KR101723100B1 - 메모리 공격 검출 - Google Patents

메모리 공격 검출 Download PDF

Info

Publication number
KR101723100B1
KR101723100B1 KR1020167003975A KR20167003975A KR101723100B1 KR 101723100 B1 KR101723100 B1 KR 101723100B1 KR 1020167003975 A KR1020167003975 A KR 1020167003975A KR 20167003975 A KR20167003975 A KR 20167003975A KR 101723100 B1 KR101723100 B1 KR 101723100B1
Authority
KR
South Korea
Prior art keywords
memory
memory device
time interval
request
amount
Prior art date
Application number
KR1020167003975A
Other languages
English (en)
Other versions
KR20160033735A (ko
Inventor
모르데하이 마르갈리트
쉬무엘 어
데이빗 허쉬버그
시몬 그루퍼
Original Assignee
엠파이어 테크놀로지 디벨롭먼트 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 filed Critical 엠파이어 테크놀로지 디벨롭먼트 엘엘씨
Publication of KR20160033735A publication Critical patent/KR20160033735A/ko
Application granted granted Critical
Publication of KR101723100B1 publication Critical patent/KR101723100B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode

Abstract

기술은 메모리 장치의 메모리 상의 잠재적 공격을 검출하는 데 유효한 시스템, 장치 및 방법에 대해 일반적으로 설명된다. 일부 예시에서, 프로세서는 요청을 메모리 장치로 전송할 수 있다. 요청은 메모리 장치의 메모리로의 메모리 기록에 관한 정보에 대한 요청을 포함할 수 있다. 프로세서는 메모리 장치로부터 응답을 수신할 수 있다. 응답은 메모리 기록에 관한 정보를 포함할 수 있다. 프로세서는 응답에 기초하여, 시간 간격 동안 기록된 메모리 장치의 메모리의 양을 결정할 수 있다. 프로세서는 기록된 메모리의 양에 기초하고 시간 간격에 기초하여 잠재적 공격을 검출할 수 있다. 프로세서는 이후 잠재적 공격의 검출에 기초하여 경보를 생성할 수 있다.

Description

메모리 공격 검출{MEMORY ATTACK DETECTION}
여기에서 달리 지적되지 않는다면, 본 섹션에서 설명되는 내용은 본 출원에서 청구범위에 대한 선행 기술이 아니며, 본 섹션에 포함함으로써 선행 기술로 인정되지 않는다.
장치는 보통 프로세서 및 메모리를 포함할 수 있다. 메모리는 메모리 컨트롤러를 포함할 수 있다. 컨트롤러는 메모리로의 기록 및 메모리로부터의 판독의 수를 계속 파악할 수 있다. 메모리는 플래시 메모리를 포함할 수 있다. 플래시 메모리는 메모리가 파괴되기 전에 한정된 수의 판독 또는 기록 사이클을 가질 수 있다.
일 예시에서, 메모리 장치의 메모리 상의 잠재적 공격을 검출하기 위한 방법이 일반적으로 설명된다. 방법은 프로세서에 의해, 요청을 메모리 장치로 전송하는 단계를 포함할 수 있다. 요청은 메모리 장치의 메모리로의 메모리 기록에 관한 정보에 대한 요청을 포함할 수 있다. 방법은 프로세서에 의해, 응답을 메모리 장치로부터 수신하는 단계를 더 포함할 수 있다. 응답은 메모리 기록에 관한 정보를 포함할 수 있다. 방법은 프로세서에 의해 그리고 응답에 기초하여, 시간 간격 동안에 기록된 메모리 장치의 메모리의 양을 결정하는 단계를 더 포함할 수 있다. 방법은 프로세서에 의해, 기록된 메모리의 양에 기초하고 시간 간격에 기초하여 잠재적 공격을 검출하는 단계를 더 포함할 수 있다. 방법은 프로세서에 의해, 잠재적 공격의 검출에 기초하여 경보를 생성하는 단계를 더 포함할 수 있다.
일 예시에서, 장치가 일반적으로 설명된다. 장치는 메모리 장치 및 프로세서를 포함할 수 있다. 메모리 장치는 메모리 및 메모리 컨트롤러를 포함할 수 있다. 프로세서는 메모리와 통신하도록 구성될 수 있다. 프로세서는 요청을 메모리 장치로 전송하는 데 유효할 수 있다. 요청은 메모리 장치의 메모리로의 메모리 기록에 관한 정보에 대한 요청을 포함할 수 있다. 프로세서는 응답을 메모리 장치로부터 수신하는 데 더 유효할 수 있다. 응답은 메모리 기록에 관한 정보를 포함할 수 있다. 프로세서는 응답에 기초하여, 시간 간격 동안 기록된 메모리 장치의 메모리의 양을 결정하는 데 더 유효할 수 있다. 프로세서는 기록된 메모리의 양에 기초하고 시간 간격에 기초하여 잠재적 공격을 검출하는 데 더 유효할 수 있다. 프로세서는 잠재적 공격의 검출에 기초하여 경보를 생성하는 데 더 유효할 수 있다.
일 예시에서, 메모리 장치의 메모리 상의 잠재적 공격을 검출하기 위한 방법이 일반적으로 설명된다. 방법은 프로세서에 의하여, 요청을 메모리 장치로 전송하는 단계를 포함할 수 있다. 요청은 메모리 장치의 메모리로의 메모리 기록 및 메모리의 판독에 관한 정보에 대한 요청을 포함할 수 있다. 방법은 프로세서에 의해, 메모리 장치로부터 응답을 수신하는 단계를 더 포함할 수 있다. 응답은 메모리 기록 및 메모리 판독에 관한 정보를 포함할 수 있다. 방법은 프로세서에 의해 그리고 응답에 기초하여, 메모리 판독의 수에 기초하고 메모리 기록의 수에 기초한 잠재적 공격을 검출하는 단계를 더 포함할 수 있다. 방법은 프로세서에 의해, 검출에 기초하여 경보를 생성하는 단계를 더 포함할 수 있다.
이상의 요약은 단순히 예시적인 것으로서 어떠한 방식으로든 제한적으로 의도된 것은 아니다. 이하의 상세한 설명과 도면을 참조함으로써, 위에서 설명된 예시적인 양태들, 실시예들, 그리고 특징들에 더하여, 추가적인 양태들, 실시예들, 그리고 특징들 또한 명확해질 것이다.
본 개시의 전술한 특징 및 다른 특징은 첨부 도면과 결합하여, 다음의 설명 및 첨부된 청구범위로부터 더욱 충분히 명백해질 것이다. 이들 도면은 본 개시에 따른 단지 몇 개의 실시예를 도시할 뿐이고, 따라서, 본 개시의 범위를 제한하는 것으로 고려되어서는 안 될 것임을 이해하면서, 본 개시는 첨부 도면의 사용을 통해 더 구체적이고 상세하게 설명될 것이다.
도 1은 메모리 공격 검출을 구현하는 데 이용될 수 있는 예시적 시스템을 예시하고;
도 2는 주기적 시간 요청에 관한 추가적인 세부사항을 예시하는 도 1의 예시적 시스템을 예시하고;
도 3은 시간 간격에 기록된 데이터의 양을 결정하도록 전송된 요청에 관한 추가적인 세부사항을 예시하는 도 1의 예시적 시스템을 예시하고;
도 4는 잠재적 비정상 활동 검출에 관한 추가적인 세부사항을 예시하는 도1의 예시적 시스템을 예시하고;
도 5는 경보 생성에 관한 추가적인 세부사항을 예시하는 도 1의 예시적 시스템을 예시하고;
도 6은 메모리 공격 검출을 구현하기 위한 예시적 프로세스에 대한 흐름도를 도시하고;
도 7은 메모리 공격 검출을 구현하는 데 이용될 수 있는 컴퓨터 프로그램 제품을 예시하며; 그리고
도 8은 메모리 공격 검출을 구현하도록 배열되는 예시적 컴퓨팅 장치를 예시하는 블록도이고,
모두 여기에서 설명된 적어도 일부 실시예에 따라 배열된다.
이하의 상세한 설명에서, 설명의 일부를 이루는 첨부된 도면이 참조된다. 문맥에서 달리 지시하고 있지 않은 한, 도면에서 유사한 부호는 통상적으로 유사한 컴포넌트를 나타낸다. 상세한 설명, 도면 및 청구범위에 설명되는 예시적인 실시예들은 제한적으로 여겨지지 않는다. 여기에서 제시되는 대상의 범위 또는 사상에서 벗어나지 않으면서 다른 실시예들이 이용될 수 있고, 다른 변경이 이루어질 수 있다. 여기에서 일반적으로 설명되고, 도면에 예시되는 본 개시의 양태는 다양한 다른 구성으로 배열, 대체, 조합, 분리 및 설계될 수 있으며 이 모두가 여기에서 명백히 고려됨이 쉽게 이해될 것이다.
본 개시는, 그 중에서도, 일반적으로 메모리 공격 검출에 관련된 방법, 기구, 시스템, 장치 및 컴퓨터 프로그램 제품을 포함하는 기술에 관련된다.
간략하게 언급하면, 기술은 메모리 장치의 메모리 상의 잠재적 공격을 검출하는 데 유효한 시스템, 장치 및 방법에 대해 일반적으로 설명된다. 일부 예시에서, 프로세서는 요청을 메모리 장치로 전송할 수 있다. 요청은 메모리 장치의 메모리로의 메모리 기록에 관한 정보에 대한 요청을 포함할 수 있다. 프로세서는 응답을 메모리 장치로부터 수신할 수 있다. 응답은 메모리 기록에 관한 정보를 포함할 수 있다. 프로세서는 응답에 기초하여, 시간 간격 동안 기록된 메모리 장치의 메모리의 양을 결정할 수 있다. 프로세서는 기록된 메모리의 양에 기초하고 시간 간격에 기초하여 잠재적 공격을 검출할 수 있다. 프로세서는 이후 잠재적 공격의 검출에 기초하여 경보를 생성할 수 있다.
도 1은 여기에서 설명된 적어도 일부 실시예에 따라 배열된, 메모리 공격 검출을 구현하는 데 이용될 수 있는 예시적 시스템을 예시한다. 도시된 바와 같이, 예시적 시스템(100)은 장치(102)를 포함할 수 있다. 장치(102)는 모두 서로 통신하도록 구성된 프로세서(104), 제1 메모리(106), 제2 메모리(118) 및/또는 메모리 액세스 모니터 모듈(110)을 포함할 수 있다. 메모리 액세스 모니터 모듈(110)은 소프트웨어에 의해 구현될 수 있고, 하드웨어의 일부로서, 프로세서에 의해 또는 하드웨어 및 소프트웨어의 조합에 의해 실행될 수 있다. 제1 메모리(106)는 예컨대, 플래시 메모리 같은 메모리 장치일 수 있고, 컨트롤러(108)를 포함할 수 있다. 컨트롤러(108)는 제1 메모리(106)로의 기록 및/또는 판독을 제어할 수 있다. 컨트롤러(108)는 제1 메모리(106)의 기록 및/또는 판독에 관한 데이터를 유지할 수 있다.
장치(102)의 운영 체제는 제2 메모리(118)에 저장될 수 있다. 메모리 액세스 모니터 모듈(110)이 소프트웨어에서 구현되는 예시에서, 메모리 액세스 모니터 모듈(110)은 제2 메모리(118) 내 점선에 의해 예시된 것처럼, 장치(102)의 운영체제 내에 예시될 수 있다. 메모리 액세스 모니터 모듈(110)은 또한 (점선으로 도시된 것처럼) 제1 메모리(106) 중 하나 이상, (점선으로 도시된 것처럼) 컨트롤러(108), 장치(102)에 의해 실행된 애플리케이션 및/또는 장치(102)와 연관된 다른 위치에 예시될 수 있다. 프로세서(104)는 하나 이상의 명령어(120)를 프로세싱하도록 구성될 수 있다. 프로세서(104)는 제1 메모리(106)의 데이터 블록에 기록하도록 기록 요청(122)을 컨트롤러(108)로 전송하기 위한 명령어(120)를 실행할 수 있다. 기록 요청(122)은 제1 메모리(106)의 데이터 블록 내의 값을 저장하기 위한 요청을 포함할 수 있다.
이하에서 더 상세하게 설명될 바와 같이, 메모리 액세스 모니터 모듈(110)은 제1 메모리(106) 상의 공격을 검출할 수 있다. 메모리 액세스 모니터 모듈(110)은 요청(112)을 컨트롤러(108)로 전송할 수 있다. 요청(112)은 제1 메모리(106)로의 메모리 기록에 관한 정보에 대한 요청을 포함할 수 있다. 요청(112)에 응답하여, 컨트롤러(108)는 응답(114)을 생성할 수 있다. 메모리 액세스 모니터 모듈(110)은 응답(114)을 수신할 수 있다. 응답(114)은 제1 메모리(106)로의 메모리 기록에 관한 정보를 포함할 수 있다. 응답(114)에 기초하여, 메모리 액세스 모니터 모듈(110)은 시간 간격 동안 기록된 제1 메모리(106)의 양을 결정할 수 있다. 메모리 액세스 모니터 모듈(110)은 기록된 메모리의 양에 기초하고 시간 간격에 기초하여 잠재적 메모리 공격을 검출할 수 있다. 메모리 액세스 모니터 모듈(110)은 또한 메모리 기록의 수에 대응하는 애플리케이션을 식별할 수 있다. 메모리 액세스 모니터 모듈(110)이 잠재적 메모리 공격을 검출하면, 메모리 액세스 모니터 모듈(110)은 경보(116)를 생성할 수 있다. 경보(116)는 잠재적 메모리 공격이 제1 메모리(106) 상에 수행되고 있다는 경고를 포함할 수 있다. 경보(116)는 제1 메모리(106) 상의 하나 이상의 잠재적 메모리 공격을 중지하도록 구현될 수 있는 하나 이상의 행동을 포함할 수 있다.
도 2는 여기에서 설명된 적어도 일부 실시예에 따라 배열된, 주기적 시간 요청에 관한 추가적인 세부사항을 예시하는 예시적 시스템(100)을 예시한다. 도 2에 도시된 시스템(100)은 추가적인 세부사항과 함께 실질적으로 도 1의 시스템(100)에 유사하다. 도 1의 컴포넌트와 동일하게 라벨 붙여진 도 2의 컴포넌트는 명확성의 목적을 위하여 다시 설명되지 않을 것이다.
프로세서(104)는 제1 메모리(106)로의 메모리 기록을 수행하도록 하나 이상의 기록 요청(122)을 컨트롤러(108)로 전송하기 위한 명령어(120)를 실행할 수 있다. 명령어(120)는 하나 이상의 프로그램 또는 애플리케이션과 연관될 수 있다. 일 예시에서, 기록 요청(122)은 제1 메모리(106) 내 특정 데이터 블록에 값 또는 값들을 계속적으로 저장하려고 할 수 있다. 컨트롤러(108)는 제1 메모리(106) 내 특정 데이터 블록에 계속적으로 값들을 저장하도록 기록 요청(122)을 허락할 수 있다. 예컨대, 명령어(120)는 특정 데이터 블록에 연속적으로 더 높은 정수 값을 계속하여 기록하도록 프로세서(104)에 지시할 수 있다. 제1 메모리(106)로의 일정한 수의 메모리 기록 이후, 특정한 데이터 블록 및 결국에는 (플래시 메모리일 수 있는) 제1 메모리(106)가 파괴될 수 있다. 그러한 파괴에서, 공격을 받는 특정한 데이터 블록은 더 이상 정보를 저장하지 못할 수 있다.
제1 메모리(106) 상의 그러한 메모리 공격을 방지하기 위해, 메모리 액세스 모니터 모듈(110)은 요청(212)을 컨트롤러(108)로 전송할 수 있다. 요청(212)은 주기적 시간 간격으로 전송될 수 있다. 메모리 액세스 모니터 모듈(110)은 요청(212)을 전송하는 특정한 시간 간격을 결정할 수 있다. 예시적인 간격은 매시간 또는 매일일 수 있다. 요청(212)은 제1 메모리(106)로의 메모리 기록에 관한 요청일 수 있다.
일 예시에서, 메모리 액세스 모니터 모듈(110)은 매 정시마다 요청(212)을 전송하도록 구성될 수 있다. 컨트롤러(108)는 응답(214)을 생성할 수 있고 응답(214)을 메모리 액세스 모니터 모듈(110)로 전송할 수 있다. 응답(214)은 요청(212) 시간에서 제1 메모리(106)로 기록된 데이터의 양을 포함할 수 있다. 메모리 액세스 모니터 모듈(110)은 응답(214)을 수신할 수 있다. 메모리 액세스 모니터 모듈(110)은 응답(214) 내 식별된 제1 메모리(106)에 저장된 정보의 양과 이전 응답 내 식별된 제1 메모리(106)에 저장된 정보의 양 간의 차이를 결정할 수 있다. 차이가 미리 정해진 임계 값을 초과하면, 메모리 액세스 모니터 모듈(110)은 경보(116)를 생성할 수 있다. 임계 값은 제1 메모리(106)에 액세스하는 프로그램 또는 애플리케이션에 기초할 수 있다. 예컨대, 지정된 기간에 대해 제1 메모리(106)에 많은 양의 데이터를 기록하는 애플리케이션은 지정된 기간에 대해 제1 메모리(106)에 적은 양의 데이터를 기록하는 애플리케이션에 비교하여 비례적으로 높은 임계 값을 가질 수 있다.
일 예시에서, 메모리 액세스 모니터 모듈(110)은 요청(212)을 오후 한시에 전송할 수 있다. 요청(212)에 응답하여, 컨트롤러(108)는 응답(214)을 메모리 액세스 모니터 모듈(110)로 전송할 수 있다. 응답(214)은 127,000 MB의 정보가 요청(212) 시간에 제1 메모리(106)에 기록되었음을 나타낼 수 있다. 메모리 액세스 모니터 모듈(110)은 126,862 MB의 정보가 한 시간 전에 전송된 이전 응답의 제1 메모리(106)에 기록되었음을 결정할 수 있다. 메모리 액세스 모니터 모듈(110)은 차이 값을 생성하기 위해 응답(214)의 정보 양에서 이전 응답의 정보 양을 뺄 수 있다. 현재 예시에서, 차이는 127,000 MB - 126, 862 MB = 138 MB와 같다. 메모리 액세스 모니터 모듈(110)은 이러한 차이 값을 한 시간 기간 내 메모리 기록에 대한 임계 값과 비교할 수 있다. 예시에서, 한 시간 기간 내의 메모리 기록에 대한 임계 값은 100MB일 수 있다. 138 MB의 차이 값이 100 MB의 임계 값을 초과함에 따라, 메모리 액세스 모니터 모듈(110)은 경보(116)를 생성할 수 있다. 차이 값이 임계 값을 초과하지 않으면, 장치(102)는 다음 요청(212)이 생성될 때까지 계속하여 정상적으로 동작할 수 있다.
도 3은 여기에서 설명된 적어도 일부 실시예에 따라 배열된, 시간 간격에 기록된 데이터의 양을 결정하도록 전송된 요청에 관한 추가적인 세부사항을 예시하는 예시적 시스템(100)을 예시한다. 도 3에 도시된 시스템(100)은 추가적인 세부사항과 함께 실질적으로 도 1의 시스템(100)에 유사하다. 도 1 및 도 2의 컴포넌트와 동일하게 라벨 붙여진 도 3의 컴포넌트는 명확성의 목적을 위하여 다시 설명되지 않을 것이다.
다른 예시에서, 메모리 액세스 모니터 모듈(110)은 클럭(316)의 제1 시간을 식별할 수 있다. 메모리 액세스 모니터 모듈(110)은 요청(312)을 컨트롤러(108)로 전송할 수 있다. 요청(312)은 매분에 한 번과 같이 주기적으로 제1 메모리(106)로 전송될 수 있다. 요청(312)은 제1 메모리(106)로 기록된 데이터의 양에 대한 컨트롤러(106)로의 요청일 수 있다. 컨트롤러(108)는 제1 메모리(106)에 기록된 데이터의 양을 식별하는 (314a 및 314b로 도시된) 하나 이상의 응답(314)으로 답할 수 있다. 기록된 데이터의 양이 정의된 데이터 임계보다 크거나 정의된 데이터 임계와 같은 예시에서, 메모리 액세스 모니터 모듈(110)은 클럭(316)의 제2 시간을 결정할 수 있다. 메모리 액세스 모니터 모듈(110)은 이후 제1 시간 및 제2 시간 간의 시간 간격을 결정할 수 있다. 시간 간격이 시간 임계보다 적으면, 메모리 액세스 모니터 모듈(110)은 경보(116)를 생성할 수 있다.
예컨대, 클럭(316)의 제1 시간에서, 응답(314a)은 제1 메모리(106)에 기록된 2GB의 데이터를 나타낼 수 있다. 클럭의 다음 시간에서, 다음 응답(314b)은 제1 메모리(106)에 기록된 3GB의 데이터를 나타낼 수 있다. 1GB(3GB-2GB)가 정의된 데이터 임계에 대응하면, 메모리 액세스 모니터 모듈(110)은 제2 시간을 결정할 수 있다. 메모리 액세스 모니터 모듈(110)은 이후 제1 시간 및 제2 시간 간의 시간 간격을 결정할 수 있다. 시간 간격이 시간 임계보다 적으면, 메모리 액세스 모니터 모듈(110)은 경보(116)를 생성할 수 있다.
일 예시에서, 메모리 액세스 모니터 모듈(110)은 매분에 한번 요청(312)을 전송하도록 구성될 수 있다. 예시에서, 메모리 액세스 모니터 모듈(110)은 초기 요청을 오후 2시 31분(클럭(316)의 제1 시간)에 전송할 수 있다. 장치(102)는 1GB의 정의된 데이터 임계를 가질 수 있다. 요청(312)에 응답하여, 컨트롤러(108)는 응답(314a)을 메모리 액세스 모니터 모듈(110)로 전송할 수 있다. 응답(314a)은 제 1 메모리(106)로 기록된 0.3GB의 데이터를 나타낼 수 있다. 메모리 액세스 모니터 모듈(110)은 응답(314b)이 정의된 데이터 임계(현재 예시에서 1GB)에 도달하였음을 나타낼 때까지 요청(312)을 계속해서 전송할 수 있다. 응답(314b)이 1.0GB의 데이터가 제1 메모리(106)로 기록되었음을 나타내는 경우, 클럭(316)은 시간이 오후 3시 17분(클럭(316)의 제2 시간)임을 나타낼 수 있다. 메모리 액세스 모니터 모듈(110)은 시간 간격이 46분(3:17 PM - 2:31 PM = 0시간, 46분 또는
Figure 112016015361568-pct00001
시간)임을 결정할 수 있다. 메모리 액세스 모니터 모듈(110)은 46분의 시간 간격을 시간 임계와 비교할 수 있다. 예시에서, 시간 임계는 1 시간일 수 있다. 시간 차이 값이 시간 임계보다 적음(46 분 < 1 시간)에 따라, 메모리 액세스 모니터 모듈(110)은 경보(116)를 생성할 수 있다. 차이 값이 시간 임계를 초과하면, 장치(102)는 다음 요청(312)이 생성될 때까지 계속하여 정상적으로 동작할 수 있다.
도 4는 여기에서 설명된 적어도 일부 실시예에 따라 배열된, 잠재적 비정상 활동 검출에 관한 추가적인 세부사항을 예시하는 예시적 시스템(100)을 예시한다. 도 4에 도시된 시스템(100)은 추가적인 세부사항과 함께 실질적으로 도 1의 시스템(100)에 유사하다. 도 1, 도 2 및 도 3의 컴포넌트와 동일하게 라벨 붙여진 도 4의 컴포넌트는 명확성의 목적을 위하여 다시 설명되지 않을 것이다.
메모리 액세스 모니터 모듈(110)은 요청(412)을 컨트롤러(108)로 전송할 수 있다. 요청(412)은 제1 메모리(106)의 메모리 기록 및 판독과 수에 관한 정보에 대한 요청일 수 있다. 컨트롤러(108)는 응답(415)을 메모리 액세스 모니터 모듈(110)에 전송할 수 있다. 응답(415)은 제1 메모리(106)의 메모리 기록 및 판독과 수에 관한 정보일 수 있다.
응답(415)에 기초하여, 메모리 액세스 모니터 모듈(110)은 제1 메모리(106) 상에 수행된 하나 이상의 잠재적 비정상 활동을 검출하도록 구성될 수 있다. 비정상 활동은 제1 메모리(106) 상의 잠재적 공격을 반영할 수 있다. 비정상 활동의 일 예시는 제1 메모리(106) 내 데이터 블록의 저장된 값을 판독하지 않으면서 제1 메모리(106)의 데이터 블록을 계속적으로 기록하는 애플리케이션일 수 있다. 비정상 활동의 다른 예시는 제1 메모리(106)의 데이터 블록 상의 메모리 판독보다 불균형적으로 많은 메모리 기록을 수행하는 애플리케이션일 수 있다. 예컨대, 비정상 활동은 데이터 블록으로의 메모리 기록이 데이터 블록의 판독 수보다 10배 많을 경우 검출될 수 있다. 비정상 활동의 다른 예시는 제1 메모리(106)의 데이터 블록에 "쓰레기 데이터"를 계속적으로 기록하는 프로그램일 수 있다. 그러한 쓰레기 데이터는 실행되는 프로그램 또는 애플리케이션에 의하여 도달할 수 없는 데이터를 포함할 수 있다. 데이터는 데이터에 대해 포인터 및 참조가 없는 곳에 도달할 수 없을 수 있다. 비정상 활동은 메모리 기록의 임계 수가 포인터 없이 제1 메모리(106) 내 위치와 관련되는 경우 검출될 수 있다. 메모리 액세스 모니터 모듈(110)이 하나 이상의 비정상 활동을 검출하면, 메모리 액세스 모니터 모듈(110)은 경보(116)를 생성할 수 있다.
도 5는 여기에서 설명된 적어도 일부 실시예에 따라 배열된, 경보 생성에 관한 추가적인 세부사항을 예시하는 예시적 시스템(100)을 예시한다. 도 5에 도시된 시스템(100)은 추가적인 세부사항과 함께 실질적으로 도 1의 시스템(100)에 유사하다. 도 1, 도 2, 도 3 및 도 4의 컴포넌트와 동일하게 라벨 붙여진 도 5의 컴포넌트는 명확성의 목적을 위하여 다시 설명되지 않을 것이다.
위에서 설명된 바와 같이, 메모리 액세스 모니터 모듈(110)은 잠재적 메모리 공격이 검출되는 경우 경보(116)를 생성할 수 있다. 경보(116)는 잠재적 메모리 공격이 제1 메모리(106) 상에 수행되고 있다는 경고일 수 있다. 경보(116)는 제1 메모리(106) 상에 수행된 행동의 수 및/또는 유형에 관한 정보를 포함할 수 있다. 경보(116)가 생성되는 이후, 추가적인 정보가 메모리 액세스 모니터 모듈(110)에 의해 수집될 수 있다. 추가적인 정보는 프로세서(104)에 의해 실행되는 애플리케이션 또는 스레드(thread)의 식별 및 이러한 애플리에이션 또는 스레드 중 어떤 것이 잠재적 메모리 공격을 수행하는지의 결정을 포함할 수 있다. 예컨대, 메모리 액세스 모니터 모듈(110)은 어떤 애플리케이션이 경보(116) 생성을 하기에 충분한 방식으로 제1 메모리(106)에 액세스했는지 결정할 수 있다.
경보(116)는 사용자 인터페이스(530)를 통해서와 같이 사용자(526)에게 제공될 수 있다. 사용자(526)는 장치(102)의 사용자일 수 있다. 사용자 인터페이스(530)는 PDA, 컴퓨팅 장치, 태블릿 또는 사용자(526)에게 경보(116)를 제공할 수 있는 다른 장치를 포함할 수 있다. 경보(116)에 기초하여, 사용자(526)는 장치(102)에 관해 행하기에 적절한 행동(532)을 결정할 수 있다. 경보(116)는 또한 메모리 액세스 모니터 모듈(110)에 의해 자동적으로 취해질 하나 이상의 행동(532)을 포함할 수 있다. 행동(532)은 예컨대, 장치(102)를 재시작하기 위한 명령어의 생성하는 것 및/또는 제1 메모리(106) 상의 메모리 공격을 수행하는 것으로 의심되는 하나 이상의 애플리케이션을 식별하는 것을 포함할 수 있다. 메모리 액세스 모니터 모듈(110)은 하나 이상의 애플리케이션이 제1 메모리(106)를 액세스하는 것으로부터 방지하는 데 유효한 신호를 생성할 수 있다. 다른 행동은 애플리케이션을 제1 메모리(106)의 일부에 액세스하는 것으로 제한하는 데 유효한 신호를 생성하는 것을 포함할 수 있다.
경보(116)는 네트워크(524)에 제공될 수 있다. 네트워크(524)는 장치(102)와 통신하도록 구성된 하나 이상의 장치의 네트워크일 수 있다. 경보(116)는 장치(102) 상에서 수행되는 잠재적 메모리 공격에 관한 네트워크(524)에 정보를 제공할 수 있다. 네트워크(524)는 네트워크 명령 센터(528)를 포함할 수 있다. 네트워크 명령 센터(528)는 네트워크(524) 내의 다른 장치를 제어하도록 구성된 장치일 수 있다. 경보(116)를 수신하면, 네트워크 명령 센터(528)는 네트워크(524) 내 다른 장치에 관해 행하기 위한 하나 이상의 적절한 행동을 결정할 수 있다.
다른 가능한 이점 중에서, 본 개시에 따른 시스템은 플래시 메모리를 포함하는 메모리 상의 잠재적 공격을 검출하고 방지할 수 있다. 시스템은 메모리 기록 및 판독을 감시할 수 있다. 잠재적 공격이 검출되는 경우, 시스템은 공격을 방지하기 위한 하나 이상의 행동을 행할 수 있다. 그러한 행동은 공격하는 애플리케이션을 식별하는 것과 애플리케이션의 메모리 액세스를 메모리 주소의 정의된 세트로 제한하는 것을 포함할 수 있다. 시스템은 또한 메모리 상의 잠재적 공격이 일어나는 것을 네트워크 명령 센터 또는 사용자에게 경보를 알릴 수 있다. 메모리 공격은 본 개시 없이는 배터리에 의해 전력이 공급되지 않아서 지속적인 메모리 공격이 달리 알려지지 않을 수 있는 예시에서 특히 문제될 수 있다. 그러한 방지는, 결국, 메모리 공격을 겪는 시스템 내 메모리를 대체함에 있어 시간과 돈을 절약할 수 있다. 본 개시에 따른 시스템은 장치 내 메모리가 달리 액세스하기 어려울 수 있는 시나리오에서 유용할 수 있다.
도 6은 여기에서 설명된 적어도 일부 실시예에 따라 배열된, 메모리 공격 검출을 구현하기 위한 예시적 프로세스에 대한 흐름도를 도시한다. 일부 예시에서, 도 6의 프로세스는 위에서 논의된 시스템(100)을 사용하여 구현될 수 있고, 잠재적 메모리 공격을 검출하는 데 사용될 수 있다. 예시적 프로세스는 블록 S2, S4, S6, S8 및/또는 S10 중 하나 이상에 의해 예시되는 하나 이상의 동작, 행동 또는 기능을 포함할 수 있다. 별개 블록으로 예시되었지만, 다양한 블록이 요구되는 구현에 따라 추가적인 블록으로 나누어지거나, 더 적은 블록으로 조합되거나, 제거될 수 있다. 도 6의 프로세스는 메모리 및 메모리 컨트롤러를 포함하는 메모리 장치에 의해 사용될 수 있다. 도 6의 프로세스는 또한 메모리와 통신하도록 구성된 프로세서를 포함할 수 있다.
프로세싱은 "요청을 메모리 장치로 전송 - 요청은 메모리 장치의 메모리로의 메모리 기록에 관한 정보에 대한 요청을 포함할 수 있음 -"하는 블록 S2에서 시작할 수 있다. 블록 S2에서, 프로세서는 요청을 메모리 장치로 전송할 수 있다. 요청은 메모리 장치의 메모리로의 메모리 기록에 관한 정보에 대한 요청을 포함할 수 있다.
프로세싱은 블록 S2에서 "응답을 메모리 장치로부터 수신 - 응답은 메모리 기록에 관한 정보를 포함할 수 있음 -"하는 블록 S4으로 계속될 수 있다. 블록 S4에서, 응답은 프로세서에 의해 수신될 수 있다. 응답은 메모리 기록에 관한 정보를 포함할 수 있다.
프로세싱은 블록 S4에서 "응답에 기초하여, 시간 간격 동안 기록된 메모리 장치의 메모리의 양을 결정"하는 블록 S6으로 계속될 수 있다. 블록 S6에서, 프로세서는 응답에 기초하여, 시간 간격 동안 기록된 메모리 장치의 메모리의 양을 결정할 수 있다. 일 예시에서, 이러한 결정은 메모리 장치의 메모리의 정의된 양이 기록되는 경우 특정한 시간 간격을 결정하는 것과 특정 간격과 임계를 비교하는 것을 포함할 수 있다. 그러한 임계의 일 예시에서, 임계는 메모리 장치를 액세스하는 애플리케이션에 기초할 수 있다. 다른 예시에서, 결정은 정의된 시간 간격이 지난 경우 기록된 특정한 양의 메모리를 결정하는 것과 특정한 양의 메모리를 임계와 비교하는 것을 포함할 수 있다. 그러한 임계의 일 예시에서, 임계는 메모리 장치를 액세스하는 애플리케이션에 기초할 수 있다.
프로세싱은 블록 S6에서 "기록된 메모리의 양에 기초하고 시간 간격에 기초하여 잠재적 공격을 검출"하는 블록 S8로 계속될 수 있다. 블록 S8에서, 프로세서는 기록된 메모리의 양에 기초하고 시간 간격에 기초하여 잠재적 공격을 검출할 수 있다.
프로세싱은 블록 S8에서 "잠재적 공격의 검출에 기초하여 경보를 생성"하는 블록 S10으로 계속될 수 있다. 블록 S10에서, 프로세서는 잠재적 공격의 검출에 기초하여 경보를 생성할 수 있다. 일 예시에서, 경보를 생성하는 것은 사용자 인터페이스 상에 경고를 생성하는 것을 포함할 수 있다. 다른 예시에서, 경보를 생성하는 것은 메모리 기록에 대응하는 애플리케이션을 식별하는 것과 애플리케이션이 메모리 장치의 메모리를 액세스하는 것을 방지하는 데 유효한 신호를 생성하는 것을 더 포함할 수 있다. 다른 예시에서, 경보를 생성하는 것은 메모리 장치의 메모리의 일부로의 메모리 기록에 대응하는 식별된 애플리케이션을 제한하는 데 유효한 신호를 생성하는 것을 포함할 수 있다. 다른 예시에서, 경보를 생성하는 것은 메모리 장치를 포함하는 장치를 재시작하기 위한 명령어를 생성하는 것을 더 포함할 수 있다.
도 7은 여기에서 설명된 적어도 일부 실시예에 따라 배열된, 메모리 공격 검출을 구현하는 데 이용될 수 있는 컴퓨터 프로그램 제품(700)을 예시한다. 프로그램 제품(700)은 신호 베어링 매체(702)를 포함할 수 있다. 신호 베어링 매체(702)는 예컨대, 프로세서에 의해 실행될 경우, 도 1 내지 도 6에 대해 위에서 설명된 기능을 제공할 수 있는 하나 이상의 명령어(704)를 포함할 수 있다. 따라서, 예컨대, 시스템(100)을 참조하면, 프로세서(104)는 매체(702)에 의해 시스템(100)에 전달된 명령어(704)에 응답하여 도 7에 도시된 블록 중 하나 이상을 착수할 수 있다.
일부 구현예에서, 신호 베어링 매체(702)는 하드 디스크 드라이브, CD(compact disc), DVD(digital video disk), 디지털 테이프, 메모리 등과 같은 컴퓨터 판독 가능 매체(706)를 포함할 수 있으나, 이에 제한되지는 않는다. 일부 구현예에서, 신호 베어링 매체(702)는 메모리, 읽기/쓰기(R/W) CD, R/W DVD 등과 같은 기록 가능 매체(708)를 포함할 수 있으나, 이에 제한되지는 않는다. 일부 구현예에서, 신호 베어링 매체(702)는 디지털 및/또는 아날로그 통신 매체(예컨대, 광섬유 케이블, 도파관(waveguide), 유선 통신 링크, 무선 통신 링크 등)와 같은 통신 매체(710)를 포함할 수 있으나, 이에 제한되지는 않는다. 따라서, 예컨대, 프로그램 제품(700)은, 신호 베어링 매체(702)가 무선 통신 매체(710)(예컨대, IEEE 802.11 표준에 따르는 무선 통신 매체)에 의해 전달되는 RF 신호 베어링 매체(702)에 의하여 시스템(100)의 하나 이상의 모듈로 전달될 수 있다.
도 8은 여기에서 설명된 적어도 일부 실시예들에 따라 배열된, 메모리 공격 검출을 구현하도록 배열되는 예시적 컴퓨팅 장치(800)를 예시하는 블록도이다. 매우 기본 구성(802)에서, 컴퓨팅 장치(800)는 보통 하나 이상의 프로세서(804) 및 시스템 메모리(806)를 포함한다. 메모리 버스(808)는 프로세서(804)와 시스템 메모리(806) 사이의 통신에 사용될 수 있다.
요구되는 구성에 따라, 프로세서(804)는 마이크로프로세서(μP), 마이크로컨트롤러(μC), 디지털 신호 프로세서(DSP) 또는 그 임의의 조합을 포함하는 임의의 유형일 수 있지만, 이에 한정되는 것은 아니다. 프로세서(804)는 레벨 1 캐시(810) 및 레벨 2 캐시(812)와 같은 하나 이상의 레벨의 캐싱, 프로세서 코어(814) 및 레지스터(816)를 포함할 수 있다. 예시적인 프로세서 코어(814)는 ALU(arithmetic logic unit), FPU(floating point unit), DSP 코어(digital signal processing core) 또는 그 임의의 조합을 포함할 수 있다. 예시적인 메모리 컨트롤러(818)는 또한 프로세서(804)와 사용될 수 있거나 또는 일부 구현예에서, 메모리 컨트롤러(818)는 프로세서(804)의 내부 부품일 수 있다.
요구되는 구성에 따라, 시스템 메모리(806)는 (RAM과 같은) 휘발성 메모리, (ROM, 플래시 메모리 등과 같은) 비휘발성 메모리 또는 그 임의의 조합을 포함할 수 있지만, 이에 제한되지 않는 임의의 유형일 수 있다. 시스템 메모리(806)는 운영 체제(820), 하나 이상의 애플리케이션(822) 및 프로그램 데이터(824)를 포함할 수 있다. 애플리케이션(822) 도 1 내지 도 7의 시스템(100)에 대하여 설명된 기능을 포함하는 여기에서 설명된 기능을 수행하도록 배열되는 메모리 공격 검출 알고리즘(826)을 포함할 수 있다. 프로그램 데이터(824)는 여기에서 설명되는 메모리 공격 검출을 구현하는 데 유용할 수 있는 메모리 공격 검출 데이터(828)를 포함할 수 있다. 일부 실시예에서, 애플리케이션(822)은 메모리 공격 검출이 제공될 수 있도록 운영 체제(820) 상에 프로그램 데이터(824)와 동작하도록 배열될 수 있다. 이 설명된 기본 구성(802)은 내부 파선 내의 그 컴포넌트에 의해 도 8에 예시된다.
컴퓨팅 장치(800)는 추가적인 특징 또는 기능 및 기본 구성(802)과 임의의 요구되는 장치와 인터페이스 간 통신을 용이하게 하기 위한 추가적인 인터페이스를 가질 수 있다. 예를 들면, 버스/인터페이스 컨트롤러(830)는 저장 인터페이스 버스(834)를 통한 기본 구성(802)과 하나 이상의 데이터 저장 장치(832) 간의 통신을 용이하게 하는 데 사용될 수 있다. 데이터 저장 장치(832)는 분리형 저장 장치(836), 비분리형 저장 장치(838) 또는 그 조합일 수 있다. 분리형 저장 장치 및 비분리형 저장 장치의 예로는, 몇 가지 말하자면, 플렉서블 디스크 드라이브 및 하드 디스크 드라이브(HDD)와 같은 자기 디스크 장치, 컴팩트 디스크(CD) 드라이브 또는 디지털 다기능 디스크(DVD) 드라이브와 같은 광 디스크 드라이브, 고체 상태 드라이브(solid state drive; SSD) 및 테이프 드라이브가 포함된다. 예시적인 컴퓨터 저장 매체는, 컴퓨터 판독 가능 명령어, 데이터 구조, 프로그램 모듈 또는 다른 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성의, 분리형 및 비분리형 매체를 포함할 수 있다.
시스템 메모리(806), 분리형 저장 장치(836) 및 비분리형 저장 장치(838)는 컴퓨터 저장 매체의 예이다. 컴퓨터 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 다른 메모리 기술, CD-ROM, 디지털 다기능 디스크(DVD) 또는 다른 광학 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 또는 다른 자기 저장 장치 또는 원하는 정보를 저장하는 데 사용될 수 있고 컴퓨팅 장치(800)에 의해 액세스될 수 있는 임의의 다른 매체를 포함하지만, 이에 한정되는 것은 아니다. 그러한 임의의 컴퓨터 저장 매체는 컴퓨팅 장치(800)의 일부일 수 있다.
컴퓨팅 장치(800)는 또한 버스/인터페이스 컨트롤러(830)를 통한 다양한 인터페이스 장치(예컨대, 출력 장치(842), 주변 인터페이스(844) 및 통신 장치(846))로부터 기본 구성(802)으로의 통신을 용이하게 하기 위한 인터페이스 버스(840)를 포함할 수 있다. 예시적인 출력 장치(842)는 그래픽 처리 유닛(848) 및 오디오 처리 유닛(850)을 포함하며, 이는 하나 이상의 A/V 포트(852)를 통해 디스플레이 또는 스피커와 같은 다양한 외부 장치로 통신하도록 구성될 수 있다. 예시적인 주변 인터페이스(844)는 직렬 인터페이스 컨트롤러(854) 또는 병렬 인터페이스 컨트롤러(856)를 포함하며, 이는 하나 이상의 I/O 포트(858)를 통해 입력 장치(예컨대, 키보드, 마우스, 펜, 음성 입력 장치, 터치 입력 장치 등) 또는 다른 주변 장치(예컨대, 프린터, 스캐너 등)와 같은 외부 장치와 통신하도록 구성될 수 있다. 예시적인 통신 장치(846)는 네트워크 컨트롤러(860)를 포함하며, 이는 하나 이상의 통신 포트(864)를 통해 네트워크 통신 링크 상에서의 하나 이상의 다른 컴퓨팅 장치(862)와의 통신을 용이하게 하도록 배열될 수 있다.
네트워크 통신 링크는 통신 매체의 일 예시일 수 있다. 통신 매체는 전형적으로 컴퓨터 판독 가능 명령어, 데이터 구조, 프로그램 모듈 또는 반송파 또는 다른 전송 메커니즘 같은 변조된 데이터 신호 내의 다른 데이터에 의해 구현될 수 있고, 임의의 정보 전달 매체를 포함할 수 있다. "변조된 데이터 신호"는 신호 내에 정보를 인코딩하기 위한 방식으로 설정되거나 변경된 특성 중 하나 이상을 가지는 신호일 수 있다. 제한적이지 않은 예로서, 통신 매체는 유선 네트워크 또는 직접 유선 접속과 같은 유선 매체 및 음파, 무선 주파수(RF), 마이크로웨이브, 적외선(IR) 및 다른 무선 매체와 같은 무선 매체를 포함할 수 있다. 여기서 사용된 컴퓨터 판독 가능 매체라는 용어는 저장 매체 및 통신 매체 둘 다를 포함할 수 있다.
컴퓨팅 장치(800)는, 휴대 전화, PDA(personal data assistant), 개인용 미디어 플레이어 장치, 무선 웹-워치(web-watch) 장치, 개인용 헤드셋 장치, 특수 용도 장치 또는 위 기능 중 임의의 것을 포함하는 하이브리드 장치 같은 소형 폼 팩터(small-form factor) 휴대용(또는 모바일) 전자 장치의 일부로서 구현될 수 있다. 컴퓨팅 장치(800)는 또한 랩톱 컴퓨터 및 랩톱이 아닌 컴퓨터 구성을 모두 포함하는 개인용 컴퓨터로서 구현될 수 있다.
본 개시는 다양한 태양의 예시로서 의도된 본 출원에 설명된 특정 실시예들에 제한되지 않을 것이다. 당업자에게 명백할 바와 같이, 많은 수정과 변형이 그 사상과 범위를 벗어나지 않으면서 이루어질 수 있다. 여기에 열거된 것들에 더하여, 본 개시의 범위 안에서 기능적으로 균등한 방법과 장치가 위의 설명으로부터 당업자에게 명백할 것이다. 그러한 수정과 변형은 첨부된 청구항의 범위에 들어가도록 의도된 것이다. 본 개시는 첨부된 청구항의 용어에 의해서만, 그러한 청구항에 부여된 균등물의 전 범위와 함께, 제한될 것이다. 본 개시가 물론 다양할 수 있는 특정 방법, 시약, 합성 구성 또는 생물학적 시스템에 제한되지 않는 것으로 이해될 것이다. 또한, 여기에서 사용된 용어는 단지 특정 실시예들을 설명하기 위한 목적이고, 제한하는 것으로 의도되지 않음이 이해될 것이다.
여기에서 실질적으로 임의의 복수 및/또는 단수의 용어 사용에 대하여, 당업자는 맥락 및/또는 응용에 적절하도록, 복수를 단수로 및/또는 단수를 복수로 해석할 수 있다. 다양한 단수/복수의 치환은 명확성을 위해 여기에서 명시적으로 기재될 수 있다.
당업자라면, 일반적으로 여기에서 사용되며 특히 첨부된 청구범위(예컨대, 첨부된 청구범위의 주요부(body))에 사용된 용어들이 일반적으로 "개방적(open)" 용어(예컨대, 용어 "포함하는"은 "포함하지만 이에 제한되지 않는"으로, 용어 "갖는"는 "적어도 갖는"으로, 용어 "포함하다"는 "포함하지만 이에 한정되지 않는" 등으로 해석되어야 함)로 의도되었음을 이해할 것이다. 또한, 당업자라면, 도입된 청구항의 기재사항의 특정 수가 의도된 경우, 그러한 의도가 청구항에 명시적으로 기재될 것이며, 그러한 기재사항이 없는 경우, 그러한 의도가 없음을 이해할 것이다. 예를 들어, 이해를 돕기 위해, 이하의 첨부된 청구범위는 "적어도 하나" 및 "하나 이상의 도입 구절의 사용을 포함하여 청구항 기재사항을 도입할 수 있다. 그러나, 그러한 구절의 사용은, 부정관사 "하나"("a" 또는 "an")에 의한 청구항 기재사항의 도입이, 그러한 하나의 기재사항을 포함하는 실시예들로, 그러한 도입된 청구항 기재사항을 포함하는 특정 청구항을 제한함을 암시하는 것으로 해석되어서는 안되며, 동일한 청구항이 도입 구절인 "하나 이상" 또는 "적어도 하나" 및 "하나"("a" 또는 "an")와 같은 부정관사(예컨대, "하나"는 "적어도 하나" 또는 "하나 이상"을 의미하는 것으로 해석되어야 함)를 포함하는 경우에도 마찬가지로 해석되어야 한다. 이는 청구항 기재사항을 도입하기 위해 사용된 정관사의 경우에도 적용된다. 또한, 도입된 청구항 기재사항의 특정 수가 명시적으로 기재되는 경우에도, 당업자라면 그러한 기재가 적어도 기재된 수(예컨대, 다른 수식어가 없는 "두 개의 기재사항"을 단순히 기재한 것은, 적어도 두 개의 기재사항 또는 두 개 이상의 기재사항을 의미함)를 의미하도록 해석되어야 함을 이해할 것이다. 또한, "A, B 및 C 등 중의 적어도 하나"와 유사한 규칙이 사용된 경우에는, 일반적으로 그러한 해석은 당업자가 그 규칙을 이해할 것이라는 전제가 의도된 것이다(예컨대, "A, B 및 C 중의 적어도 하나를 갖는 시스템"은, A만을 갖거나, B만을 갖거나, C만을 갖거나, A 및 B를 함께 갖거나, A 및 C를 함께 갖거나, B 및 C를 함께 갖거나, A, B 및 C를 함께 갖는 시스템 등을 포함하지만 이에 제한되지 않음). "A, B 또는 C 등 중의 적어도 하나"와 유사한 규칙이 사용된 경우에는, 일반적으로 그러한 해석은 당업자가 그 규칙을 이해할 것이라는 전제가 의도된 것이다(예컨대, "A, B 또는 C 중의 적어도 하나를 갖는 시스템"은, A만을 갖거나, B만을 갖거나, C만을 갖거나, A 및 B를 함께 갖거나, A 및 C를 함께 갖거나, B 및 C를 함께 갖거나, A, B 및 C를 함께 갖는 시스템 등을 포함하지만 이에 제한되지 않음). 또한 당업자라면, 실질적으로 임의의 이접 접속어(disjunctive word) 및/또는 두 개 이상의 대안적인 용어들을 나타내는 구절은, 그것이 상세한 설명, 청구범위 또는 도면에 있는지와 상관없이, 그 용어들 중의 하나, 그 용어들 중의 어느 하나 또는 그 용어들 모두를 포함하는 가능성을 고려했음을 이해할 것이다. 예를 들어, "A 또는 B"라는 구절은 "A" 또는 "B" 또는 "A 및 B"의 가능성을 포함하는 것으로 이해될 것이다.
또한, 본 개시의 특징 또는 양태가 마쿠시(Markush) 그룹으로 기술되는 경우, 본 개시가 마쿠시 그룹의 임의의 개별 요소 또는 요소들의 하위 그룹 또한 기술하고 있다는 것을 당업자는 인식할 것이다.
당업자에게 이해될 것과 같이, 임의의 그리고 모든 목적에서든, 기술 내용을 제공하는 것 등에 있어서, 여기에 개시되어 있는 모든 범위는 임의의 그리고 모든 가능한 하위범위와 그 하위범위의 조합 또한 포함한다. 임의의 열거된 범위는 적어도 1/2, 1/3, 1/4, 1/5, 1/10 등으로 나누어지는 동일한 범위를 충분히 설명하고 실시 가능하게 하는 것으로서 쉽게 인식될 수 있다. 비제한적인 예시로서, 여기서 논의되는 각각의 범위는 하위 1/3, 중앙 1/3 및 상위 1/3 등으로 나누어질 수 있다. 또한, "까지", "적어도", "보다 많은", "보다 적은" 등과 같은 모든 언어는 기재된 수를 포함하며, 전술한 하위범위로 후속적으로 나누어질 수 있는 범위를 지칭함이 당업자에게 이해되어야 한다. 마지막으로, 범위는 각각의 개별 요소를 포함함이 당업자에게 이해되어야 한다. 따라서, 예를 들어, 1-3개의 셀을 갖는 그룹은 1, 2 또는 3개의 셀을 갖는 그룹들을 의미한다. 유사하게, 1-5개의 셀을 갖는 그룹은 1, 2, 3, 4 또는 5개의 셀을 갖는 그룹을 의미한다.
다양한 양상 및 실시예들이 여기에서 개시되었지만, 다른 양상 및 실시예들이 당업자에게 명확할 것이다. 여기에서 개시된 다양한 양상 및 실시예들은 예시의 목적을 위한 것이고, 제한하려고 의도된 것이 아니며, 진정한 범위와 사상은 이하 청구범위에 의해 나타난다.

Claims (20)

  1. 메모리 장치의 메모리 상의 잠재적 공격을 검출하기 위한 방법으로서, 상기 방법은 하드웨어 프로세서에 의하여,
    요청을 상기 메모리 장치에 전송하는 단계 - 상기 요청은 상기 메모리 장치의 상기 메모리로의 메모리 기록에 관한 정보에 대한 요청을 포함함 -;
    응답을 상기 메모리 장치로부터 수신하는 단계 - 상기 응답은 상기 메모리 기록에 관한 상기 정보를 포함함 -;
    상기 응답에 기초하여, 시간 간격 동안 기록된 상기 메모리 장치의 상기 메모리의 양을 결정하는 단계;
    상기 기록된 메모리의 양 및 상기 시간 간격 간의 비율에 기초하여 상기 메모리 상의 상기 잠재적 공격을 검출하는 단계 - 상기 메모리 상의 상기 잠재적 공격은 상기 메모리의 데이터 블록 상의 잠재적 공격을 포함하고, 상기 잠재적 공격은, 성공한 경우, 상기 데이터 블록이 더 이상 정보를 저장할 수 없도록 야기함 -; 및
    상기 잠재적 공격의 상기 검출에 기초하여 경보를 생성하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 경보는 사용자 인터페이스 상의 경고를 포함하는 것인, 방법.
  3. 제1항에 있어서,
    상기 메모리 기록에 대응하는 애플리케이션을 식별하는 단계
    를 더 포함하는 방법.
  4. 제1항에 있어서,
    상기 메모리 기록에 대응하는 애플리케이션을 식별하는 단계; 및
    상기 애플리케이션이 상기 메모리 장치의 상기 메모리를 액세스하는 것을 방지하는 데 유효한 신호를 생성하는 단계
    를 더 포함하는 방법.
  5. 제1항에 있어서,
    상기 메모리 기록에 대응하는 애플리케이션을 식별하는 단계; 및
    상기 메모리 장치의 상기 메모리의 일부에 액세스하도록 상기 애플리케이션을 제한하는 데 유효한 신호를 생성하는 단계
    를 더 포함하는 방법.
  6. 제1항에 있어서,
    상기 경보를 생성하는 단계는 상기 메모리 장치를 포함하는 장치를 재시작하기 위한 명령어를 생성하는 단계를 포함하는, 방법.
  7. 제1항에 있어서,
    상기 시간 간격 동안 기록된 상기 메모리 장치의 상기 메모리의 상기 양을 결정하는 단계는:
    상기 메모리 장치의 상기 메모리의 정의된 양이 기록되는 경우 특정한 시간 간격을 결정하는 단계; 및
    상기 특정한 시간 간격을 임계와 비교하는 단계
    를 포함하는 방법.
  8. 제7항에 있어서,
    상기 임계는 상기 메모리 장치를 액세스하는 애플리케이션에 기초하는 것인, 방법.
  9. 제1항에 있어서,
    상기 시간 간격 동안 기록된 상기 메모리 장치의 상기 메모리의 상기 양을 결정하는 단계는:
    정의된 시간 간격이 지난 경우 기록된 메모리의 특정한 양을 결정하는 단계; 및
    메모리의 상기 특정한 양을 임계와 비교하는 단계를 포함하는 방법.
  10. 제9항에 있어서,
    상기 임계는 상기 메모리 장치를 액세스하는 애플리케이션에 기초하는 것인, 방법.
  11. 메모리 및 메모리 컨트롤러를 포함하는 메모리 장치; 및
    상기 메모리와 통신하도록 구성된 하드웨어 프로세서
    를 포함하고,
    상기 하드웨어 프로세서는,
    요청을 상기 메모리 장치로 전송하고 - 상기 요청은 상기 메모리 장치의 상기 메모리로의 메모리 기록에 관한 정보에 대한 요청을 포함함 -;
    응답을 상기 메모리 장치로부터 수신하고 - 상기 응답은 상기 메모리 기록에 관한 상기 정보를 포함함 -;
    상기 응답에 기초하여, 시간 간격 동안 기록된 상기 메모리 장치의 상기 메모리의 양을 결정하고;
    상기 기록된 메모리의 양 및 상기 시간 간격 간의 비율에 기초하여 상기 메모리 상의 잠재적 공격을 검출하며 - 상기 메모리 상의 상기 잠재적 공격은 상기 메모리의 데이터 블록 상의 잠재적 공격을 포함하고, 상기 잠재적 공격은, 성공한 경우, 상기 데이터 블록이 더 이상 정보를 저장할 수 없도록 야기함 -; 그리고
    상기 잠재적 공격의 상기 검출에 기초하여 경보를 생성하도록 구성되는, 장치.
  12. 제11항에 있어서,
    상기 하드웨어 프로세서는,
    상기 메모리 기록에 대응하는 애플리케이션을 식별하고; 그리고
    상기 애플리케이션이 상기 메모리 장치의 상기 메모리에 액세스하는 것을 방지하는 데 유효한 신호를 생성하는 데 유효한 것인, 장치.
  13. 제11항에 있어서,
    상기 하드웨어 프로세서는,
    상기 메모리 기록에 대응하는 애플리케이션을 식별하고; 그리고
    상기 메모리 장치의 상기 메모리의 일부를 액세스하도록 상기 애플리케이션을 제한하는 데 유효한 신호를 생성하는 데 유효한 것인, 장치.
  14. 제11항에 있어서,
    상기 하드웨어 프로세서는,
    상기 메모리 장치의 상기 메모리의 정의된 양이 기록되는 경우 특정한 시간 간격의 결정; 및
    임계에 대한 상기 특정한 시간 간격의 비교에 의하여, 상기 시간 간격 동안 기록된 상기 메모리 장치의 상기 메모리의 상기 양을 결정하는 데 유효한 것인, 장치.
  15. 제14항에 있어서,
    상기 임계는 상기 메모리 장치를 액세스하는 애플리케이션에 기초하는 것인, 장치.
  16. 제11항에 있어서,
    상기 하드웨어 프로세서는
    정의된 시간 간격이 지난 경우 기록된 메모리의 특정한 양의 결정; 및
    상기 특정한 메모리의 양에 대한 임계의 비교에 의하여 상기 시간 간격 동안 기록된 상기 메모리 장치의 상기 메모리의 상기 양을 결정하는 데 유효한 것인, 장치.
  17. 제11항에 있어서,
    상기 하드웨어 프로세서는 상기 메모리 컨트롤러의 일부인 것인, 장치.
  18. 메모리 장치의 메모리 상의 잠재적 공격을 검출하기 위한 방법으로서, 상기 방법은 하드웨어 프로세서에 의하여,
    요청을 상기 메모리 장치에 전송하는 단계 - 상기 요청은 상기 메모리 장치의 상기 메모리로의 성공적인 메모리 기록 및 상기 메모리의 성공적인 판독에 관한 정보에 대한 요청을 포함함 -;
    응답을 상기 메모리 장치로부터 수신하는 단계 - 상기 응답은 상기 성공적인 메모리 기록 및 상기 성공적인 메모리 판독에 관한 상기 정보를 포함함 -;
    상기 응답에 기초하여, 성공적인 메모리 판독의 수에 기초하고 성공적인 메모리 기록의 수에 기초한 상기 메모리 상의 상기 잠재적 공격을 검출하는 단계 - 상기 성공적인 메모리 판독의 수 및 상기 성공적인 메모리 기록의 수 중 적어도 하나는 둘 이상임 -; 및
    상기 검출에 기초하여 경보를 생성하는 단계
    를 포함하는 방법.
  19. 제18항에 있어서,
    상기 메모리는 포인터를 포함하는 상기 메모리 내 제1 위치를 포함하고, 상기 메모리는 포인터를 포함하지 않는 상기 메모리 내 제2 위치를 포함하며, 상기 공격을 검출하는 단계는 성공적인 메모리 기록의 임계 수가 상기 메모리 장치의 상기 메모리 내 상기 제2 위치와 관련되는지 결정하는 단계를 포함하는, 방법.
  20. 제18항에 있어서,
    상기 공격을 검출하는 단계는 상기 성공적인 메모리 판독의 수가 상기 성공적인 메모리 기록의 수에 대해 불균형하다고 결정하는 단계를 포함하는, 방법.
KR1020167003975A 2013-07-18 2013-07-18 메모리 공격 검출 KR101723100B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2013/051100 WO2015009306A1 (en) 2013-07-18 2013-07-18 Memory attack detection

Publications (2)

Publication Number Publication Date
KR20160033735A KR20160033735A (ko) 2016-03-28
KR101723100B1 true KR101723100B1 (ko) 2017-04-05

Family

ID=52346596

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020167003975A KR101723100B1 (ko) 2013-07-18 2013-07-18 메모리 공격 검출

Country Status (3)

Country Link
US (1) US9965626B2 (ko)
KR (1) KR101723100B1 (ko)
WO (1) WO2015009306A1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10496554B2 (en) * 2014-03-03 2019-12-03 Nxp Usa, Inc. System on chip and method of executing a process in a system on chip
US9606853B2 (en) * 2014-03-28 2017-03-28 Intel Corporation Protecting a memory device from becoming unusable
US20180330084A1 (en) * 2014-07-02 2018-11-15 Empire Technology Development Llc Memory attack detection
US10146444B2 (en) 2016-10-03 2018-12-04 Samsung Electronics Co., Ltd. Method for read latency bound in SSD storage systems
US10606678B2 (en) * 2017-11-17 2020-03-31 Tesla, Inc. System and method for handling errors in a vehicle neural network processor
CN110287697A (zh) * 2018-03-19 2019-09-27 阿里巴巴集团控股有限公司 行为识别、数据处理方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008108212A (ja) * 2006-10-27 2008-05-08 Fujitsu Ltd データ保護機能を有する記憶素子
WO2009139170A1 (ja) 2008-05-16 2009-11-19 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
US20120255031A1 (en) 2011-03-28 2012-10-04 Mcafee, Inc. System and method for securing memory using below-operating system trapping

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2081742C (en) * 1991-11-13 2000-05-23 Anthony M. Radice Apparatus and method for recording random data on a digital video recorder
CA2098459A1 (en) * 1992-06-15 1993-12-16 James L. Adcock Computer method and system for conservative-stack and generational heap garbage collection
US7203962B1 (en) * 1999-08-30 2007-04-10 Symantec Corporation System and method for using timestamps to detect attacks
DE10254659A1 (de) * 2002-11-22 2004-06-03 Philips Intellectual Property & Standards Gmbh Schaltungsanordnung mit nicht-flüchtigem Speichermodul und Verfahren zum Erfassen von Lichtattacken auf das nicht-flüchtige Speichermodul
KR100516304B1 (ko) * 2003-05-16 2005-09-26 주식회사 안철수연구소 프로세스메모리의 악성코드 검출기 및 그 방법
US7269708B2 (en) * 2004-04-20 2007-09-11 Rambus Inc. Memory controller for non-homogenous memory system
JP4933861B2 (ja) * 2005-09-22 2012-05-16 株式会社日立製作所 ストレージ制御装置、データ管理システムおよびデータ管理方法
US8572371B2 (en) * 2005-10-05 2013-10-29 Ca, Inc. Discovery of kernel rootkits with memory scan
EP2033145B1 (en) 2006-06-15 2011-04-06 Kabushiki Kaisha Toshiba Portable electronic device and control method thereof
US7777627B2 (en) 2007-01-26 2010-08-17 Sap Ag Item-level access tracking using tag writing events
US8533562B2 (en) * 2007-09-12 2013-09-10 Sandisk Technologies Inc. Data protection after possible write abort or erase abort
US7945792B2 (en) * 2007-10-17 2011-05-17 Spansion Llc Tamper reactive memory device to secure data from tamper attacks
US8447913B2 (en) 2008-09-16 2013-05-21 International Business Machines Corporation Method to monitor read/write status of flash memory devices
WO2010055171A1 (en) 2008-11-17 2010-05-20 Intrinsic-Id B.V. Distributed puf
US9003501B2 (en) * 2010-12-07 2015-04-07 Mcafee, Inc. Method and system for protecting against unknown malicious activities by detecting a heap spray attack on an electronic device
US9569352B2 (en) * 2013-03-14 2017-02-14 Sandisk Technologies Llc Storage module and method for regulating garbage collection operations based on write activity of a host

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008108212A (ja) * 2006-10-27 2008-05-08 Fujitsu Ltd データ保護機能を有する記憶素子
WO2009139170A1 (ja) 2008-05-16 2009-11-19 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
US20120255031A1 (en) 2011-03-28 2012-10-04 Mcafee, Inc. System and method for securing memory using below-operating system trapping

Also Published As

Publication number Publication date
US9965626B2 (en) 2018-05-08
WO2015009306A1 (en) 2015-01-22
KR20160033735A (ko) 2016-03-28
US20150161388A1 (en) 2015-06-11

Similar Documents

Publication Publication Date Title
US10005427B2 (en) Sensor data anomaly detector
KR101723100B1 (ko) 메모리 공격 검출
EP3161645B1 (en) Fast data protection using dual file systems
RU2015143303A (ru) Беспроводной контроль и контроль взаимодействия медиаустройств для медийных презентаций
CN107045383B (zh) 通过监视移动应用的活动来延长电池寿命的系统和方法
US10887840B2 (en) Systems and methods for extending battery life by monitoring device activity
US11062020B2 (en) Processor checking method, checking device and checking system
KR102390688B1 (ko) 보편적인 인터렉션으로 컨텐츠를 영구 저장부에 캡쳐하는 기법
JP2015505623A (ja) ステージング・エリアを管理するためのコンピュータ実施プロセス、コンピュータ・プログラム製品、装置
TW201717086A (zh) 偵測計算設備中的程序上的軟體攻擊
US20180181411A1 (en) Methods and apparatus to suspend and resume computing systems
WO2015081713A1 (en) Method and apparatus for running applications in background
US20130040601A1 (en) Usage recommendation for mobile device
EP3479214B1 (en) Recovering free space in nonvolatile storage with a computer storage system supporting shared objects
US10146623B2 (en) Indicating rebuild state of storage devices
US20180330084A1 (en) Memory attack detection
US9940458B2 (en) Flag based threat detection
JP5060995B2 (ja) 情報漏洩防止システム
CN109144760B (zh) 用于获取内存状态的方法、装置、系统及介质
WO2020052472A1 (zh) 异常应用检测及控制方法、装置、终端及存储介质
EP3376427B1 (en) Apparatus and method for protecting electronic device
US8995077B1 (en) Electronic device, method and storage medium
US8614799B2 (en) Memory paging
TWI353539B (ko)
JP2006202177A (ja) ファイルデータの書込み処理方式

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant