件113，所述仲裁器組件113被示為在自動支持設施102內部互 連，但是其可以備選地實現為與網絡106進行通信的另一個計算機116。稍後將提供對仲裁 器組件113及其與相應計算機116的一個或多個代理組件202所進行的交互的細節。圖1所示的伺服器、計算機以及網絡組件的每一個都包括處理器和計算機可讀介 質。對於本領域技術人員而言公知的是，本發明的實施方式可以通過將多個功能合併到單 個計算機或是通過利用多個計算機來執行單一任務，來以多種方式進行配置。本發明實施方式所利用的處理器可以包括例如能夠進行如支持根據本發明的過 程中所必須的處理輸入、執行算法以及生成輸出的數字邏輯處理器。這種處理器可以包括 微處理器、ASIC以及狀態機。這種處理器包括例如存儲有當被處理器執行時會導致所述處 理器執行此處所描述的步驟的指令的計算機可讀介質的介質，或是能夠與其進行通信。計算機可讀介質的實施方式包括但不限於電子、光學、磁性或是其他能夠向處理 器(例如與觸敏輸入設備進行通信的處理器)提供計算機可讀指令的存儲器或是傳輸設 備。適合介質的其他例子包括但不限於軟盤、CD-ROM、磁碟、存儲晶片、ROM、RAM、ASIC、配 置處理器、所有光學介質、所有磁帶或是其他磁性介質、或是計算機處理器可以從該處讀取 指令的任何其他介質。同樣，各種其他形式的計算機可讀介質可以傳送或是攜帶指令到 計算機，包括路由器、專用網絡或公共網絡、或是其他有線或無線的傳送設備或信道。所述指令可能包括來自任何計算機程式語言，包括例如C、C++、Visual Basic, Java,以及
JavaScript。圖2複製自「956」申請，關於快照分析提供了附加的上下文。本領域的技術人員 可以理解，本發明的實施方式並不必須實現在此或是在「956」申請中所描述的同種快照分 析。另一方面，通過實現這種快照分析方法而實現的問題檢測粒度可以有助於進一步利用 此處所描述的問題矯正技術的益處。圖2是描述了與快照分析相關的信息流的框圖。如圖1所示，所示的實施方式包 括可以執行多種功能的代理組件202。首先，其響應於來自分析組件110的命令或是響應於 由代理組件202自身所檢測到的感興趣的事件，負責通過按照預定的時間間隔對客戶端計 算機116進行掃描來採集數據。如上所述的，所述掃描可能包括對所有系統文件、指定的應 用程序文件、註冊表、性能計數器、硬體配置、日誌、運行任務、服務、網絡連接以及其他相關 數據的詳細檢查。如上所述，掃描的結果可以被壓縮並且以快照的形式通過網絡傳送到收 集器組件108和/或相關聯的資料庫。在一個實施方式中，代理組件202讀取有待檢驗文件的每個字節，並且為每個文 件創建數字籤名或是散列。數字籤名標識出每個文件的確切內容，而不是僅僅提供例如大 小和創建日期的元數據。這一點尤為有用之處在於，一些傳統的病毒在試圖迷惑依賴於元 數據來進行病毒檢測的系統時，可能改變給定文件的文件頭部信息。因此，可能與本發明結 合實現的數字籤名方法仍然能夠成功地檢測這類病毒。由代理組件202對客戶端計算機116進行的掃描可以是資源敏感的。因此，在一 個實施方式中，完全掃描在用戶可能沒有使用客戶端機器的時間內周期性地(例如，每天) 執行。在另一實施方式中，代理組件202對客戶端機器執行增量掃描，其僅僅記錄從最後一 次掃描的改變。在又一實施方式中，由代理組件202進行的掃描按需執行，從而向試圖矯正 客戶端機器上的異常或是所報告的問題的技術人員或支持人員提供有價值的工具。代理組件202執行的第二個主要功能是行為阻止。例如，代理組件202可以持續 (或基本上持續)監測對例如系統文件和註冊表之類的關鍵系統資源的訪問，並且在適當 時有選擇地阻止對這些資源的實時訪問從而防止來自惡意軟體的損害。儘管行為監測以進 行中為基礎而發生，但行為阻止可以作為修復動作的一部分而被啟用。例如，當分析組件 110懷疑存在病毒時，可以下載修復動作，以導致客戶端通過代理組件202阻止病毒訪問被 管理系統內的關鍵信息資源。代理組件202執行的第三個功能是為「響應代理」提供執行環境。響應代理可以 是代理組件202能夠理解的命令，或者可以是更為全面的「移動軟體組件」，其實現自動過 程來解決各類困難情況。例如，如果分析組件110懷疑存在病毒，其可以下載響應代理來導 致代理組件202從被管理的系統中移除可疑代碼或數據。代理組件202可以作為被監測計 算機上的服務或是其他後臺處理而運行。由於本發明實施方式所提供的範圍和粒度，因此 可以較之於傳統系統更為精確地執行修復。代理組件202的又一個功能是響應於接收的響應代理(可能僅僅是命令或是消 息，而並非必然是可獨立執行的功能)，向例如仲裁器組件113發起以AssetRequest (資產 請求)消息開始的事件序列，並最終導致一個或多個供給方計算機向資產請求者(在此處 還被稱為「目標計算機」或「接受方」)分發特定數據，例如修正數據，該數據繼而被存儲在接受方中，以便替換或是被添加到該計算機上的現有數據中，從而矯正問題或異常。如圖2所進一步顯示的，本發明的一個實施方式可以包括如「956」申請中所述的 自適應參考模型組件206。所述自適應參考模型206用來分析來自多個計算機的快照，並且 利用通用數據挖掘算法或是為此目的而特別設計的專有數據挖掘算法來標識統計上顯著 的模式。一旦建立了參考，就可以利用一個或者多個樣本快照來確定在整個集合內或是任 意集合成員內是否發生了任何異常。策略模板組件208允許服務提供者手動地在自適應參考模型中插入形式為「策 略」的規則。策略是屬性(文件、註冊表鍵等)和值的組合，當其被應用於模型時，將覆蓋模 型中統計生成的信息的部分。這種機制可以用來自動化各種常見的維護行為，例如驗證是 否符合安全策略，以及檢查以確保已經安裝了適當的軟體更新。作為圖2信息流的一部分，進一步提供檢測模塊218，其被布置用來接收給定的若 幹快照，並且檢測快照中較之給定自適應參考模型所提供的「正常」模式而言的異常。如這 裡所使用的，「異常」可以被定義為意外出現的資產、意外缺失的資產或是具有未知值的資 產。可以對照識別過濾器216的庫通過診斷模塊210來對異常進行匹配。識別過濾器216 包括異常的特定模式，其指示存在特定的根本原因狀況或是通用類別的狀況。識別過濾器 216還可以將狀況與嚴重性指示、文本描述以及到響應代理的連結進行關聯。在另一實施 方式中，識別過濾器216可以用來標識並且解譯良性異常。例如，如果用戶添加了管理員相 信不會引起任何問題的新應用，根據本發明的系統仍然會將該新應用報告為一組異常。如 果應用是新的，則報告作為異常而添加的資產是正確的。但是，管理員可以利用識別過濾器 216來將由添加該應用而產生的異常解譯為良性。如果利用識別過濾器將異常匹配到已知的狀況，則可以知道問題的根本原因。利 用該信息，即故障狀況，響應模塊214連同響應代理庫212可以用來選擇適當的響應代理， 以返回到駐留在已經被標識為具有異常數據的計算機上的代理組件202。關於自適應參考 模型的研發和利用的進一步細節可以見諸「956」申請。總之，無論是否通過利用自適應參 考模型或一些其他手段，本申請的必要元素在於對於可能存在於給定(例如目標)計算機 上的特別異常的標識。至少有兩種主要普遍類別或是類型的異常特別適於本發明上下文中的矯正。首 先，可以存在當確定出計算機在遺漏數據(例如程序的不完全安裝、刪除的文件或註冊表 鍵)時發生的意外缺失(UA)異常。其次，可以存在當確定出特定數據有別於其原本應當取 值時發生的未知值(UV)異常(例如，文件被損壞或是註冊表鍵被修改)。通過本發明的實 施方式使得對這些類型的異常的矯正都成為可能。第三種異常，意外存在(UP)異常發生在 計算機包括有不應該在其中的數據時。對於這種異常的矯正涉及到刪除或是移除意外的數 據。圖3描繪了根據本發明實施方式的通過通信網絡106彼此進行通信的接受方或目 標計算機116c、供給方計算機116d (這兩個計算機的每一個都具有各自的代理組件202)以 及仲裁器組件113 (如前所述，其可以是網絡環境中的獨立計算機或是自動支持設施102中 的一部分)的簡化示意圖。仲裁器組件113在邏輯上放置在接受方計算機116c和一個或 多個供給方計算機116d之間。然而，從計算機網絡拓撲角度來看，仲裁器組件可以在物理 上實際放置在任何地方，只要接受方計算機116c和供給方計算機116d可以與仲裁器組件113通信即可。雖然仲裁器組件113在此被描述為獨立的功能單元，然而本領域的技術人員 可以理解，仲裁器組件113的功能可以位於客戶端計算機116自身的個體計算機上，儘管這 種配置可能消減較為集中的仲裁器機制所帶來的益處。一旦確定目標計算機116c需要修正數據來修正已經在目標計算機116c上檢測到 的異常，便啟動本發明的各方面。更具體地，並且如圖4所示，代理組件202被配置為一旦 確定需要特定資產(或是修正數據)來修正接受方計算機116c上的異常，即發送包含接受 方計算機116c所需資產的指示的AssetRequest消息401。關於修正所檢測到的異常需要 哪些資產的列表或描述，可以由自動支持設施102通過例如響應代理來提供。可選地，代理 組件202可以足夠複雜從而對異常進行自診斷，並且自行發起AssetRequest消息401。仲裁器組件113接收到AssetRequest消息401，並且定位包含接受方計算機所尋 求的資產或是修正數據的適當供給方計算機。可以通過詢問收集器組件108、分析組件110 以及資料庫組件112的任意組合來標識供給方計算機，因為這些可能負責首先標識異常的 組件也可以標識沒有這種異常並且因此適合供給所期望資產或是修正數據的客戶端計算 機。還可以基於供給方計算機準備好進行供給的個體資產的數量來選擇供給方計算機。選 擇供給方計算機的另一個要素是其物理位置。也就是說，希望選擇靠近接受方計算機的供 給方計算機，或是選擇雖然在物理上並不靠近但是本身非常自由或是作為足夠自由的網絡 的一部分從而較為容易對供給請求做出響應的供給方計算機。一旦選擇了供給方計算機， 仲裁器組件113向所選擇的供給方計算機發送DonationRequest (供給請求)消息402。所 述DonationRequest消息可以是所示的單一消息，或是可以包含多條消息，例如一條消息 針對每個被請求的個體資產。響應於DonationRequest消息402，所選擇的供給方計算機將一條或多條包含所 請求資產或是修正數據的AssetDonation (資產供給)消息403返回到接受方計算機。在一 個實施方式中，每個個體AssetDonation消息包含單個資產。然而，本領域的技術人員將會 理解，單個這種消息可能包括多個所請求的資產。在可替代的實施方式中，AssetDonation 消息403被回傳到仲裁器組件，其可以接著將消息轉發到接受方計算機，或是例如等待首 先遞送所有請求的資產，繼而生成包含所有所請求資產的單個消息並向接受方計算機發 回。一旦代理組件202接收到所請求的資產，並且可能內部確認了其存儲，接受方計 算機向仲裁器組件發送一條或多條AssetReceived (資產已接收)消息404，確認資產的接 收。在優選實施方式中，仲裁器組件113保持跟蹤未決供給請求，並且當其從接受方計算機 接收到資產接收消息時，將供給請求中的相應資產標記為已接收。當所有與給定DonationRequest相關聯的資產都已接收到，仲裁器組件113可以 從其維護的未決請求列表中移除DonationRequest。按照這種方法，針對資產的接受方計算 機請求得以滿足，而管理請求的責任則主要由仲裁器組件113來承擔。本領域的技術人員 將會理解，雖然仲裁器組件113被示為獨立的模塊，可選的是其功能可以被併入到例如分 析組件110或是整個系統中的其他組件內。非常有可能的是，單個供給方計算機可能沒有給定的接受方計算機所請求的 所有資產。從網絡開銷以及異常矯正管理的角度來看，優選的是仲裁器組件利用盡可 能少的DonationRequest消息來滿足來自接受方計算機的AssetRequest消息。然而，如果在單個供給方計算機中不能找到AssetRequest消息中所有的資產時，就會發送不 止一個DonationRequest消息以滿足請求。因此，如圖5所示，去往仲裁器組件133的 單個DonationRequest消息501可以產生被發送到相應供給方計算機的兩個獨立的 DonationRequest消息502a、502b。反之，供給方計算機向接受方計算機提供各自的 AssetDonation消息503a、503b。接著通過發送各自相應的AssetReceived消息504a、504b 來單獨確認資產供給，使得仲裁器組件113可以保持跟蹤未決以及滿足的資產請求。當仲裁器組件113不能找到針對被尋求的特定資產的供給方計算機時，優選地， 針對每個這種資產向接受方發送AssetRequestFailure (資產請求失敗)消息(未示出)。 響應於該消息，駐留在請求計算機上的代理組件202可以被配置為不作為，或是配置為與 分析組件110 (或其他組件)進行通信，以提供關於接受方計算機可能仍然需要給定的資產 而該資產可能無法輕易獲得的通知。還可以向系統管理員派發提示消息，指示無法執行接 受方計算機的全自動修補/修復，以及因此需要特別關注。圖6描繪出了根據本發明實施方式的另一個可能序列。在關注於將 DonationRequest消息的數量保持為最小的情況下，仲裁器組件113可以接收 AssetRequest消息，並且作為響應向第一供給方計算機(供給方1)發送DonationRequest 消息602。該供給方計算機可能接著通過DonationFailure (供給失敗)消息607做出響 應。這種消息可以因為供給方計算機確實沒有正在尋求的資產或是例如由於供給方計算機 正忙於其他不能打斷的處理而生成。DonationFailure的其他原因也是可能的。在接收到該DonationFailure消息607之後，仲裁器組件113可以接著向第二 不同供給方計算機(供給方2)發送DonationRequestRetry (供給請求重試)消息608。 這種「重試」消息可以採取與DonationRequest消息602相同的形式，或採取稍有不同的 形式以指示該請求的「重試」屬性。該DonationFailure和DonationRequestRetry序列 在需要時可以重複多次，以便最終定位能夠生成並且發送具有適當資產或是修正數據的 AssetDonation消息609的供給方計算機。在一個實施方式中，仲裁器組件113保持可能供給方的列表，在進一步失敗的情 況下將會按照列表順序來嘗試這些供給方。接受方計算機在接收或是存儲資產之後，優選地向仲裁器組件113發送 AssetReceived消息610，從而可以從仲裁器組件所維護的列表中移除該未決資產請求。如果用盡了 DonationRequestRetry中的所有可能供給方仍沒有成功，則優選地， 向請求接受方計算機發送AssetRequestFailurd資產請求失敗)(未示出)。下面是針對其可以執行根據本發明的矯正的損壞或是遺漏數據類型的幾個特別 示例。示例1 錯誤配置的垃圾郵件設置在本示例中，用戶錯誤地將其Microsoft Outlook 中的垃圾郵件保護級別設置 為「高」和「永久刪除」，這導致了一些有效郵件被標記為垃圾並且自動地被移除。這些應用 程序設置被存儲在註冊表鍵中。當檢查到對用戶機器的掃描與所認為的正常計算機狀態相 牴觸時，對應於該設置的鍵將被標識為具有未知值類型的異常，因為所述鍵的值與機器集 合中其餘的不同。例如，分析組件110知道正確值的籤名，並且在被發送到錯誤配置的計算 機的矯正消息中包括該信息。當目標機器接收到該矯正消息，其向仲裁器組件113請求正確註冊表鍵的供給。仲裁器組件113可以訪問包含所有機器內容的分析資料庫，其繼而定 位具有正確值的潛在供給方。仲裁器組件113接著將來自一個或多個所選擇供給方的正確 註冊表鍵供給整合到接受方。當錯誤配置的計算機接收到所供給的資產，其替換現存的資 產，並且Outlook 中的設置將被恢復為其初始值。更具體地，Microsoft Outlook 默認為將垃圾郵件移送到JunkE-Mail文件夾。 Junk E-Mail文件夾提供了在刪除垃圾郵件之前對其進行審查的能力。然而，有可能將 Outlook配置為僅僅刪除垃圾郵件，而不是將其移送到Jimk E-Mail文件夾。該選項導致了 一定程度的風險，因為有可能將合法的郵件標識為垃圾郵件並且刪除。控制該行為的註冊 表鍵在下面列出。註冊表鍵名稱hkcu\software\microsoft\windows nt\currentversion\ windowsmessagingsubsystem\profiles\outlook\0a0d020000000000c000000000000046註冊值名稱000b0416當該碼的值等於0000時，則Outlook 將疑似垃圾郵件移動到Junk E-Mail文件 夾，但是不會將其自動刪除。當該碼的值等於0100時，則Outlook 自動刪除疑似垃圾郵 件。如果在正常值為0000的環境下檢測到0100值，則0100值將被認知為未知值異常。該 異常將通過以下方式修復首先標識適當的供給方機器，繼而請求該供給方發送正確註冊 表鍵和值數據的副本。示例2 軟體更新失敗多數大型計算機網絡採用了某種類型的自動軟體/補丁安裝軟體，其在軟體更新 變為可用時向網絡上的計算機推送該軟體更新。遺憾的是，補丁安裝軟體的成功率並不是 100%，並且通常沒有良好的機制用於應對當安裝更新時所遇到的部分失敗，這可能致使機 器受損。一旦標識出補丁未加載或是失敗的動作，這種異常將會轉變為例如意外缺失或是 未知值異常。例如，由於分析組件110知道正確文件、碼、數據等的籤名，通過定位網絡上的 其他計算機中的這些項目的正確版本並且在接受方和供給方之間協調供給，本發明可以被 用來利用來自網絡上其他計算機的供給的文件/數據，如外科手術一樣對失敗的軟體安裝 進行修復。示例3 提示的安全性設置例如由軍方承包商或是醫學組織所使用的某些計算機網絡的所有計算機都必須 符合各種安全性標準。如果用戶改變了任何系統設置從而使計算機不符合所要求的標準， 負責的公司則有可能承擔重要責任。根據本發明，當確定以違反要求的方式配置了計算機 時，通過利用來自網絡上其他計算機的項目的資產供給，以及通過僅僅改變錯誤配置的項 目，需要被改變的特定設置自動地、如外科手術一樣地被修復，而所有這一切需要很少(甚 至不需要)人工幹預。如本領域技術人員能夠從前述的公開中所理解的，通過實現包括接受方計算機、 供給方計算機以及「中介」仲裁器組件的自動系統，提供了自修復的計算機網絡，其中計算 機可以供給已知為「良好」的資產來替換被管理的計算機網絡內其他計算機上的遺漏或是 損壞數據。在此所描述的系統和方法可以採用其他特別的形式來實施而不會背離其精神或
11是主要特徵。因此前述的實施方式在所有方面被視為示意性的而並不意味著構成限制。
權利要求
一種用於修正目標計算機中的異常的方法，其中所述目標算機是計算機網絡的部分，所述方法包括確定修正在目標計算機中標識的異常所需的修正數據，其中所述目標計算機是計算機網絡的部分；在所述網絡的多個計算機中定位供給方計算機，其中所述供給方計算機包括修正所述異常所需的所述修正數據；在所述目標計算機處從所述供給方計算機接收所述修正數據；以及利用所述修正數據來修正存儲在所述目標計算機上的數據中的所述異常。
2.根據權利要求1所述的方法，進一步包括從包括所述目標計算機在內的多個計算機接收相應的快照，其中所述快照之一包括具 有異常的數據；至少部分地基於所述相應的快照來創建自適應參考模型，其中所述自適應參考模型可 操作以標識所述相應的快照中在統計上顯著的模式；將所述快照中的至少一個與所述自適應參考模型進行比較；以及 基於所述比較來標識所述異常以及所述目標計算機。
3.根據權利要求1所述的方法，其中所述異常包括遺漏的文件、遺漏的數據或者文件 或遺漏數據的遺漏部分。
4.根據權利要求1所述的方法，其中所述異常包括遺漏的註冊表鍵。
5.根據權利要求1所述的方法，其中所述異常包括損壞的文件或者損壞的數據。
6.根據權利要求1所述的方法，其中所述異常包括損壞的註冊表鍵。
7.根據權利要求1所述的方法，進一步包括從目標計算機向仲裁器發送請求，所述請求針對所述修正數據。
8.根據權利要求7所述的方法，進一步包括從仲裁器向所述供給方計算機發送供給請求，所述供給請求針對所述修正數據。
9.根據權利要求8所述的方法，進一步包括當供給方計算機無法提供所述修正數據時，在仲裁器處從所述供給方計算機接收供給 請求失敗消息。
10.根據權利要求1所述的方法，其中定位供給方計算機的步驟包括確定所述供給方 計算機的物理位置。
11.根據權利要求1所述的方法，進一步包括從所述目標計算機中刪除數據。
12.一種用於修正存儲在計算機上的數據中的異常的系統，包括目標計算機，其在計算機網絡的多個計算機中，並且已經在其存儲的數據中檢測異常；仲裁器，配置用於從目標計算機接收針對資產的請求，所述資產一旦載入目標計算機 中即足以修正所述異常；以及至少一個供給方計算機，其從所述仲裁器接收供給請求，並且作為響應而向所述目標 計算機提供所請求的資產。
13.根據權利要求12所述的系統，進一步包括分析模塊，配置用於檢測並且標識存儲 在所述目標計算機上的數據中的異常。
14.根據權利要求13所述的系統，其中所述分析模塊操作用以從包括所述目標計算機的所述多個計算機接收相應的快照，其中至少一個所述快照包 括具有異常的數據；至少部分地基於所述快照來創建自適應參考模型，其中所述自適應參考模型可操作用 以標識所述快照中在統計上顯著的模式；將所述至少一個所述快照與所述自適應參考模型進行比較；以及 基於所述比較來標識異常以及目標計算機。
15.根據權利要求12所述的系統，其中所述仲裁器配置用於向多個供給方計算機發送 多個相應的供給請求。
16.根據權利要求12所述的系統，其中所述目標計算機配置用於確認資產的接收。
17.根據權利要求12所述的系統，其中所述仲裁器配置用於在向第一供給方計算機 的第一供給請求導致失敗時，向第二供給方計算機發送第二供給請求。
18.根據權利要求12所述的系統，其中所述目標計算機包括至少與所述仲裁器進行通 信的代理。
19.根據權利要求18所述的系統，其中所述目標計算機上的代理可操作用以與至少一 個供給方計算機上的代理進行通信。
20.根據權利要求12所述的系統，其中所述異常包括以下至少一個遺漏的文件、文件 的遺漏部分、遺漏的註冊表鍵、損壞的文件或是損壞的註冊表鍵。
21. 一種用於解決計算機中的異常的自動方法，所述計算機是計算機網絡的一部分，所 述方法包括從目標計算機接收資產請求，所述資產請求針對修正內容，所述修正內容將替換或增 加所述目標計算機上的數據，從而解決存儲在所述目標計算機上的所選擇數據中的先前標 識的異常；將所述資產請求轉換為供給請求，並且向至少一個供給方計算機發送所述供給請求；以及從所述目標計算機接收指示，其指示已經從所述供給方計算機接收到了所述資產。
22.根據權利要求21所述的方法，進一步包括從分析組件接收所述至少一個供給方 計算機的標識。
23.根據權利要求21所述的方法，進一步包括向多個供給方計算機發送多個供給請求。
24.根據權利要求23所述的方法，進一步包括保持跟未決的供給請求。
全文摘要
用於修正作為計算機網絡一部分的目標計算機中的異常的系統和方法。在存儲於目標計算機上的數據中檢測到異常，並且確定修正所述異常所需要的修正數據。定位具有修正數據的供給方計算機，並請求向目標計算機提供修正數據。所述修正數據被用來修正目標計算機上的異常，並且目標計算機可以確認所述修正數據的接收。在一個實施方式中，仲裁器組件接收針對修正數據的請求，將該請求傳遞到潛在的供給方計算機，並且從目標計算機接收確認。
文檔編號G06F11/00GK101918922SQ200880124332
公開日2010年12月15日 申請日期2008年11月5日 優先權日2008年1月8日
發明者D·E·胡克斯, M·N·奎恩 申請人:瑞厄姆芬特公司