CN108369625A - 用于保护多个网络端点的双重存储器内省 - Google Patents
用于保护多个网络端点的双重存储器内省 Download PDFInfo
- Publication number
- CN108369625A CN108369625A CN201680073890.6A CN201680073890A CN108369625A CN 108369625 A CN108369625 A CN 108369625A CN 201680073890 A CN201680073890 A CN 201680073890A CN 108369625 A CN108369625 A CN 108369625A
- Authority
- CN
- China
- Prior art keywords
- client
- ftp
- event
- computer system
- tool
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/542—Event management; Broadcasting; Multicasting; Notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Abstract
描述的系统及方法实现使多个客户端系统(例如,企业网络)免受计算机安全威胁(例如恶意软件及入侵)。在一些实施例中,每一受保护客户端操作现场内省引擎及按需内省引擎。所述现场内省引擎检测暴露于相应客户端系统上的受保护虚拟机内某些事件的发生,且将所述发生传送到远程安全服务器。所述服务器又可通过指示待由所述客户端执行的取证工具来请求来自所述客户端系统的所述事件的取证分析。取证工具可存储于所述客户端可存取的中央存储库中。响应于接收所述分析请求,所述按需内省引擎可检索及执行所述取证工具,且将所述取证分析的结果传送到所述安全服务器。所述服务器可使用所述信息确定所述相应客户端是否处于恶意软件或入侵者的攻击下。
Description
相关申请案
本申请案主张2015年12月19日申请的标题为“用于保护多个网络端点的双重存储器内省(Dual Memory Introspection for Securing Multiple Network Endpoints)”的第62/269,952号美国临时专利申请案的申请日期的权益,所述美国专利申请案的全部内容以引用方式并入本文中。
背景技术
本发明涉及计算机安全系统及方法,且特定来说,本发明涉及用于使硬件虚拟化环境免受计算机安全威胁的系统及方法。
恶意软件(malicious software),也称为恶意软件(malware),影响世界各地的众多计算机系统。呈许多形式(例如计算机病毒、蠕虫、木马及间谍软件)的恶意软件对成千上万的计算机用户带来严重威胁,从而使用户易于丢失数据及敏感信息、遭受身份盗窃且损失生产力等。
计算机安全软件可用于使计算机系统免受恶意软件。然而,在分布式计算系统(例如企业网络及云计算系统)中,常规安全软件通常不能对攻击作出良好响应。即使在安全软件能够检测攻击时,分析及补救可能仍然需要向受影响客户端系统派遣人类操作者,例如,以应用补丁、恢复丢失的数据等。另外,一旦检测到且分析了新的威胁,就必须及时将更新版本的安全软件分发到所有受保护计算机系统。
替代计算机安全系统可在中央服务器计算机上执行,从而通过通信网络从安全客户端接收相关数据。服务器可根据接收到的数据确定相应客户端是否感染了恶意软件,且可将结论传送到相应客户端。虽然此类配置被较好地装配以处理新出现的威胁,但其需要大量服务器侧计算能力。
计算机安全操作由于硬件虚拟化的到来而进一步复杂化。随着越来越多的商品及服务在线交易,且随着工作逐步去本地化,基础设施即服务(IAAS)变成了拥有计算机硬件的可行替代。相当大比例的计算活动当前是使用虚拟机进行。在典型的应用(例如服务器农场及云计算)中,数以百计的虚拟机可同时在单个硬件平台上执行。所有此类虚拟机可能需要恶意软件保护。
适应恶意软件不断变化的性质及流动劳动力的挑战需要开发新颖计算机安全系统及协议,尤其是开发实现跨越多个分布式客户端有效地管理计算机安全操作的系统及方法。
发明内容
根据一个方面,一种客户端计算机系统包括经配置以执行管理程序、现场内省引擎及按需内省引擎的硬件处理器。所述管理程序经配置以暴露客户虚拟机(VM)及与所述客户VM不同的安全VM,其中所述按需内省引擎在所述安全VM内执行,且其中所述现场内省引擎在所述客户VM及安全VM外部执行。所述现场内省引擎经配置以:响应于检测到所述客户VM内事件的发生通过通信网络将所述事件的指示符发射到远程服务器计算机系统。所述按需内省引擎经配置以:响应于所述现场内省引擎将所述事件的所述指示符发射到所述远程服务器计算机系统,从所述远程服务器计算机系统接收分析请求,所述分析请求指示驻存于远程工具存储库中的安全工具,所述远程工具存储库经配置以将安全工具分布到包含所述客户端计算机系统的多个客户端,所述安全工具包括经配置以分析所述事件的发生的软件,所述安全工具由所述远程服务器计算机系统根据所述事件的事件类型进行选择。所述按需内省引擎进一步经配置以:响应于接收所述分析请求,根据所述分析请求识别所述安全工具,且作为响应,从所述工具存储库选择性地检索所述安全工具,其中检索所述安全工具包括通过所述通信网络连接到中央工具存储库。所述按需内省引擎进一步经配置以:响应于选择性地检索所述安全工具,执行所述安全工具,及将执行所述安全工具的结果发射到所述远程服务器计算机系统。
根据另一方面,一种服务器计算机经配置以执行与多个客户端系统的计算机安全事务。所述服务器计算机系统包括硬件处理器,所述硬件处理器经配置以:响应于从所述多个客户端系统的客户端系统接收事件指示符,所述事件指示符指示在所述客户端系统上执行的客户虚拟机VM内事件的发生,选择驻存于经配置以将安全工具分布到所述多个客户端系统的远程工具存储库中的安全工具,所述安全工具包括经配置以分析所述事件的发生的软件,其中选择所述安全工具是根据所述事件的事件类型执行。所述硬件处理器进一步经配置以:响应于选择所述安全工具,通过通信网络将分析请求发射到所述客户端系统,所述分析请求包括所述安全工具的标识符;及作为响应,从所述客户端系统接收在所述客户端系统上执行所述安全工具的结果。所述客户端系统经配置以执行管理程序、现场内省引擎及按需内省引擎。所述管理程序经配置以暴露所述客户VM及与所述客户VM不同的安全VM,其中所述按需内省引擎在所述安全VM内执行,且其中所述现场内省引擎在所述客户VM及安全VM外部执行。所述现场内省引擎经配置以:响应于检测到所述事件的发生将所述事件指示符发射到所述服务器计算机系统。所述按需内省引擎经配置以:响应于接收所述分析请求,根据所述分析请求识别所述安全工具。所述按需内省引擎进一步经配置以:响应于识别所述安全工具,从所述工具存储库选择性地检索所述安全工具,其中检索所述安全工具包括所述客户端系统通过所述通信网络连接到所述远程工具存储库。所述按需内省引擎进一步经配置以:响应于检索所述安全工具,执行所述安全工具以产生所述结果。
根据另一方面,一种非暂时性计算机可读媒体包括一组指令,当所述组指令执行于客户端计算机系统的硬件处理器上时致使所述客户端计算机系统形成管理程序、现场内省引擎及按需内省引擎。所述管理程序经配置以暴露客户虚拟机(VM)及与所述客户VM不同的安全VM,其中所述按需内省引擎在所述安全VM内执行,且其中所述现场内省引擎在所述客户VM及安全VM外部执行。所述现场内省引擎经配置响应于检测到所述客户VM内事件的发生通过通信网络将所述事件的指示符发射到远程服务器计算机系统。所述按需内省引擎经配置以:响应于所述现场内省引擎将所述事件的所述指示符发射到所述远程服务器计算机系统,从所述远程服务器计算机系统接收分析请求,所述分析请求指示驻存于远程工具存储库中的安全工具,所述远程工具存储库经配置以将安全工具分布到包含所述客户端计算机系统的多个客户端,所述安全工具包括经配置以分析所述事件的发生的软件,所述安全工具由所述远程服务器计算机系统根据所述事件的事件类型选择。所述按需内省引擎进一步经配置以:响应于接收所述分析请求,根据所述分析请求识别所述安全工具,且作为响应,从所述工具存储库选择性地检索所述安全工具,其中检索所述安全工具包括通过所述通信网络连接到中央工具存储库。所述按需内省引擎进一步经配置以:响应于选择性地检索所述安全工具,执行所述安全工具,及将执行所述安全工具的结果发射到所述远程服务器计算机系统。
附图说明
在阅读以下详细描述及参考图之后,将更好地理解本发明的前述方面及优点,其中:
图1说明根据本发明的一些实施例的其中使多个客户端系统免受计算机安全威胁的示范性配置。
图2-A说明根据本发明的一些实施例的客户端系统的示范性硬件配置。
图2-B展示根据本发明的一些实施例的安全服务器计算机系统的示范性硬件配置。
图3-A展示根据本发明的一些实施例的由受保护客户端系统上执行的管理程序暴露的一组示范性虚拟机及一对示范性内省引擎。
图3-B展示根据本发明的一些实施例的安全组件的替代配置。
图4展示根据本发明的一些实施例的由安装程序应用实施以设置客户端系统上的计算机安全的示范性步骤序列。
图5展示根据本发明的一些实施例的在客户端系统与安全服务器之间配置虚拟专用网络(VPN)安全连接。
图6展示根据本发明的一些实施例的客户端系统与安全服务器之间的示范性数据交换,所述数据交换在恶意软件检测期间发生。
图7展示根据本发明的一些实施例的由现场内省引擎执行的示范性步骤序列。
图8展示根据本发明的一些实施例的由按需内省引擎执行的示范性步骤序列。
图9说明根据本发明的一些实施例的由安全服务器执行的示范性步骤序列。
具体实施方式
应理解,在以下描述中,结构之间所述所有连接可为直接操作连接或通过中间结构的间接操作连接。一组元件包含一或多个元件。应理解,元件的任何陈述是指至少一个元件。多个元件包含至少两个元件。除非另外要求,否则描述的任何方法步骤不一定需要按说明的特定顺序执行。从第二元素导出的第一元素(例如,数据)涵盖等于第二元素的第一元素,还涵盖通过处理第二元素及任选地其它数据生成的第一元素。根据参数作出确定或决策涵盖根据参数及任选地根据其它数据作出确定或决策。除非另外指定,否则一些数量/数据的指示符可为数量/数据本身或不同于数量/数据本身的指示符。计算机安全涵盖使用户及设备免受对数据及/或硬件的意外或未授权存取、数据及/或硬件的意外或未授权修改及数据及/或硬件的破坏。计算机程序是实施任务的处理器指令序列。本发明的一些实施例中描述的计算机程序可为其它计算机程序的独立软件实体或子实体(例如,子例程、库)。除非另外指定,否则客户软件在虚拟机内执行。据说,当程序在相应虚拟机的虚拟处理器上执行时,程序在虚拟机内执行。除非另外指定,否则页表示可个别地映射到主机系统的物理存储器的虚拟存储器的最小单位。除非另外指定,否则客户端系统的快照包括由相应客户端系统使用的存储器区段的内容的副本。计算机可读媒体涵盖非暂时性媒体,例如磁性、光学及半导体存储器媒体(例如,硬盘驱动、光盘、快闪存储器、DRAM),还涵盖通信链路,例如导电电缆及光纤链路。根据一些实施例,本发明提供(除其它外)计算机系统,其包括经编程以执行本文描述的方法的硬件(例如,一或多个微处理器),还包括编码指令以执行本文描述的方法的计算机可读媒体。
以下描述通过实例且不一定通过限制说明本发明的实施例。
图1展示根据本发明的一些实施例的使多个客户端系统12a到d免受计算机安全威胁的示范性配置。示范性客户端系统12a到d包含个人计算机系统、移动计算平台(膝上型计算机、平板计算机、移动电话)、娱乐装置(TV、游戏机)、可穿戴装置(智能手表、健身手环)、家用电器及包括处理器及存储器且能够操作硬件虚拟化平台的任何其它电子装置。另一示范性种类的客户端系统包含数据中心服务器及运行基于云的应用程序的硬件虚拟化平台,例如网站服务器及/或虚拟桌面基础设施。
客户端系统12a到d经由通信网络11互连,例如家庭网络、企业网络、因特网等。网络11包含至少一个交换机及/或路由器。网络11的部件可包含局域网(LAN)及/或电信网络(例如,4G移动电话网、无线LAN)。
在一些实施例中,安全服务器14经由网络11通信地耦合到客户端系统12a到d且与客户端系统12a到d合作以避开计算机安全威胁,如下文详细描述。服务器14一般地描述一组互连计算系统,其可或可不与彼此物理接近。在一些实施例中,服务器14经配置以从客户端系统12a到d接收事件通知,且作为响应,根据事件类型选择待由相应客户端系统使用的取证分析类型、威胁消解协议及/或清理工具。示范性取证分析包含例如获得关于相应事件的原因及/或上下文的具体数据。威胁消解协议可根据由相应事件指示的恶意软件类型进行选择,且可包含在相应客户端上下载及/或执行具体清理及/或损坏控制代码。
在一些实施例中,安全服务器14进一步经配置以与客户端数据库17介接。在示范性客户端数据库17中,每一条目与受保护客户端系统12a到d相关联及/或与相应受保护客户端系统上执行的虚拟机相关联,且可包含触发事件及/或由相应客户端系统/虚拟机报告的取证报告(参见下文)的日志。数据库17的示范性条目可进一步包括用于相应客户端系统/虚拟机的系统配置文件数据(例如,包含OS版本、安装的应用程序、各种设置、所有者、联系信息等)。客户端数据库17的另一示范性条目可包括表示与相应客户端系统相关联的客户端专用安全策略的一组参数值。此类设置可由人类操作者指定,或可根据一组规则自动设置。在本发明的一些实施例中,客户专用策略及/或安全设置响应于相应客户端上或其它受保护客户端上发生的事件动态地改变。
在一些实施例中,客户端系统12a到d经由网络11进一步连接到中央工具存储库15。工具存储库15可包括计算机可读媒体或存储呈代码(计算机程序)及/或数据形式的安全工具及资源的物理机。客户端系统12a到d可连接到存储库15以根据从安全服务器14接收到的指令选择性地检索工具及数据,如下文详细展示。工具存储库15对多个客户端可用,所以在本发明的优选实施例中,存储库15不驻存于任何特定客户端系统上。连接到存储库15因此包括经由相应客户端系统的网络适配器将通信发射到存储库15及/或从存储库15接收通信。此类通信可在途中遍历网络交换机或路由器。
存储于存储库15中的安全工具可包含取证、反恶意软件及/或威胁消解工具。存储库数据可进一步包括用于根据调查中的事件类型或根据本地硬件/软件配置来配置或调谐相应工具的参数值。反恶意软件工具实现客户端系统12a到d上执行的恶意软件的检测,且可包含一组启发式规则的编码及/或恶意软件识别特征码数据库。威胁消解工具可包含经编程以移除客户端系统上执行的恶意软件代理或以其它方式使所述恶意软件代理无法使用的清理工具。其它示范性威胁消解工具经编程以(例如)通过控制被感染的客户端系统使用其网络适配器的方式防止被感染的客户端系统将恶意软件传输到另一客户端系统。
取证工具实现客户端系统12a到d上发生的安全相关事件的分析。取证工具的一些实例包含快照生成工具,其经编程以获得客户端系统的存储器快照或相应客户端系统上执行的虚拟机的存储器快照。快照可包含与操作系统(OS)相关联或与相应客户端系统上当前执行的另一应用程序相关联的存储器数据。OS内核的快照可包含(除其它外)内核的代码及数据区段、各种存储器中内核驱动器(代码及/或数据区段)、存储器中内核线程及其对应堆栈、OS的内核数据结构-例如加载模块的列表、进程列表等的副本。应用程序的示范性快照包括应用程序的存储器图像(包含其代码及数据区段)、由应用程序的线程使用的存储器中堆栈、相应应用程序的堆存储器页等的副本。
在一些实施例中,生成存储器快照包括中止客户VM 32的执行以允许复制相应存储器区段的内容。替代实施例执行“现场”存储器取证而无需生成快照。在此类实施例中,管理程序30可将由客户VM 32使用的一组物理存储器页映射到由安全VM 33使用的虚拟存储器页。接着,安全VM 33可例如响应于特定事件检查相应存储器页的内容而不必中止客户VM32的执行或复制及传送相应内容。“现场”存储器取证工具的一个实例是来自VolatilityFoundation的框架。
取证工具的另一实例是经配置以列举当前安装于客户端系统上及/或客户端系统上当前执行的软件实体的应用程序清单工具。取证工具的又另一实例是经编程以获得一组配置设置(例如,各种OS参数的当前值、硬件设置、安全设置、防火墙设置等)的配置抓取器。其它示范性取证工具经编程以收集系统及/或应用程序事件日志或系统崩溃数据(例如,崩溃小型转储)。
图2-A展示客户端系统12(例如图1中的系统12a到d)的示范性硬件配置。为简单起见,所说明的客户端系统是计算机系统,其它客户端系统(例如移动电话、手表等)的硬件配置可稍微不同于说明的配置。客户端系统12包括一组物理装置,包含硬件处理器16及存储器单元18。在一些实施例中,处理器12包括经配置以使用一组信号及/或数据执行计算操作及/或逻辑运算的物理装置(例如,微处理器、形成于半导体衬底上的多核集成电路等)。在一些实施例中,此类操作以处理器指令序列(例如,机器代码或其它类型的编码)的形式被递送到处理器12。存储器单元18可包括存储由处理器16存取或生成的指令及/或数据的易失性计算机可读媒体(例如,DRAM、SRAM)。
取决于装置的类型及性能,客户端系统12可进一步包括一组输入装置20,例如键盘、鼠标、触摸屏等,其使用户能够将数据及/或指令输入到客户端系统12。一组输出装置22,例如监测器或液晶显示器,可例如经由图形用户接口将信息传达给用户。存储装置24包含实现处理器指令及/或数据的非易失性存储、读取及写入的计算机可读媒体。示范性存储装置24包含磁盘及光盘及快闪存储器装置,还包含可装卸媒体,例如CD及/或DVD光盘及驱动。一组网络适配器26使客户端系统12能够连接到通信网络11及/或连接到其它装置/计算机系统。控制器集线器28一般地表示多个系统、外围设备及/或芯片集总线及/或实现处理器16与装置18、20、22、24及26之间的通信的所有其它电路。例如,控制器集线器28可包含存储器管理单元(MMU)、输入/输出(I/O)控制器及中断控制器等。在另一实例中,控制器集线器28可包括将处理器16连接到存储器18的北桥及/或将处理器16连接到装置20、22、24及26的南桥。在一些实施例中,控制器集线器28可部分或全部与处理器16集成,例如,MMU可与处理器16共享共同半导体衬底。
图2-B展示安全服务器14的示范性硬件配置。服务器14包括硬件处理器116、服务器存储器118、一组服务器存储装置124及一组网络适配器126,其全部都由服务器控制器集线器128连接。装置116、118、124及126的操作可为上文描述的装置16、18、24及26的操作镜像。例如,服务器处理器116可包括经配置以使用一组信号及/或数据执行计算操作及/或逻辑运算的集成电路。服务器存储器118可包括存储在由处理器116执行计算时存取或生成的数据/信号的非暂时性计算机可读媒体(例如,RAM)。网络适配器126使安全服务器14能够连接到通信网络11。
在一些实施例中,客户端系统12经配置以暴露一组虚拟机,例如,如图3-A到B中说明。虚拟机(VM)使用硬件虚拟化领域中已知的多种技术中的任何者仿真实际物理机/计算机系统。在一些示范性配置中,管理程序30在客户端系统12上执行,管理程序30经配置以创建或启用多个虚拟化装置,例如虚拟处理器及虚拟存储器管理单元,及将此类虚拟化装置呈现到软件以模仿客户端系统12的实际物理装置。此类操作在所属领域中通常已知为暴露虚拟机。管理程序30可进一步使多个虚拟机能够共享主机系统12的硬件资源使得每一VM可单独操作且并未察觉到客户端系统12上当前执行的其它VM。流行的管理程序的实例包含来自VMware有限公司(VMware Inc.)的 及开源管理程序等。
在图3-A到B中说明的示范性配置中,客户VM 32执行客户操作系统34及应用程序36。尽管图3-A到B展示仅一个客户VM,但在例如虚拟桌面基础设施(VDI)及服务器农业的应用中,客户端系统12可同时执行多个此类VM(例如,数百个VM)。每一客户VM包含至少一个虚拟化处理器,且可进一步包含其它虚拟化装置,例如虚拟化输入、输出、存储装置及网络装置以及虚拟化控制器等。每一虚拟化处理器包括硬件处理器16的至少部分功能性的仿真,且经配置以接收处理器指令以供执行。据说,使用虚拟处理器以供执行的软件在相应虚拟机内执行。例如,在图3-A到B的实例中,据说,客户OS 34及应用程序36在客户VM 32内执行。相比之下,据说,管理程序30在客户VM32外部或下面执行。
OS 34在应用程序36与客户VM 32的虚拟化硬件之间提供接口。操作系统34可包括任何广泛可用的操作系统,例如Microsoft 或等。应用程序36一般地表示任何计算机程序,例如字处理、图像处理、媒体播放器、数据库、日历、个人联系人管理、浏览器、游戏、语音通信及数据通信应用程序等。
在一些实施例中,管理程序30进一步暴露安全VM 33,其可与客户VM 32同时执行,从而使客户VM 32免受计算机安全威胁,例如恶意软件及入侵。单个安全VM可保护相应客户端系统上执行的多个客户VM。客户VM 32及安全VM 33的虚拟环境可与彼此隔离以保证客户VM 32内执行的恶意软件不会感染或以其它方式干扰安全VM 33内执行的软件。例如,安全VM 33的虚拟处理器与客户端系统12上执行的其它虚拟机的虚拟处理器不同;安全VM 33及客户VM 32的存储器转译使用不同组的页表。安全VM 33可经配置以与安全服务器14合作,如下文详细展示。安全VM 33的一些实施例包括轻型最小操作系统(例如, OS的定制版本)、按需内省引擎42及网络滤波器44。在替代实施例中,网络滤波器44在安全VM 33外部执行,例如在管理程序30的处理器特权级(例如,根级、环-1)下执行。
在一些实施例中,管理程序30可将仅虚拟化装置的子集暴露到客户VM 32,且可给予安全VM 33对客户端系统12的一些硬件装置的直接及排他使用。在一个此实例中,客户VM32可具有对输入装置20及输出装置22的排他使用,但缺少虚拟化网络适配器的排他使用。同时,安全VM 33可具有对网络适配器26的直接及排他使用。在一个此实施例中,到客户VM32的全部通信及/或来自客户VM 32的全部通信都经由安全VM 33发送/接收。例如,管理程序30可使用存储器共享机构主动地在客户VM 32与安全VM 33之间路由网络包。安全VM 33可进一步使用滤波器44选择性地允许或防止客户VM 32与远程方之间的通信。此类配置可例如使用来自的技术实施。
在一些实施例中,客户端系统12上执行的安全软件进一步包括在受保护客户VM32外部执行的现场内省引擎40。术语“内省”特此用于指示目的在于从相应VM外部的位置收集有关目标VM内执行的软件的信息的活动。内省的实例包含(除其它外)确定相应VM内执行的软件是否执行某些动作(例如,执行某些处理器指令、存取某些硬件资源、使用OS的某些服务、存取某些存储器位置等)。内省的其它实例包括确定由相应VM内执行的各种软件对象使用的存储器地址及/或控制对由此类地址指示的存储器位置的存取。
引擎40可并入到管理程序30中,例如,作为库,或可经递送作为与管理程序30不同且独立于管理程序30的但在管理程序30的处理器特权级(例如,根模式、环-1)下执行的计算机程序。在替代实施例中,现场内省引擎可在与客户VM 32不同的单独虚拟机中执行。引擎40可为具有单独调度执行线程的进程,或可操作作为当由某些事件触发时执行的未调度代码对象的集合,如下文展示。
引擎40经配置以监测多个可执行实体(例如,进程、线程、应用程序)的行为。此可包括检测相应软件的执行期间各种事件的发生及选择性地将此类事件报告到安全服务器14。各种类型的事件可以此方式检测,例如,调用某些OS功能、系统调用等。检测到的事件的其它实例包含尝试修改OS 34的功能(所属领域通常已知的代码操纵作为代码修补或挂钩)、一个软件实体尝试将代码注入到另一软件实体中、尝试启动没有数字签名的软件组件及尝试规避数字签名验证等。其它类型的检测到的事件可包含打开文件、创建文件、写入到文件、删除文件、复制文件、创建进程、终止进程、调度线程以供执行、由于同步事件(例如,互相排斥)挂起线程、创建堆、从堆分配存储器、扩展执行堆栈的大小、改变存储器存取权限、执行换入(例如,磁盘到存储器)操作、执行换出(例如,存储器到磁盘)操作、加载可执行模块(例如,共享库-DLL)、打开注册表项、重新命名注册表项、检测新硬件装置的附加、建立新的网络连接、接收网络包、提高线程的执行特权及改变与文件相关联的自主存取控制(DAC)权限。
用于检测此类事件的若干方法是所属领域已知的。其包含挂钩某些OS功能、修改分派表等。在硬件虚拟化平台中,用于检测安全相关事件的特殊种类的方法依赖于检测违反存储器存取权限。多数现代计算机系统经配置以与虚拟存储器一起操作及使用专用数据结构(例如,页表)管理存储器地址转译。经配置以支持硬件虚拟化的系统通常使用从由每一暴露VM所见的客户物理存储器到客户端系统12的实际物理存储器18的第二层地址转译。第二地址转译通常使用硬件加速专用数据结构及由处理器16控制的机制实现,称为第二级地址转译(SLAT)。流行的SLAT实施方案包含平台上的扩展页表(EPT)及平台上的快速虚拟化索引(RVI)/嵌套页表(NPT)。SLAT通常允许设置每一存储器页的存储器存取权限,例如读取/写入/执行。
在一些实施例中,现场内省引擎40与管理程序30合作以使用如上文描述的SLAT机制设置某些存储器页的存取权限。在一个此实例中,特定存储器页管控属于特定OS功能的代码。将相应页标记为非可执行的将在尝试执行相应OS功能时触发权限违反。违反可由内省引擎40解译为已发生了执行相应OS功能的尝试的指示符。
处理器16可经配置以在软件尝试以违反当前存取权限的方式存取相应页时触发处理器事件(例如,异常、故障等)。一种类型的处理器事件包括VM退出事件(平台上的VMExit),其中处理器16响应于存储器存取权限的违反从在相应VM内执行代码切换到在相应VM外部执行处置器例程。另一种类的处理器事件包括虚拟化异常(平台上的#VE),其中处理器16切换到在相应VM内执行处置器例程。
在图3-A的示范性配置中,事件处置器46a在管理程序30的处理器特权级下在所监测的客户VM外部执行。此类实施例可依赖于VM退出事件来通知现场内省引擎40关于客户VM32内事件的发生。相比之下,在图3-B中,事件处置器46b例如在客户OS 34的处理器特权级(例如,环0、内核模式)下在所监测的VM内执行。此类配置可依赖于虚拟化异常来检测VM内事件。处置器46b可使用进程间通信机构(例如,使用共享存储器区段)将事件信息发送到内省引擎40。图3-B中所展示的配置在信息收集方面可能比图3-A中展示的配置更有效,这是因为处置器46b在所监测的VM内执行且因此可使用客户OS 34的功能及机构来确定检测到的每一事件的语义。然而,通过在客户VM 32内执行,处置器46b可比处置器46a更易受恶意软件的攻击。
代替仅仅依赖于现场内省引擎40或受保护VM内执行的软件来分析安全事件,本发明的一些实施例进一步部署第二按需内省引擎42。现场内省引擎40可检测所监测的客户VM内各种事件的发生,但无法实施此类事件的复杂取证分析,这是因为此分析的计算成本太高且将负面影响用户体验。代替地,按需内省引擎42可经调用以执行相应取证分析,但可仅针对由现场内省引擎40检测到的事件子集选择性地触发此取证分析。在一些实施例中,由安全服务器14作出执行事件的取证分析的决策,且所述决策被传送到相应客户端系统12。
在一些实施例中,现场内省引擎40及按需内省引擎42可与彼此通信,例如,经由共享存储器区段及经由管理程序30实施的信令。例如,在执行取证活动时,按需内省引擎42可读取及使用现场内省引擎40的当前状态。现场内省引擎又可从按需内省引擎接收通知,例如发信号通知当前正在实施取证活动。
图4展示根据本发明的一些实施例的经执行以在客户端系统12上设置计算机安全的示范性步骤序列。在使企业网络免受计算机安全威胁的典型场景中,网络管理员可将安全应用程序安装于需要保护的每一客户端系统12a到d上。安全应用程序可包括各种组件,例如管理程序30、内省引擎40到42、事件处置器46a到b等。所说明的步骤序列可例如由相应安全应用程序的安装程序工具实施。当在缺乏硬件虚拟化环境的情况下安装时,安全软件可首先在最强处理器特权级(例如,根模式,环-1)下接管处理器16及安装管理程序30。接着,管理程序30可暴露客户VM 32且移动先前在相应客户端系统上执行的所有软件以在客户VM 32内执行。管理程序30可进一步设置安全VM 33及配置在VM 32到33之间共享相应客户端系统的硬件的方法。接着,安装程序可安装并启动在安全VM 33内执行的软件以及现场内省引擎40。
在一些实施例中,管理程序30及/或安全VM 33可使用安全启动机构或所属领域已知的另一形式的认证启动以保证安全VM 33执行可信软件。设置安全VM 33(步骤204)及/或在安全VM 33内执行的其它软件可包括与安全服务器14或其它认证实体的认证交换(例如,哈希验证)。在一个示范性实施例中,安全启动可采用客户端系统12的安全存储硬件组件,例如平台上的可信平台模块(TPM),且进一步采用完整性认证机制,例如的可信执行技术(TXT)。
在一些实施例中,步骤206设置从安全服务器14到安全VM 33的远程管理存取。此存取可使安全服务器14(自动或由人类操作者辅助)能够将指令及命令直接发送到受保护客户端系统,例如以指示按需内省引擎42执行特定种类的取证分析或实施具体清理步骤序列。设置远程管理存取可包含例如经由安全外壳(SSH)或虚拟专用网络(VPN)协议在服务器14与安全VM 33之间设置隧道(即,点到点安全通信通道)。图5展示此示范性交换。隧道请求48可由客户端系统12或服务器14发布。请求48可包括交换协议的指示符及一组加密密匙。作为响应,通信方设置包括加密网络包并在通信方之间路由网络包的特定方式的安全隧道49。在一些实施例中,管理程序30将从安全服务器14接收到的网络包直接路由到安全VM33。
图6展示根据本发明的一些实施例的安全服务器14与受保护客户端系统之间的示范性数据交换。客户端系统12可发送事件指示符50来通知服务器14在客户VM 32内执行软件期间已发生了事件。事件指示符50可包含相应事件的事件类型的指示符、事件的时戳及相应客户端系统12及/或客户VM 32的标识符(客户端ID)。
作为响应,服务器14可将分析请求52发送到客户端系统12,请求52指示按需内省引擎42在客户端系统12上执行某些取证活动。分析请求52可包含待由引擎42使用以实施数据收集/事件分析的取证工具的指示符,及/或某种其它种类的安全资源的指示符。在一些实施例中,分析请求52可响应于从另一客户端系统接收到事件指示符被发送出到客户端系统。
在一些实施例中,响应于执行所请求的取证活动,按需内省引擎42将取证报告54发射到服务器14,包括54包括实施相应取证活动的结果。报告54可包含例如软件对象列表、存储器地址列表、安全列表或硬件设置列表等。
响应于接收取证报告54,服务器14可确定相应客户端系统/客户VM是否易受特定种类的计算机安全威胁攻击,例如,可确定相应客户端系统/客户VM是否感染了恶意软件。当受到计算机安全威胁攻击时,服务器14可将安全警示56发射到相应客户端系统12。服务器14的一些实施例进一步发射消解指示符58,其包括例如清理工具的指示符或用于配置网络滤波器44的一组参数值。
图7展示根据本发明的一些实施例的由现场内省引擎40执行的示范性步骤序列。引擎40可经配置以监听至少两种消息/通知:来自事件处置器46a到b的关于客户VM 32内发生事件的通知;及来自安全VM 33的通知(例如,来自按需内省引擎42的发信号通知引擎40当前正发生取证活动的通知)。当接收到事件通知时,在步骤226中,引擎40可执行此类事件通知的初步分析。在一些实施例中,此类初步分析具有最小计算成本以将对用户体验的影响保持为尽可能的低。例如,步骤226可使用一组相对简单的规则对事件通知进行过滤。仅某些种类的事件可被报告到安全服务器14(步骤228到230)。在一个示范性实施例中,被传送到安全服务器14的事件包含(除其它外)尝试挂钩或修补OS内核、未知模块的注入及尝试执行来自特定存储器区域的代码。当检测到的事件不属于值得报告的事件类别时,引擎40的一些实施例仿真相应事件,且随后恢复客户VM32的执行。
当检测到的事件包括来自安全VM 33的通知时(步骤232),一些实施例可在客户端系统12的输出装置上显示警告消息,例如,以通知用户客户端系统12可能由于正在进行的取证或威胁消解活动而经历临时减速。在另一步骤236中,现场内省引擎40的一些实施例可与辅助按需内省引擎42合作以实施取证/消解活动。此合作的实例包含按需内省引擎42询问现场内省引擎40的当前状态。
图8展示根据本发明的一些实施例的由按需内省引擎42执行的示范性步骤序列。在步骤序列250到252中,引擎42可例如经由服务器14与安全VM 33之间建立的安全隧道49监听来自服务器14的分析请求(参见图5)。在一些实施例中,管理程序30可响应于接收到分析请求52从执行客户VM 32自动切换到执行安全VM 33及按需内省引擎42。
请求52可指示待用于取证活动中的一组工具及/或安全资源。例如,分析请求52可包含允许从工具存储库15选择性地检索相应工具的位置指示符(例如,存储器地址、网络路径)。在步骤256中,引擎42可通过通信网络11存取此类工具/资源。存取工具/资源可包括将相应工具/资料从工具存储库15下载到客户端系统12的本地存储装置24上(图2-A)。在优选实施例中,存取工具/资源包括按需引擎42从其远程位置安装相应工具/资源。本文中的安装是指在(由工具存储库15管控的)远程资源与安全VM 33的本地文件系统之间创建连接使得安全VM 33可经由本地文件系统存取相应资源。例如,在文件系统中,安装是经由“安装”命令实现,且所述连接包括安装点。
在一些实施例中,服务器14可经由隧道49明确指示引擎42存取及/或安装相应工具/资源。响应于存取工具/资源,在步骤序列258到260到262中,引擎42可实施所请求的取证活动,将取证报告54发送到服务器14及卸载或以其它方式丢弃相应工具/资源。在取证分析的结束时丢弃工具/资源可为有益的,这是因为:其防止恶意软件在取证分析的不同会话之间传播,且其保证客户端系统12a到c总是使用工具存储库15中可用的相应资源的最新版本。
图9展示根据本发明的一些实施例的由安全服务器14执行的示范性步骤序列。服务器14可经配置以监听从客户端系统12a到d接收到的通信(步骤280到282)。当此通信包括事件指示符(即,在受保护客户端系统上已发生了事件的通知)时,一些实施例记录相应事件(步骤286)及根据事件指示符50确定是否请求取证分析及请求何种分析。在一个此实例中,当事件指示符50展示已发生了代码注入时,服务器14可使用“应用成像快照”及/或存储器取证工具请求分析。在一些实施例中,某些类型的事件生成对使用多个工具及资源的复杂分析的请求。
可根据由当前通知指示的事件类型及/或根据对相应客户端系统/客户VM当前有效的安全策略作出决策。决策进程可因此包含针对事件历史及/或客户端专用策略查询客户端数据库17的(步骤290)。其它决策准则可包含相应客户端系统的硬件配置(例如,客户端系统12是否具有专用硬件组件,如特定种类的处理器、网络适配器等)。其它准则可包括软件方面,例如客户VM 32内执行的一种类型的操作系统及一种类型的应用程序36(网站服务器、数据库处理等)。此类决策策略依赖于已知某种软件易受特定计算机安全威胁攻击。决策过程可采用一组启发式规则、决策树或所属领域已知的任何其它方法。一种示范性实施例可使用人工神经网络,其接收数据(例如事件类型及各种策略特征值)作为输入,及输出展示是否请求取证分析的决策指示符(例如,是/否)。
在一些实施例中,是否请求取证分析及/或请求何种分析的决策可进一步考虑相同客户端系统上发生的事件的历史。此类实施例允许使不同时刻发生的事件相关,且因而,可允许检测复杂恶意软件,其将恶意有效负载分布于众多软件实体之上(例如,一些动作由第一实体执行且其它动作由第一实体的子实体或由含有由第一实体注入的代码的第二实体执行)。
在一些实施例中,决策过程可考虑在与事件通知50的发送器不同的客户端系统上发生的事件的历史。在一个此实例中,服务器14可查询事件记录关于具体类型的事件最近是否已发生在其它客户端系统上的信息。此活动的突发可发信号通知在客户端系统之中散布的一波恶意软件(零日威胁)或由多个客户端系统实施的协同攻击。
当通知的事件授权取证分析时(步骤292),步骤294选择待由相应客户端系统使用以实施所需要的取证分析的资源及/或取证工具。可根据一组规则、决策树等作出选择。在一个实例中,响应于接收已发生了代码注入的通知,服务器14可使用“应用快照”工具请求分析。在一些实施例中,某些类型的事件生成对使用多个工具及资源的复杂分析的请求。
当从客户端系统12接收到的通信包括取证报告54时(步骤298),服务器14可分析相应报告(步骤300)且可使用来自相同或其它客户端系统的其它报告证实报告54,并确定客户端系统12a到c中的任何者是否易受计算机安全威胁攻击(例如,可能处于恶意实体的攻击下)。当确定客户端系统12a到c中的任何者易受计算机安全威胁攻击时,服务器14可发送警告到管理员及/或发送安全警示56到受影响客户端系统。在另一步骤306中,服务器14可例如经由安全隧道49发送消解指示符58到相应客户端系统。消解指示符58可包含命令、指令及/或一组清理工具的指示符。
在上文(图7到8到9)描述的示范性实施例中,关于是否请求取证分析及/或请求何类型的分析的决策是由安全服务器14作出。在替代实施例中,按需内省引擎42例如经由由管理程序30管理的进程间通信机构直接从现场内省引擎40接收分析请求52及事件指示符50。接着,按需内省引擎42可根据事件指示符50及/或其它准则选择要使用的一组取证工具/资源,如上文描述。在此类实施例中,存取(例如,安装)相应资源的决策因此是在受保护客户端系统处作出。
本发明的一些实施例通过采用网络滤波器44调节客户端系统12与安全服务器14之间或客户端系统12与连接到通信网络11的其它实体之间的通信进一步加强计算机安全。在一个实例中,安全VM 33可经配置以具有对客户端系统12的网络适配器26的排他性使用。接着,管理程序30可经由安全VM 33的网络滤波器44将所有通信路由到客户VM 32/从客户VM 32路由所有通信。在一些实施例中,当服务器14确定客户端系统12易受恶意实体攻击或可能处于恶意实体攻击下时,服务器14可指示网络滤波器44阻断到客户VM 32/来自客户VM32的所有通信,以防止客户VM 32通过本地网络连接到其它客户端系统,或防止客户VM 32访问因特网。在替代实施例中,网络滤波器44可在按需内省引擎42执行取证活动时阻断或以其它方式调节客户VM 32与另一实体之间的通信。
本发明的一些实施例允许使相对大数目的客户端系统(例如,企业网络)免受计算机安全威胁,例如恶意软件、间谍软件、广告软件及未授权入侵。一些实施例可进一步允许从中央点容易且可信地管理安全,例如,从与受保护客户端系统通信地耦合的安全服务器。此集中化可对云计算应用尤其有利,例如网站服务器农业及虚拟桌面基础设施管理,其中数百个虚拟机可同时在单个硬件平台上操作。
在一些实施例中,每一受保护客户端操作现场内省引擎及按需内省引擎。现场内省引擎检测暴露于相应客户端系统上的受保护虚拟机内某些事件的发生且将所述发生传送到远程安全服务器。服务器又可根据所报告事件的事件类型及/或根据相应客户端的硬件及/或软件特殊性从工具存储库选择取证工具。按需内省引擎可检索取证工具且执行所述取证工具以执行事件的取证分析(例如,揭露相应事件的上下文)。接着,取证分析的结果可被传送到安全服务器,所述安全服务器可使用所述信息确定相应客户端是否处于恶意软件或入侵者的攻击下。
本发明的一些实施例依赖于以下洞察:用于保护大量客户端的典型的计算机安全解决方案对攻击的响应并不好。即使在现存解决方案能够检测攻击时,分析及补救也可能需要对受影响客户端系统派遣人类操作者,尤其是在复杂威胁的情况中,例如勒索软件及恶意入侵。相比之下,在本发明的一些实施例中,定制数据收集/事实查明(取证分析)及威胁消解(例如,恶意软件清理)在安全服务器的直接指导下在客户端机器上自动执行。本发明的一个示范性实施例在受保护客户端与安全服务器之间建立安全点到点通信通道,其允许人类操作者远程配置相应客户端,且甚至从远程终端对相应客户端进行取证/清理操作。
通过从多个客户端聚合事件检测及取证分析结果,一些实施例可允许快速检测先前未知恶意软件(在所属领域中称为零日攻击)。常规服务器侧威胁检测通常需要大量服务器侧计算能力。与典型的客户端服务器检测场景相比,在本发明的一些实施例中,一些昂贵的安全相关操作(例如事件过滤及取证分析)由客户端系统本身实施。一些实施例因此使用多个客户端机器的分布式计算能力执行一些昂贵的威胁检测及分析操作,代替将多数计算负担转移到安全服务器。
本发明的一些实施例进一步依赖于以下观察:计算机系统中发生的并非所有事件都内在地通知或指示计算机安全威胁。相同类型的事件(例如,存取URL、打开磁盘文件等)可在一些场景中指示恶意,而在其它场景中是完全良性的。在一个此实例中,事件在被隔离时可能不指示恶意,但当其作为具体事件序列的部分发生时可指示为恶意软件。例如,写入到磁盘文件在被隔离时可为良性操作(即,一批进程及应用程序合法地存取磁盘)。然而,写入事件在执行写入的实体是从另一实体注入的代码的接收方时可为可疑的。在本发明的一些实施例中,现场内省引擎根据各种准则预先过滤检测到的事件,且仅将此类事件的所选择的子集报告到安全服务器。此策略进一步减少强加于服务器的计算负担。
在常规计算机安全应用中,客户端侧安全工具(例如,反恶意软件例程、特征数据库等)驻存于客户端计算机系统上,且通过周期性软件更新保持最新。相比之下,在本发明的一些实施例中,安全工具保持在集中式存储库中(例如,企业网络上的专用服务器)。客户端系统在由安全服务器指示时可按需检索仅需要的工具,从而消除对大量软件更新及耗时网络管理的需要。在优选实施例中,客户端系统通过将远程集中式工具存储库安装到客户端的文件系统上远程地存取安全工具。
将大多数安全工具保持在中央存储库中(与受保护客户端或安全服务器形成对照)保证客户端可以利用相应安全工具的最近版本。此类配置的另一显著优点是其允许客户端侧及服务器侧软件比在常规安全系统中显著更小。此类轻型组件(例如,管理程序30、现场及按需内省引擎40到42)易于开发、维护及部署到客户端。其还比包含取证及/或威胁消解工具的一体化安全解决方案需要更少的更新。另外,轻型组件将相对较小的受攻击面暴露到恶意软件及黑客。
所属领域的技术人员应清楚,可在不背离本发明的范围的情况下,更改上述实施例。因此,本发明的范围应由所附权利要求书及其合法等效物确定。
Claims (25)
1.一种客户端计算机系统,其包括经配置以执行管理程序、现场内省引擎及按需内省引擎的硬件处理器,其中:
所述管理程序经配置以暴露客户虚拟机VM及与所述客户VM不同的安全VM,其中所述按需内省引擎在所述安全VM内执行,且其中所述现场内省引擎在所述客户VM及安全VM外部执行;
所述现场内省引擎经配置响应于检测到所述客户VM内事件的发生通过通信网络将所述事件的指示符发射到远程服务器计算机系统;且
所述按需内省引擎经配置以:
响应于所述现场内省引擎将所述事件的所述指示符发射到所述远程服务器计算机系统,从所述远程服务器计算机系统接收分析请求,所述分析请求指示驻存于远程工具存储库中的安全工具,所述远程工具存储库经配置以将安全工具分布到包含所述客户端计算机系统的多个客户端,所述安全工具包括经配置以分析所述事件的所述发生的软件,所述安全工具由所述远程服务器计算机系统根据所述事件的事件类型选择,
响应于接收所述分析请求,根据所述分析请求识别所述安全工具,
响应于识别所述安全工具,从所述工具存储库选择性地检索所述安全工具,其中检索所述安全工具包括通过所述通信网络连接到所述中央工具存储库,
响应于选择性地检索所述安全工具,执行所述安全工具,及
响应于执行所述安全工具,将执行所述安全工具的结果发射到所述远程服务器计算机系统。
2.根据权利要求1所述的客户端计算机系统,其中所述远程服务器计算机系统进一步经配置以根据所述结果确定所述客户端计算机系统是否包括恶意软件。
3.根据权利要求1所述的客户端计算机系统,其中所述远程服务器计算机系统进一步经配置以根据所述结果检测所述客户端计算机系统的恶意入侵。
4.根据权利要求1所述的客户端计算机系统,其中所述按需内省引擎进一步经配置以:
响应于将所述结果发射到所述远程服务器计算机系统,从所述远程服务器计算机系统接收驻存于所述远程工具存储库中的消解工具的指示符,所述消解工具包括经配置以使在所述客户端计算机系统上执行的恶意软件无法使用的软件;及
响应于接收所述消解工具的所述指示符,检索并执行所述消解工具。
5.根据权利要求1所述的客户端计算机系统,其中所述现场内省引擎进一步经配置以:
响应于检测到所述事件的所述发生,根据所述事件的事件类型确定是否满足事件资格条件;及
作为响应,仅当满足所述事件资格条件时将所述事件的所述指示符发射到所述远程服务器计算机系统。
6.根据权利要求1所述的客户端计算机系统,其中从所述远程工具存储库检索所述安全工具包括将所述远程工具存储库安装到所述安全VM的文件系统上。
7.根据权利要求1所述的客户端计算机系统,其中所述安全VM进一步包括网络滤波器,且其中所述管理程序进一步经配置以经由所述网络滤波器在所述客户VM与远程方之间路由网络业务。
8.根据权利要求7所述的客户端计算机系统,其中:
所述远程服务器计算机系统进一步经配置响应于确定所述客户端计算机系统是否包括恶意软件,当所述客户端计算机系统包括恶意软件时,将安全警示发送到所述客户端计算机系统;且
所述网络滤波器经配置响应于所述客户端计算机系统接收所述安全警示,限制所述客户VM与所述远程方之间的网络业务。
9.根据权利要求1所述的客户端计算机系统,其中执行所述安全工具的所述结果包括由所述客户VM使用的存储器区段的内容的副本。
10.根据权利要求1所述的客户端计算机系统,其中执行所述安全工具的所述结果包括在所述客户VM内执行的软件实体列表。
11.根据权利要求1所述的客户端计算机系统,其中执行所述安全工具的所述结果包括所述客户端计算机系统的硬件配置的指示符。
12.根据权利要求1所述的客户端计算机系统,其中:
所述管理程序经配置以在所述远程服务器计算机系统与所述安全VM之间建立安全点对点通信通道;且
所述按需内省引擎经配置以经由所述安全点对点通信通道接收所述分析请求及发射所述结果。
13.一种经配置以执行与多个客户端系统的计算机安全事务的服务器计算机,所述服务器计算机系统包括硬件处理器,所述硬件处理器经配置以:
响应于从所述多个客户端系统的客户端系统接收事件指示符,所述事件指示符指示在所述客户端系统上执行的客户虚拟机VM内事件的发生,选择驻存于经配置以将安全工具分布到所述多个客户端系统的远程工具存储库中的安全工具,所述安全工具包括经配置以分析所述事件的所述发生的软件,其中选择所述安全工具是根据所述事件的事件类型执行;
响应于选择所述安全工具,通过通信网络将分析请求发射到所述客户端系统,所述分析请求包括所述安全工具的标识符;及
响应于发射所述安全工具的所述指示符,从所述客户端系统接收在所述客户端系统上执行所述安全工具的结果,
其中所述客户端系统经配置以执行管理程序、现场内省引擎及按需内省引擎,其中:
所述管理程序经配置以暴露所述客户VM及与所述客户VM不同的安全VM,其中所述按需内省引擎在所述安全VM内执行,且其中所述现场内省引擎在所述客户VM及安全VM外部执行,
所述现场内省引擎经配置响应于检测到所述事件的所述发生将所述事件指示符发射到所述服务器计算机系统,且
所述按需内省引擎经配置以:
响应于接收所述分析请求,根据所述分析请求识别所述安全工具,
响应于识别所述安全工具,从所述工具存储库选择性地检索所述安全工具,其中检索所述安全工具包括通过所述通信网络将所述客户端系统连接到所述远程工具存储库,及
响应于检索所述安全工具,执行所述安全工具以产生所述结果。
14.根据权利要求13所述的服务器计算机,其中所述硬件处理器进一步经配置以根据所述结果确定所述客户端系统是否包括恶意软件。
15.根据权利要求13所述的服务器计算机,其中所述硬件处理器进一步经配置以根据所述结果检测所述客户端系统的恶意入侵。
16.根据权利要求13所述的服务器计算机,其中所述硬件处理器进一步经配置以:
响应于确定所述客户端系统是否包括恶意软件,当所述客户端系统包括恶意软件时,从所述远程工具存储库选择消解工具,所述消解工具包括经配置以使所述恶意软件无法使用的软件;及
响应于选择所述消解工具,将所述消解工具的指示符发射到所述客户端系统。
17.根据权利要求13所述的服务器计算机,其中所述现场内省引擎进一步经配置以:
响应于检测到所述事件的所述发生,根据所述事件的事件类型确定是否满足事件资格条件;及
作为响应,仅当满足所述事件资格条件时将所述事件的所述指示符发射到所述服务器计算机系统。
18.根据权利要求13所述的服务器计算机,其中从所述远程工具存储库检索所述安全工具包括将所述远程工具存储库安装到所述安全VM的文件系统上。
19.根据权利要求13所述的服务器计算机,其中所述安全VM进一步包括网络滤波器,且其中所述管理程序进一步经配置以经由所述网络滤波器在所述客户VM与远程方之间路由网络业务。
20.根据权利要求19所述的服务器计算机,其中所述硬件处理器进一步经配置响应于确定所述客户端系统是否包括恶意软件,当所述客户端系统包括恶意软件时,将安全警示发送到所述客户端系统;且其中由所述客户端系统接收所述安全警示导致所述网络滤波器限制所述客户VM与所述远程方之间的网络业务。
21.根据权利要求13所述的服务器计算机,其中执行所述安全工具的所述结果包括由所述客户VM使用的存储器区段的内容的副本。
22.根据权利要求13所述的服务器计算机,其中执行所述安全工具的所述结果包括在所述客户VM内执行的软件实体列表。
23.根据权利要求13所述的服务器计算机,其中执行所述安全工具的所述结果包括所述客户端计算机系统的硬件配置的指示符。
24.根据权利要求13所述的服务器计算机,其中:
所述管理程序经配置以在所述服务器计算机与所述安全VM之间建立安全点对点通信通道;且
所述硬件处理器进一步经配置以经由所述安全点对点通信通道发送所述安全工具的所述指示符及接收执行所述安全工具的所述结果。
25.一种包括一组指令的非暂时性计算机可读媒体,所述指令在执行于客户端计算机系统的硬件处理器上时导致所述客户端计算机系统形成管理程序、现场内省引擎及按需内省引擎,其中:
所述管理程序经配置以暴露客户虚拟机VM及与所述客户VM不同的安全VM,其中所述按需内省引擎在所述安全VM内执行,且其中所述现场内省引擎在所述客户VM及安全VM外部执行;
所述现场内省引擎经配置响应于检测到所述客户VM内事件的发生通过通信网络将所述事件的指示符发射到远程服务器计算机系统;且
所述按需内省引擎经配置以:
响应于所述现场内省引擎将所述事件的所述指示符发射到所述远程服务器计算机系统,从所述远程服务器计算机系统接收分析请求,所述分析请求指示驻存于远程工具存储库中的安全工具,所述远程工具存储库经配置以将安全工具分布到包含所述客户端计算机系统的多个客户端,所述安全工具包括经配置以分析所述事件的所述发生的软件,所述安全工具由所述远程服务器计算机系统根据所述事件的事件类型选择,
响应于接收所述分析请求,根据所述分析请求识别所述安全工具,
响应于识别所述安全工具,从所述工具存储库选择性地检索所述安全工具,其中检索所述安全工具包括通过所述通信网络连接到所述中央工具存储库,
响应于选择性地检索所述安全工具,执行所述安全工具,及
响应于执行所述安全工具,将执行所述安全工具的结果发射到所述远程服务器计算机系统。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562269952P | 2015-12-19 | 2015-12-19 | |
| US62/269,952 | 2015-12-19 | ||
| PCT/EP2016/081697 WO2017103254A1 (en) | 2015-12-19 | 2016-12-19 | Dual memory introspection for securing multiple network endpoints |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108369625A true CN108369625A (zh) | 2018-08-03 |
| CN108369625B CN108369625B (zh) | 2022-03-04 |
Family
ID=57777593
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680073890.6A Active CN108369625B (zh) | 2015-12-19 | 2016-12-19 | 用于保护多个网络端点的双重存储器内省 |
Country Status (13)
| Country | Link |
|---|---|
| US (1) | US10630643B2 (zh) |
| EP (1) | EP3391274B1 (zh) |
| JP (1) | JP6772270B2 (zh) |
| KR (1) | KR102301721B1 (zh) |
| CN (1) | CN108369625B (zh) |
| AU (1) | AU2016369460B2 (zh) |
| CA (1) | CA3006003C (zh) |
| ES (1) | ES2762988T3 (zh) |
| HK (1) | HK1254985A1 (zh) |
| IL (1) | IL259344B (zh) |
| RU (1) | RU2714607C2 (zh) |
| SG (1) | SG11201804327TA (zh) |
| WO (1) | WO2017103254A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115794604A (zh) * | 2022-10-14 | 2023-03-14 | 寒武纪行歌(南京)科技有限公司 | 数据生成方法、装置、设备、介质及程序产品 |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3616115B1 (en) * | 2017-04-26 | 2023-12-06 | Cylance Inc. | Endpoint detection and response system event characterization data transfer |
| US10505966B2 (en) * | 2017-06-06 | 2019-12-10 | Sap Se | Cross-site request forgery (CSRF) vulnerability detection |
| US10503910B2 (en) * | 2017-06-06 | 2019-12-10 | Sap Se | Security testing framework including virtualized server-side platform |
| US10764169B2 (en) | 2017-10-09 | 2020-09-01 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for testing virtual network components deployed in virtual private clouds (VPCs) |
| US10693909B2 (en) | 2018-01-19 | 2020-06-23 | International Business Machines Corporation | Securing an endpoint in a computer network |
| US11038770B2 (en) * | 2018-02-01 | 2021-06-15 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for managing deployment and maintenance of network tools |
| US10812349B2 (en) | 2018-02-17 | 2020-10-20 | Keysight Technologies, Inc. | Methods, systems and computer readable media for triggering on-demand dynamic activation of cloud-based network visibility tools |
| US11347861B2 (en) | 2018-04-10 | 2022-05-31 | Raytheon Company | Controlling security state of commercial off the shelf (COTS) system |
| JP7069399B2 (ja) * | 2018-07-18 | 2022-05-17 | ビットディフェンダー アイピーアール マネジメント リミテッド | コンピュータセキュリティインシデントを報告するためのシステムおよび方法 |
| US11423150B2 (en) | 2018-09-07 | 2022-08-23 | Raytheon Company | System and method for booting processors with encrypted boot image |
| US11178159B2 (en) | 2018-09-07 | 2021-11-16 | Raytheon Company | Cross-domain solution using network-connected hardware root-of-trust device |
| US10878101B2 (en) | 2018-09-07 | 2020-12-29 | Raytheon Company | Trusted booting by hardware root of trust (HRoT) device |
| BR112021019741A2 (pt) | 2019-04-01 | 2021-12-21 | Raytheon Co | Sistemas e método para proteção de dados |
| WO2020205497A1 (en) | 2019-04-01 | 2020-10-08 | Raytheon Company | Root of trust assisted access control of secure encrypted drives |
| US10951509B1 (en) | 2019-06-07 | 2021-03-16 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for providing intent-driven microapps for execution on communications network testing devices |
| US11249787B2 (en) * | 2019-10-01 | 2022-02-15 | Bank Of America Corporation | Method and system for data collection using hypervisor |
| US11489745B2 (en) | 2019-10-15 | 2022-11-01 | Keysight Technologies, Inc. | Methods, systems and computer readable media for providing a declarative network monitoring environment |
| US11379588B2 (en) | 2019-12-20 | 2022-07-05 | Raytheon Company | System validation by hardware root of trust (HRoT) device and system management mode (SMM) |
| US11615181B2 (en) | 2021-03-30 | 2023-03-28 | Netapp, Inc. | Methods for managing verification and validation of third-party code and devices thereof |
| US11586725B2 (en) * | 2021-03-30 | 2023-02-21 | Netapp, Inc. | Methods for managing verification and validation of third-party code and devices thereof |
| US11681520B2 (en) * | 2021-04-20 | 2023-06-20 | International Business Machines Corporation | Software upgrading using dynamic link library injection |
| US20230061511A1 (en) * | 2021-08-30 | 2023-03-02 | International Business Machines Corporation | Inaccessible prefix pages during virtual machine execution |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1443379A2 (en) * | 2002-12-28 | 2004-08-04 | Curitel Communications, Inc. | Mobile communication system and mobile terminal having function of desactivating mobile communication viruses and method thereof |
| US20100251363A1 (en) * | 2009-03-24 | 2010-09-30 | Rade Todorovic | Modified file tracking on virtual machines |
| US20110004935A1 (en) * | 2008-02-01 | 2011-01-06 | Micha Moffie | Vmm-based intrusion detection system |
| CN102122330A (zh) * | 2011-01-24 | 2011-07-13 | 中国人民解放军国防科学技术大学 | 基于虚拟机的“In-VM”恶意代码检测系统 |
| CN102332072A (zh) * | 2010-11-01 | 2012-01-25 | 卡巴斯基实验室封闭式股份公司 | 用于检测恶意软件和管理恶意软件相关信息的系统和方法 |
| US20120254993A1 (en) * | 2011-03-28 | 2012-10-04 | Mcafee, Inc. | System and method for virtual machine monitor based anti-malware security |
| CN102799817A (zh) * | 2011-06-30 | 2012-11-28 | 卡巴斯基实验室封闭式股份公司 | 用于使用虚拟化技术进行恶意软件保护的系统和方法 |
| CN103500304A (zh) * | 2013-10-13 | 2014-01-08 | 西安电子科技大学 | 基于Xen的虚拟机个性化安全监控系统及监控方法 |
| US20140096131A1 (en) * | 2012-09-28 | 2014-04-03 | Adventium Enterprises | Virtual machine services |
| CN104025107A (zh) * | 2011-11-02 | 2014-09-03 | 比特梵德知识产权管理有限公司 | 模糊列入白名单反恶意软件系统及方法 |
| CN104169939A (zh) * | 2013-11-12 | 2014-11-26 | 华为技术有限公司 | 一种实现虚拟化安全的方法和系统 |
| US9009836B1 (en) * | 2014-07-17 | 2015-04-14 | Kaspersky Lab Zao | Security architecture for virtual machines |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5960170A (en) * | 1997-03-18 | 1999-09-28 | Trend Micro, Inc. | Event triggered iterative virus detection |
| JP2001222414A (ja) * | 2000-02-09 | 2001-08-17 | Dainippon Printing Co Ltd | Dtpツール自動更新システム |
| US7496961B2 (en) | 2003-10-15 | 2009-02-24 | Intel Corporation | Methods and apparatus to provide network traffic support and physical security support |
| JP4624181B2 (ja) * | 2004-07-28 | 2011-02-02 | 株式会社エヌ・ティ・ティ・データ | 不正アクセス対策制御装置および不正アクセス対策制御プログラム |
| US8024568B2 (en) | 2005-01-28 | 2011-09-20 | Citrix Systems, Inc. | Method and system for verification of an endpoint security scan |
| US20080320594A1 (en) | 2007-03-19 | 2008-12-25 | Xuxian Jiang | Malware Detector |
| US7797748B2 (en) | 2007-12-12 | 2010-09-14 | Vmware, Inc. | On-access anti-virus mechanism for virtual machine architecture |
| US7979260B1 (en) * | 2008-03-31 | 2011-07-12 | Symantec Corporation | Simulating PXE booting for virtualized machines |
| US8443363B1 (en) * | 2008-05-30 | 2013-05-14 | Symantec Corporation | Coordinated virtualization activities |
| US9098698B2 (en) | 2008-09-12 | 2015-08-04 | George Mason Research Foundation, Inc. | Methods and apparatus for application isolation |
| JP4589996B2 (ja) * | 2008-10-14 | 2010-12-01 | 株式会社セキュアウェア | データ処理方法、データ処理装置、コンピュータプログラム、及び記録媒体 |
| US8850571B2 (en) * | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
| US8544089B2 (en) * | 2009-08-17 | 2013-09-24 | Fatskunk, Inc. | Auditing a device |
| JP5725529B2 (ja) * | 2010-07-21 | 2015-05-27 | 日本電気株式会社 | Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム |
| US20120144489A1 (en) * | 2010-12-07 | 2012-06-07 | Microsoft Corporation | Antimalware Protection of Virtual Machines |
| US8819833B2 (en) * | 2011-03-01 | 2014-08-26 | Honeywell International Inc. | Assured pipeline threat detection |
| US8566899B2 (en) * | 2011-03-16 | 2013-10-22 | Symantec Corporation | Techniques for securing a checked-out virtual machine in a virtual desktop infrastructure |
| US8813227B2 (en) | 2011-03-29 | 2014-08-19 | Mcafee, Inc. | System and method for below-operating system regulation and control of self-modifying code |
| US8601583B1 (en) * | 2011-04-14 | 2013-12-03 | Trend Micro Incorporated | Certification of virtual machine images in cloud computing environments |
| US9298910B2 (en) * | 2011-06-08 | 2016-03-29 | Mcafee, Inc. | System and method for virtual partition monitoring |
| US20130312096A1 (en) | 2012-05-18 | 2013-11-21 | Vmware, Inc. | On-demand data scan in a virtual machine |
| RU2568282C2 (ru) * | 2014-04-18 | 2015-11-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обеспечения отказоустойчивости антивирусной защиты, реализуемой в виртуальной среде |
| US9798882B2 (en) * | 2014-06-06 | 2017-10-24 | Crowdstrike, Inc. | Real-time model of states of monitored devices |
| FR3022371A1 (fr) * | 2014-06-11 | 2015-12-18 | Orange | Procede de supervision de la securite d'une machine virtuelle dans une architecture d'informatique dans le nuage |
| JP2014225302A (ja) * | 2014-09-08 | 2014-12-04 | 富士通株式会社 | ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ |
| US9608909B1 (en) * | 2015-06-08 | 2017-03-28 | Cisco Technology, Inc. | Technique for mitigating effects of slow or stuck virtual machines in fibre channel communications networks |
-
2016
- 2016-12-19 ES ES16825369T patent/ES2762988T3/es active Active
- 2016-12-19 EP EP16825369.8A patent/EP3391274B1/en active Active
- 2016-12-19 US US15/383,082 patent/US10630643B2/en active Active
- 2016-12-19 WO PCT/EP2016/081697 patent/WO2017103254A1/en active Application Filing
- 2016-12-19 CN CN201680073890.6A patent/CN108369625B/zh active Active
- 2016-12-19 KR KR1020187015228A patent/KR102301721B1/ko active IP Right Grant
- 2016-12-19 JP JP2018532300A patent/JP6772270B2/ja active Active
- 2016-12-19 CA CA3006003A patent/CA3006003C/en active Active
- 2016-12-19 SG SG11201804327TA patent/SG11201804327TA/en unknown
- 2016-12-19 AU AU2016369460A patent/AU2016369460B2/en active Active
- 2016-12-19 RU RU2018126207A patent/RU2714607C2/ru active
-
2018
- 2018-05-14 IL IL259344A patent/IL259344B/en active IP Right Grant
- 2018-11-05 HK HK18114095.5A patent/HK1254985A1/zh unknown
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1443379A2 (en) * | 2002-12-28 | 2004-08-04 | Curitel Communications, Inc. | Mobile communication system and mobile terminal having function of desactivating mobile communication viruses and method thereof |
| US20110004935A1 (en) * | 2008-02-01 | 2011-01-06 | Micha Moffie | Vmm-based intrusion detection system |
| US20100251363A1 (en) * | 2009-03-24 | 2010-09-30 | Rade Todorovic | Modified file tracking on virtual machines |
| CN102332072A (zh) * | 2010-11-01 | 2012-01-25 | 卡巴斯基实验室封闭式股份公司 | 用于检测恶意软件和管理恶意软件相关信息的系统和方法 |
| CN102122330A (zh) * | 2011-01-24 | 2011-07-13 | 中国人民解放军国防科学技术大学 | 基于虚拟机的“In-VM”恶意代码检测系统 |
| US20120254993A1 (en) * | 2011-03-28 | 2012-10-04 | Mcafee, Inc. | System and method for virtual machine monitor based anti-malware security |
| CN102799817A (zh) * | 2011-06-30 | 2012-11-28 | 卡巴斯基实验室封闭式股份公司 | 用于使用虚拟化技术进行恶意软件保护的系统和方法 |
| CN104025107A (zh) * | 2011-11-02 | 2014-09-03 | 比特梵德知识产权管理有限公司 | 模糊列入白名单反恶意软件系统及方法 |
| US20140096131A1 (en) * | 2012-09-28 | 2014-04-03 | Adventium Enterprises | Virtual machine services |
| CN103500304A (zh) * | 2013-10-13 | 2014-01-08 | 西安电子科技大学 | 基于Xen的虚拟机个性化安全监控系统及监控方法 |
| CN104169939A (zh) * | 2013-11-12 | 2014-11-26 | 华为技术有限公司 | 一种实现虚拟化安全的方法和系统 |
| US9009836B1 (en) * | 2014-07-17 | 2015-04-14 | Kaspersky Lab Zao | Security architecture for virtual machines |
Non-Patent Citations (2)
| Title |
|---|
| CHRIS BENNINGER 等: "Maitland: Lighter-Weight VM Introspection to Support Cyber-security in the Cloud", 《2012 IEEE FIFTH INTERNATIONAL CONFERENCE ON CLOUD COMPUTING》 * |
| 罗培红 等: "移动自组织网络中内部丢包的检测模型", 《信息安全》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115794604A (zh) * | 2022-10-14 | 2023-03-14 | 寒武纪行歌(南京)科技有限公司 | 数据生成方法、装置、设备、介质及程序产品 |
| CN115794604B (zh) * | 2022-10-14 | 2024-04-19 | 寒武纪行歌(南京)科技有限公司 | 数据生成方法、装置、设备、介质及程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| ES2762988T3 (es) | 2020-05-26 |
| AU2016369460A1 (en) | 2018-06-07 |
| CA3006003C (en) | 2021-11-23 |
| IL259344B (en) | 2021-06-30 |
| SG11201804327TA (en) | 2018-07-30 |
| KR102301721B1 (ko) | 2021-09-15 |
| JP6772270B2 (ja) | 2020-10-21 |
| IL259344A (en) | 2018-07-31 |
| CN108369625B (zh) | 2022-03-04 |
| US20170180318A1 (en) | 2017-06-22 |
| CA3006003A1 (en) | 2017-06-22 |
| RU2018126207A (ru) | 2020-01-20 |
| KR20180097527A (ko) | 2018-08-31 |
| RU2714607C2 (ru) | 2020-02-18 |
| EP3391274A1 (en) | 2018-10-24 |
| EP3391274B1 (en) | 2019-10-02 |
| JP2018538633A (ja) | 2018-12-27 |
| AU2016369460B2 (en) | 2021-07-01 |
| RU2018126207A3 (zh) | 2020-01-24 |
| HK1254985A1 (zh) | 2019-08-02 |
| US10630643B2 (en) | 2020-04-21 |
| WO2017103254A1 (en) | 2017-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108369625A (zh) | 用于保护多个网络端点的双重存储器内省 | |
| US11720678B2 (en) | Systems and methods for ransomware detection and mitigation | |
| US9954872B2 (en) | System and method for identifying unauthorized activities on a computer system using a data structure model | |
| US11163878B2 (en) | Integrity, theft protection and cyber deception using a deception-based filesystem | |
| CN109766699A (zh) | 操作行为的拦截方法及装置、存储介质、电子装置 | |
| CN106557701B (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
| WO2017013589A1 (en) | Decoy and deceptive data object technology | |
| CN108475217A (zh) | 用于审计虚拟机的系统及方法 | |
| CN107851155A (zh) | 用于跨越多个软件实体跟踪恶意行为的系统及方法 | |
| Firoozjaei et al. | An evaluation framework for industrial control system cyber incidents | |
| JP2015522874A (ja) | カーネルレベル・セキュリティ・エージェント | |
| DE112018004465T5 (de) | Systeme und Verfahren zum Überwachen eines Köders für den Schutz von Benutzern vor Sicherheitsbedrohungen | |
| CN109074450A (zh) | 威胁防御技术 | |
| US11122079B1 (en) | Obfuscation for high-performance computing systems | |
| Geetha et al. | Malware Detection In Smartphone As An Information Security | |
| Lawal et al. | Forensic implication of a cyber-enabled fraud taking advantage of an offline Adversary-in-the-Middle (AiTM) attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1254985 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |