[发明专利]一种基于快照的系统防护方法

摘要

本发明公开了一种基于快照的系统防护方法，包括在磁盘中指定用于重定向的预留空间；在磁盘或内存中指定用于记录对应关系的第一空间；生成用于读取磁盘原始数据即快照的私有接口；截获用户对磁盘的读、写操作，截获内核模块的加载，对截获到的磁盘读、写操作，依据是否是通过私有接口发起的而进行分别处理，对截获到的内核模块与快照中的内容，比较后进行分别处理。本发明在现有技术中系统还原方法的基础上，再加一个私有接口及内核监控模块，能简单有效的抵御内核攻击，同时又能确保原来的还原系统能正常工作，从而达到系统防护的目的。

主权项

一种基于快照的系统防护方法，其特征在于，包括如下步骤：步骤(一)a)在磁盘中指定用于重定向的预留空间；b)在磁盘或内存中指定用于记录对应关系的第一空间；c)生成用于读取原始磁盘数据的私有接口；指定预留空间之后，用户所有的正常读、写操作均针对非预留空间；步骤(二)截获用户对磁盘的读、写操作，对截获到的读、写操作进行如下处理：关于写操作将截获到的写操作所针对的原磁盘空间重定向到步骤(一)所述的预留空间，即将该写操作所涉及的数据写入预留空间；并将该写操作所针对的原磁盘空间与实际写入的预留空间的对应关系记录到所述的第一空间中；也可以说该写操作所针对的原磁盘空间已被重定向；关于读操作a)如果该读操作是通过私有接口发起的，则按正常的读操作流程，不经过重定向处理而直接进行读取操作；b)如果该读操作不是通过私有接口发起的，则结合第一空间中记录的对应关系，进行如下判断：如该读操作所针对的区间与参照区间无交集，则按正常读流程执行读操作，最后完成该读操作；如该读操作所针对的区间与参照区间有交集，则对于非交集区间的内容按正常读流程读取；对于交集区间的内容，根据该交集区间与预留空间的对应关系，从预留空间中读取相对应的内容；最后将读取的非交集区间的内容和交集区间的内容合并，完成该读操作；步骤(三)截获内核模块的加载，对于截获到的内核模块，如果该内核模块是不可信任的，则拒绝该内核模块的加载，如果该内核模块是可信任的，则允许加载并运行；步骤(四)系统重启时，清空并释放用于记录对应关系的第一空间；若所述的预留空间是启动操作系统后，再向操作系统申请的，则释放该预留空间；若所述的预留空间是在启动操作系统之前就已经预先完成划分，则无需进行操作。