专利名称:计算机自防御系统及方法
技术领域:
本发明涉及一种计算机系统及运行方法,特别是涉及一种用于计算机的自防御系统及自防御方法。
背景技术:
随着网络技术的发展,越来越多的人通过互联网获取、分享各种信息,即时通讯、 电子商务、电子银行、电子政务、电子媒体、远程教育、电子邮件等各种互联网应用已经逐渐渗入了人们生活的方方面面。但另一方面,互联网今天已经进入了以“未知攻击主流化”、 “网军多国化”和“黑客产业化”为主要特征的网络战时代,互联网上的各种服务器受到空前的网络威胁。各种服务器都存在着自身的安全漏洞,如当前广泛使用的第二代Web服务器直接贯通着内网数据库和互联网,其中的web原文件均为可读可写的平文且无监管,黑客可以利用这些漏洞,通过篡改关键数据、植入木马、盗取密码等各种手段,盗取服务器中的关键信息,严重时会导致网络服务器瘫痪。针对网络中的各种攻击、病毒,市面上已有大量的安全产品,比如防火墙、WAF(Web 应用防火墙)、IPS、IDS等,但是,这些安全产品作为服务器的“周边安全产品”,一方面需要单独配置,额外增加了成本,另一方面其实现原理基本上是基于已知攻击的“攻击特征值” 而进行阻挡、过滤、删除等操作,而对于未知攻击,并不能够识别并采取相应的策略,阻拦不住,存在着重大的安全漏洞。因此,单纯使用周边安全产品,无论使用多少,服务器仍有可能被入侵。例如,到2011年,中国超过80%的网站都发生了挂码(黑客把木马病毒挂到他人网站的犯罪行为)(塞迪)。在现实中,尽管使用了大量的周边安全产品,仍发生了大量的被攻击、被入侵、被利用散发病毒和散发虚假信息、客户信息被偷盗等各种各样的网络犯罪事件。另外,现在的服务器系统管理员任务艰巨,不仅需要全天M小时轮班倒工作,而且技术要求也很高,当服务器被攻击至异常运行甚至瘫痪时需要快速定位并及时解决,以恢复服务器的正常运行,降低损失。由于当前的各种周边安全产品不能防御愈演愈烈的“未知攻击”,因此,包括比尔盖茨和美国西门铁克的董事长在内的各位安全专家们嘲讽了周边安全产品的理念和技术的陈旧性“城堡式的防御是中世纪的”。现在,各国专家们都在寻找可以防御未知攻击的方法,以避免复杂的网络环境对服务器造成的损害,从而降低用户的损失。“自我防御(klf-Defending)”是一种可以有效地防御“未知攻击”的下一代安全技术。因为它追求的目标是不管黑客使用任何攻击方法,无论是已知攻击,还是未知攻击, 入侵到了计算机内部,探讨的问题是我们如何可以确保计算机继续工作,从而可以摆脱对攻击特征值的依赖。问题是,如何在计算机里实现自我防御机制?美国思科公司从9年前就开始研究“自防御网络Gelf-Defending Network) ”,但至今仍在探索中。科学家们注意到,在自然世界里尽管充满了各种病毒和已知/未知攻击,人类一生中虽然可能多次生病受伤,但仍然可以在严酷的自然世界里长期存活、繁衍进化,这是因为人体里存在着一套“生物自我防御”机制,包括“皮肤”、“免疫”、“自我治愈”、“神经监测” 和“淋巴系统”等多道防线,帮助抵御各种入侵和伤害。而计算机里由于没有这样的系统, 所以抵抗不了任何入侵,无法在充满威胁的互联网世界里长期运行。
发明内容
鉴于上述原因,本发明的目的在于提供一种能够有效防御来自互联网等外部环境的各种攻击,特别是未知攻击的计算机自防御系统及自防御方法,本发明系统及方法使得计算机今后可以在日益险恶的互联网环境里长期地工作,就像人类可以在严酷的自然界里长期存活一样。为达到上述目的,本发明采用以下技术方案一种计算机自防御系统,其特征在于它包括隔离区计算机及无菌区计算机,其中该隔离区计算机包括镜像数据存储模块、检测对比模块、自治愈修复模块;该无菌区计算机包括原始数据存储模块、数字免疫模块;用于存储原始数据的该原始数据存储模块将存储的原始数据经过该数字免疫模块变成镜像数据后发送并存储在该隔离区计算机中用于存储镜像数据的该镜像数据存储模块内;该检测对比模块根据客户端发出的请求而从该镜像数据存储模块内提取与该请求对应的镜像数据,对提取的该镜像数据进行认证检测,当认证检测结果为该镜像数据未被篡改时,该镜像数据进行相应处理后响应给客户端,当认证检测结果为该镜像数据被篡改时,该检测对比模块向该自治愈修复模块发出修复指令,该自治愈修复模块向该无菌区计算机发出修复请求,以使该原始数据存储模块将与该被篡改的镜像数据对应的原始数据经由该数字免疫模块变成镜像数据后存储在该镜像数据存储模块内而替换该被篡改的镜像数据,完成对该被篡改的镜像数据的修复,并将修复后的该镜像数据进行相应处理后响应给客户端。所述数字免疫模块包括格式变换单元和认证单元,所述原始数据存储模块中的原始数据经由该格式变换单元进行格式变换、该认证单元认证后变成镜像数据,以存储在所述镜像数据存储模块内。所述检测对比模块包括认证特征值计算单元和比较单元,当对从所述镜像数据存储模块内提取的与该客户端发出的请求对应的镜像数据进行认证检测时, 该认证特征值计算单元对该镜像数据中的存储数据计算认证特征值并发送给该比较单元, 由该比较单元对该镜像数据本身带有的认证特征值与计算出的该认证特征值进行异同比较。一种基于计算机自防御系统实现的自防御方法,其特征在于该方法包括所述隔离区计算机中的检测对比模块根据客户端发出的请求,从所述镜像数据存储模块中提取出与该请求对应的镜像数据,对提取出的该镜像数据进行认证检测,判断该镜像数据是否被篡改若认证检测结果为该镜像数据未被篡改,则该镜像数据进行相应处理后响应给客户端;若认证检测结果为该镜像数据被篡改,则所述检测对比模块向所述自治愈修复模块发出修复指令,所述自治愈修复模块向所述无菌区计算机发出修复请求,使所述原始数据存储模块将与该被篡改的镜像数据对应的原始数据经由所述数字免疫模块变成镜像数据后存储在所述镜像数据存储模块内而替换该被篡改的镜像数据,完成对该被篡改的镜像数据的修复,并将修复后的该镜像数据进行相应处理后响应给客户端。另一种基于计算机自防御系统实现的自防御方法,其特征在于该方法包括所述隔离区计算机中的检测对比模块根据客户端发出的请求,从所述镜像数据存储模块中提取出与该请求对应的镜像数据,对提取出的该镜像数据进行认证检测,该认证检测为通过认证算法对该镜像数据中的存储数据计算出认证特征值,将该认证特征值与该镜像数据中本身带有的认证特征值进行比较若计算出的认证特征值与该镜像数据中本身带有的认证特征值相同,则认为该镜像数据未被篡改,该镜像数据进行相应处理后响应给客户端;若计算出的认证特征值与该镜像数据中本身带有的认证特征值不同,则认为该镜像数据被篡改,所述检测对比模块向所述自治愈修复模块发出修复指令,所述自治愈修复模块向所述无菌区计算机发出修复请求,使所述原始数据存储模块将与该被篡改的镜像数据对应的原始数据经由所述格式变换单元进行格式变换、所述认证单元认证后变成镜像数据,然后存储在所述镜像数据存储模块内而替换该被篡改的镜像数据,完成对该被篡改的镜像数据的修复,并将修复后的该镜像数据进行相应处理后响应给客户端。本发明的优点在于1)将原始数据和免疫生成处理后与原始数据对应的镜像数据分别存储在物理隔离的无菌区计算机、隔离区计算机内,隔离区计算机用于对客户端请求进行直接响应,而无需无菌区计算机作出响应,因此,含有关键数据的原始数据被隔离保护起来,避免了黑客对原始数据的直接操作。2)本发明自防御系统可对黑客发出的已知攻击和未知攻击进行防御。通过在隔离区计算机内或外设置诸如防火墙等数字皮肤装置,能够有效地拦截大部分已知攻击;对未能拦截住的少数已知攻击和未知攻击,可通过本发明自防御系统中的数字免疫模块、检测对比模块等模块的设计来阻止其对隔离区计算机的入侵。在实际应用本发明时,黑客最多只能入侵到隔离区计算机,无菌区计算机内是无法进入的。在隔离区计算机中的镜像数据存储模块内存储的镜像数据是通过对无菌区计算机内原始数据存储模块中存储的原始数据进行格式变换、认证后得到的,而非平文的原始数据,即使黑客获取到该镜像数据,也会因镜像数据显示的内容与其对应的原始数据的内容已完全不同而无从下手,即使黑客对镜像数据中的存储数据有所篡改,由于当存储数据被黑客篡改,发生变化后,由变化的存储数据计算出的认证特征值与该镜像数据中本身带有的认证特征值相比,必定会不同,因此,检测对比模块会通过判断认证特征值异同的方式识别出镜像数据被篡改并对被篡改的镜像数据进行自我修复,从而有效地阻止了黑客对镜像数据的篡改,确保了客户端发出的正常请求能够得到正确的回应。若黑客对镜像数据中的认证特征值进行了篡改,则不论其内的存储数据是否被篡改,篡改的该认证特征值也不会与由其内的存储数据计算出的认证特征值相同。在实际中,黑客可通过网页篡改、缓冲区溢出、零日攻击、SQL注入、蠕虫等多种攻击方法对镜像数据进行篡改,攻击包括已知和未知攻击。3)在本发明中,神经监测模块定时监测隔离区计算机,特别是镜像数据存储模块, 是否正常,比如不能响应客户端的正常请求等,当发现异常时,即会启动报警单元,及时通知管理者,既降低了管理者的劳动强度,也降低了对其的技术要求,大大降低了维护成本。4)通过对计算机自身构建本发明自防御系统,不仅减少了用户对外围安全产品的盲目使用,而且对管理者的要求大大减低,节省了成本,更重要的是能够防御各种已知、未知攻击,有效地避免计算机受到任何侵害。本发明计算机自防御系统及方法可以应用于各种类型的服务器和电脑,比如web服务器、DNS服务器、邮件服务器、个人电脑、手机、ipad 等。对于应用本发明系统及方法的DNS服务器,可将其称为“生物自防御域名服务器”。对于应用本发明系统及方法的电子邮件服务器(email server),可将其称为“生物自防御电子邮件服务器”。5)本发明系统及方法将人类身体里存在的生物自防御机能原理在计算机里得以实现,可以有效地防御任何攻击,特别是未知攻击,通过本发明系统及方法的使用,计算机将可以长期、健壮地运行在日益险恶的互联网世界里,如同人类可以长期地存活在严酷的自然世界里一样。
图1是本发明自防御系统的第一实施例的组成示意图;图2是本发明自防御系统的第二实施例的组成示意图;图3是基于本发明自防御系统的第一实施例实现的本发明自防御方法的流程示意图;图4是本发明应用于web服务器的具体实施例示意图。
具体实施例方式下面结合附图和实施例对本发明作进一步详细的说明。如图1所示,设置在计算机5内的本发明计算机自防御系统包括隔离区计算机2 及无菌区计算机4,其中该隔离区计算机2包括镜像数据存储模块21、检测对比模块22、自治愈修复模块 23 ;该无菌区计算机4包括原始数据存储模块41、数字免疫模块42 ;用于存储原始数据的该原始数据存储模块41将存储的原始数据经过该数字免疫模块42变成镜像数据后发送并存储在该隔离区计算机2中用于存储镜像数据的该镜像数据存储模块21内,以待客户端的请求;该检测对比模块22根据客户端发出的请求而从该镜像数据存储模块21内提取与该请求对应的镜像数据,对提取的该镜像数据进行认证检测,当认证检测结果为该镜像数据未被篡改时,该镜像数据进行相应处理后响应给客户端,例如,该检测对比模块22通知隔离区计算机2的格式反变换模块(图中未示出)将该镜像数据复原成原始数据,并经由隔离区计算机2的主功能模块(图中未示出)将该原始数据直接响应给客户端或将执行该原始数据后得到的执行结果响应给客户端,当认证检测结果为该镜像数据被篡改(例如被病毒篡改等)时,该检测对比模块22向该自治愈修复模块23发出修复指令,该自治愈修复模块23向该无菌区计算机4的主功能模块(图中未示出)发出修复请求(该修复请求需经数字淋巴装置44进行过滤处理),以使该主功能模块通知该原始数据存储模块41将与该被篡改的镜像数据对应的原始数据经由该数字免疫模块42变成镜像数据后存储在该镜像数据存储模块21内而替换该被篡改的镜像数据,完成对该被篡改的镜像数据的修复(实现自我治愈过程),并将修复后的该镜像数据(指替换该被篡改的镜像数据的镜像数据)进行相应处理后响应给客户端,例如,将修复后的该镜像数据经由格式反变换模块复原成原始数据,经由隔离区计算机2的主功能模块将该原始数据直接响应给客户端或将执行该原始数据后得到的执行结果响应给客户端。在实际中,客户端发出的请求是向计算机5请求某一或某些原始数据的请求,该请求可能是无攻击的正常请求,也可能是已知或未知攻击。如图2所示,该数字免疫模块42可包括格式变换单元421和认证单元422,原始数据存储模块41中的原始数据经由该格式变换单元421进行格式变换、该认证单元422认证后变成镜像数据,以存储在镜像数据存储模块21内。实际中,格式变换处理可为加密处理等,认证单元422的认证算法可为Hash算法等。如图2所示,该检测对比模块22可包括认证特征值计算单元221和比较单元222, 当对从镜像数据存储模块21内提取的与该客户端发出的请求对应的镜像数据进行认证检测时,该认证特征值计算单元221对该镜像数据中的存储数据通过认证算法计算认证特征值并发送给该比较单元222,由该比较单元222对该镜像数据本身带有的认证特征值与计算出的该认证特征值进行异同比较若两个认证特征值相同,则认证检测结果为该镜像数据未被篡改,反之,则认证检测结果为该镜像数据被篡改。需要说明的是,镜像数据由认证特征值和存储数据两部分构成,认证特征值可放于存储数据之前或之后等位置。在本发明中,无菌区计算机4将原始数据取出后进行格式变换及认证处理,有效防止了黑客通过各种手段试图获取信息或是篡改原始数据。这是由于,数据格式变换后,即使获取到也是不可识别的乱码,黑客极难、甚至无法得到想要的信息;在此基础上,再通过认证,即利用认证算法计算出原始数据的认证特征值并将该认证特征值添加在该格式变换后得到的数据中(例如放置在数据头部、尾部等位置),且使得认证特征值与原始数据唯一的一一对应,这样,即使黑客篡改了镜像数据,该镜像数据所对应的认证特征值便会改变, 检测对比模块22即会识别出该镜像数据已被篡改,从而被篡改的镜像数据被及时进行修复,以保障向正常请求响应正确的原始数据。在实际中,该格式反变换是与该格式变换单元421所做的格式变换操作相反的操作。 如图1和图2,无菌区计算机4可包括神经监测模块43,该神经监测模块43可包括监测单元431和报警单元432 ;该监测单元431定时监测隔离区计算机2的工作状态,若监测到异常,则该监测单元431启动该报警单元432报警,另外,当检测对比模块22根据客户端发出的请求而从镜像数据存储模块21内提取与该请求对应的镜像数据,对提取的该镜像数据进行认证检测,且认证检测结果为镜像数据被篡改时,检测对比模块22也会启动报警单元432报警。在实际应用中,报警单元432可通过手机短信、邮件等方式通知管理者, 也可通过自动报警方式(如振铃或其他形式)通知管理者。这样,通过报警单元432的即时报警,管理者无需全天候看守隔离区计算机2,即使出了问题,也无需耗费大量精力进行错误定位,只需启动自治愈修复模块23进行修复即可,降低了管理者的劳动强度,也降低了对管理者的技术要求,从而大大降低了计算机的维护成本。在实际中,对于服务器而言,
8上述管理者指系统管理员。如图1和图2,在实际应用中,隔离区计算机2内设有数字皮肤装置24,隔离区计算机2与互联网连接,用于直接响应客户端的请求,无菌区计算机4内设有数字淋巴装置 44,无菌区计算机4直接与内网或数据库连接,用于存放内网中含有关键信息的原始数据, 仅计算机自身管理者有管理权限。当然,在实际设计时,数字皮肤装置M也可设置在隔离区计算机2外,位于隔离区计算机2与互联网之间,数字淋巴装置44也可设置在无菌区计算机4外,位于隔离区计算机2与无菌区计算机4之间。该数字皮肤装置M可为防火墙和应用防火墙,用于拦截外网中大部分已知攻击。数字淋巴装置44可为防火墙,进一步保护无菌区计算机4不被侵害。这样,一方面,隔离区计算机2可以实现计算机的基本功能,另一方面,无菌区计算机4可以通过隔离区计算机2及数字淋巴装置44与外网相互隔离,有效地保护内网或数据库中的原始数据。针对图1所示的自防御系统(有无神经监测模块43均可),本发明提出了一种自防御方法,该方法包括当客户端发起请求时,客户端发出的请求到达数字皮肤装置对,数字皮肤装置M 通过端口检查或特征检测等方法检查请求是否为攻击,若是,则进行阻挡、过滤或删除操作,反之,则放行并交由隔离区计算机2内部处理;隔离区计算机2中的检测对比模块22根据客户端发出的请求中请求的内容,从镜像数据存储模块21中提取出与该请求对应的镜像数据,对提取出的该镜像数据进行认证检测,判断该镜像数据是否被篡改若认证检测结果为该镜像数据未被篡改,则该镜像数据进行相应处理后响应给客户端,例如,该检测对比模块22通知隔离区计算机2的格式反变换模块(图中未示出)将该镜像数据复原成原始数据,并经由隔离区计算机2的主功能模块(图中未示出)将该原始数据直接响应给客户端或将执行该原始数据后得到的执行结果响应给客户端;若认证检测结果为该镜像数据被篡改,则检测对比模块22向自治愈修复模块23发出修复指令,自治愈修复模块23向无菌区计算机4的主功能模块发出修复请求(该请求需经数字淋巴装置44过滤处理),使该主功能模块通知原始数据存储模块41将与该被篡改的镜像数据对应的原始数据经由数字免疫模块进行免疫生成处理、变成镜像数据后存储在镜像数据存储模块21内而替换该被篡改的镜像数据,完成对该被篡改的镜像数据的修复,并将修复后的该镜像数据(指替换该被篡改的镜像数据的镜像数据)进行相应处理后响应给客户端,例如,将修复后的该镜像数据经由格式反变换模块复原成原始数据,经由隔离区计算机2的主功能模块将该原始数据直接响应给客户端或将执行该原始数据后得到的执行结果响应给客户端。针对图2所示的自防御系统(有无神经监测模块43均可),本发明也提出了一种自防御方法,该方法包括当客户端发起请求时,客户端发出的请求到达数字皮肤装置对,数字皮肤装置M 通过端口检查或特征检测等方法检查请求是否为攻击,若是,则进行阻挡、过滤或删除操作,反之,则放行并交由隔离区计算机2内部处理;隔离区计算机2中的检测对比模块22根据客户端发出的请求中请求的内容,从镜像数据存储模块21中提取出与该请求对应的镜像数据,对提取出的该镜像数据进行认证检测,该认证检测为通过认证算法对该镜像数据中的存储数据计算出认证特征值,将该认证特征值与该镜像数据中本身带有的认证特征值进行比较若计算出的认证特征值与该镜像数据中本身带有的认证特征值相同,则认为该镜像数据未被篡改,该镜像数据进行相应处理后响应给客户端,例如,该检测对比模块22通知隔离区计算机2的格式反变换模块 (图中未示出)将该镜像数据复原成原始数据,并经由隔离区计算机2的主功能模块(图中未示出)将该原始数据直接响应给客户端或将执行该原始数据后得到的执行结果响应给客户端;若计算出的认证特征值与该镜像数据中本身带有的认证特征值不同,则认为该镜像数据被篡改,检测对比模块22向自治愈修复模块23发出修复指令,自治愈修复模块23 向无菌区计算机4的主功能模块发出修复请求(该请求需经数字淋巴装置44过滤处理), 使该主功能模块通知原始数据存储模块41将与该被篡改的镜像数据对应的原始数据经由格式变换单元421进行格式变换、认证单元422认证(免疫生成处理)后变成镜像数据,然后存储在镜像数据存储模块21内而替换该被篡改的镜像数据,完成对该被篡改的镜像数据的修复,并将修复后的该镜像数据(指替换该被篡改的镜像数据的镜像数据)进行相应处理后响应给客户端,例如,将修复后的该镜像数据经由格式反变换模块复原成原始数据, 经由隔离区计算机2的主功能模块将该原始数据直接响应给客户端或将执行该原始数据后得到的执行结果响应给客户端。认证单元422的认证是通过认证算法计算出原始数据的认证特征值,然后将该认证特征值添加到经过格式变换单元421进行格式变换后得到的数据中(例如头部、尾部等位置),以变成镜像数据。一个认证特征值唯一对应一个原始数据,以用于监测原始数据的改变。对于图1和图2所示的自防御系统,若无菌区计算机4内设有神经监测模块43,且该神经监测模块43包括监测单元431和报警单元432,则该监测单元431定时监测隔离区计算机2的工作状态,若监测到异常,则该监测单元启动该报警单元432报警。并且,当检测对比模块22根据客户端发出的请求而从镜像数据存储模块21内提取与该请求对应的镜像数据,对提取的该镜像数据进行认证检测,且认证检测结果为镜像数据被篡改时,检测对比模块22也要启动报警单元432报警。综上所述,本发明计算机自防御系统及自防御方法可以近似比拟成人体的生物自我防御系统。第一,数字皮肤装置M识别和阻拦多数已知攻击,如网页篡改、缓冲区溢出、 SQL注入、蠕虫等,因此,该数字皮肤装置M相当于人体的“皮肤”,可以抵挡住日常生活中遇到的大部分细菌,防止细菌侵入人体;第二,存储着原始数据的无菌区计算机4与隔离区计算机2通过数字淋巴装置44进一步隔离开来,将攻击进一步阻断,抵御入侵者对无菌区计算机4内部的攻击,因此,该数字淋巴装置44相当于人体的“淋巴系统”;第三,原始数据通过数字免疫模块42进行格式变换、认证处理后才存储在隔离区计算机2内,只由隔离区计算机2响应客户端的请求,而格式变换、认证处理后得到的镜像数据与原始数据的内容已完全不同,攻击者无从下手,因此,格式变换和认证处理相当于生成免疫力的免疫生成处理,数字免疫模块42相当于人体的“免疫系统”,即使有细菌入侵体内,也可以有效阻挡细菌对身体的伤害;第四,无菌区计算机4中的神经监测模块43定时监测隔离区计算机2,以确定其是否正常运行,一旦检测到异常就启动报警单元,以及时通知管理者进行相应处理, 因此,该神经监测模块43相当于人体的“神经监测系统”,随时监测着人体的健康状况;第五,当认证检测到客户请求的原始数据被篡改时,自治愈修复模块23就会向无菌区计算机4请求干净的原始数据,以修复被篡改的镜像数据,因此,该自治愈修复模块23相当于人体的“自我治愈系统”,对于头疼感冒等症状经过一定时间即可自行恢复至健康状态。由此可见,本发明正是根据人体的生物自我防御系统的自我防御原理,将计算机5 内部的关键数据保护起来,首先使黑客不易对关键数据进行篡改,其次,一旦有黑客篡改获取关键数据,计算机5内的自防御系统便会有效识别出并自我恢复,免受侵害。本发明计算机自防御系统及方法可以应用于各种类型的服务器和电脑,比如web 服务器、DNS服务器、邮件服务器、个人电脑、手机、ipad等。图4为本发明应用于web服务器的具体实施例示意图。如图4,web服务器中设有隔离区计算机和无菌区计算机,,该隔离区计算机内设有应用防火墙、防火墙,隔离区计算机通过路由器与互联网连接,用于响应客户端的请求,无菌区计算机内设有防火墙,无菌区计算机内存储有web静态文件(如html、jpg、mp3文件等)、web动态文件(如php、perl、 shell脚本等)等,无菌区计算机内还可设置有数据库等,无菌区计算机与内网直接连接, 由系统管理员管理,隔离区计算机内存储着经过格式变换、认证处理后的web静态文件及 web动态文件等。当黑客、攻击者通过互联网试图窃取篡改web服务器中的关键数据时,比如篡改 html文件,以期望显示其想要的显示内容,又比如篡改脚本文件,以期望执行某些木马程序来获取用户资料等。首先,黑客、攻击者会遇到千兆级防火墙和应用防火墙,通过配置防火墙,可以过滤http、https协议报文,自动封闭黑客、攻击者的IP地址,同时防御应用层攻击和网络/系统层的攻击,但是,对于未能过滤掉的未知攻击和少数已知攻击,其可访问到隔离区计算机内部。其次,对于入侵到隔离区计算机内部的已知和未知攻击,黑客、攻击者可获取到某些数据,但是,一方面这些数据都是经过格式变换的,比如经过了加密处理,这些数据呈现出的是乱码,黑客、攻击者还是不能够获取到有用的信息,另一方面,即使强行篡改了数据,当客户端请求该数据时,隔离区计算机也会做出认证检测操作,当发现该数据被篡改过时,随即向无菌区计算机请求干净的原始数据,将该被篡改的数据替换为干净的数据,完成修复,从而使得客户端得到的数据永远是干净的数据。与此同时,无菌区计算机还定时地扫描监测隔离区计算机是否运行正常。比如,当黑客通过泛洪攻击等手段占满了内存,而使得正常的客户端请求无法得到响应时,可被及时发现,然后及时地向系统管理员报警,系统管理员就可以有针对性地通过删掉被攻击的数据或是重新启动等方式来对系统进行修复。当本发明自防御系统应用于DNS服务器时,无菌区计算机内存储着域名与IP地址对照表,该对照表经过格式变换、认证后发送至隔离区计算机,用于响应客户的DNS请求。 当黑客试图篡改该对照表,以使某网站的域名不能正确解释而造成该网站不可访问时,同样可以通过“皮肤”、“淋巴系统”、“免疫系统”、“神经监测系统”、“自我治愈系统”构成的本发明自防御系统及方法来阻止任何企图对原始数据的篡改。在本发明中,认证算法、格式变换单元的格式变换方法、格式反变换模块及其格式反变换方法、隔离区计算机2的主功能模块、无菌区计算机4的主功能模块等均为公知技术,不再在这里赘述。本发明的优点在于1)将原始数据和免疫生成处理后与原始数据对应的镜像数据分别存储在物理隔离的无菌区计算机、隔离区计算机内,隔离区计算机用于对客户端请求进行直接响应,而无需无菌区计算机作出响应,因此,含有关键数据的原始数据被隔离保护起来,避免了黑客对原始数据的直接操作。2)本发明自防御系统可对黑客发出的已知攻击和未知攻击进行防御。通过在隔离区计算机内或外设置诸如防火墙等数字皮肤装置,能够有效地拦截大部分已知攻击;对未能拦截住的少数已知攻击和未知攻击,可通过本发明自防御系统中的数字免疫模块、检测对比模块等模块的设计来阻止其对隔离区计算机的入侵。在实际应用本发明时,黑客最多只能入侵到隔离区计算机,无菌区计算机内是无法进入的。在隔离区计算机中的镜像数据存储模块内存储的镜像数据是通过对无菌区计算机内原始数据存储模块中存储的原始数据进行格式变换、认证后得到的,而非平文的原始数据,即使黑客获取到该镜像数据,也会因镜像数据显示的内容与其对应的原始数据的内容已完全不同而无从下手,即使黑客对镜像数据中的存储数据有所篡改,由于当存储数据被黑客篡改,发生变化后,由变化的存储数据计算出的认证特征值与该镜像数据中本身带有的认证特征值相比,必定会不同,因此,检测对比模块会通过判断认证特征值异同的方式识别出镜像数据被篡改并对被篡改的镜像数据进行自我修复,从而有效地阻止了黑客对镜像数据的篡改,确保了客户端发出的正常请求能够得到正确的回应。若黑客对镜像数据中的认证特征值进行了篡改,则不论其内的存储数据是否被篡改,篡改的该认证特征值也不会与由其内的存储数据计算出的认证特征值相同。在实际中,黑客可通过网页篡改、缓冲区溢出、零日攻击、SQL注入、蠕虫等多种攻击方法对镜像数据进行篡改,攻击包括已知和未知攻击。3)在本发明中,神经监测模块定时监测隔离区计算机,特别是镜像数据存储模块, 是否正常,比如不能响应客户端的正常请求等,当发现异常时,即会启动报警单元,及时通知管理者,既降低了管理者的劳动强度,也降低了对其的技术要求,大大降低了维护成本。4)通过对计算机自身构建本发明自防御系统,不仅减少了用户对外围安全产品的盲目使用,而且对管理者的要求大大减低,节省了成本,更重要的是能够防御各种已知、未知攻击,有效地避免计算机受到任何侵害。本发明计算机自防御系统及方法可以应用于各种类型的服务器和电脑,比如web服务器、DNS服务器、邮件服务器、个人电脑、手机、ipad 等。对于应用本发明系统及方法的DNS服务器,可将其称为“生物自防御域名服务器”。对于应用本发明系统及方法的电子邮件服务器(email server),可将其称为“生物自防御电子邮件服务器”。5)本发明系统及方法将人类身体里存在的生物自防御机能原理在计算机里得以实现,可以有效地防御任何攻击,特别是未知攻击,通过本发明系统及方法的使用,计算机将可以长期、健壮地运行在日益险恶的互联网世界里,如同人类可以长期地存活在严酷的自然世界里一样。以上所述是本发明的较佳实施例及其所运用的技术原理,对于本领域的技术人员来说,在不背离本发明的精神和范围的情况下,任何基于本发明技术方案基础上的等效变换、简单替换等显而易见的改变,均属于本发明保护范围之内。
1权利要求
1.一种计算机自防御系统,其特征在于它包括隔离区计算机及无菌区计算机,其中该隔离区计算机包括镜像数据存储模块、检测对比模块、自治愈修复模块;该无菌区计算机包括原始数据存储模块、数字免疫模块;用于存储原始数据的该原始数据存储模块将存储的原始数据经过该数字免疫模块变成镜像数据后发送并存储在该隔离区计算机中用于存储镜像数据的该镜像数据存储模块内;该检测对比模块根据客户端发出的请求而从该镜像数据存储模块内提取与该请求对应的镜像数据,对提取的该镜像数据进行认证检测,当认证检测结果为该镜像数据未被篡改时,该镜像数据进行相应处理后响应给客户端,当认证检测结果为该镜像数据被篡改时, 该检测对比模块向该自治愈修复模块发出修复指令,该自治愈修复模块向该无菌区计算机发出修复请求,以使该原始数据存储模块将与该被篡改的镜像数据对应的原始数据经由该数字免疫模块变成镜像数据后存储在该镜像数据存储模块内而替换该被篡改的镜像数据, 完成对该被篡改的镜像数据的修复,并将修复后的该镜像数据进行相应处理后响应给客户端。
2.如权利要求1所述的计算机自防御系统,其特征在于所述数字免疫模块包括格式变换单元和认证单元,所述原始数据存储模块中的原始数据经由该格式变换单元进行格式变换、该认证单元认证后变成镜像数据,以存储在所述镜像数据存储模块内。
3.如权利要求2所述的计算机自防御系统,其特征在于所述检测对比模块包括认证特征值计算单元和比较单元,当对从所述镜像数据存储模块内提取的与该客户端发出的请求对应的镜像数据进行认证检测时,该认证特征值计算单元对该镜像数据中的存储数据计算认证特征值并发送给该比较单元,由该比较单元对该镜像数据本身带有的认证特征值与计算出的该认证特征值进行异同比较。
4.如权利要求1所述的计算机自防御系统,其特征在于所述无菌区计算机包括神经监测模块,该神经监测模块包括监测单元和报警单元;该监测单元定时监测所述隔离区计算机的工作状态,若监测到异常,则该监测单元启动该报警单元报警;当所述检测对比模块根据客户端发出的请求而从所述镜像数据存储模块内提取与该请求对应的镜像数据,对提取的该镜像数据进行认证检测,且认证检测结果为镜像数据被篡改时,所述检测对比模块启动所述报警单元报警。
5.如权利要求1至4中任一项所述的计算机自防御系统,其特征在于所述隔离区计算机内设有数字皮肤装置,所述无菌区计算机内设有数字淋巴装置,所述隔离区计算机与互联网连接,所述无菌区计算机与内网或数据库连接。
6.如权利要求5所述的计算机自防御系统,其特征在于所述数字皮肤装置为用于拦截已知攻击的防火墙和应用防火墙,所述数字淋巴装置为用于隔断入侵的防火墙。
7.一种基于权利要求1所述的计算机自防御系统实现的自防御方法,其特征在于该方法包括所述隔离区计算机中的检测对比模块根据客户端发出的请求,从所述镜像数据存储模块中提取出与该请求对应的镜像数据,对提取出的该镜像数据进行认证检测,判断该镜像数据是否被篡改若认证检测结果为该镜像数据未被篡改,则该镜像数据进行相应处理后响应给客户端;若认证检测结果为该镜像数据被篡改,则所述检测对比模块向所述自治愈修复模块发出修复指令,所述自治愈修复模块向所述无菌区计算机发出修复请求,使所述原始数据存储模块将与该被篡改的镜像数据对应的原始数据经由所述数字免疫模块变成镜像数据后存储在所述镜像数据存储模块内而替换该被篡改的镜像数据,完成对该被篡改的镜像数据的修复,并将修复后的该镜像数据进行相应处理后响应给客户端。
8.一种基于权利要求3所述的计算机自防御系统实现的自防御方法,其特征在于该方法包括所述隔离区计算机中的检测对比模块根据客户端发出的请求,从所述镜像数据存储模块中提取出与该请求对应的镜像数据,对提取出的该镜像数据进行认证检测,该认证检测为通过认证算法对该镜像数据中的存储数据计算出认证特征值,将该认证特征值与该镜像数据中本身带有的认证特征值进行比较若计算出的认证特征值与该镜像数据中本身带有的认证特征值相同,则认为该镜像数据未被篡改,该镜像数据进行相应处理后响应给客户端;若计算出的认证特征值与该镜像数据中本身带有的认证特征值不同,则认为该镜像数据被篡改,所述检测对比模块向所述自治愈修复模块发出修复指令,所述自治愈修复模块向所述无菌区计算机发出修复请求,使所述原始数据存储模块将与该被篡改的镜像数据对应的原始数据经由所述格式变换单元进行格式变换、所述认证单元认证后变成镜像数据, 然后存储在所述镜像数据存储模块内而替换该被篡改的镜像数据,完成对该被篡改的镜像数据的修复,并将修复后的该镜像数据进行相应处理后响应给客户端。
9.如权利要求8所述的自防御方法,其特征在于所述认证单元的认证是通过所述认证算法计算出原始数据的认证特征值,然后将该认证特征值添加到经过所述格式变换单元进行格式变换后得到的数据中,以变成镜像数据。
10.如权利要求9所述的自防御方法,其特征在于一个所述认证特征值唯一对应一个原始数据。
全文摘要
本发明公开了一种计算机自防御系统及方法。该自防御系统包括隔离区计算机及无菌区计算机。当有客户端请求时,先经数字皮肤装置挡住、过滤或删除识别出的大多数已知攻击。对于进入隔离区计算机内部的已知和未知攻击,隔离区计算机通过认证特征值比对方式,判断隔离区计算机中的数据是否被篡改,若未被篡改,则不进行处理,反之,则通知无菌区计算机进行修复处理,以保证响应给客户端的数据均为正确数据。本发明自防御系统及方法根据人体的“免疫系统”、“神经监测系统”、“自我治愈系统”等构成的生物自我防御系统的原理设计,增加了计算机自身的防御功能,能够有效抵挡各种已知和未知攻击。
文档编号G06F21/00GK102436560SQ20111024121
公开日2012年5月2日 申请日期2011年8月22日 优先权日2011年8月22日
发明者高振宇, 高深 申请人:高振宇, 高深