一种实现异架构下系统监控的方法
【技术领域】
[0001]本发明涉及计算机安全技术领域,具体涉及一种实现异架构下系统监控的方法。
【背景技术】
[0002]随着震网、棱镜门等一系列网络窃密、监控事件的发生,Intel X86+Windows这个Wintel组合在信息安全方面之前所受到的质疑越来越清晰的呈现在大家面前,使得人们对信息安全的担心和猜测变成了现实,为此,国内专注安全的IT业者们设计了各种各样的方法来防堵这些的安全漏洞,如网闸、双网隔离等等,乃至推出了更为宏大的国产CPU的计划。
[0003]如网闸、双网隔离等,均有功能单一、使用时针对不同场景切换不方便等局限,且无法达到很好的监控目的;而国产CPU的项目,则面临着产业链成长缓慢,配套软硬件跟不上的窘境。
[0004]因此,有必要通过异架构监控的方法,既能保留X86的便利,又能通过异架构对X86进行有效的监控并实行管理。
【发明内容】
[0005]本发明要解决的技术问题是克服现有技术的缺陷,提供一种实现异架构下系统监控的方法。
[0006]为了解决上述技术问题,本发明提供了如下的技术方案:
[0007]本发明一种实现异架构下系统监控的方法,该方法为:在主板的硬件层设置监控芯片,所述监控芯片包括监控固件和监控操作系统,所述监控芯片通过线路与所述主板上的各信号接口相连,并通过监控信号传输和解析数据的方式进行监控,所述监控固件提供实际的监控并由所述监控操作系统进行管理;所述监控芯片设置有外联网络接口,所述监控芯片通过所述外联网络接口与IT中心服务器的管理端相连;所述监控芯片监控的内容包括对核心硬件进行的主动监控,以及对系统对外数据的交换进行的监控。
[0008]进一步地,所述对核心硬件进行的主动监控包括:
[0009]a)对主板上启动固件的代码区进行监控,如果代码发生变化,则通知IT管理人员,并执行IT管理人员的指示;
[0010]b)对系统中的存储设备进行监控,如果发生更换,则通知IT管理人员,并执行IT管理人员的指示;
[0011]c)对系统机箱进行监控,如果发现非法开箱,则通知IT管理人员,并执行IT管理人员的指示。
[0012]进一步地,所述对核心硬件进行的主动监控包括:
[0013]a)将所述监控芯片的侦测信号连接到USB控制器和端口之间的数据交换信号上,由此侦测USB的数据交换;
[0014]b)将所述监控芯片的侦测信号连接到SATA控制器和硬盘之间的数据交换信号上,由此侦测SATA的数据交换;
[0015]c)将所述监控芯片的侦测信号连接到网卡控制器和网络端口之间的数据交换信号上,由此侦测网络的数据交换;
[0016]d)将侦测到的数据与白色特征码库以及黑色特征码库进行比对,并按照既定的安全策略进行干预。在本发明中,将已知病毒或非法代码整合建立黑色特征代码库,将已知合法代码或地址整合建立白色特征代码库。
[0017]进一步地,所述的监控芯片设置有专用的网卡芯片,所述网卡芯片及其端口仅提供所述监控芯片与IT中心服务端相联系,由所述监控操作系统向服务端汇报各种情况,并由IT中心服务端向监控操作系统下达各种指令。
[0018]本发明所达到的有益效果是:
[0019]本发明针对现有技术所存在的技术缺陷及空白区,在硬件层对核心设备进行数据以及行为监控,尤其对系统对外的交换数据进行监控,在发生情况时,可以根据既定的安全策略来处理,也可以通过特定的端口通知管理人员要求介入处理,并对事件作详细的记录;既能保留X86的便利,又能通过异架构对X86进行有效的监控并实行管理。
【附图说明】
[0020]附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
[0021]图1是本发明的结构示意图。
【具体实施方式】
[0022]以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
[0023]如图1所示,本发明一种实现异架构下系统监控的方法,该方法为:在主板设计的时加入监控芯片,所述监控芯片包括监控固件和监控操作系统,将所述监控芯片的外围线路与主板上的SP1、USB, SATA, LAN等信号相连,通过监控信号并解析数据的方式来达到监控,所述监控固件提供实际的监控并由所述监控操作系统进行管理;所述监控芯片设置有外联网络接口,所述监控芯片通过所述外联网络接口与IT中心服务器的管理端相连;所述监控芯片监控的内容包括对核心硬件进行的主动监控,以及对系统对外数据的交换进行的监控。
[0024]其中,所述对核心硬件进行的主动监控包括:
[0025]a)在开机前,读取主板上固件的资料,对其代码区进行度量,然后将度量的结果与前一次度量的结果作比对,实现监控的功能;
[0026]b)在开机前,读取硬盘等存储设备的硬件信息,对这些信息进行度量,并与之情度量的结果作比对,实现监控的功能;
[0027]c)对系统机箱进行监控,如果发现非法开箱,则通知IT管理人员,并执行IT管理人员的指示。
[0028]其中,所述对核心硬件进行的主动监控包括:
[0029]a)将所述监控芯片的侦测信号连接到USB控制器和端口之间的数据交换信号上,由此侦测USB的数据交换;
[0030]b)将所述监控芯片的侦测信号连接到SATA控制器和硬盘之间的数据交换信号上,由此侦测SATA的数据交换;
[0031]c)将所述监控芯片的侦测信号连接到网卡控制器和网络端口之间的数据交换信号上,由此侦测网络的数据交换;
[0032]d)将侦测到的数据与白色特征码库以及黑色特征码库进行比对,并按照既定的安全策略进行干预。在本发明中,将已知病毒或非法代码整合建立黑色特征代码库,将已知合法代码或地址整合建立白色特征代码库。
[0033]在本实施例中,所述监控芯片具备检测USB、SP1、SATA、LAN信号的能力,并能够对其中的数据进行解析。
[0034]在本实施例中,单独为该监控芯片设置一个网卡芯片,该网卡芯片及其端口仅提供监控芯片与IT中心服务端相联系,由监控操作系统向服务端汇报各种情况,并由IT中心服务端向监控操作系统下达各种指令,包括关机、报警、关闭某些设备等操作。
[0035]在本实施例中,所述监控操作系统中提供Web界面的服务功能,在其中提供安全策略设定的功能,并随时与IT中心同步黑色代码库。
[0036]在本实施例中,监控芯片采用ARM架构,运行的监控操作系统为非X86操作系统,该系统仅仅和IT中心服务器相连,其运行环境的封闭性以及系统本身的异架构可以很好的降低监控系统本身受到攻击的几率。
[0037]本发明针对现有技术所存在的技术缺陷及空白区,在硬件层对核心设备进行数据以及行为监控,尤其对系统对外的交换数据进行监控,在发生情况时,可以根据既定的安全策略来处理,也可以通过特定的端口通知管理人员要求介入处理,并对事件作详细的记录;既能保留X86的便利,又能通过异架构对X86进行有效的监控并实行管理。
[0038]最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种实现异架构下系统监控的方法,其特征在于,该方法为: 在主板的硬件层设置监控芯片,所述监控芯片包括监控固件和监控操作系统,所述监控芯片通过线路与所述主板上的各信号接口相连,并通过监控信号传输和解析数据的方式进行监控,所述监控固件提供实际的监控并由所述监控操作系统进行管理;所述监控芯片设置有外联网络接口,所述监控芯片通过所述外联网络接口与IT中心服务器的管理端相连;所述监控芯片监控的内容包括对核心硬件进行的主动监控,以及对系统对外数据的交换进行的监控。2.根据权利要求1所述的一种实现异架构下系统监控的方法,其特征在于,所述对核心硬件进行的主动监控包括: a)对主板上启动固件的代码区进行监控,如果代码发生变化,则通知IT管理人员,并执行IT管理人员的指示; b)对系统中的存储设备进行监控,如果发生更换,则通知IT管理人员,并执行IT管理人员的指示; c)对系统机箱进行监控,如果发现非法开箱,则通知IT管理人员,并执行IT管理人员的指示。3.根据权利要求1所述的一种实现异架构下系统监控的方法,其特征在于,所述对核心硬件进行的主动监控包括: a)将所述监控芯片的侦测信号连接到USB控制器和端口之间的数据交换信号上,由此侦测USB的数据交换; b)将所述监控芯片的侦测信号连接到SATA控制器和硬盘之间的数据交换信号上,由此侦测SATA的数据交换; c)将所述监控芯片的侦测信号连接到网卡控制器和网络端口之间的数据交换信号上,由此侦测网络的数据交换; d)将侦测到的数据与白色特征码库以及黑色特征码库进行比对,并按照既定的安全策略进行干预。4.根据权利要求1所述的一种实现异架构下系统监控的方法,其特征在于,所述的监控芯片设置有专用的网卡芯片,所述网卡芯片及其端口仅提供所述监控芯片与IT中心服务端相联系,由所述监控操作系统向服务端汇报各种情况,并由IT中心服务端向监控操作系统下达各种指令。
【专利摘要】本发明公开了一种实现异架构下系统监控的方法,该方法为:在主板的硬件层设置监控芯片,所述监控芯片包括监控固件和监控操作系统,所述监控芯片通过线路与所述主板上的各信号接口相连,并通过监控信号传输和解析数据的方式进行监控,所述监控固件提供实际的监控并由所述监控操作系统进行管理;所述监控芯片设置有外联网络接口,所述监控芯片通过所述外联网络接口与IT中心服务器的管理端相连;所述监控芯片监控的内容包括对核心硬件进行的主动监控,以及对系统对外数据的交换进行的监控。本发明提供的异架构下系统监控的方法,既能保留X86的便利,又能通过异架构对X86进行有效的监控并实行管理。
【IPC分类】H04L12/24
【公开号】CN105162620
【申请号】CN201510471879
【发明人】梁辉, 樊明峰
【申请人】南京百敖软件有限公司
【公开日】2015年12月16日
【申请日】2015年8月4日