一種基於系統告警機制的應用自保護工作模型的製作方法

2023-09-23 15:57:30 1

本發明涉及系統自保護領域，尤其涉及一種基於系統告警機制的應用自保護工作模型。

背景技術：

目前對系統自保護技術的研究，主要包括以下三個方面：硬體層面的系統自保護技術、作業系統層面的系統自保護技術、應用層面的系統自保護技術。

1.1硬體層面的系統自保護技術

基於硬體的系統自保護技術一般有以下兩類：自安全存儲設備、安全晶片技術。

1.1.1自安全存儲設備

防止入侵者進行諸如私自篡改或者永久刪除存儲數據這類攻擊行為是自安全存儲設備的主要目標。但是，由於用戶身份和作業系統身份可以被入侵者取得，所以，認為包括存儲器自身的由作業系統所控制的資源不可靠。作業系統所管理的資源中不包括自安全存儲設備，自安全存儲設備把作業系統以及用戶看作不可以信任的實體對象。

1.1.2安全晶片技術

安全晶片可認為是一種可信任平臺模塊，是一個可獨立進行密鑰生成、加解密的裝置，內部擁有獨立的處理器和存儲單元，可存儲密鑰和特徵數據，為電腦提供加密和安全認證服務。用安全晶片進行加密，密鑰被存儲在硬體中，被竊的數據無法解密，從而保護商業隱私和數據安全。

1.2作業系統層面的系統自保護技術

作業系統層面的自保護技術主要包括：安全作業系統和訪問控制技術。

1.2.1安全作業系統

安全作業系統是指計算機信息系統在自主訪問控制、強制訪問控制、標記、身份鑑別、客體重用、審計、數據完整性、隱蔽信道分析、可信路徑、可信恢復等十個方面滿足相應的安全技術要求。安全作業系統主要特徵：1、最小特權原則，即每個特權用戶只擁有能進行他工作的權力；2、自主訪問控制；強制訪問控制，包括保密性訪問控制和完整性訪問控制；3、安全審計；4、安全域隔離。只要有了這些最底層的安全功能，各種混為「應用軟體」的病毒、木馬程序、網絡入侵和人為非法操作才能被真正抵制，因為它們違背了作業系統的安全規則，也就失去了運行的基礎。然而，安全作業系統真正的市場化時間較短，在目前的技術條件下，安全性仍不容易讓人信服。

1.2.2訪問控制技術

傳統的訪問控制策略主要包括強制訪問控制策略(Mandatory Access Control，簡稱MAC)和自主訪問控制策略(Discretionary Access Control，簡稱DAC)

(1)MAC：強制訪問控制(Mandatory Access Control——MAC)，用於將系統中的信息分密級和類進行管理，以保證每個用戶只能訪問到那些被標明可以由他訪問的信息的一種訪問約束機制。通俗的來說，在強制訪問控制下，用戶(或其他主體)與文件(或其他客體)都被標記了固定的安全屬性(如安全級、訪問權限等)，在每次訪問發生時，系統檢測安全屬性以便確定一個用戶是否有權訪問該文件。

(2)DAC：自主訪問控制是由客體的屬主對自己的客體進行管理，由屬主自己決定是否將自己客體的訪問權或部分訪問權授予其他主體，這種控制方式是自主的，我們把它稱為自主訪問控制(Discretionary Access Control——DAC)。在自主訪問控制下，一個用戶可以自主選擇哪些用戶可以共享他的文件。

1.3應用層面的系統自保護技術

應用層面的系統自保護技術主要有反病毒軟體、沙盒(SandBox)技術等。

1.3.1反病毒軟體

反病毒軟體的種類很多，所採用的原理也不相同。當前一般的反病毒軟體根據病毒程序的特徵來採取防禦策略。掃描系統中的文件，把文件中是否含有病毒特徵碼作為查殺的根據。或者根據程序是否有某些行為，來判斷程序是否含有惡意。由於判斷的依據不充分，給反病毒軟體帶來缺陷。當前反病毒軟體有如下缺點：1)防禦滯後於災難的發生。2)反病毒軟體判斷不準，會錯誤的查殺非惡意的應用程式。3)反病毒軟體需要定期的升級，打補丁。

1.3.2沙盒技術

沙盒技術的基本思想是：「沙盒」技術發現可疑行為後讓程序繼續運行，當發現的確是病毒時才會終止。「沙盒」技術的實踐運用流程是：讓疑似病毒文件的可疑行為在虛擬的「沙盒」裡充分表演，「沙盒」會記下它的每一個動作；當疑似病毒充分暴露了其病毒屬性後，「沙盒」就會執行「回滾」機制：將病毒的痕跡和動作抹去，恢復系統到正常狀態。

基於硬體和基於作業系統的系統自保護技術依賴於硬體及作業系統自身的支持，從目前的硬體及作業系統市場來看，傳統知名產品較少提供系統自保護能力，而部分新產品雖然宣稱已集成部分系統自保護功能，但此類產品仍有待進一步成熟，難以滿足電力系統高安全性、可靠性的要求。

在基於應用系統的自保護技術方面，防病毒產品目前已較為成熟，但仍存在兩個問題難以解決，一是對各類Unix系統的支持能力不足，二是對電力監控系統本身的獨特需求支持不足，難以準確定位電力監控系統所需的進程及數據，可能出現誤殺或者漏防問題。沙盒技術目前應用範圍有限，主用用於瀏覽器、Java虛擬機等有「容器」的運行環境，而電力監控系統大多不具備此類環境。

技術實現要素：

本發明實施例提供了一種基於系統告警機制的應用自保護工作模型，解決了現有技術中基於硬體和基於作業系統的系統自保護技術依賴於硬體及作業系統自身的支持，難以滿足電力系統高安全性、可靠性的要求及基於應用系統的自保護技術對電力監控系統本身的獨特需求支持不足的技術問題。

本發明實施例提供的一種基於系統告警機制的應用自保護工作模型，包括：

定時告警模塊和後臺監控模塊；

定時告警模塊包括監控定時設置子模塊，用於配置系統定時告警功能；

定時告警模塊包括監控內容設置子模塊，用於根據系統運行配置對應的後臺監控函數；

後臺監控模塊包括系統性能子模塊，用於對系統佔用帶寬、內存、處理器資源等性能相關指標進行監控，並在系統性能出現異常時採取必要措施；

後臺監控模塊包括系統安全監控子模塊，用於對系統關鍵進程存活、重要數據完整性安全性指標進行監控，並在系統安全性出現異常時採取必要措施；

後臺監控模塊包括定時告警設置子模塊，用於調用定時告警模塊，使得後臺監控模塊所在進程能定時被激活。

可選地，定時告警模塊基於作業系統的定製告警應用程式接口進行應用。

可選地，定時告警模塊基於JAVA虛擬機提供的應用程式接口進行應用。

可選地，後臺監控模塊基於JAVA虛擬機提供的應用程式接口進行應用。

可選地，定時告警模塊及後臺監控模塊分別在繼承自Service類的自定義子類TimerService和繼承自BroadcastReceiver類的自定義子類MonitorAndControl中應用。

從以上技術方案可以看出，本發明實施例具有以下優點：

本發明實施例提供了一種基於系統告警機制的應用自保護工作模型，包括：定時告警模塊和後臺監控模塊；定時告警模塊包括監控定時設置子模塊，用於配置系統定時告警功能；定時告警模塊包括監控內容設置子模塊，用於根據系統運行需要配置合適的後臺監控函數；後臺監控模塊包括系統性能子模塊，用於對系統佔用帶寬、內存、處理器資源等性能相關指標進行監控，並在系統性能出現異常時採取必要措施；後臺監控模塊包括系統安全監控子模塊，用於對系統關鍵進程存活、重要數據完整性等安全性指標進行監控，並在系統安全性出現異常時採取必要措施，後臺監控模塊包括定時告警設置子模塊，用於調用定時告警模塊，保證後臺監控模塊所在進程能定時被激活，本發明實施例中通過基於電力監控作業系統的告警應用程式接口，設置了定時告警模塊和後臺監控模塊，定時告警模塊包括監控定時設置子模塊、監控內容設置子模塊，後臺監控模塊包括系統性能子模塊、系統安全監控子模塊，完全適應了電力系統監控安全防護的特點，此外定時告警模塊和後臺監控模塊可相互調用，且該調用關係難以被外界中斷，保證了應用系統的自保護監控功能實時運行，解決了現有技術中基於硬體和基於作業系統的系統自保護技術依賴於硬體及作業系統自身的支持，難以滿足電力系統高安全性、可靠性的要求及基於應用系統的自保護技術對電力監控系統本身的獨特需求支持不足的技術問題。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其它的附圖。

圖1為本發明實施例提供的一種基於系統告警機制的應用自保護工作模型結構示意圖；

圖2為本發明實施例提供的一種基於JAVA虛擬機的模型實現技術框架圖；

圖3為本發明實施例提供的MonitorAndControl類的關鍵代碼示意圖；

圖4為本發明實施例提供的TimerService類的關鍵代碼示意圖。

具體實施方式

本發明實施例提供了一種基於系統告警機制的應用自保護工作模型，用於解決現有技術中基於硬體和基於作業系統的系統自保護技術依賴於硬體及作業系統自身的支持，難以滿足電力系統高安全性、可靠性的要求及基於應用系統的自保護技術對電力監控系統本身的獨特需求支持不足的技術問題。

為使得本發明的發明目的、特徵、優點能夠更加的明顯和易懂，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，下面所描述的實施例僅僅是本發明一部分實施例，而非全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其它實施例，都屬於本發明保護的範圍。

請參閱圖1，本發明實施例提供的一種基於系統告警機制的應用自保護工作模型，包括：

定時告警模塊和後臺監控模塊；

定時告警模塊包括監控定時設置子模塊，用於配置系統定時告警功能；

定時告警模塊包括監控內容設置子模塊，用於根據系統運行配置對應的後臺監控函數；

後臺監控模塊包括系統性能子模塊，用於對系統佔用帶寬、內存、處理器資源等性能相關指標進行監控，並在系統性能出現異常時採取必要措施；

後臺監控模塊包括系統安全監控子模塊，用於對系統關鍵進程存活、重要數據完整性安全性指標進行監控，並在系統安全性出現異常時採取必要措施；

後臺監控模塊包括定時告警設置子模塊，用於調用定時告警模塊，使得後臺監控模塊所在進程能定時被激活。

可選地，定時告警模塊基於作業系統的定製告警應用程式接口進行應用。

可選地，定時告警模塊基於JAVA虛擬機提供的應用程式接口進行應用。

可選地，後臺監控模塊基於JAVA虛擬機提供的應用程式接口進行應用。

可選地，定時告警模塊及後臺監控模塊分別在繼承自Service類的自定義子類TimerService和繼承自BroadcastReceiver類的自定義子類MonitorAndControl中應用。

在該工作模型中，定時告警模塊和後臺監控模塊相互調用，且該調用關係難以被外界中斷，從而保證了應用系統的自保護監控功能實時運行，解決了傳統監控手段中監控進程本身遭到破壞從而導致應用系統自保護功能失敗的問題。本工作模型可作為應用系統自身的一個模塊，也可作為一套獨立的系統運行。

需要說明的是，基於系統告警機制的應用自保護工作模型實現方式根據作業系統本身提供的應用程式接口的差異而有所不同，本文使用了基於JAVA虛擬機提供的應用程式接口為例，介紹本工作模型的實現機制，並驗證該工作模型的自保護能力。

請參閱圖2，為基於JAVA虛擬機的模型實現技術框架圖。

在該技術框架中，定時告警模塊及後臺監控模塊分別在繼承自Service類的自定義子類TimerService和繼承自BroadcastReceiver類的自定義子類MonitorAndControl實例中實現。請參閱圖3，為MonitorAndControl類的關鍵代碼。請參閱圖4，為TimerService類的關鍵代碼。

經過實驗驗證，基於上述關鍵代碼實現的應用系統自保護模型，能夠有效保證後臺監控服務的持續運行，避免監控進程受到非預期中斷，只要在後臺監控模塊中針對業務需求實現性能監控及安全監控處理函數，該模型能為應用系統提供有效的自保護能力。

本發明實施例提供了一種基於系統告警機制的應用自保護工作模型，包括：定時告警模塊和後臺監控模塊；定時告警模塊包括監控定時設置子模塊，用於配置系統定時告警功能；定時告警模塊包括監控內容設置子模塊，用於根據系統運行需要配置合適的後臺監控函數；後臺監控模塊包括系統性能子模塊，用於對系統佔用帶寬、內存、處理器資源等性能相關指標進行監控，並在系統性能出現異常時採取必要措施；後臺監控模塊包括系統安全監控子模塊，用於對系統關鍵進程存活、重要數據完整性等安全性指標進行監控，並在系統安全性出現異常時採取必要措施，後臺監控模塊包括定時告警設置子模塊，用於調用定時告警模塊，保證後臺監控模塊所在進程能定時被激活，本發明實施例中通過基於電力監控作業系統的告警應用程式接口，設置了定時告警模塊和後臺監控模塊，定時告警模塊包括監控定時設置子模塊、監控內容設置子模塊，後臺監控模塊包括系統性能子模塊、系統安全監控子模塊，完全適應了電力系統監控安全防護的特點，此外定時告警模塊和後臺監控模塊可相互調用，且該調用關係難以被外界中斷，保證了應用系統的自保護監控功能實時運行，解決了現有技術中基於硬體和基於作業系統的系統自保護技術依賴於硬體及作業系統自身的支持，難以滿足電力系統高安全性、可靠性的要求及基於應用系統的自保護技術對電力監控系統本身的獨特需求支持不足的技術問題。

所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統，裝置和單元的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。

在本申請所提供的幾個實施例中，應該理解到，所揭露的系統，裝置和方法，可以通過其它的方式實現。例如，以上所描述的裝置實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現時可以有另外的劃分方式，例如多個單元或組件可以結合或者可以集成到另一個系統，或一些特徵可以忽略，或不執行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位於一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。

另外，在本發明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現，也可以採用軟體功能單元的形式實現。

所述集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時，可以存儲在一個計算機可讀取存儲介質中。基於這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來，該計算機軟體產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，伺服器，或者網絡設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括：U盤、移動硬碟、只讀存儲器(ROM，Read-Only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁碟或者光碟等各種可以存儲程序代碼的介質。

以上所述，以上實施例僅用以說明本發明的技術方案，而非對其限制；儘管參照前述實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解：其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分技術特徵進行等同替換；而這些修改或者替換，並不使相應技術方案的本質脫離本發明各實施例技術方案的精神和範圍。