JP5164285B2 - アンチマルウェアを有するコンピュータシステム - Google Patents

アンチマルウェアを有するコンピュータシステム Download PDF

Info

Publication number
JP5164285B2
JP5164285B2 JP2010173785A JP2010173785A JP5164285B2 JP 5164285 B2 JP5164285 B2 JP 5164285B2 JP 2010173785 A JP2010173785 A JP 2010173785A JP 2010173785 A JP2010173785 A JP 2010173785A JP 5164285 B2 JP5164285 B2 JP 5164285B2
Authority
JP
Japan
Prior art keywords
agent
oob
security agent
malware
management engine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010173785A
Other languages
English (en)
Other versions
JP2011070654A (ja
Inventor
エル. シャイタ、ラヴィ
エム. ダーハム、デイビッド
オーリン、スティーヴ
ラシード、ヤサー
ジー. ムルガオンカー、プラサンナ
エス. シュマイツ、ポール
エム. コスラヴィ、ホームズド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2011070654A publication Critical patent/JP2011070654A/ja
Application granted granted Critical
Publication of JP5164285B2 publication Critical patent/JP5164285B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Description

マルウェアまたは悪質なコードとは、コンピュータに問題を起こしたり損害を与えたりする様々な種類のソフトウェアを示す包括的な用語である。マルウェアには、ウイルス、ワーム、トロイの木馬、マクロウイルスおよびバックドアが含まれる。マルウェアは、より隠密で標的を絞ったものへと進化してきた。一方で、アンチマルウェア技術も進化し、マルウェアの隠密な挙動を理解して対応するようになってきた。現在アンチマルウェアは、システムメモリ内(オペレーティングシステムのオペレーティングプラットフォームの範囲内)のインバンドセキュリティエージェントを保護するべく、耐タンパーソフトウェア(TRS)メカニズムを用いる。しかしながら、このような方法そのものがソフトウェア攻撃による影響を受けやすく、欠陥となり得る。このことから、プラットフォームをマルウェアから保護する新たな方法が望まれている。
限定ではなく例示を目的に、本発明の実施形態を類似の符号が類似の要素を示す添付の図面に図示する。
本発明の一部の実施形態による、アンチマルウェアソリューションを有するプラットフォームのブロック図である。 図1に示したソリューションのより具体的な実装を示す。 本発明の一部の実施形態による、アンチマルウェアシステムの実装ルーチンのフロー図である。 本発明の一部の実施形態による、プラットフォームをマルウェアから保護するルーチンのフロー図である。
従来のアンチマルウェアソリューションの実行環境は、概して安全ではないことが分かっている。また、アンチマルウェアが保護するオペレーティングシステム内の可視性が信頼できない場合もあった。例えば、メモリからファイルおよびファイルの一部を取得するべくシステムコールを実行するには、従来のアンチマルウェアアプリケーションがオペレーティングシステム(OS)自体に依存する場合があった。残念ながら、OS内部で動作可能なマルウェアは、これらのチャネルを妨害可能である。このことから、新たな方法が望まれている。
一部の実施形態では、方法がアウトオブバンド(OOB)エージェントを提供してプラットフォームを保護してよい。OOBエージェントは、インバンドセキュリティエージェントの計測および保護に非TRS方法を利用可能であってよい。一部の実施形態では、管理エンジンがインバンドセキュリティエージェントおよびアウトオブバンドセキュリティエージェントへのアウトオブバンドの接続性を提供し、OSサービスに依存することなく、システムメモリリソースへのアクセスを提供可能である。当該方法は、信頼されたアンチマルウェアおよび修正サービスに用いられてよい。
本発明の別の実施形態は、以下の特徴の全てまたは一部の組み合わせを組み込んでよい。(1)ローカルセキュリティエージェントの保障された実行および保護された実行環境、(2)ローカルセキュリティエージェントが利用可能なイベンティング機能および信頼されたシステム可視性、(3)遠隔セキュリティエージェントと相互作用するアウトオブバンド(OOB)チャネル、(4)ローカルセキュリティエージェントのためのOOB永続ストレージ。
図1は、一部の実施形態によるアンチマルウェア保護を有するプラットフォーム100を示す。プラットフォームは、図のように結合され、ネットワーク120(例えばインターネット等のTCP/IPネットワーク)と通信可能にリンクされたCPU105、システムメモリ112、BIOSメモリ130、OOB(アウトオブバンド)管理エンジン140、および安全な不揮発性メモリ150を含む。簡素化を目的にこれらのブロックを個別の存在として示すが、当然のことながら実際には、設計上の事項および半導体技術の状態に応じて個別のチップ、単一のチップ、または1つ以上デバイスのあらゆる好適な組み合わせで実装されてよい。
CPU105は、これらに限定されないが、シングルコアデバイス、マルチコアデバイス、およびシステムオンチップ(SOC)と呼ばれる実装を含むあらゆる好適なプロセッサチップまたは複数のプロセッサチップの組み合わせで実装されてよい。CPUは、例えばキャッシュメモリ、内部/外部RAM、およびフラッシュハードドライブメモリを含むハードドライブ等のシステムメモリ112を用いてソフトウェアコードを実行する。CPU105は動作中に、Microsoft Windows(登録商標)OS、Linux(登録商標) OS、Apple(登録商標)OS等のオペレーティングシステム(OS)104、およびOSの下層で動作することからアウトオブバンドと呼ばれるOOBセキュリティエージェント110を実行してよい。OSは、インバンド(IB)セキュリティエージェント108を組み込み得るカーネル(OSコア)を有する。IBセキュリティエージェントはOOBセキュリティエージェントと協働してマルウェアからプラットフォーム100を保護する。
OSカーネル内から動作するIBセキュリティエージェント(または単にIBエージェント)は、OOBセキュリティエージェント(または単にOOBエージェント)と相互作用してプラットフォームを保護する。OOBエージェントがアクティブな場合、IBエージェントはOOBエージェントによって保護されており、オンラインセキュリティエージェントサービス122と相互作用する。オンラインセキュリティエージェントサービスは、IBエージェントアプリケーションの状態が、セキュリティエージェントサービス122がプラットフォームの特定のサービスを提供するための正しい状態であることを確認してよい。IBエージェントは、OOBエージェントおよび/またはセキュリティエージェントサービスによって定義されたポリシーに基づいて動作してよい。同様に、IBエージェントが例えばパターンの認識、レジストリ変更要求等のコンテキストをOOBエージェントに与えてよく、OOBエージェントはこれらをポリシーの定義または更新に用いてよい。
当該プラットフォームでは、OSは信頼されていない。つまり、マルウェアによるOSへのアクセスが可能であると仮定されている。このため、IBエージェントは信頼されていないOS環境で動作する。一方で、OOBエージェントは管理エンジンと協働し、OSの下層、例えばOSメモリ空間の一部ではない仮想化され、かつ信頼されたメモリ空間で動作する。この実装および制御はOOB管理エンジンを介して行なわれる。
OOB管理エンジンはあらゆる好適なアウトオブバンドスキームで実装可能である。OOB管理エンジンは例えば管理エンジン等の異なるチップセット機能の一部であるファームウェアで実装されてよく、またこれに代えて、例えばネットワークインタフェースコントローラ(NIC)の一部等のサービスプロセッサ内またはサービスプロセッサとして実装されてよい。OOB管理エンジンはアウトオブバンド(OOB)であることからOSが動作していない場合でも動作可能である。
一部の実施形態では、OSコンテキスト内で実行する保護されたIBエージェント108に属するメモリページについて、OOB管理エンジン140はOOBエージェントを介してページ単位の監視ポリシーおよびアクセス制御を強制する。当該モデルではOSが信頼されていないことから、IBエージェントは、管理エンジンから取り出されたOOBエージェントによって計測および保護されている。ページ単位の保護のメカニズムは、2006年3月30日出願の「Intra−partitioning of Software Components within an Execution Environment(実行環境内のソフトウェアコンポーネントのイントラパーティショニング)」なる名称の米国出願第11/395488号明細書に説明されており、その内容をここに参照として組み込む。
OOBセキュリティエージェント110はあらゆる好適な方法で管理エンジンに提供されてよい。例えば、CD−ROMの形であってよく、安全な不揮発性メモリ150に格納されてよい。または、管理エンジンの製造時または製造後に管理エンジンに組み込まれたファームウェアの一部であってよい。OOBセキュリティエージェントは自己起動してよく、またはセキュリティエージェントサービス122からの要求に応じて管理エンジン140を介して有効化および起動されてもよい。
多くの場合、OOBセキュリティエージェントはCPUでの実行のために次のようにロードされる。初めにBIOSが起動され、BIOSの初期ブートアップのタスクが終了すると、ブートアップが管理エンジンへと渡される。管理エンジンは、例えばOS空間外の仮想化および/または他の安全な方法によって、OOBエージェントを確実にメモリへロードする。OOBエージェントがロードされた後、OOBエージェントは、ロードおよび起動のためにOSそのものを開始してよい。
一部の実施形態では、OOBコードの完全性を確認するメカニズムがあってよい。例えば、チェックサムまたは他の好適な測定基準がCPUまたはBIOSに格納されてよく、後にOOBエージェントが実行のためにロードされる際にCPUによって確認されてよい。
またOOBエージェントは、インバンドエージェントからのポリシーに基づいて監視されるメモリ領域について、例えばハッシュ監査等の安全な不揮発性メモリ150に格納されるメモリスナップショットおよびイベントを提供してよい。OOBエージェントはまた、対象のOS環境によって設定された特定のCPUレジスタからの情報を提供することで、監視されるべき領域をインバンドエージェントが確立することを支援してよい。
セキュリティエージェントサービスは、適切で利用可能なネットワークサーバからあらゆる好適な方法で実装されてよい。セキュリティエージェントサービスは、提供されたシステムメモリ等のメモリスナップショットについてオフラインでアンチマルウェア分析が実行されるリモート(クラウド)サービスとして実装されてよい。またサービスは、OOBエージェントによって保護されたクレデンシャルを提供するべく安全なOOBネットワークチャネルを用いることによって、IBエージェントがOOBエージェントによって適切に計測されたことを確認してよい。
安全なOOBチャネルは、プラットフォームをセキュリティエージェントサービスに接続するために用いられる。安全なOOBチャネルは、管理エンジン140内のネットワークインタフェース144および仮想リダイレクトブロック142を含む。ネットワークインタフェース144は、OSがアクティブでない場合でもサービス122がプラットフォームと通信し得るネットワークインタフェース(NICと同様)を提供する。ネットワークインタフェースは、IBチャネルの完全性がマルウェアによって損なわれた場合に、管理エンジン140がサービス122と通信することを可能にする。
仮想リダイレクト142は、管理エンジン140および/またはサービス122からCPU、さらにはブートおよびBIOS機能へのチャネルを提供する。仮想リダイレクトは、OOBエージェントを上述のように差し挟み、例えば管理エンジン140および/またはサービス122がCDドライブまたはシリアルリンクをエミュレートしてブートを実装することを可能にする。ネットワークインタフェース144は、保護された状態で動作中のIBエージェントからの認証を可能にする。ネットワークインタフェースは、ローカルIBエージェントおよび/またはOOBエージェントの分析によって修正の必要な問題が検知された場合/時に、サービス122がIBエージェントからの警告を受信できるようにする。またネットワークインタフェースは、サービス122がポリシーをIBエージェントに提供し、インバンド分析の完了後にプラットフォームの修正を促進できるようにする。
図2は、Intel(商標)のvPro(商標)の一部であり得るIntel(商標)AMT(Active Management Technology)を用いた、図1のプラットフォームの例示的な実装を示す。例えば、チップセットは、IDE−R(IDEリダイレクト)機能およびOOBネットスタック(ネットワークインタフェース)を有する管理エンジン(ME)240を備えてよい。またチップセットは、図1のOOBエージェントの実装に用いられて得る信頼されたメモリサービス層(TMSL)を備えてよい。また一部のCPUは、TXT(Trusted Execution Technology)機能を備えてよい。これはOOBエージェント(この場合はTMSL)の起動前にOOBエージェントの完全性の確認に用いられ得る、ハードウェアに根差したシグネチャチェッカである。
IDE−Rはネットワークブート動作を実現する。IDE−Rを用いて、仮想媒体イメージを介した起動のためのTMSLをローカルプラットフォームに提供してよい。(これは最初のダウンロードでのみ必要な場合がある。)概してIDE−Rは、管理下のクライアントのブート状態および電力状態に関わらず、管理下のクライアントのIDE通信およびリダイレクトシリアル通信を管理コンソールから提供する。クライントはAMT機能、電源への接続、およびネットワーク接続のみを有すればよい。
一部の実施形態では、安全な不揮発性メモリがIntel(商標)AMT 3PDS(第三者のデータストレージ)デバイスで実装されてよい。TMSLによって作成された監査ログのハッシュおよびポリシーの格納に安全な不揮発性メモリが用いられてよい。典型的な3PDSはフラッシュメモリで実装される。サービス122に返送されるログの格納に安全な不揮発性メモリが用いられてよい。
図3は、オンラインサービスからOOBエージェントをロードして起動するルーチンを示す。ステップ302では、サービスがプラットフォームの性能と状況を査定する。管理エンジンとの安全なダイアログを通して、サービスがプラットフォームの性能を査定してよい。
ステップ304で、IBセキュリティおよびOOBセキュリティについて、プラットフォームが上述のように適切である場合は、ステップ306に進む。適切でない場合にはステップ303に進み、後に再確認を行なってよい。
ステップ306では、必要に応じてソフトウェアをダウンロードした後に、プラットフォームを再起動して仮想リダイレクト(IDE−Rブート)オプションをアクティブにすることでサービス122がサービスを開始してよい。サービスは、TMSL等のOOBエージェントにキー/ポリシーを提供する。ステップ308では、プラットフォームが再起動され、OOBエージェントおよびIBエージェントを起動させる。ステップ310では、OOBエージェントがこのようなブートによってOSを起動してよく、ここではIBエージェントも起動される。最後にステップ312で、動作中のIBエージェントおよびOOBエージェントが協働し、マルウェアの攻撃からプラットフォームを保護する。
図4は、IBエージェントおよびOOBエージェントを用いたマルウェアからの保護を動作させるルーチンを示す。ステップ402では、IBエージェントがTMSL等のOOBエージェントに登録し、保護対象であるシステムメモリページの計測を開始し、これらをランタイムステートにバインドする。
ステップ404では、例えば提供されたマニフェストを用いてOOBエージェントがIBエージェントを計測および保護する。例えばOOBエージェントは、参照として組み込んだ「Intra−partitioning of Software Components within an Execution Environment(実行環境内のソフトウェアコンポーネントのイントラパーティショニング)」なる名称の出願明細書に説明されたページ保護を行なってよい。OOBエージェントは、IBセキュリティエージェントのデータおよびコード等を含むページを計測および保護してよい。IBエージェントは、保護に関するローカルな知識を有さず、利用可能なサービスのみへのアクセスを試みる場合がある。OOBエージェントは、IBセキュリティエージェントで保護されたチャネルを作成してよい。
ステップ406では、保護された動作を確認するためにIBエージェントがサービス122に連絡してよい。これは、例えばOOBエージェントが作成したクオート(IBエージェントの署名済みハッシュ)を介して行なわれてよい。その後、サービスはIBエージェントにアンチマルウェアルール/ポリシー(例えば、これらの作成または更新)を提供してよい。サービスは、IBエージェントがOOBエージェントによって保護されていることを確認した後、OOBエージェントによって保護されたメモリ空間を介して、保護されたIBエージェントに署名済みのルールを提供してよい。またOOBエージェントは、例えば安全な不揮発性メモリ150等、この目的のために確保された特別な保護格納領域にこれらの認証トークンを格納してよい。
ステップ408では、IBエージェントは、特定の物理または仮想メモリページについてのアクセス許可を有するメモリイベントハンドラの設定およびメモリの読み込みにOOBエージェントサービスを用いてよい。監視されたメモリへの全てのアクセスは、例えば、保護されたメモリチャネルを介してセキュリティエージェントにイベントを報告させる。IBエージェントは、保護対象であるシステムメモリページを分析し、外部のセキュリティエージェントサービスにマルウェア活動の可能性を通知する。不明なイベントまたは挙動は、OOBエージェントを介してIBエージェントにメモリスナップショットを取得させ、これをハッシュおよび監査と共に例えば保護された不揮発性メモリに格納し、オンラインサービス122によって利用可能とさせてよい。

以上の説明では、様々な具体的な詳細を示した。しかしながら、本発明の実施形態はこれらの具体的な詳細なく実施可能であることが理解されるべきである。説明を不明瞭にすることを避けるべく、周知の回路、構造および技術は詳細に示されていない場合がある。これを考慮した上で、「1つの実施形態」、「ある実施形態」、「例示的な実施形態」、「様々な実施形態」等の表現は、説明された本発明の実施形態が特定の機能、構造または特徴を備えてよいが、全ての実施形態が特定の機能、構造または特徴を備えるとは限らないことを示す。さらに一部の実施形態は、他の実施形態で説明した特徴の一部または全てを有しても有さなくてもよい。
以上の説明および以下の特許請求の範囲では、次の用語は以下のように解釈されるべきである。「結合した」、「接続した」およびこれらの派生語が用いられ得る。これらの用語は相互の類義語であることを意図していないことが理解されるべきである。正確には、特定の実施形態では、「接続した」は2つ以上の要素が互いに物理的または電気的に直接接触していることを示す。「結合した」は2つ以上の要素が相互に協働または相互作用するが、これらが互いに物理的または電気的に接触しているとは限らないことを示す。
発明は説明された実施形態に限定されず、添付の特許請求の範囲の本質および範疇にある変更例および変形例で実施可能である。例えば、当然のことながら、本発明は全ての種類の半導体集積回路(IC)チップでの用途に適用可能である。これらに限定されないが、当該ICチップの例としては、プロセッサ、コントローラ、チップセットコンポーネント、プログラム可能なロジックアレイ(PLA)、メモリチップ、ネットワークチップおよび類似を含む。
当然のことながら、一部の図面では信号導線が線で表現されている。これらの一部は、より太くより構成的なパスを示し、符号を伴って構成的な信号パスの数を示し、および/または1つ以上の端部に矢印を伴って情報の流れの主な方向を示す。しかしながら、これは限定的に解釈されるべきではない。正確には、このような追加の詳細は、より簡易に回路の理解を促進すべく1つ以上の例示的な実施形態に関して用いられてよい。追加情報の有無に関わらず、表現されたあらゆる信号線は、実際には複数の方向へ流れる1つ以上の信号を含んでよく、例えば差動ペア、光ファイバ線、および/またはシングルエンド線で実装されたデジタル線またはアナログ線等のあらゆる好適な種類の信号スキームで実装されてよい。
例示的なサイズ、モデル、値、範囲を示したが、当然のことながら本発明はこれらに限定されない。フォトリソグラフィ等の製造技術の今後の発展に伴い、より小さなデバイスが製造可能となることが予想される。さらに、発明を不明瞭にすることを避けるべく、図示と説明の簡易化を目的に、ICチップおよび他の構成要素への周知の電力/接地接続が示されている場合と示されていない場合がある。またさらに、ブロック図の形式で配置を示した場合がある。これは、発明を不明瞭にすることを避けることを目的とし、またブロック図の配置の実施についての詳細が、本発明が実施されるプラットフォームに大きく依存する、つまりそのような詳細は十分に当業者の視野内にあるという事実を考慮した上で行われている。発明の例示的な実施形態を説明するために、例えば回路等の具体的な詳細を示したが、当業者にとっては、発明がこれらの詳細なし、またはこれらの詳細の変形例によって実施可能であることが明らかである。したがって、説明は限定的ではなく例示的なものと見なされる。

Claims (13)

  1. オペレーティングシステムメモリ空間(OSメモリ空間)を有するOSを実行するCPUと、
    前記OSが動作中ではない場合に動作可能な管理エンジンと、
    前記OS内で動作するインバンドエージェント(IBエージェント)と、
    を備え、
    前記管理エンジンは、前記OSメモリ空間内のコードを保護するアウトオブバンドセキュリティエージェント(OOBセキュリティエージェント)を提供し、
    前記IBエージェントは、保護対象であるシステムメモリページを分析し、外部のセキュリティエージェントサービスにマルウェア活動の可能性を通知し、
    前記OOBセキュリティエージェントは、前記OSの外で動作し、前記OSの下層において、前記CPUで動作し、前記IBエージェントのデータおよびコードを含むページを分析して、前記IBエージェントをマルウェアから保護するコンピューティングプラットフォーム。
  2. 前記管理エンジンは、前記外部のセキュリティエージェントサービスに安全なOOBチャネルを提供するためのネットワークインタフェースを有し、
    前記IBエージェントは、前記IBエージェントが前記OOBセキュリティエージェントによって保護されていることが前記セキュリティエージェントサービスによって確認された後、前記OOBセキュリティエージェントによって保護されたメモリ空間を介して、前記外部のセキュリティエージェントサービスから提供されたアンチマルウェアルールに基づいて、前記コンピューティングプラットフォームをマルウェアからの攻撃から保護する請求項1に記載のコンピューティングプラットフォーム。
  3. 前記管理エンジンは、前記OOBセキュリティエージェントのファームウェアと共にチップに実装される請求項1または請求項2に記載のコンピューティングプラットフォーム。
  4. 前記管理エンジンは、ネットワークインタフェースコントローラに実装される請求項1から請求項3のいずれか1つに記載のコンピューティングプラットフォーム。
  5. 前記管理エンジンは、前記CPUを遠隔再起動して前記OOBセキュリティエージェントをアクティベートする仮想リダイレクトを有する請求項1から請求項4のいずれか1つに記載のコンピューティングプラットフォーム。
  6. 前記CPUは、OOBコードの完全性を確認するためのロジックを有する請求項1から請求項5のいずれか1つに記載のコンピューティングプラットフォーム。
  7. OSを含むCPUと、
    前記OSが動作中ではない場合に動作可能な管理エンジンと、
    前記OS内で動作するインバンドエージェント(IBエージェント)と、
    プラットフォームをマルウェアから保護するためのアウトオブバンドセキュリティエージェント(OOBセキュリティエージェント)を格納する不揮発性メモリと
    を有する1以上のチップ
    を備え、
    前記IBエージェントは、保護対象であるシステムメモリページを分析し、遠隔セキュリティサービスにマルウェア活動の可能性を通知し、
    前記OOBセキュリティエージェントは、前記OSの外で動作し、前記OSの下層において、前記CPUで動作し、前記IBエージェントのデータおよびコードを含むページを分析して、前記IBエージェントを前記マルウェアから保護する装置。
  8. 前記管理エンジンは、前記OOBセキュリティエージェントをアクティベートするために前記プラットフォームを再起動する仮想リダイレクト機能を有する請求項7に記載の装置。
  9. 前記管理エンジンは、前記プラットフォームへのOOBネットワーク接続を提供するためのネットワークインタフェースを有する請求項7または請求項8に記載の装置。
  10. 前記OOBセキュリティエージェントは、安全なOOBチャネルを介して前記管理エンジンにリンクされる前記遠隔セキュリティサービスによって分析される前記プラットフォームからのハッシュ監査データを前記不揮発性メモリに提供する請求項7から請求項9のいずれか1つに記載の装置。
  11. OSメモリ空間を有するOSを含むCPU、および前記OSメモリ空間内のコードを保護するアウトオブバンドセキュリティエージェント(OOBセキュリティエージェント)を提供する管理エンジン、および前記OS内で動作するインバンドエージェント(IBエージェント)を有するプラットフォームと、
    前記管理エンジンを介して前記プラットフォームにリンクされる遠隔セキュリティエージェントサービスと
    を備え、
    前記IBエージェントは、保護対象であるシステムメモリページを分析して、前記遠隔セキュリティエージェントサービスにマルウェア活動の可能性を通知し、
    前記OOBセキュリティエージェントは、前記プラットフォームをマルウェアから保護するために前記OSの外で実行され、前記OSの下層において、前記CPUで動作し、前記IBエージェントのデータおよびコードを含むページを分析して、前記IBエージェントを前記マルウェアから保護するシステム。
  12. 前記遠隔セキュリティエージェントサービスが、前記OOBセキュリティエージェントを前記プラットフォームに提供する請求項11に記載のシステム。
  13. 前記遠隔セキュリティエージェントサービスは、前記IBエージェントが前記OOBセキュリティエージェントによって保護されていることを確認した後、前記OOBセキュリティエージェントによって保護されたメモリ空間を介して、前記IBエージェントにアンチマルウェアルールを提供する請求項11または請求項12に記載のシステム。
JP2010173785A 2009-09-25 2010-08-02 アンチマルウェアを有するコンピュータシステム Active JP5164285B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US27753209P 2009-09-25 2009-09-25
US61/277,532 2009-09-25
US12/658,876 US8635705B2 (en) 2009-09-25 2010-02-17 Computer system and method with anti-malware
US12/658,876 2010-02-17

Publications (2)

Publication Number Publication Date
JP2011070654A JP2011070654A (ja) 2011-04-07
JP5164285B2 true JP5164285B2 (ja) 2013-03-21

Family

ID=43781832

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010173785A Active JP5164285B2 (ja) 2009-09-25 2010-08-02 アンチマルウェアを有するコンピュータシステム

Country Status (5)

Country Link
US (1) US8635705B2 (ja)
EP (2) EP2605173A1 (ja)
JP (1) JP5164285B2 (ja)
KR (1) KR101242224B1 (ja)
CN (1) CN102035651B (ja)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101274348B1 (ko) * 2010-06-21 2013-07-30 삼성에스디에스 주식회사 안티멀웨어 디바이스, 서버 및 멀웨어 패턴 매칭 방법
CN102289617B (zh) 2010-06-21 2014-07-09 三星Sds株式会社 反恶意软件装置、服务器和匹配恶意软件模式的方法
KR101279213B1 (ko) 2010-07-21 2013-06-26 삼성에스디에스 주식회사 시스템 온 칩 기반의 안티-멀웨어 서비스를 제공할 수 있는 디바이스 및 그 방법과 인터페이스 방법
CN103827881B (zh) * 2011-03-09 2017-12-12 爱迪德技术有限公司 用于设备操作系统中的动态平台安全的方法和系统
EP3611874B1 (en) * 2011-09-30 2022-03-02 INTEL Corporation Out-of-band remote authentication
US9298607B2 (en) 2011-11-22 2016-03-29 Intel Corporation Access control for non-volatile random access memory across platform agents
WO2013095568A1 (en) * 2011-12-22 2013-06-27 Intel Corporation Systems and methods for providing anti-malware protection and malware forensics on storage devices
WO2013095573A1 (en) 2011-12-22 2013-06-27 Intel Corporation Activation and monetization of features built into storage subsystems using a trusted connect service back end infrastructure
EP2795513A4 (en) * 2011-12-22 2015-12-16 Intel Corp SYSTEMS AND METHODS FOR PROVIDING PROTECTION AGAINST MALICIOUS SOFTWARE ON STORAGE DEVICES
WO2013101188A1 (en) * 2011-12-30 2013-07-04 Intel Corporation Memory event notification
KR20140116510A (ko) * 2012-03-28 2014-10-02 인텔 코오퍼레이션 디바이스 검증에 기초한 조건부 제한적 서비스 허가
US9251347B2 (en) 2012-03-30 2016-02-02 Intel Corporation Providing an immutable antivirus payload for internet ready compute nodes
US9218462B2 (en) * 2012-04-25 2015-12-22 Hewlett Packard Enterprise Development Lp Authentication using lights-out management credentials
US9164775B2 (en) * 2013-01-14 2015-10-20 Dell Products L.P. Method and apparatus for performing an out of band job
WO2014143040A1 (en) * 2013-03-15 2014-09-18 American Megatrends, Inc System and method of web-based virtual media redirection
US9424425B2 (en) 2013-05-31 2016-08-23 Microsoft Technology Licensing, Llc Protecting anti-malware processes
US10324863B2 (en) 2013-06-24 2019-06-18 Intel Corporation Protected memory view for nested page table access by virtual machine guests
US20150215414A1 (en) * 2014-01-27 2015-07-30 Safe Frontier Llc Out of band electronic signaling
JP6260303B2 (ja) 2014-01-29 2018-01-17 富士通株式会社 演算処理装置及び演算処理装置の制御方法
RU2580030C2 (ru) * 2014-04-18 2016-04-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ распределения задач антивирусной проверки между виртуальными машинами в виртуальной сети
US10261489B2 (en) 2015-04-15 2019-04-16 Indegy Ltd. Detection of mis-configuration and hostile attacks in industrial control networks using active querying
WO2016192774A1 (en) * 2015-06-02 2016-12-08 Huawei Technologies Co., Ltd. Electronic device and method in an electronic device
US9710393B2 (en) 2015-06-25 2017-07-18 Intel Corporation Dynamic page table edit control
US10515023B2 (en) 2016-02-29 2019-12-24 Intel Corporation System for address mapping and translation protection
KR102024053B1 (ko) * 2017-12-28 2019-09-24 주식회사 안랩 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법
WO2021101562A1 (en) 2019-11-22 2021-05-27 Hewlett-Packard Development Company, L.P. Security inspections

Family Cites Families (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7254133B2 (en) * 2002-07-15 2007-08-07 Intel Corporation Prevention of denial of service attacks
JP2004171412A (ja) 2002-11-21 2004-06-17 Ntt Data Corp 仮想pcレンタル装置、コンピュータが実行するためのプログラム、および仮想pcレンタルシステム
US10110632B2 (en) * 2003-03-31 2018-10-23 Intel Corporation Methods and systems for managing security policies
US7788669B2 (en) * 2003-05-02 2010-08-31 Microsoft Corporation System for isolating first computing environment from second execution environment while sharing resources by copying data from first portion to second portion of memory
US20050071668A1 (en) * 2003-09-30 2005-03-31 Yoon Jeonghee M. Method, apparatus and system for monitoring and verifying software during runtime
US7840763B2 (en) * 2004-03-12 2010-11-23 Sca Technica, Inc. Methods and systems for achieving high assurance computing using low assurance operating systems and processes
US20050216759A1 (en) * 2004-03-29 2005-09-29 Rothman Michael A Virus scanning of input/output traffic of a computer system
JP2007226277A (ja) 2004-04-02 2007-09-06 Matsushita Electric Ind Co Ltd 仮想マシン改ざん検査方法、および仮想マシン改ざん検査装置
US7558966B2 (en) * 2004-06-09 2009-07-07 Intel Corporation Notifying remote administrator of platform integrity determination
US20060095961A1 (en) * 2004-10-29 2006-05-04 Priya Govindarajan Auto-triage of potentially vulnerable network machines
US20060095551A1 (en) * 2004-10-29 2006-05-04 Leung John C K Extensible service processor architecture
US7797749B2 (en) * 2004-11-03 2010-09-14 Intel Corporation Defending against worm or virus attacks on networks
US7536479B2 (en) * 2004-11-09 2009-05-19 Intel Corporation Local and remote network based management of an operating system-independent processor
US7409719B2 (en) * 2004-12-21 2008-08-05 Microsoft Corporation Computer security management, such as in a virtual machine or hardened operating system
US7739517B2 (en) * 2005-03-31 2010-06-15 Intel Corporation Hardware-based authentication of a software program
US7953980B2 (en) * 2005-06-30 2011-05-31 Intel Corporation Signed manifest for run-time verification of software program identity and integrity
US20070002994A1 (en) * 2005-06-30 2007-01-04 Ofir Kanter Clock jitter estimation apparatus, systems, and methods
US20070006175A1 (en) 2005-06-30 2007-01-04 David Durham Intra-partitioning of software components within an execution environment
US20070011491A1 (en) * 2005-06-30 2007-01-11 Priya Govindarajan Method for platform independent management of devices using option ROMs
US8839450B2 (en) * 2007-08-02 2014-09-16 Intel Corporation Secure vault service for software components within an execution environment
US8090919B2 (en) * 2007-12-31 2012-01-03 Intel Corporation System and method for high performance secure access to a trusted platform module on a hardware virtualization platform
US7822978B2 (en) * 2005-07-22 2010-10-26 Intel Corporation Quiescing a manageability engine
US20070073800A1 (en) * 2005-09-29 2007-03-29 Intel Corporation Provisioning, configuring, and managing a platform in a network
US7930728B2 (en) * 2006-01-06 2011-04-19 Intel Corporation Mechanism to support rights management in a pre-operating system environment
US7917916B2 (en) * 2006-06-20 2011-03-29 Lenovo (Singapore) Pte. Ltd IT administrator initiated remote hardware independent imaging technology
US20080005359A1 (en) * 2006-06-30 2008-01-03 Khosravi Hormuzd M Method and apparatus for OS independent platform based network access control
US8286238B2 (en) 2006-09-29 2012-10-09 Intel Corporation Method and apparatus for run-time in-memory patching of code from a service processor
US7882318B2 (en) * 2006-09-29 2011-02-01 Intel Corporation Tamper protection of software agents operating in a vitual technology environment methods and apparatuses
US8347378B2 (en) * 2006-12-12 2013-01-01 International Business Machines Corporation Authentication for computer system management
US20080148390A1 (en) * 2006-12-14 2008-06-19 Zimmer Vincent J Secure program launch
US8099574B2 (en) * 2006-12-27 2012-01-17 Intel Corporation Providing protected access to critical memory regions
US20080162809A1 (en) * 2006-12-28 2008-07-03 Rothman Michael A Operating system-independent remote accessibility to disk storage
US8099786B2 (en) * 2006-12-29 2012-01-17 Intel Corporation Embedded mechanism for platform vulnerability assessment
US8380987B2 (en) 2007-01-25 2013-02-19 Microsoft Corporation Protection agents and privilege modes
US8701187B2 (en) * 2007-03-29 2014-04-15 Intel Corporation Runtime integrity chain verification
US20080244758A1 (en) * 2007-03-30 2008-10-02 Ravi Sahita Systems and methods for secure association of hardward devices
US8411868B2 (en) * 2007-03-30 2013-04-02 Intel Corporation Intruder traceability for shared security associations
US20080244268A1 (en) * 2007-03-30 2008-10-02 David Durham End-to-end network security with traffic visibility
US8984265B2 (en) * 2007-03-30 2015-03-17 Intel Corporation Server active management technology (AMT) assisted secure boot
US8645704B2 (en) * 2007-05-07 2014-02-04 Intel Corporation Protecting caller function from undesired access by callee function
US20090007100A1 (en) * 2007-06-28 2009-01-01 Microsoft Corporation Suspending a Running Operating System to Enable Security Scanning
US20090070574A1 (en) * 2007-09-06 2009-03-12 Rothman Michael A Remote diagnostic apparatus
US9178884B2 (en) * 2007-09-07 2015-11-03 Intel Corporation Enabling access to remote entities in access controlled networks
US20090089497A1 (en) * 2007-09-28 2009-04-02 Yuriy Bulygin Method of detecting pre-operating system malicious software and firmware using chipset general purpose direct memory access hardware capabilities
US7797748B2 (en) * 2007-12-12 2010-09-14 Vmware, Inc. On-access anti-virus mechanism for virtual machine architecture
US8438618B2 (en) * 2007-12-21 2013-05-07 Intel Corporation Provisioning active management technology (AMT) in computer systems
US8364973B2 (en) * 2007-12-31 2013-01-29 Intel Corporation Dynamic generation of integrity manifest for run-time verification of software program
JP2009181373A (ja) 2008-01-31 2009-08-13 Hitachi Ltd ネットワーク受信履歴の保存・再生方法及び情報処理装置
JP2009187134A (ja) 2008-02-04 2009-08-20 Ricoh Co Ltd 情報処理装置、情報処理装置の起動制御方法、プログラム及び記録媒体
US8417945B2 (en) * 2008-06-30 2013-04-09 Intel Corporation Detection and reporting of virtualization malware in computer processor environments
US20100083381A1 (en) * 2008-09-30 2010-04-01 Khosravi Hormuzd M Hardware-based anti-virus scan service
US8832454B2 (en) * 2008-12-30 2014-09-09 Intel Corporation Apparatus and method for runtime integrity verification
US8225317B1 (en) * 2009-04-17 2012-07-17 Symantec Corporation Insertion and invocation of virtual appliance agents through exception handling regions of virtual machines
US8214902B2 (en) * 2009-06-19 2012-07-03 Intel Corporation Determination by circuitry of presence of authorized and/or malicious data
US8490189B2 (en) * 2009-09-25 2013-07-16 Intel Corporation Using chipset-based protected firmware for host software tamper detection and protection

Also Published As

Publication number Publication date
CN102035651B (zh) 2014-08-27
US20110078799A1 (en) 2011-03-31
EP2605173A1 (en) 2013-06-19
EP2320346A1 (en) 2011-05-11
US8635705B2 (en) 2014-01-21
JP2011070654A (ja) 2011-04-07
CN102035651A (zh) 2011-04-27
KR20110033798A (ko) 2011-03-31
KR101242224B1 (ko) 2013-03-11

Similar Documents

Publication Publication Date Title
JP5164285B2 (ja) アンチマルウェアを有するコンピュータシステム
US11861005B2 (en) Systems and methods involving features of hardware virtualization such as separation kernel hypervisors, hypervisors, hypervisor guest context, hypervisor context, rootkit detection/prevention, and/or other features
JP5978365B2 (ja) 仮想環境においてネットワークアクセス制御を行うシステムおよび方法
Ge et al. Sprobes: Enforcing kernel code integrity on the trustzone architecture
Zhang et al. Hypercheck: A hardware-assistedintegrity monitor
US9015455B2 (en) Processsor integral technologies for BIOS flash attack protection and notification
Duflot et al. What if you can’t trust your network card?
US9087199B2 (en) System and method for providing a secured operating system execution environment
Seshadri et al. Pioneer: verifying code integrity and enforcing untampered code execution on legacy systems
CN110334521B (zh) 可信计算系统构建方法、装置、可信计算系统及处理器
EP2981925B1 (en) Systems, methods and apparatuses for protection of antivirus software
US20170090929A1 (en) Hardware-assisted software verification and secure execution
WO2017112248A1 (en) Trusted launch of secure enclaves in virtualized environments
US9245122B1 (en) Anti-malware support for firmware
US20170168844A1 (en) System management mode disabling and verification techniques
US9912528B2 (en) Security content over a management band
Kovah et al. How Many Million BIOSes Would you Like to Infect?
Kucab et al. Hardware-Assisted Static and Runtime Attestation for Cloud Deployments
Marco et al. Security through emulation-based processor diversification

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120312

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120321

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120619

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120717

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20121016

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20121019

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121026

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121120

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121217

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151228

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5164285

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250