[发明专利]用于激活虚拟化的计算机应用的网络背景触发

权利要求书

1.一种用于控制和监视操作系统和应用的系统，包括：

用于建立至少一个容宿操作系统和应用程序的受控执行空间的装置；

用于创建并且存储一个或多个漏洞简档的装置，其中所述漏洞简档中 的每一个漏洞简档包括应用程序标识符、操作系统标识符、漏洞规格和修 补行为，所述漏洞规格描述所述应用程序标识符所指示的应用程序在被利 用所述操作系统标识符所指示的操作系统执行时的漏洞，所述修补行为在 被执行时将修补所述漏洞；

用于监视所述操作系统和所述应用程序在所述受控执行空间中的执行 的装置；

用于检测所述执行期间与所述漏洞相关联的异常的装置，包括用于检 测所述应用程序或所述操作系统被损坏的装置；

用于基于所述漏洞简档之一来确定用于所述操作系统和所述应用程序 的修补行为的装置；以及

用于促成所述修补行为的装置，包括用于从所述受控执行空间移除所 述应用程序或所述操作系统的装置，和用于请求利用来自应用和操作系统 的拷贝的仓库的、所述应用程序和所述操作系统的新拷贝来对所述受控执 行空间重新进行镜像的装置。

2.根据权利要求1所述的系统，还包括用于生成所述应用程序和所述 操作系统的第一数字签名、用于取回受信的第二数字签名并且用于确定所 述第一数字签名与所述第二数字签名是否匹配的装置。

3.根据权利要求1所述的系统，还包括：

用于在检测所述应用程序或所述操作系统被损坏的情况下将与所述应 用程序或所述操作系统相关联的数据存储在共享数据仓库中的装置。

4.根据权利要求1所述的系统，其中，所述受控执行空间包括虚拟机 监视器。

5.根据权利要求1所述的系统，还包括用于使得监视所述应用程序或 所述操作系统与I／O栈的一个或多个交互的装置。

6.根据权利要求1所述的系统，其中所述修补行为包括限制一个或多 个网络接口上的通信，限制对一个或多个网络资源的使用，限制对计算机 系统的资源的使用、限制对网络带宽的使用，限制对一个或多个网络端口 的使用，或者限制对存储设备、文件系统、目录、文件或注册表条目的读 和／或写访问。

7.一种用于控制和监视操作系统和应用的方法，包括：

建立至少一个容宿操作系统和应用程序的受控执行空间；

创建并且存储一个或多个漏洞简档，其中所述漏洞简档中的每一个漏 洞简档包括应用程序标识符、操作系统标识符、漏洞规格和修补行为，所 述漏洞规格描述所述应用程序标识符所指示的应用程序在被利用所述操作 系统标识符所指示的操作系统执行时的漏洞，所述修补行为将在被执行时 修补所述漏洞；

监视所述操作系统和所述应用程序在所述受控执行空间中的执行；

检测执行期间与所述漏洞相关联的异常，包括检测所述应用程序或所 述操作系统被损坏；

基于所述漏洞简档之一来确定用于所述操作系统和所述应用程序的修 补行为；以及

促成所述修补行为，包括从所述受控执行空间中移除所述应用程序或 所述操作系统，以及请求利用来自应用和操作系统的拷贝的仓库的、所述 应用程序和所述操作系统的新拷贝来对所述受控执行空间重新进行镜像。

8.根据权利要求7所述的方法，还包括生成所述应用程序和所述操作 系统的第一数字签名，取回受信的第二数字签名，并且确定所述第一数字 签名是否与所述第二数字签名相匹配。

9.根据权利要求7所述的方法，还包括：

在检测所述应用程序或所述操作系统被损坏的情况下将与所述应用程 序或所述操作系统相关联的数据存储在共享数据仓库中。

10.根据权利要求7所述的方法，其中，所述受控执行空间包括虚拟 机监视器。

11.根据权利要求7所述的方法，还包括使得监视所述应用程序或所 述操作系统与I/O栈的一个或多个交互。

12.根据权利要求7所述的方法，其中所述修补行为包括限制一个或 多个网络接口上的通信，限制对一个或多个网络资源的使用，限制对计算 机系统的资源的使用、限制对网络带宽的使用，限制对一个或多个网络端 口的使用，或者限制对存储设备、文件系统、目录、文件或注册表条目的 读和／或写访问。