JP7202030B2 - 記憶装置内の悪意のある動作を検出するためのモジュールおよび方法 - Google Patents
記憶装置内の悪意のある動作を検出するためのモジュールおよび方法 Download PDFInfo
- Publication number
- JP7202030B2 JP7202030B2 JP2021130997A JP2021130997A JP7202030B2 JP 7202030 B2 JP7202030 B2 JP 7202030B2 JP 2021130997 A JP2021130997 A JP 2021130997A JP 2021130997 A JP2021130997 A JP 2021130997A JP 7202030 B2 JP7202030 B2 JP 7202030B2
- Authority
- JP
- Japan
- Prior art keywords
- module
- storage device
- neural network
- malicious behavior
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 61
- 238000013528 artificial neural network Methods 0.000 claims description 88
- 230000006399 behavior Effects 0.000 claims description 45
- 230000015654 memory Effects 0.000 claims description 22
- 238000013527 convolutional neural network Methods 0.000 claims description 10
- 230000000694 effects Effects 0.000 claims description 10
- 230000000306 recurrent effect Effects 0.000 claims description 6
- KJLPSBMDOIVXSN-UHFFFAOYSA-N 4-[4-[2-[4-(3,4-dicarboxyphenoxy)phenyl]propan-2-yl]phenoxy]phthalic acid Chemical compound C=1C=C(OC=2C=C(C(C(O)=O)=CC=2)C(O)=O)C=CC=1C(C)(C)C(C=C1)=CC=C1OC1=CC=C(C(O)=O)C(C(O)=O)=C1 KJLPSBMDOIVXSN-UHFFFAOYSA-N 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 2
- 238000012005 ligant binding assay Methods 0.000 claims 3
- 230000008569 process Effects 0.000 description 23
- 230000008901 benefit Effects 0.000 description 8
- 238000001514 detection method Methods 0.000 description 7
- 238000013403 standard screening design Methods 0.000 description 7
- 230000037452 priming Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 5
- 238000003062 neural network model Methods 0.000 description 5
- 238000005192 partition Methods 0.000 description 5
- 238000012549 training Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000001010 compromised effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 201000006618 congenital myasthenic syndrome 6 Diseases 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000002171 field ion microscopy Methods 0.000 description 1
- 238000012059 flow imaging microscopy Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
Description
しかしながら、上記のディスクドライブとは異なり、SSDsは電気的に消去可能で再プログラム可能な不揮発性メモリを含むため、論理ブロックアドレッシングシステムにおいて言及されるようなトラックまたはヘッドを有さない。したがって、SSD は、SSD のフラッシュメモリコントローラ内で設置されるフラッシュ変換層(FTL)を用いて、ホスト装置のファイルシステム論理ブロックアドレスをフラッシュメモリの物理アドレスにマッピング (論理から物理へのマッピング) しなければならない。言い換えると、ホスト装置は、読み出し/書き込み/上書き操作の目的でSSDにアドレスするため、依然として既存のLBAにアドレスする方法を用いる。
ホスト装置からのこれらのコマンドはFTL によって傍受され、FTL はLBA とフラッシュメモリの物理ブロックアドレス(PBA) の関係の配置を維持する。PBAは、受信されたコマンドを実行するためにSSDのコントローラにより利用される。
機密性の高いアプリケーション内に含まれる情報にアクセスするため、悪意がある第三者は、記憶装置のMBRを感染させる様々な手段および方法に頼ってきた。一般的な方法には、記憶装置のMBR または他のブートセクタを削除し、攻撃を受けた操作システムをインストールする前に、悪意がある第三者が記憶装置へアクセスするシステムレベルを獲得することが含まれる。
操作システムが改竄されないように保護し、記憶装置が破損した場合に重要なプライベート情報へアクセスされるのを防ぐために、操作システムコード(MBRを含む)が記憶装置内にインストールされたソフトウェアにより暗号化され、認証手続きを受け、MBRおよび操作システムコードに許可された利用者のみがアクセスできるようにすることが、当業者によって提案されている。コントローラは、記憶装置の利用者を認証する前にMBRを読み取ることができないため、記憶装置は、記憶装置内で実行されている認証プログラムによって認証情報が収集され、検証する“代替の”マスタブートレコード(MBR)を記憶する。
加えて当業者によって提案されたソリューションは、記憶装置がこれらのソリューションによって適切に保護される前に、モニタリングされる記憶装置の操作システム、パーティションシステムまたはブート領域が既知であり、これらのソリューションに事前にロードされることが必要である。言い換えれば、既存のソリューションは、モニタリング対象の記憶装置の操作システム、パーティションシステムまたはブート領域を自動的に識別することができず、そのような情報は、利用者によって既存のソリューションに設置されなければならない。記憶装置のコントローラには、記憶装置内に含まれるすべての情報が利用者のデータで設計され、デフォルトではこのデータを区別できない。これは、モニタリング対象の記憶装置の操作システム、パーティションシステム、またはブート領域が利用者によって変更されたり、誤って選択されたりすると、特に問題となり、その結果、記憶装置が誤って破損してしまう可能性がある。
上記より、当業者は、記憶装置の操作システム、パーティションシステム、またはブート領域が利用者によって装置のコントローラに設置されない場合であっても、記憶装置内の悪意のある動作を検出することができるモジュールおよび方法を考案することに努めている。
本発明によるモジュールおよび方法の実施態様の第一の利点は、モジュールが、メモリ装置内にインストールされた操作システムのタイプを識別できることである。
本発明によるモジュールおよび方法の実施態様の第二の利点は、モジュールが、記憶装置内の特定の部位で発生する悪意のある動作を自動的かつ効率的に検出できることである。
本発明によるモジュールおよび方法の実施態様の第三の利点は、記憶装置の論理ブロックアドレスがファームウェアレベルでモニタリングされ、悪意のある動作が検出、阻止される前に操作システムを起動する必要がないことである。
本発明によるモジュールおよび方法の実施態様の第五の利点は、モジュールが記憶装置コントローラのファームウェアの一部として設置されるときに、操作システムのレベルにおいて無効にされないことである。
本発明の第一の態様によれば、記憶装置内において悪意のある動作を検出するためのモジュールが開示される。ここでモジュールは、記憶装置のコントローラ内に設置され、モジュールは、ホスト装置からコントローラに送信された最初の論理ブロックアドレス(LBA0)を読み出し、当該LBA0よりコンテンツを読み出すために使用される。ここで読み出されたコンテンツは、コントローラ内に設置されたデータモジュールから読み出された訓練されたニューラルネットワークをプライミングするのに用いられ、最初のLBA0および訓練されたニューラルネットワークにおけるコンテンツを用いて、モニタリングされる記憶装置の論理ブロックアドレス(LBA)を識別し、LBAによって識別されるミラーリング命令、訓練されたニューラルネットワークを用いて、ミラーリング命令及びコンテンツに基づく記憶装置において悪意のある動作が発生しているかどうかを判定する。ここでニューラルネットワークは、操作システムまたは二次記憶操作に関連するマスタブートレコード、マスタファイルテーブル、ブートセクタ、BIOSパラメータブロック、または操作システムまたは二次記憶操作に関連するファイルシステムの拡張BIOSパラメータブロックに関連するLBAでのコンテンツの平均的な読出し/書込み/上書きのアクセスに基づいて、異なるタイプの操作システムまたは二次記憶操作のために訓練される。
本発明の第一の態様に関して、モジュールは、ミラーリングされた命令およびコンテンツに基づいて、記憶装置内で発生したと判定された悪意のある動作を用いて、訓練されたニューラルネットワークを最適化するようにさらに設計される。
本発明の第一の態様に関して、モジュールは、ミラーリングされた命令およびコンテンツに基づいて、悪意のある動作が記憶装置内で発生したと判定されたことに応答して、記憶装置をロックダウンするようにさらに設計される。
本発明の第一の態様に関して、訓練されたニューラルネットワークは、人工ニューラルネットワーク、再帰型ニューラルネットワーク(RNN)、または畳み込みニューラルネットワーク(CNN)のうちの1つを含む。
本発明の第二の態様に関して、モニタリングされる記憶装置の識別するLBAは、一次訓練されたニューラルネットワークに関連する操作システムまたは二次記憶操作に基づいてモジュールを識別するステップを含み、重要なデータを含むLBAは、少なくともマスタファイルテーブル、マスタブートレコード、ブートセクタ、BIOSパラメータブロック、または記憶装置に関連するファイルシステムの拡張BIOSパラメータブロックを含む。
本発明の第二の態様に関して、本法は、ミラーリングされた命令およびコンテンツに基づいて、記憶装置で発生したと判定された悪意のある動作を用いて、モジュールを用いて訓練されたニューラルネットワークを最適化するステップをさらに含む。
本発明の第二の態様に関して、本法は、ミラーリングされた命令およびコンテンツに基づいて記憶装置で悪意のある動作が発生したと判定されたことに応答し、モジュールを用いて記憶装置をロックダウンするステップをさらに含む。
本発明の第二の態様に関して、訓練されたニューラルネットワークは、人工ニューラルネットワーク、再帰型ニューラルネットワーク(RNN)、または畳み込みニューラルネットワーク(CNN)のうちの1つを含む。
さらに当業者は、本発明の明細書全体を通じて、多くの機能ユニットがモジュールとしてラベル付けされていることを認識することができる。当業者であれば、モジュールは、回路、ロジックチップ、または任意の個別部品として設置されていてもよいことが理解できる。さらに当業者であれば、モジュールは、様々なプロセッサアーキテクチャによって実行されるソフトウェアにより設置されることも認識できる。本発明の実施態様では、モジュールは、受信された命令に基づいてイベントを順次実行するようにコンピュータプロセッサに行う命令、ファームウェアまたは実行可能コードを含むこともできる。モジュールの設置の選択は、設計上の選択として当業者に委ねられており、本発明の範囲を限定するものではない。
ステップ1:ホスト装置からコントローラに送られた第一の論理ブロックアドレス(LBA0)を取得し、当該LBA0にてコンテンツを取得する。ここで取得されたコンテンツは、コントローラ内に設けられたデータモジュールから取得された訓練されたニューラルネットワークをプライミングするために用いられる。
ステップ2:最初のLBA0および訓練されたニューラルネットワークにおけるコンテンツを用いて、モニタリングされるべき記憶装置の論理ブロックアドレス(LBA)を識別する。
ステップ3:ホスト装置によって識別されたLBAに送信された命令をミラーリングし、ミラーリングされたLBA のコンテンツをミラーリングする。
ステップ4:訓練されたニューラルネットワークを用いて、ミラーリングされた命令およびコンテンツに基づいて、悪意のある動作が記憶装置で発生しているかどうか同定するステップ。ここでニューラルネットワークは、マスタブートレコード、マスタファイルテーブル、ブートセクタ、BIOSパラメータブロック、または操作システムまたは二次記憶動作に関連するファイルシステムの拡張BIOSパラメータブロックに関連するLBAでのコンテンツの平均的な読み取り/書き込み/上書きアクセスに基づく異なるタイプの操作システムまたは二次記憶動作のために訓練される。
論理ブロックアドレス‘0‘(LBA0)で設置されるファイルシステムの例示的なブートセクタは、図3に示されるように、ブートセクタ300が、複数の長さを有する複数のフィールドと、それらの個々のオフセットとを含むことが示される。各フィールドは、特定の意味またはコマンドに関連するそれ自体の典型的な値を有する。これらの値は、操作システム/ファイルシステム/記憶システムのタイプごとにそれぞれの特定の意味/コマンドに基づいて生成された16進数またはマジック数を含み、そのような場合、それぞれの意味またはコマンドは固有の値に関連付けられる。例えば、“EB”の値は、“セクタ当たりのバイト数”に関連付けられ、“52”の値は、“クラスタ当たりのセクタ数”に関連付けられ、“67”の値は、“OEM ID”に関連付けられ、“J9”の値は、“BPB”に関連付けられ、“34”の値は、“拡張BPB”に関連付けられる等である。
特にニューラルネットワークモデルは、マスタブートレコード、マスタファイルテーブル、ブートセクタ、BIOSパラメータブロック、および/または各タイプの操作システムまたはセカンダリ記憶ファイルシステム(セカンダリ記憶操作として使用される記憶装置にインストールされる)に関連するファイルシステムの拡張BIOSパラメータブロックに関連する特定のLBA またはPBA でのコンテンツの平均的な読み取り/書き込み/上書きのアクセスに基づいて訓練されている。
言い換えれば、ニューラルネットワークモデルは、様々なタイプの操作システムおよびそれらの対応するファイルシステムの動作中に、または二次記憶システムとしての記憶装置の動作中に、一般にアクセスされるLBAのコンテンツの平均的な読取り/書込み/上書きのアクセスなどの様々な入力に基づいて訓練される。したがって、これら従来のアクションから逸脱する任意のアクションは、ニューラルネットワークに、トリガーアクティビティを悪意のある動作としてラベル付けすることができる。これらの悪意のある動作によってアクセスされるLBAと共にラベル付けされた悪意のある動作は、ニューラルネットワークを訓練するために用いることができ、それによって、上記のデータの組み合わせがニューラルネットワークの訓練の間にニューラルネットワークに設置され、ニューラルネットワークの訓練を最適化することができる。
本発明の実施態様において、様々な操作システムおよびファイルシステムのLBAのコンテンツの平均的な読取り/書込み/上書きのアクセスは、様々な操作システムおよびファイルシステムを有する記憶装置のコントローラにおける入力/出力を一定期間にわたって記録することによって得ることができる。平均的な読取り/書込み/上書きのアクセスは、サードパーティーリソースより入手することもでき、ニューラルネットワークを訓練するために使用することができる。
プロセス400が、ステップ420において、悪意のある動作が記憶装置内で行われていると判定した場合、プロセス400は、ステップ425に進み、それによって、適切なアラームまたは警告が発せられるか、あるいは、記憶装置がロックダウンされる。その後、プロセス400は終了する。逆に、ステップ420でプロセス400によって悪意のある動作が検出されない場合、プロセス400は終了する。次に、プロセス400は、発生する可能性のあるあらゆる悪意のある動作を検出できるように、記憶装置が起動または起動されるたびに、これを繰り返す。
Claims (16)
- 記憶装置内の悪意のある動作を検出するためのモジュールであって、モジュールは記憶装置のコントローラ内に設置され、以下より構成される:
ホスト装置からコントローラに送られた最初の論理ブロックアドレス(LBA0)を検索し、最初のLBA0でコンテンツを検索する、検索されたコンテンツは、コントローラ内に設置されたデータモジュールから検索された訓練されたニューラルネットワークを悪意のある動作につき前記記憶装置をモニタリングするために前記モジュールによって利用するために用いる;
最初のLBA0および訓練されたニューラルネットワークにおけるコンテンツを用いて、モニタリングされるべき記憶装置の論理ブロックアドレス(LBA)を識別する;
ホスト装置によって識別されたLBAにコントローラに送られる指令、およびミラーリングされたLBAのコンテンツをミラーリングする;
訓練されたニューラルネットワークを用いて、悪意のある動作がミラーリングされた命令及びコンテンツに基づいて記憶装置で起きているかどうか判定する、ここでニューラルネットワークは、マスタブートレコード、クリティカルレコード、マスタファイルテーブル、ブートセクタ、BIOSパラメータブロック又はセカンダリ記憶動作に関連するファイルシステムの拡張BIOSパラメータブロック又はセカンダリ記憶動作に関連するLBAでのコンテンツの平均的な読み取り/書き込み/上書きのアクセスに基づいて、異なる種類の操作システム又は二次記憶動作のために訓練される。 - 訓練されたニューラルネットワークを悪意のある動作につき前記記憶装置をモニタリングするために前記モジュールによって利用することが、以下より構成されるモジュールを含む、請求項1に記載のモジュール:
最初のLBA0のコンテンツからマジックナンバーのセットを選択し、選択されたマジックナンバーのセットがマジックナンバールックアップテーブルと共に用いられ、コントローラのファイルシステムに関連する操作システムのタイプまたは二次記憶操作のタイプを判定する、ここでマジックナンバールックアップテーブルはデータモジュールより取得され;
データモジュールからの判定されたタイプの操作システムまたは二次記憶操作に関連する悪意のある動作を検出するために訓練されたニューラルネットワークを悪意のある動作につき前記記憶装置をモニタリングするために前記モジュールによって利用する。 - 訓練されたニューラルネットワークを悪意のある動作につき前記記憶装置をモニタリングするために前記モジュールによって利用することが、モジュールが、操作システムのタイプまたはコントローラのファイルシステムに関連すると判定された二次記憶操作のタイプに対して、最適化された訓練されたニューラルネットワークを選択するように設計されることを含む、請求項2に記載のモジュール。
- モニタリングされる記憶装置の識別LBAが、以下のように設計されるモジュールを含む、請求項1に記載のモジュール:
悪意のある動作につき前記記憶装置をモニタリングするために前記モジュールによって利用された訓練されたニューラルネットワークに関連する判定されたタイプの操作システムまたは二次記憶操作に基づいて、重要データを含むLBAを識別する、ここで重要データは、少なくともマスタファイルテーブル、マスタブートレコード、ブートセクタ、BIOSパラメータブロック、または記憶装置に関連するファイルシステムの拡張BIOSパラメータブロックを含む。 - さらに、以下のように構成される、請求項1に記載のモジュール:
ミラーリングされた命令およびコンテンツに基づいて、記憶装置で発生したと判定された悪意のある動作を用いて、訓練されたニューラルネットワークを最適化する。 - 前記ミラーリングされた命令およびコンテンツに基づいて前記記憶装置で悪意のある動作が発生したと判定されたことに応答して、前記記憶装置をロックダウンするようにさらに設計される、請求項1または5に記載のモジュール。
- 訓練されたニューラルネットワークが人工ニューラルネットワークを含む、請求項1~6のいずれかに記載のモジュール。
- 前記人工ニューラルネットワークは、RNN(Recurrent Neural Network)またはCNN(Convolutional Neural Network)を含む、請求項7に記載のモジュール。
- 記憶装置内の悪意のある動作を検出するための方法であって、記憶装置のコントローラ内に設けられたモジュールを使用して、ホスト装置からコントローラに送信される第一の論理ブロックアドレス(LBA0)を取得することを含む方法;
最初のLBA0におけるコンテンツを、モジュールを用いて検索する、ここで検索されたコンテンツは、コントローラ内に設置されたデータモジュールから検索された訓練されたニューラルネットワークを悪意のある動作につき前記記憶装置をモニタリングするために前記モジュールによって利用するために用いる;
最初のLBA0におけるコンテンツの識別と、モジュールを用いた、モニタリングされるべき記憶装置の論理ブロックアドレス(LBA)の訓練されたニューラルネットワークを識別する;そして
ミラーリングは、モジュールを使用して、ホスト装置によって識別されたLBAに送信された命令をコントローラに使用して、ミラーリングされたLBAのコンテンツをミラーリングし、ミラーリングされた命令およびコンテンツに基づいて訓練されたニューラルネットワークを使用して、悪意のある動作が記憶装置で発生しているかどうかを判定し、ここでニューラルネットワークは、マスタブートレコード、クリティカルレコード、マスタファイルテーブル、ブートセクタ、BIOSパラメータブロック、またはセカンダリ記憶操作に関連するファイルシステムの拡張BIOSパラメータブロックに関連するLBAでのコンテンツの平均的な読み取り/書き込み/上書きのアクセスに基づいて、異なるタイプの操作システムまたは二次記憶操作に対し訓練される。 - 訓練されたニューラルネットワークを悪意のある動作につき前記記憶装置をモニタリングするために前記モジュールによって利用することが、以下のステップを含む、請求項9に記載の方法:
モジュールを使用して、最初のLBA0のコンテンツからマジックナンバーのセットを選択し、それによって選択されたマジックナンバーのセットが、マジックナンバールックアップテーブルと共に用いられ、コントローラのファイルシステムに関連する操作システムのタイプまたはセカンダリ記憶動作のタイプを判定し、これによりマジックナンバールックアップテーブルがデータモジュールから取得され、
モジュールを使用して、データモジュールからの判定されたタイプの操作システムまたは二次記憶動作に関連する悪意のある動作を検出するために訓練されたニューラルネットワークを悪意のある動作につき前記記憶装置をモニタリングするために利用する。 - 前記訓練されたニューラルネットワークを悪意のある動作につき前記記憶装置をモニタリングするために前記モジュールによって利用するステップは、前記判定されたタイプの操作システムまたは前記コントローラの前記ファイルシステムに関連付けられた判定されたタイプの二次記憶操作のために最適化された訓練されたニューラルネットワークを選択するステップを含む、請求項10に記載の方法。
- モニタリングされるべき記憶装置の識別LBAが、以下のステップを含む、請求項9に記載の方法:
モジュールを識別し、モジュールを用いて悪意のある動作につき前記記憶装置をモニタリングするために前記モジュールによって利用された訓練されたニューラルネットワークに関連する判定されたタイプの操作システムまたは二次記憶操作に基づいて、重要データを含むLBAを識別し、これにより重要データは、少なくともマスタファイルテーブル、マスタブートレコード、ブートセクタ、BIOSパラメータブロック、または記憶装置に関連するファイルシステムの拡張BIOSパラメータブロックを含む。 - 前記方法は、前記モジュールを使用して、前記ミラーリングされた命令およびコンテンツに基づいて、前記記憶装置において発生したと判定された悪意のある動作を使用して、前記訓練されたニューラルネットワークを最適化するステップをさらに含む、請求項9に記載の方法。
- 前記方法が、以下のステップをさらに含む、請求項9または13に記載の方法:
ロックダウンは、モジュールを使用して、ミラーリングされた命令およびコンテンツに基づいて、記憶装置で悪意のある動作が発生したと判断されたことに応答して、記憶装置をロックダウンする。 - 訓練されたニューラルネットワークが人工ニューラルネットワークを含む、請求項9~14のいずれかに記載の方法。
- 前記人工ニューラルネットワークは、RNN(Recurrent Neural Network)またはCNN(Convolutional Neural Network)を含む、請求項15に記載の方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SG10202009754Q | 2020-10-01 | ||
SG10202009754QA SG10202009754QA (en) | 2020-10-01 | 2020-10-01 | Module and method for detecting malicious activities in a storage device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022059563A JP2022059563A (ja) | 2022-04-13 |
JP7202030B2 true JP7202030B2 (ja) | 2023-01-11 |
Family
ID=73698205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021130997A Active JP7202030B2 (ja) | 2020-10-01 | 2021-08-11 | 記憶装置内の悪意のある動作を検出するためのモジュールおよび方法 |
Country Status (10)
Country | Link |
---|---|
US (1) | US11055443B1 (ja) |
EP (1) | EP3979118B1 (ja) |
JP (1) | JP7202030B2 (ja) |
KR (1) | KR102363182B1 (ja) |
CN (1) | CN114282228B (ja) |
AU (1) | AU2021204804B1 (ja) |
CA (1) | CA3126591A1 (ja) |
IL (1) | IL286431B2 (ja) |
SG (1) | SG10202009754QA (ja) |
TW (1) | TWI751928B (ja) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160041778A1 (en) | 2014-08-06 | 2016-02-11 | Seagate Technology Llc | Managing data within a storage device based on file system metadata |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8490194B2 (en) | 2006-01-31 | 2013-07-16 | Robert Moskovitch | Method and system for detecting malicious behavioral patterns in a computer, using machine learning |
CN103853979B (zh) | 2010-12-31 | 2018-01-16 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
US9317690B2 (en) * | 2011-03-28 | 2016-04-19 | Mcafee, Inc. | System and method for firmware based anti-malware security |
CN106021147B (zh) * | 2011-09-30 | 2020-04-28 | 英特尔公司 | 在逻辑驱动器模型下呈现直接存取的存储设备 |
WO2013095568A1 (en) * | 2011-12-22 | 2013-06-27 | Intel Corporation | Systems and methods for providing anti-malware protection and malware forensics on storage devices |
US9185079B2 (en) * | 2011-12-22 | 2015-11-10 | Intel Corporation | Method and apparatus to tunnel messages to storage devices by overloading read/write commands |
US9270657B2 (en) * | 2011-12-22 | 2016-02-23 | Intel Corporation | Activation and monetization of features built into storage subsystems using a trusted connect service back end infrastructure |
CN102737186B (zh) | 2012-06-26 | 2015-06-17 | 腾讯科技(深圳)有限公司 | 恶意文件识别方法、装置及存储介质 |
US10198595B2 (en) * | 2015-12-22 | 2019-02-05 | Walmart Apollo, Llc | Data breach detection system |
US10121010B2 (en) * | 2016-05-12 | 2018-11-06 | Endgame, Inc. | System and method for preventing execution of malicious instructions stored in memory and malicious threads within an operating system of a computing device |
CN107742079B (zh) | 2017-10-18 | 2020-02-21 | 杭州安恒信息技术股份有限公司 | 恶意软件识别方法及系统 |
US10963394B2 (en) * | 2018-04-16 | 2021-03-30 | Samsung Electronics Co., Ltd. | System and method for optimizing performance of a solid-state drive using a deep neural network |
US10944789B2 (en) | 2018-07-25 | 2021-03-09 | Easy Solutions Enterprises Corp. | Phishing detection enhanced through machine learning techniques |
US10769018B2 (en) * | 2018-12-04 | 2020-09-08 | Alibaba Group Holding Limited | System and method for handling uncorrectable data errors in high-capacity storage |
-
2020
- 2020-10-01 SG SG10202009754QA patent/SG10202009754QA/en unknown
- 2020-12-11 US US17/119,348 patent/US11055443B1/en active Active
- 2020-12-11 EP EP20213607.3A patent/EP3979118B1/en active Active
-
2021
- 2021-03-12 TW TW110108901A patent/TWI751928B/zh active
- 2021-04-08 CN CN202110377934.7A patent/CN114282228B/zh active Active
- 2021-07-08 AU AU2021204804A patent/AU2021204804B1/en active Active
- 2021-08-02 CA CA3126591A patent/CA3126591A1/en active Pending
- 2021-08-11 JP JP2021130997A patent/JP7202030B2/ja active Active
- 2021-09-14 IL IL286431A patent/IL286431B2/en unknown
- 2021-09-28 KR KR1020210127969A patent/KR102363182B1/ko active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160041778A1 (en) | 2014-08-06 | 2016-02-11 | Seagate Technology Llc | Managing data within a storage device based on file system metadata |
Non-Patent Citations (1)
Title |
---|
戸田 賢二 ほか,ディスクI/Oのハードウェアモニタリングによるファイルアクセス解析手法,情報処理学会 研究報告,情報処理学会,2015年02月27日,第2015-SLDM-170巻, 第40号,pp.1-5 |
Also Published As
Publication number | Publication date |
---|---|
TW202215279A (zh) | 2022-04-16 |
NZ778067A (en) | 2021-08-27 |
CN114282228B (zh) | 2022-11-01 |
EP3979118B1 (en) | 2023-06-07 |
IL286431A (en) | 2022-04-01 |
US11055443B1 (en) | 2021-07-06 |
JP2022059563A (ja) | 2022-04-13 |
TWI751928B (zh) | 2022-01-01 |
KR102363182B1 (ko) | 2022-02-14 |
CA3126591A1 (en) | 2022-04-01 |
AU2021204804B1 (en) | 2021-09-09 |
IL286431B1 (en) | 2023-09-01 |
SG10202009754QA (en) | 2020-11-27 |
EP3979118A1 (en) | 2022-04-06 |
IL286431B2 (en) | 2024-01-01 |
EP3979118C0 (en) | 2023-06-07 |
CN114282228A (zh) | 2022-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI471726B (zh) | 快取資料與元資料之管理 | |
TWI494762B (zh) | 用於管理快取資料及元資料的方法、電腦儲存媒體與電腦 | |
US11657022B2 (en) | Host and storage system for securely deleting files and operating method of the host | |
US20130151761A1 (en) | Data storage device storing partitioned file between different storage mediums and data management method | |
US20080046997A1 (en) | Data safe box enforced by a storage device controller on a per-region basis for improved computer security | |
US9529805B2 (en) | Systems and methods for providing dynamic file system awareness on storage devices | |
US10459803B2 (en) | Method for management tables recovery | |
TWI498738B (zh) | 檔案保護方法與系統及其記憶體控制器與記憶體儲存裝置 | |
US8433847B2 (en) | Memory drive that can be operated like optical disk drive and method for virtualizing memory drive as optical disk drive | |
CN111984441B (zh) | 瞬间断电回复处理方法及装置以及计算机可读取存储介质 | |
US8776232B2 (en) | Controller capable of preventing spread of computer viruses and storage system and method thereof | |
JP7202030B2 (ja) | 記憶装置内の悪意のある動作を検出するためのモジュールおよび方法 | |
US20140059291A1 (en) | Method for protecting storage device data integrity in an external operating environment | |
JP5649709B2 (ja) | メモリシステム、不揮発性記憶装置、不揮発性記憶装置の制御方法およびプログラム | |
CN116089327A (zh) | 数据保护方法及相关设备 | |
US11256435B2 (en) | Method and apparatus for performing data-accessing management in a storage server | |
NZ778067B2 (en) | Module and method for detecting malicious activities in a storage device | |
NZ778588A (en) | Systems and methods for processing metadata | |
US10019574B2 (en) | Systems and methods for providing dynamic file system awareness on storage devices | |
JP2006018602A (ja) | 3.5インチ定形型ディスク形状を持ったデータトランスミッション装置 | |
Cui et al. | Towards trustable storage using SSDs with proprietary FTL | |
US20220206904A1 (en) | Device and method for managing recovery information of auxiliary storage device | |
KR102597220B1 (ko) | 데이터 완전삭제 방법 및 시스템 | |
US20240045597A1 (en) | Storage device and operation method thereof | |
JP2016177822A (ja) | メモリシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210811 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220902 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220913 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221213 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221216 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7202030 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |