CN103827882A - 用于虚拟分区监视的系统和方法 - Google Patents
用于虚拟分区监视的系统和方法 Download PDFInfo
- Publication number
- CN103827882A CN103827882A CN201280028185.6A CN201280028185A CN103827882A CN 103827882 A CN103827882 A CN 103827882A CN 201280028185 A CN201280028185 A CN 201280028185A CN 103827882 A CN103827882 A CN 103827882A
- Authority
- CN
- China
- Prior art keywords
- event
- virtual
- helper
- behalf
- virtual partition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45545—Guest-host, i.e. hypervisor is an application program itself, e.g. VirtualBox
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Bioethics (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
在一个示例实施例中提供一种方法,其包括在外部处理机中接收与虚拟分区中的事件关联的事件通知。能够停置虚拟分区中引起事件的进程中的线程。当安全性处理机评估事件的潜在威胁时,可允许其它线程和进程进行恢复。可指示虚拟分区中的帮手代理运行任务、例如收集和汇编虚拟分区中的事件上下文,以及基于该任务的结果能够返回给外部处理机。能够基于由帮手代理所返回的结果来采取策略动作,其可包括例如指示帮手代理终止引起事件的进程。
Description
技术领域
一般来说,本说明书涉及信息技术安全,以及更具体来说,涉及用于虚拟分区监视的系统和方法。
背景技术
信息技术中的虚拟化技术的演进引起了从基于云的计算到移动电话中的嵌入式系统的多种应用。一般来说,虚拟化隐藏计算平台的硬件特性,并且改为呈现抽象平台,该抽象平台能够托管包括完整操作系统的其它平台。一种普遍的虚拟化技术是部署管理程序(又称作虚拟机管理器),其能够允许客体软件(包括完整操作系统)同时运行于抽象主机平台上。管理程序能够为其客体软件提供模拟计算环境,通常称作“虚拟机”。因此,例如,多个全异操作系统能够在管理程序下运行于单个框架上。
但是,随着所部署虚拟机的数量增加,虚拟机可能成为对恶意攻击的更普遍目标。以及虽然虚拟化提供许多优点,但是它也能够呈现独特的安全性难题。例如,外部安全软件能够监视虚拟机中的事件,例如监视存储器的读取、写入或者运行访问,但是在了解这类事件的上下文方面可存在重大难题。在没有充分了解事件上下文的情况下,安全性动作可明显受到限制。因此,对于提供安全虚拟化平台仍然有许多难题。
附图说明
为了提供对本公开及其特征和优点的更完整了解,参照结合附图进行的以下描述,其中相似参考标号表示相似部件,其中:
图1是示出其中虚拟分区可按照本说明书来监视的虚拟化平台的示例实施例的简化框图;
图2是示出可与虚拟平台的一个潜在实施例关联的附加细节的简化框图;以及
图3A-3B是示出可与虚拟平台的一个实施例关联的潜在操作的简化流程图。
具体实施方式
概述
在一个示例实施例中提供一种方法,其包括在外部处理机中接收与虚拟分区中的事件关联的事件通知。能够停置(park)虚拟分区中引起事件的进程中的线程。当安全性处理机评估事件的潜在威胁时,可允许其它线程和进程进行恢复。可指示虚拟分区中的帮手代理(helper agent)运行任务、例如收集和汇编虚拟分区中的事件上下文,以及基于该任务的结果能够返回给外部处理机。能够基于由帮手代理所返回的结果来采取策略动作,其可包括例如指示帮手代理终止引起事件的进程。
在更具体实施例中,例如,外部处理机可在第二虚拟分区中、在虚拟化主机中或者作为管理程序扩展进行操作。虚拟分区可以是虚拟化平台中的虚拟化客体、例如虚拟机的实例,以及事件通知能够由管理程序扩展来发送给安全性处理机。
示例实施例
来看图1,图1是示出其中虚拟分区可按照本说明书来监视的虚拟化平台100的一个示例实施例的简化框图。虚拟化平台100包括硬件105、管理程序110和管理程序扩展模块115。一般来说,硬件105表示任何机器或设备,其能够对数据进行接收、执行逻辑操作、存储或者显示,并且可以非限制性地包括处理器105a和存储器105b。虚拟化平台100可具有一个以上虚拟分区,例如虚拟化客体120和安全性监视器125。在一些实施例中,管理程序110可以是直接运行于硬件105(如图1所示)的本地或“裸金属”管理程序,但是备选地可在运行于硬件105的主机软件(例如虚拟化主机)下运行。安全性监视器125例如可通过已注册回叫来与管理程序扩展120进行通信,以及例如通过网络通信直接与帮手代理210(即,绕过管理程序扩展120)进行通信。
一般来说,虚拟分区可以是能够具有在其中运行的软件的虚拟机、沙箱、容器或者任何其它隔离环境的实例。软件可包括操作系统和应用软件。但是,对于虚拟分区中运行的所有软件,虚拟分区可看来是不同的物理机器。
为了说明监视诸如平台100之类的虚拟化平台中的虚拟分区的原理,重要的是了解这种平台中发生的活动和通信。以下基本信息可被看作是可正确说明本公开的基础。事实上这种信息是仅为了便于说明而提供,并且相应地决不应当被理解为限制本公开的广义范围及其潜在应用。
进程通常在不断变化的上下文(或状态)(例如进程寄存器、控制寄存器、存储器、表格或列表中的数据)的情况下进行操作。如本文所使用的术语“进程”在广泛意义上用于一般表示进程、应用、线程、任务、指令集、代码块或者其它类似操作单元。构成上下文的东西可取决于下层硬件和操作系统软件,但是一般来说,上下文包括在进程被中断时恢复执行所需的最小数据集。但是,它还能够表示在了解被拦截事件的环境或境况方面可以是有用的任何信息。一个进程的上下文数据可以是对单个操作环境中的其它进程(包括虚拟分区中的进程)容易地可用的,但是可能难以从进程的操作环境的外部、例如从同一虚拟平台上的另一个虚拟分区中的进程访问。
管理程序扩展、中央处理器扩展、芯片组扩展等能够用于促进具有不同上下文的进程的增强监视。例如,管理程序扩展能够从外部上下文、例如从充当安全性监视器的第二虚拟化客体来提供虚拟化客体的增强监视,例如监视存储器的读取、写入或者运行访问。
扩展集也可支持其它类型的事件的监视,包括其它类型的存储器访问或者对存储器属性的变更,例如使区域是可写或者可执行的。还能够监视特定CPU指令或者指令类型的执行,例如CPU“CALL”或“RET”指令。监视也可以是更有针对性的,例如对于由特定进程所触发的事件、特定区域(或者多个区域)中的代码、所指定地址的执行、对所指定地址的写入、CPU注册变更或者CPU环状态变更。
汇编上下文信息可包括例如在触发被拦截事件的进程中加载的枚举模块(即,动态链接库或“DLL”)。在客体操作系统中,这种枚举能够是微不足道的,这是因为它可能由操作系统的一组应用编程接口(API)来支持。但是,客体操作系统外部的枚举模块能够要求经过一系列内部操作系统结构,以查找模块。
能够保持客体操作系统内部的结构的模板以提供某种上下文,但是保持每个客体操作系统版本的这些模板的版本能够是极为繁重的。此外,诸如Microsoft Windows之类的一些系统的文件编制可能是不可用的,这能够增加负担。
由诸如管理程序扩展之类的扩展集所支持的监视能够包括对已注册处理机或代理的回叫。因此,例如,如果在被监视存储器区域中检测到访问,则事件能够触发具有事件上下文的已注册回叫。回叫可在事件完成之前或之后发生。引起事件的进程可在回叫进行时被挂起,或者回叫可与事件完成异步。传递给回叫的信息可包括事件上下文,诸如事件的目标(例如被访问的存储器区域)以及触发事件的执行组件(例如进程)的身份(例如进程标识符、线程或者代码位置)。
一般来说,虚拟化分区的监视能够分为两类:(1) 内部事件处理,以及(2) 外部事件处理。在内部事件处理中,将与诸如访问被监视存储器之类的虚拟分区中的事件有关的通知发送给与触发通知的事件相同的虚拟分区中的处理机。与此对比,虚拟分区的外部监视向被监视虚拟分区外部运行的处理机提供被监视虚拟分区中的事件的通知。处理机可在虚拟化主机(如果存在的话)、管理程序或者独立虚拟分区中运行。例如,当前管理程序扩展可要求处理机在被监视存储器外部、在用作安全性监视器的另一个虚拟化客体之中运行。
但是,如果处理机在被监视虚拟分区外部运行,则了解被拦截事件的上下文可出现重大难题。在没有对事件上下文的访问的情况下,会难以进行与被拦截事件的合法性有关的安全性判定。因此,在提供被拦截事件的起源的全上下文的同时使用虚拟化分区监视的外部传递能够提供有效值。
除了汇编事件的上下文信息的难题之外,向虚拟分区外部运行的已注册回叫传递监视事件还能够引起其它问题。通过这种模式的事件传递,例如,触发监视事件的虚拟分区的虚拟处理器能够在外部运行回叫处理机处理事件的同时完全暂停。除非存在更多虚拟处理器可用,否则虚拟分区中没有其它活动可发生。即使存在其它虚拟处理器,整个虚拟分区在它们还触发监视事件时也仍然能够暂停。因此,这种类型的传递能够引起基于管理程序的监视的性能不利后果,并且还阻止虚拟化客体例如以上下文信息的发现来帮助外部回叫处理机。
外部事件处理机能够提供优于内部事件处理机的若干优点。这些优点能够包括保护事件处理机及关联决策器免受被监视虚拟分区中运行的恶意软件的直接攻击。其它优点包括无代理安全性,其中在虚拟分区中没有部署安全性代理的情况下可保护虚拟分区。相应地,如果可在没有如本文所述通常伴随外部事件处理机的许多问题的情况下提供被拦截操作的起源的更完整上下文,则可显著增强虚拟分区监视的外部传递的值。
按照本文所述的实施例,通过提供外部监视而无需了解内部操作系统结构,虚拟化平台100能够克服这些缺点(等等),同时保存外部事件处理的优点。虚拟化平台100例如可为混合虚拟分区监视提供外部处理机,该外部处理机能够接收被监视虚拟分区、例如在管理程序下运行的被监视虚拟化客体中所拦截的事件的通知。虚拟分区中部署的内部帮手代理能够代表外部处理机来执行某些任务,其可包括汇编与被拦截事件关联的上下文信息,并且向外部处理机提供结果。内部帮手代理可包括驻留在被监视进程中的组件以及可单独运行的组件。外部处理机能够使用内部代理的信息和活动来指导策略判定,例如在其违反安全性策略时阻塞事件并且终止事件进程或线程。在一些实施例中,外部处理机可指导内部代理实现某些策略动作。
在虚拟化平台100的一些实施例中,在评估事件时,可在虚拟分区中停置或挂起与虚拟分区中的被拦截事件关联的操作,这能够允许其它进程和线程在虚拟分区中运行。挂起关联操作能够使对虚拟分区的性能影响为最小,并且还允许内部代理在虚拟分区中运行,以便运行外部处理机的任务。此外,这些任务能够在与引发被拦截事件的线程不同的线程中执行,由此降低互用性和死锁问题的风险。
在更具体实施例中,外部安全性处理机或代理可向扩展管理程序进行注册,以便接收虚拟化客体中的事件的通知。虚拟化客体中运行的帮手代理能够创建等待接收来自安全性处理机的任务请求的线程。帮手代理还可在被监视进程中创建存储器区域,以便包含用于与安全性处理机进行通信的数据以及安全性处理机能够控制的代码。响应事件拦截,安全性处理机能够将事件触发线程放入保持状态,并且发起帮手代理的任务以在被监视虚拟化客体中执行。
来看图2,图2是示出可与虚拟平台100的一个潜在实施例关联的附加细节的简化框图。图2包括管理程序扩展模块115、虚拟化客体120和安全性监视器125。安全性监视器125还可以是管理程序110中的虚拟化客体,特别是具有附加特权的受信客体。虚拟化客体120和安全性监视器125各可包括相应虚拟处理器205a-b、相应存储器元件205a-b和各种软件元件(包括某些实施例中的不同的操作系统)。更具体来说,虚拟化客体120可包括帮手代理210、事件停置模块215和被监视进程220。数据区域225可用于与事件停置模块215进行通信。帮手代理210的嵌入式组件230还可驻留在被监视进程220中。安全性监视器125可具有安全性处理机235和检测模块240。管理程序扩展115可提供对被监视进程220的监视和执行控制以及在事件触发通知时提供到安全监视器125的事件回叫。客体内通信机制可实现帮手代理210与安全性处理机235之间的直接通信。
在备选实施例中,安全性监视器125(包括处理机235和检测模块240)可驻留在管理程序110中(虚拟分区外部)或者作为管理程序扩展。在又一些实施例中,如果例如管理程序110不是嵌入式管理程序,则安全性监视器125可在主机操作系统的执行环境中进行操作。
关于与虚拟平台100关联的内部结构,硬件105能够包括用于存储将要在本文所述操作中使用的信息的存储器元件(如图1所示)。另外,虚拟平台100可包括处理器和一个或多个虚拟处理器,它们能够运行软件或算法以执行如本文所述的活动。这些装置还可在适当时并且基于特定需要来将信息保持在任何适当存储器元件(随机存取存储器(RAM)、ROM、EPROM、EEPROM、ASIC等)、软件、硬件或者任何其它适当组件、装置、元件或对象中。本文所述的存储器项的任一个应当被理解为包含在广义术语‘存储器元件’中。由管理程序110、管理程序扩展115、虚拟化客体120或安全性监视器235所跟踪或发送的信息可在其全部能够在任何适当时间帧来引用的任何数据库、寄存器、控制列表或存储结构中提供。任何这类存储选项可包含在如本文所使用的广义术语‘存储器元件’中。类似地,本文所述的潜在处理元件、模块和机器中的任一个应当被理解为包含在广义术语‘处理器’中。
注意,在某些示例实现中,本文所述功能可由在一个或多个有形非暂时介质中编码的逻辑(例如,专用集成电路(ASIC)中提供的嵌入式逻辑、数字信号处理器(DSP)指令、将要由处理器或者其它类似机器所运行的软件(潜在包含目标代码和源代码)等)来实现。在这些实例的一部分中,存储器元件(如图1所示)能够存储用于本文所述操作的数据。这包括存储器元件,该存储器元件能够存储被运行以执行本文所述活动的软件、逻辑、代码或处理器指令。处理器能够运行与数据关联的任何类型的指令,以便实现本文所详述的操作。在一个示例中,处理器(如图1所示)或虚拟处理器(如图2所示)可将元件或制品(例如数据)从一个状态或事态变换成另一个状态或事态。在另一个示例中,本文所述的活动可采用固定逻辑或者可编程逻辑(例如由处理器所运行的软件/计算机指令)来实现,以及本文所确定的元件可能是某种类型的可编程处理器、可编程数字逻辑(例如现场可编程门阵列(FPGA)、可擦可编程只读存储器(EPROM)、电可擦可编程ROM(EEPROM))或者包括数字逻辑、软件、代码、电子指令或者它们的任何适当组合的ASIC。
图3A-3B是示出可与虚拟平台100的一个实施例关联的潜在操作的简化流程图。更具体来说,图3A示出可用于配置虚拟平台100的初步操作,以及图3B示出与评估和作用于事件关联的潜在操作。
来看图3A,安全监视器125可在305向管理程序扩展115进行注册,以便接收所指定事件的事件通知(例如回叫)。另外,帮手代理210可在310创建线程,该线程等待来自处理机的任务请求,例如来自处理机235的经由网络通信的请求。事件停置模块215和数据区域225也可在315和320来创建。例如,事件停置模块215能够等待操作系统支持的信令机制。
在325,嵌入式组件、例如嵌入式组件230还可在每个被监视进程中来创建,其包括驻留在每个被监视进程的地址空间中的存储器区域。例如,代码注入可用于将可执行代码插入运行进程中,其可包括将可执行模块(例如DLL)加载到进程中。通常,注入的第一步骤是获得对进程的充分访问,以便允许能够放置和运行所注入代码的存储器区域的创建。通常可得到访问令牌,以便获得对运行进程的访问。访问令牌可包括在进程中分配存储器、对那个存储器进行写入以及改变存储器的属性(例如以便允许执行)的特权。一旦获得对进程的访问,则能够在那个进程中创建存储器。代码可写入那个存储器,以及属性可设置成允许从存储器中的执行。在其它实施例中,操作系统可提供用于指定进程应当将模块加载到各实例中的机制。例如,Windows操作系统中的“rundll”注册表项能够使进程加载该项中所列的所有模块。
然后可运行所注入代码。如果模块在进程开始时加载,则所注入代码可在模块被加载时已经被运行。例如,在Windows中DLL能够在其“dllmain”导出中运行代码。备选地,可通过在进程中创建新线程以运行所注入存储器区域中的代码,来发起所注入代码。代码挂钩(hooking)还可用于将执行重定向到所注入代码。代码挂钩能够使进程中的代码的执行分支到所注入存储器区域中的代码。例如,在接口开始的指令可采用能够将执行转移到所注入代码中的“跳转”指令来替代。使用代码注入和代码挂钩能够实现以其他方式也许不可能的进程中的操作的增强监视。
来看图3B,进程(例如进程220)可例如通过尝试访问安全性监视器125对其注册以接收回叫的存储器区域,在330触发来自管理程序扩展115的被监视事件和回叫。安全性处理机235在335能够接收具有事件数据的回叫,并且在340使用管理程序扩展115来指导虚拟处理器205a运行事件停置模块215。回叫能够完成,并且虚拟化客体120返回到运行状态,使得仅停置进程220。由于它没有使用忙循环,所以系统的其余部分可继续正常运行,这能够允许帮手代理210运行。
事件例如可在数据区域225中来识别,并且事件停置模块215可执行经由嵌入式组件230所传递的任务。任务可包括例如将指令指针和栈设置成某个值,以实现控制转移。任务还可包括将任何其它寄存器设置成某个值,例如设置成API的返回值。因此,帮手代理210能够提供停置已经触发回叫的线程或进程的机制,并且允许线程代表安全性处理机235使用诸如客体操作系统所提供的API之类的虚拟化客体120中可用的机制来执行任务,这能够显著增加稳定性和兼容性。虚拟化客体在345可恢复其它进程、线程等的执行。
安全性处理机235可在350向帮手代理210(例如经由客体内通信机制)发送任务请求。帮手代理210(或者帮手代理210中的线程)可接收该请求,并且从请求中检索数据有效载荷。数据有效载荷可包括要运行的任务的描述,例如枚举进程中加载的所有模块(例如DLL)。因此,例如,安全性处理机235可在350请求事件的上下文数据。上下文数据的示例可包括与触发事件的进程有关的信息、触发事件的动作(例如对特定存储器区域的写入访问)的类型、拥有已访问的特定存储器区域的进程或者与文件操作有关的细节(例如文件大小、名称、修改日期等)。帮手代理210能够执行所述任务,并且向安全性处理机235返回任何结果,例如在355返回进程220的上下文数据。
基于上下文数据和事件数据,检测模块240能够确定事件是否为恶意的或者是否以其它方式违反安全性策略。如果没有违反安全性策略,则安全性处理机235可在360,例如通过重置虚拟处理器205a的指令指针以从触发事件发生的点恢复执行,使用管理程序扩展115来允许进程220继续进行。重置指令指针可使将进程220作为正常线程来操作时原本可能遇到的问题为最小。备选地,数据区域225可采用命令来设置,以便将指令指针和栈指针向回设置成使执行返回触发事件发生的点的值。
但是,如果检测模块240在355识别安全性策略违反,则安全性处理机235能够在365指示帮手代理210来实现动作,例如阻塞进程220进一步执行。动作可由帮手代理210或者嵌入式组件230来执行。例如,阻塞触发操作可由嵌入式组件230最佳地执行,而终止被监视进程220可由帮手代理210(在被监视进程220外部运行)最佳地执行。事件停置模块215还可取决于动作类型实现动作。如果动作是异步的,例如终止进程,则安全性处理机235能够将其传递给帮手代理210,并且结束触发事件的处理。如果动作是同步的,则动作可在数据区域255来指示,例如以便向帮手代理210发信号通知,并且然后可结束被监视事件的处理。违反也可记录在日志中或者例如在370经由电子邮件向管理员报告。
重要的是要注意,附图中的步骤仅示出可由虚拟平台100或者在虚拟平台100中运行的可能情况和模式的一部分。这些步骤的一部分可在适当时删除或移除,或者这些步骤可经过相当大的修改或改变,而没有背离本文所提供教导的范围。另外,多个这些操作描述为与一个或多个附加操作同时地或者并行地运行。但是,这些操作的定时可极大地改变。为了便于示例和论述而提供了前面的操作流程。虚拟平台100提供了充分灵活性,这是因为可提供任何适当布置、年表、配置和定时机制,而没有背离本文所提供的教导。
此外,本文所述的原理易于应用于其它监视系统,其中回叫或其它事件通知可从客体或专门容器传递给具有不同上下文的处理机,例如用于文档控制、审计、辩论和性能监视。
许多其它变更、置换、变化、改变和修改可以是对本领域的技术人员确定的,并且预计本公开包含如落入所附权利要求书的范围之内的所有这类变更、置换、变化、改变和修改。为了帮助美国专利商标局(USPTO)以及还有本申请所发布的任何专利的任何读者理解这里所附权利要求书,本申请人希望指出:本申请人:(a) 除非在具体权利要求中具体使用词语“用于…的装置”或者“用于…的步骤”,否则并不预计所附权利要求的任一项援引35 U.S.C第六(6)段第112小节,这是因为它在其提交日期存在;以及(b) 并不预计通过本说明书中的任何陈述按照没有在所附权利要求书中以其他方式反映的任何方式来限制本公开。
Claims (26)
1. 一种方法,包括:
在外部处理机中接收与虚拟分区中的事件关联的事件通知;
指示所述虚拟分区中的帮手代理来运行任务并且将基于所述任务的结果返回给所述外部处理机;以及
基于所述帮手代理所返回的所述结果来采取策略动作。
2. 如权利要求1所述的方法,其中,所述外部处理机在第二虚拟分区中进行操作。
3. 如权利要求1所述的方法,其中,所述外部处理机在虚拟化主机中进行操作。
4. 如权利要求1所述的方法,其中:
所述外部处理机在虚拟化平台的第一虚拟化客体中进行操作;以及
所述虚拟分区是所述虚拟化平台中的第二虚拟化客体。
5. 如权利要求1所述的方法,其中,所述事件通知从虚拟化平台的管理程序扩展来接收。
6. 如权利要求1所述的方法,还包括:
停置所述虚拟分区中引起所述事件的进程的线程;以及
在停置引起所述事件的所述线程之后恢复所述虚拟分区中的其它进程。
7. 如权利要求1所述的方法,其中,从所述帮手代理所返回的所述结果包括与所述事件关联的事件上下文。
8. 如权利要求1所述的方法,其中,所述策略动作包括终止引起所述事件的所述进程。
9. 如权利要求1所述的方法,其中,所述策略动作包括指示所述帮手代理终止引起所述事件的所述进程。
10. 如权利要求1所述的方法,其中:
所述外部处理机在虚拟化平台中的第一虚拟化客体中进行操作;
所述虚拟分区是所述虚拟化平台中的第二虚拟化客体;
所述事件通知从所述虚拟化平台的管理程序扩展来接收;
在停置引起所述事件的进程中的线程之后恢复所述虚拟分区中的其它进程;
来自所述帮手代理的所述结果包括与所述事件关联的事件上下文;以及
所述策略动作包括指示所述帮手代理终止引起所述事件的所述进程。
11. 在一个或多个非暂时介质中编码的逻辑,其包括供执行的代码,并且在由一个或多个处理器运行时可操作以执行操作,所述操作包括:
在外部处理机中接收与虚拟分区中的事件关联的事件通知;
指示所述虚拟分区中的帮手代理来运行任务并且将基于所述任务的结果返回给所述外部处理机;以及
基于所述帮手代理所返回的所述结果来采取策略动作。
12. 如权利要求11所述的编码逻辑,其中,所述外部处理机在第二虚拟分区中进行操作。
13. 如权利要求11所述的编码逻辑,其中,所述外部处理机在虚拟化主机中进行操作。
14. 如权利要求11所述的编码逻辑,其中:
所述外部处理机在虚拟化平台中的第一虚拟化客体中进行操作;以及
所述虚拟分区是所述虚拟化平台中的第二虚拟化客体。
15. 如权利要求11所述的编码逻辑,其中,所述事件通知从虚拟化平台中的管理程序扩展来接收。
16. 如权利要求11所述的编码逻辑,其中,所述操作还包括停置所述虚拟分区中引起所述事件的进程中的线程。
17. 如权利要求11所述的编码逻辑,其中,从所述帮手代理所返回的所述结果包括与所述事件关联的事件上下文。
18. 如权利要求11所述的编码逻辑,其中,所述策略动作包括终止引起所述事件的所述进程。
19. 如权利要求11所述的编码逻辑,其中,所述策略动作包括指示所述帮手代理终止引起所述事件的所述进程。
20. 一种设备,包括:
虚拟分区中的帮手代理;以及
所述虚拟分区外部的安全性处理机;
一个或多个处理器,其可操作以运行与所述安全性处理机和所述帮手代理关联的指令,所述指令可操作以执行操作,所述操作包括:
在所述安全性处理机中接收与所述虚拟分区中的事件关联的事件通知;
停置所述虚拟分区中引起所述事件的进程中的线程;
指示所述帮手代理来运行所述虚拟分区中的任务,并且将基于所述任务的结果返回给所述安全性处理机;以及
基于所述帮手代理所返回的所述结果来采取策略动作。
21. 如权利要求20所述的设备,其中:
所述安全性处理机在虚拟化平台中的第一虚拟化客体中进行操作;以及
所述虚拟分区是所述虚拟化平台中的第二虚拟化客体。
22. 如权利要求20所述的设备,其中,所述事件通知从虚拟化平台的管理程序扩展来接收。
23. 如权利要求20所述的设备,其中,所述操作还包括在停置引起所述事件的进程中的线程之后恢复所述虚拟分区中的其它进程。
24. 如权利要求20所述的设备,其中,从所述帮手代理所返回的所述结果包括与所述事件关联的事件上下文。
25. 如权利要求20所述的设备,其中,所述策略动作包括终止引起所述事件的所述进程。
26. 如权利要求20所述的设备,其中,所述策略动作包括指示所述帮手代理终止引起所述事件的所述进程。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/155,572 US9298910B2 (en) | 2011-06-08 | 2011-06-08 | System and method for virtual partition monitoring |
US13/155572 | 2011-06-08 | ||
PCT/US2012/041384 WO2012170709A2 (en) | 2011-06-08 | 2012-06-07 | System and method for virtual partition monitoring |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103827882A true CN103827882A (zh) | 2014-05-28 |
CN103827882B CN103827882B (zh) | 2017-03-29 |
Family
ID=47294263
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280028185.6A Active CN103827882B (zh) | 2011-06-08 | 2012-06-07 | 用于虚拟分区监视的系统和方法 |
Country Status (6)
Country | Link |
---|---|
US (2) | US9298910B2 (zh) |
EP (1) | EP2718867A4 (zh) |
JP (1) | JP5861228B2 (zh) |
KR (1) | KR101626398B1 (zh) |
CN (1) | CN103827882B (zh) |
WO (1) | WO2012170709A2 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108399332A (zh) * | 2017-02-08 | 2018-08-14 | 卡巴斯基实验室股份制公司 | 在虚拟机中针对恶意性对文件进行分析的系统和方法 |
CN109684148A (zh) * | 2018-11-08 | 2019-04-26 | 中国航空工业集团公司洛阳电光设备研究所 | 一种基于arinc653的机载嵌入式软件虚拟总线通信构建方法 |
Families Citing this family (60)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9298910B2 (en) | 2011-06-08 | 2016-03-29 | Mcafee, Inc. | System and method for virtual partition monitoring |
US9311126B2 (en) | 2011-07-27 | 2016-04-12 | Mcafee, Inc. | System and method for virtual partition monitoring |
CN102768629B (zh) * | 2012-04-16 | 2017-02-08 | 中兴通讯股份有限公司 | 基于调度层实现虚拟机间通讯的方法和装置 |
US9225638B2 (en) | 2013-05-09 | 2015-12-29 | Vmware, Inc. | Method and system for service switching using service tags |
US10033693B2 (en) | 2013-10-01 | 2018-07-24 | Nicira, Inc. | Distributed identity-based firewalls |
US9619346B2 (en) * | 2013-10-31 | 2017-04-11 | Assured Information Security, Inc. | Virtual machine introspection facilities |
WO2015089730A1 (en) * | 2013-12-17 | 2015-06-25 | Intel Corporation | Techniques for portable computing device virtualization |
US9973531B1 (en) * | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
US10257095B2 (en) | 2014-09-30 | 2019-04-09 | Nicira, Inc. | Dynamically adjusting load balancing |
US9935827B2 (en) | 2014-09-30 | 2018-04-03 | Nicira, Inc. | Method and apparatus for distributing load among a plurality of service nodes |
US10225137B2 (en) | 2014-09-30 | 2019-03-05 | Nicira, Inc. | Service node selection by an inline service switch |
US9891940B2 (en) | 2014-12-29 | 2018-02-13 | Nicira, Inc. | Introspection method and apparatus for network access filtering |
SG10201500698YA (en) * | 2015-01-29 | 2016-08-30 | Huawei Internat Pte Ltd | Method for data protection using isolated environment in mobile device |
CN104766006B (zh) * | 2015-03-18 | 2019-03-12 | 百度在线网络技术(北京)有限公司 | 一种确定危险文件所对应的行为信息的方法和装置 |
US10609091B2 (en) | 2015-04-03 | 2020-03-31 | Nicira, Inc. | Method, apparatus, and system for implementing a content switch |
KR102319661B1 (ko) * | 2015-08-07 | 2021-11-03 | 삼성전자주식회사 | 전자 장치 및 전자 장치의 보안 정보 저장 방법 |
US10324746B2 (en) | 2015-11-03 | 2019-06-18 | Nicira, Inc. | Extended context delivery for context-based authorization |
JP6430922B2 (ja) * | 2015-12-04 | 2018-11-28 | 日本電信電話株式会社 | 解析装置、解析方法および解析プログラム |
RU2618946C1 (ru) * | 2015-12-18 | 2017-05-11 | Акционерное общество "Лаборатория Касперского" | Способ блокировки доступа к данным на мобильных устройствах с использованием API для пользователей с ограниченными возможностями |
AU2016369460B2 (en) * | 2015-12-19 | 2021-07-01 | Bitdefender Ipr Management Ltd | Dual memory introspection for securing multiple network endpoints |
US10938837B2 (en) | 2016-08-30 | 2021-03-02 | Nicira, Inc. | Isolated network stack to manage security for virtual machines |
US20180082053A1 (en) * | 2016-09-21 | 2018-03-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Application token through associated container |
US10715607B2 (en) | 2016-12-06 | 2020-07-14 | Nicira, Inc. | Performing context-rich attribute-based services on a host |
US10635479B2 (en) | 2016-12-19 | 2020-04-28 | Bitdefender IPR Management Ltd. | Event filtering for virtual machine security applications |
US10805332B2 (en) | 2017-07-25 | 2020-10-13 | Nicira, Inc. | Context engine model |
US11032246B2 (en) | 2016-12-22 | 2021-06-08 | Nicira, Inc. | Context based firewall services for data message flows for multiple concurrent users on one machine |
US10581960B2 (en) | 2016-12-22 | 2020-03-03 | Nicira, Inc. | Performing context-rich attribute-based load balancing on a host |
US10812451B2 (en) | 2016-12-22 | 2020-10-20 | Nicira, Inc. | Performing appID based firewall services on a host |
US10803173B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Performing context-rich attribute-based process control services on a host |
US10802857B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Collecting and processing contextual attributes on a host |
US10248469B2 (en) | 2017-01-19 | 2019-04-02 | International Business Machines Corporation | Software based collection of performance metrics for allocation adjustment of virtual resources |
EP3361406A1 (en) * | 2017-02-08 | 2018-08-15 | AO Kaspersky Lab | System and method of analysis of files for maliciousness in a virtual machine |
RU2651196C1 (ru) | 2017-06-16 | 2018-04-18 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения аномальных событий по популярности свертки события |
US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
US10546120B2 (en) * | 2017-09-25 | 2020-01-28 | AO Kaspersky Lab | System and method of forming a log in a virtual machine for conducting an antivirus scan of a file |
US10797966B2 (en) * | 2017-10-29 | 2020-10-06 | Nicira, Inc. | Service operation chaining |
KR102505996B1 (ko) * | 2017-11-08 | 2023-03-08 | 한국전자통신연구원 | 가상 머신 프로세서의 원격 처리 장치 및 방법 |
US10778651B2 (en) | 2017-11-15 | 2020-09-15 | Nicira, Inc. | Performing context-rich attribute-based encryption on a host |
US11012420B2 (en) | 2017-11-15 | 2021-05-18 | Nicira, Inc. | Third-party service chaining using packet encapsulation in a flow-based forwarding element |
US10659252B2 (en) | 2018-01-26 | 2020-05-19 | Nicira, Inc | Specifying and utilizing paths through a network |
US10802893B2 (en) | 2018-01-26 | 2020-10-13 | Nicira, Inc. | Performing process control services on endpoint machines |
US10862773B2 (en) * | 2018-01-26 | 2020-12-08 | Nicira, Inc. | Performing services on data messages associated with endpoint machines |
US10797910B2 (en) | 2018-01-26 | 2020-10-06 | Nicira, Inc. | Specifying and utilizing paths through a network |
US10728174B2 (en) | 2018-03-27 | 2020-07-28 | Nicira, Inc. | Incorporating layer 2 service between two interfaces of gateway device |
US10805192B2 (en) | 2018-03-27 | 2020-10-13 | Nicira, Inc. | Detecting failure of layer 2 service using broadcast messages |
US10944673B2 (en) | 2018-09-02 | 2021-03-09 | Vmware, Inc. | Redirection of data messages at logical network gateway |
US11595250B2 (en) | 2018-09-02 | 2023-02-28 | Vmware, Inc. | Service insertion at logical network gateway |
US10929171B2 (en) | 2019-02-22 | 2021-02-23 | Vmware, Inc. | Distributed forwarding for performing service chain operations |
US11537581B2 (en) * | 2019-03-22 | 2022-12-27 | Hewlett Packard Enterprise Development Lp | Co-parent keys for document information trees |
US11283717B2 (en) | 2019-10-30 | 2022-03-22 | Vmware, Inc. | Distributed fault tolerant service chain |
US11140218B2 (en) | 2019-10-30 | 2021-10-05 | Vmware, Inc. | Distributed service chain across multiple clouds |
US11539718B2 (en) | 2020-01-10 | 2022-12-27 | Vmware, Inc. | Efficiently performing intrusion detection |
US11223494B2 (en) | 2020-01-13 | 2022-01-11 | Vmware, Inc. | Service insertion for multicast traffic at boundary |
US11659061B2 (en) | 2020-01-20 | 2023-05-23 | Vmware, Inc. | Method of adjusting service function chains to improve network performance |
US11153406B2 (en) | 2020-01-20 | 2021-10-19 | Vmware, Inc. | Method of network performance visualization of service function chains |
US11743172B2 (en) | 2020-04-06 | 2023-08-29 | Vmware, Inc. | Using multiple transport mechanisms to provide services at the edge of a network |
US11108728B1 (en) | 2020-07-24 | 2021-08-31 | Vmware, Inc. | Fast distribution of port identifiers for rule processing |
US11611625B2 (en) | 2020-12-15 | 2023-03-21 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
US11734043B2 (en) | 2020-12-15 | 2023-08-22 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
US11874920B2 (en) * | 2020-12-30 | 2024-01-16 | Acronis International Gmbh | Systems and methods for preventing injections of malicious processes in software |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090007100A1 (en) * | 2007-06-28 | 2009-01-01 | Microsoft Corporation | Suspending a Running Operating System to Enable Security Scanning |
US20090158432A1 (en) * | 2007-12-12 | 2009-06-18 | Yufeng Zheng | On-Access Anti-Virus Mechanism for Virtual Machine Architecture |
US20100251238A1 (en) * | 2009-03-31 | 2010-09-30 | Sun Microsystems, Inc. | Facilitated introspection of virtualized environments |
US20100281273A1 (en) * | 2009-01-16 | 2010-11-04 | Lee Ruby B | System and Method for Processor-Based Security |
Family Cites Families (69)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH02201543A (ja) * | 1989-01-30 | 1990-08-09 | Nec Corp | 仮想計算機特権命令処理方式 |
US6075938A (en) | 1997-06-10 | 2000-06-13 | The Board Of Trustees Of The Leland Stanford Junior University | Virtual machine monitors for scalable multiprocessors |
US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
US6378072B1 (en) | 1998-02-03 | 2002-04-23 | Compaq Computer Corporation | Cryptographic system |
US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
US6363421B2 (en) | 1998-05-31 | 2002-03-26 | Lucent Technologies, Inc. | Method for computer internet remote management of a telecommunication network element |
US6684329B1 (en) | 1999-07-13 | 2004-01-27 | Networks Associates Technology, Inc. | System and method for increasing the resiliency of firewall systems |
US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
FR2804564B1 (fr) | 2000-01-27 | 2002-03-22 | Bull Sa | Relais de securite multiapplicatif |
AU2001243365A1 (en) | 2000-03-02 | 2001-09-12 | Alarity Corporation | System and method for process protection |
US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
US6986052B1 (en) | 2000-06-30 | 2006-01-10 | Intel Corporation | Method and apparatus for secure execution using a secure memory partition |
US6691113B1 (en) | 2000-09-28 | 2004-02-10 | Curl Corporation | Persistent data storage for client computer software programs |
US7660902B2 (en) | 2000-11-20 | 2010-02-09 | Rsa Security, Inc. | Dynamic file access control and management |
JP3953273B2 (ja) | 2000-12-27 | 2007-08-08 | 独立行政法人科学技術振興機構 | 大豆繊維体及びその製造方法 |
US20040117658A1 (en) | 2002-09-27 | 2004-06-17 | Andrea Klaes | Security monitoring and intrusion detection system |
US7181744B2 (en) | 2002-10-24 | 2007-02-20 | International Business Machines Corporation | System and method for transferring data between virtual machines or other computer entities |
US20040158730A1 (en) | 2003-02-11 | 2004-08-12 | International Business Machines Corporation | Running anti-virus software on a network attached storage device |
US8209680B1 (en) | 2003-04-11 | 2012-06-26 | Vmware, Inc. | System and method for disk imaging on diverse computers |
US7100205B2 (en) | 2003-10-22 | 2006-08-29 | The United States Of America As Represented By The Secretary Of The Navy | Secure attention instruction central processing unit and system architecture |
US8122361B2 (en) | 2003-10-23 | 2012-02-21 | Microsoft Corporation | Providing a graphical user interface in a system with a high-assurance execution environment |
US7783891B2 (en) | 2004-02-25 | 2010-08-24 | Microsoft Corporation | System and method facilitating secure credential management |
US7581253B2 (en) | 2004-07-20 | 2009-08-25 | Lenovo (Singapore) Pte. Ltd. | Secure storage tracking for anti-virus speed-up |
US7644287B2 (en) | 2004-07-29 | 2010-01-05 | Microsoft Corporation | Portion-level in-memory module authentication |
US20060089984A1 (en) * | 2004-10-22 | 2006-04-27 | International Business Machines Corporation | Process and implementation for autonomous probe enablement |
US8332653B2 (en) | 2004-10-22 | 2012-12-11 | Broadcom Corporation | Secure processing environment |
US7409719B2 (en) | 2004-12-21 | 2008-08-05 | Microsoft Corporation | Computer security management, such as in a virtual machine or hardened operating system |
ITMI20050063A1 (it) * | 2005-01-20 | 2006-07-21 | Atmel Corp | Metodo e sistema per la gestione di una richiesta di sospensione in una memoria flash |
US7685635B2 (en) | 2005-03-11 | 2010-03-23 | Microsoft Corporation | Systems and methods for multi-level intercept processing in a virtual machine environment |
US8619971B2 (en) | 2005-04-01 | 2013-12-31 | Microsoft Corporation | Local secure service partitions for operating system security |
US7735136B2 (en) | 2005-04-18 | 2010-06-08 | Vmware, Inc. | 0-touch and 1-touch techniques for improving the availability of computer programs under protection without compromising security |
US7239166B2 (en) | 2005-06-15 | 2007-07-03 | Microsoft Corporation | Portable multi-purpose toolkit for testing computing device hardware and software |
US8713667B2 (en) | 2005-07-08 | 2014-04-29 | Hewlett-Packard Development Company, L.P. | Policy based cryptographic application programming interface in secure memory |
US20070074192A1 (en) | 2005-08-30 | 2007-03-29 | Geisinger Nile J | Computing platform having transparent access to resources of a host platform |
US20070106986A1 (en) | 2005-10-25 | 2007-05-10 | Worley William S Jr | Secure virtual-machine monitor |
US7496727B1 (en) | 2005-12-06 | 2009-02-24 | Transmeta Corporation | Secure memory access system and method |
US20070180509A1 (en) | 2005-12-07 | 2007-08-02 | Swartz Alon R | Practical platform for high risk applications |
US20070150887A1 (en) | 2005-12-22 | 2007-06-28 | Shapiro Alan J | Apparatus and method for selectively dispensing soft assets |
US7845009B2 (en) * | 2006-05-16 | 2010-11-30 | Intel Corporation | Method and apparatus to detect kernel mode rootkit events through virtualization traps |
WO2008008401A2 (en) | 2006-07-12 | 2008-01-17 | Global Info Tek, Inc. | A diversity-based security system and method |
US9003000B2 (en) | 2006-07-25 | 2015-04-07 | Nvidia Corporation | System and method for operating system installation on a diskless computing platform |
US9038062B2 (en) | 2006-10-17 | 2015-05-19 | Manageiq, Inc. | Registering and accessing virtual systems for use in a managed system |
US8234641B2 (en) | 2006-10-17 | 2012-07-31 | Managelq, Inc. | Compliance-based adaptations in managed virtual systems |
US9015703B2 (en) | 2006-10-17 | 2015-04-21 | Manageiq, Inc. | Enforcement of compliance policies in managed virtual systems |
US8949826B2 (en) | 2006-10-17 | 2015-02-03 | Managelq, Inc. | Control and management of virtual systems |
US8458695B2 (en) | 2006-10-17 | 2013-06-04 | Manageiq, Inc. | Automatic optimization for virtual systems |
US8356361B2 (en) | 2006-11-07 | 2013-01-15 | Spansion Llc | Secure co-processing memory controller integrated into an embedded memory subsystem |
US8380987B2 (en) * | 2007-01-25 | 2013-02-19 | Microsoft Corporation | Protection agents and privilege modes |
US8561204B1 (en) | 2007-02-12 | 2013-10-15 | Gregory William Dalcher | System, method, and computer program product for utilizing code stored in a protected area of memory for securing an associated system |
US8171485B2 (en) | 2007-03-26 | 2012-05-01 | Credit Suisse Securities (Europe) Limited | Method and system for managing virtual and real machines |
US8024790B2 (en) | 2007-04-11 | 2011-09-20 | Trend Micro Incorporated | Portable secured computing environment for performing online confidential transactions in untrusted computers |
US20080270104A1 (en) | 2007-04-24 | 2008-10-30 | Stratton Robert J | System and Method for Creating an Assurance System in a Mixed Environment |
US8806479B2 (en) | 2007-06-05 | 2014-08-12 | International Business Machines Corporation | Creating an application virtual machine image by isolating installation artifacts in shadow area |
US8205194B2 (en) | 2007-06-29 | 2012-06-19 | Microsoft Corporation | Updating offline virtual machines or VM images |
US8621610B2 (en) | 2007-08-06 | 2013-12-31 | The Regents Of The University Of Michigan | Network service for the detection, analysis and quarantine of malicious and unwanted files |
WO2009058042A1 (en) | 2007-10-29 | 2009-05-07 | Intel Corporation | A method of external performance monitoring for virtualized environments |
US8352939B1 (en) | 2007-12-03 | 2013-01-08 | Mcafee, Inc. | System, method and computer program product for performing a security or maintenance operation in association with virtual disk data |
US9015704B2 (en) * | 2008-03-24 | 2015-04-21 | International Business Machines Corporation | Context agent injection using virtual machine introspection |
US8261254B2 (en) * | 2008-03-31 | 2012-09-04 | Symantec Corporation | Dynamic insertion and removal of virtual software sub-layers |
JP4618455B2 (ja) | 2008-04-09 | 2011-01-26 | 日本電気株式会社 | 端末装置、ネットワーク接続方法及びプログラム |
WO2009151888A2 (en) * | 2008-05-19 | 2009-12-17 | Authentium, Inc. | Secure virtualization system software |
US8151032B2 (en) | 2008-06-26 | 2012-04-03 | Microsoft Corporation | Direct memory access filter for virtualized operating systems |
US8219990B2 (en) | 2009-05-28 | 2012-07-10 | Novell, Inc. | Techniques for managing virtual machine (VM) states |
US8813069B2 (en) | 2009-05-29 | 2014-08-19 | Red Hat, Inc. | Migration of functionalities across systems |
US8621460B2 (en) | 2009-11-02 | 2013-12-31 | International Business Machines Corporation | Endpoint-hosted hypervisor management |
US8528091B2 (en) | 2009-12-31 | 2013-09-03 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for detecting covert malware |
US8549648B2 (en) * | 2011-03-29 | 2013-10-01 | Mcafee, Inc. | Systems and methods for identifying hidden processes |
US9298910B2 (en) | 2011-06-08 | 2016-03-29 | Mcafee, Inc. | System and method for virtual partition monitoring |
US9311126B2 (en) | 2011-07-27 | 2016-04-12 | Mcafee, Inc. | System and method for virtual partition monitoring |
-
2011
- 2011-06-08 US US13/155,572 patent/US9298910B2/en not_active Expired - Fee Related
-
2012
- 2012-06-07 EP EP12796800.6A patent/EP2718867A4/en not_active Withdrawn
- 2012-06-07 JP JP2014514848A patent/JP5861228B2/ja active Active
- 2012-06-07 KR KR1020137033671A patent/KR101626398B1/ko active IP Right Grant
- 2012-06-07 WO PCT/US2012/041384 patent/WO2012170709A2/en active Application Filing
- 2012-06-07 CN CN201280028185.6A patent/CN103827882B/zh active Active
-
2016
- 2016-03-28 US US15/082,060 patent/US10032024B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090007100A1 (en) * | 2007-06-28 | 2009-01-01 | Microsoft Corporation | Suspending a Running Operating System to Enable Security Scanning |
US20090158432A1 (en) * | 2007-12-12 | 2009-06-18 | Yufeng Zheng | On-Access Anti-Virus Mechanism for Virtual Machine Architecture |
US20100281273A1 (en) * | 2009-01-16 | 2010-11-04 | Lee Ruby B | System and Method for Processor-Based Security |
US20100251238A1 (en) * | 2009-03-31 | 2010-09-30 | Sun Microsystems, Inc. | Facilitated introspection of virtualized environments |
CN101853175A (zh) * | 2009-03-31 | 2010-10-06 | 甲骨文美国公司 | 虚拟化环境中促进的自检 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108399332A (zh) * | 2017-02-08 | 2018-08-14 | 卡巴斯基实验室股份制公司 | 在虚拟机中针对恶意性对文件进行分析的系统和方法 |
CN108399332B (zh) * | 2017-02-08 | 2022-03-08 | 卡巴斯基实验室股份制公司 | 在虚拟机中针对恶意性对文件进行分析的系统和方法 |
CN109684148A (zh) * | 2018-11-08 | 2019-04-26 | 中国航空工业集团公司洛阳电光设备研究所 | 一种基于arinc653的机载嵌入式软件虚拟总线通信构建方法 |
CN109684148B (zh) * | 2018-11-08 | 2022-03-15 | 中国航空工业集团公司洛阳电光设备研究所 | 一种基于arinc653的机载嵌入式软件虚拟总线通信构建方法 |
Also Published As
Publication number | Publication date |
---|---|
KR101626398B1 (ko) | 2016-06-01 |
EP2718867A2 (en) | 2014-04-16 |
JP5861228B2 (ja) | 2016-02-16 |
CN103827882B (zh) | 2017-03-29 |
US10032024B2 (en) | 2018-07-24 |
EP2718867A4 (en) | 2014-11-05 |
US20160224792A1 (en) | 2016-08-04 |
KR20140031947A (ko) | 2014-03-13 |
WO2012170709A2 (en) | 2012-12-13 |
US9298910B2 (en) | 2016-03-29 |
JP2014516191A (ja) | 2014-07-07 |
US20120317570A1 (en) | 2012-12-13 |
WO2012170709A3 (en) | 2013-01-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103827882A (zh) | 用于虚拟分区监视的系统和方法 | |
US11461146B2 (en) | Scheduling sub-thread on a core running a trusted execution environment | |
KR101835250B1 (ko) | 트랜잭셔널 메모리를 사용한 비인가 메모리 수정 및 액세스의 검출 | |
CN104205109B (zh) | 持续性和弹性的工作者进程 | |
CN1973266B (zh) | 对或涉及用于计算装置的操作系统的改进 | |
CN103827809B (zh) | 用于虚拟分区监测的系统和方法 | |
US20150347178A1 (en) | Method and apparatus for activity based execution scheduling | |
WO2015113052A1 (en) | Detecting and preventing execution of software exploits | |
CN103842971A (zh) | 用于间接接口监视和垂线探测的系统和方法 | |
CN107690645A (zh) | 使用解释器虚拟机的行为恶意软件检测 | |
JP2009508259A5 (zh) | ||
CN104885092A (zh) | 用于操作系统的安全系统和方法 | |
CN110059477A (zh) | 一种攻击检测方法及装置 | |
KR20170131366A (ko) | 공유 리소스 액세스 제어 방법 및 장치 | |
EP3079057B1 (en) | Method and device for realizing virtual machine introspection | |
EP1384151B1 (en) | Clean thread termination | |
EP3462356B1 (en) | Using indirection to facilitate software upgrades | |
JP6081300B2 (ja) | 情報処理装置及びプログラム | |
CN101488175B (zh) | 基于轮询机制的防止可信客户虚拟域启动崩溃的方法 | |
US20230376591A1 (en) | Method and apparatus for processing security events in container virtualization environment | |
CN111026526B (zh) | 程序的定时器配置方法、装置、存储介质及终端设备 | |
US20200310893A1 (en) | Composable System | |
CN100432944C (zh) | 计算机系统 | |
Parmer et al. | Customizable and Predictable Synchronization in a Component-Based OS. | |
CN114579313A (zh) | 一种面向多安全域架构的安全域快速建立方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: McAfee limited liability company Address before: American California Patentee before: Mai Kefei company |
|
CP01 | Change in the name or title of a patent holder |