CN108027856B - 使用可信平台模块来建立攻击信息的实时指示器 - Google Patents
使用可信平台模块来建立攻击信息的实时指示器 Download PDFInfo
- Publication number
- CN108027856B CN108027856B CN201680039535.7A CN201680039535A CN108027856B CN 108027856 B CN108027856 B CN 108027856B CN 201680039535 A CN201680039535 A CN 201680039535A CN 108027856 B CN108027856 B CN 108027856B
- Authority
- CN
- China
- Prior art keywords
- file
- managed
- certificate
- management console
- machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
包含用于提供可信环境的可信平台模块(TPM)的被管理设备在初始化所述TPM时生成设备证书,并且向管理控制台发送所述设备证书以便存储在证书数据库中。在检测到感兴趣文件时,所述TPM对所述文件进行签名,从而添加至由先前被管理设备所创建的签名列表。所述签名列表可以用于分析所述文件跨被管理设备系统的扩散,包括:跟踪所述文件至第一被管理设备以使得已具有副本,而无需在所述文件的扩散期间对所述被管理设备进行实时访问。在一些实施例中,可以响应于确定所述第一被管理设备以及所述文件跨所述被管理设备系统所采取的路径来采取附加安全措施。
Description
技术领域
在此所描述的实施例通常涉及数据安全,并且具体地涉及用于安全地标识文件及其跨组织扩散的技术。
背景技术
企业系统和安全管理员不断处理对在其控制下的系统的威胁并且采取动作来防范威胁并在必要时删除这些威胁且修补由其所引起的问题。这种任务中的困难之一在于可证实地确定在企业中威胁如何从一个系统扩散到另一个系统并且确定进入企业的入口点。取证证据(forensic evidence)一直很难获得。例如,或出于不信任或是出于免受责备的努力,用户可能否认其系统被用作证明是恶意软件的应用程序的入口点。一种用于帮助管理员确定攻击的来源和攻击跨企业的扩散的技术将是有用的,尤其是如果可由管理员获得的信息强到足以充当取证证据。
附图说明
图1是框图,根据一个实施例展示了管理控制台和被管理设备集合。
图2是框图,根据一个实施例展示了可以实现下文中所描述的技术的基础设施。
图3和图4是框图,根据一个实施例展示了一种用于对文件进行签名的技术。
图5是流程图,根据一个实施例展示了通过管理控制台从被管理设备处收集设备证书。
图6是流程图,根据一个实施例展示了一种用于对文件的签名链进行遍历的技术。
图7是流程图,根据一个实施例展示了一种用于通过TPM生成并存储设备证书的技术。
图8是流程图,根据一个实施例展示了一种用于对文件进行签名的技术。
图9和图10是框图,根据各个实施例展示了可以用于实现管理控制台和被管理设备的可编程设备。
具体实施方式
在以下描述中,出于解释的目的,阐述了许多具体的细节以便提供对本发明的彻底理解。然而,对于本领域技术人员将显而易见的是,可以在不具有这些具体细节的情况下实践本发明。在其他实例中,以框图形式示出了结构和设备以避免使本发明模糊。提及不带下标或后缀的数字被理解为提及与被引用数字相对应的所有下标和后缀实例。此外,在本公开中使用的语言主要是为了可读性和指导的目的而被选择的,并且可能尚未被选择为描绘或限制创造性主题,有必要借助权利要求来确定这样的创造性主题。在说明书中提及“一个实施例”或者“实施例”意味着结合实施例所描述的特定特征、结构或特性被包含在本发明的至少一个实施例中,并且多次提及“一个实施例”或“实施例”不应当被理解为一定都是指相同的实施例。
如本文所使用的,术语“计算机系统”可指用于执行被描述为在计算机系统上或由计算机系统执行的功能的单台计算机或一起工作的多台计算机。
如本文所使用的,处理器指可以被实现为多核处理器的硬件处理器。在一些实施例中,多个处理器元件可以一起实现向设备提供处理能力的功能,并且提及“处理器”可以指一个或多个处理器元件,所有或一些所述处理器元件可以在单个芯片上实现。类似地,机器可读介质指一起可以被理解为单个介质的一个或多个物理介质,
如此处所使用的,术语“可编程设备”可以指用于执行被描述为在可编程设备上或由可编程设备执行的功能的单个可编程设备或一起工作的多个可编程设备。可编程设备可以是任何类型的可编程设备,包括台式计算机、膝上计算机、服务器和移动设备(包括包含嵌入式计算能力的设备)。
如此处所使用的,“可信环境”是平台上的仅能够执行可信代码的隔离执行环境。通常,可信环境可以证实(或证明)在将密钥配设到环境中之前其是可信环境的实例。可信环境的示例可以比如利用经证实的虚拟机管理程序或者类似可信区域的能力而被实现在协处理器或次级核上或被实现作为平台架构的一部分。“不可信环境”是非可信环境的任何环境。
如此处所使用的,“签名列表”或者“签名链”是电子数据的经认证签名的集合,所述集合中的每个签名对所述电子数据和先前所有的签名进行签名。为了遍历签名链,可以使用与每个证书相关联的公钥来解锁签名,从而允许访问所述链中下一个签名。然后,可以检测到对签名或文件进行的任何篡改。可以使用各种实现技术,并且术语“表”或“链”的使用并不暗示对签名的存储的任何特定安排或格式。
攻击的取证和指示器是帮助安全管理员实时地标识威胁并采取行动将其删除的技术。一种好的解决方案允许管理员找出攻击源自何处并且以可证实的的方式来进行。虽然存在许多种建立攻击指示器的技术,但是下文所公开技术的实施例使用白名单和可信平台模块(TPM)来唯一地标识文件并标识其跨企业的扩散。TPM为文件标识和文件签名提供了可信环境。管理员具有证据和更多关于扩散的信息。此信息还可以用作取证证据。
基本原理是,在白名单解决方案中,已经对若干重要文件进行了签名(嵌入/目录或者经由扩展属性)。我们提出在作为白名单的一部分而被跟踪的文件上使用链式嵌入式签名。使用对系统而言唯一的密钥来创建签名,在所述系统中的文件当前可见。此密钥存储在TPM中。使用系统的带外管理(out of band management)或其他技术,管理控制台能够知道每个设备的所有客户端证书(公钥)。当文件跨设备扩散时,签名被链接。当发现文件是恶意的时,可以在管理控制台中查找信息,所述管理控制台可以然后向下跟踪所述链并示出文件的准确扩散模式。如果证书签名列表被篡改或改变,则对其的签名验证将会失败。在一些实施例中,可以禁止执行签名验证失败的文件,并且可以通知管理控制台所述失败。如以下所描述的,除了始发方签名之外,还可以利用对其上已经具有所述文件的每个设备进行标识的多个唯一证书来对单个文件进行签名。
可以使用各种手段来跟踪攻击指示器,比如允许在安全组件之间共享数据的通信结构、取证软件、全球威胁情报数据库,并且跟踪攻击指示器(Indicators of Compromise,IOC)。所有这些方式在不同阶段跟踪安全信息并且共享信息以示出端到端执行模式。我们的方法集成了现有的子系统,其中,我们提供了文件(可执行的或相反)已经跨系统扩散的方式的非可篡改证据。使用我们的库存,我们跟踪每个文件(或感兴趣文件)、关于文件的信息和相关联的证书。针对其上已经具有所述文件的每个设备,在文件中都存在一个证书,并且证书随着文件被复制或到达另一个系统开始链接。我们不必及时返回来查找扩散模式,因为信息被嵌入到了文件中。此信息可以被实时地用于跟踪受影响主机并采取动作。与TPM相集成使我们能够以防篡改的方式来实现解决方案;因此,信息可以因此用作取证证据。
图1是框图,根据一个实施例展示了基础系统100,在所述基础系统中,管理控制台110被设置为与若干设备130(全部启用了TPM)进行对话。每设备生成唯一的证书,并且密钥被存储在TPM中。管理控制台还从跨越设备130中获取库存(所有应用程序元数据的数据库,包括应用程序元数据的证书)。还对关于每个设备的TPM证书的信息(例如,对应于此证书的公钥)进行提取和存储。TPM使我们能够以防篡改的方式唯一地标识所述设备。
管理控制台110是连接至设备证书数据库120的计算机系统,所述设备证书数据库存储关于从客户端设备130A-C获得的证书的信息,所述客户端设备经由一个或多个网络(图1中未示出)连接至管理控制台110。尽管在图1中仅展示了三个客户端设备130,但是也可以部署任何数量的客户端设备130。每个客户端设备130A-C中包括提供加密安全环境的TPM 132A-C。TPM132A-C可以创建签名证书以用于下文所描述的签名技术,从而将关于证书的信息存储在仅可由相应的TPM 132A-C访问的受保护存储区域中。管理控制台110可以从每个TPM 132处获得证书信息(包括与证书相关联的公钥信息),并且将所述信息存储在设备证书数据库120中,所述设备证书数据库可以在管理控制台110的本地或者可由管理控制台110远程访问。在一些实施例中,管理控制台110和被管理设备130可以是普通企业的一部分。在其他实施例中,管理控制台110可以是不同于一些或所有被管理设备130的商业实体或企业的一部分,比如当第三方为一个或多个不相关实体提供管理服务时。
现在参照图2,示意性地展示了在其中可以实现以下描述的技术的示例基础设施200。基础设施200包含计算机网络202。计算机网络202可以包括当今可用的许多不同类型的计算机网络,如互联网、企业网络或者局域网(LAN)。这些网络中的每一个都可以包含有线或无线可编程设备并且可以使用任何数量的网络协议(例如,TCP/IP)来运行。网络202可以连接至网关和路由器(由208表示)、终端用户计算机206、以及计算机服务器204。基础设施200还可以包括用于与移动通信设备一起使用的蜂窝网络203。移动蜂窝网络支持移动电话和许多其他类型的设备。基础设施200中的移动设备被展示为移动电话210、膝上计算机212、以及平板计算机214。在移动设备(如移动电话210)移动时,所述移动设备可以与一个或多个移动提供方网络进行交互,通常与多个移动网络塔220、230和240进行交互以用于连接至蜂窝网络203。虽然在图2中被称为蜂窝网络,但是移动设备可以与多于一个提供方网络的塔以及与多个非蜂窝设备(如无线接入点和路由器208)进行交互。此外,移动设备210、212、和214可以与非移动设备(如计算机204和206)进行交互以用于所期望的服务,这些服务可以包括提供以上描述的所述用户主体映射的应用和分析服务。可以在图2中展示的任何设备或设备组合中实现管理控制台110的功能;然而,最常见的是在服务器204或终端用户计算机206中实现管理控制台。
图3是框图,根据一个实施例展示了签名链接。所述框图并不旨在表示签名信息被存储在文件中的方式,而是旨在给出通常包含在经签名文件中的某些签名信息的人类可读表示。在本示例中,底层文件是从微软公司获得的经签名文件,签名为文件的创建者。所述文件可以是应用程序或其一部分,或者是数据文件。在本示例中,使用本领域已知的用于嵌入签名的技术(诸如将签名信息存储为文件的扩展属性,可以使用或不使用文件系统扩展属性)来将签名列表310嵌入在文件中。可以根据期望使用其他用于在文件中嵌入签名的技术。
签名列表包含两个微软公司签名312,一个是使用产生160位输出的SHA1(安全散列算法1)加密散列函数来准备的,并且另一个是使用产生256位输出的SHA256加密散列函数来准备的。每个签名包括签名方的名称、签名算法以及签名时间戳,所述签名时间戳在图1中截断到部分日期,但是通常包括日期和时间信息两者。
当首先在设备130(也就是说,图1的设备130A)上看到应用程序或其他感兴趣文件时,由设备130A的TPM 132A使用TPM 132A的密钥对其进行签名。签名是链式签名,以使得原始证书被维护。这创建了签名列表320,所述签名列表添加签名322,表明指示所述签名是由设备130A使用SHA1算法所创建的。(SHA 1算法的使用是说明性的并仅用于举例,而且可以根据期望使用其他签名或消息摘要算法。)签名322因此对设备130A而言是唯一的。如图3中所示出的,微软公司签名312仍然存在。例如,这可能发生在当对应于此签名列表的应用程序被安装在设备130A上时。
然后,文件经由安装、复制或其他手段移动到设备130B,并且由设备130B在TPM132B中使用TPM 132B的密钥进行签名,从而产生包括微软公司签名312、以及设备130A的签名322和设备130B的签名332的签名列表330。因此,设备130B上的文件副本包含签名列表,所述签名列表可以被分析以获知文件始发自微软公司,并且在于设备130B处被发现之前经过设备130A。
图4是框图,根据一个实施例生动地展示了在此所公开的签名列表。在本示例中,除数据404以外,服务器410上的文件400还已经嵌入了微软公司证书402。然后,使用本领域已知的一些文件传送技术将文件400传送到膝上计算机420。在由膝上计算机420接收到时,此膝上计算机的TPM 132将设备420证书412添加至文件400,保留微软证书402和数据404。然后文件400被传送至平板设备430,所述平板设备将其自身的证书422添加至文件400,从而提供回到进入被装备用于执行如本文所述的证书链接的企业或者第一设备130的入口点的链。可以根据需要添加很多传送和附加签名证书。如图4所展示的,可以跨不同类型的设备采用链式签名技术。虽然图3和图4的示例展示了具有来自微软公司的创建者签名的文件,但是也可以根据期望使用所述公开的技术来对未由其创建者签名的文件进行链式签名。在这种情景中,第一签名设备130将是文件400中的第一签名,并且虽然链式签名因此不能用于在这种情况下跟踪文件返回其创建者,但链式签名将仍将允许跟踪文件的跨企业扩散。
图5是流程图,根据一个实施例展示了一种用于管理控制台110收集关于被管理设备130的信息的技术500。在框510中,管理控制台110可以标识待管理的设备130。这可以使用本领域已知的任何标识技术来完成,包括从管理控制台110广播的主动探测以及当设备130连接至网络时由所述设备发送的标识信息的被动接收。只要信息能够唯一地标识被管理设备130,用于标识被管理设备130的信息的内容对于本公开而言不重要;然而,典型信息包括被管理设备130的名称和互联网协议(IP)地址。在框520中,管理控制台110经由一个或多个中介网络(intervening network)来建立到每个被管理设备130的TPM 132的连接。然后,管理控制台110在框530中从每个被管理设备130处获得设备证书的副本。在框540中,接收到的证书然后可以被存储在证书数据库120中以供稍后使用。一旦从TPM 132处获得了设备证书,就不需要维持到TPM 132的连接,但是可以根据期望终止或维持。尽管被描述为数据库,但是证书数据库120可以使用任何期望的存储技术(包括任何类型的文本文件和结构化数据库)来实现。存储在证书数据库120中的证书数据可以根据期望使用任何表格或其他数据安排来存储。
出于所期望的其他目的,管理控制台110可以与被管理设备130进行交互。
现转到图6,流程图600展示了一种用于确定被恶意软件感染的文件如何跨由管理控制台110管理的企业或其他被管理设备组130扩散的技术。为了本公开的目的,所述技术被描述为由管理控制台110执行。然而,在一些实施例中,所述技术可以在被管理设备130中的一个或多个被管理设备或未在图1中展示的另一设备上执行。根据期望,所述技术的各部分可以由不同设备执行。
在框610中,在文件中检测恶意软件。检测技术在本公开的范围之外,并且可以使用本领域已知的任何恶意软件检测技术。在一些实施例中,检测到恶意软件触发向管理控制台110发送与文件相关联的证书数据。其他实施例可以向管理控制台110发送整个文件。一些实施例可以发送具有证书数据或文件的附加数据。然后,在框620中,检查与文件相关联的证书数据。如果在受感染文件中找到了多个证书,则在框630中,可以遍历签名链,从而标识已经对所述文件进行签名的被管理设备130,并标识第一签名被管理设备130。存储在证书数据库120中的TPM证书被用于获得其对应的被管理设备130的公钥,从而允许对签名列表中的每个证书进行检查。如果证书已经被篡改,则管理控制台可以确定此事实。虽然这种篡改可能摧毁遍历签名列表回到第一签名设备的能力,但是可以使用这种技术来跟踪此篡改后接收到所述文件的被管理设备130集合。如果证书是有效的,则可以通过遍历所述证书链来确定第一签名设备130。
在框640中,管理控制台110可以在证书链中所找到的被管理设备130上发起安全检查。这可能涉及对被管理设备130执行恶意软件扫描,以及可能期望的其他安全检查。还可以对在签名列表中所标识的被管理设备130执行纠正动作,从而删除或隔离在这些设备130上所发现的恶意软件。
在框650中,管理控制台110或者第一签名设备130(如由遍历签名列表所确定的)可以检查与包含恶意软件的文件相关的文件。在一个实施例中,相关的文件是跨所有或一些被管理设备130利用同一原始证书而被签名的文件。在框660中,还可以根据需要或期望通过执行附加的安全检查或者纠正动作来检查这些被管理设备130和相关文件。安全检查或纠正动作的性质可以取决于文件中所标识的恶意软件的类型。
除执行上文所描述的安全检查或纠正动作之外,在框670中,还可以保留受感染文件及其签名列表作为取证证据,从而提供所述系统的表明所述文件的副本从最初的签名被管理设备130遍历至最近的签名被管理设备的不可否认证据。在一些情景中,最初的签名设备130(除创建者以外)可以是将受感染文件引入企业的设备130。在其他情景中,中间设备130之一可以是在其上发生由恶意软件引起的感染的设备130。因此,所述技术提供了一种用于跟踪受感染文件通过企业或者其他组被管理设备130进行的扩散的方式,不需要当扩散发生时对被管理设备130进行实时访问,而是在检测到恶意软件感染后执行扩散分析。因为签名列表是不可否认的,所以管理控制台110可以提供确凿的取证证据以表明(例如)受感染文件在特定位置处进入到被管理设备集合中,从而允许进一步使其他安全工具加入检查所述设备130的行动中。
因为在制作和传送文件的每个副本时所有签名都携带有此副本,所以可以执行签名列表到初始签名方的遍历而不访问签名被管理设备130。这意味着定位首先引入感染的“患者0”不需要这些设备130的用户的协作。
图7是流程图,根据一个实施例展示了一种用于创建设备证书的技术700。在框710中,对TPM 132进行初始化。这通常在设备130上电时发生,但是实施例可以延迟TPM初始化直到稍后,比如在操作系统开始执行之后。在框720中,TPM 132创建设备证书并且将所述设备证书存储在受TPM控制的存储器中。所述证书可以包括TPM 132的公钥。TPM通常对操作系统或在操作系统下运行的应用程序所无法访问的存储区域进行控制,从而提供对受TPM控制的存储器的安全控制。然后,在框730中,TPM 132向管理控制台110发送设备证书。框730可以在从管理控制台110接收到对由TPM 132接收到的证书的请求时执行,或者可以向管理控制台110发送未经请求的设备证书。在一些实施例中,证书可以被加密并被提供给被管理设备130的处理器以便发送到管理控制台110。在其他实施例中,TPM 132可以自己发送设备证书,绕过处理器以便确保安全传输。
图8是流程图800,根据一个实施例展示了由被管理设备130对感兴趣文件进行签名。在框810中,被管理设备130接收感兴趣文件,或者比如通过经由网络接收文件、或者在被管理设备130上安装软件包期间创建感兴趣文件。在一个实施例中,可以维护应被签名的文件以及由管理控制台110监测到的这些文件的扩散或传送的白名单。在其他实施例中,一个或多个预定文件类型(例如,.exe和其他可执行文件)的文件可以被签名,而其他文件类型的文件可以是未签名的。类似地,被管理客户端设备130的管理客户端软件可以使用应当检查签名列表的文件的白名单和黑名单。在其他实施例中,可以在进行接收或创建时对每个文件进行签名。
在框820中,由被管理设备130的TPM 132利用TPM 132的私钥对文件(比如文件400)进行签名,从而创建签名证书。在一个实施例中,在数据404上进行签名。在其他实施例中,在数据404和所述文件中已有的所述签名证书上完成签名。因此,例如,当由膝上计算机420进行签名时,所述签名可以对数据404以及由服务器410创建的创建者证书402和证书412进行签名。
在框830中,经签名文件然后被存储在被管理设备130的文件系统存储区中。篡改所述经签名文件是可检测的,因为被篡改文件的签名与所述文件不匹配。
现在参照图9,框图根据一个实施例展示了可用于管理控制台110或被管理设备130的可编程设备900。在图9中所展示的可编程设备是包括第一处理元件970和第二处理元件980的多处理器可编程设备900。虽然示出了两个处理元件970和980,可编程设备900的实施例也可以只包括一个这样的处理元件。
可编程设备900被展示为点对点互连系统,在所述系统中,第一处理元件970和第二处理元件980经由点对点互连950相耦合。在图9中所展示的任何或所有互连可以被实现为多分支总线而不是点对点互连。
如图9中所展示的,处理元件970和980中的每个都可以是多核处理器,包括第一和第二处理器核(即,处理器核974a和974b以及处理器核984a和984b)。此类核974a、974b、984a和984b可以被配置用于采用与以上关于图1至4讨论的方式类似的方式执行指令代码。然而,根据期望,其他实施例可以使用是单核处理器的处理元件。根据期望,在具有多个处理元件970、980的实施例中,每一个处理元件可以用不同数量的核来实现。
每一个处理元件970、980可以包括至少一个共享高速缓存946。共享高速缓存946a、946b可以存储分别由处理元件的一个或多个部件(如,核974a、974b以及984a、984b)使用的数据(如,指令)。例如,共享高速缓存可以对存储在存储器932、934中的数据进行本地缓存以供由处理元件970、980的部件进行更快速的访问。在一个或多个实施例中,共享高速缓存946a、946b可以包括一个或多个中级高速缓存,诸如二级(L2)、三级(L3)、四级(L4)、或其他级别的高速缓存、末极高速缓存(LLC)、或其组合。
虽然为了附图的清晰性图9展示了具有两个处理元件970、980的可编程设备,但是本发明的范围不受此限制,并且可以存在任何数量的处理元件。替代性地,处理元件970、980中的一个或多个处理元件可以是除处理器以外的元件,如,图形处理单元(GPU)、数字信号处理(DSP)单元、现场可编程门阵列、或者任何其他可编程处理元件。处理元件980可以是异构的或者与处理元件970不对称。就一系列品质量度(包括体系结构、微体系结构、热、功耗特性等)而言,处理元件970、980之间存在多种差异。这些差异可以有效地表明它们是处理元件970、980之间的不对称性和异构性。在某些实施例中,所述各种处理元件970、980可以驻留在同一裸片封装体中。
第一处理元件970还可以进一步包括存储器控制器逻辑(MC)972以及点对点(P-P)接口976和978。类似地,第二处理元件980可以包括MC 982以及P-P接口986和988。如图9所展示的,MC 972和982将所述处理元件970、980耦合至对应的存储器(即,存储器932和存储器934),这些存储器可以是主存储器的本地附接至对应处理器的部分。虽然MC逻辑972和982被展示为集成到处理元件970、980中,但在一些实施例中,MC逻辑可以是处理元件970、980之外而不是集成在其中的离散逻辑。
处理元件970和处理元件980可以经由P-P接口976和986以及P-P接口952和954分别耦合至I/O子系统990。如图9中所展示的,I/O子系统990包括P-P接口994和998。此外,I/O子系统990包括用于将I/O子系统990与高性能图形引擎938耦合的接口992。在一个实施例中,总线939可以用于将图形引擎938耦合至I/O子系统990。替代性地,点对点互连939可以对这些部件进行耦合。
进而,I/O子系统990可以经由接口996耦合至第一链路916。在一个实施例中,第一链路916可以是外围部件互连(PCI)总线、或如PCI Express总线或另一I/O互连总线等总线,但是本发明的范围并不受此限制。
如图9中展示的,各个I/O设备914可连同桥接器918一起耦合至第一链路916,所述桥接器可以将第一链路916耦合至第二链路910。在一个实施例中,第二链路910可以是低引脚数(LPC)总线。在一个实施例中,各个设备可以耦合至第二链路910,所述设备包括例如键盘/鼠标912、(多个)通信设备926(所述通信设备进而可以与计算机网络903进行通信)、以及可以包括代码930的数据存储单元928(如磁盘驱动器或者其他大容量存储设备)。代码930可以包括用于执行以上描述的技术中的一项或多项技术的实施例的指令。进一步地,音频I/O 924可以耦合至第二总线910上。
TPM 929可以耦合至I/O子系统990或可编程设备900中的其他地方,以便提供用于证书创建和签名的可信执行环境。TPM 929通常被加密控制,并且使执行仅限制在利用密码密钥而被签名的可执行代码。所述TPM 929可以被实现为来自处理元件的独立芯片或芯片组,或者可以被封装为提供图9中展示的元件中的一些或全部元件的芯片组的一部分。
注意,考虑到了其他实施例。例如,替代图9的点对点体系结构,系统可以实现多站式总线或另一种这样的通信拓扑结构。虽然链路916和910在图9中被展示为总线,但是可以使用任何期望类型的链路。此外,图9的元件可以替代性地使用比图9中所示更多或更少的集成芯片来进行分区。例如,可以将所述部件实现为联网(LAN、企业网、互联网和/或分布在云中的)计算设备(真实的或者虚拟的)或者共同执行230功能的微控制器。
现在参照图10,框图根据另一实施例展示了可编程设备1000。已经从图10中省略了图9的某些方面以避免使图10的其他方面模糊。
图10展示了处理元件1070、1080可以分别包括集成存储器和I/O控制逻辑(“CL”)1072和1082。在一些实施例中,CL 1072、1082可以包括存储器控制逻辑(MC),如以上结合图9描述的存储器控制逻辑。此外,CL1072、1082还可以包括I/O控制逻辑。图10展示了不但存储器1032、1034可以耦合至CL 1072、1082,而且I/O设备1044也可以耦合至控制逻辑1072、1082。传统I/O设备1015可以通过接口1096耦合至I/O子系统1090。每个处理元件1070、1080可以包括多个处理器核,在图10中被展示为处理器核1074A、1074B、1084A和1084B。如图10所展示的,I/O子系统1090包括P-P接口1094和1098,这些接口使用互连1052和1054连接至处理元件1070和1080的P-P接口1076和1086。处理元件1070与1080还可以分别通过互连1050以及接口1078和1088进行互连。
就可编程设备900来说,可编程设备1000可以包含TPM 1029。
图9和图10中所描绘的编程设备是可用来实现在此讨论的各个实施例的可编程设备的实施例的示意图解。图9和图10中所描绘的可编程设备的各种部件可以组合在片上系统(SoC)架构中。
在一些实施例中,在被管理设备130中执行的管理客户端软件可以提供检测在被管理设备130的文件系统中文件的创建的方式,从而提供机会使TPM 132对文件进行签名,通常使用内核驱动器或文件系统过滤器来请求TPM132进行签名。
在一个实施例中,可以使用证书的时间戳来快速地找到对此文件进行签名的最早的、并且因此是初始的设备。通过检查签名列表,可以检查针对特定数量副本许可的文件,并且如果签名列表示出的签名数量符合副本限制,则禁用附加的副本。可以检测从被管理客户端处的数据泄漏,并且可以从签名列表中确定已泄漏数据的位置。
虽然以上的描述是就反恶意软件进程而言编写的,使用签名列表来确定了受感染文件所源自的位置,但还存在针对链式文件签名的其他用途。例如,一些实施例可以使用链式文件签名来检测版权保护作品的未授权复制。在对文件中的证书链进行检查时,实施例可以确定已经从文件签名列表中的每个被管理设备130处复制了所述文件。如果此复制是未经授权的,则证书链提供了这种复制以及此文件复制件的扩散起源和路径的取证证据。
以下示例涉及进一步的实施例。
示例1是一种机器可读介质,在其上存储有指令,所述指令包括当被执行时使机器执行以下操作的指令:在所述机器的可信环境中生成设备证书;向管理控制台发送所述设备证书;检测在所述机器上文件的创建;在所述可信环境中使用所述设备证书对所述文件进行签名;以及将经签名文件存储在所述机器上。
在示例2中,如示例1所述的主题可以可选地包括:其中,当被执行时使所述机器向管理控制台发送所述设备证书的所述指令包括当被执行时使所述机器执行以下操作的指令:建立所述可信环境与所述管理控制台之间的连接;经由所述连接从所述管理控制台接收对所述设备证书的请求;以及响应于所述请求而经由所述连接向所述管理控制台发送所述设备证书。
在示例3中,如示例1至2中任一项所述的主题可以可选地包括:其中,当被执行时使所述机器在所述机器的可信环境中生成设备证书的所述指令包括当被执行时使所述机器执行以下操作的指令:使用所述可信环境的私钥来生成所述设备证书。
在示例4中,如示例1至2中任一项所述的主题可以可选地包括:其中,当被执行时使所述机器检测在所述机器上文件的创建的所述指令包括当被执行时使所述机器执行以下操作的指令:在感兴趣文件列表中标识所述文件。
在示例5中,如示例1至2中任一项所述的主题可以可选地包括:其中,所述指令进一步包括当被执行时使所述机器执行以下操作的指令:响应于来自所述管理控制台的请求而对所述机器执行安全检查。
在示例6中,如示例1至2中任一项所述的主题可以可选地包括:其中,当被执行时使所述机器在所述可信环境中使用所述设备证书对所述文件进行签名的所述指令包括当被执行时使所述机器执行以下操作的指令:保留来自存在于所述文件中的其他签名设备的证书链。
示例7是一种机器可读介质,在其上存储有指令,所述指令包括当被执行时使所述机器执行以下操作的指令:标识多个被管理设备;从所述多个被管理设备中的每个被管理设备中的可信环境接收设备证书;将所述设备证书存储在证书数据库中;并且评估感兴趣文件中的签名链,所述指令包括当被执行时使所述机器执行以下操作的指令:确定所述多个被管理设备中的一组被管理设备,在所述一组被管理设备中,已经使用所述签名链和从所述证书数据库获得的设备证书呈现了所述文件;以及标识所述一组被管理设备中的最初被管理设备。
在示例8中,如示例7所述的主题可以可选地包括:其中,所述指令进一步包括当被执行时使所述机器执行以下操作的指令:在所述一组被管理设备中的每个被管理设备上发起安全检查。
在示例9中,如示例7所述的主题可以可选地包括:其中,所述指令进一步包括当被执行时使所述机器执行以下操作的指令:在所述一组被管理设备中的所述最初被管理设备上发起安全检查。
在示例10中,如示例7至9中任一项所述的主题可以可选地包括:其中,所述指令进一步包括当被执行时使所述机器执行以下操作的指令:保留所述文件和签名链作为安全事件的取证证据。
示例11是一种确定多个被管理设备中的感染源的方法,所述方法包括:从所述多个被管理设备中的每个被管理设备的可信环境收集设备证书;将所述设备证书存储在证书数据库中;分析受感染文件,包括:从所述证书数据库中检索与所述受感染文件中的证书链中的证书相对应的证书;使用所述受感染文件中的所述证书链来标识从第一被管理设备到第二被管理设备的被管理设备路径;以及对所述第一被管理设备执行安全检查。
在示例12中,如示例11所述的主题可选地包括:进一步包括:保留所述受感染文件作为攻击的取证证据。
在示例13中,如示例11至12中任一项所述的主题可以可选地包括:其中,从所述证书数据库处检索证书包括:获得与每个所检索证书相关联的公钥。
在示例14中,如示例13所述的主题可选地包括:其中,收集设备证书包括:与所述多个被管理设备中的每个被管理设备的可信环境建立连接;从所述多个被管理设备中的每个被管理设备的可信环境请求设备证书;以及响应于所述请求而经由所述连接来接收所述设备证书。
示例15是一种管理控制台系统,包括:处理元件;存储器,耦合至所述处理元件,所述存储器存储有当被执行时使所述处理元件执行以下操作的指令:收集多个设备证书,每个设备证书是从多个被管理设备中的被管理设备的可信环境获得的;分析文件中的签名链,每个签名是利用所述多个被管理设备中的被管理设备的私钥而被签名的;使用与设备证书相关联的公钥来验证每个签名;以及判定所述多个被管理设备中的哪些被管理设备已对所述文件进行了签名。
在示例16中,如示例15所述的主题可以可选地包括:其中,所述指令进一步包括当被执行时使所述处理元件执行以下操作的指令:标识所述多个被管理设备中对所述文件进行了签名的最初被管理设备。
在示例17中,如示例15至16中任一项所述的主题可以可选地包括:其中,所述指令进一步包括当被执行时使所述处理元件执行以下操作的指令:将所述多个设备证书存储在证书数据库中。
在示例18中,如示例15至16中任一项所述的主题可以可选地包括:其中,所述指令进一步包括当被执行时使所述处理元件执行以下操作的指令:在所述多个被管理设备中对所述文件进行了签名的至少一些被管理设备上发起安全动作。
在示例19中,如示例15至16中任一项所述的主题可以可选地包括:其中,所述指令进一步包括当被执行时使所述处理元件执行以下操作的指令:在所述多个被管理设备中对所述文件进行了签名的最初被管理设备上发起安全动作。
在示例20中,如示例19所述的主题可以可选地包括:其中,所述指令进一步包括当被执行时使所述处理元件执行以下操作的指令:在所述多个被管理设备中的其他被管理设备上搜索利用所述最初被管理设备的所述设备证书而被签名的其他文件;以及对所述其他被管理设备执行安全动作。
示例21是一种被管理可编程设备,包括:处理元件;可信环境,所述可信环境耦合至所述处理元件;存储器,耦合至所述可信环境,在所述存储器上存储有当被执行时使所述可信环境执行以下操作的指令:向管理控制台设备提供由所述可信环境的私钥进行签名的设备证书;从所述处理元件接收关于新文件的信息;以及使用所述可信环境的所述私钥来对所述新文件进行签名。
在示例22中,如示例21所述的主题可以可选地包括:其中,当被执行时使所述可信环境提供设备证书的所述指令包括当被执行时使所述可信环境执行以下操作的指令:从管理控制台设备接收对所述设备证书的请求;响应于所述请求而生成由所述可信环境的所述私钥签名的所述设备证书;以及向所述管理控制台设备发送所述设备证书。
在示例23中,如示例21至22中任一项所述的主题可以可选地包括:其中,当被执行时使所述可信环境对所述新文件进行签名的所述指令包括当被执行时使所述可信环境执行以下操作的指令:在所述新文件中嵌入利用所述可信环境的所述私钥而被签名的证书。
在示例24中,如示例21至22中任一项所述的主题可以可选地包括:其中,当被执行时使所述可信环境对所述新文件进行签名的所述指令包括当被执行时使所述可信环境执行以下操作的指令:将利用所述可信环境的所述私钥而被签名的证书存储为所述新文件的扩展属性。
在示例25中,如示例21至22中任一项所述的主题可以可选地包括:进一步包括:存储器,耦合至所述处理元件,在所述存储器上存储有当被执行时使所述处理元件执行以下操作的指令:向所述可信环境通知所述新文件;以及将经签名的新文件存储在与所述被管理可编程设备相关联的文件系统中。
示例26是一种可编程设备,包括:处理器;可信环境,所述可信环境耦合至所述处理器;存储器,耦合至所述处理器,在所述存储器上存储有当被执行时使所述处理器执行以下操作的指令:在所述可信环境中生成设备证书;向管理控制台发送所述设备证书;检测在所述机器上文件的创建;在所述可信环境中使用所述设备证书对所述文件进行签名;以及存储所述经签名文件。
在示例27中,如示例26所述的主题可以可选地包括:其中,当被执行时使所述处理器向管理控制台发送所述设备证书的所述指令包括当被执行时使所述处理器执行以下操作的指令:建立所述可信环境与所述管理控制台之间的连接;经由所述连接从所述管理控制台接收对所述设备证书的请求;以及响应于所述请求而经由所述连接向所述管理控制台发送所述设备证书。
在示例28中,如示例26至27中任一项所述的主题可以可选地包括:其中,当被执行时使所述处理器检测在所述处理器上文件的创建的所述指令包括当被执行时使所述处理器执行以下操作的指令:在感兴趣文件列表中标识所述文件。
在示例30中,如示例26至27中任一项所述的主题可以可选地包括:其中,所述指令进一步包括当被执行时使所述处理器执行以下操作的指令:响应于来自所述管理控制台的请求而执行对所述处理器的安全检查。
在示例31中,如示例32所述的主题可以可选地包括:其中,所述指令进一步包括当被执行时使所述处理器执行以下操作的指令:在所述一组被管理设备中的每个被管理设备上发起安全检查。
在示例34中,如示例32所述的主题可以可选地包括:其中,所述指令进一步包括当被执行时使所述处理器执行以下操作的指令:在所述一组被管理设备中的所述最初被管理设备上发起安全检查。
在示例35中,如示例32至34中任一项所述的主题可以可选地包括:其中,所述指令进一步包括当被执行时使所述处理器执行以下操作的指令:保留所述文件和签名链作为安全事件的取证证据。
应理解的是,以上说明旨在是说明性的,而非限制性的。例如,上述实施例可以彼此组合地使用。对本领域技术人员而言,在阅读了以上说明之后,许多其他的实施例都将是明显的。因此,本发明的范围应当参照所附权利要求以及与这些权利要求所请求的权利相等同的全部范围而被确定。
Claims (25)
1.一种机器可读介质,包括指令,所述指令当被执行时使得机器至少执行以下操作:
在所述机器上的可信环境中生成第一设备证书;
向管理控制台发送所述第一设备证书,所述管理控制台用于使用包括所述第一设备证书的设备证书链来管理所述机器;
检测在所述机器上文件的创建;
在所述可信环境中使用所述第一设备证书对所述文件进行签名,以更新所述文件中的所述设备证书链,所述设备证书链从用于所述文件已经存在于其上的设备的设备证书形成,并且由所述管理控制器管理以跨所述文件已经存在于其上的设备确定所述文件的起源和扩散模式,从而形成取证证据用于由所述管理控制器标识恶意软件感染源;以及
将经签名文件和相关联的设备证书链存储在所述机器上;以及
由所述管理控制台使用所述取证证据在所述机器处发起执行对所述文件的安全检查,所述安全检查用于标识对所述文件的篡改,并用于在标识了篡改时由所述管理控制台根据所述扩散模式对一个或多个受影响的设备触发纠正动作。
2.如权利要求1所述的机器可读介质,其中,所述指令当被执行时使所述机器执行以下操作:
建立所述可信环境与所述管理控制台之间的连接;
经由所述连接从所述管理控制台接收对所述第一设备证书的请求;以及
响应于所述请求而经由所述连接向所述管理控制台发送所述第一设备证书。
3.如权利要求1所述的机器可读介质,其中,所述指令当被执行时使所述机器执行以下操作:
使用所述可信环境的私钥来生成所述第一设备证书。
4.如权利要求1所述的机器可读介质,其中,所述指令当被执行时使所述机器执行以下操作:
在文件列表中标识所述文件。
5.如权利要求1所述的机器可读介质,进一步包括当被执行时使所述机器执行以下操作的指令:
响应于来自所述管理控制台的请求而对所述机器执行安全检查。
6.如权利要求1所述的机器可读介质,进一步包括当被执行时使所述机器执行以下操作的指令:
保留来自存在于所述文件中的其他签名设备的所述设备证书链。
7.一种机器可读介质,包括指令,所述指令当被执行时使得所述机器至少执行以下操作:
标识多个被管理设备;
接收在所述多个被管理设备上的可信环境中被创建的设备证书;
将所述设备证书存储在证书数据库中;以及
评估感兴趣文件中的签名链,所述签名链从用于所述文件已经存在于其上的所述多个被管理设备的设备证书形成,以:
使用所述签名链和从所述证书数据库获得的设备证书来确定所述文件已经存在于其上的所述多个被管理设备中的一组被管理设备;
使用所述签名链标识所述一组被管理设备中的最早被管理的设备,以跨所述文件已经存在于其上的被管理设备确定所述文件的起源和扩散模式;
使用所述文件和所述签名链形成取证证据以标识恶意软件感染源;以及
使用所述取证证据在所述机器处执行对所述文件的安全检查,所述安全检查用于标识对所述文件的篡改,并用于在标识了篡改时由所述管理控制台根据所述扩散模式对一个或多个受影响的设备触发纠正动作。
8.如权利要求7所述的机器可读介质,进一步包括当被执行时使所述机器执行以下操作的指令:
在所述一组被管理设备中的被管理设备上发起安全检查。
9.如权利要求7所述的机器可读介质,进一步包括当被执行时使所述机器执行以下操作的指令:
在所述一组被管理设备中的最初被管理设备上发起安全检查。
10.如权利要求7所述的机器可读介质,进一步包括当被执行时使所述机器执行以下操作的指令:
保留所述文件和签名链作为安全事件的取证证据。
11.一种确定多个被管理设备中的感染源的方法,所述方法包括:
经由管理控制台收集在所述多个被管理设备中的每个被管理设备上的可信环境中被创建的设备证书;
将所述设备证书存储在与所述管理控制台相关联的证书数据库中,所述管理控制台用于使用所述证书数据库来管理所述多个被管理设备;
至少通过以下操作来分析受感染文件:
从所述证书数据库中检索与所述受感染文件中的证书链中的证书相对应的证书,所述证书链从用于所述受感染文件已经存在于其上的被管理设备的设备证书形成;
使用所述受感染文件中的所述证书链来标识从第一被管理设备到第二被管理设备的被管理设备路径,以跨所述文件已经存在于其上的被管理设备确定所述受感染文件的起源和扩散模式,所述受感染文件和所述证书链形成取证证据以标识感染源;以及
使用所述取证证据对所述第一被管理设备执行安全检查,
所述安全检查用于标识对所述受感染文件的篡改,并用于在标识了篡改时由所述管理控制台根据所述扩散模式对一个或多个受影响的设备触发纠正动作。
12.如权利要求11所述的方法,进一步包括:
保留所述受感染文件作为攻击的取证证据。
13.如权利要求11所述的方法,其中,从所述证书数据库中检索证书包括:
获得与所检索证书相关联的公钥。
14.如权利要求13所述的方法,其中,收集设备证书包括:
与所述多个被管理设备上的可信环境建立连接;
从所述多个被管理设备上的所述可信环境请求设备证书;以及
响应于所述请求而经由所述连接来接收所述设备证书。
15.一种管理控制台系统,包括:
处理元件;
存储器,耦合至所述处理元件,所述存储器存储有指令,所述指令当被执行时使所述处理元件执行以下操作:
收集在多个被管理设备上的可信环境中被创建的多个设备证书,所述设备证书在与相应的设备证书相关联的所述被管理设备上的所述可信环境中被创建;
分析文件中的签名链,所述签名链中的签名是利用所述多个被管理设备中的相应被管理设备的私钥进行签名的;
使用与所述多个设备证书中的相应设备证书相关联的公钥来验证所述签名;
使用所述文件和所述签名链形成取证证据,以标识恶意软件感染源;
通过分析所述文件中的所述签名链判定所述多个被管理设备中的哪些被管理设备已对所述文件进行了签名,以跨所述文件已经存在于其上的设备确定所述文件的起源和扩散模式,从而标识恶意软件感染源;以及
使用所述取证证据对所述文件执行安全检查,所述安全检查用于标识对所述文件的篡改,并用于在标识了篡改时根据所述扩散模式对一个或多个受影响的设备触发纠正动作。
16.如权利要求15所述的管理控制台系统,其中,所述处理元件用于执行以下操作:
标识所述多个被管理设备中对所述文件进行了签名的最初被管理设备。
17.如权利要求15所述的管理控制台系统,其中,所述处理元件用于执行以下操作:
将所述多个设备证书存储在证书数据库中。
18.如权利要求15所述的管理控制台系统,其中,所述处理元件用于执行以下操作:
在所述多个被管理设备中对所述文件进行了签名的至少一些被管理设备上发起安全动作。
19.如权利要求15所述的管理控制台系统,其中,处理元件用于执行以下操作:
在所述多个被管理设备中对所述文件进行了签名的最初被管理设备上发起安全动作。
20.如权利要求19所述的管理控制台系统,其中,所述处理元件用于执行以下操作:
在所述多个被管理设备中的其他被管理设备上搜索利用所述最初被管理设备的所述设备证书而被签名的其他文件;以及
对所述其他被管理设备执行安全动作。
21.一种被管理可编程设备,包括:
处理元件;
可信环境,所述可信环境耦合至所述处理元件;
存储器,耦合至所述可信环境,在所述存储器上存储有指令,所述指令当被执行时使所述可信环境执行以下操作:
在所述被管理可编程设备上的所述可信环境中生成由所述可信环境的私钥签名的设备证书,以提供给管理控制台设备,所述管理控制台设备用于使用包括所述设备证书的设备证书链来管理所述被管理可编程设备;
从所述处理元件接收关于新文件的信息;
使用所述可信环境的所述私钥来对所述新文件进行签名,以形成所述文件中的设备证书链,所述设备证书链从用于所述文件已存在于其上的设备的设备证书生成,并且由所述管理控制台设备管理以跨所述文件已存在于其上的设备确定所述文件的起源和扩散模式,所述设备证书链用于使用所述文件和所述设备证书链形成取证证据,以标识恶意软件感染源;以及
由所述管理控制台设备使用所述取证证据发起执行对所述文件的安全检查,
所述安全检查用于标识对所述文件的篡改,并用于在标识了篡改时由所述管理控制台设备根据所述扩散模式对一个或多个受影响的设备触发纠正动作。
22.如权利要求21所述的被管理可编程设备,进一步包括当被执行时使所述可信环境执行以下操作的指令:
从管理控制台设备接收对所述设备证书的请求;
响应于所述请求而生成由所述可信环境的所述私钥签名的所述设备证书;以及
向所述管理控制台设备发送所述设备证书。
23.如权利要求21所述的被管理可编程设备,进一步包括当被执行时使所述可信环境执行以下操作的指令:
在所述新文件中嵌入利用所述可信环境的所述私钥而被签名的所述设备证书。
24.如权利要求21所述的被管理可编程设备,进一步包括当被执行时使所述可信环境执行以下操作的指令:
将利用所述可信环境的所述私钥而被签名的所述设备证书存储为所述新文件的扩展属性。
25.如权利要求21所述的被管理可编程设备,进一步包括:
存储器,耦合至所述处理元件,在所述存储器上存储有指令,所述指令当被执行时使所述处理元件执行以下操作:
将所述新文件通知给所述可信环境;以及
将经签名的新文件存储在与所述被管理可编程设备相关联的文件系统中。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/704,510 US10812466B2 (en) | 2015-05-05 | 2015-05-05 | Using trusted platform module to build real time indicators of attack information |
US14/704,510 | 2015-05-05 | ||
PCT/US2016/026013 WO2016178767A1 (en) | 2015-05-05 | 2016-04-05 | Using trusted platform module to build real time indicators of attack information |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108027856A CN108027856A (zh) | 2018-05-11 |
CN108027856B true CN108027856B (zh) | 2021-11-02 |
Family
ID=57217856
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680039535.7A Active CN108027856B (zh) | 2015-05-05 | 2016-04-05 | 使用可信平台模块来建立攻击信息的实时指示器 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10812466B2 (zh) |
EP (1) | EP3292498A4 (zh) |
CN (1) | CN108027856B (zh) |
WO (1) | WO2016178767A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3160176B1 (en) * | 2015-10-19 | 2019-12-11 | Vodafone GmbH | Using a service of a mobile packet core network without having a sim card |
US10320571B2 (en) * | 2016-09-23 | 2019-06-11 | Microsoft Technology Licensing, Llc | Techniques for authenticating devices using a trusted platform module device |
TWI641260B (zh) * | 2017-02-20 | 2018-11-11 | 中華電信股份有限公司 | White list management system for gateway encrypted transmission and method thereof |
WO2020091789A1 (en) * | 2018-11-01 | 2020-05-07 | Hewlett-Packard Development Company, L.P. | Infrastructure device enrolment |
US11907375B2 (en) * | 2021-04-13 | 2024-02-20 | Hewlett Packard Enterprise Development Lp | System and method for signing and interlocking a boot information file to a host computing system |
CN115118500B (zh) * | 2022-06-28 | 2023-11-07 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8176556B1 (en) * | 2008-10-31 | 2012-05-08 | Symantec Corporation | Methods and systems for tracing web-based attacks |
US9294468B1 (en) * | 2013-06-10 | 2016-03-22 | Google Inc. | Application-level certificates for identity and authorization |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7096497B2 (en) | 2001-03-30 | 2006-08-22 | Intel Corporation | File checking using remote signing authority via a network |
US20050228999A1 (en) | 2004-04-09 | 2005-10-13 | Arcot Systems, Inc. | Audit records for digitally signed documents |
US7434261B2 (en) | 2004-09-27 | 2008-10-07 | Microsoft Corporation | System and method of identifying the source of an attack on a computer network |
US7809943B2 (en) * | 2005-09-27 | 2010-10-05 | Rovi Solutions Corporation | Method and system for establishing trust in a peer-to-peer network |
US7730302B2 (en) | 2006-05-05 | 2010-06-01 | Microsoft Corporation | Secure and modifiable configuration files used for remote sessions |
US20080082662A1 (en) * | 2006-05-19 | 2008-04-03 | Richard Dandliker | Method and apparatus for controlling access to network resources based on reputation |
US8601555B2 (en) * | 2006-12-04 | 2013-12-03 | Samsung Electronics Co., Ltd. | System and method of providing domain management for content protection and security |
US9917844B2 (en) | 2006-12-17 | 2018-03-13 | Fortinet, Inc. | Detection of undesired computer files using digital certificates |
US9768965B2 (en) * | 2009-05-28 | 2017-09-19 | Adobe Systems Incorporated | Methods and apparatus for validating a digital signature |
US9092616B2 (en) | 2012-05-01 | 2015-07-28 | Taasera, Inc. | Systems and methods for threat identification and remediation |
-
2015
- 2015-05-05 US US14/704,510 patent/US10812466B2/en active Active
-
2016
- 2016-04-05 EP EP16789723.0A patent/EP3292498A4/en not_active Withdrawn
- 2016-04-05 WO PCT/US2016/026013 patent/WO2016178767A1/en unknown
- 2016-04-05 CN CN201680039535.7A patent/CN108027856B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8176556B1 (en) * | 2008-10-31 | 2012-05-08 | Symantec Corporation | Methods and systems for tracing web-based attacks |
US9294468B1 (en) * | 2013-06-10 | 2016-03-22 | Google Inc. | Application-level certificates for identity and authorization |
Also Published As
Publication number | Publication date |
---|---|
EP3292498A1 (en) | 2018-03-14 |
CN108027856A (zh) | 2018-05-11 |
US10812466B2 (en) | 2020-10-20 |
EP3292498A4 (en) | 2018-10-24 |
WO2016178767A1 (en) | 2016-11-10 |
US20160330193A1 (en) | 2016-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108027856B (zh) | 使用可信平台模块来建立攻击信息的实时指示器 | |
Khan | A survey of security issues for cloud computing | |
Paccagnella et al. | Custos: Practical tamper-evident auditing of operating systems using trusted execution | |
CN111164948B (zh) | 使用区块链网络管理网络安全漏洞 | |
US11102220B2 (en) | Detection of botnets in containerized environments | |
US8484460B1 (en) | Post attack man-in-the-middle detection | |
US20210256113A1 (en) | Blockchain Validation of Software | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
Böck et al. | Towards more trustable log files for digital forensics by means of “trusted computing” | |
US20020144140A1 (en) | File checking using remote signing authority via a network | |
US10073980B1 (en) | System for assuring security of sensitive data on a host | |
JP2008005156A (ja) | 情報処理端末および状態通知方法 | |
US20190238560A1 (en) | Systems and methods to provide secure storage | |
Johnston et al. | Recommendations for securing Internet of Things devices using commodity hardware | |
Ganame et al. | Network behavioral analysis for zero-day malware detection–a case study | |
KR20100054940A (ko) | 임베디드 리눅스에서 서명 검증 방식을 이용한 악성 프로그램 차단 장치 및 방법 | |
CN112564985A (zh) | 一种基于区块链的安全运维管理的方法 | |
Huh et al. | Managing application whitelists in trusted distributed systems | |
Kłos et al. | Securing event logs with blockchain for IoT | |
Liu et al. | Secure streaming forensic data transmission for trusted cloud | |
KR20160137032A (ko) | 네트워크 기기 간 원격 인증 장치 및 그 방법 | |
Jenkins | Defense in Depth of Resource-Constrained Devices | |
Mishra | A novel mechanism for cloud data management in distributed environment | |
Lakshmi et al. | Security Health monitoring and Attestation of Virtual Machines in Cloud computing. | |
Michaud | Malicious use of omg data distribution service (dds) in real-time mission critical distributed systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230719 Address after: California, USA Patentee after: MASA ROBRA USA LLC Address before: California, USA Patentee before: MCAFEE, Inc. |