CN107818245A - 用于防止病毒/恶意软件的存储设备和方法及计算系统 - Google Patents
用于防止病毒/恶意软件的存储设备和方法及计算系统 Download PDFInfo
- Publication number
- CN107818245A CN107818245A CN201710821259.6A CN201710821259A CN107818245A CN 107818245 A CN107818245 A CN 107818245A CN 201710821259 A CN201710821259 A CN 201710821259A CN 107818245 A CN107818245 A CN 107818245A
- Authority
- CN
- China
- Prior art keywords
- storage device
- malware
- host device
- authentication
- inventive concept
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003860 storage Methods 0.000 title claims abstract description 171
- 238000000034 method Methods 0.000 title claims description 44
- 241000700605 Viruses Species 0.000 title abstract description 54
- 230000015654 memory Effects 0.000 claims description 99
- 238000001514 detection method Methods 0.000 claims description 26
- 230000001012 protector Effects 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 10
- 238000011017 operating method Methods 0.000 abstract description 2
- 238000011084 recovery Methods 0.000 description 17
- 238000004891 communication Methods 0.000 description 14
- 238000007726 management method Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 9
- 238000004458 analytical method Methods 0.000 description 8
- 239000004065 semiconductor Substances 0.000 description 6
- 208000015181 infectious disease Diseases 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 239000000758 substrate Substances 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 239000013307 optical fiber Substances 0.000 description 3
- 241000208340 Araliaceae Species 0.000 description 2
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 2
- 235000003140 Panax quinquefolius Nutrition 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 235000013399 edible fruits Nutrition 0.000 description 2
- 235000008434 ginseng Nutrition 0.000 description 2
- 230000005055 memory storage Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003362 replicative effect Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 229960005486 vaccine Drugs 0.000 description 2
- 230000003612 virological effect Effects 0.000 description 2
- CQIZBIFTOGBKDB-UHFFFAOYSA-N 4-cyclohexyl-1-methyl-3,6-dihydro-2h-pyridine Chemical compound C1N(C)CCC(C2CCCCC2)=C1 CQIZBIFTOGBKDB-UHFFFAOYSA-N 0.000 description 1
- 101100076239 Drosophila melanogaster Mctp gene Proteins 0.000 description 1
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 208000003443 Unconsciousness Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000000840 anti-viral effect Effects 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000010460 detection of virus Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0629—Configuration or reconfiguration of storage systems
- G06F3/0634—Configuration or reconfiguration of storage systems by changing the state or mode of one or more devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0673—Single storage device
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/031—Protect user input by software means
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0655—Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
- G06F3/0659—Command handling arrangements, e.g. command buffers, queues, command scheduling
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Human Computer Interaction (AREA)
- Storage Device Security (AREA)
Abstract
本公开涉及一种存储设备的操作方法,其包括检测病毒/恶意软件,当检测到病毒/恶意软件时与主机设备执行鉴权操作,以及当鉴权操作的结果指示鉴权成功时进入恢复模式。
Description
本申请要求于2016年9月13日提交的韩国专利申请第10-2016-0117913号的优先权,其全部内容通过引用并入本文。
技术领域
本文描述的发明构思的实施例涉及用于防止病毒/恶意软件的存储设备和方法以及包括其的计算系统。
背景技术
勒索软件是一种计算机病毒,它隐蔽地加密用户计算机的重要数据,并且直到付款才对隐蔽加密的数据进行解密,因此如果不付款,则导致用户重大的损失。由于使用了被认为足够稳健的加密算法(例如,AES256和RSA2048),所以,如果攻击者没有提供解密密钥,则大多数感染是不可治愈的。因此,感染预防正在被强调为对抗勒索软件的措施。然而,仍然没有解决办法以从根本上防止计算机被感染病毒。由于通过其脆弱的安全性来感染网站、垃圾邮件和应用的勒索软件不间断地出现,用户可能被暴露在高感染危险下。
发明内容
操作存储设备的方法包括:检测恶意软件;当检测到恶意软件时,与主机设备执行鉴权(authentication)操作;以及当鉴权操作的结果成功时进入恢复模式。
存储设备的操作方法包括:从外部设备接收输入/输出请求;检测恶意软件是否被包括在输入/输出请求中;当检测到恶意软件攻击时,向外部设备请求认证(certification);通过验证来自外部设备的认证来确定鉴权操作是否成功;以及当鉴权操作不成功时,进入保护模式。
存储设备包括具有受保护区域的存储器区域,当与主机设备的鉴权操作成功时其存储可访问的陷阱文件;以及反恶意软件单元,被配置为通过分析与从主机设备接收的输入/输出请求相对应的数据的图样(pattern)、或者确定所述输入/输出请求是否尝试访问或调制陷阱文件,来检测恶意软件。
计算系统包括存储设备,所述存储设备包括存储陷阱文件的受保护区域和检测恶意软件的反恶意软件单元;以及主机设备,被配置为基于主机程序来管理存储设备,其中主机程序生成陷阱文件并将陷阱文件存储在受保护区域中,并且其中,当主机设备尝试访问陷阱文件时,反恶意软件单元首先向主机设备请求鉴权。
一种操作存储设备的方法包括:接收陷阱文件;将陷阱文件存储在存储设备中;以及从主机设备接收对访问陷阱文件的数据访问请求;并且响应于接收对访问陷阱文件的数据访问请求,将存储设备转换到系统锁定状态;与主机设备执行鉴权操作;并且基于鉴权操作释放系统锁定状态。
附图说明
通过参考附图详细地描述本发明构思的示例性实施例,本发明构思的示例性实施例的上述和其它特征和优点将变得更加明显。
图1是示出用于描述本发明构思的至少一个示例性实施例的计算系统的图;
图2是示出根据本发明构思的至少一个示例性实施例的存储设备的框图;
图3是示出根据本发明构思的至少一个示例性实施例的存储设备的病毒或恶意软件检测过程的图;
图4是示出根据本发明构思的至少一个示例性实施例的执行存储设备的鉴权操作的过程的图;
图5是示出根据本发明构思的至少一个示例性实施例的其中存储设备进入保护模式的过程的流程图;
图6是示出根据本发明构思的至少一个示例性实施例的生成陷阱文件的过程的梯形图;
图7是示出根据本发明构思的至少一个示例性实施例的其中存储设备进入/释放保护模式的操作的梯形图;
图8是示出根据本发明构思的至少另一示例性实施例的其中存储设备进入/释放保护模式的操作的梯形图;
图9是示出根据本发明构思的至少一个示例性实施例的其中存储设备进入恢复模式的操作的流程图;
图10是示出根据本发明构思的至少另一示例性实施例的其中存储设备进入恢复模式的操作的流程图;
图11是示出根据本发明构思的至少一个示例性实施例的存储恢复数据的存储设备的区域的图;
图12是用于描述根据本发明构思的至少一个示例性实施例的隐藏设备的鉴权过程的原理图;
图13是示出根据本发明构思的至少一个示例性实施例的复制存储设备的图;
图14是示出根据本发明构思的至少一个示例性实施例的计算系统的图;
图15是示出根据本发明构思的至少另一示例性实施例的计算系统的图;以及
图16是示出根据本发明构思的至少另一示例性实施例的数据服务器系统的框图。
具体实施方式
下面,可以详细和清楚地描述本发明构思的实施例,以达到本领域普通技术人员容易地实施本发明构思这样的程度。
图1是示出用于描述本发明构思的至少一个示例性实施例的计算系统10的图。参考图1,计算系统10可以包括主机设备100和至少一个存储设备200。
计算系统10可以被用作,例如,计算机、便携式计算机、超移动个人计算机(ultra-mobile personal computer,UMPC)、工作站、数据服务器、上网本、个人数字助理(personaldigital assistant,PDA)、网络平板电脑、无线电话、移动电话、智能电话、电子书、便携式多媒体播放器(portable multimedia player,PMP)、数码相机、数字音频记录器/播放器、数字图片/视频记录器/播放器、便携式游戏机、导航系统、黑盒子、3D电视机、能够无线地发送和接收信息的设备、构成家庭网络的各种电子设备之一、构成计算机网络的各种电子设备之一、构成远程信息处理(telematics)网络的各种电子设备之一、射频识别(radio-frequency identification,RFID)或构成计算系统的各种电子设备之一。
主机设备100可以被实施为控制计算系统10的总体操作。主机设备100可以包括处理器、应用处理器(application processor,AP)、中央处理单元(central processingunit,CPU)、图形处理单元(graphic processing unit,GPU)、运算设备等中的至少一个。主机设备100可以被实施为向存储设备200写入数据或从存储设备200中读取数据。
根据本发明构思的至少一个示例性实施例,主机设备100可以被实施为检测或移除病毒或恶意软件(malware)(“恶意的软件(malicious software)”的简称)。恶意软件的示例包括计算机病毒、计算机蠕虫、特洛伊木马、广告软件、勒索软件和/或意图损坏或至少部分控制计算机系统的其他软件。
根据本发明构思的至少一个示例性实施例,主机设备100可以包括管理存储设备200的主机程序110。
存储设备200可以被连接到主机设备100以存储数据。例如,存储设备200可以是固态驱动器(solid state drive,SSD)、硬盘驱动器(hard disk drive,HDD)、多媒体卡(multimedia card,MMC)、嵌入式多媒体卡(embedded multimedia card,eMMC)、存储卡、3D-Xpoint存储器、双列直插存储器模块(dual in-line module,DIMM)、非易失性DIMM(non-volatile DIMM,NVDIMM)、通用闪速存储器存储(universal flash storage,UFS)、嵌入式UFS(embedded UFS,eUFS)等。
存储设备200可以包括反病毒/恶意软件(反-virus/malware,反-VM)单元216和存储器区域220。
根据本发明构思的至少一个示例性实施例,反-VM单元216可以被实施为从在存储设备200中接收的数据检测病毒或恶意软件,并响应于病毒或者恶意软件的检测,进入保护模式。这里,当进入保护模式时,存储设备200可以阻止对主机设备100的访问,或者可以允许只读的访问。
根据本发明构思的至少一个示例性实施例,反-VM单元216可以在检测到病毒或恶意软件时,向主机设备100请求鉴权。例如,反-VM单元216可以向主机设备100请求认证。
根据本发明构思的至少一个示例性实施例,反-VM 216可以用硬件/软件/固件来实施。
根据本发明构思的至少一个示例性实施例,反-VM单元216可以被主机设备100可选择地激活。根据本发明构思的至少另一示例性实施例,可以根据存储设备200的内部策略来激活反-VM单元216。根据本发明构思的至少另一示例性实施例,反-VM单元216可以由用户选择性地激活。
根据本发明构思的至少一个示例性实施例,反-VM单元216可以包括一个或多个电路或电路系统(例如,硬件)或由一个或多个电路或电路系统(例如,硬件)来实施,该电路或电路系统被专门地构造为实行和/或控制在本公开中被描述为由反-VM单元216(或其元素)正在执行的操作的一些或全部。根据本发明构思的至少一个示例性实施例,反-VM单元216可以包括存储器和一个或多个处理器或由存储器和一个或多个处理器来实施,所述一个或多个处理器执行存储在存储器中的计算机可读代码(例如,软件和/或固件),并且该计算机可读代码包括用于使得所述一个或多个处理器实行和/或控制在本公开中被描述为由反-VM单元216(或其元素)正在执行的操作的一些或全部的指令。根据本发明构思的至少一个示例性实施例,反-VM单元216可以通过,例如,上述参考的硬件和执行计算机可读代码的处理器的组合来实施。
存储器区域220可以被实施为存储数据。根据本发明构思的至少一个示例性实施例,存储器区域220可以是易失性存储器(例如,动态随机存取存储器(dynamic randomaccess memory,DRAM)或静态随机存取存储器(static random access memory,SRAM))、非易失性存储器(例如,磁阻随机存取存储器(magneto-resistive random access memory,MRAM)或闪速存储器)、或硬盘驱动器(hard disk drive,HDD)的盘片。
根据本发明构思的至少一个示例性实施例的存储器区域220可以包括受保护区域222。这里,受保护区域222可以存储,例如,被用户指定为需要提高的安全性的数据(例如,安全数据)、启动所需的数据(例如,启动数据)、恢复所需的恢复数据等。
根据本发明构思的至少一个示例性实施例,受保护区域222可以是仅当鉴权操作成功时可以被主机设备100访问的区域。
根据本发明构思的至少另一示例性实施例,受保护区域222可以是仅当鉴权操作成功时可写入的区域。也就是说,当鉴权操作不成功时,受保护区域222可以是只读区域。例如,受保护区域222可以是被用户(例如,主机设备100)的文件系统不视为卸载状态并可由主机程序110访问的区域,例如,管理存储设备200的魔术师(例如,三星魔术师软件)。可以从受保护区域222读取数据,然而,根据本发明构思的至少一些示例性实施例,存储设备200可以要求鉴权操作来对受保护区域222执行更新或写入操作。根据本发明构思的至少一个示例性实施例,在更新受保护区域222中的数据的情况下,写入操作可以将用于鉴权操作的签名值添加到正常写入命令。
根据本发明构思的至少一个示例性实施例,受保护区域222可以包括陷阱文件。这里,陷阱文件可以是由制造商或存储设备200的用户生成的数据,并且可以被用来检测攻击者的恶意访问。例如,当在没有鉴权的情况下,进行对受保护区域220的陷阱文件的访问时,该访问可以被认为是攻击者的恶意访问。
根据本发明构思的至少一个示例性实施例的计算系统10可以在存储设备200内执行病毒/恶意软件检测操作,从而使加固安全性并减少监测开销成为可能。
根据本发明构思的至少一个示例性实施例的计算系统10可以通过实施存储用于检测恶意访问的陷阱文件的存储设备200,来提高病毒/恶意软件检测的可靠性。
根据本发明构思的至少一个示例性实施例的计算系统10可以通过实施包括用于防止病毒/恶意软件的受保护区域222的存储设备200,来提前防止整个系统的感染。
图2是示出根据本发明构思的至少一个示例性实施例的存储设备200的框图。参考图2,存储设备200可以包括连接器205、控制器210、存储器区域220和缓冲存储器230。控制器210、存储器区域220和缓冲存储器230被连接到总线201。
根据通信协议,连接器205可以将存储设备200连接到包括主机设备100的外部设备。例如,通信协议可以是,例如,以下各项中的一个或多个:双数据速率(double datarate,DDR)、非易失性存储器标准(non-volatile memory express,NVMe)、外围组件互连标准(peripheral component interconnect express,PCIe)、附件串行(serial atattachment,SATA)、小型计算机系统接口(small computer system interface,SCSI)、串行连接SCSI(serial attached SCSI,SAS)、通用存储总线USB连接SCSI(universalstorage bus USB attached SCSI,UAS)、互联网小型计算机系统接口(internet smallcomputer system interface,iSCSI)、光纤通道、以太网上的光纤通道(fiber channelover ethernet,FCoE)等。
控制器210可以被实施为控制存储设备200的总体操作。控制器210可以包括存储软件(software,SW)212、至少一个硬件(hardware,HW)知识产权(intellectual property,IP)214和反-VM单元216。HW IP 214可以包括,例如,一个或多个IP核和/或IP块。
存储软件212可以是用于管理存储器区域212的软件,并且可以响应于接收到的读取/写入请求来控制存储器区域212的读取/写入操作。
硬件IP 214可以是被构造为执行与管理存储器区域212相关联的操作的硬件(例如,一个或多个电路或电路系统),并且可以包括至少一个处理器。根据本发明构思的至少一个示例性实施例,硬件IP 214还可以包括加密和解密设备,其可以通过,例如,用于加密和解密数据的电路系统和/或软件来实施。
反-VM单元216可以实时检测病毒或恶意软件,并且可以基于检测结果允许存储设备200进入保护模式。
反-VM单元216可以包括攻击检测器217、鉴权器(authenticator)218和保护器219。
攻击检测器217可以被实施为检测病毒或恶意软件。根据本发明构思的至少一个示例性实施例,攻击检测器217可以通过分析接收到的数据的图样来检测病毒或恶意软件。根据本发明构思的至少一个示例性实施例,攻击检测器217可以通过感测对陷阱文件的访问或对调制陷阱文件的尝试,来检测病毒或恶意软件。同时,应当理解的是,通过使用攻击检测器217来检测病毒或恶意软件的方式不限于以上描述的方法。
鉴权器218可以被实施为与主机设备100(参考图1)进行鉴权操作。根据本发明构思的至少一个示例性实施例,鉴权器218可以被实施为向主机设备100请求认证或者验证从主机设备100接收的认证。根据本发明构思的至少另一示例性实施例,通过主机设备100的主机程序的执行,鉴权器218可以通过分析由用户输入的密码来执行鉴权操作。
根据本发明构思的至少一个示例性实施例,当确定攻击检测器217检测到病毒或恶意软件时,鉴权器218可以开始与主机设备100的鉴权操作。
保护器219可以基于鉴权操作的结果来确定是否进行主机设备100对存储设备的访问、是否进行对存储器区域220的访问、是否进行对受保护区域222的访问、或者是否对受保护区域222进行更新或写入操作。
根据本发明构思的至少一个示例性实施例,当主机设备100被鉴权器218鉴权时,保护器219可以允许对受保护区域222的访问或更新(写入)操作。
根据本发明构思的至少一个示例性实施例,当主机设备100未被鉴权器218鉴权时,保护器219可以仅允许对受保护区域222的读取操作。
缓冲存储器230可以被实施为临时存储要被写入存储器区域220的数据,或临时存储从存储器区域220读取的数据。缓冲存储器230可以用易失性存储设备或非易失性存储设备来实施。例如,缓冲存储器230可以由DRAM、SRAM、相变随机存取存储器(phase-changerandom access memory,PRAM)等中的一个或多个来具体实现。
同时,图2中所示的存储设备200包括缓冲存储器230,但是本发明构思的至少一些示例性实施例不限于此。根据本发明构思的至少一个示例性实施例的存储设备200可以不包括缓冲存储器。
图3是示出根据本发明构思的至少一个示例性实施例的存储设备200的病毒或恶意软件检测过程的图。参考图3,攻击检测器217可以,例如,以两种方法来检测病毒或恶意软件。
根据第一方法,可以通过图样分析器217_1分析接收到的数据的图样来检测病毒或恶意软件。这里,所接收到的数据可以是通过连接器205输出的工作负载。病毒或恶意软件检测可以根据是否接收到先前确定的图样的数据来进行。
根据第二方法,病毒或恶意软件检测可以根据是否对陷阱文件确定器217_2进行访问来进行。陷阱文件确定器217_2是由主机程序110(参照图1)生成的数据,并且如果未执行鉴权操作,则不被主机设备100查看到。在不进行鉴权操作的情况下或当鉴权操作不成功时进行的对陷阱文件确定器217_2的访问可以被确定为病毒或恶意软件检测。
根据本发明构思的至少一个示例性实施例,可以通过病毒或恶意软件检测,来确定对调制陷阱文件确定器217_2的尝试。
如上所述,当攻击检测器217检测到病毒或恶意软件时,鉴权器218可以开始与请求访问/工作负载的外部设备的鉴权操作。
同时,当攻击检测器217未检测到病毒或恶意软件时,可以通过存储SW212根据访问/工作负载的请求来正常地控制存储器区域220。
同时,根据本发明构思的至少一个示例性实施例的攻击检测器217,包括图样分析器217_1和陷阱文件确定器217_2。然而,根据本发明构思的至少一个示例性实施例的攻击检测器217的病毒/恶意软件检测可以不限于此。根据本发明构思的至少一个示例性实施例的攻击检测器217可以不包括图样分析器217_1。
图4是示出根据本发明构思的至少一个示例性实施例的执行存储设备200的鉴权操作的过程的图。参考图4,当攻击检测器217检测病毒或恶意软件时,鉴权器218可以开始与外部设备的鉴权操作。
根据本发明构思的至少一个示例性实施例,鉴权器218可以以异步方式(例如,异步地)向外部设备发送鉴权请求。根据本发明构思的至少一个示例性实施例,鉴权器218可以通过边带接口(side band interface)将鉴权请求发送到外部设备。这里,边带接口可以使用管理组件传输协议(management component transport protocol,MCTP)。根据本发明构思的至少另一示例性实施例,主机程序110(参照图1)可以通过导致主机100周期性地轮询(poll)存储设备200来识别对于外部设备的鉴权请求。用户可以在存储设备200的保护模式操作之前,首先对外部设备执行鉴权。
当鉴权操作成功时,外部设备可以通过鉴权器218对受保护区域222执行访问或调制。当鉴权操作不成功时,外部设备可以对存储器区域220执行读取操作,但是不能对存储器区域220执行写入操作。例如,当鉴权操作不成功时,存储设备200可以允许外部设备执行读取操作,而防止外部设备执行写入操作。
图5是示出根据本发明构思的至少一个示例性实施例的其中存储设备200进入保护模式的过程的流程图。参照图1至图5,可以执行如下的存储设备200进入保护模式的过程。
存储设备200可以从外部设备接收输入/输出请求(S110)。存储设备200的攻击检测器217可以通过分析访问请求或与输入/输出请求相对应的数据来执行病毒/恶意软件检测操作。存储设备200可以确定病毒/恶意软件检测操作的结果是否指示检测到攻击(S120)。
如果检测到病毒/恶意软件,则存储设备200的鉴权器218可以,例如,通过向外部设备传送鉴权请求,来向外部设备请求认证(S130)。请求认证的一种方式可以如参考图4所述的那样被不同地实施。
鉴权器218可以从外部设备接收认证,并且可以验证认证。也就是说,鉴权器218可以确定鉴权失败是否发生(S140)。
如果发生鉴权失败,则存储设备200的保护器219可以确定进入保护模式。这里,保护模式可以在先前确定的时间内阻止对存储设备200的访问,可以将存储设备200的存储器区域220设置为“只读”,可以将存储器区域220的受保护区域222设置为“只读”,或可以阻止对受保护区域222的访问。
相反地,如果在操作S120中没有检测到攻击,或者如果在操作S140中鉴权失败没有发生,则存储设备200可以以正常模式操作。
图6是示出根据本发明构思的至少一个示例性实施例的生成陷阱文件的过程的梯形图。参照图6,可以执行如下的生成陷阱文件的过程。
主机设备100的主机程序110可以生成用于检测病毒/恶意软件的陷阱文件(S210)。根据本发明构思的至少一个示例性实施例,陷阱文件的大小可以被用户改变。根据本发明构思的至少另一个示例性实施例,陷阱文件的大小可以是固定的。生成的陷阱文件可以存储在存储设备200中(S220)。在这种情况下,主机设备100可以知道其中存储陷阱文件的逻辑地址。主机设备100可以通过使用先前确定的命令(诸如协议命令(vendorcommand)),将与陷阱文件相对应的地址信息发送到存储设备200。所发送的地址信息可以被存储在存储设备200中(S230)。随后,存储设备200可以通过将接收到的地址与所存储的地址信息进行比较,来确定外部设备是否访问陷阱文件。
随后,主机程序110可以导致主机100设置恢复数据(S240)。这里,恢复数据可以是启动计算系统10(参见图1)所需的启动数据、用户的私人信息(例如,生物特征信息)、安全数据(例如,由计算机系统10和/或存储设备200的用户指定为需要提高安全性的数据)等。恢复数据可以被存储在存储设备200的受保护区域222中(S250)。特此,可以完成生成陷阱文件的过程。
同时,图6的陷阱文件可以由主机设备100的主机程序110生成。但是本发明构思的实施例不限于此。陷阱文件可以由存储设备200的制造商预先生成和存储,并且还可以存储与陷阱文件相对应的地址信息。制造商可以向存储设备200的用户提供与陷阱文件相对应的地址信息。
图7是示出根据本发明构思的至少一个示例性实施例的其中存储设备200进入/释放保护模式的操作的梯形图。参考图7,可以执行如下的其中存储设备200进入/释放保护模式的操作。
存储设备200可以从主机设备100或外部设备接收对陷阱文件的访问请求。由于主机设备100的文件系统在正常操作中不知道陷阱文件的地址,所以访问请求与非法尝试相对应的概率可能很高。存储设备200可以响应于与陷阱文件相关联的访问请求来执行系统锁定操作(S310)。这里,系统锁定操作可以包括将存储设备200转换到系统锁定状态,其中存储设备200执行以下各项中的至少一个:在先前确定的时间期间阻止对存储设备200的访问、以只读模式操作存储设备200、允许存储设备200的存储器区域220仅以只读模式操作、阻止对受保护区域222的访问、以及那些类似的操作。
随后,在存储设备200处于系统锁定状态的同时,主机装置100可以请求受保护区域222的恢复数据(例如,引导数据),以执行数据恢复操作。响应于数据恢复请求,存储设备200可以首先向主机设备100请求认证。主机设备100可以响应于认证请求,将认证传递到存储设备200。通过接收到的认证的验证,存储设备200可以确定鉴权操作是否成功(S320)。如果鉴权操作成功,则存储设备200可以读取存储在保护区域222中的恢复数据,并且可以将读取的恢复数据发送到主机设备100。主机设备100可以通过使用所发送的恢复数据来执行系统重新启动(S330)。随后,存储设备200可以响应于成功的鉴权释放系统锁定状态(S340)。
同时,响应于对陷阱文件的访问的请求,存储设备200可以进入保护模式。但是本发明构思的实施例不限于此。根据本发明构思的至少一个示例性实施例,可以根据是否进行调制陷阱文件的尝试,来进行进入保护模式。
图8是示出根据本发明构思的至少另一示例性实施例的其中存储设备200进入/释放保护模式的操作的梯形图。参考图8,图8中所示的存储设备200的保护模式进入/释放操作可以不同于图7中所示的存储设备200的保护模式进入/释放操作,其不同之处在于图8的操作包括存储设备200检测是否进行了对调制陷阱文件的尝试(S305)和当检测到对调制陷阱文件的尝试时存储设备200执行系统锁定操作(即进入系统锁定状态)(S315)。
图9是示出根据本发明构思的至少一个示例性实施例的其中存储设备200进入恢复模式的操作的流程图。参考图1至图9,可以执行如下的其中存储设备200进入恢复模式的操作。
存储设备200可以检测病毒/恶意软件(S410)。这里,如参考图1至图8所描述的,可以通过分析数据图样或根据对访问/调试陷阱文件的尝试来进行病毒/恶意软件检测。如果检测到病毒/恶意软件,则存储设备200可以开始与执行输入/输出请求的外部设备的鉴权操作(S420)。如果发生鉴权失败,存储设备200可以通过进入系统锁定状态执行系统锁定操作。如果鉴权操作成功,存储设备200可以进入恢复模式(S430)。当进入恢复模式时,可以从受保护区域222读取恢复操作所需的恢复数据,并且可以将读取的数据发送到外部设备。
同时,应当理解的是,根据本发明构思的至少一个示例性实施例的进入存储设备200的恢复模式不限于图8所示的方法。
图10是示出根据本发明构思的至少另一示例性实施例的其中存储设备200进入恢复模式的操作的流程图。相比于图9,图10的存储设备200的恢复模式进入过程还可以包括操作S415。在操作S415中,当检测病毒/恶意软件时,存储设备200可以进入保护模式。这里,保护模式可以与存储设备200阻止写入操作的状态(即仅允许对存储设备200的读取操作)相对应。
图11是示出根据本发明构思的至少另一示例性实施例的存储恢复数据的存储设备200的区域的图。参考图11,恢复数据可以被存储在受保护区域222或只读地址区域226中。
存储器区域220可以包括读/写地址区域224和只读地址区域226,其中读/写地址区域224即使在非鉴权时也可访问。对存储在只读地址区域226中的调制数据的尝试可能意味着病毒/恶意软件的存在。
受保护区域222是仅在鉴权时可访问的区域。在没有鉴权的情况下对存储在受保护区域220中调制数据的尝试,或在不鉴权的情况下对访问受保护区域220的尝试,可能意味着病毒/恶意软件的存在。
同时,图1至图11主要在病毒/恶意软件检测方面描述。然而,从鉴权的角度来看,可以基于是否识别隐藏设备来描述本发明构思的至少一些示例性实施例。
图12是用于描述根据本发明构思的至少一个示例性实施例的隐藏设备的鉴权过程的原理图。参考图12,当主机设备100未被鉴权时,隐藏设备可以不被识别。这里,隐藏设备可以用其中隐藏设备与存储设备200物理地集成的设备,来实施为与存储设备200相关联的设备。在没有被鉴权的同时,主机设备100可以通过第一通信协议向存储设备200发送输入/输出请求。
此外,当主机设备100被鉴权时,隐藏设备可由主机设备100识别为安全存储设备300。安全存储设备300可以包括恢复数据。在被鉴权的同时,主机设备100可以使用存储设备200和安全存储设备300。在这种情况下,主机设备100可以通过第一通信协议向存储设备200发送输入/输出请求,或者可以通过第二通信协议将输入/输出请求发送到存储设备300。例如,第一通信协议可以与第二通信协议不同。例如,第一通信协议可以是NVMe协议,并且第二通信协议可以是边带协议。作为另一示例,第一通信协议和第二通信协议可以是相同的。
同时,本发明构思的实施例对复制存储设备是可应用的。
图13是示出根据本发明构思的至少一个示例性实施例的复制存储设备200a的图。参考图13,复制存储设备200a可以包括至少一个第一(多个)非易失性存储器器件NVM1、至少一个第二(多个)非易失性存储器件NVM2、连接到第一端口P1以控制至少一个第一(多个)非易失性存储器件NVM1的第一存储器控制器CTNL1、和连接到第二端口P2来控制至少一个第二(多个)非易失性存储器件NVM2的第二存储器控制器CTNL2。
第一存储器控制器CTNL1或第二存储器控制器CTNL2可以包括参考图1至图12所述的反-VM单元216。为了便于描述,下面假定在第一个端口P1被激活的同时,检测到了病毒/恶意软件。当第一存储器控制器CTNL1检测病毒/恶意软件时,第一端口P1可以不被激活。在这种情况下,至少一个第一(多个)非易失性存储器件NVM1的数据可以被备份到至少一个第二(多个)非易失性存储器件NVM2。随后,第二端口P2可以从非激活状态切换到活动状态。主机设备100可以通过第二端口P2继续访问复制存储设备200a。同时,由第一存储器控制器CTNL1检测到的病毒/恶意软件可以由与检测到的病毒/恶意软件相对应的疫苗(或反病毒程序)移除。
这里,至少一个第一(多个)非易失性存储器件NVM1和至少一个第二(多个)非易失性存储器件NVM2中的每一个可以是NAND闪速存储器存储器、垂直与非闪速存储器存储器(vertical NAND flash memory,VNAND)、或非闪速存储器、电阻随机存取存储器(resistive random access memory,RRAM)、相变存储器(phase-change memory,PRAM)、磁阻RAM(magneto-resistive RAM,MRAM)、铁电RAM(ferroelectric RAM,FRAM)、自旋传输转矩RAM(spin transfer toque RAM,STT-RAM)等。
另外,非易失性存储器可以被实施为具有三维(three-dimensional,3D)阵列结构。在本发明构思的至少一个示例性实施例中,提供了3D存储器阵列。3D存储器阵列在存储单元的阵列的一个或多个物理等级中单片地形成,该存储器单元的阵列具有设置在硅基底上方的激活区域以及与这些存储器单元的操作相关联的电路,无论这种相关联的电路是在基底之上或基底之内。与存储器单元的操作相关的电路可以位于基底之中或基底之上。术语“单片的”意味着阵列的每个等级的层被直接放置在阵列的每个底层等级的层上。
在本发明构思的至少一个示例性实施例中,3D存储器阵列包括以垂直为方向的垂直与非字符串,使得至少一个存储器单元位于另一存储器单元上。至少一个存储单元可以包括电荷陷阱层(charge trap layer)。每个垂直与非字符串可以包括至少一个位于存储器单元之上的选择晶体管。至少一个选择晶体管可以具有与存储器单元中的那些结构相同的结构,并且可以与存储器单元一起单片地形成。
三维存储器阵列由多个等级形成,并且具有在等级当中共享的字线或位线。特此通过参考被并入的以下的专利文献:美国专利号7,679,133、8,553,466、8,654,587、8,559,235、和美国专利公开号2011/0233648,描述用于三维存储器阵列的适当的配置,其中三维存储器阵列被配置为多个等级,其用在等级之间共享的字线和/或位线由三星电子有限公司应用。根据本发明构思的至少一些示例性实施例的非易失性存储器,可以对其中绝缘层被用作电荷存储层的电荷陷阱闪速存储器(charge trap flash,CTF)器件、以及其中导电浮栅被用作电荷存储层的快闪速存储器储器设备是可应用的。
本发明构思的实施例可以对NVDIMM是应用的。
图14是示出根据本发明构思的至少一个示例性实施例的计算系统20的图。参考图14,计算系统20可以包括处理器(CPU)21、存储器模块(例如,DIMM)22和非易失性存储器模块(例如,NVDIMM)23。
处理器21可以被实施为控制计算系统20的总体操作。处理器21可以执行计算系统20的各种操作并且可以处理数据。根据本发明构思的至少一个示例性实施例,处理器21可以包括用于管理存储器模块22和非易失性存储器模块23的存储器控制器。
存储器模块22可以通过双数据速率(double data rate,DDR)接口被连接到处理器21。根据本发明构思的至少一个示例性实施例,DDR接口可以遵守联合电子设备工程委员会(joint electron device engineering council,JEDEC)的存储器标准规范。同时,图14中所示的存储器模块22可以基于DDR接口被连接到处理器21。然而,本发明构思的实施例不限于此。存储器模块22可以通过除DDR接口以外的各种通信接口被连接到处理器21。例如,通信接口可以包括NVMe、PCIe、SATA、SCSI、SAS、UAS、iSCSI、光纤通道和FCoE。
根据本发明构思的至少一个示例性实施例,存储器模块22可以用DIMM来实施。根据至少一个实施例中的发明构思,存储器模块22可以包括至少一个DRAM。根据本发明构思的至少一个示例性实施例,存储器模块22可以操作为非易失性存储器23的高速缓冲存储器。根据本发明构思的至少一个示例性实施例,存储器模块22可以包括存储数据和与数据相对应的标签的高速缓存块。根据本发明构思的至少一个示例性实施例,高速缓存块中的每一个可以用DRAM来实施。
非易失性存储器模块23可以通过DDR接口被连接到处理器21。同时,图14中所示的非易失性存储器模块23可以基于DDR接口被连接到处理器21。然而,本发明构思的示例性实施例中的至少一些不限于此。根据本发明构思的至少一个示例性实施例的非易失性存储器模块23可以通过除DDR接口之外的各种的通信接口被连接到处理器21。
非易失性存储器模块23可以用DIMM来实施。非易失性存储器模块23可以被用作处理器21的工作存储器。非易失性存储器模块23可以包括至少一个非易失性存储器。
根据本发明构思的至少一个示例性实施例的非易失性存储器模块23可以包括参考图1至图13描述的反病毒/恶意软件单元216,以实时检测病毒/恶意软件,并根据检测结果自动进入保护模式。
同时,根据本发明构思的至少一个示例性实施例的计算系统20还可以包括基于DDR-T(交易)接口的非易失性存储器。
图15是示出根据本发明构思的至少一个示例性实施例的计算机系统30的图。参考图15,计算系统30可以包括处理器31、存储器模块(例如,DIMM)32、和非易失性存储器模块23。
处理器31和存储器模块32可以被实施为与图14描述的那些相同。
非易失性存储器33可以基于DDR-T接口输入和输出数据。在这种情况下,存储器模块32可以被实施为执行非易失性存储器33的高速缓存功能。根据本发明构思的至少一个示例性实施例,非易失性存储器33可以是3D-Xpoint存储器(例如,3D MRAM)。
图16是示出根据本发明构思的至少另一示例性实施例的数据服务器系统40。参考图16,数据服务器系统40可以包括相关数据库管理系统(related database managementsystem,RDBMS)41、高速缓存服务器42和应用服务器43。
高速缓存服务器42可以响应于来自相关数据库管理系统41的无效通知被实施为维护和删除不同的键和值对。
相关数据库管理系统41、高速缓存服务器42和应用服务器43中的至少一个可以如参考图1至图15的描述的检测病毒/恶意软件,并且当检测到病毒/恶意软件时,可以允许仅通过鉴权对受保护区域的访问/调制。
本发明构思的至少一些示例性实施例中提供了在勒索软件感染之后对调制在存储级别中数据的尝试执行检测、认证、保护和恢复的方法。
本发明构思的至少一些示例性实施例可以提供一种比仅存在常规主机系统中的反病毒软件更有效和更高效率的方法,所述方法基于来自主机系统的信息通过提供一种感测存储设备中的异常文件I/O和用于防止附加感染和恢复受感染数据的安全环境(恢复模式)的方法。
根据本发明构思的至少一个示例性实施例的存储设备包括用于检测恶意访问和调制的检测器。根据本发明构思的至少一个示例性实施例,检测器可以被提供在难以调制的存储系统的片上系统(system on chip,SoC)中。图样分析器通过分析工作负载图样检测恶意访问和调制,在生成文件后检测恶意访问,其为不可能被正常的访问的陷阱文件,以处理图样分析器没有检测到恶意访问和调制的情况。当检测到恶意访问和调制时,请求鉴权器来执行鉴权。
此外,根据本发明构思的至少一个示例性实施例的存储设备包括用于用户鉴权的鉴权器。根据本发明的实施例的鉴权器存在于存储系统的SoC之内,并且当检测到恶意调制和访问时执行用于鉴权用户的动作。此外,鉴权器可以在用户鉴权的过程中使用现有的被认可的鉴权技术以防止重放攻击(reply attack)等。
根据本发明构思的至少一个示例性实施例的存储设备还包括用于数据保护和恢复的保护器。根据本发明构思的至少一个示例性实施例的保护器可以访问和更新储存器中的受保护区域,并且受保护区域可以通过用户鉴权被用于保护和恢复数据,并且在没有鉴权的情况下可以是不可访问的。受保护区域可以与储存器的剩余区域物理/逻辑上相连续,并且可以是块(chunk)的集合。
根据本发明构思的至少一个示例性实施例的存储系统的用户可以通过使用在SoC内提供的允许非常严格的访问和更新的鉴权器和保护器来设置数据保护和恢复。
并且,检测器可以在用户无法访问的区域中生成陷阱文件,并且可以在存储级别中管理陷阱文件。在因为用户疫苗被诸如勒索软件等恶意软件或病毒感染而其中不可能防止无意识的动作的情况下,如果恶意软件或病毒被激活以导致用户损失,则检测器的图样分析器可以检查命令和数据图样,并且可以基于是否进行对陷阱文件的访问来检测恶意访问和调制。
与存储系统关联的所有请求都被拒绝,直到通过鉴权器完成用户鉴权,并且当发生鉴权失败时,由保护器执行恢复模式。由于只有通过鉴权器的鉴权才有可能访问和更新由保护器管理的数据,通过恶意软件或病毒的文件调制是不可能的,由保护器管理的数据可以被用于可靠的恢复。
由于在储存器而不是在主机中执行病毒/恶意软件的检测操作,所以有可能加固安全性并减少监视开销。与基于检测方法的现有的图样分析器相比,通过使用用于恶意访问检测的安全数据可以检测出不同图样的访问。通过将需要保护的数据和区域设置为“只读”来预先防止整个系统受到感染可以是可能的。
根据本发明构思的至少一个示例性实施例的主机程序可以生成陷阱文件,并且可以向存储设备提供陷阱文件的地址。根据本发明构思的至少一个示例性实施例,存储设备可以基于所提供的地址自动检测数据调制。本发明构思的实施例提供了存储设备的恢复模式(写入保护、使用恢复区域的重启)。
根据本发明构思的至少一个示例性实施例,提供了一种存储设备、包括其的计算系统、以及一种其通过仅当与主机设备的根据病毒/恶意软件的检测进行的鉴权成功时允许访问/调制受保护区域的尝试来防止病毒/恶意软件攻击方法。
因此已经描述了本发明构思的示例性实施例,显而易见的是,它可以以许多方式变化。这样的变化不被认为是偏离本发明构思的示例性实施例的期望的精神和范围,并且对本领域技术人员显而易见的所有这样的修改意图被包括在以下的权利要求的范围内。
Claims (20)
1.一种操作存储设备的方法,所述方法包括:
检测恶意软件;
当检测到所述恶意软件时,与主机设备执行鉴权操作;以及
当所述鉴权操作的结果成功时进入恢复模式。
2.根据权利要求1所述的方法,其中
所述检测所述恶意软件包括:
分析接收到的数据的图样以检测所述恶意软件。
3.根据权利要求1所述的方法,其中,所述检测所述恶意软件包括:
确定是否进行对陷阱文件的访问。
4.根据权利要求3所述的方法,还包括:
生成所述陷阱文件;
存储所生成的陷阱文件;以及
存储与所存储的陷阱文件相对应的地址信息。
5.根据权利要求1所述的方法,还包括:
当检测到所述恶意软件时,通过将所述存储设备转换到系统锁定状态来执行系统锁定操作。
6.根据权利要求5所述的方法,还包括:
在处于所述系统锁定状态的同时,在先前确定的时间期间阻止外部设备对所述存储设备的访问,阻止对所述存储设备的存储器区域的访问,仅允许对所述存储器区域的读取操作,阻止对所述存储器区域中的受保护区域的访问,或仅允许对所述受保护区域的读取操作。
7.根据权利要求5所述的方法,还包括:
当所述鉴权操作成功时释放所述系统锁定状态。
8.根据权利要求1所述的方法,其中
所述检测包括:
确定是否发生了对调制所述陷阱文件的尝试,并且
所述方法还包括:
当进行对调制所述陷阱文件的尝试时,将所述存储设备转换到系统锁定状态。
9.如权利要求1所述的方法,其中所述执行包括:
向所述主机设备请求认证;以及
验证来自所述主机设备的认证。
10.根据权利要求9所述的方法,其中,所述请求包括:
通过异步地向所述主机设备发送鉴权请求,向所述主机设备请求认证。
11.根据权利要求9所述的方法,其中,所述请求包括:
通过周期性地轮询所述存储设备来识别对所述主机设备的认证的请求。
12.根据权利要求1所述的方法,其中,所述进入包括:
将存储在受保护区域中的启动数据发送到所述主机设备。
13.根据权利要求12所述的方法,还包括:
当所述鉴权成功时允许所述主机设备识别所述受保护区域。
14.一种存储设备,包括:
存储器区域,所述存储器区域具有受保护区域,当与主机设备的鉴权操作成功时,存储可访问的陷阱文件;以及
反恶意软件单元,被配置为通过分析与从所述主机设备接收的输入/输出请求相对应的数据的图样、或者确定所述输入/输出请求是否尝试访问或调制陷阱文件,来检测恶意软件。
15.根据权利要求14所述的存储设备,其中,所述反恶意软件单元包括:
攻击检测器,被配置为检测所述恶意软件;
鉴权器,被配置为当检测到所述恶意软件攻击时,执行所述鉴权操作;以及
保护器,被配置为当所述鉴权操作不成功时,进入保护模式以保护所述存储器区域或所述受保护区域。
16.根据权利要求15所述的存储设备,其中所述受保护区域可通过所述鉴权器访问。
17.根据权利要求14所述的存储设备,其中,所述存储器区域还包括读/写区域和只读区域,所述读/写区域和只读区域在没有所述主机设备的鉴权的情况下是可识别的,并且
其中恢复数据被存储在所述只读区域或所述受保护区域中。
18.根据权利要求14所述的存储设备,其中,当所述主机设备未被鉴权时,所述受保护区域用不被识别的隐藏设备来实施,并且
其中,当所述主机设备被鉴权时,所述受保护区域起到被识别的安全存储设备的作用。
19.一种操作存储设备的方法,所述方法包括:
接收陷阱文件;
将所述陷阱文件存储在所述存储设备中;
从主机设备接收对访问所述陷阱文件的数据访问请求;以及
响应于接收对访问所述陷阱文件的所述数据访问请求,
将所述存储设备转换到系统锁定状态;
与主机设备执行鉴权操作;并且
基于所述鉴权操作释放所述系统锁定状态。
20.根据权利要求19所述的方法,其中,所述系统锁定状态是其中所述存储设备执行以下各项中的至少一个的状态:
阻止访问所述存储设备的至少一部分,以及
以只读模式操作所述存储设备的至少一部分。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160117913A KR102573921B1 (ko) | 2016-09-13 | 2016-09-13 | 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법 |
| KR10-2016-0117913 | 2016-09-13 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107818245A true CN107818245A (zh) | 2018-03-20 |
Family
ID=61560836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710821259.6A Pending CN107818245A (zh) | 2016-09-13 | 2017-09-13 | 用于防止病毒/恶意软件的存储设备和方法及计算系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US10909238B2 (zh) |
| KR (1) | KR102573921B1 (zh) |
| CN (1) | CN107818245A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019202417A1 (en) * | 2018-04-16 | 2019-10-24 | International Business Machines Corporation | Injecting trap code in an execution path of a process executing a program to generate a trap address range to detect potential malicious code |
| CN110430331A (zh) * | 2018-05-01 | 2019-11-08 | 柯尼卡美能达株式会社 | 图像处理装置以及记录介质 |
| TWI700590B (zh) * | 2019-01-28 | 2020-08-01 | 瑞昱半導體股份有限公司 | 介面轉接電路 |
| US11003777B2 (en) | 2018-04-16 | 2021-05-11 | International Business Machines Corporation | Determining a frequency at which to execute trap code in an execution path of a process executing a program to generate a trap address range to detect potential malicious code |
| CN114424194A (zh) * | 2019-04-23 | 2022-04-29 | 微软技术许可有限责任公司 | 自动恶意软件修复和文件恢复管理 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6723863B2 (ja) * | 2016-08-01 | 2020-07-15 | オリンパス株式会社 | 組み込みシステム、撮影機器及びリフレッシュ方法 |
| KR102573921B1 (ko) * | 2016-09-13 | 2023-09-04 | 삼성전자주식회사 | 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법 |
| US11080397B2 (en) | 2018-09-12 | 2021-08-03 | International Business Machines Corporation | Using trap cache segments to detect malicious processes |
| US11042636B2 (en) * | 2018-09-12 | 2021-06-22 | International Business Machines Corporation | Using trap storage units to detect malicious processes |
| JP7034870B2 (ja) * | 2018-09-19 | 2022-03-14 | 株式会社東芝 | 認証装置 |
| KR102105885B1 (ko) * | 2018-11-30 | 2020-05-04 | 주식회사 심플한 | 랜섬웨어 탐지 방법 및 랜섬웨어 탐지 시스템 |
| US11080182B2 (en) * | 2019-01-07 | 2021-08-03 | International Business Machines Corporation | Object load introspection using guarded storage |
| US10866747B2 (en) * | 2019-02-10 | 2020-12-15 | Hewlett Packard Enterprise Development Lp | Securing a memory drive |
| US10725687B1 (en) * | 2019-03-19 | 2020-07-28 | Western Digital Technologies, Inc. | Settable replay protected memory block characteristics in a logic unit |
| KR102239902B1 (ko) * | 2019-06-03 | 2021-04-13 | 김덕우 | 보조기억장치에서의 파일시스템 보호장치 및 방법 |
| KR102275764B1 (ko) * | 2019-08-22 | 2021-07-13 | 김덕우 | 가변 컴퓨터 파일시스템이 적용된 데이터 저장장치 |
| US20220197537A1 (en) * | 2020-12-18 | 2022-06-23 | Micron Technology, Inc. | Object management in tiered memory systems |
| KR102403303B1 (ko) * | 2021-08-19 | 2022-05-30 | 여동균 | 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080162915A1 (en) * | 2006-12-29 | 2008-07-03 | Price Mark H | Self-healing computing system |
| US20120254993A1 (en) * | 2011-03-28 | 2012-10-04 | Mcafee, Inc. | System and method for virtual machine monitor based anti-malware security |
| CN103413090A (zh) * | 2012-05-22 | 2013-11-27 | 卡巴斯基实验室封闭式股份公司 | 用于数据存储设备上恶意软件的检测和处理的系统和方法 |
| CN105809055A (zh) * | 2016-02-26 | 2016-07-27 | 深圳天珑无线科技有限公司 | 访问控制方法、装置及相关设备 |
Family Cites Families (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9361243B2 (en) * | 1998-07-31 | 2016-06-07 | Kom Networks Inc. | Method and system for providing restricted access to a storage medium |
| US7712132B1 (en) | 2005-10-06 | 2010-05-04 | Ogilvie John W | Detecting surreptitious spyware |
| US8046547B1 (en) * | 2007-01-30 | 2011-10-25 | American Megatrends, Inc. | Storage system snapshots for continuous file protection |
| US7814321B2 (en) * | 2007-04-19 | 2010-10-12 | Lenovo (Singapore) Pte. Ltd. | System and method for protecting disk drive password when BIOS causes computer to leave suspend state |
| US8578179B2 (en) | 2007-10-19 | 2013-11-05 | Samsung Electronics Co., Ltd | Safe command execution and error recovery for storage devices |
| KR101226685B1 (ko) | 2007-11-08 | 2013-01-25 | 삼성전자주식회사 | 수직형 반도체 소자 및 그 제조 방법. |
| US8091115B2 (en) | 2008-10-03 | 2012-01-03 | Microsoft Corporation | Device-side inline pattern matching and policy enforcement |
| US8353026B2 (en) * | 2008-10-23 | 2013-01-08 | Dell Products L.P. | Credential security system |
| US8392989B2 (en) | 2009-10-06 | 2013-03-05 | Nvidia Corporation | Anti-malware scanning in parallel processors of a graphics processing unit |
| KR101691092B1 (ko) | 2010-08-26 | 2016-12-30 | 삼성전자주식회사 | 불휘발성 메모리 장치, 그것의 동작 방법, 그리고 그것을 포함하는 메모리 시스템 |
| US8553466B2 (en) | 2010-03-04 | 2013-10-08 | Samsung Electronics Co., Ltd. | Non-volatile memory device, erasing method thereof, and memory system including the same |
| US9536970B2 (en) | 2010-03-26 | 2017-01-03 | Samsung Electronics Co., Ltd. | Three-dimensional semiconductor memory devices and methods of fabricating the same |
| EP2393030A3 (en) | 2010-06-07 | 2012-02-29 | Samsung SDS Co. Ltd. | Anti-malware system and operating method thereof |
| KR101682666B1 (ko) | 2010-08-11 | 2016-12-07 | 삼성전자주식회사 | 비휘발성 메모리 장치, 그것의 채널 부스팅 방법, 그것의 프로그램 방법 및 그것을 포함하는 메모리 시스템 |
| US20120047580A1 (en) * | 2010-08-18 | 2012-02-23 | Smith Ned M | Method and apparatus for enforcing a mandatory security policy on an operating system (os) independent anti-virus (av) scanner |
| US9064116B2 (en) | 2010-11-08 | 2015-06-23 | Intel Corporation | Techniques for security management provisioning at a data storage device |
| US8560845B2 (en) * | 2011-01-14 | 2013-10-15 | Apple Inc. | System and method for tamper-resistant booting |
| US9038176B2 (en) * | 2011-03-31 | 2015-05-19 | Mcafee, Inc. | System and method for below-operating system trapping and securing loading of code into memory |
| US9087199B2 (en) * | 2011-03-31 | 2015-07-21 | Mcafee, Inc. | System and method for providing a secured operating system execution environment |
| WO2013130867A1 (en) * | 2012-02-29 | 2013-09-06 | Sourcefire, Inc. | Method and apparatus for retroactively detecting malicious or otherwise undesirable software |
| KR101636638B1 (ko) | 2012-03-19 | 2016-07-05 | 인텔 코포레이션 | 명령어가 피연산자에 포함된 안티 멀웨어 보호 동작 |
| RU2530210C2 (ru) * | 2012-12-25 | 2014-10-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы |
| US20160378691A1 (en) * | 2015-06-25 | 2016-12-29 | Intel Corporation | System, apparatus and method for protecting a storage against an attack |
| GB2540961B (en) * | 2015-07-31 | 2019-09-18 | Arm Ip Ltd | Controlling configuration data storage |
| US10049215B2 (en) * | 2015-09-15 | 2018-08-14 | The Johns Hopkins University | Apparatus and method for preventing access by malware to locally backed up data |
| US10140454B1 (en) * | 2015-09-29 | 2018-11-27 | Symantec Corporation | Systems and methods for restarting computing devices into security-application-configured safe modes |
| KR101709116B1 (ko) * | 2015-10-01 | 2017-02-22 | 한국전자통신연구원 | 가상 머신 부팅 장치 및 방법 |
| US20170206353A1 (en) * | 2016-01-19 | 2017-07-20 | Hope Bay Technologies, Inc. | Method and system for preventing malicious alteration of data in computer system |
| US10339304B2 (en) * | 2016-03-15 | 2019-07-02 | Symantec Corporation | Systems and methods for generating tripwire files |
| US10205594B1 (en) * | 2016-03-30 | 2019-02-12 | EMC IP Holding Company LLC | Crypto-erasure resilient to network outage |
| US10019577B2 (en) * | 2016-04-14 | 2018-07-10 | Dell Products, L.P. | Hardware hardened advanced threat protection |
| US10303877B2 (en) * | 2016-06-21 | 2019-05-28 | Acronis International Gmbh | Methods of preserving and protecting user data from modification or loss due to malware |
| US20170371573A1 (en) * | 2016-06-24 | 2017-12-28 | Samsung Electronics Co., Ltd. | Method of operating storage medium, method of operating host controlling the storage medium, and method of operating user system including the storage medium and the host |
| US20180007069A1 (en) * | 2016-07-01 | 2018-01-04 | Mcafee, Inc. | Ransomware Protection For Cloud File Storage |
| US10831893B2 (en) * | 2016-07-14 | 2020-11-10 | Mcafee, Llc | Mitigation of ransomware |
| US10346258B2 (en) * | 2016-07-25 | 2019-07-09 | Cisco Technology, Inc. | Intelligent backup system |
| US10476907B2 (en) * | 2016-08-10 | 2019-11-12 | Netskope, Inc. | Systems and methods of detecting and responding to a data attack on a file system |
| KR102573921B1 (ko) * | 2016-09-13 | 2023-09-04 | 삼성전자주식회사 | 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법 |
-
2016
- 2016-09-13 KR KR1020160117913A patent/KR102573921B1/ko active IP Right Grant
-
2017
- 2017-05-31 US US15/609,164 patent/US10909238B2/en active Active
- 2017-09-13 CN CN201710821259.6A patent/CN107818245A/zh active Pending
-
2020
- 2020-12-23 US US17/132,766 patent/US20210117540A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080162915A1 (en) * | 2006-12-29 | 2008-07-03 | Price Mark H | Self-healing computing system |
| US20120254993A1 (en) * | 2011-03-28 | 2012-10-04 | Mcafee, Inc. | System and method for virtual machine monitor based anti-malware security |
| CN103413090A (zh) * | 2012-05-22 | 2013-11-27 | 卡巴斯基实验室封闭式股份公司 | 用于数据存储设备上恶意软件的检测和处理的系统和方法 |
| CN105809055A (zh) * | 2016-02-26 | 2016-07-27 | 深圳天珑无线科技有限公司 | 访问控制方法、装置及相关设备 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019202417A1 (en) * | 2018-04-16 | 2019-10-24 | International Business Machines Corporation | Injecting trap code in an execution path of a process executing a program to generate a trap address range to detect potential malicious code |
| US10810304B2 (en) | 2018-04-16 | 2020-10-20 | International Business Machines Corporation | Injecting trap code in an execution path of a process executing a program to generate a trap address range to detect potential malicious code |
| CN111989679A (zh) * | 2018-04-16 | 2020-11-24 | 国际商业机器公司 | 在执行程序的进程的执行路径中注入陷阱代码以生成陷阱地址范围来检测潜在恶意代码 |
| GB2586409A (en) * | 2018-04-16 | 2021-02-17 | Ibm | Injecting trap code in an execution path or a process executing a program to generate a trap address range to detect potential malicious code |
| US11003777B2 (en) | 2018-04-16 | 2021-05-11 | International Business Machines Corporation | Determining a frequency at which to execute trap code in an execution path of a process executing a program to generate a trap address range to detect potential malicious code |
| GB2586409B (en) * | 2018-04-16 | 2021-07-14 | Ibm | Injecting trap code in an execution path of a process executing a program to generate a trap address range to detect potential malicious code |
| US11755735B2 (en) | 2018-04-16 | 2023-09-12 | International Business Machines Corporation | Speculatively executing conditional branches of code when detecting potentially malicious activity |
| CN110430331A (zh) * | 2018-05-01 | 2019-11-08 | 柯尼卡美能达株式会社 | 图像处理装置以及记录介质 |
| CN110430331B (zh) * | 2018-05-01 | 2021-11-16 | 柯尼卡美能达株式会社 | 图像处理装置以及记录介质 |
| TWI700590B (zh) * | 2019-01-28 | 2020-08-01 | 瑞昱半導體股份有限公司 | 介面轉接電路 |
| CN114424194A (zh) * | 2019-04-23 | 2022-04-29 | 微软技术许可有限责任公司 | 自动恶意软件修复和文件恢复管理 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102573921B1 (ko) | 2023-09-04 |
| US10909238B2 (en) | 2021-02-02 |
| US20180075236A1 (en) | 2018-03-15 |
| US20210117540A1 (en) | 2021-04-22 |
| KR20180030328A (ko) | 2018-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107818245A (zh) | 用于防止病毒/恶意软件的存储设备和方法及计算系统 | |
| US11809335B2 (en) | Apparatuses and methods for securing an access protection scheme | |
| US10257192B2 (en) | Storage system and method for performing secure write protect thereof | |
| US20140108823A1 (en) | Security protection for memory content of processor main memory | |
| CN107092495A (zh) | 平台固件铠装技术 | |
| CN103262092A (zh) | 基于储存驱动器的防恶意软件方法和装置 | |
| US8997255B2 (en) | Verifying data integrity in a data storage device | |
| US20180260151A1 (en) | Data Storage Device and Operating Method Therefor | |
| US11930098B2 (en) | Devices and methods for the detection and localization of fault injection attacks | |
| US20220058293A1 (en) | Data attestation in memory | |
| US11683155B2 (en) | Validating data stored in memory using cryptographic hashes | |
| CN107430555A (zh) | 用于存储器保护的高速缓存和数据组织 | |
| JP6518798B2 (ja) | 安全な集積回路状態を管理する装置およびその方法 | |
| US20140344947A1 (en) | Method and apparatus for handling storage of context information | |
| CN102184143A (zh) | 一种存储设备数据的保护方法、装置及系统 | |
| US20200265137A1 (en) | Memory device and system | |
| US10691586B2 (en) | Apparatus and method for software self-test | |
| US9626304B2 (en) | Storage module, host, and method for securing data with application information | |
| CN106233266A (zh) | 安全的存储器系统及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |