CN111052114A - 入侵检测系统 - Google Patents
入侵检测系统 Download PDFInfo
- Publication number
- CN111052114A CN111052114A CN201880053153.9A CN201880053153A CN111052114A CN 111052114 A CN111052114 A CN 111052114A CN 201880053153 A CN201880053153 A CN 201880053153A CN 111052114 A CN111052114 A CN 111052114A
- Authority
- CN
- China
- Prior art keywords
- monitor
- target
- communication link
- memory structure
- controlled
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 18
- 238000004891 communication Methods 0.000 claims abstract description 25
- 238000013507 mapping Methods 0.000 claims description 6
- 239000004744 fabric Substances 0.000 claims description 5
- 238000000034 method Methods 0.000 description 12
- 230000006399 behavior Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000015556 catabolic process Effects 0.000 description 2
- 238000006731 degradation reaction Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 1
- 230000003116 impacting effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/544—Buffers; Shared memory; Pipes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/546—Message passing systems or structures, e.g. queues
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
Abstract
一种入侵检测系统,其包括监视器,其用于通过低等待时间通信链路从目标接收消息,所述低等待时间通信链路包括受控访问存储器结构,其使用点到点互连逻辑上定位在目标和监视器之间,该受控访问存储器结构用于从目标接收指示该目标已经进入受控操作模式的消息。
Description
背景技术
诸如操作系统(OS)的内核、虚拟化系统中的管理程序(hypervisor)或固件之类的低级执行环境可以直接访问系统硬件,并且是高度特权的。对其预期行为的更改(恶意的或非恶意的)可能对所讨论的系统的保密性、完整性或可用性具有不期望的后果。
附图说明
从以下结合附图的详细描述中,某些示例的各种特征将显而易见,该附图仅通过示例的方式一起图示了多个特征,并且其中:
图1是根据示例的入侵检测系统的示意性表示;
图2是根据示例的入侵检测系统的示意性表示;以及
图3是根据示例的与存储器相关联的处理器的示意性表示。
具体实施方式
在以下描述中,为了解释的目的,阐述了某些示例的多个特定细节。说明书中对“示例”或相似语言的引用意味着结合该示例所描述的特定特征、结构或特性包括在至少一个示例中,但是不一定在其它示例中。
在诸如计算设备或虚拟系统之类的执行环境中,诸如基础输入/输出系统(BIOS)或统一可扩展固件接口(UEFI)兼容固件之类的引导固件用于在将执行传送到OS之前测试并初始化硬件组件。
在虚拟化系统中,其中一个或多个虚拟机(VM)可以在物理硬件上实例化,管理程序或虚拟机监视器(VMM)用于分配硬件访问,并且向VM呈现OS的执行并进行管理。
在这些低级执行环境中的一个中执行的改变其原始预期行为(诸如跳过验证步骤)的任意指令可能损害系统的后续部分。因此,篡改这些环境对于可能试图用恶意软件感染它们的攻击者来说是有吸引力的。由于这些环境的性质以及它们的早期执行,这样的恶意软件可能变得持久、难以检测和去除,并且独立于OS。
例如,在x86指令集系统(其基于向后兼容的指令集架构族)上,CPU的高度特权执行模式(系统管理模式(SMM))可以修改包含引导固件的系统闪存。SMM的使用可以防止受损害的操作系统感染系统固件。
更具体地,在初始系统引导过程期间,并且在执行系统OS之前,引导固件可以将一些指令加载到所谓的系统管理RAM(SMRAM)中。这些指令对应于要在SMM中执行的特权功能。固件可以(使用硬件特征)锁定SMRAM和闪存,以防止被OS修改。
在引导过程和更新过程期间,使用密码签名也是可能的,使得由供应商的密钥签名的固件被执行。此外,可以在引导时间计算和存储引导过程的配置和组件的测量(密码散列),以证明平台的完整性。
虽然密码签名和测量在引导时间提供了指令和数据完整性,但是它们不能阻止攻击者在例如系统的运行时间利用SMM中的易损性(vulnerability)。因此,如果攻击者设法在SMM或另一个低级执行环境中执行恶意指令,则其可能创建OS不可检测到的恶意软件。
根据示例,提供了入侵检测系统(IDS),以检测在运行时间修改低级执行环境的预期行为的入侵。IDS可以用于在运行时间监视SMM的完整性,并且可以用于监视内核或VMM或其它低级执行环境。
系统的一部分使用监视器从形成系统的受监视组件的目标接收消息。在示例中,监视器通过使用协处理器与受监视组件隔离,所述协处理器是在结构上分离的设备。根据示例的IDS利用使得目标能够发送信息的通信信道来弥补监视器和目标之间的语义间隙。
图1是根据示例的入侵检测系统的示意性表示。监视器101可以通过低等待时间通信链路105从目标103接收消息。在示例中,监视器101可以是协处理器,并且是用于检测系统中的入侵的可信组件。对主系统的正常行为的任何更改都不影响监视器的完整性。
由监视器101提供的隔离意味着其中指令在目标103上执行的上下文的知识中的损失。在没有完整的上下文的情况下,在目标的实际行为的内容以及监视器101可以推断的内容之间可能存在语义间隙。例如,可能存在与虚拟到物理地址的映射或所采用的执行路径相关的知识缺口。根据示例,监视器101和目标103之间的通信信道105使得目标103能够向监视器101发送信息,以便缩小针对监视器101的语义间隙。
根据示例,呈现了以下属性:
数据完整性-如果消息被发送到监视器,则该消息之后可能不会被去除或修改。否则,如果攻击者损害目标,则其可以在消息被处理之前修改或去除消息,以隐藏其入侵。
按时间顺序的次序-消息在监视器处以它们从目标发射的次序被处理,否则,攻击者可能根据检测方法重新安排次序以逃避检测。
访问-当目标正在执行时,没有其它组件具有对通信信道的访问。否则,攻击者可以发送伪造合法行为的消息。
低等待时间-发送消息应该快速(例如,亚微秒),使得低级组件可以最小化执行其任务所花费的时间,以避免影响用户空间应用。
根据示例,在要在所考虑的低级执行环境(即,目标)上执行的指令的编译期间,可以使用仪表化(instrumentation)步骤来实现从目标103到监视器101的通信。这样的仪表化例如可以在编译器级别操作,或者如果不具有对源指令集的访问,则通过重写二进制来操作。
根据示例,仪表化可以在运行时间从在编译时间已知的位置处的目标获取信息。控制流完整性(CFI)是这样的仪表化的示例,其中编译器可以在不求助于开发者的情况下使二进制指令仪表化。根据示例的进一步仪表化可以是自组织(ad hoc)方法,该方法使用目标的源指令的手动修改,或者其可以提供诸如注释之类的其它信息。例如,如果攻击者可以修改它们的值,则类似CR3的x86控制寄存器可以改变系统的行为。寄存器的预期值是已知的,就像修改是合法的情况一样。因此,指令的仪表化部分可以用于向监视器发送这些寄存器的值。
图2是根据示例的入侵检测系统的示意性表示。监视器200可以通过低等待时间通信链路214从目标201接收消息211、213等等。
根据示例,监视器200可以是协处理器,该协处理器可以用作安全处理器以执行敏感任务,并且处理敏感数据(例如,密码密钥)。系统的主处理器不直接访问安全处理器存储器。因此,其不能访问敏感数据,但是可以经由通信信道查询协处理器以执行任务。
通信信道、链路或路径的等待时间可能影响用于从目标发送到监视器的每个消息的系统管理中断(SMI)处理程序(handler)的等待时间。可接受的等待时间可以约为150μs。快速和频繁的SMI导致性能(I/O吞吐量或CPU时间)的退化。另一方面,长且不频繁的SMI导致用户体验退化,其中使用USB设备的音频回放被驱动器认为无响应,并且例如可能发生游戏引擎中帧速率的严重下降。
因此,根据示例,受控访问存储器结构230可以使用点到点互连在逻辑上定位在目标和监视器之间,以便使得能够实现在目标和监视器之间的低等待时间通信路径。在示例中,存储器结构可以形成目标的一部分、监视器的一部分或是单独的组件,使得协处理器可以用作监视器而无需修改。因此,在该连接中,逻辑上定位指的是存储器结构被配置为从目标接收数据,以及将数据发送到监视器(或使数据从监视器提取),并且不阻止该结构在目标或监视器内形成,或者作为目标或监视器的一部分,或者作为系统中单独的组件。其它组件可能物理上位于目标和监视器之间。
在示例中,存储器结构可以使用受限访问先进先出(FIFO)队列,该队列允许目标推送以及监视器弹出消息。在示例中,FIFO可以接收在分组中碎片化的消息。FIFO可以存储由目标发送的正在等待由监视器处理的消息。
在示例中,存储器结构230可以处理写指针。因此,攻击者无法控制它,并且不具有对其存储器的访问,并且因此不能破坏消息的完整性。受监视的组件(目标)201具有在物理地址和存储器结构230之间的映射。在每个SMI的开始,目标201或监视器230可以确保目标具有与监视器通信的映射,以便避免在SMM中时其它设备与其通信,并且避免重映射攻击。如图2中所描绘的系统实现了上面所提到的数据完整性属性,因为目标不具有对监视器存储器的直接访问,其可以推送消息,并且如果队列是满的,则其不折叠(wrap over)。其实现了按时间顺序的次序属性,因为在SMM中时不存在对其的同时访问。此外,其实现了独占访问属性,因为在SMM中时一个核是活动的,并且没有其它设备可以与监视器通信。最后,对于关于低等待时间的最后的属性,可以使用诸如点到点的互连之类的执行受监视的组件的主处理器和监视器之间的快速互连。所使用的互连取决于CPU制造商。例如,在x86架构中,可以使用快路径(QPI)或超传输互连。这些互连被用于核间或处理器间的通信,并且特别地设计以用于低等待时间。
参考图2,在目标201的固件203中执行的指令作为分组211、213被推送到监视器200的存储器结构230。监视器200可以在框215处从结构230获取消息。最初,存储器结构230可以从目标201接收消息,该消息指示目标201已经进入或处于诸如例如SMM之类的受控操作模式中。即,为了使监视器200确保当目标201正在执行时,其具有对通信链路214的独占访问,目标201可以使用额外的信号来通知监视器200其已经进入用于低级指令的执行模式。例如,对于ARM信任区(TrustZone),非安全位(NS位)可以用于区分处理器当前是否正在安全空间中执行低级指令。在x86架构上,监视器200还可以通过使用在芯片集级别可用的信号来确定处理器何时正在SMM中执行。此外,可以由监视器信任的任何逻辑信令(诸如通过使用虚拟线缆、密码认证的信号等)可以用于通知监视器低级指令的执行。
因此,数据完整性属性受到重视,因为目标201不具有对监视器存储器结构230的直接访问。该目标可以推送消息,并且如果队列是满的,则其不折叠。在示例中,结构230可以实现按照时间顺序的次序属性,因为其采用FIFO队列的形式,并且当目标正在执行时,不存在对其的同时访问。队列可以采用线性或环形(circular)阵列的形式,其中消息以它们被接收到的次序被处理。
由监视器处理从存储器结构230获取的消息,以确定是否与在目标201处的预期行为存在任何偏差。例如,可以将消息与预期行为的列表、映射表或图表进行比较,以确定间接调用处理(217)、影子堆栈调用(219)以及其它合适的行为(221)中偏差(223)的存在。
根据示例,目标201可以是虚拟化系统的管理程序或OS的内核。监视器200可以是虚拟机。例如,虚拟机可以使用形成受监视的组件的管理程序在虚拟化系统中分配的物理硬件上进行实例化。虚拟机可以包括虚拟化系统的其它组件不可访问的安全执行环境。
本公开中的示例可以作为诸如软件、硬件、固件等的任意组合之类的方法、系统或机器可读指令来提供。这样的机器可读指令可以包括在具有计算机可读程序代码在其中或其上的计算机可读存储介质(包括但不限制于盘存储装置、CD-ROM、光存储装置等)上。
参考根据本公开示例的方法、设备以及系统的流程图和/或框图来描述本公开。尽管上面所描述的流程图可以示出特定执行次序,但是执行次序可以与所描绘的次序不同。与一个流程图相关描述的框可以与另一个流程图的框相结合。在一些示例中,流程图的一些框可能不是必要的和/或可以添加附加的框。应当理解,流程图和/或框图中的每个流程和/或框以及流程图和/或框图中的流程和/或图的组合可以由机器可读指令来实现。
机器可读指令可以例如由通用计算机、专用计算机、嵌入式处理器或其它可编程数据处理设备的处理器来执行,以实现说明书和附图中所描述的功能。特别地,处理器或处理装置可以执行机器可读指令。因此,可以由执行存储在存储器中的机器可读指令的处理器,或根据嵌入在逻辑电路中的指令操作的处理器来实现装置的模块(例如,监视器200)。术语“处理器”将要广泛地解释为包括CPU、处理单元、ASIC、逻辑单元或可编程门集合等。方法和模块都可以由单个处理器执行或划分在若干处理器之间。
这样的机器可读指令还可以存储在计算机可读存储装置中,该计算机可读存储装置可以指导计算机或其它可编程数据处理设备以特定模式操作。
例如,可以在用可由处理器执行的指令编码的非暂时性计算机可读存储介质上提供指令。
图3示出了与存储器152相关联的处理器150的示例。存储器152包括可由处理器150执行的计算机可读指令154。指令154包括:
指令156,其从目标接收指示目标已经进入受控操作模式的消息;
指令158,其通过低等待时间通信链路从受监视的组件接收消息;
指令160,其从监视器的存储器结构获取消息;以及
指令162,其将消息与预期控制流操作进行比较。
这样的机器可读指令还可以加载到计算机或其它可编程数据处理设备上,使得计算机或其它可编程数据处理设备执行一系列操作,以产生计算机实现的处理,因此,在计算机或其它可编程设备上执行的指令提供了用于实现由流程图中的一个或多个流程和/或框图中的一个或多个框所指定的功能的操作。
进一步地,本文中的教导可以以计算机软件产品的形式实现,该计算机软件产品存储在存储介质中,并且包括多个指令,以用于使计算机设备实现本公开的示例中所述的方法。
虽然已经参考某些示例描述了方法、装置和相关的方面,但是在不脱离本公开精神的情况下,可以进行各种修改、改变、省略和代替。特别地,来自一个示例的特征或框可以与另一示例的特征/框相结合,或由另一个示例的特征/框所代替。
词语“包括”不排除除了那些在权利要求中列出的元素以外的元素的存在,“一”或“一个”不排除多个,并且单个处理器或其它单元可以实现权利要求中所述的若干单元的功能。
任何从属权利要求的特征可以与任何独立权利要求或其它从属权利要求的特征相结合。
Claims (15)
1.一种入侵检测系统,包括:
监视器,其用于通过低等待时间通信链路从目标接收消息,所述低等待时间通信链路包括受控访问存储器结构,其使用点到点互连逻辑上定位在所述目标和所述监视器之间,所述受控访问存储器结构用于从所述目标接收指示该目标已经进入受控操作模式的消息。
2.根据权利要求1所述的入侵检测系统,其中所述存储器结构包括线性或环形阵列,其中消息以它们被接收到的次序被处理。
3.根据权利要求1所述的入侵检测系统,其中所述目标的物理地址被映射到所述监视器。
4.根据权利要求1所述的入侵检测系统,其中所述目标和所述监视器之间的通信链路是到所述监视器的单线程访问链路。
5.根据权利要求1所述的入侵检测系统,其中所述监视器是使用形成所述目标的管理程序在虚拟化系统中分配的物理硬件上进行实例化的虚拟机。
6.根据权利要求1所述的入侵检测系统,其中所述存储器结构作为所述目标或所述监视器的一部分或作为独立的组件提供。
7.一种入侵检测系统中的目标和监视器之间的通信链路,所述通信链路包括受控访问存储器结构,其使用点到点的互连逻辑上定位在所述目标和所述监视器之间,所述受控访问存储器结构用于从所述目标接收指示该目标已经进入受控操作模式的消息。
8.根据权利要求6所述的通信链路,其中所述链路包括从所述目标的物理地址到所述监视器的映射。
9.根据权利要求6所述的通信链路,其中所述目标和所述监视器之间的通信链路是到所述监视器的单线程访问链路。
10.一种入侵检测系统中的监视器,所述监视器,用于:
通过低等待时间通信链路从受监视的组件接收消息,所述低等待时间通信链路包括受控访问存储器结构,其使用点到点互连逻辑上定位在所述受监视的组件和所述监视器之间,所述受控访问存储器结构用于从所述目标接收指示该目标已经进入受控操作模式的消息。
11.根据权利要求9所述的监视器,其中所述存储器结构包括线性或环形阵列,其中从所述受监视的组件接收到的消息以它们被接收到的次序被处理。
12.根据权利要求9所述的监视器,其中所述存储器结构包括到所述受监视的组件的物理地址的映射。
13.根据权利要求9所述的监视器,其中所述监视器是使用形成所述受监视的组件的管理程序在虚拟化系统中分配的物理硬件上进行实例化的虚拟机。
14.根据权利要求13所述的监视器,其中所述虚拟机包括虚拟化系统的其它组件不可访问的安全执行环境。
15.一种用可由监视器装置的处理器执行的指令编码的非暂时性机器可读存储介质,所述机器可读存储介质包括:
用于通过低等待时间通信链路从受监视的组件接收消息的指令,所述低等待时间通信链路包括受控访问存储器结构,其使用点到点互连逻辑上定位在所述受监视的组件和所述监视器之间;以及
用于从所述目标接收指示该目标已经进入受控操作模式的消息的指令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17305673.0A EP3413531A1 (en) | 2017-06-07 | 2017-06-07 | Intrusion detection systems |
| EP17305673.0 | 2017-06-07 | ||
| PCT/US2018/036411 WO2018226927A2 (en) | 2017-06-07 | 2018-06-07 | Intrusion detection systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111052114A true CN111052114A (zh) | 2020-04-21 |
| CN111052114B CN111052114B (zh) | 2024-01-09 |
Family
ID=59579548
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880053153.9A Active CN111052114B (zh) | 2017-06-07 | 2018-06-07 | 入侵检测系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11308202B2 (zh) |
| EP (1) | EP3413531A1 (zh) |
| CN (1) | CN111052114B (zh) |
| WO (1) | WO2018226927A2 (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090119748A1 (en) * | 2007-08-30 | 2009-05-07 | Jiewen Yao | System management mode isolation in firmware |
| CN101499016A (zh) * | 2008-01-31 | 2009-08-05 | 联想(北京)有限公司 | 虚拟机监视器、虚拟机系统及客户操作系统进程处理方法 |
| US20090328042A1 (en) * | 2008-06-30 | 2009-12-31 | Khosravi Hormuzd M | Detection and reporting of virtualization malware in computer processor environments |
| US20110047542A1 (en) * | 2009-08-21 | 2011-02-24 | Amit Dang | System and Method for Enforcing Security Policies in a Virtual Environment |
| US20110197256A1 (en) * | 2009-12-18 | 2011-08-11 | Assured Information Security, Inc. | Methods for securing a processing system and devices thereof |
| US20120297057A1 (en) * | 2010-11-15 | 2012-11-22 | Ghosh Anup K | Hardware-Assisted Integrity Monitor |
| US9092625B1 (en) * | 2012-07-03 | 2015-07-28 | Bromium, Inc. | Micro-virtual machine forensics and detection |
| CN104823173A (zh) * | 2012-12-28 | 2015-08-05 | 英特尔公司 | 对预留给处理器逻辑使用的存储器的访问类型保护 |
| CN104885057A (zh) * | 2012-09-21 | 2015-09-02 | 英特尔公司 | 虚拟化计算系统中隔离的客创建 |
| WO2015176029A1 (en) * | 2014-05-15 | 2015-11-19 | Lynx Software Technologies, Inc. | Systems and methods involving features of hardware virtualization such as hypervisor, pages of interest, and/or other features |
| CN105308609A (zh) * | 2013-04-23 | 2016-02-03 | 惠普发展公司,有限责任合伙企业 | 存储事件数据的事件数据结构 |
| US20160335429A1 (en) * | 2015-05-13 | 2016-11-17 | Intel Corporation | Integrity protection of a mandatory access control policy in an operating system using virtual machine extension root operations |
| TW201717086A (zh) * | 2015-09-17 | 2017-05-16 | 美商.高通公司 | 偵測計算設備中的程序上的軟體攻擊 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020091826A1 (en) | 2000-10-13 | 2002-07-11 | Guillaume Comeau | Method and apparatus for interprocessor communication and peripheral sharing |
| US6938124B2 (en) | 2002-07-19 | 2005-08-30 | Hewlett-Packard Development Company, L.P. | Hardware assisted communication between processors |
| GB2449454B (en) * | 2007-05-22 | 2011-08-24 | Advanced Risc Mach Ltd | Control data modification within a cache memory |
| US8155134B2 (en) | 2007-09-29 | 2012-04-10 | Applied Micro Circuits Corporation | System-on-chip communication manager |
| US8782435B1 (en) * | 2010-07-15 | 2014-07-15 | The Research Foundation For The State University Of New York | System and method for validating program execution at run-time using control flow signatures |
| US8479276B1 (en) * | 2010-12-29 | 2013-07-02 | Emc Corporation | Malware detection using risk analysis based on file system and network activity |
| US20130160028A1 (en) | 2011-12-14 | 2013-06-20 | John E. Black | Method and apparatus for low latency communication and synchronization for multi-thread applications |
| US9122873B2 (en) | 2012-09-14 | 2015-09-01 | The Research Foundation For The State University Of New York | Continuous run-time validation of program execution: a practical approach |
| US9037854B2 (en) * | 2013-01-22 | 2015-05-19 | Amazon Technologies, Inc. | Privileged cryptographic services in a virtualized environment |
| EP2973139B1 (en) | 2013-03-15 | 2020-04-22 | Intel Corporation | Security co-processor boot performance |
| US10846117B1 (en) * | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
-
2017
- 2017-06-07 EP EP17305673.0A patent/EP3413531A1/en active Pending
-
2018
- 2018-06-07 US US16/486,331 patent/US11308202B2/en active Active
- 2018-06-07 CN CN201880053153.9A patent/CN111052114B/zh active Active
- 2018-06-07 WO PCT/US2018/036411 patent/WO2018226927A2/en active Application Filing
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090119748A1 (en) * | 2007-08-30 | 2009-05-07 | Jiewen Yao | System management mode isolation in firmware |
| CN101499016A (zh) * | 2008-01-31 | 2009-08-05 | 联想(北京)有限公司 | 虚拟机监视器、虚拟机系统及客户操作系统进程处理方法 |
| US20090328042A1 (en) * | 2008-06-30 | 2009-12-31 | Khosravi Hormuzd M | Detection and reporting of virtualization malware in computer processor environments |
| US20110047542A1 (en) * | 2009-08-21 | 2011-02-24 | Amit Dang | System and Method for Enforcing Security Policies in a Virtual Environment |
| US20110197256A1 (en) * | 2009-12-18 | 2011-08-11 | Assured Information Security, Inc. | Methods for securing a processing system and devices thereof |
| US20120297057A1 (en) * | 2010-11-15 | 2012-11-22 | Ghosh Anup K | Hardware-Assisted Integrity Monitor |
| US9092625B1 (en) * | 2012-07-03 | 2015-07-28 | Bromium, Inc. | Micro-virtual machine forensics and detection |
| CN104885057A (zh) * | 2012-09-21 | 2015-09-02 | 英特尔公司 | 虚拟化计算系统中隔离的客创建 |
| CN104823173A (zh) * | 2012-12-28 | 2015-08-05 | 英特尔公司 | 对预留给处理器逻辑使用的存储器的访问类型保护 |
| CN105308609A (zh) * | 2013-04-23 | 2016-02-03 | 惠普发展公司,有限责任合伙企业 | 存储事件数据的事件数据结构 |
| WO2015176029A1 (en) * | 2014-05-15 | 2015-11-19 | Lynx Software Technologies, Inc. | Systems and methods involving features of hardware virtualization such as hypervisor, pages of interest, and/or other features |
| US20160335429A1 (en) * | 2015-05-13 | 2016-11-17 | Intel Corporation | Integrity protection of a mandatory access control policy in an operating system using virtual machine extension root operations |
| TW201717086A (zh) * | 2015-09-17 | 2017-05-16 | 美商.高通公司 | 偵測計算設備中的程序上的軟體攻擊 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200089870A1 (en) | 2020-03-19 |
| US11308202B2 (en) | 2022-04-19 |
| WO2018226927A3 (en) | 2019-04-04 |
| WO2018226927A2 (en) | 2018-12-13 |
| EP3413531A1 (en) | 2018-12-12 |
| CN111052114B (zh) | 2024-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11841966B2 (en) | Inhibiting memory disclosure attacks using destructive code reads | |
| JP6842455B2 (ja) | 非同期イントロスペクション例外を使用するコンピュータセキュリティシステムおよび方法 | |
| KR102255767B1 (ko) | 가상 머신 감사를 위한 시스템 및 방법들 | |
| KR102206115B1 (ko) | 인터프리터 가상 머신을 이용한 행동 멀웨어 탐지 | |
| JP6378758B2 (ja) | 仮想マシンにおけるマルウェア検出のためのプロセス評価 | |
| JP7036821B2 (ja) | 仮想マシンセキュリティ適用例のためのイベントフィルタ処理 | |
| JP5951879B2 (ja) | オペレーティングシステムに対する悪意ある活動のレポート | |
| US11182473B1 (en) | System and method for mitigating cyberattacks against processor operability by a guest process | |
| CN111194447B (zh) | 监视控制流完整性 | |
| Zhong et al. | A virtualization based monitoring system for mini-intrusive live forensics | |
| CN111052114B (zh) | 入侵检测系统 | |
| Suzaki et al. | Kernel memory protection by an insertable hypervisor which has VM introspection and stealth breakpoints | |
| Zaidenberg et al. | Hypervisor memory introspection and hypervisor based malware honeypot | |
| Chang et al. | Defeating TCG toctou attacks in trusted hvm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |