专利名称:信息安全和系统维护的远程协助方法、系统及服务器的制作方法
技术领域:
本发明涉及系统维护领域,尤其是信息安全领域。
背景技术:
随着计算机、互联网等信息技术的日益普及和应用,对于信息系 统(包括计算机系统)的维护,尤其是信息安全等需要较强专业性、
较深技术性的服务的需求日益增强。IT服务外包已经深入到企业用户, 成为各类企业日常营运不可或缺的一部分。另外,经验表明,需要维 护和处理的问题中绝大部分属于与病毒、木马等恶意软件相关的问题。 其余的也多与软件安装、系统配置等相关。
尤其值得关注的是,随着社会信息化程度的不断提高,网络犯罪 情形日益严重。尽管现有的系统维护方式中应对恶意软件、病毒、木 马等攻击的解决方案丰富多样,但攻击(尤其是通过互联网)个人电 脑、服务器、或者其他计算机化装置的事件(例如改变数据、窃取数 据或破坏数据等)仍然越来越频繁地发生。据统计,2007年被安全公 司查杀到的新的恶意软件有近30万种。显然,病毒、木马乃至恶意软 件已有产业化、规模化的趋势,而且其隐蔽性也进一步加强。
迄今为止所有的针对病毒、木马等恶意软件的问题解决方案中, 其本质上都有很大的局限性,因为它们只是表面上解决了有限的几个 问题,而没有应对产业化、隐蔽化日渐增强的恶意软件的根本办法。 大部分解决方案都是一些杀毒软件或者网络防火墙之类,其难以及时、 准确地应对恶意软件的攻击。杀毒软件主要是采用黑名单过滤的方式, 但它们只能检测出那些已知的病毒或蠕虫等,而对未知的或者以目前 技术无法判断的病毒或变种则任其肆虐,用户只能等到相应安全公司 识别出未知病毒或其变种后,通过更新/下载新的病毒库才能查杀这种 恶意软件,而此时用户数据可能早已被窃取或破坏。网络防火墙则是 采用特定格式数据包放行的方式,但其为这些数据包制订的过滤规则 仍有局限性, 一旦程序发生了错误或遇到不良程序巧妙伪装的情况等, 不良程序仍可能控制计算机、服务器、甚至整个网络,而此时防火墙则对此束手无策,任其控制用户系统。
而且,在上述现有的针对病毒、木马等恶意软件的问题解决方案 中,用户通常需要在客户端下载和/或安装体积庞大的病毒库和杀毒引 擎来实现对恶意软件的防范,这无疑增加了用户系统及整个网络链路 的负担。目前主流杀毒软件的病毒库体积普遍在几十兆以上,用户在 下载、安装病毒库时存在时间过长的问题,而且在数据传输过程中也 存在误包率较高的风险。这种情形在用户不断更新/下载新病毒库或升 级数据量较大的病毒库时越发明显。
此外,在上述的针对病毒、木马等恶意软件的问题解决方案中其 解除病毒威胁的手段也往往比较单一,而且即便识别出病毒体,但无 法杀除病毒的情形也时有发生。仅依靠单独的杀毒软件无法提供更多、 更有效的彻底清除病毒的手段。
再者,当信息系统在软件安装、系统配置等相关方面出现问题时,
供商上门服务等,不但;务:本高而且服务周期^:较长。
发明内容
本发明的目的在于提供一种信息系统维护的远程协助机制,其包 含相应的方法及系统,利用该机制能够让用户与安全风险有效隔离, 防止恶意软件尤其是新型恶意软件的攻击和感染。
本发明的另 一 目的在于提供一种信息系统维护的远程协助机制, 其包含相应的方法及系统,利用该机制能够减轻用户系统本身以及网 络通信的负担,使用户无需时刻关注病毒库版本,也无需在客户端不 断更新下载数据,即能确保系统安全。
本发明的另 一 目的在于提供一种信息系统维护的远程协助机制, 其包含相应的方法及系统,借助该机制能够为用户提供更多、更有效 的彻底解除恶意软件威胁的办法。
本发明的另 一 目的在于提供一种信息系统维护的远程协助机制, 其包含相应的方法及系统,借助该机制能够为用户提供信息系统的曰 常维护并相应信息系统出现的各种问题提供解决方案。
为了实现上述目的,本发明在第一方面提供一种由协助服务器为客户端提供信息系统维护的远程协助方法,协助服务器与客户端通过
网络互联,其特征在于所述方法包括下列步骤所述客户端监控自身 的运行以确定是否有系统异常;所述客户端搜集与系统异常有关的诊 断信息,并将搜集的所述诊断信息发送至所述协助服务器;所述协助 服务器基于所述诊断信息,对系统异常进行分析,并且向客户端提供相 应的解决方案;以及,所述客户端实施所述解决方案。
在第 一方面的远程协助方法的例子中,所述系统异常是安全性可 疑的文件;所述协助服务器分析并且提供解决方案的步骤包括协助服 务器基于所述诊断信息对安全性可疑文件进行安全性分析,确定所述 可疑文件是否为存在安全隐患的文件;若协助服务器判定所述安全性 可疑文件为存在安全隐患的文件,则提供相应的解决方案。
在第二方面,本发明还提供一种客户端,其与协助服务器通过网 络互联,其特征在于所述客户端包括监控自身的运行以获得可疑文 件的监控模块;所述监控模块搜集可疑文件的诊断信息,以便将搜集 的所述诊断信息发送至所述协助服务器;接收来自所述协助服务器的 解决方案并且加以实施的模块;其中所述解决方案由协助服务器基于 所述诊断信息对可疑文件进行安全性分析,并且在确定所述可疑文件 为存在安全隐患的文件的情况下提供的。
在第三方面,本发明还提供一种协助服务器,其与客户端通过网 络互联;其特征在于所述协助服务器包括接收来自客户端的诊断信 息,并基于所述诊断信息进行安全性分析,以便确定所述客户端获得 的可疑文件是否为存在安 全隐患的文件的模块,其中所述诊断信息是 由客户端在监控自身的运行时所获得可疑文件的诊断信息;和,若判 定所述可疑文件为存在安全隐患的文件,向客户端提供相应的解决方 案的模块。
在第四方面,本发明还提供一种信息系统维护的远程协助系统, 包括第二方面的客户端和第三方面的协助服务器。
在第五方面,本发明还提供一种由协助服务器为客户端提供信息 系统维护的远程协助方法,协助服务器与客户端通过网络互联,其特 征在于所述方法包括以下步骤客户端监控自身运行以确定是否有系 统异常;客户端搜集与系统异常有关的诊断信息;客户端将所述诊断 信息发送至所述协助服务器;所述协助服务器基于所述诊断信息进行系统异常的分析,确定系统异常的解决方案;若所述协助服务器无法 确定针对系统异常的解决方案,则向至少 一 个协助机发布协助请求; 所述至少一个协助^L响应所述协助请求并向协助服务器发出确认消 息;所述协助服务器基于所述至少一个协助机的确认消息,将所述至 少 一个协助的至少 一个与客户端配对,协助客户端与至少 一个协助 机中的所述至少一个建立网络连接;所述至少一个协助机中的所述至 少一个登录客户端进行协助处理,并给出相应的解决方案。
在第五方面的远程协助方法的 一个例子中,系统异常是安全性可 疑的文件;所述协助服务器分析并且确定解决方案的步骤包括协助服 务器确定安全性可疑文件是否为存在安全隐患的文件,并且/或者确定 解除所述客户端的存在安全隐患的文件的解决方案。
在第六方面,本发明还提供一种协助服务器,其与客户端通过网 络互联,其特征在于所述协助服务器包括接收客户端发来的诊断信 息,并基于所述诊断信息进行安全性分析,以便确定所述客户端获得 的可疑文件是否为存在安全隐患的文件的模块;若所述协助服务器无 法确定是否为存在安全隐患的文件或无法解除所述客户端的存在安全 隐患的文件,则向所述至少一个协助机发布协助请求的模块;基于所 述至少一个协助机的确认消息,将所述至少一个协助机的至少一个与 客户端配对,协助客户端与至少一个协助机中的至少 一个建立网络连 接的模块,以便所述至少一个协助机中的所述至少一个登录客户端进 行协助处理,并给出相应的解决方案。
在第七方面,本发明还提供一种客户端,其与协助服务器通过网 络互联,其特征在于所述客户端包括监控自身运行以获得可疑文件 的监控模块;所述监控模块搜集可疑文件的诊断信息;将所述可疑文 件的诊断信息发送至所述协助服务器的模块;应所述协助服务器的将 所述至少一个协助才几的至少一个与客户端配对的要求,与至少一个协 助机中的所述至少一个建立网络连接的模块,以便所述至少一个协助 机中的所述至少 一个登录客户端进行协助处理,并给出相应的解决方 案;其中所述配对要求是所述协助服务器基于所述诊断信息进行可疑 文件的安全性分析时无法确定是否为存在安全隐患的文件或无法解除 所述客户端的存在安全隐患的文件的情况下发出的。
在第八方面,本发明还提供一种信息系统维护的远程协助系统,包括第七方面的客户端和第六方面的协助服务器。
前文所述的i貪断信息可以是以下系统信息的一项或多项注册表; 软件安装;活跃进程及进程历史记录;网络链接;文件目录;驱动程 序;需要关键资源的程序或进程;上述各项系统信息之间的创建、调 用、修改、删除、或关闭关系。
与现有技术相比,本发明通过上述机制提供完善、便利的各种信 息系统的日常维护服务,尤其是能够及时发现恶意软件的侵袭,并能 给出完善的解决方案。通过远程协助机制进行异常分析或安全性分析, 能够节约维护服务成本,并能让用户充分享受远程协助的便利。
下面将参照附图对本发明的具体实施方案进行更详细的说明,其
中
图1为本发明第一实施方案的信息系统维护的远程协助系统结构 示例图2为图1所示系统的远程协助机制的处理流程示例图; 图3为本发明第二实施方案的信息系统维护的远程协助系统结构 示例图4为图3所示系统的远程协助机制的处理流程示例图。 图5为本发明协助服务器的优选结构示意图。
具体实施例方式
为了使本发明的目的、技术方案及优点更加清楚,以下结合附图 以及实施例对本发明的远程协助机制的优选方案进行详细说明。应当
的;明构思,并不用于限Z本发:月。 、、" '、 '
图1为本发明第一实施方案的信息系统维护的远程协助系统的结 构示例图。如图l所示,本发明的远程协助系统包括客户端110以及 协助服务器120,客户端110与协助服务器通过网络130相互通信。 客户端IIO基于本地的监控模块112对客户端的运行进行监控,并获 得可疑文件,并且搜集可疑文件的诊断信息,为本发明的远程协助机制提供支持。协助服务器120根据监控模块112上传的可疑文件的诊 断信息为客户端IIO远程提供安全协助,进而保障客户端110的信息 安全与正常运4亍。
图2为图1所示系统的远程协助机制的处理流程示例图。应当理 解的是,本发明的各处理流程可以对应为或组合为相应的产品模块或 装置。
如图2所示,本发明第一实施例的远程协助处理流程包括以下内
容
在步骤200中,客户端110的监控模块112监控系统运行,并获 得可疑文件。
在步骤202中,客户端IIO搜集可疑文件的相关诊断信息。 在步骤204中,客户端110向协助服务器120发出求助请求,并 上传搜集的诊断信息。
在步骤206中,协助服务器120响应客户端110的请求,根据上
件。、 ^ 。 b 、'',
如果在步骤206中,根据当前的诊断信息能够判定可疑文件是病 毒文件,则转入步骤214。
如果根据当前的诊断信息无法准确判定可疑文件是否为病毒或 无法判定其种类时,则转入步骤208。在步骤208中向客户端IIO反 馈指令,进一步要求更多的系统、文件信息。例如发现某个驱动是没 有签名的,而且没有公司信息,虽然其诊断信息(如特征码)不在病
毒库中,但需要其全部文件内容才可以确定是否有害。也就是说,虽 然根据当前病毒库的检测结果判定可疑文件为"安全文件",但本发
明仍由协助服务器120向客户端IIO发出指令如提取某个文件、某
个注册表的内容等,从而获得完整的诊断信息,以做进一步的判定。
在步骤210中,客户端IIO根据协助服务器120的要求收集更多 的诊断信息,如文件、系统信息,并上传给协助服务器120。
协助服务器120在步骤212中根据进一步的诊断信息,人工分析
或通过分析工具确定可疑文件是否为病毒文件。
若在步骤212中确定可疑文件是病毒文件则转入步骤214中,若 确定可疑文件为安全文件则转入步骤218中。在步骤214中,协助服务器120相应于病毒的确认给出安全问题 的解除办法。具体而言,在确定了恶意程序后,对已知病毒,向客户 端IIO发送专杀工具或处理脚本,对找到的可疑程序,向客户端IIO 发送处理命令,如终止相关进程、隔离相关文件、删除启动项目等等。
客户端110在步骤216中实施协助服务器120给出的安全问题解 除指令并向协助服务器120确认问题的解决。例如客户端110收到相 关指令后,执行专杀工具或处理脚本、逐步终止相关进程、或隔离文 件、删除注册表(删除前备份)等。当安全问题解除后,客户端IIO 向协助服务器120发送确认信息。
在步骤218中,协助服务器120相应于问题解除的确认信息或相 应于文件安全的判定而向客户端反馈结果,进而结束本次远程协助。
此外,较佳的是,在步骤206中,协助服务器本身也包含类似白 名单的架构,由此可以根据诊断信息先确认文件是否为安全的文件, 若文件安全则向客户端反馈结果,若不能确定文件为安全文件,则进 行其后的步骤208至步骤218。藉此,对于客户端白名单不全、而文 件本身安全的情形下,可以藉由协助服务器所具有的更大容量的白名 单快速地向客户端反馈給果,减少客户端IIO的等待时间。
接下来以磁碟机病毒为例对本发明的远程协助处理流程进行说 明。应当明确的是,这里的》兹*莱机病毒<义是实施本发明远程协助流程 的一个举例,而不应作为实施本发明的限制。
客户端110中的监控模块112监控客户端的运行,并获取可疑文 件A。该可疑文件A的获得是基于客户端的基本病毒库过滤,通过已 知的病毒特征串或病毒技巧特征对客户端上的文件/进程进行判断, 当发现疑似文件或未知文件时,将其作为可疑文件。
此外,优选的,该可疑文件的获得是基于客户端110的白名单过 滤,该白名单中包含已知的安全文件的特征集合。这一集合的数量没 有限制,可以视客户端的情况而定。诸如客户端的白名单中仅包含基 本的安全文件的集合,或是根据客户端需求装载一比较全面的安全文进程等,放行已知的没有问题的、安全的文件,而对于其他的文件则 一律予以阻挡,并将其作为可疑文件。藉此可以将客户端与病毒等不 安全因素有效隔绝,彻底地保障客户端的信息安全。
客户端110针对可疑文件A搜集相关的诊断信息,其诊断信息可 以是可疑文件的特征信息,如特征码、关键值等。
此外,优选的,该诊断信息为经过白名单过滤后的系统信息,包
括但不限于以下系统信息或其组合l)注册表;2)软件安装;3)活 跃进程及进程历史记录;4)网络链接;5)文件目录;6)驱动程序; 7)需要关键资源的程序或进程;8)上述各项系统信息之间的创建、 调用、修改、删除、或关闭关系等。通过搜集客户端运行的相关系统 信息作为诊断信息,即便恶意软件是由多于一个的模块组成时,本发 明也能准确地判断是否为病毒文件。比如有些程序如果缺少其他的模 块将无法执行,但一旦有了其他的模块,这个程序将成为一个典型的 病毒文件或木马。因此此时将单个文件的特征信息上传基本无法做出 正确的判断,所以也无法断定其是否有害,而将经过白名单过滤后的 系统信息作为诊断信息则可全面地评估该可疑文件及其关联文件对客 户端系统的影响,进而可有效断定文件是否有害。
在这里,作为示例,提取的诊断信息是根据已知病毒的行为特征, 从用户系统提取的文件、注册表、进程等系统信息。客户端110搜集 的该可疑文件A的相关诊断信息包含下列内容
1、注册表信息,其中包括
1. 1自运行项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe rs ioiARim
訓Y-CURRENT —USER\SOFTWARE\Microsof t\Windows\CurrentVer s ioiARim
HKEY-LOCAL—MACHINE\SYSTEM\CurrentControlSet\Services 1.2软件安装信息
HKEY—LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Uninstall
1HKEY—LOCAL—MACHINE\SOFTWARE HKEY—CURRENT—USER\Software
1、 3系统信息
HKEY—LOCAL—MACHINE\SYSTEM\ControlSet001 HKEY_LOCAL—MACHINE\SOFTWARE\MicrosoftWindows HKEY—LOCAL—MACHINE\SOFTWARE\Microsoft\Windows NT
2、 进程信息,其中包括
当前活跃的进程信息(进程路径进程父子关系等),进程使用 的DLL文件信息。
3、 文件信息,其中包括
注册表信息和进程信息中相关文件的版本号、公司名称、签名信 息、修改时间、文件特征码等。
当客户端IIO将相关诊断信息搜集完毕后,通过网络130向协助 服务器120发出求助请求,并将搜集的诊断信息进行压缩和/或加密, 发送给协助服务器120。协助服务器120收到压缩和/或加密的诊断信 息后,进行相应的解压和/或解密并对诊断信息进行诊断分析,其诊 断方式可以是人工分析或通过分析工具分析。其中,本发明所使用的 分析工具包括但不限于现有的各种病毒查杀工具,诸如各种自动安全 工具、恶意软件检测工具等。
此外,优选的是,本发明的诊断方式中包含正常软件的确认工具。 而且,当协助服务器120通过分析工具对可疑文件进行分析时, 协助服务器120包含一数据库,藉此,分析工具可以对可疑文件进行 安全性分析。
在这里,作为示例,协助服务器120基于上述搜集的关于可疑文 件A的诊断信息,通过数据特征解析和数据库查询后,得到以下关键
信息
Run项为空
訓Y一L0CAL-MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ {4D36E967-E32 5-11CE-BFC1-08002BE10318}不存在HKEY—LOCAL—MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVers ion\Windows
AppInit — DLLs = %SYSTEM°Adnsq. dl 1.此项默认为空 每个进程中都加载了非系统D L L: dnsq. dll 发现进程smss. exe、 netcfg. ,、 lsass.exe。
通过数据库查询,可以发现该客户端110中了磁碟机病毒。此时, 协助服务器120基于该可疑文件A为磁碟机病毒的确认,向客户端提 供相应的解决方案。
此外,当发现可疑的项目,而相关信息不全时,协助服务器120 反馈给客户端110指令如提取某个文件、某个注册表的内容。
在此假设磁碟机病毒是未知病毒,基于现有的诊断信息无法断 定,而通过注册表的特殊信息,可以确定还需要提取dnsq. dll,因为
HKEY—LOCAL—MACHINE\SOFTWARB\Microsof l:\WindowsNT\Current Version\Windows的AppInit-DLLs默i人是空的,ot匕处对应的文件,必 定是可疑的。
当客户端IIO收到指令后,向协助服务器120发送其需要的进一 步的诊断信息。需要进一步搜集的诊断信息视具体现象或情况而定, 如可疑文件本身或进一步的具体注册表内容等,其包含或体现的信息 比首次上传的诊断信息更为详细、完整。诸如首次上传的诊断信息为 可疑文件的特征码,而进 一 步搜集的诊断信息可包括相关的系统运行 信息、和/或可疑文件本身等。在这里,作为示例,客户端110向协 助服务器120发送其需要的注册表内容dnsq. dll。
协助服务器120端在接收到进一步的文件或注册表内容dnsq, dll 后,根据反汇编获得的AP I信息,确定此文件的动作范围如进程 钩子、注册表操作等。在确定了该可疑文件A是磁碟机病毒后,协助 服务器120根据客户端110的相关信息,向客户端110以下解决方案
正确的注册表信息Uun ControlSet Applni DLL等);
需要删除的文〈牛dnsq. dll (4勾子)、smss.exe、 lsass. exe ( {方 冒系统进程)。
客户端110收到命令后,执行专杀工具或处理脚本、逐步终止相关进程、隔离文件、删除注册表(删除前备份)。此外,客户端iio
也可在处理结束后,重启系统,检查系统是否正常。当问题解除/系
统运行正常时,客户端110向协助服务器120发送确认信息。
本实施例中,优选的,协助服务器120基于其对病毒的研究或对 新型病毒的认知不断更新其数据库,以最大限度应对新型病毒的攻 击,从而为客户端提供全面的安全保障。此外,对于每次解决问题的 解决方案,若其数据库中不存在,则也相应添加到数据库中。
本实施例中,优选的,客户端IIO还包括存储模块,用于将协助 服务器120发送的问题解决方案做本地保存,以减少网络通信的负担 及风险,并能快速应对此后的同类问题。
图3为本发明第二实施方案的信息系统维护的远程协助系统结构 示例图。如图3所示,为了给用户提供更新、更全面的信息安全服务, 本发明提出了另一种远程协助机制,其包括客户端310以及协助服务 器320。此外,还包括至少一个协助机330。客户端310、协助服务器 320以及至少一个协助才几330通过网络340相互通信。其中,协助服 务器320与客户端310之间的交互流程如第一实施例所述。本实施例 通过至少一个协助机30的远程协助,可更有效地应对各种病毒的攻 击,尤其面对层出不穷的新型病毒,该机制可直接为用户提供彻底的 解决方案。
图4为图3所示系统的远程协助机制的处理流程示例图。应当理 解的是,本发明的各处理流程可以对应为或组合为相应的产品模块或 装置。
如图4所示,当协助服务器320无法满足客户端310的需求时, 即协助服务器通过诊断分析仍不能确定可疑文件是否为病毒文件时, 或协助服务器给出的解决方案仍然不能解决客户端的安全问题时,在 步骤400中,协助服务器320向至少一个协助机330发布协助请求。
在步骤402中,至少一个协助机330响应所述协助请求并向协助
服务器发出确认消息。
在步骤404中,协助服务器320基于所述至少一个协助机的确认消息,将所述至少一个协助机330与客户端310配对,协助客户端310 与至少一个协助机330中的一个如协助机332建立连接。
在步骤406中,协助机332登录客户端310进行协助处理,并给 出安全问题的相应解决方案。诸如协助才几332可以才艮据客户端310之 前提交的诊断信息和远程看到的现象,进行分析。如协助机查看所有 的隐藏文件,发现autorun. inf信息,{故相关监控,并进一步发现释 放 autorun. inf 的程序或模块,再向用户提供清除病毒文件的脚 本或程序文件。
在步骤408中,客户端310执行协助机332给出的解决方案,并 向协助服务器320确认问题解决。
此外,本实施例中,优选的,至少一个协助4几330的拥有者可以 是有经验的病毒专家或相关领域的爱好者。通过本发明的这一远程协 助机制,一方面不但能为客户端310提供有效的和/或最新的解决方案, 或是提供多种解决方案供客户端根据其实际情况选择采用;另 一方面, 这一远程协助机制也能够为有兴趣的专业或非专业人士提供展示才能
或研究交流的平台。
而且,除本实施例之外,协助服务器320与至少一个协助机330 之间不仅可以通过网络互联,还可以通过诸如即时通信工具、短信、 电话、Email等通讯方式相互传递信息。
本实施例中,优选的,在步骤400中,协助服务器320发布一个 或多个协助请求,所述至少一个协助机330选择其愿意接受的协助请 求并向协助服务器320发出确认消息。协助服务器320接受多个协助 机332-338对于同一协助请求的确认信息,并将其加入同一队列等待 配对。
此外,协助服务器还可以将相关的诊断信息及协助请求同时发 布,以便至少一个协助机330选择其愿意接受的协助请求。
本实施例中,优选的,多个协助机330登录客户端310进行远程 协助,并给出多个解决方案。由客户端310根据其情况选择一优选方 案进行实施,或者也可由协助服务器320对多个解决方案进行评估后, 选择一优选解决方案提供给客户端进行实施。协助服务器320所进行的评估手段可以是人工评估,也可以是在协助服务器320端实施多个 解决方案后得出优选方案。
本实施例中,优选的,如图5所示,协助服务器还包括信用记录 模块506,用于监控并记录所述至少一个协助机330的信用记录。诸如 可根据协助机332-338的身份验证信息是否全面、历次协助过程的操 作是否规范、或协助机332-338拥有者的相关知名度等,为各协助机 "2-"8进行积分,建立信用等级。由此可以避免信用低下的协助机藉 此威胁客户端的信息安全。
此外,协助服务器还可以包括历史记录模块508,用于记录所述至 少一个协助机330的历次协助过程及结果。历史记录可包括协助机330 历次的协助处理过程及结果,以及由此统计得出的某一协助机332-338 解决某种现象的成功率、或对某类病毒比较擅长等的记录,并进行相 应的积分。
由此,在图4的步骤404中,协助服务器可以基于协助机330信 用记录和/或历史记录为协助机及客户端配对。诸如若协助机334信用 等级较高和/或对客户端出现的磁碟机病毒比较擅长解决,则优先将此 协助机334与客户端配对。
在本实施例中,优选的,协助服务器320纪录此连接的双方信息, 跟踪并监控协助机的协助过程,并将远程协助的过程数据实时存档。 当协助机成功解决问题时,将其解决方案及问题信息更新到数据库 502中,用以解决此后的相同现象。此外,协助服务器320还可根据 协助机的处理效率及结果为协助机更新信用记录和/或历史记录。
以下,针对信息系统出现的其他问题并结合本发明的协助方式做 一说明。应当理解的是,本发明的远程协助机制不光可用于协助客户 端防范病毒、木马等恶意软件的侵袭,虽然这是信息系统日常维护的 主要内容及方面,而且,本发明的远程协助机制还可用于涉及信息系 统其他方面可能出现的各种问题。可以肯定的是,本发明可以为信息 系统的日常维护提供便利,并节省服务成本。
例如,当客户端发现系统软件如Off ice软件出现异常。收集相关的安装信息(诊断信息示例) [HKEY—LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi on\Installer\UserData\S+5-18\Products\00002109 03000000000 0000000F01FEC\InstallProperties]"DisplayVersion"="12. 0.6215 .1000"
"InstallDate"="20080508"
"Instal1Location"-"C: \\Program Files\\Microsoft OfficeW
"InstallSource"-"C:\\MSOCache\\Al1 "Publisher11 = "Microsoft Corporation" "Language"-dword: 00000000
"DisplayName"-"Microsoft Office Enterprise 2007"
协助服务器经分析所搜集的信息后,给出相应的解决方案,诸如 这些解决方案可以是建议客户端卸载其安装的软件"Microsoft Office Enterprise 2007",或者也可以是建议利用Windows的系统 还原工具进行还原等等。客户端接收并实施解决方案,并反馈实施结 果。如果仍然找不到问题或问题未解决,则通过远程协助服务器发布 求助请求,由至少一个协助才几响应并协助解决。
显而易见,在此描述的本发明可以有许多变化,这种变化不能认 为偏离本发明的精神和范围。因此,所有对本领域技术人员显而易见 的改变,都包括在本权利要求书的涵盖范围之内。
权利要求
1、一种由协助服务器为客户端提供信息系统维护的远程协助方法,协助服务器与客户端通过网络互联,其特征在于所述方法包括下列步骤所述客户端监控自身的运行以确定是否有系统异常;所述客户端搜集与系统异常有关的诊断信息,并将搜集的所述诊断信息发送至所述协助服务器;所述协助服务器基于所述诊断信息,对系统异常进行分析,并且向客户端提供相应的解决方案;以及,所述客户端实施所述解决方案。
2、 根据权利要求l的方法,其特征在于所述诊断信息包括以下系统信息的 一 项或多项 1 ) 注册表; 2) 软件安装;3 ) 活跃进程及进程历史记录;4) 网络链接;5) 文件目录;6) 驱动程序;7) 需要关键资源的程序或进程;8 ) 上述各项系统信息之间的创建、调用、修改、删除、 或关闭关系。
3、 根据权利要求l的方法,其特征在于所述系统异常是安全性 可疑的文件;所述协助服务器分析并且提供解决方案的步骤包括协助服务器基于所述诊断信息对安全性可疑文件进行安全性分析,确定所 述可疑文件是否为存在安全隐患的文件;若协助服务器判定所述安全 性可疑文件为存在安全隐患的文件,则提供相应的解决方案。
4、 根据权利要求3的方法,其特征在于包括所述客户端基于白名单或基本病毒库获得所述可疑文件的步骤。
5、 根据权利要求3的方法,其特征在于所述客户端搜集可疑文件的诊断信息,并将搜集的所述诊断信息发送至所述协助服务器的步 骤包括在发送之前将诊断信息压缩和/或加密的步骤。
6、 根据权利要求3的方法,其特征在于所述对所述可疑文件进化 八
7、 根据权利要求3的方法,其特征在于包括下列步骤 若所述协助服务器无法判定所述可疑文件是否为存在安全隐患的文件,则向所述客户端要求进一步的诊断信息;所述协助服务器接收客户端搜集的所述进一步的诊断信息,并进 一步确认所述可疑文件是否为存在安全隐患的文件。
8、 根据权利要求3的方法,其特征在于包括若所述协助服务器 判定可疑文件是安全的文件,则向客户端反馈结果的步骤。
9、 根据权利要求3的方法,其特征在于所述协助服务器基于所述诊断信息对可疑文件进行的安全性分 析,是先确定所述可疑文件是否为安全的文件。
10、 根据权利要求3的方法,其特征在于包括所述客户端将上 述解决方案存储于客户端本地中的步骤。
11、 根据权利要求3的方法,其特征在于包括客户端向协助服 务器确认存在安全隐患的文件已解决的步骤。
12、 一种客户端,其与协助服务器通过网络互联,其特征在于所 述客户端包括监控自身的运行以获得可疑文件的监控模块,所述监控模块搜集 可疑文件的诊断信息,以便将搜集的所述诊断信息发送至所述协助服 务器;接收来自所述协助服务器的解决方案并且加以实施的模块;其中 所述解决方案由协助服务器基于所述诊断信息对可疑文件进行安全性 分析,并且在确定所述可疑文件为存在安全隐患的文件的情况下提供 的。
13、 根据权利要求12的客户端,其特征在于包括白名单和/或 基本病毒库,所述监控模块基于白名单和/或基本病毒库获得所述可疑 文件。
14、 根据权利要求12的客户端,其特征在于所述诊断信息包括 以下系统信息的一项或多项1) 注册表; 2)软件安装;(3 )活跃进程及进程历史记录;(4) 网络链接;(5) 文件目录;(6) 驱动程序;(7 ) 需要关键资源的程序或进程;(8 ) 上述各项系统信息之间的创建、调用、修改、删除、 或关闭关系。
15、 根据权利要求12的客户端,其特征在于所述客户端包括将 诊断信息压缩和/或加密的压缩模块和/或加密模块。
16、 根据权利要求12的客户端,其特征在于包括响应协助服务 器的要求提供进一 步的诊断信息的模块。
17、 根据权利要求12的客户端,其特征在于包括存储器,存储 所述解决方案。
18、 一种协助服务器,其与客户端通过网络互联;其特征在于所 述协助服务器包括接受来自客户端的诊断信息,并基于所述诊断信息进行安全性分 析,以便确定所述客户端获得的可疑文件是否为存在安全隐患的文件 的模块;其中所述诊断信息是由客户端在监控自身的运行时所获得可 疑文件的诊断信息;和若判定所述可疑文件为存在安全隐患的文件,向客户端提供相应 的解决方案的模块。
19、 根据权利要求18的协助服务器,其特征在于包括文件,则向所述客户^要求进一步的^断信息的模、块; ' '所述协助服务器接收客户端搜集的所述进一步的诊断信息,并进 一步确认所述可疑文件是否为存在安全隐患的文件的模块。
20、 一种信息系统维护的远程协助系统,包括如权利要求12所述 的客户端和权利要求18所述的协助服务器。
21 、 一种由协助服务器为客户端提供信息系统维护的远程协助方法, 协助服务器与客户端通过网络互联,其特征在于所述方法包括以下步 骤客户端监控自身运行以确定是否有系统异常;客户端搜集与系统异常有关的诊断信息;客户端将所述诊断信息发送至所述协助服务器;所述协助服务器基于所述诊断信息进行系统异常的分析,确定系 统异常的解决方案;若所述协助服务器无法确定针对系统异常的解决方案,则向至少 一个协助机发布协助请求;所述至少一个协助机响应所述协助请求并向协助服务器发出确认 消息;所述协助服务器基于所述至少一个协助机的确认消息,将所述至 少 一个协助才几的至少 一个与客户端配对,协助客户端与至少一个协助 机中的所述至少一个建立网络连接;所述至少 一个协助机中的所述至少 一个登录客户端进行协助处 理,并给出相应的解决方案。
22、 根据权利要求21的方法,其特征在于系统异常是安全性可疑 的文件;所述协助服务器分析并且确定解决方案的步骤包括协助服务 器确定安全性可疑文件是否为存在安全隐患的文件,并且/或者确定解 除所述客户端的存在安全隐患的文件的解决方案。
23、 根据权利要求21的方法,其特征在于包括所述协助服务器基 于所述至少一个协助机的信用记录和/或历史记录为所述至少一个协 助机及客户端配对的步骤。
24、 根据权利要求23的方法,其特征在于包括所述协助服务器 监控并记录所述至少一个协助机的信用记录和/或历史记录的步骤。
25、 根据权利要求21的方法,其特征在于包括下列步骤 所述协助服务器发布多个协助请求,所述至少一个协助机选择其愿意接受的协助请求并向所述协助服务器发出确认消息;所述协助服务器接受所述至少一个协助机对于同一协助请求的确认 信息,并将其加入同一队列等待配对。
26、 根据权利要求21的方法,其特征在于包括 所述协助服务器将所述诊断信息与协助请求同时发布,以便所述至少一个协助机根据所述诊断信息选择是否接受协助请求的步骤。
27、 根据权利要求21的方法,其特征在于所述协助服务器存储有数据库,所述方法包括所述协助服务器将所述至少一个协助机中的所述至少一个所给出的解决方案,添加至所 述数据库中。
28、 一种协助服务器,其与客户端通过网络互联,其特征在于所 述协助服务器包括接收客户端发来的诊断信息,并基于所述诊断信息进行安全性分 析,以便确定所述客户端获得的可疑文件是否为存在安全隐患的文件 的模块;若所述协助服务器无法确定是否为存在安全隐患的文件或无法解 除所述客户端的存在安全隐患的文件,则向所述至少 一个协助机发布 协助请求的模块;基于所述至少 一 个协助机的确认消息,将所述至少 一 个协助机的 至少一个与客户端配对,协助客户端与至少一个协助才几中的至少一个建立网络连接的模块,以便所述至少 一 个协助机中的所述至少 一 个登录客户端进行协助处理,并给出相应的解决方案。
29、 如权利要求28所述的协助服务器,其特征在于包括跟踪并监 控所述至少 一 个协助机中的至少 一 个的协助处理过程,并将所述至少 一个协助机中的至少一个所给出的解决方案加以保存的模块。
30、 一种客户端,其与协助服务器通过网络互联,其特征在于所 述客户端包括监控自身运行以获得可疑文件的监控模块;所述监控模块搜集可 疑文件的诊断信息;将所述可疑文件的诊断信息发送至所述协助服务器的模块; 应所述协助服务器的将所述至少 一个协助机的至少 一个与客户端 配对的要求,与至少 一 个协助机中的所述至少 一 个建立网络连接的模 块,以便所述至少一个协助机中的所述至少一个登录客户端进行协助 处理,并给出相应的解决方案;其中所述配对要求是所述协助服务器 基于所述诊断信息进行可疑文件的安全性分析时无法确定是否为存在 安全隐患的文件或无法解除所述客户端的存在安全隐患的文件的情况 下发出的。
31、 一种信息系统维护的远程协助系统,包括如权利要求30的客户 端和如权利要求28所述的协助服务器。
全文摘要
本发明披露了一种信息系统维护的远程协助方法和系统。在一个方案中,提供一种由协助服务器为客户端提供信息系统维护的远程协助方法,协助服务器与客户端通过网络互联,其特征在于所述方法包括下列步骤所述客户端监控自身的运行以确定是否有系统异常;所述客户端搜集与系统异常有关的诊断信息,并将搜集的所述诊断信息发送至所述协助服务器;所述协助服务器基于所述诊断信息,对系统异常进行分析,并且向客户端提供相应的解决方案;以及,所述客户端实施所述解决方案。利用本发明能够让用户得到便利的日常维护服务,尤其是能够有效免疫、与安全风险彻底隔离。
文档编号H04L29/06GK101594248SQ200810112980
公开日2009年12月2日 申请日期2008年5月27日 优先权日2008年5月27日
发明者刘守群, 潘剑锋, 邹贵强 申请人:奇智软件技术(北京)有限公司