CN110832487B - 经由代理应用进行的计算设备监视 - Google Patents
经由代理应用进行的计算设备监视 Download PDFInfo
- Publication number
- CN110832487B CN110832487B CN201780092731.5A CN201780092731A CN110832487B CN 110832487 B CN110832487 B CN 110832487B CN 201780092731 A CN201780092731 A CN 201780092731A CN 110832487 B CN110832487 B CN 110832487B
- Authority
- CN
- China
- Prior art keywords
- computing device
- proxy application
- firmware
- instructions
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims description 18
- 230000004044 response Effects 0.000 claims abstract description 23
- 230000008859 change Effects 0.000 claims description 15
- 238000013475 authorization Methods 0.000 claims description 11
- 230000004913 activation Effects 0.000 claims description 6
- 230000007958 sleep Effects 0.000 claims description 4
- 230000003213 activating effect Effects 0.000 claims 1
- 238000009434 installation Methods 0.000 abstract description 10
- 238000010586 diagram Methods 0.000 description 12
- 230000005540 biological transmission Effects 0.000 description 10
- 230000002155 anti-virotic effect Effects 0.000 description 7
- 238000000034 method Methods 0.000 description 6
- 238000005067 remediation Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006266 hibernation Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009849 deactivation Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3495—Performance evaluation by tracing or monitoring for systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Stored Programmes (AREA)
Abstract
示例计算设备包括处理器、第一存储设备和第二存储设备。第二存储设备存储用于实现固件的指令。固件用于将代理应用安装到第一存储设备中。固件还用于在安装代理应用之后激活代理应用。固件进一步用于响应于接收到清单文件,指示代理应用基于清单文件来监视计算设备。
Description
背景技术
如今,计算设备面临多种威胁,诸如计算机病毒、未授权的访问等。为了保护计算设备免受威胁,信息技术(IT)管理员可以使用不同的工具。例如,所述工具可能包括防病毒(anti-virus)应用、防火墙和软件更新。
附图说明
关于以下附图描述本申请的一些示例:
图1图示了根据示例的包括用于监视计算设备的代理应用的计算设备的框图;
图2图示了根据另一示例的包括用于监视计算设备的代理应用的计算设备的框图;
图3A图示了根据示例的指示不符合(non-compliance)事件的不符合消息;
图3B图示了根据示例的指示对不符合事件的补救的状态更新消息;
图4图示了根据另一示例的包括用于控制代理应用来监视计算设备的固件的计算设备的框图;
图5图示了根据另一示例的包括用于控制代理应用来监视计算设备的固件的计算设备的框图;
图6图示了根据示例的包括用于监视计算设备的代理应用的计算设备的框图;以及
图7图示了根据另一示例的包括用于监视计算设备的代理应用的计算设备的框图。
具体实施方式
除了面临保护免受外部威胁(诸如计算机病毒)的挑战之外,IT管理员还面临确保计算设备符合组织的安全策略的挑战。在一些情况下,由于用户的有意或无意的动作,计算设备可能不符合安全策略。例如,用户可能无意关闭了防病毒应用。当不符合事件不是由外部威胁引起时,存在对快速补救不符合事件的需要。
本文中描述的示例提供了一种在计算设备上实施安全策略和补救不符合事件的方法。例如,计算设备可以包括处理器、第一存储设备和第二存储设备。第二存储设备可以存储用于实现固件的指令。固件可以将代理应用安装到第一存储设备中。固件还可以在安装代理应用之后激活代理应用。固件进一步可以响应于接收到清单文件,指示代理应用基于清单文件来监视计算设备。
在另一示例中,一种非暂时性计算机可读存储介质可以包括指令,所述指令在被执行时使得计算设备的处理器:从计算设备的固件将代理应用安装到计算设备的第一存储设备中;响应于从代理应用接收到请求,向代理应用传输授权值以建立安全协议;响应于接收到清单文件,经由第一安全协议指示代理应用基于清单文件来监视计算设备;以及经由安全协议从代理应用接收心跳消息,其中心跳消息指示代理应用的存在。
在另一示例中,一种非暂时性计算机可读存储介质可以包括指令,所述指令在被执行时使得计算设备的处理器:基于来自计算设备的固件的激活消息来配置代理应用,其中代理应用是从固件安装的;与固件建立安全协议;响应于从固件接收到通知消息,基于清单文件来监视计算设备;以及响应于基于清单文件检测到不符合事件,向计算设备的操作系统传输不符合消息。
图1图示了根据示例的包括用于监视计算设备的代理应用的计算设备100的框图。计算设备100可以是例如基于web的服务器、局域网服务器、基于云的服务器、笔记本计算机、台式计算机、一体化(all-in-one)系统、平板计算设备、移动电话、电子书阅读器或适合于执行代理应用以监视计算设备100的任何其他电子设备。
计算设备100可以包括处理器102、第一存储设备104和第二存储设备106。处理器102可以与第一存储设备104和/或第二存储设备106通信。处理器102可以控制计算设备100的操作。存储设备104和106可以存储数据。在一些示例中,可以使用非易失性存储器来实现存储设备104和106,所述非易失性存储器诸如硬盘驱动器、固态存储器、闪存、电可擦除可编程只读存储器(EEPROM)等。
计算设备100可以进一步包括存储在第二存储设备106中的固件108。固件108可以控制计算设备100的低级操作,诸如在引导期间的硬件启动。在示例中,固件108可以被实现为计算设备100的基本输入/输出系统(BIOS)。可以使用可由处理器102执行的指令来实现固件108。
在操作期间,当计算设备100正在引导时,固件108可以使用代理应用110的安装数据(例如,编译的二进制文件)将代理应用110安装到第一存储设备104中。在安装之后,固件108可以激活代理应用110。响应于接收到清单文件112,固件108可以指示代理应用110基于清单文件112来监视计算设备100。
在一些示例中,安装数据也可以被存储在第二存储设备106中。在一些示例中,安装数据可以被包括作为固件108的部分。在一些示例中,安装数据可以被存储在固件108可以访问以执行安装的另一个设备中。
在一些示例中,可以使用可由处理器102执行的指令来实现代理应用110。如图2中更详细描述的,代理应用110可以基于清单文件112来监视计算设备。清单文件112可以被存储在第二存储设备106中。计算设备100可以从诸如IT管理员、服务器或计算设备100的用户的外部源接收清单文件112。
清单文件112可以描述代理应用110要监视的(一个或多个)条目。清单文件112还可以描述在监视的条目的生命周期期间要维护的每个条目的状态。(一个或多个)监视的条目的示例可以包括:
应用(例如,服务或进程),其中维护的状态是该应用正在计算设备100处运行或执行,
计算设备100处的注册表项,其中维护的状态是具有特定值的注册表项,
文件,其中维护的状态是在计算设备100处的文件的存在和/或在特定日期中的文件的创建,
防病毒应用,其中维护的状态是防病毒应用在计算设备100处是活跃的和/或具有在特定日期之后的最后升级日期,
防火墙策略,其中维护的状态是防火墙在计算设备100处是活跃的和/或具有在特定数据之后的最后升级日期,或其组合。因此,当代理应用110要基于清单文件112监视计算设备100时,代理应用110要观察清单文件112中每个条目的状态,并将观察到的状态与清单文件112中相应的维护状态进行比较。当观察到的状态不同于维持的状态时,该差异是不符合事件。
转向图2。图2图示了根据另一示例的包括用于监视计算设备100的代理应用110的计算设备100的框图。如图1中描述的,固件108可以在计算设备100的引导操作期间将代理应用110安装到第一存储设备104中。在一些示例中,固件108可以将代理应用110作为服务安装在计算设备100的操作系统202中。
一旦安装了代理应用110,代理应用110就可以是休眠的。即,即使当操作系统202正在执行时,代理应用110也可能不执行。为了使得代理应用110能够监视计算设备100,可以使用多个安全协议。如本文中所使用的,安全协议可以意味着加密机制,诸如公钥密码术。例如,三个密码术密钥被用于使得代理应用110能够监视计算设备100:签名密钥(未示出)、背书(endorsement)密钥(未示出)和传输密钥208。
签名密钥可被用于对向固件108发出的命令进行签名,以控制代理应用110。背书密钥可被用于对发送到固件108的解激活命令进行签名,以解激活和/或从计算设备100移除代理应用110。传输密钥208可被用于加密和解密固件108和代理应用110之间的心跳消息交换。下面更详细地描述与传输密钥208和心跳消息相关联的操作。
签名密钥和背书密钥可以在计算设备100本地生成,或者在服务器处远程生成。在一些示例中,当固件108已经具有签名密钥和背书密钥的指数时,签名密钥模数(modulus)204和背书密钥模数206可以被发送到固件108。在一些示例中,签名密钥模数204和背书密钥模数206可以被存储在第二存储设备106中。在一些示例中,签名密钥模数204和背书密钥模数206可以被存储在固件108可以访问的计算设备100的另一存储设备中。在一些示例中,签名密钥(即模数和指数)和背书密钥(即模数和指数)可以被发送到固件108。
固件108可以接收激活命令210,该激活命令210指示固件108激活代理应用110。激活命令210还可以包括代理应用110的配置数据212。例如,配置数据212可以指示代理应用110的心跳周期有多长(例如,代理应用110多频繁地向固件108发送心跳消息)。响应于接收到激活命令210,固件108可以传输包括配置数据212的激活消息214来激活代理应用110。响应于接收到激活消息214,代理应用110可以基于激活消息来配置代理应用110的设置。代理应用110可以从休眠状态变为活跃状态。
当被激活时,代理应用110可以开始在操作系统202中执行。代理应用110还可以向固件108传输请求216,以请求授权值218。响应于接收到请求216,固件108可以向代理应用110传输授权值218。代理应用110可以使用授权值218来生成传输密钥208。代理应用110可以使用传输密钥208来使能代理应用110和固件108之间的心跳消息交换,如下面更详细描述的那样。
当代理应用110已经生成传输密钥208时,代理应用110可以向固件108传输传输密钥模数220。固件108可以使用传输密钥模数220和授权值218来创建传输密钥208的副本。固件108可以使用传输密钥208来加密心跳消息,以生成加密的心跳消息222。固件108可以向代理应用110传输加密的心跳消息222。
响应于接收到加密的心跳消息222,代理应用110可以解密加密的心跳消息222,以生成心跳消息224。代理应用110可以基于心跳周期向固件108传输心跳消息224。心跳消息224可以指示代理应用110的存在。因此,当固件108接收到心跳消息224时,固件108可以知道代理应用110正在正确执行并且没有进一步的动作要被采取。心跳消息的交换将周期性地重复。在一些示例中,心跳消息的交换将基于心跳周期来重复。
当固件108在心跳周期的期满时检测到不存在来自代理应用110的特定心跳消息时,固件108可以经由处理器102改变计算设备100的状态,因为该不存在可以指示代理应用110已经停止执行或者未正在正确执行。固件108还可以在计算设备100的重新引导时重新安装代理应用110。在一些示例中,心跳消息的不存在也可以指示不符合事件的失败补救,如下面更详细描述的那样。
在一些示例中,改变计算设备100的状态可以包括:将计算设备100设置为休眠模式,关闭计算设备100/将计算设备100断电,暂停对计算设备100的访问(例如,经由锁定屏幕来锁定操作系统202),执行操作系统恢复操作(例如,重新安装操作系统202)或其组合。在一些示例中,当固件108要改变计算设备100的状态时,处理器102可以指示计算设备100的控制器226执行该改变。
当固件108接收到清单文件112时,固件108可以向代理应用110传输通知消息228。通知消息228可以指示代理应用110访问清单文件112并开始基于清单文件112来监视计算设备100。因此,基于清单文件112中要监视的条目的列表,代理应用110可以针对任何不符合事件(即,清单文件112中的任何条目,其中观察到的状态不同于该条目的维护状态)来监视计算设备100。
当代理应用110检测到不符合事件时,代理应用110可以基于清单文件112采取动作来补救不符合事件。不符合事件补救的一些示例可以包括:
服务:如果根据清单文件112应该运行的服务已经停止,则代理应用110将自动重新启动该服务;
进程:如果根据清单文件112应该运行的进程已经被关闭,则代理应用110将自动重新启动该进程;
注册表项:如果注册表项被删除或密钥具有如与清单文件112中指示的值相比变化的它的值,则代理应用110将自动重新创建该项和/或重置该项的值;
文件:如果文件被修改或删除(例如,配置文件),则代理应用110将自动恢复该文件;
防病毒应用或防火墙策略:如果应该运行的防病毒应用或防火墙被关闭或解激活,则代理应用110将自动使能该防病毒应用或防火墙。如果最后更新日期在清单文件112中指示的日期之前,则代理应用110将搜索并应用最新更新。
在一些示例中,当代理应用110检测到不符合事件时,代理应用110可以将不符合事件记录在日志文件230(例如,Windows事件日志)中。在一些示例中,当代理应用110未能补救不符合事件时,则代理应用110可以停止向固件108发送心跳消息,以指示未能被补救的不符合事件。在一些示例中,当代理应用110未能补救不符合事件时,代理应用110可以向固件108发送心跳消息(例如,心跳消息224),该心跳消息包括关于不符合事件的失败补救的信息。当固件108检测到不符合事件的失败补救时,固件108可以以上面描述的方式改变计算设备100的状态。
在一些示例中,当代理应用110检测到不符合事件时,代理应用110可以向操作系统202传输不符合消息232。不符合消息232可以包括不符合事件的信息。操作系统202可以显示不符合消息232,以向计算设备100的用户通知不符合事件。当代理应用110已经补救了不符合事件时,代理应用110可以向操作系统202传输状态更新消息234。状态更新消息234可以包括关于不符合事件的补救的信息。操作系统202可以显示状态更新消息234,以通知用户不符合事件已经被补救。在图3A-3B中更详细地描述了不符合消息232和状态更新消息234的示例。
图3A图示了根据示例的指示不符合事件的不符合消息302。在图3A中,不符合消息302可以指示热键服务未正在运行。因此,用户可能知道不符合事件已经发生,并且不符合事件是热键服务已经停止运行。
图3B图示了根据示例的指示对不符合事件的补救的状态更新消息304。在图3B中,状态更新消息304可以指示热键服务现在正在运行。因此,用户可能知道特定的不符合事件已经被补救。
图4图示了根据另一示例的计算设备400的框图,该计算设备400包括用于控制代理应用来监视计算设备的固件。计算设备400可以实现图1-2的计算设备100。计算设备400可以包括处理器402、计算机可读存储介质404和存储设备406。
处理器402是中央处理单元(CPU)、基于半导体的微处理器和/或适合于控制计算设备400的操作的其他硬件设备。计算机可读存储介质404可以是包含或存储可执行指令的任何电子、磁、光或其他物理存储设备。因此,计算机可读存储介质404可以是例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储设备、光盘等。在一些示例中,计算机可读存储介质404可以是非暂时性存储介质,其中术语“非暂时性”不包含暂时性传播信号。如下面详细描述的那样,计算机可读存储介质404可以用一系列可执行指令408-414来编码。在一些示例中,计算机可读存储介质404可以实现图1-2的第二存储设备406。存储设备406可以是任何非易失性存储器,诸如EEPROM、闪存等。在一些示例中,存储设备406可以实现图1-2的第一存储设备104。
代理应用安装指令408可以在计算设备400的引导期间将代理应用安装到存储设备406中。例如,参考图1,当计算设备100正在引导时,固件108可以使用代理应用110的安装数据(例如,编译的二进制文件)将代理应用110安装到第一存储设备104中。
授权值传输指令410可以向代理应用传输授权值(例如密码)。例如,参考图2,响应于接收到请求216,固件108可以向代理应用110传输授权值218。代理应用指示指令412可以指示代理应用监视计算设备400。例如,参考图2,当固件108接收到清单文件112时,固件108可以向代理应用110传输通知消息228。通知消息228可以指示代理应用110访问清单文件112,并开始基于清单文件112来监视计算设备100。
心跳消息接收指令114可以从代理应用接收心跳消息。例如,参考图2,当固件108接收到心跳消息224时,固件108可以知道代理应用110正在正确执行并且没有进一步的动作要被采取。
图5图示了根据另一示例的计算设备400的框图,该计算设备400包括用于控制代理应用来监视计算设备的固件。如图5中所示,计算机可读存储介质404可以用指令408-414来编码。计算机可读存储介质404也可以用计算设备状态改变指令416来编码。计算设备状态改变指令416可以改变计算设备400的状态。例如,参考图2,当固件108在心跳周期的期满时检测到不存在来自代理应用110的特定心跳消息时,固件108可以经由处理器102来改变计算设备100的状态
在一些示例中,计算设备状态改变指令416可以包括将计算设备400设置为休眠状态的计算设备休眠指令418。计算设备状态改变指令416还可以包括关闭计算设备400/将计算设备400断电的计算设备关闭指令420。计算设备状态改变指令416可以进一步包括暂停对计算设备400的访问的计算设备暂停访问指令422。计算设备状态改变指令416可以进一步包括重新安装计算设备400的操作系统的操作系统恢复指令424。例如,参考图2,改变计算设备100的状态可以包括:将计算设备100设置为休眠模式,关闭计算设备100/将计算设备100断电,暂停对计算设备100的访问(例如,经由锁定屏幕来锁定操作系统202),执行操作系统恢复操作(例如,重新安装操作系统202)或其组合。
图6图示了根据示例的计算设备600的框图,该计算设备600包括用于监视计算设备的代理应用。计算设备600可以实现图1-2的计算设备100。计算设备600可以包括处理器402和计算机可读存储介质602。计算机可读存储介质602可以类似于图4-5的计算机可读存储介质404。在一些示例中,计算机可读存储介质602可以实现图1-2的第一存储设备104。计算机可读存储介质602可以用指令604-610来编码。
代理应用配置指令604可以配置代理应用的设置。例如,参考图2,响应于接收到激活消息214,代理应用110可以基于激活消息214来配置代理应用110的设置。安全协议建立指令606可以建立用于计算设备600的代理应用和固件之间的通信的安全协议。例如,参考图2,响应于接收到请求216,固件108可以向代理应用110传输授权值218。代理应用110可以使用授权值218来生成传输密钥208。代理应用110可以使用传输密钥208来使能代理应用110和固件108之间的心跳消息交换。
计算设备监视指令608可以基于清单文件来监视计算设备600。例如参考图2,基于清单文件112中要监视的条目的列表,代理应用110可以针对任何不符合事件来监视计算设备100。不符合消息传输指令610可以向计算设备600的操作系统传输消息,以指示不符合事件。例如,参考图2,当代理应用110检测到不符合事件时,代理应用110可以向操作系统202传输不符合消息232。不符合消息232可以包括不符合事件的信息。
图7图示了根据另一示例的计算设备600的框图,该计算设备600包括用于监视计算设备的代理应用。如图7中所示,计算机可读存储介质602可以用指令604-610来编码。计算机可读存储介质602也可以用指令702-708来编码。
不符合事件补救指令702可以补救如由代理应用检测到的不符合事件。例如,参考图2,当代理应用110检测到不符合事件时,代理应用110可以基于清单文件112采取动作来补救不符合事件。状态更新消息传输指令704可以向计算设备600的操作系统传输状态更新消息,以指示不符合事件已经被补救。例如,参考图2,当代理应用110已经补救了不符合事件时,代理应用110可以向操作系统202传输状态更新消息234。
不符合事件日志记录指令706可以将不符合事件日志记录在日志文件处。例如,参考图2,当代理应用110检测到不符合事件时,代理应用110可以将不符合事件记录在日志文件230(例如,Windows事件日志)中。心跳消息传输指令708可以向计算设备600的固件传输心跳消息。例如,参考图2,代理应用110可以基于心跳周期向固件108传输心跳消息224。
“包括”、“包含”或“具有”的使用是同义的,并且在本文中其变型意味着包括性或开放式的,并且不排除附加的未叙述的元件或方法步骤。
Claims (15)
1.一种计算设备,包括:
处理器;
第一存储设备;
第二存储设备,其存储用于实现固件的指令,其中,固件用于:
将代理应用安装到第一存储设备中;
在安装代理应用之后激活代理应用;
响应于接收到清单文件,指示代理应用基于清单文件来监视计算设备;
从代理应用接收心跳消息,其中心跳消息指示代理应用的存在;以及
响应于固件检测到不存在心跳消息,在计算设备重新引导时由固件重新安装代理应用。
2.根据权利要求1所述的计算设备,其中,代理应用用于监视与计算设备相关联的注册表项、在计算设备处的应用的状态、在计算设备处的文件的状态或其组合。
3.根据权利要求1所述的计算设备,其中,第一存储设备和第二存储设备是非易失性存储器。
4.根据权利要求1所述的计算设备,其中,在计算设备的引导操作期间安装代理应用。
5.根据权利要求1所述的计算设备,其中,清单文件被存储在第二存储设备中。
6.一种包括指令的非暂时性计算机可读存储介质,所述指令在被执行时使得计算设备的处理器:
从计算设备的固件将代理应用安装到计算设备的第一存储设备中;
响应于从代理应用接收到请求,向代理应用传输授权值以建立安全协议;
响应于接收到清单文件,经由安全协议指示代理应用基于清单文件来监视计算设备;
经由安全协议从代理应用接收心跳消息,其中心跳消息指示代理应用的存在;以及
响应于固件检测到不存在心跳消息,在计算设备重新引导时由固件重新安装代理应用。
7.根据权利要求6所述的非暂时性计算机可读存储介质,其中,所述指令在被执行时进一步使得处理器响应于在心跳周期的期满时检测到不存在特定心跳消息而改变计算设备的状态。
8.根据权利要求7所述的非暂时性计算机可读存储介质,其中,用于改变计算设备的状态的指令包括:
用于将计算设备设置为休眠模式的指令,
用于关闭计算设备的指令,
用于暂停对计算设备的访问的指令,
用于执行操作系统恢复操作的指令,或其组合。
9.根据权利要求7所述的非暂时性计算机可读存储介质,其中,用于改变计算设备的状态的指令包括用于向计算设备的控制器传输消息的指令,其中,所述消息用于指示控制器将计算设备设置为休眠模式、关闭计算设备、暂停对计算设备的访问、执行操作系统恢复操作或其组合。
10.根据权利要求6所述的非暂时性计算机可读存储介质,其中,用于监视计算设备的指令包括用于监视与计算设备相关联的注册表项、在计算设备处的应用的状态、在计算设备处的文件的状态或其组合的指令。
11.一种包括指令的非暂时性计算机可读存储介质,所述指令在被执行时使得计算设备的处理器:
基于来自计算设备的固件的激活消息来配置代理应用,其中,代理应用是从固件安装的;
与固件建立安全协议;
响应于从固件接收到通知消息,基于清单文件来监视计算设备;
响应于基于清单文件检测到不符合事件,向计算设备的操作系统传输不符合消息;
经由安全协议从代理应用接收心跳消息,其中心跳消息指示代理应用的存在;以及
响应于固件检测到心跳消息不存在,在计算设备重新引导时由固件重新安装代理应用。
12.根据权利要求11所述的非暂时性计算机可读存储介质,其中,所述指令在被执行时进一步使得处理器响应于检测到不符合事件而基于清单文件来补救不符合事件。
13.根据权利要求12所述的非暂时性计算机可读存储介质,其中,所述指令在被执行时进一步使得处理器响应于检测到不符合事件的补救而向操作系统传输状态更新消息。
14.根据权利要求11所述的非暂时性计算机可读存储介质,其中,所述指令在被执行时进一步使得处理器响应于检测到不符合事件而将不符合事件记录在日志文件中。
15.根据权利要求11所述的非暂时性计算机可读存储介质,其中,所述指令在被执行时进一步使得处理器经由安全协议向固件传输心跳消息。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2017/040013 WO2019005073A1 (en) | 2017-06-29 | 2017-06-29 | COMPUTER DEVICE MONITORING VIA AGENT APPLICATIONS |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110832487A CN110832487A (zh) | 2020-02-21 |
CN110832487B true CN110832487B (zh) | 2024-04-16 |
Family
ID=64742048
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780092731.5A Active CN110832487B (zh) | 2017-06-29 | 2017-06-29 | 经由代理应用进行的计算设备监视 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11074056B2 (zh) |
EP (1) | EP3646220B1 (zh) |
CN (1) | CN110832487B (zh) |
WO (1) | WO2019005073A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11636214B2 (en) * | 2020-12-11 | 2023-04-25 | Hewlett Packard Enterprise Development Lp | Memory scan-based process monitoring |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101252585A (zh) * | 2007-05-08 | 2008-08-27 | 飞塔信息科技(北京)有限公司 | 对使用远程文件系统访问协议的数据进行内容过滤的方法与系统 |
CN102054138A (zh) * | 2009-10-30 | 2011-05-11 | 英特尔公司 | 向经过认证的防病毒代理提供扫描存储器的直接访问权 |
CN102938039A (zh) * | 2011-09-09 | 2013-02-20 | 微软公司 | 针对应用的选择性文件访问 |
CN103530563A (zh) * | 2012-08-10 | 2014-01-22 | 卡巴斯基实验室封闭式股份公司 | 用于更新经授权软件的系统和方法 |
US9436820B1 (en) * | 2004-08-02 | 2016-09-06 | Cisco Technology, Inc. | Controlling access to resources in a network |
CN106415584A (zh) * | 2014-03-11 | 2017-02-15 | 赛门铁克公司 | 移动设备恶意软件的预安装检测系统和方法 |
CN106559358A (zh) * | 2015-09-29 | 2017-04-05 | 联想企业解决方案(新加坡)有限公司 | 用于网络虚拟化的逻辑交换机架构 |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7953980B2 (en) * | 2005-06-30 | 2011-05-31 | Intel Corporation | Signed manifest for run-time verification of software program identity and integrity |
US8364973B2 (en) * | 2007-12-31 | 2013-01-29 | Intel Corporation | Dynamic generation of integrity manifest for run-time verification of software program |
US8347348B2 (en) | 2008-03-31 | 2013-01-01 | Lenovo (Singapore) Pte. Ltd. | Apparatus, system, and method for pre-boot policy modification |
US8578483B2 (en) | 2008-07-31 | 2013-11-05 | Carnegie Mellon University | Systems and methods for preventing unauthorized modification of an operating system |
US8556991B2 (en) | 2008-08-08 | 2013-10-15 | Absolute Software Corporation | Approaches for ensuring data security |
US9038056B1 (en) * | 2009-03-31 | 2015-05-19 | Avaya Inc. | Method and apparatus for performing automatable software upgrades using a lightweight serviceless install agent |
US8856292B2 (en) * | 2009-10-27 | 2014-10-07 | Cisco Technology, Inc. | Managing command compliance in internetworking devices |
US20110099547A1 (en) | 2009-10-28 | 2011-04-28 | Gaurav Banga | Approaches for installing software using bios |
US20110161452A1 (en) | 2009-12-24 | 2011-06-30 | Rajesh Poornachandran | Collaborative malware detection and prevention on mobile devices |
US8712596B2 (en) * | 2010-05-20 | 2014-04-29 | Accenture Global Services Limited | Malicious attack detection and analysis |
CN103827881B (zh) | 2011-03-09 | 2017-12-12 | 爱迪德技术有限公司 | 用于设备操作系统中的动态平台安全的方法和系统 |
US8966624B2 (en) * | 2011-03-31 | 2015-02-24 | Mcafee, Inc. | System and method for securing an input/output path of an application against malware with a below-operating system security agent |
US20120254993A1 (en) * | 2011-03-28 | 2012-10-04 | Mcafee, Inc. | System and method for virtual machine monitor based anti-malware security |
RU2460132C1 (ru) | 2011-06-28 | 2012-08-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для контроля доступа к ресурсам корпоративной сети для персональных компьютеров |
US9081951B2 (en) * | 2011-09-29 | 2015-07-14 | Oracle International Corporation | Mobile application, identity interface |
WO2013059870A1 (en) | 2011-10-25 | 2013-05-02 | Agent Smith Pty Ltd | System and method for maintaining network compliance |
US20130174214A1 (en) * | 2011-12-29 | 2013-07-04 | Imation Corp. | Management Tracking Agent for Removable Media |
GB2507357B (en) * | 2013-01-21 | 2016-04-20 | F Secure Corp | Agent based application reputation system for operating systems |
US9473420B2 (en) * | 2013-03-13 | 2016-10-18 | International Business Machines Corporation | Metrics and forwarding actions on logical switch partitions in a distributed network switch |
US9400642B2 (en) * | 2013-08-29 | 2016-07-26 | Mckesson Financial Holdings | Self-updating application agent |
US9936009B2 (en) * | 2014-05-22 | 2018-04-03 | Qualcomm Incorporated | Systems and methods of operating a device of a data path group network |
US10419886B2 (en) * | 2014-09-25 | 2019-09-17 | Intel Corporation | Context-based management of wearable computing devices |
US9684788B2 (en) * | 2015-06-29 | 2017-06-20 | International Business Machines Corporation | Self-repair and distributed-repair of applications |
US10878477B2 (en) * | 2015-12-31 | 2020-12-29 | Paypal, Inc. | Purchase recommendation system |
US10326841B2 (en) * | 2016-06-07 | 2019-06-18 | Vmware Inc. | Remote data securement on mobile devices |
US10404716B2 (en) * | 2017-02-13 | 2019-09-03 | Microsoft Technology Licensing, Llc | Data classification and access control for cloud based data |
-
2017
- 2017-06-29 US US16/089,082 patent/US11074056B2/en active Active
- 2017-06-29 CN CN201780092731.5A patent/CN110832487B/zh active Active
- 2017-06-29 WO PCT/US2017/040013 patent/WO2019005073A1/en unknown
- 2017-06-29 EP EP17915245.9A patent/EP3646220B1/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9436820B1 (en) * | 2004-08-02 | 2016-09-06 | Cisco Technology, Inc. | Controlling access to resources in a network |
CN101252585A (zh) * | 2007-05-08 | 2008-08-27 | 飞塔信息科技(北京)有限公司 | 对使用远程文件系统访问协议的数据进行内容过滤的方法与系统 |
CN102054138A (zh) * | 2009-10-30 | 2011-05-11 | 英特尔公司 | 向经过认证的防病毒代理提供扫描存储器的直接访问权 |
CN102938039A (zh) * | 2011-09-09 | 2013-02-20 | 微软公司 | 针对应用的选择性文件访问 |
CN103530563A (zh) * | 2012-08-10 | 2014-01-22 | 卡巴斯基实验室封闭式股份公司 | 用于更新经授权软件的系统和方法 |
CN106415584A (zh) * | 2014-03-11 | 2017-02-15 | 赛门铁克公司 | 移动设备恶意软件的预安装检测系统和方法 |
CN106559358A (zh) * | 2015-09-29 | 2017-04-05 | 联想企业解决方案(新加坡)有限公司 | 用于网络虚拟化的逻辑交换机架构 |
Also Published As
Publication number | Publication date |
---|---|
CN110832487A (zh) | 2020-02-21 |
EP3646220A1 (en) | 2020-05-06 |
US20200327235A1 (en) | 2020-10-15 |
EP3646220B1 (en) | 2023-06-07 |
EP3646220A4 (en) | 2021-01-27 |
US11074056B2 (en) | 2021-07-27 |
WO2019005073A1 (en) | 2019-01-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11340890B2 (en) | Integrity assurance and rebootless updating during runtime | |
CA3040115C (en) | Method and system for countering ransomware | |
US9389898B2 (en) | System and method for enforcement of security controls on virtual machines throughout life cycle state changes | |
US8566571B2 (en) | Pre-boot securing of operating system (OS) for endpoint evaluation | |
US8588422B2 (en) | Key management to protect encrypted data of an endpoint computing device | |
US9124640B2 (en) | Systems and methods for implementing computer security | |
US9195830B2 (en) | System and method for unattended computer system access | |
EP2393007B1 (en) | Processing device | |
US9930064B1 (en) | Network management security and protection system | |
CN113645179B (zh) | 配置虚拟实体的方法、计算机系统和存储介质 | |
US20190384914A1 (en) | Methods and apparatus to validate and restore machine configurations | |
CN114443084A (zh) | 将基板管理控制器的安全存储器虚拟化到主机计算设备 | |
CN110832487B (zh) | 经由代理应用进行的计算设备监视 | |
US11797679B2 (en) | Trust verification system and method for a baseboard management controller (BMC) | |
Papa et al. | Placement of trust anchors in embedded computer systems | |
CN114556343A (zh) | 经由物理接口的基板管理控制器固件的安全安装 | |
US11593490B2 (en) | System and method for maintaining trusted execution in an untrusted computing environment using a secure communication channel | |
EP3915030B1 (en) | Storage of network credentials |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |