KR102573921B1 - 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법 - Google Patents

바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법 Download PDF

Info

Publication number
KR102573921B1
KR102573921B1 KR1020160117913A KR20160117913A KR102573921B1 KR 102573921 B1 KR102573921 B1 KR 102573921B1 KR 1020160117913 A KR1020160117913 A KR 1020160117913A KR 20160117913 A KR20160117913 A KR 20160117913A KR 102573921 B1 KR102573921 B1 KR 102573921B1
Authority
KR
South Korea
Prior art keywords
malware
virus
storage device
host device
authentication
Prior art date
Application number
KR1020160117913A
Other languages
English (en)
Other versions
KR20180030328A (ko
Inventor
권성남
김지수
황태석
박찬익
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020160117913A priority Critical patent/KR102573921B1/ko
Priority to US15/609,164 priority patent/US10909238B2/en
Priority to CN201710821259.6A priority patent/CN107818245A/zh
Publication of KR20180030328A publication Critical patent/KR20180030328A/ko
Priority to US17/132,766 priority patent/US20210117540A1/en
Application granted granted Critical
Publication of KR102573921B1 publication Critical patent/KR102573921B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0629Configuration or reconfiguration of storage systems
    • G06F3/0634Configuration or reconfiguration of storage systems by changing the state or mode of one or more devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/031Protect user input by software means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • G06F3/0659Command handling arrangements, e.g. command buffers, queues, command scheduling

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명에 따른 저장 장치의 동작 방법은, 바이러스/멀웨어를 검출하는 단계, 상기 바이러스/멀웨어 검출시 호스트 장치와 인증 동작을 수행하는 단계, 및 상기 인증 동작의 수행 결과로써 인증이 성공할 때, 복구 모드로 진입하는 단계를 포함할 수 있다.

Description

바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법{STORAGE DEVICE AND METHOD FOR PROTECTING AGAINST VIRUS/MALWARE THEREOF AND COMPUTING SYSTEM HAVING THE SAME}
본 발명은 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함하는 컴퓨팅 시스템 및 그것의 방법에 관한 것이다.
랜섬웨어(ransomware)는 사용자 컴퓨터의 중요한 데이터를 몰래 암호화시키고 돈을 지불할 때까지 복호화해주지 않아 사용자에게 막대한 피해를 주는 컴퓨터 바이러스의 일종이다. 충분히 견고하다고 알려져 있는 암호화 알고리즘(e.g. AES256, RSA2048 등)을 사용하기 때문에 공격자가 복호화 키를 알려주지 않는 이상 대부분의 경우 감염 후, 치료가 불가능하다. 따라서 감염 예방이 랜섬웨어의 유일한 대처법으로 강조되고 있다. 하지만, 여전히 컴퓨터 바이러스 감염을 원천적으로 막을 수 있는 솔루션은 없으며 계속해서 웹사이트나 스팸메일, 어플리케이션의 보안 허점을 이용하여 감염시키는 랜섬웨어가 등장함에 따라 사용자는 높은 감염 위험에 노출될 수밖에 없다.
본 발명은 위에서 설명한 기술적 과제를 해결하기 위한 것으로, 본 발명은 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함하는 컴퓨팅 시스템 및 그것의 방법을 제공할 수 있다.
본 발명의 실시 예에 따른 저장 장치의 동작 방법은, 바이러스/멀웨어를 검출하는 단계, 상기 바이러스/멀웨어 검출시 호스트 장치와 인증 동작을 수행하는 단계, 및 상기 인증 동작의 수행 결과로써 인증이 성공할 때, 복구 모드로 진입하는 단계를 포함할 수 있다.
본 발명의 다른 실시 예에 따른 저장 장치의 동작 방법은, 외부 장치로부터 입출력 요청을 수신하는 단계, 상기 입출력 요청으로부터 바이러스/멀웨어의 공격을 검출하는 단계, 상기 바이러스/멀웨어의 공격이 있다면, 상기 외부 장치에 인증서를 요청하는 단계, 상기 외부 장치로부터 수신된 상기 인증서를 검증함으로써, 인증 동작이 실패인 지를 판별하는 단계, 및 상기 인증 동작이 실패일 때, 보호 모드로 진입하는 단계를 포함할 수 있다.
본 발명의 실시 예에 따른 저장 장치는, 호스트 장치와의 인증 동작이 성공할 때 접근 가능한 트랩 파일을 저장하는 보호 영역을 갖는 메모리 영역, 및 상기 호스트 장치로부터 입출력 요청을 수신하고, 상기 입출력 요청에 대응하는 데이터의 패턴을 분석하거나 상기 입출력 요청이 트랩 파일에 대한 접근 혹은 변조를 시도하는 지를 판별함으로써, 바이러스/멀웨어를 검출하는 안티-바이러스/멀웨어 유닛을 포함할 수 있다.
본 발명의 실시 예에 따른 컴퓨팅 시스템은, 트랩 파일을 저장하는 보호 영역과 바이러스/멀웨어를 검출하는 안티-바이러스/멀웨어 유닛을 갖는 저장 장치, 및 호스트 프로그램에 의거하여 상기 저장 장치를 관리하는 호스트 장치를 포함하고, 상기 호스트 프로그램은 상기 트랩 파일을 생성하고 상기 트랩 파일을 상기 보호 영역에 저장시키고, 상기 안티-바이러스/멀웨어 유닛은 상기 호스트 장치에서 상기 트랩 파일에 대한 접근을 시도할 때, 상기 호스트 장치에 우선적으로 인증을 요청할 수 있다.
본 발명의 실시 예에 따른 저장 장치, 그것을 포함하는 컴퓨팅 시스템 및 방법은, 바이러스/멀웨어 검출시 호스트 장치와 인증 성공할 때만 보호 영역의 접근/변조를 허용함으로써, 바이러스/멀웨어 공격으로부터 보다 안전할 수 있다.
도 1은 본 발명의 개념을 설명하기 위한 컴퓨팅 시스템(10)을 예시적으로 보여주는 도면이다.
도 2는 본 발명의 실시 예에 따른 저장 장치(200)를 예시적으로 보여주는 도면이다.
도 3은 본 발명의 실시 예에 따른 저장 장치(200)의 바이러스 혹은 멀웨어 검출 과정을 예시적으로 보여주는 도면이다.
도 4는 본 발명의 실시 예에 따른 저장 장치(200)의 인증 동작을 수행하는 과정을 보여주는 도면이다.
도 5는 본 발명의 실시 예에 따른 저장 장치(200)의 보호 모드 진입 과정을 예시적으로 보여주는 흐름도이다.
도 6은 본 발명의 실시 예에 따른 트랩 파일 생성하는 과정을 예시적으로 보여주는 래더 다이어그램이다.
도 7은 본 발명의 실시 예에 따른 저장 장치(200)의 보안 모드 진입/해제 동작을 예시적으로 보여주는 래더 다이어그램이다.
도 8은 본 발명의 다른 실시 예에 따른 저장 장치(200)의 보안 모드 진입/해제 동작을 예시적으로 보여주는 래더 다이어그램이다
도 9는 본 발명의 실시 예에 따른 저장 장치(200)의 복구 모드 진입 동작을 예시적으로 보여주는 흐름도이다.
도 10은 본 발명의 다른 실시 예에 따른 저장 장치(200)의 복구 모드 진입 동작을 예시적으로 보여주는 흐름도이다.
도 11은 본 발명의 실시 예에 따른 저장 장치(200)에서 복구 데이터를 저장하는 영역들을 예시적으로 보여주는 도면이다.
도 12는 본 발명의 실시 예에 따른 은닉 장치의 인식 과정을 개념적으로 설명하는 도면이다.
도 13은 본 발명의 실시 예에 따른 이중화 저장 장치(200a)를 예시적으로 보여주는 도면이다.
도 14는 본 발명의 실시 예에 따른 컴퓨팅 시스템(20)을 예시적으로 보여주는 도면이다.
도 15는 본 발명의 다른 실시 예에 따른 컴퓨팅 시스템(30)을 예시적으로 보여주는 도면이다.
도 16은 본 발명의 다른 실시 예에 따른 데이터 서버 시스템(40)을 예시적으로 보여주는 블록도이다.
아래에서는 도면들을 이용하여 본 발명의 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있을 정도로 본 발명의 내용을 명확하고 상세하게 기재할 것이다.
도 1은 본 발명의 개념을 설명하기 위한 컴퓨팅 시스템(10)을 예시적으로 보여주는 도면이다. 도 1을 참조하면, 컴퓨팅 시스템(10)은 호스트 장치(100) 및 적어도 하나의 저장 장치(200)를 포함할 수 있다.
컴퓨팅 시스템(10)은 컴퓨터, 포터블(portable) 컴퓨터, UMPC(ultra mobile PC), 워크스테이션(workstation), 데이터 서버(data server), 넷북, PDA, 웹 태블릿, 무선 폰, 모바일 폰, 스마트폰, 전자북, 웨어러블(wearable) 장치, PMP(portable multimedia player), 디지털 카메라, 디지털오디오 녹음기/재생기, 디지털 사진기/비디오 기록기/재생기, 포터블 게임 머신, 네비게이션 시스템, 블록 박스, 3D 텔레비전, 무선 환경에서 정보를 수신 및 송신하는 장치, 홈 네트워크를 구성하는 다양한 전자 장치들 중 어느 하나, 컴퓨터 네트워크를 구성하는 다양한 전자 장치들 중 어느 하나, 텔레매틱스 네트워크를 구성하는 다양한 전자 장치들 중 어느 하나, RFID, 혹은 컴퓨팅 시스템을 구성하는 다양한 전자 장치들 중 어느 하나로 사용될 수 있다.
호스트 장치(100)는 컴퓨팅 시스템(10)의 전반적인 동작을 제어하도록 구현될 수 있다. 호스트 장치(100)는 적어도 하나의 프로세서, 어플리케이션 프로세서, CPU(central processing unit), GPU(graphic processing unit), 연산 장치 등 을 포함할 수 있다. 호스트 장치(100)는 저장 장치(200)에 데이터를 쓰거나 읽을 수 있도록 구현될 수 있다.
실시 예에 있어서, 호스트 장치(100)는 바이러스(virus) 혹은 멀웨어(malware, "malicious software"의 줄임말)를 검출 혹은 치료하도록 구현될 수 있다. 여기서 멀웨어는 웜바이러스(worm virus), 트로이목마(trojan horse), 애드웨어(adware), 랜섬웨어(ransomware) 등을 포함할 수 있다.
실시 예에 있어서, 호스트 장치(100)는 저장 장치(200)를 관리하는 호스트 프로그램(110)을 포함할 수 있다.
저장 장치(200)는 호스트 장치(100)에 연결되고, 데이터를 저장하도록 구현될 수 있다. 예를 들어, 저장 장치(200)는 SSD(solid state drive), HDD(hard disk drive), MMC(multimedia card), eMMC(embedded multimedia card), 메모리 카드(memory card), 3D-Xpoint 메모리, DIMM(dual in-line memory module), NVDIMM(non-volatile dual in-line memory module), UFS(universal flash storage), eUFS(embedded universal flash storage) 등 일 수 있다.
또한, 저장 장치(200)는 안티-바이러스/멀웨어(VM) 유닛(216), 및 메모리 영역(220)을 포함할 수 있다.
실시 예에 있어서, 안티 바이러스/멀웨어 유닛(216)은 저장 장치(200)에 수신된 데이터로부터 바이러스 혹은 멀웨어를 검출하고, 바이러스 혹은 멀웨어의 검출에 따라 보호 모드(protection mode)로 진입하도록 구현될 수 있다. 여기서 보호 모드 진입시는, 저장 장치(200)는 호스트 장치(100)의 접근을 차단 시키거나, 읽기 전용(read only)으로만 접근을 허용할 수 있다.
실시 예에 있어서, 안티 바이러스/멀웨어 유닛(216)은, 바이러스 혹은 멀웨어의 검출시 호스트 장치(100)에 인증(authentication)을 요청할 수 있다. 예를 들어, 안티 바이러스/멀웨어 유닛(216)은 호스트 장치(100)에 인증서(certification)를 요청할 수 있다.
실시 예에 있어서, 안티 바이러스/멀웨어 유닛(216)은 하드웨어/소프트웨어/펌웨어 적으로 구현될 수 있다.
실시 예에 있어서, 안티 바이러스/멀웨어 유닛(216)은 호스트 장치(100)에 의해 옵션적으로 활성화 될 수 있다. 다른 실시 예에 있어서, 안티 바이러스/멀웨어 유닛(216)은 저장 장치(200)의 내부 정책에 따라 활성화 될 수 있다. 다른 실시 예에 있어서, 안티 바이러스/멀웨어 유닛(216)은 사용자의 의해 선택적으로 활성화 될 수 있다.
메모리 영역(220)은 데이터를 저장하도록 구현될 수 있다. 실시 예에 있어서, 메모리 영역(220)은 휘발성 메모리(DRAM, SRAM, 등), 비휘발성 메모리(MRAM, flash memory 등), 혹은 HDD의 플래터(platter) 일 수 있다.
본 발명의 메모리 영역(220)은 보호 영역(protected area; 222)을 포함할 수 있다. 여기서 보호 영역(222)은 보안이 필요한 데이터(보안 데이터), 부팅에 필요한 데이터(부트 데이터), 복구하는데 필요한 복구 데이터 등을 저장할 수 있다.
실시 예에 있어서, 보호 영역(222)은 인증 동작이 성공할 때만 호스트 장치(100)로부터 접근 가능한 영역일 수 있다.
다른 실시 예에 있어서, 보호 영역(222)은 인증 동작이 성공할 때만 쓰기 동작이 가능한 영역일 수 있다. 즉, 보호 영역(222)은 인증 동작이 성공하지 않을 때는 읽기 전용 영역일 수 있다. 예를 들어, 보호 영역(222)은 언마운트(unmount) 상태로써 사용자(예를 들어, 호스트 장치(100))의 파일 시스템(file system)에서 보이지 않으며, 저장 장치(200)를 관리하는 호스트 프로그램(110, 예를 들어, 매지션(magician))에 의해 접근 가능한 영역일 수 있다. 보호 영역(222)은 데이터를 읽는 것을 가능하지만, 업데이트 혹은 쓰기 동작을 수행하기 위해서는 인증 동작을 필요로 한다. 실시 예에 있어서, 보호 영역(222)에 데이터를 업데이트 하는 경우에, 쓰기 동작은 정상적인 쓰기 커맨드에 인증 동작을 위한 서명(signature) 값을 추가할 수 있다.
실시 예에 있어서, 보호 영역(222)은 트랩 파일(trap file)을 포함할 수 있다. 여기서 트랩 파일은 저장 장치(200)의 제조자 혹은 사용자에 의해 발생된 데이터로써, 공격자의 악의적인 접근을 검출하는데 이용될 수 있다. 예를 들어, 인증되지 않았는데, 보호 영역(220)의 트랩 파일에 접근하려고 할 때, 공격자의 악의적인 접근으로 인식할 수 있다.
본 발명의 실시 예에 따른 컴퓨팅 시스템(10)은 바이러스/멀웨어 검출 동작을 저장 장치(200)의 내부에서 수행함으로써, 종래의 그것과 비교하여 보안성 강화 및 성능 저하(monitoring overhead) 감소를 기대할 수 있다.
본 발명의 실시 예에 따른 컴퓨팅 시스템(10)은 악의적인 접근을 검출하기 위한 트랩 파일을 저장하는 저장 장치(200)를 구비함으로써, 종래의 그것과 비교하여 바이러스/멀웨어 검출의 신뢰성을 향상시킬 수 있다.
본 발명의 실시 예에 따른 컴퓨팅 시스템(10)은 바이러스/멀웨어로부터 보호할 수 있는 보호 영역(222)을 구비한 저장 장치(200)를 구비함으로써, 종래의 그것과 비교하여 전체적인 시스템 감염을 사전에 방지할 수 있다.
도 2는 본 발명의 실시 예에 따른 저장 장치(200)를 예시적으로 보여주는 도면이다. 도 2를 참조하면, 저장 장치(200)는, 커넥터(205), 시스템 버스(201)에 연결된 제어기(210), 메모리 영역(220), 및 버퍼 메모리(230)를 포함할 수 있다.
커넥터(205)는 호스트 장치(100)에 통신 프로토콜에 따라 연결하도록 구현될 수 있다. 예를 들어, 통신 프로토콜은 DDR(double data rate), NVMe(non-volatile memory express), PCIe(peripheral component interconnect express), SATA(serial at attachment), SCSI(small computer system interface), SAS(serial attached SCSI), UAS(USB(universal storage bus) attached SCSI), iSCSI(internet small computer system interface), Fiber Channel, FCoE(fiber channel over ethernet), 이와 같은 것일 수 있다
제어기(210)는 저장 장치(200)의 전반적인 동작을 제어하도록 구현될 수 있다. 제어기(210)는 스토리지 소프트웨어(storage SW, 212), 적어도 하나의 하드웨어 아이피(hardware intellectual property, HW IP, 214), 및 안티-AM 유닛(216)을 포함할 수 있다.
스토리지 소프트웨어(212)는 메모리 영역(212)을 관리하는 데 필요한 소프트웨어로써, 수신된 읽기/쓰기 요청에 응답하여 메모리 영역(212)의 읽기/쓰기 동작을 제어할 수 있다.
하드웨어 아이피(214)는 메모리 영역(212)을 관리하는 데 필요한 하드웨어로써, 적어도 하나의 프로세서를 포함할 수 있다. 실시 예에 있어서, 하드웨어 아이피(214)는 데이터의 암복호 동작을 위한 암복호 장치를 추가할 수 있다.
안티-AM 유닛(216)은 바이러스 혹은 멀웨어를 실시간으로 검출하고, 검출 결과에 따라 저장 장치(200)를 보호 모드(protection mode)로 진입시킬 수 있다.
안티-AM 유닛(216)은 공격 검출기(217), 인증기(218), 및 보호기(219)를 포함할 수 있다.
공격 검출기(217)는 바이러스 혹은 멀웨어를 검출하도록 구현될 수 있다. 실시 예에 있어서, 공격 검출기(217)는 수신된 데이터의 패턴을 분석함으로써 바이러스 혹은 멀웨어를 검출할 수 있다. 실시 예에 있어서, 공격 검출기(217)는 트랩 파일에 대한 접근 혹은 변조 시도를 감지함으로써, 바이러스 혹은 멀웨어를 검출할 수 있다. 한편, 공격 검출기(217)가 상술 된 방법들에 의해 바이러스 혹은 멀웨어를 검출한다고 제한되지는 않는다고 이해되어야 할 것이다.
인증기(218)는 호스트 장치(100, 도 1 참조)와 인증 동작을 수행하도록 구현될 수 있다. 실시 예에 있어서, 인증기(218)는 호스트 장치(100)에 인증서(certification)을 요청하거나, 호스트 장치(100)로부터 수신된 인증서를 검증하도록 구현될 수 있다. 다른 실시 예에 있어서, 인증기(218)는 호스트 장치(100)의 호스트 프로그램 실행을 통하여, 사용자에 의한 비밀 번호 입력을 수행함으로써 인증 동작을 수행할 수 있다.
실시 예에 있어서, 인증기(218)는 공격 검출기(217)로부터 바이러스 혹은 멀웨어에 대한 검출을 판별할 경우, 호스트(100)와의 인증 동작을 개시할 수 있다.
보호기(219)는 인증기(218)의 인증 동작 결과에 따라 저장 장치(200)에 대한 호스트 장치(100)의 접근 여부, 메모리 영역(220)의 접근 여부, 보호 영역(222)의 접근 여부, 혹은 보호 영역(222)의 업데이트 혹은 쓰기 여부를 결정할 수 있다.
실시 예에 있어서, 보호기(219)는 인증기(218)의 호스트 장치(100)에 대한 인증 동작이 성공할 때, 보호 영역(222)에 대한 접근 혹은 업데이트(쓰기) 동작을 허용할 수 있다.
실시 예에 있어서, 보호기(219)는 인증기(218)의 호스트 장치(100)에 대한 인증 동작이 실패할 때, 보호 영역(222)에 대한 읽기 동작만을 허용할 수 있다.
버퍼 메모리(230)는 메모리 영역(220)에 쓰여질 데이터를 임시로 저장하거나, 메모리 영역(220)으로부터 읽혀진 데이터를 임시로 저장하도록 구현될 수 있다. 버퍼 메모리(230)는 휘발성 메모리 장치로 구현되거나 비휘발성 메모리 장치로 구현될 수 있다. 예를 들어, 버퍼 메모리(230)는 DRAM(dynamic random access memory), SRAM(static random access memory), PRAM(phase random access memory), 등 그것들과 같은 것일 수 있다.
한편, 도 2에서 도시된 저장 장치(200)는 버퍼 메모리(230)를 포함하지만, 본 발명의 저장 장치(200)가 여기에 제한되지 않을 것이다. 본 발명의 저장 장치(200)는 버퍼 메모리를 포함하지 않을 수도 있다.
도 3은 본 발명의 실시 예에 따른 저장 장치(200)의 바이러스 혹은 멀웨어 검출 과정을 예시적으로 보여주는 도면이다. 도 3을 참조하면, 공격 검출기(217)는 크게 2 종류의 방법으로 바이러스 혹은 멀웨어를 검출할 수 있다.
첫째로, 패턴 분석기(217-1)에 의해 수신된 데이터에 대한 패턴 분석을 통하여 바이러스 혹은 멀웨어가 검출될 수 있다. 여기서 수신된 데이터는 커넥터(205)를 통해 출력된 워크로드(workload)일 수 있다. 사전에 결정된 패턴의 데이터가 입력되는지 여부에 따라 바이러스 혹은 멀웨어 검출이 이루어질 수 있다.
둘째로, 트랩 파일 판별기(217-2)에 대한 접근 여부에 따라 바이러스 혹은 멀웨어가 검출될 수 있다. 트랩 파일 판별기(217-2)은 호스트 프로그램(110, 도 1 참조)에 의해 생성된 데이터로써, 인증 동작을 수행하지 않고는 호스트 장치(100)에 보이지 않는다. 인증 동작이 수행되지 않았거나, 인증 동작이 실패한 경우에, 트랩 파일 판별기(217-2)에 대한 접근이 있다면, 바이러스 혹은 멀웨어 검출로 판별될 수 있다.
실시 예에 있어서, 트랩 파일 판별기(217-2)에 대한 변조 시도가 있을 경우에, 바이러스 혹은 멀웨어 검출로 판별될 수도 있다.
상술 된 바와 같이, 공격 검출기(217)로부터 바이러스 혹은 멀웨어가 검출되었다면, 인증기(218)는 억세스/워크로드를 요청한 외부 장치와의 인증 동작을 개시할 수 있다.
한편, 공격 검출기(217)로부터 바이러스 혹은 멀웨어가 검출되지 않았다면, 정상적으로 스토리지 소프트웨어(212)를 통하여 억세스/워크로드 요청에 따라 메모리 영역(220)이 제어될 수 있다.
한편, 본 발명의 공격 검출기(217)는 패턴 분석기(217-1) 및 트랩 파일 판별기(217-2)을 포함하였다. 하지만, 본 발명의 공격 검출기(217)의 바이러스/멀웨어 검출이 여기에 제한되지 않을 것이다. 본 발명의 공격 검출기(217)는 패턴 분석기(217-1)를 포함하지 않을 수도 있다.
도 4는 본 발명의 실시 예에 따른 저장 장치(200)의 인증 동작을 수행하는 과정을 보여주는 도면이다. 도 4를 참조하면, 인증기(218)는, 공격 검출기(217)로부터 바이러스 혹은 멀웨어가 검출 될 때, 외부 장치와의 인증 동작을 시작할 수 있다.
실시 예에 있어서, 인증기(218)는 비동기 방식으로 외부 장치에 인증 요청을 전송할 수 있다. 실시 예에 있어서, 인증기(218)는 사이드 밴드 인터페이스(side band interface)를 통하여 외부 장치에 인증 요청을 전송할 수 있다. 여기서 사이드 밴드 인터페이스는 MCTP(management component transport protocol)을 이용할 수 있다. 다른 실시 예에 있어서, 호스트 프로그램(110, 도 1 참조)은 저장 장치(200)에 대하여 주기적으로 폴링(polling) 함으로써, 외부 장치에 대한 인증 요청을 알아낼 수 있다. 사용자는 저장 장치(200)의 보호 모드 동작 전에 우선적으로 외부 장치에 대한 인증을 수행할 수 있다.
만일, 인증 동작이 성공하면, 외부 장치는 인증기(218)를 통하여 보안 영역(222)에 대한 접근 혹은 변조를 할 수 있다. 반면에, 인증 동작이 성공하지 못하면, 외부 장치는 메모리 영역(220)에 대한 읽기 동작을 수행할 수 있으나, 쓰기 동작을 수행할 수 없다.
도 5는 본 발명의 실시 예에 따른 저장 장치(200)의 보호 모드 진입 과정을 예시적으로 보여주는 흐름도이다. 도 1 내지 도 5를 참조하면, 저장 장치(200)의 보호 모드 진입 과정은 다음과 같이 진행될 수 있다.
저장 장치(200)는 외부 장치로부터 입출력 요청을 수신할 수 있다(S110). 저장 장치(200)의 공격 검출기(217)는 입출력 요청에 따른 접근 요청 혹은 데이터를 분석함으로써 바이러스/멀웨어 검출 동작을 수행할 수 있다. 바이러스/멀웨거 검출 동작 결과로써, 공격이 있는 지 없는지가 판별될 수 있다(S120).
만일, 바이러스/멀웨어가 검출되었다면, 저장 장치(200)의 인증기(218)는 외부 장치에 대한 인증서를 요청할 수 있다(S130). 여기서 인증서 요청 방법은 도 4에 설명된 바와 같이 다양한 방법들로 구현될 수 있다.
인증기(218)는 외부 장치로부터 인증서를 수신하고, 인증서에 대한 검증을 수행할 수 있다. 즉, 인증기(218)는 인증이 실패하였는지를 판별할 수 있다(S140).
만일, 인증이 실패하였다면, 저장 장치(200)의 보호기(219)는 보호 모드 진입을 결정할 수 있다. 여기서 보호 모드는, 저장 장치(200)에 대한 사전에 결정된 시간 동안 접근을 차단시키거나, 저장 장치(200)의 메모리 영역(220)을 읽기 전용으로 설정하거나, 메모리 영역(220)의 보호 영역(222)을 읽기 전용으로 설정하거나, 보호 영역(220)에 대한 접근을 차단시킬 수 있다.
반면에, S120 단계에서 공격이 검출되지 않았거나, S140 단계에서 인증이 실패하지 않았다면, 저장 장치(200)는 정상 모드로 동작할 수 있다.
도 6은 본 발명의 실시 예에 따른 트랩 파일 생성하는 과정을 예시적으로 보여주는 래더 다이어그램이다. 도 6을 참조하면, 트랩 파일을 생성하는 과정은 다음과 같이 진행될 수 있다.
호스트 장치(100)의 호스트 프로그램(110)은 바이러스/멀웨어 검출을 위한 트랩 파일을 발생할 수 있다(S210). 실시 예에 있어서, 트랩 파일의 크기는 사용자에 의해 가변될 수 있다. 다른 실시 예에 있어서, 트랩 파일의 크기는 고정될 수 있다. 발생된 트랩 파일은 저장 장치(200)에 저장될 수 있다(S220). 이때 호스트 장치(100)는 트랩 파일이 저장된 논리 어드레스(logical address)를 알 수 있다. 호스트 장치(100)는 벤더 커맨드(vendor command)와 같은 사전에 결정된 커맨드를 이용하여 트랩 파일에 대응하는 어드레스 정보를 저장 장치(200)로 전송할 수 있다. 전송된 어드레스 정보는 저장 장치(200)에 저장될 수 있다(S230). 이후, 저장 장치(200)는 저장된 어드레스 정보와 수신된 어드레스를 비교함으로써, 외부 장치의 트랩 파일 접근 여부를 판별할 수 있다.
이후, 호스트 프로그램(110)은 복구 데이터(recovery data)를 설정할 수 있다(S240). 여기서 복구 데이터는 컴퓨팅 시스템(10, 도 1 참조)을 부팅하는데 필요한 부트 데이터, 사용자의 개인 정보(예를 들어, 생체 정보), 보안이 요구되는 보안 데이터 등 일 수 있다. 복구 데이터는 저장 장치(200)의 보안 영역(222)에 저장될 수 있다(S250). 이로써, 트랩 파일의 생성 과정이 완료될 수 있다.
한편, 도 6에서 트랩 파일은 호스트(100)의 호스트 프로그램에 의해 생성되었다. 이는 본 발명을 제한하지 않는 실시 예에 불과하다고 이해되어야 할 것이다. 트랩 파일은 저장 장치(200)의 제조자에 의해 사전에 생성 및 저장될 수 있고, 트랩 파일에 대응하는 어드레스 정보도 저장될 수 있다. 제조자는, 저장 장치(200)의 사용자에게 트랩 파일에 대응하는 어드레스 정보를 제공할 수 있다.
도 7은 본 발명의 실시 예에 따른 저장 장치(200)의 보안 모드 진입/해제 동작을 예시적으로 보여주는 래더 다이어그램이다. 도 7을 참조하면, 저장 장치(200)의 보안 모드 진입/해제 동작은 다음과 같이 진행될 수 있다.
저장 장치(200)는 호스트 장치(100) 혹은 외부 장치로부터 트랩 파일에 대한 접근 요청을 수신할 수 있다. 정상적인 동작에서 호스트 장치(100)의 파일 시스템은 트랩 파일에 대한 어드레스를 알 수 없기 때문에 이러한 접근 요청은 불법적인 시도일 가능성이 높다. 저장 장치(200)는 이러한 트랩 파일에 대한 접근 요청에 응답하여 시스템 락(system lock)을 진행할 수 있다(S310). 여기서 시스템 락은, 사전에 결정된 시간 동안 저장 장치(200)에 대한 접근을 차단시키는 것, 저장 장치(200)를 읽기 전용 모드로 동작시키는 것, 저장 장치(200)의 메모리 영역(220)을 읽기 동작만 가능하게 하는 것, 메모리 영역(220)의 보호 영역(222)을 읽기 동작만 가능하게 하는 것, 보호 영역(222)에 대한 접근을 차단시키는 것, 및 그와 유사한 것들 중에서 적어도 하나를 포함할 수 있다.
이후, 시스템 락 상태에서, 호스트 장치(100)는 데이터 복구 동작을 수행하기 위하여 보호 영역(220)의 복구 데이터 (예를 들어, 부트 데이터)를 요청할 수 있다. 저장 장치(200)는 복구 데이터 요청에 응답하여 호스트 장치(100)에 우선적으로 인증서를 요청할 수 있다. 호스트 장치(100)는 인증서 요청에 응답하여 인증서를 저장 장치(200)에 전송할 수 있다. 저장 장치(200)는 수신된 인증서의 검증을 통하여 인증 성공 여부를 판별할 수 있다(S320). 만일, 인증이 성공한다면, 저장 장치(200)는 보호 영역(222)에 저장된 복구 데이터를 읽고, 읽혀진 복구 데이터를 호스트 장치(100)로 전송할 수 있다. 호스트 장치(100)는 전송된 복구 데이터를 이용하여 시스템 리-부트(re-boot)를 수행할 수 있다(S330). 이후, 인증 성공 아래에서, 시스템 락이 해제될 수 있다(S340).
한편, 도 7에서 저장 장치(200)의 보안 모드 진입은 트랩 파일에 대한 접근 요청에 응답하여 이루어졌다. 하지만, 본 발명에 여기에 제한되지 않는다고 이해되어야 할 것이다. 본 발명의 보안 모드 진입은 트랩 파일의 변조 여부에 따라 이루어질 수 있다.
도 8은 본 발명의 다른 실시 예에 따른 저장 장치(200)의 보안 모드 진입/해제 동작을 예시적으로 보여주는 래더 다이어그램이다. 도 8을 참조하면, 저장 장치(200)의 보안 모드 진입/해제 동작은, 도 7의 그것과 비교하여, 트랩 파일의 변조 여부를 검출하는 단계(S305)와 트랩 파일 검출시 시스템 락을 진행하는 단계(S315)에 대한 차이점들을 갖는다.
도 9는 본 발명의 실시 예에 따른 저장 장치(200)의 복구 모드 진입 동작을 예시적으로 보여주는 흐름도이다. 도 1 내지 도 9를 참조하면, 저장 장치(200)의 복구 모드 진입 과정을 다음과 같이 진행될 수 있다.
저장 장치(200)는 바이러스/멀웨어를 검출할 수 있다(S410). 여기서 바이러스/멀웨어 검출은 도 1 내지 도 8에서 설명된 바와 같이, 데이터 패턴을 분석하거나, 트랩 파일의 접근/변조 시도 등에 따라 이루어질 수 있다. 바이러스/멀웨어가 검출되면, 저장 장치(200)는 입출력 요청을 수행하는 외부 장치와의 인증 동작을 개시할 수 있다(S420). 만일 인증 동작이 성공하지 못하면, 저장 장치(200)는 시스템 락으로 진입할 수 있다. 반면에 인증 동작이 성공하면, 저장 장치(200)는 복구 모드로 진입할 수 있다(S430). 복구 모드 진입시 저장 장치(200)는 복구 동작에 필요한 복구 데이터를 보호 영역(222)으로부터 읽고, 읽혀진 데이터를 외부 장치로 전송할 수 있다.
한편, 본 발명의 저장 장치(200)의 복구 모드 진입이 도 8에 도시된 방법에 제한되지 않는다고 이해되어야 할 것이다.
도 10은 본 발명의 다른 실시 예에 따른 저장 장치(200)의 복구 모드 진입 동작을 예시적으로 보여주는 흐름도이다. 도 1 내지 도 10를 참조하면, 저장 장치(200)의 복구 모드 진입 과정은, 도 9의 그것과 비교하여 S415 단계를 추가할 수 있다. S415 단계에서는, 바이러스/멀웨어 검출시 저장 장치(200)가 보호 모드로 진입할 수 있다. 여기서 보호 모드는 저장 장치(200)에 대한 읽기 동작만 가능한 상태일 수 있다.
도 11은 본 발명의 실시 예에 따른 저장 장치(200)에서 복구 데이터를 저장하는 영역들을 예시적으로 보여주는 도면이다. 도 11을 참조하면, 복구 데이터는, 보호 영역(222) 혹은 읽기 전용 어드레스 영역(226)에 저장 될 수 있다.
메모리 영역(220)은 도 11에 도시된 바와 같이, 비-인증시에도 접근 가능한 읽기/쓰기 어드레스 영역(224)과 읽기 전용 어드레스 영역(226)을 포함할 수 있다. 읽기 전용 어드레스 영역(226)에 저장된 데이터의 변조 시도는, 바이러스/멀웨어의 존재를 의미할 수 있다.
보호 영역(222)은 인증시에만 접근 가능한 영역이다. 인증 없이 보호 영역(220)에 대한 접근 시도 혹은 보호 영역(220)의 데이터에 대한 변조 시도는, 바이러스/멀웨어의 존재를 의미할 수 있다.
한편, 도 1 내지 도 11는 바이러스/멀웨어 검출 관점에서 주요하게 설명하였다. 하지만 본 발명은 인증 관점에서 은닉 장치(hiding device)의 인식 여부로 설명될 수도 있다.
도 12는 본 발명의 실시 예에 따른 은닉 장치의 인식 과정을 개념적으로 설명하는 도면이다. 도 12를 참조하면, 호스트 장치(100)의 비-인증시, 은닉 장치는 인식되지 않는다. 여기서 은닉 장치는 저장 장치(200)에 연관된 장치로써, 물리적으로는 저장 장치(200)와 하나의 장치로 구현될 수 있다. 비-인증시 호스트 장치(100)는, 제 1 통신 프로토콜을 통하여 저장 장치(200)에 입출력 요청을 전송할 수 있다.
또한, 호스트 장치(100)의 인증시, 은닉 장치는 호스트 장치(100)에 보안 저장 장치(300)로 인식될 수 있다. 보안 저장 장치(300)는 복구 데이터를 포함할 수 있다. 인증시 호스트 장치(100)는 저장 장치(200)와 보안 저장 장치(300)를 사용할 수 있다. 이때, 호스트 장치(100)는 제 1 통신 프로토콜을 통하여 저장 장치(200)에 입출력 요청을 전송하거나, 제 2 통신 프로토콜을 통하여 보안 저장 장치(300)에 입출력 요청을 전송할 수 있다. 실시 예에 있어서, 제 1 통신 프로토콜과 제 2 통신 프로토콜은 서로 다를 수 있다. 예를 들어, 제 1 통신 프로토콜은 NVMe이고, 제 2 통신 프로토콜은 사이드 밴드 프로토콜일 수 있다. 다른 실시 예에 있어서, 제 1 통신 프로토콜과 제 2 통신 프로토콜은 동일할 수 있다.
한편, 본 발명은 이중화(duplication) 저장 장치에 적용 가능하다.
도 13은 본 발명의 실시 예에 따른 이중화 저장 장치(200a)를 예시적으로 보여주는 도면이다. 도 13을 참조하면, 이중화 저장 장치(200a)는, 제 1 적어도 하나의 비휘발성 메모리 장치(NVM1(s)), 제 2 적어도 하나의 비휘발성 메모리 장치(NVM2(s)), 제 1 포트(P1)에 연결되고 제 1 적어도 하나의 비휘발성 메모리 장치(NVM1(s))을 제어하는 제 1 메모리 제어기(CTNL1), 제 2 포트(P2)에 연결되고, 제 2 적어도 하나의 비휘발성 메모리 장치(NVM2(s)를 제어하는 제 2 메모리 제어기(CTNL2)를 포함할 수 있다.
제 1 메모리 제어기(CTNL1) 혹은 제 2 메모리 제어기(CTNL2)는 도 1 내지 도 12에 설명된 안티 바이러스/멀웨어 유닛(216)을 포함할 수 있다. 설명의 편의를 위하여 아래에서는 제 1 포트(P1)가 활성화된 상태에서 바이러스/멀웨어가 검출되었다고 가정하겠다. 제 1 메모리 제어기(CTNL1)가 바이러스/멀웨어를 검출하면, 제 1 포트(PT1)은 비활성화 상태가 되고, 제 1 적어도 하나의 비휘발성 메모리 장치(NVM1(s))의 데이터는 제 2 적어도 하나의 비휘발성 메모리 장치(NVM2(s))로 백업될 수 있다. 이후, 비활성 상태였던, 제 2 포트(P2)는 활성 상태로 변경될 수 있다. 호스트 장치는 제 2 포트(P2)를 통하여 이중화 저장 장치(200a)의 접근을 계속적으로 수행할 수 있다. 한편, 제 1 메모리 제어기(CTNL1)에서 검출된 바이러스/멀웨어는 대응하는 백신에 의해 치료될 수 있다.
여기서 제 1 및 제 2 적어도 하나의 비휘발성 메모리 장치(NVM1(s), NVM2(s))는 낸드 플래시 메모리(NAND Flash Memory), 수직형 낸드 플래시 메모리(Vertical NAND; VNAND), 노아 플래시 메모리(NOR Flash Memory), 저항성 램(Resistive Random Access Memory: RRAM), 상변화 메모리(Phase-Change Memory: PRAM), 자기저항 메모리(Magnetoresistive Random Access Memory: MRAM), 강유전체 메모리(Ferroelectric Random Access Memory: FRAM), 스핀주입 자화반전 메모리(Spin Transfer Torque Random Access Memory: STT-RAM) 등이 될 수 있다.
또한, 비휘발성 메모리 장치는 3차원 어레이 구조(three-dimensional array structure)로 구현될 수 있다. 본 발명의 실시 예로서, 3차원 메모리 어레이는, 실리콘 기판 및 메모리 셀들의 동작에 연관된 회로의 위에 배치되는 활성 영역을 갖는 메모리 셀들의 어레이들의 하나 또는 그 이상의 물리 레벨들에 모놀리식으로(monolithically) 형성될 수 있다. 메모리 셀들의 동작에 연관된 회로는 기판 내에 또는 기판 위에 위치할 수 있다. 모놀리식(monolithical)이란 용어는, 3차원 어레이의 각 레벨의 층들이 3차원 어레이의 하위 레벨의 층들 위에 직접 증착 됨을 의미한다.
본 발명의 개념에 따른 실시 예로서, 3차원 메모리 어레이는 수직의 방향성을 가져, 적어도 하나의 메모리 셀이 다른 하나의 메모리 셀 위에 위치하는 수직 NAND 스트링들을 포함한다. 적어도 하나의 메모리 셀은 전하 트랩 층을 포함한다. 각각의 수직 NAND 스트링은 메모리 셀들 위에 위치하는 적어도 하나의 선택 트랜지스터를 포함할 수 있다. 적어도 하나의 선택 트랜지스터는 메모리 셀들과 동일한 구조를 갖고, 메모리 셀들과 함께 모놀리식으로 형성될 수 있다.
3차원 메모리 어레이가 복수의 레벨들로 구성되고, 레벨들 사이에 공유된 워드 라인들 또는 비트 라인들을 갖는다. 3차원 메모리 어레이에 적합한 구성은, 삼성전자에서 출원하였으며, 이 출원의 참고문헌으로 결합된 US 7,679,133, US 8,553,466, US 8,654,587, US 8,559,235, 및 US 2011/0233648에 설명될 것이다. 본 발명의 비휘발성 메모리 장치(NVM)는 전하 저장층이 전도성 부유 게이트로 구성된 플래시 메모리 장치는 물론, 전하 저장층이 절연막으로 구성된 차지 트랩형 플래시(charge trap flash; CTF)에도 모두 적용 가능하다.
본 발명은 NVDIMM(non-volatile memory dual in-line memory module)에 적용 가능하다.
도 14는 본 발명의 실시 예에 따른 컴퓨팅 시스템(20)을 예시적으로 보여주는 도면이다. 도 14를 참조하면, 컴퓨팅 시스템(20)은 프로세서(CPU, 21), 메모리 모듈(DIMM, 22), 및 비휘발성 메모리 모듈(NVDIMM, 23)을 포함할 수 있다.
프로세서(21)는 컴퓨팅 시스템(20)의 제반 동작을 제어하도록 구현될 수 있다. 프로세서(21)는 컴퓨팅 시스템(20)에서 수행되는 다양한 연산들을 수행 및 데이터를 처리할 수 있다. 실시 예에 있어서, 프로세서(21)는 메모리 모듈(22) 및 비휘발성 메모리 모듈(23)을 관리하기 위한 메모리 제어기(memory controller)를 포함할 수 있다.
메모리 모듈(22)은 DDR(double data rate) 인터페이스를 통하여 프로세서(21)에 연결될 수 있다. 실시 예에 있어서, DDR 인터페이스는 JEDEC(joint electron device engineering council)의 메모리 표준 규격일 수 있다. 한편, 도 14에 도시된 메모리 모듈(22)은 DDR 인터페이스에 따라 프로세서(21)에 연결되지만, 본 발명은 여기에 제한되지 않을 것이다. 본 발명의 메모리 모듈(22)은 DDR 인터페이스를 제외한 다양한 종류의 통신 인터페이스를 통하여 프로세서(21)에 연결될 수 있다. 예를 들어, 통신 인터페이스는 NVMe(non-volatile memory express), PCIe(peripheral component interconnect express), SATA(serial at attachment), SCSI(small computer system interface), SAS(serial attached SCSI), UAS(USB(universal storage bus) attached SCSI), iSCSI(internet small computer system interface), Fiber Channel, FCoE(fiber channel over ethernet) 등과 같은 것일 수 있다.
실시 예에 있어서, 메모리 모듈(22)은 듀얼 인-라인 메모리 모듈(dual in-line memory module)로 구현될 수 있다. 실시 예에 있어서, 메모리 모듈(22)은 적어도 하나의 DRAM(dynamic random access memory)를 포함할 수 있다. 실시 예에 있어서 메모리 모듈(22)은 비휘발성 메모리 모듈(23)의 캐시 메모리로 동작할 수 있다. 실시 예에 있어서, 메모리 모듈(DIMM)은 데이터(data) 및 그것에 대응하는 태그(tag)를 저장하는 복수의 캐시 블록들을 포함할 수 있다. 실시 예에 있어서, 복수의 캐시 블록들의 각각은 디램(DRAM, dynamic random access memory)으로 구현될 수 있다.
비휘발성 메모리 모듈(23)은 DDR 인터페이스를 통하여 프로세서(21)에 연결될 수 있다. 한편, 도 14에 도시된 비휘발성 메모리 모듈(23)은 DDR 인터페이스에 따라 프로세서(21)에 연결되지만, 본 발명은 여기에 제한되지 않을 것이다. 본 발명의 비휘발성 메모리 모듈(23)은 DDR 인터페이스를 제외한 다양한 종류의 통신 인터페이스를 통하여 프로세서(21)에 연결될 수 있다.
비휘발성 메모리 모듈(23)은 듀얼 인-라인 메모리 모듈(dual li-line memory module)로 구현될 수 있다. 비휘발성 메모리 모듈(23)은 프로세서(21)의 동작 메모리로 이용될 수 있다. 비휘발성 메모리 모듈(23)은 적어도 하나의 비휘발성 메모리를 포함할 수 있다.
특히, 본 발명의 비휘발성 메모리 모듈(23)은 도 1 내지 도 13에서 설명된 바와 같이 안티 바이러스/멀웨어 유닛을 구비함으로써, 실시간으로 바이러스/멀웨어를 검출하고, 이에 따라 보호 모드 진입을 자체적으로 수행할 수 있다.
한편, 본 발명의 컴퓨팅 시스템은 DDR-T(transaction) 인터페이스에 따른 비휘발성 메모리를 더 포함할 수 있다.
도 15는 본 발명의 다른 실시 예에 따른 컴퓨팅 시스템(30)을 예시적으로 보여주는 도면이다. 도 15를 참조하면, 컴퓨팅 시스템(30)은 프로세서(31), 메모리 모듈(DIMM, 32), 및 비휘발성 메모리(NVM, 33)를 포함할 수 있다.
프로세서(31)와 메모리 모듈(32)은, 도 14에서 설명된 그것들과 동일하게 구현될 수 있다.
비휘발성 메모리(33)는 DDR-T 인터페이스에 따라 데이터를 입출력 할 수 있다. 이때, 메모리 모듈(32)은 비휘발성 메모리(33)의 캐시 기능을 수행하도록 구현될 수 있다. 실시 예에 있어서, 비휘발성 메모리(NVM)는 3D-Xpoint 메모리(예, 3차원 MRAM)일 수 있다.
도 16은 본 발명의 다른 실시 예에 따른 데이터 서버 시스템(40)을 예시적으로 보여주는 블록도이다. 도 16을 참조하면, 데이터 서버 시스템(40)은 데이터 베이스 관리 시스템(RDBMS, 41), 캐시 서버(42), 및 어플리케이션 서버(43)를 포함할 수 있다.
캐시 서버(42)는 데이터 베이스 관리 시스템(41)으로부터의 무효화 통지에 대응하여 서로 다른 키(key), 값(value) 쌍을 유지하고, 삭제하는 키값 저장을 포함할 수 있다.
데이터 베이스 관리 시스템(RDBMS, 41), 캐시 서버(42), 및 어플리케이션 서버(43) 중 적어도 하는 도 1 내지 도 15에서 설명된 바와 같이, 바이러스/멀웨어를 검출하고, 바이러스/멀웨어 검출시 인증을 통해서만 보호 영역 접근/변조를 가능하게 할 수 있다.
본 발명에서는 ransomware의 감염이 되고 난 후, storage level에서의 data 변조시도에 대한 검출, 인증, 보호, 복구하는 방법을 제시한다.
본 발명에서는 Host System으로부터 받은 정보를 기반으로 하여, Storage Device에서 비정상 File I/O를 감지할 수 있는 방법과 더 이상의 감염을 막고, 복구할 수 있는 안전한 환경(복구모드)을 제공함으로써, 기존에 Host System에만 존재하는 Anti-virus SW보다 보다 효과적이고 효율적인 방법을 제공할 수 있다.)
첫째로, 본 발명의 저장 장치는 악의적인 접근과 변조를 검출하기 위한 Detector를 구비한다. 본 발명은 변조가 어려운 Storage System의 SoC내부에 Detector의 추가를 제안한다. Pattern Analyzer는 workload의 Pattern을 분석하여 악의적인 접근과 변조를 검출하게 되고, Trap File은 Pattern Analyzer가 검출하지 못하는 경우를 대비해 정상적인 접근이 불가능한 File을 생성하고 이후 접근에 대해 악의적인 접근을 검출한다. 악의적인 접근과 변조가 검출되었다면 Authenticator에 인증을 요청하게 된다.
둘째로, 본 발명의 저장 장치는 사용자 인증을 위한 Authenticator를 구비한다. 본 발명에서 제안하는 Authenticator는 Storage System의 SoC 내부에 존재하며, Detector에서 악의적인 변조와 접근이 검출되었을 때, 사용자를 인증 할 수 있는 행동을 수행하게 된다. 또한, Authenticator는 사용자 인증을 하는 과정에서 Reply Attack 등을 방지하기 위하여 기존의 증명된 인증기법이 사용 가능 하다.
셋째로, 본 발명의 저장 장치는 데이터 보호 및 복구를 위한 Protector를 구비한다. 본 발명에서 제안하는 Protector는 Storage 내부의 Protected Area를 접근, 수정할 수 있으며 Protected Area는 사용자 인증을 통해 Data보호 및 복구를 위해 사용되고 인증이 없이는 접근할 수 없다. Protected Area는 물리적/논리적으로 연속될 수도 있고 여러 개의 chunk들의 집합일 수도 있다.
본 발명이 적용된 Storage System의 사용자는 매우 제한적으로 접근과 수정이 가능한 SoC 내부에 있는 Authenticator와 Protector를 이용해 Data보호 및 복구를 위한 설정을 하게 된다.
또한 Detector는 사용자의 접근이 불가능한 영역에 Trap File을 생성하고 Storage level에서 관리할 수 있다. 이후 ransomware같은 malware나 virus가 사용자의 vaccine을 감염시켜 의도치 않은 행동을 막을 수 없는 상태에서, 사용자에게 피해를 주기 위해 활동을 시작한다면 Detector의 Pattern Analyzer는 Command와 Data의 Pattern을 검사하고, Trap File에 대한 접근 여부로 악의적인 접근과 변조를 검출할 수 있다.
Authenticator를 통해 사용자 인증이 되기 전까진 모든 Storage System에 대한 요청은 거부되며, 인증이 실패할 시 Protector에 의해 복구모드가 실행된다. Protector에 의해 관리되는 Data는 Authenticator의 인증을 통해서만 접근과 수정이 가능하기 때문에 malware나 Virus에 의해 파일변조가 불가능하고, 이로 인해 신뢰하여 복구에 사용할 수 있다.
Host에서 동작하던 Virus/Malware 검출 동작을 Storage 내부에서 수행하여 보안성 강화 및 성능 저하 (Monitoring Overhead) 감소시킬 수 있다. 악의적 접근 검출을 위해 Secure Data를 사용하여 기존 Pattern Analyzer 기반 검출 방법 대비 Pattern이 다른 접근에 대해서도 검출이 가능하다. 보호가 필요한 Data, Area에 대해서는 Read-only로 설정하여 시스템 전체가 감염되는 것을 미연에 방지할 수 있다.
본 발명의 호스트 프로그램은 미끼(Trap) 파일을 생성하고 이의 Address를 Storage Device에 알려줄 수 있다. 실시 예에 있어서, 받은 Address를 기준으로 Storage Device가 스스로 Data 변조를 감지할 수 있다. 본 발명에서 제안하는 Storage Device의 복구 모드 (Write-protected, 복구 영역으로 부팅 등)을 제안한다.
한편, 상술 된 본 발명의 내용은 발명을 실시하기 위한 구체적인 실시 예들에 불과하다. 본 발명은 구체적이고 실제로 이용할 수 있는 수단 자체뿐 아니라, 장차 기술로 활용할 수 있는 추상적이고 개념적인 아이디어인 기술적 사상을 포함할 것이다.
10: 컴퓨팅 시스템
100: 호스트 장치
110: 호스트 프로그램
200: 저장 장치
220: 메모리 영역
222: 보호 영역
216: 안티-바이러스/멀웨어 유닛
217: 공격 검출기
218: 인증기
219: 보호기

Claims (20)

  1. 저장 장치의 동작 방법에 있어서:
    바이러스/멀웨어를 검출하는 단계;
    상기 바이러스/멀웨어 검출시 호스트 장치와 인증 동작을 수행하는 단계; 및
    상기 인증 동작의 수행 결과로써 인증이 성공할 때, 복구 모드로 진입하는 단계를 포함하고,
    상기 바이러스/멀웨어를 검출하는 단계는,
    상기 바이러스/멀웨어를 검출하기 위하여 수신된 데이터에 대한 패턴을 분석하는 단계를 포함하는 방법.
  2. 삭제
  3. 저장 장치의 동작 방법에 있어서:
    바이러스/멀웨어를 검출하는 단계;
    상기 바이러스/멀웨어 검출시 호스트 장치와 인증 동작을 수행하는 단계; 및
    상기 인증 동작의 수행 결과로써 인증이 성공할 때, 복구 모드로 진입하는 단계를 포함하고,
    상기 바이러스/멀웨어를 검출하는 단계는,
    상기 바이러스/멀웨어를 검출하기 위하여 트랩 파일에 대한 접근 여부를 판별하는 단계를 포함하는 방법.
  4. 제 3 항에 있어서,
    상기 트랩 파일을 생성하는 단계;
    상기 생성된 트랩 파일을 저장하는 단계; 및
    상기 저장된 트랩 파일에 대응하는 어드레스 정보를 저장하는 단계를 더 포함하는 방법.
  5. 제 3 항에 있어서,
    상기 바이러스/멀웨어가 검출될 때, 시스템 락(system lock)으로 진입하는 단계를 더 포함하는 방법.
  6. 제 5 항에 있어서,
    상기 시스템 락은, 상기 저장 장치에 대하여 사전에 결정된 시간 동안 외부 장치로부터의 접근을 차단시키거나, 상기 저장 장치의 메모리 영역에 대한 접근을 차단시키거나, 상기 메모리 영역에 대한 읽기 동작만을 허용하거나, 상기 메모리 영역 내부의 보호 영역에 대한 접근을 차단시키거나, 상기 보호 영역에 대한 읽기 동작만을 허용하는 방법.
  7. 제 5 항에 있어서,
    상기 인증이 성공할 때, 상기 시스템 락을 해제하는 단계를 더 포함하는 방법.
  8. 저장 장치의 동작 방법에 있어서:
    바이러스/멀웨어를 검출하는 단계;
    상기 바이러스/멀웨어 검출시 호스트 장치와 인증 동작을 수행하는 단계; 및
    상기 인증 동작의 수행 결과로써 인증이 성공할 때, 복구 모드로 진입하는 단계를 포함하고,
    상기 바이러스/멀웨어를 검출하는 단계는, 상기 바이러스/멀웨어를 검출하기 위하여 트랩 파일에 대한 변조 시도를 판별하는 단계를 포함하고,
    상기 트랩 파일에 대한 변조 시도가 있을 때, 시스템 락으로 진입하는 단계를 더 포함하는 방법.
  9. 제 8 항에 있어서,
    상기 인증 동작을 수행하는 단계는,
    상기 호스트 장치에 인증서를 요청하는 단계; 및
    상기 호스트 장치로부터 수신된 인증서를 검증하는 단계를 포함하는 방법.
  10. 제 9 항에 있어서,
    상기 호스트 장치에 인증서를 요청하는 단계는,
    비동기 커맨드에 응답하여 상기 호스트 장치에 상기 인증서를 요청하는 단계를 포함하는 방법.
  11. 제 9 항에 있어서,
    상기 호스트 장치에 인증서를 요청하는 단계는,
    상기 호스트 장치의 상기 저장 장치에 대한 주기적인 폴링(polling)에 따라 상기 인증서를 요청하는 것을 알아내는 단계를 포함하는 방법.
  12. 제 8 항에 있어서,
    상기 복구 모드로 진입하는 단계는,
    보호 영역에 저장된 부트 데이터를 상기 호스트 장치로 전송하는 단계를 포함하는 방법.
  13. 제 8 항에 있어서,
    상기 보호 영역은 상기 인증이 성공할 때 상기 호스트 장치에서 인식되는 방법.
  14. 저장 장치의 동작 방법에 있어서:
    외부 장치로부터 입출력 요청을 수신하는 단계;
    상기 입출력 요청으로부터 바이러스/멀웨어의 공격을 검출하는 단계;
    상기 바이러스/멀웨어의 공격이 있다면, 상기 외부 장치에 인증서를 요청하는 단계;
    상기 외부 장치로부터 수신된 상기 인증서를 검증함으로써, 인증 동작이 실패인 지를 판별하는 단계; 및
    상기 인증 동작이 실패일 때, 보호 모드로 진입하는 단계를 포함하는 방법.
  15. 제 14 항에 있어서,
    상기 바이러스/멀웨어의 공격을 검출하는 단계는,
    상기 입출력 요청에 대응하는 데이터의 패턴을 분석하거나, 상기 입출력 요청이 트랩 파일에 대한 접근 혹은 변조를 시도하는 지 판별하는 단계를 포함하는 방법.
  16. 제 14 항에 있어서,
    상기 보호 모드로 진입하는 단계는,
    상기 저장 장치를 상기 외부 장치로부터 사전에 결정된 시간 동안 접근을 허용하지 않거나, 상기 저장 장치의 메모리 영역에 대한 접근을 허용하지 않거나, 상기 메모리 영역의 보호 영역에 대한 접근을 허용하지 않거나, 상기 메모리 영역을 읽기 전용으로 설정하거나, 상기 보호 영역을 읽기 전용으로 설정하거나, 상기 보호 영역에 대한 쓰기 혹은 업데이트를 허용하지 않는 방법.
  17. 제 14 항에 있어서,
    상기 바이러스/멀웨어 공격이 검출되지 않거나, 상기 인증 동작이 성공할 때, 정상 모드로 진입하는 단계를 더 포함하는 방법.
  18. 제 17 항에 있어서,
    상기 정상 모드일 때 상기 저장 장치와 상기 외부 장치 사이의 통신 프로토콜과 상기 복구 모드일 때 상기 저장 장치와 상기 외부 장치 사이의 통신 프로토콜은 서로 다른 방법.
  19. 호스트 장치와의 인증 동작이 성공할 때 접근 가능한 트랩 파일을 저장하는 보호 영역을 갖는 메모리 영역; 및
    상기 호스트 장치로부터 입출력 요청을 수신하고, 상기 입출력 요청에 대응하는 데이터의 패턴을 분석하거나 상기 입출력 요청이 트랩 파일에 대한 접근 혹은 변조를 시도하는 지를 판별함으로써, 바이러스/멀웨어를 검출하는 안티-바이러스/멀웨어 유닛을 포함하는 저장 장치.
  20. 제 19 항에 있어서,
    상기 안티-바이러스/멀웨어 유닛은,
    상기 바이러스/멀웨어를 검출하는 공격 검출기;
    상기 바이러스/멀웨어의 공격이 검출될 때, 상기 인증 동작을 수행하는 인증기; 및
    상기 인증 동작이 실패할 때, 상기 메모리 영역 혹은 상기 보호 영역을 보호하도록 보호 모드로 진입시키는 보호기를 포함하는 저장 장치.
KR1020160117913A 2016-09-13 2016-09-13 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법 KR102573921B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020160117913A KR102573921B1 (ko) 2016-09-13 2016-09-13 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법
US15/609,164 US10909238B2 (en) 2016-09-13 2017-05-31 Storage device and method for protecting against virus/malware thereof and computing system having the same
CN201710821259.6A CN107818245A (zh) 2016-09-13 2017-09-13 用于防止病毒/恶意软件的存储设备和方法及计算系统
US17/132,766 US20210117540A1 (en) 2016-09-13 2020-12-23 Storage device and method for protecting against virus/malware thereof and computing system having the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160117913A KR102573921B1 (ko) 2016-09-13 2016-09-13 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법

Publications (2)

Publication Number Publication Date
KR20180030328A KR20180030328A (ko) 2018-03-22
KR102573921B1 true KR102573921B1 (ko) 2023-09-04

Family

ID=61560836

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160117913A KR102573921B1 (ko) 2016-09-13 2016-09-13 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법

Country Status (3)

Country Link
US (2) US10909238B2 (ko)
KR (1) KR102573921B1 (ko)
CN (1) CN107818245A (ko)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6723863B2 (ja) * 2016-08-01 2020-07-15 オリンパス株式会社 組み込みシステム、撮影機器及びリフレッシュ方法
KR102573921B1 (ko) * 2016-09-13 2023-09-04 삼성전자주식회사 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법
US11003777B2 (en) 2018-04-16 2021-05-11 International Business Machines Corporation Determining a frequency at which to execute trap code in an execution path of a process executing a program to generate a trap address range to detect potential malicious code
US10810304B2 (en) * 2018-04-16 2020-10-20 International Business Machines Corporation Injecting trap code in an execution path of a process executing a program to generate a trap address range to detect potential malicious code
JP7000978B2 (ja) * 2018-05-01 2022-01-19 コニカミノルタ株式会社 画像処理装置および制御プログラム
US11042636B2 (en) * 2018-09-12 2021-06-22 International Business Machines Corporation Using trap storage units to detect malicious processes
US11080397B2 (en) 2018-09-12 2021-08-03 International Business Machines Corporation Using trap cache segments to detect malicious processes
JP7034870B2 (ja) * 2018-09-19 2022-03-14 株式会社東芝 認証装置
KR102105885B1 (ko) * 2018-11-30 2020-05-04 주식회사 심플한 랜섬웨어 탐지 방법 및 랜섬웨어 탐지 시스템
US11080182B2 (en) * 2019-01-07 2021-08-03 International Business Machines Corporation Object load introspection using guarded storage
TWI700590B (zh) * 2019-01-28 2020-08-01 瑞昱半導體股份有限公司 介面轉接電路
US10866747B2 (en) * 2019-02-10 2020-12-15 Hewlett Packard Enterprise Development Lp Securing a memory drive
US10725687B1 (en) * 2019-03-19 2020-07-28 Western Digital Technologies, Inc. Settable replay protected memory block characteristics in a logic unit
US11232206B2 (en) * 2019-04-23 2022-01-25 Microsoft Technology Licensing, Llc Automated malware remediation and file restoration management
KR102239902B1 (ko) * 2019-06-03 2021-04-13 김덕우 보조기억장치에서의 파일시스템 보호장치 및 방법
KR102275764B1 (ko) * 2019-08-22 2021-07-13 김덕우 가변 컴퓨터 파일시스템이 적용된 데이터 저장장치
US20220197537A1 (en) * 2020-12-18 2022-06-23 Micron Technology, Inc. Object management in tiered memory systems
KR102403303B1 (ko) * 2021-08-19 2022-05-30 여동균 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080162915A1 (en) * 2006-12-29 2008-07-03 Price Mark H Self-healing computing system
US20120255017A1 (en) * 2011-03-31 2012-10-04 Mcafee, Inc. System and method for providing a secured operating system execution environment

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9361243B2 (en) * 1998-07-31 2016-06-07 Kom Networks Inc. Method and system for providing restricted access to a storage medium
US7712132B1 (en) 2005-10-06 2010-05-04 Ogilvie John W Detecting surreptitious spyware
US8046547B1 (en) * 2007-01-30 2011-10-25 American Megatrends, Inc. Storage system snapshots for continuous file protection
US7814321B2 (en) * 2007-04-19 2010-10-12 Lenovo (Singapore) Pte. Ltd. System and method for protecting disk drive password when BIOS causes computer to leave suspend state
US8578179B2 (en) 2007-10-19 2013-11-05 Samsung Electronics Co., Ltd Safe command execution and error recovery for storage devices
KR101226685B1 (ko) 2007-11-08 2013-01-25 삼성전자주식회사 수직형 반도체 소자 및 그 제조 방법.
US8091115B2 (en) 2008-10-03 2012-01-03 Microsoft Corporation Device-side inline pattern matching and policy enforcement
US8353026B2 (en) * 2008-10-23 2013-01-08 Dell Products L.P. Credential security system
US8392989B2 (en) 2009-10-06 2013-03-05 Nvidia Corporation Anti-malware scanning in parallel processors of a graphics processing unit
KR101691092B1 (ko) 2010-08-26 2016-12-30 삼성전자주식회사 불휘발성 메모리 장치, 그것의 동작 방법, 그리고 그것을 포함하는 메모리 시스템
US8553466B2 (en) 2010-03-04 2013-10-08 Samsung Electronics Co., Ltd. Non-volatile memory device, erasing method thereof, and memory system including the same
US9536970B2 (en) 2010-03-26 2017-01-03 Samsung Electronics Co., Ltd. Three-dimensional semiconductor memory devices and methods of fabricating the same
JP5425840B2 (ja) 2010-06-07 2014-02-26 サムソン エスディーエス カンパニー リミテッド アンチマルウェアシステム及びその動作方法
KR101682666B1 (ko) 2010-08-11 2016-12-07 삼성전자주식회사 비휘발성 메모리 장치, 그것의 채널 부스팅 방법, 그것의 프로그램 방법 및 그것을 포함하는 메모리 시스템
US20120047580A1 (en) * 2010-08-18 2012-02-23 Smith Ned M Method and apparatus for enforcing a mandatory security policy on an operating system (os) independent anti-virus (av) scanner
US9064116B2 (en) 2010-11-08 2015-06-23 Intel Corporation Techniques for security management provisioning at a data storage device
US8560845B2 (en) * 2011-01-14 2013-10-15 Apple Inc. System and method for tamper-resistant booting
US9038176B2 (en) * 2011-03-31 2015-05-19 Mcafee, Inc. System and method for below-operating system trapping and securing loading of code into memory
US20120254993A1 (en) * 2011-03-28 2012-10-04 Mcafee, Inc. System and method for virtual machine monitor based anti-malware security
US8978137B2 (en) * 2012-02-29 2015-03-10 Cisco Technology, Inc. Method and apparatus for retroactively detecting malicious or otherwise undesirable software
KR101636638B1 (ko) 2012-03-19 2016-07-05 인텔 코포레이션 명령어가 피연산자에 포함된 안티 멀웨어 보호 동작
US8782793B2 (en) * 2012-05-22 2014-07-15 Kaspersky Lab Zao System and method for detection and treatment of malware on data storage devices
RU2530210C2 (ru) * 2012-12-25 2014-10-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы
US20160378691A1 (en) * 2015-06-25 2016-12-29 Intel Corporation System, apparatus and method for protecting a storage against an attack
GB2540961B (en) * 2015-07-31 2019-09-18 Arm Ip Ltd Controlling configuration data storage
US10049215B2 (en) * 2015-09-15 2018-08-14 The Johns Hopkins University Apparatus and method for preventing access by malware to locally backed up data
US10140454B1 (en) * 2015-09-29 2018-11-27 Symantec Corporation Systems and methods for restarting computing devices into security-application-configured safe modes
KR101709116B1 (ko) * 2015-10-01 2017-02-22 한국전자통신연구원 가상 머신 부팅 장치 및 방법
US20170206353A1 (en) * 2016-01-19 2017-07-20 Hope Bay Technologies, Inc. Method and system for preventing malicious alteration of data in computer system
CN105809055B (zh) * 2016-02-26 2019-03-22 深圳天珑无线科技有限公司 访问控制方法、装置及相关设备
US10339304B2 (en) * 2016-03-15 2019-07-02 Symantec Corporation Systems and methods for generating tripwire files
US10205594B1 (en) * 2016-03-30 2019-02-12 EMC IP Holding Company LLC Crypto-erasure resilient to network outage
US10019577B2 (en) * 2016-04-14 2018-07-10 Dell Products, L.P. Hardware hardened advanced threat protection
US10303877B2 (en) * 2016-06-21 2019-05-28 Acronis International Gmbh Methods of preserving and protecting user data from modification or loss due to malware
US20170371573A1 (en) * 2016-06-24 2017-12-28 Samsung Electronics Co., Ltd. Method of operating storage medium, method of operating host controlling the storage medium, and method of operating user system including the storage medium and the host
US20180007069A1 (en) * 2016-07-01 2018-01-04 Mcafee, Inc. Ransomware Protection For Cloud File Storage
US10831893B2 (en) * 2016-07-14 2020-11-10 Mcafee, Llc Mitigation of ransomware
US10346258B2 (en) * 2016-07-25 2019-07-09 Cisco Technology, Inc. Intelligent backup system
US10476907B2 (en) * 2016-08-10 2019-11-12 Netskope, Inc. Systems and methods of detecting and responding to a data attack on a file system
KR102573921B1 (ko) * 2016-09-13 2023-09-04 삼성전자주식회사 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080162915A1 (en) * 2006-12-29 2008-07-03 Price Mark H Self-healing computing system
US20120255017A1 (en) * 2011-03-31 2012-10-04 Mcafee, Inc. System and method for providing a secured operating system execution environment

Also Published As

Publication number Publication date
KR20180030328A (ko) 2018-03-22
US20180075236A1 (en) 2018-03-15
US10909238B2 (en) 2021-02-02
US20210117540A1 (en) 2021-04-22
CN107818245A (zh) 2018-03-20

Similar Documents

Publication Publication Date Title
KR102573921B1 (ko) 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법
US11947688B2 (en) Secure computing system
US10740468B2 (en) Multiple roots of trust to verify integrity
US10162975B2 (en) Secure computing system
KR101378639B1 (ko) 프로세서 메인 메모리의 메모리 콘텐츠를 위한 보안 보호
KR101219857B1 (ko) 하드웨어 보안 모듈을 구비한 컴퓨터를 보안 부팅하기 위한시스템, 방법 및 컴퓨터 판독 가능 매체
KR101636816B1 (ko) 메모리 액세스 제어를 제공하는 장치, 시스템, 및 방법
RU2557756C2 (ru) Администрирование защищенными устройствами
TWI514187B (zh) 提供儲存裝置上防有毒軟體保護之系統與方法
CN112074836A (zh) 通过可信执行环境保护数据的设备和方法
US20160026810A1 (en) Method for protecting data stored within a disk drive of a portable computer
EP2652666B1 (en) Storage drive based antimalware methods and apparatuses
US11960632B2 (en) Data attestation in memory
TWI711940B (zh) 用於資料儲存設備的安全快照管理的裝置、系統、及方法
US9219728B1 (en) Systems and methods for protecting services
RU119910U1 (ru) Встраиваемый модуль безопасности tsm
CN108292260B (zh) 用于软件自测试的装置和方法
Julianto et al. Intrusion detection against unauthorized file modification by integrity checking and recovery with HW/SW platforms using programmable system-on-chip (SoC)

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant