(S-Tap)代理和与内核相关联地安装的 内核开发(K-Tap)代理。K-Tap收集数据,S-Tap将被收集数据传送到实行变换(和接收结 果)所在的点。
[0059] 本文中所描述的技术,除了读和写,还可以针对其他类型的系统调用实现。
[0060] 更一般来说,在所公开的发明的上下文中的计算设备各是包含硬件和软件的数据 处理系统(如图2所示),这些实体通过诸如互联网、内联网、外联网、专用网或任何其他通 信介质或链接的网络互相通信。数据处理系统上的应用提供对Web和其他已知的服务和协 议的本地支持,包括但不限于对HTTP、FTP、SMTP、XML、SOAP、WSDL、UDDI、和WSFL等等的支 持。有关S0AP、WSDL、UDDI和WSFL的资料可以从万维网联盟(W3C)获得,后者负责开发和 维护这些标准;关于HTTP、FTP、SMTP和XML的进一步信息可以从因特网工程任务组(IETF) 获得。假设熟悉这些已知的标准和协议。
[0061] 本文中描述的方案可能在或者协同各种服务器端架构实现,包括简单的多层体系 结构、门户网站、联邦系统等等。正如所指出的,本文中的技术可以在松散耦合的服务器 (包括基于"云"的)环境中实现。安全服务器本身(或其功能,诸如监控器过程)可以在 云中被托管。
[0062] 更一般来说,本文中所述的主题可以采取完全硬件实施例的形式、完全软件实施 例的形式或者同时包含硬件单元和软件单元的形式。在一个优选的实施例中,功能以软件 来实现,该软件包括但不限于固件、驻留软件、微代码等。此外,如上所述,分析引擎功能可 以采取可从计算机可用的或计算机可读的介质访问的计算机程序产品的形式,其中该介质 提供用于由计算机或任意指令执行系统使用或者结合计算机或任何指令系统使用的程序 代码。出于该描述的目的,计算机可用的或计算机可读的介质可以是任意一种能包含、存储 用于由指令执行系统、装置或设备使用或者结合指令执行系统、装置或设备使用的程序的 装置。介质可以是电的、磁的、光的、电磁的、红外的或半导体的系统(或装置或设备)或者 传播媒介。计算机可读介质的例子包括半导体或固态存储器、磁带、可移动计算机磁盘、随 机存取存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。光盘的当前例子包括压缩盘一只 读存储器(⑶-ROM)、可读写压缩盘(⑶-R/W)和DVD。计算机可读介质是有形的介质。
[0063] 计算机程序产品可以是具有用来实现一个或多个所描述的功能的程序指令(或 程序代码)的产品。这些指令或代码可以在通过网络被从远程数据处理系统下载后存储在 数据处理系统中的计算机可读存储介质中。或者,这些指令或代码可以存储在服务器数据 处理系统中的计算机可读存储介质中,并适于通过网络被下载到远程数据系统以用于远程 系统内的计算机可读存储介质中。
[0064] 在一个典型实施例中,导入机制的组件是在专用计算机中实现的,优选地在由一 个或多个处理器上执行的软件中实现。该软件被维护在与一个或多个处理器相关的一个或 多个数据存储库或存储器中,并且该软件可以被作为一个或多个计算机程序来实现。总的 来说,在一个实施例中这个专用硬件和软件包含上文所述的导入机制。
[0065] 尽管上文描述了本发明的某些实施例执行的操作特定顺序,应该理解,这样的顺 序是示例性的,因为替代实施例可以以不同的顺序执行这些操作,组合某些操作,重叠某些 操作,等等。在说明书中对一个给定的实施例中的引用表明所描述的实施例包括一个特定 的特征、结构或特点,但是每一个实施例可能不一定非要包括该特定的特征、结构或特点。
[0066] 最后,尽管已经单独地描述了给定的系统组件,本领域普通技术人员应当理解,在 给定的指令、程序序列、代码部分等中有些功能可以被组合或共享。
[0067] 本文所披露的技术并不局限于多组件事务处理环境,但这将是一个典型的实现。 如上所述,上述功能可用于其中的服务器设置的会话管理数据可能被(不同会话中的原 始用户或另一个用户)通过相同的客户端浏览器重新使用的任何系统、设备、门户、网站等 等。
【主权项】
1. 一种用于在有存储器的计算系统中处理系统调用的方法,该系统调用具有关联的源 和目的地,该方法包含: 截获该系统调用时,应用在硬件单元中执行的功能来导入与两个或更多的实际系统调 用相关联的数据,直到导入了与该系统调用相关联的完整数据集合; 响应于收到对该完整数据集合实行变换的结果,通过将该结果导出至目的地而释放该 系统调用。2. 按照权利要求1的方法,其中,源是该系统调用,目的地是存储器的用户空间。3. 按照权利要求1的方法,其中,源是存储器的用户空间,目的地是该系统调用。4. 按照前述权利要求的任何之一的方法,进一步包含对该完整数据集合实行变换。5. 按照权利要求4的方法,其中,该变换是以下之一:检查、分析、编辑、阻止、处理和更 新。6. 按照权利要求4的方法,其中,该两个或更多的实际系统调用导致数据被读取,且在 返回到请求读取的应用之前对该完整数据集合实行该变换。7. 按照权利要求4的方法,其中,该两个或更多的实际系统调用导致从应用写数据,且 在发起第一系统调用写之前实行该变换。8. -种用于处理系统调用的装置,该系统调用具有关联的源和目的地,该装置包含: 用于存储计算机程序指令的计算机存储器,当计算机程序指令被处理器执行时执行: 截获该系统调用时,应用一个在硬件单元中执行的功能,以导入与两个或更多的实际 系统调用相关联的数据,直到导入了与该系统调用相关联的完整数据集合; 响应于收到对该完整数据集合实行变换的结果,通过将该结果导出至目的地而释放该 系统调用。9. 按照权利要求8的装置,其中,源是该系统调用,目的地是存储器的用户空间。10. 按照权利要求8的装置,其中,源是存储器的用户空间,目的地是该系统调用。11. 按照权利要求8至10的任何之一的装置,其中的指令进一步执行:对该完整数据 集合实行变换。12. 按照权利要求11的装置,其中,该变换是以下之一:检查、分析、编辑、阻止、处理和 更新。13. 按照权利要求11的装置,其中,该两个或更多的实际系统调用导致数据被读取,且 在返回到请求读取的应用之前对该完整数据集合实行该变换。14. 按照权利要求11的装置,其中,该两个或更多的实际系统调用导致从应用写数据, 且在发起第一系统调用写之前实行该变换。15. -种存储在计算机存储介质上的、用于在数据处理系统中处理系统调用的计算机 程序,该系统调用具有关联的源和目的地,该计算机程序包含计算机程序指令,当计算机程 序指令被数据处理系统执行时执行以下步骤: 截获该系统调用时,应用一个在硬件单元中执行的功能,以导入与两个或更多的实际 系统调用相关联的数据,直到导入了与该系统调用相关联的完整数据集合; 响应于收到对该完整数据集合实行变换的结果,通过将该结果导出至目的地而释放该 系统调用。16. 按照权利要求15的计算机程序,其中,源是该系统调用,目的地是存储器的用户空 间。17. 按照权利要求15的计算机程序,其中,源是存储器的用户空间,目的地是该系统调 用。18. 按照权利要求15至17的任何之一的计算机程序,其中的指令进一步执行:对该完 整数据集合实行变换。19. 按照权利要求18的方法,其中,该变换是以下之一:检查、分析、编辑、阻止、处理和 更新。20. 按照权利要求18的计算机程序,其中,该两个或更多的实际系统调用导致数据被 读取,且在返回到请求读取的应用之前对该完整数据集合实行该变换。21. 按照权利要求18的计算机程序,其中,该两个或更多的实际系统调用导致从应用 写数据,且在发起第一系统调用写之前实行该变换。
【专利摘要】本文中的技术提供被截获系统调用的“时移”,以便能够实现被截获系统调用到实际系统调用的一对多(1:n)或多对一(n:1)映射。需要在系统调用截获时出现的数据的逻辑边界(而不是物理边界)上实行的任何行动,导入(缓存)采取行动之前的数据,然后在完成时导出结果。该行动可能是相当不同的,例如检查数据、编辑数据、更改数据、限制数据、处理数据以及更新数据,等等。该技术可在数据库访问控制系统中实现。
【IPC分类】G06F17/30, G06F21/60
【公开号】CN105103159
【申请号】CN201480020417
【发明人】R·O·耶雷尔, U·泽加尔, G·迪亚曼特
【申请人】国际商业机器公司
【公开日】2015年11月25日
【申请日】2014年3月11日
【公告号】DE112014001949T5, US9069628, US20140310727, WO2014167430A1