KR20210068444A - 컴퓨터 시스템에서 비승인 드라이버의 설치를 제어하는 기법 - Google Patents

컴퓨터 시스템에서 비승인 드라이버의 설치를 제어하는 기법 Download PDF

Info

Publication number
KR20210068444A
KR20210068444A KR1020217010268A KR20217010268A KR20210068444A KR 20210068444 A KR20210068444 A KR 20210068444A KR 1020217010268 A KR1020217010268 A KR 1020217010268A KR 20217010268 A KR20217010268 A KR 20217010268A KR 20210068444 A KR20210068444 A KR 20210068444A
Authority
KR
South Korea
Prior art keywords
file
driver
target
request
whitelist
Prior art date
Application number
KR1020217010268A
Other languages
English (en)
Inventor
마노하란 쿠푸사미
디하난자이 라마크리쉬나파
쉬얌 아룬쿤드람 람프라사드
프리야다르쉬 고쉬
Original Assignee
마이크로소프트 테크놀로지 라이센싱, 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 테크놀로지 라이센싱, 엘엘씨 filed Critical 마이크로소프트 테크놀로지 라이센싱, 엘엘씨
Publication of KR20210068444A publication Critical patent/KR20210068444A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4411Configuring for operating with peripheral devices; Loading of device drivers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1483Protection against unauthorised use of memory or access to memory by checking the subject access rights using an access-table, e.g. matrix or list
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1491Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

서버 커널 처리 시스템은 사용자 모드 컴퓨팅 환경으로부터 입력/출력(I/O) 요청을 수신한다. I/O 요청은 이것이 파일 열기 요청인지 여부를 판정하기 위해 분석된다. 파일 열기 요청이라면 타겟 분석 로직은, 파일 열기 요청이 드라이버 파일에 대한 것인지 아니면 구동된 화이트리스트 파일을 저장하는 보호된 볼륨 내의 파일에 대한 것인지를 판정한다. 파일 열기 요청이 보호된 볼륨 내에 저장된 파일에 대한 것이면 요청이 차단된다. 파일 열기 요청이 드라이버 파일에 대한 것이면, 드라이버 화이트리스트 파일을 검사하여 타겟 드라이버가 화이트리스트 상에 있는지 여부를 판정한다. 화이트리스트 상에 있지 않으면, 파일 열기 요청은 역시 차단된다.

Description

컴퓨터 시스템에서 비승인 드라이버의 설치를 제어하는 기법
컴퓨터 시스템은 현재 널리 사용되고 있다. 그러한 일부 컴퓨터 시스템은 데이터 센터를 포함한다.
데이터 센터는 다양한 방식으로 사용될 수 있는 대규모의 네트워킹된 컴퓨터 서버 그룹으로 구성된다. 이들은 흔히 많은 양의 정보를 저장, 처리 및 전파하기 위해 기업이나 기타 조직에 의해 사용된다.
일부 데이터 센터는 또한 전자 메일 애플리케이션, 인스턴트 메시징 애플리케이션, 전자 상거래 등과 같은 애플리케이션을 호스팅하거나 서비스한다. 마찬가지로, 일부 데이터 센터는 웹사이트를 저장할 수 있고, 데이터 센터에 액세스하는 사용자에게 이들 웹사이트를 서비스할 수 있다.
복수의 상이한 조직이 단일 데이터 센터에 있는 리소스를 사용하는 것은 드물지 않다. 이러한 데이터 센터는 원하는 액세스를 제공하는 다수의 서로 다른 서버 머신을 포함할 수 있다.
데이터 센터 내의 데이터에 대한 데이터 보안은 중요한 특징으로 널리 인식되고 있다. 다양한 형태의 데이터 암호화 및 다양한 형태의 인증을 사용하여 다양한 수준의 보안을 얻을 수 있다.
전술한 논의는 단지 일반적인 배경 정보를 제공하는 것일 뿐이며 청구 대상의 범위를 결정하는데 도움이 되도록 사용하기 위한 것은 아니다.
서버 커널 처리 시스템이 사용자 모드 컴퓨팅 환경으로부터 입력/출력(I/O) 요청을 수신한다. I/O 요청을 분석하여 그것이 파일 오픈 요청인지 여부를 확인한다. 파일 오픈 요청인 경우, 타겟 분석 로직은, 파일 오픈 요청이 드라이버 파일에 대한 것인지 또는 드라이버 화이트리스트 파일을 저장하는 보호 볼륨 내의 파일에 대한 것인지 판정한다. 파일 오픈 요청이 보호 볼륨에 저장된 파일에 대한 것이라면, 그 요청은 차단된다. 파일 오픈 요청이 드라이버 파일에 대한 것이라면, 타겟 드라이버가 화이트리스트 상에 있는지 여부를 판정하기 위해 드라이버 화이트리스트 파일을 조사한다. 화이트리스트 상에 없으면, 파일 오픈 요청도 차단된다.
본 요약부는 아래의 상세한 설명에서 추가로 기술되는 개념들의 선택을 단순화된 형식으로 소개하도록 제공된다. 본 요약부는 청구 대상의 중요 특성 또는 기본 특성을 밝히기 위한 것이 아니며, 청구 대상의 범주를 결정하는데 도움이 되도록 사용하기 위한 것도 아니다. 청구 대상은 배경에서 언급한 임의의 또는 모든 단점들을 해결하는 구현으로 제한되지 않는다.
도 1은 컴퓨팅 시스템 아키텍처의 일 예의 블록도이다.
도 2는 도 1에 도시된 컴퓨팅 시스템 아키텍처의 일부의 한 예를 보다 상세히 보여주는 블록도이다.
도 3은 도 1에 도시된 컴퓨팅 시스템 아키텍처의 일부의 다른 예를 보다 상세히 보여주는 블록도이다.
도 4는 입력/출력(I/O) 요청을 처리할 때 서버 커널 처리 시스템의 동작의 한 예를 도시한 흐름도이다.
도 5는 클라우드 컴퓨팅 아키텍처에 배치된, 도 1에 도시된 아키텍처를 보여주는 블록도이다.
도 6은 이전 도면들에 도시된 아키텍처에서 사용될 수 있는 컴퓨팅 환경의 한 예를 보여주는 블록도이다.
도 1은 컴퓨팅 시스템 아키텍처(100)의 일 예의 블록도이다. 아키텍처(100)는 네트워크(112)를 통해, 사용자 장치(108-110)를 사용하여 복수의 사용자(104-106)에 의해 액세스될 수 있는 데이터 센터 컴퓨팅 시스템(102)을 보여준다. 도 1은 또한, 관리자 또는 엔지니어(114)가 관리/엔지니어 장치(116)를 사용하여 데이터 센터 컴퓨팅 시스템(102)에 액세스할 수 있음을 보여준다. 관리자/엔지니어(114)는 화살표 118로 표시된 바와 같이 직접 또는 화살표 120으로 표시된 바와 같이 네트워크(112)를 통해 컴퓨팅 시스템(102)에 액세스할 수 있다.
도 1에 도시된 예에서, 사용자 장치(108-110)는 각각 사용자(104-106)가 상호작용하기 위한 사용자 인터페이스(122-124)를 생성하는 것으로 도시되어 있다. 사용자(104-106)는 대응하는 사용자 장치(108-110) 및 데이터 센터 컴퓨팅 시스템(102)의 일부분을 제어하고 조작하기 위해 각각의 사용자 인터페이스(122-124)와 상호작용한다.
유사하게, 장치(116)는 사용자(114)가 상호작용하기 위한 인터페이스(126)를 생성하는 것으로 도시되어 있다. 사용자(114)는 장치(116) 및 데이터 센터 컴퓨팅 시스템(102)의 일부분을 제어하고 조작하기 위해, 실례로 인터페이스(126)와 상호작용한다. 사용자(104-106)는 실례로, 데이터 센터 컴퓨팅 시스템(102)에 의해 제공되는 (데이터 저장부, 호스팅된 서비스 및 기타 리소스와 같은) 리소스에 액세스한다.
네트워크(112)는 다양한 유형의 네트워크 중 임의의 것일 수 있다. 예를 들어, 광역 통신망(wide area network), 근거리 통신망(local area network), 근거리 무선 통신망(near field communication network), 셀룰러 네트워크, 또는 다양한 기타 네트워크 또는 네트워크 조합 중 임의의 것일 수 있다.
관리자/엔지니어(114)는 실례로, 데이터 센터 컴퓨팅 시스템(102)에 대한 관리 또는 엔지니어링 동작을 수행한다. 따라서, 사용자(114)는 유지보수 동작을 수행하거나, 버그를 수정하기 위한 코드를 배포하거나, 새로운 기능을 배포하거나, 또는 기타 동작을 수행하기 위해 데이터 센터 컴퓨팅 시스템(102)의 특정 부분에 액세스할 기회를 얻을 수 있다. 그렇게 하기 위해, 사용자(114)는 흔히, 다른 방법으로는 액세스할 수 없는 컴퓨팅 시스템(102)의 다양한 부분에 액세스할 수 있도록 하는 인증 정보 또는 보안 자격 증명(security credential)을 제공받는다.
도 1은, 일 예에서 데이터 센터 컴퓨팅 시스템(102)이 실례로 프런트 엔드 기능(130), 서버 시스템(132), 데이터 저장 시스템(134)을 포함하고, 다양한 다른 데이터 센터 기능부(136)를 포함할 수 있음을 보여준다. 서버 시스템(132)은 복수의 상이한 서버 머신(138-140)을 포함한다. 데이터 저장 시스템(134)은 실례로 복수의 상이한 데이터 저장 장치(142-144)를 포함한다.
간략하게 말하면, 동작시, 프런트 엔드 기능부(130)는 데이터 센터 컴퓨팅 시스템(102)에 의해 호스팅되는 리소스 및 서비스를 사용하는 다양한 사용자(104-106)로부터 요청을 수신하고, 이들 요청을 서버 시스템(132)에 제공한다. 서버 머신(138-140)은 실례로, 사용자(104-106)가 데이터 저장 시스템(134), 구체적으로는 서로 다른 데이터 저장 장치(142-144)에 저장된 데이터를 조작하거나 액세스할 수 있도록 요청을 처리한다. 프런트 엔드 기능부(130)에 의해 수신된 요청의 결과는 서버 시스템(132)에 의해 프런트 엔드 기능부(130)로 반환될 수 있다. 프런트 엔드 기능부(130)는 요청된 동작의 결과를 요청한 사용자에게 반환할 수 있다.
데이터 센터 컴퓨팅 시스템(102)에서 데이터 및 기타 항목들을 보호하기 위해 배치될 수 있는 다양한 유형의 보안 시스템 또는 기술이 있다. 예를 들어, 사용자(104-106)는 상이한 정보에 액세스하기 위해 인증 정보를 제공해야 할 수 있다. 마찬가지로, 관리/엔지니어 사용자(114)는 소정의 보안 자격 증명을 제공해야 할 수 있다. 또한, 사용자(114)가 데이터 센터 컴퓨팅 시스템(102)에 코드를 배포하기를 원하는 경우, 사용자(114)는 코드가 데이터 센터 컴퓨팅 시스템(102)에 배포되기 전에 서명되거나 그렇지 않으면 인증 또는 검증되는 것을 요구받을 수 있다.
예를 들어, 사용자(104)는 데이터 저장 장치(142)에 저장된 데이터에 대해 일부 동작을 수행하기 위해 입력/출력(I/O) 요청을 제공할 수 있다. 엔지니어링 사용자(114)는, I/O 요청을 수행하는 동작을 수행하도록 되어 있는 서버 머신(138)의 커널에 코드를 배포할 수 있다. 일 예에서, 엔지니어링 사용자(114)에 의해 배포된 로직은 파일 생성, 파일 또는 문서 열기, 파일 닫기, 파일 삭제, 파일 열거, 파일 데이터 읽기 및 쓰기 등과 같은 I/O 요청에 대한 관리 작업을 수행할 수 있다.
구체적인 예로서, 데이터 저장 장치(142-144)의 데이터가 파일 시스템 및 디렉토리에 따라 배열되는 경우, I/O 동작의 관리를 지원하기 위해 사용자(114)에 의해 배포되는 코드를 필터 드라이버라고 한다. 필터 드라이버는 메모리 볼륨 또는 파일 시스템에 첨부되고 볼륨 또는 파일 시스템에 대응하는 드라이버 스택에 로드된다. 해당 볼륨 또는 파일 시스템에 대한 I/O 요청이 수신되면, 이는 I/O 관리 로직에 의해 올바른 파일 시스템 또는 볼륨으로 전달된다.
해당 파일 시스템 또는 볼륨에 첨부된 드라이버 스택은 대응하는 파일 시스템 또는 볼륨에 대해 로드된 드라이버를 포함하고, I/O 요청은 그 드라이버 스택 내의 드라이버에 제공된다. 이들 드라이버는, I/O 요청에 응답할 때, 이들이 첨부되는 파일 시스템의 동작을 수정할 수 있는 필터 드라이버를 포함할 수 있다. 필터 드라이버는 커널 모드 컴포넌트인데, 이는 필터 드라이버가 특정 서버 머신의 커널 컴퓨팅 시스템에 의해 실행됨을 의미한다. 커널 컴퓨팅 시스템은, 애플리케이션과 같은 고객 모드 컴포넌트로부터의 I/O 요청을 관리하는, 운영 체제의 일부인 커널 프로그램을 실행한다. 커널은 컴퓨팅 시스템 시작시 로드되며 나머지 시작 동작을 관리할 수 있다.
본 명세서에서 일부 예는 데이터 저장 장치(142 내지 144)의 정보가 파일 시스템 계층 또는 디렉토리에서 파일로 구성되는 것과 관련하여 설명되지만, 실제로는 그럴 필요는 없다는 것을 알 수 있을 것이다. 대신에, 이들은 다른 방식으로 저장될 수도 있다. 이와 유사하게, 본 개시의 일부 부분은 파일 시스템 드라이버, 드라이버 스택 등과 관련하여 진행되지만, 실제로는 이들도 사용될 필요는 없다. 다른 예에서는, 파일 시스템에 대응하는 드라이버 스택의 파일 시스템 드라이버(또는 필터 드라이버) 대신에, "드라이버", "필터 드라이버" 등을 사용하지 않고 서버 시스템의 커널 내에서, 사용자 모드 컴포넌트로부터의 I/O 요청을 수신하고 그것을 처리하는 데이터 액세스 시스템에 있는 데이터 액세스 코드에 의해 동작들이 수행될 수 있다. 대신, 코드는 단순히 데이터 액세스 시스템에서 별도의 컴포넌트로서 실행된다. 본 명세서에서는 상이한 유형의 예들을 설명할 것이다. 이들은 예로만 고려되며 현재 논의의 범위를 제한하지 않는다.
아키텍처(100)의 특정 구성에 관계없이, 관리 또는 엔지니어링 사용자(114)는 데이터 센터 컴퓨팅 시스템(102)에 대해 악의적인 동작을 수행하기를 원할 수 있다. 사용자(114)는 데이터 센터 컴퓨팅 시스템(102)에 서명되거나 인증된 드라이버 또는 기타 데이터 액세스 로직을 갖기 위한 자격 증명을 가지므로, 사용자(114)는 어떤 상황에서 악성 드라이버 또는 기타 악성 데이터 액세스 코드를 데이터 센터 컴퓨팅 시스템(102)에 배포할 수 있다. 컴퓨팅 시스템(102)은 적절한 서명 또는 기타 인증 정보를 포함할 수 있기 때문에, 악성 코드를 악성으로 인식하지 못할 수도 있다.
따라서, 아래에서 설명되는 바와 같이, 본 설명은 이것이 발생할 가능성을 감소시키는, 서버 머신(138-140)의 커널 내의 서버 커널 처리 시스템을 설명한다. 데이터 센터 컴퓨팅 시스템(102)에 코드(이것은 드라이버 또는 기타 데이터 액세스 코드임)를 배포하거나 설치하기 위해, 코드는 파일로 제공되며 파일은 배포 또는 설치되기 전에 열려야 한다. 따라서, 일 예에서, 아래에서 논의되는 바와 같이, 본 설명은, 모든 파일 열기 호(file open calls)를 인터셉트하고 파일 열기 호가 드라이버 파일로 향하는지 여부를 판정하는 시스템을 포함하도록 서버 머신(138-140)의 커널을 수정한다. 파일 열기 호가 드라이버 파일로 향할 경우, 드라이버 파일의 아이덴티티는 승인된 드라이버 파일을 식별하는 엔트리를 포함하는 화이트리스트 메커니즘(예컨대, 화이트리스트 파일)과 비교된다. 타겟 드라이버 파일 (열려야 할 드라이버 파일)이 화이트리스트 상에 없으면 파일 열기 호는 차단된다.
본 설명은 동일한 방식으로 화이트리스트를 보호하는 시스템에 대해서도 진행된다. 화이트리스트는 실례로 데이터 저장 장치들(142-144) 중 한 저장 장치의 보호된 볼륨에 저장될 것이다. 따라서, 사용자(114)가 설치될 악성 드라이버 또는 기타 파일에 대한 엔트리를 포함하도록 화이트리스트를 수정하고자 하는 경우, I/O 동작은 열려야 할 타겟 파일로서 화이트리스트를 가질 것이다. 따라서, 본 설명은 파일 열기 동작이 보호된 볼륨 내의 파일에 대해 수행되어야 하는지 여부를 판정하는 시스템을 제공한다. 파일 열기 동작이 보호된 볼륨 내의 파일에 대해 수행되어야 한다면, 파일 열기 동작은 다시 차단된다. 따라서, 본 시스템은 (악의적인 드라이버가 설치되는 것이 허용되지 않을 것이므로) 데이터 저장 시스템(134)에 저장된 데이터를 악성 드라이버에 의한 손상으로부터 보호하고, 또한 (시스템 자체에 의한 실행을 제외하고는 어떠한 파일 열기 동작도 실행되지 않는 보호된 볼륨 내에 화이트리스트가 저장될 것이므로) 동일한 방식으로 화이트리스트를 보호한다.
도 2는 도 1에 도시된 컴퓨팅 시스템 아키텍처(100)의 일부분의 한 예에 대한 보다 상세한 블록도이다. 일부 항목은 도 1에 도시된 것과 유사하고, 이들은 유사하게 번호가 매겨져 있다. 도 2에 도시된 예에서, 애플리케이션 또는 기타 사용자 모드 로직(150)은 사용자 모드 컴퓨팅 환경(152)(이는 사용자 장치들(108-110) 중 하나 또는 다른 곳에 있을 수 있음) 내에 존재한다. 애플리케이션/로직(150)은 프런트 엔드 로직(130)을 통해 서버 머신(138)으로 제공되는 I/O 요청(154)을 생성한다. 도 2에 도시된 예에서, 서버 머신(138)은 서버 커널 처리 시스템(156)을 포함하고, 다양한 기타 서버 기능부(158)를 포함할 수 있다. 서버 커널 처리 시스템(156)은 I/O 요청(154)을 처리하고, 승인된 경우, 데이터 저장 장치들 중 하나(142)의 데이터에 액세스한다. 데이터는 블록(158)에 의해 표시된 대로 파일 시스템 또는 다른 데이터 볼륨에 저장될 수 있다. 액세스될 데이터는 화이트리스트 파일(162), 드라이버 파일(162), 또는 다양한 기타 정보(164)를 포함할 수 있다.
도 2에 도시된 예에서, 서버 커널 처리 시스템(156)은 실례로 하나 이상의 프로세서(166), 데이터 액세스 로직(168), I/O 관리자(170)를 포함하며, 다양한 기타 커널 기능부(172)를 포함할 수 있다. 데이터 액세스 로직(168)은 I/O 호 유형 식별자 로직(174), 호 인터셉션 로직(176), 타겟 분석 로직(178), 호 차단 로직(180)을 포함할 수 있으며, 다양한 기타 데이터 액세스 기능부(182)를 포함할 수 있다. 도시된 예에서, 호 인터셉션 로직(176)은 타겟 유형 식별자 로직(184), 타겟 볼륨 식별자 로직(186)을 포함하며, 기타 항목(188)을 포함할 수 있다. 타겟 분석 로직(178)은 드라이버/화이트리스트 비교 및 보호 로직(190), 타겟 볼륨 분석 로직(192)을 포함할 수 있으며, 기타 항목(194)을 포함할 수 있다.
동작시, 애플리케이션/로직(150)은 파일 열기 요청, 파일 쓰기 요청, 읽기 요청, 파일 생성 요청, 파일 삭제 요청, 또는 데이터 저장 장치(142) 상의 정보에 액세스하기 위해 발행될 수 있는 다양한 기타 요청으로서 I/O 요청(154)을 생성할 수 있다. 이러한 모든 요청 및 기타 요청은 파일 열기 요청으로 롤업되므로, 본 명세서에 설명된 보호는 이러한 모든 파일 I/O 동작(또는 요청)에 적용됨에 유의한다. 프런트 엔드 기능부(130)는 실례로서, 요청(154)을 수신하고 이 요청을 I/O 관리자 로직(170)에 제공하기 위한 인터페이스를 노출한다. 서버 머신(138) 상에는 데이터 액세스 로직(168)의 다양한 인스턴스가 있을 수 있다. I/O 관리자 로직(170)은 I/O 요청(154)을 처리를 위해 데이터 액세스 로직(168)의 적절한 세트로 라우팅한다. 데이터 액세스 로직(168)이 I/O 요청(154)을 수신하면, I/O 호 유형 식별자 로직(174)은 이루어지고 있는 호(또는 I/O 요청)의 유형을 식별한다. 예를 들어, 위에서 논의한 바와 같이, 이는 파일 열기 요청, 생성 요청, 읽기 요청, 쓰기 요청 등일 수 있다.
일 예에서, I/O 요청이 타겟 파일을 열도록 요청하는 파일 열기 요청이면, 타겟 파일 유형 식별자 로직(184)은 타겟이 어떤 유형의 파일인지를 판정한다. 예로서, 파일은 드라이버 파일(또는 유사한 파일)일 수 있다. 타겟 볼륨 식별자 로직(186)은 또한 타겟 파일이 존재하는 타겟 볼륨(또는 메모리 위치)을 식별한다.
그런 다음, 타겟 분석 로직(178)은 파일 열기 호가 차단되어야하는지 여부를 판정하기 위해 액세스될 타겟을 분석한다. 예를 들어, 타겟 파일이 로직(184)에 의해 드라이버 파일로서 식별되면, 드라이버/화이트리스트 비교 및 보호 로직(190)은 데이터 센터에 (또는 적어도 서버 머신(138)에) 설치되도록 승인되는 모든 승인된 드라이버의 목록을 포함하는 화이트리스트(160)에 액세스한다. 타겟 파일(예컨대, 열려야 할 타겟 드라이버 파일)이 화이트리스트(160) 상에서 승인된 드라이버 파일로서 식별되면, 타겟 분석 로직(178)은 드라이버가 승인됨을 나타내는 승인 출력을 생성하고, 타겟 드라이버 파일(162)은 열릴 수 있다.
그러나, 비교 및 보호 로직(190)이 타겟 드라이버 파일이 화이트리스트(160) 상의 승인된 드라이버 파일로서 식별되지 않는다고 판정하면, 비교 및 보호 로직(190)은 이를 나타내는 비승인 출력을 생성하고, I/O 동작(또는 파일 열기 호)은 호 차단 로직(180)에 의해 차단된다. 로직(180)은 호출하는 사용자 모드 컴포넌트에 메시지를 반환할 수 있다. 로직(180)은 보안 엔지니어 또는 다른 사람에게 메시지를 제공하거나 다른 동작을 수행할 수도 있다.
이와 같이, 엔지니어링 사용자(114)가 악성 드라이버에 대해 유효한 서명을 획득하면, 드라이버 설치를 시도할 때 대응하는 드라이버 파일이 열려야 한다. 그러나, 대응하는 드라이버 파일이 (화이트리스트(160) 상에서 식별되지 않기 때문에) 승인되지 않으면, 타겟 드라이버 파일을 열기 위한 파일 열기 호는 차단되고 파일은 열리지 않는다. 따라서, 파일은 설치될 수 없다. 이것은 드라이버 파일에 의해 수행될 악의적인 활동을 방지한다.
그러나, 엔지니어링 사용자(114)는 데이터 액세스 로직(168)에 의해 수행되는 보안을 건너뛰기 위해 악성 드라이버 파일을 식별하는 엔트리를 추가하도록 화이트리스트(160)에 액세스하기를 원할 수도 있다. 따라서, 만약 타겟 파일 식별자 로직(184)이 파일 열기 요청의 타겟 파일이 드라이버 파일이 아니라고 판정하면, 타겟 볼륨 식별자 로직(186)은 타겟 파일이 저장된 저장 볼륨(또는 메모리 위치)을 식별한다. 일 예에서, 화이트리스트(160)는 보호된 볼륨(또는 보호된 메모리 위치 범위)에 저장될 것이다.
그런 다음, 타겟 볼륨 분석 로직(192)은 열려야 할 파일의 위치가 보호된 볼륨(또는 보호된 메모리 위치 범위) 내에 저장되는지 여부를 판정한다. 타겟 파일이 (화이트리스트(160)를 포함하는) 보호된 범위 내에 있다면, 로직(192)은 이를 나타내는 출력을 호 차단 로직(180)에 제공하고, 호 차단 로직(180)은 I/O 요청(또는 파일 열기 호)을 차단한다. 이러한 방식으로, 엔지니어링 사용자(114)는 사용자(114)가 설치를 시도하고 있는 악성 드라이버에 대한 식별자를 포함하도록 화이트리스트(160)를 수정하는 것이 금지된다. 따라서, 동일한 메커니즘(데이터 액세스 로직(168))은 악성 드라이버를 설치하는 것과 화이트리스트(160)에 액세스하는 것 모두로부터 보호한다.
도 3은 아키텍처(100)의 또 다른 예를 보여주는 블록도이다. 도 3의 일부 항목은 도 1 및 도 2에 도시된 것과 유사하고, 이들은 유사하게 번호가 매겨져 있다. 도 3에 도시된 예에서, 데이터는 다양한 파일 시스템의 데이터 저장 장치(142-144)에 저장된다. 따라서, 데이터 저장 장치(142)는 화이트리스트를 포함하는 파일 시스템/볼륨을 저장하는 것으로 도시되어 있다. 이는 블록 200으로 표시된다. 데이터 저장 장치(142)는 또한 기타 항목(202)을 저장할 수 있다. 데이터 저장 장치(144)는 하나 이상의 드라이버 파일을 포함하는 파일 시스템/볼륨을 저장하는 것으로 도시되어 있다. 이는 블록 204로 표시된다. 장치(144)는 또한 기타 항목(206)을 저장할 수 있다.
도 3에 도시된 예에서, 데이터 액세스 로직(168)은 시스템/볼륨 드라이버 스택(208)과, I/O 요청(154)의 타겟인 타겟 파일 시스템/볼륨을 위한 저장 드라이버 스택을 포함한다. 타겟 파일 시스템 또는 볼륨을 위한 저장 드라이버 스택은 블록 210으로 표시된다.
상이한 파일 시스템 또는 볼륨에 첨부된 복수의 상이한 드라이버 스택이 있을 수 있다. 따라서, I/O 요청(154)이 수신되면, I/O 관리자 로직(170)은 I/O 요청의 대상인 특정 파일 시스템 또는 볼륨을 식별하고, I/O 요청을 그 파일 시스템 또는 볼륨에 첨부된 드라이버 스택에게 전달한다. 도 3에 도시된 예에서, I/O 관리자 로직(170)은 I/O 요청(154)을 파일 시스템/볼륨 드라이버 스택(208)에게 전달한다. 드라이버 스택(208)은 다양한 드라이버를 포함할 수 있다. 일부 파일 시스템 드라이버 또는 드라이버 로직은 블록 212로 표시된다. 이는 I/O 요청을 수정하거나 또는 수신된 I/O 요청에 대한 처리를 수행하는 필터 드라이버를 또한 포함할 수 있다. 일부 경우에, 일부 필터 드라이버 로직은 서로 다른 필터 드라이버 사이에 공유된다. 그런 경우, 필터 관리자 로직(214)은 복수의 상이한 미니필터 드라이버(216-218)를 지원할 수 있다. 로직(214)은 필터 관리자 로직(214)에 의해 지원되는 미니필터 드라이버에 대한 공통 기능을 포함한다. 미니필터 드라이버(216-218) 자체는 추가 로직을 포함하여 상이한 필터링 단계를 수행한다. 필터 드라이버(예를 들어, 드라이버 스택(208) 내의 다른 파일 시스템 드라이버(212) 중 미니필터 드라이버(216-218))의 위치는 지정될 수도 있고, 드라이버를 로드하는 순서에 기초하여 결정될 수도 있다.
파일 시스템/볼륨 드라이버 스택(208)은 I/O 요청을 수신하고 이를 필터 관리자 로직(214)에 전달한다. 필터 관리자 로직(214)은 실례로 I/O 요청을 수신하고, 이를 미니필터 드라이버(216-218)에 의한 동작을 위해 스택(208) 내 이들의 순서에 의해 결정된 순서로 제공한다. 필터 관리자 로직(214)에 첨부되는 미니필터 드라이버(216-218)가 I/O 요청(154) 시에 실행되면, 그 결과는 다른 파일 시스템 드라이버 로직(212)에게 제공될 수 있다. (스택(208) 내의 모든 필터 드라이버 및 미니필터 드라이버가 I/O 요청에 대해 동작한 후) 결과의 I/O 요청은 타겟 파일이 있는 특정 데이터 저장 장치(142-144)에 대한 저장 드라이버 스택에 제공된다. 예를 들어, I/O 요청이 데이터 저장 장치(142) 내의 파일에 대해 동작한다면, 이 I/O 요청은 드라이버 스택(208)으로부터 저장 장치(142)를 위한 저장 드라이버 스택에 제공된다. 이것은 한 예일 뿐이다.
도 3에 도시된 예에서, I/O 요청(154)이 드라이버 파일에 대한 파일 열기 요청인지 여부를 판정하기 위해 미니필터 드라이버(216)가 제공될 수 있다. 파일 열기 요청이라면, 미니필터 드라이버(216)는 타겟 드라이버 파일이 화이트리스트에 의해 인증되는지 여부를 판정하기 위해 데이터 저장 장치(142)의 화이트리스트에 액세스한다. 인증되지 않은 경우, 미니필터 드라이버(216)는 파일 열기 요청(I/O 요청(154))이 실행되는 것을 차단한다. 그러나, 타겟 드라이버 파일이 화이트리스트 상에 있다면, 미니필터 드라이버(216)는 동작이 수행될 수 있음을 나타내는 승인 출력을 제공한다.
(미니필터 드라이버(216)가 타겟 파일이 드라이버 파일이 아니라고 판정하면) 미니필터 드라이버(218)는 타겟 파일(I/O 요청(154)의 대상임)이 보호된 볼륨에 존재하는지 여부를 판정한다. 보호된 볼륨에 존재한다면, 미니필터 드라이버(218)는 I/O 요청이 실행되는 것을 차단한다. 또한, 단일 미니필터 드라이버가 이러한 동작들 중 여러 개를 수행할 수도 있음에 유의한다. 예를 들어, 단일 미니필터 드라이버는 타겟이 드라이버 파일인지 여부와 타겟이 보호된 볼륨 내에 존재하는지 여부를 모두 확인하여 알 수 있다. 이것은 한 예일뿐이다.
이러한 방식으로, 미니필터 드라이버(216)는 사용자가 악성 드라이버를 설치할 수 없음을 보장한다. 유사하게, 미니필터 드라이버(218)는 사용자가 화이트리스트를 수정할 수 없음을 보장한다.
도 4는 드라이버가 화이트리스트 상에서 식별되지 않는 경우에 I/O 요청(154)이 드라이버 파일을 열려고 시도하는지 여부를 판정할 때 또는 I/O 요청(154)이 보호된 볼륨 내의 파일을 열려고 시도하는 경우(예컨대, 화이트리스트를 열고 수정하려고 시도함)의 데이터 액세스 로직(168)의 동작(이것의 2가지 예가 도 3 및 도 4에 도시됨)의 일 예를 도시하는 흐름도이다. 먼저, 서버 커널이 서버 커널 처리 시스템(156)에서 실행되고 있다고 가정한다. 이것은 도 4의 흐름도에서 블록 250으로 표시된다. 또한, 커널이 데이터 액세스 로직도 갖는다고 가정한다. 이것은 블록 252로 표시된다. 일 예에서, 데이터 액세스 로직은 도 2에 도시된 것과 유사할 수 있는데, 여기에서는 데이터 액세스 로직이 플랫 파일 시스템에, 또는 계층적 디렉토리에 따라, 또는 다른 방식으로 저장된 데이터에 액세스할 수 있다. 다른 예에서, 데이터 액세스 로직(168)은 도 3에 도시된 것과 유사할 수 있는데, 여기에서는 드라이버 스택이 사용되어 I/O 요청(154)을 처리하고 다른 I/O 요청에 응답하여 커널의 동작을 수정한다. 드라이버 스택은 필터 드라이버, 미니필터 드라이버 또는 다양한 다른 드라이버를 또한 포함할 수 있다. 이것은 블록 254로 표시된다.
데이터 액세스 로직은 또한 매우 다양한 다른 형태를 취할 수 있다. 이것은 블록 256으로 표시된다. 도 2 및 도 3에 도시된 것은 오로지 예시를 위해 도시된 것이다.
그런 다음, 데이터 액세스 로직(168)은 사용자 모드 컴퓨팅 환경(152)으로부터 I/O 요청(154)을 수신한다. 이것은 도 4의 흐름도에서 블록 258로 표시된다. I/O 요청(154)은 애플리케이션 또는 기타 사용자 모드 로직(150)으로부터 생성될 수 있다. 사용자 모드 애플리케이션으로부터 I/O 요청(154)을 수신하는 것은 블록 260으로 표시된다. 기타 사용자 모드 로직으로부터 수신하는 것은 블록 262로 표시된다.
I/O 요청(154)이 수신되면, 데이터 액세스 로직(168)은 I/O 요청의 유형을 판정한다. 예를 들어, 도 2에서는, I/O 호 유형 식별자 로직(174)이, I/O 요청이 파일 열기 요청인지, 파일 열기/쓰기 요청인지 등을 판정한다. 도 3에서는, 미니필터 드라이버(216-218) 또는 기타 파일 시스템 드라이버가 이 판정을 내릴 수 있다. I/O 요청(154)의 유형을 식별하는 것은 도 4의 흐름도에서 블록 264로 표시된다.
블록 266에 표시된 것처럼 요청이 파일 열기 요청이 아니면, 데이터 액세스 로직(168)은 I/O 요청에 대해 임의의 다른 동작을 수행한 다음, 이를 저장 장치로 전달하여 실행될 수 있게 한다. I/O 요청을 실행하는 것은 도 4의 흐름도에서 블록 268로 표시된다.
그러나, 블록 266에서 I/O 요청(154)이 파일 열기 요청이라고 판정되면, 데이터 액세스 로직(168)은 타겟 파일(파일 열기 요청의 타겟임)이 드라이버 파일인지 여부를 판정한다. 이것은 도 4의 흐름도에서 블록 270으로 표시된다.
블록 270에서 (파일 열기 요청의) 타겟 파일이 실제로 드라이버 파일이라고 판정되면, 데이터 액세스 로직(168)은 서버 머신 상에 있도록 승인되는 드라이버 파일을 식별하는 엔트리를 포함하는 화이트리스트에 액세스한다. 화이트리스트 메커니즘에 액세스하는 것은 도 4의 흐름도에서 블록 272로 표시된다. 일 예에서, 타겟 파일 식별자 로직(184)은 (드라이버인지 여부를 알기 위해) 타겟 파일을 식별하고, 드라이버/화이트리스트 비교 로직(190)은 타겟 드라이버 파일이 화이트리스트 상에서 식별되는지 여부를 판정한다. 다른 예에서, 미니필터 드라이버(216-218)는 타겟 파일의 유형을 식별하여 드라이버인지 여부를 판정하고, 드라이버라면 화이트리스트에 액세스하여 타겟 드라이버 파일이 화이트리스트 상에서 식별되는지 여부를 판정한다.
블록 274에서, 타겟 드라이버 파일이 화이트리스트 상에 없는 것으로 판정되면, 데이터 액세스 로직(168)이 파일 열기 요청을 차단하므로 파일 열기 요청은 수행될 수 없다. 이것은 블록 276으로 표시된다. 이러한 방식으로, 은밀한 사용자가 악성 드라이버를 설치하려고 시도하면 해당 작업은 차단될 것이다.
블록 274에서, 파일 열기 요청의 대상인 타겟 드라이버 파일이 실제로 화이트리스트 상에서 승인된 드라이버로서 식별된다고 판정되면, 데이터 액세스 로직(168)은 I/O 요청(154)을 실행하는 데 사용되는 임의의 다른 처리 로직에 I/O 요청(154)을 제공한다. (타겟 드라이버 파일이 화이트리스트 상에 있다고 판정한 후) 파일 열기 요청을 실행하는 것은 도 4의 흐름도에서 블록 278로 표시된다.
블록 270으로 돌아가서, 타겟 파일이 드라이버 파일이 아닌 것으로 판정되면, 데이터 액세스 로직(168)은 타겟 파일이 데이터 저장 장치(142-144) 상의 보호된 볼륨(또는 보호된 메모리 위치 범위) 내에 있는지 여부를 판정한다. 예를 들어, 악의적인 사용자는 보호된 볼륨에 저장된 화이트리스트를 수정하려고 시도할 수 있다. 타겟 파일이 보호된 볼륨 내의 드라이버 화이트리스트 파일인지 여부를 판정하는 것은 도 4의 흐름도에서 블록 280으로 표시된다. 드라이버 화이트리스트 파일이라면, 처리는 다시 블록 276으로 진행하는데 여기서는 I/O 요청(154)이 차단되므로 보호된 볼륨 내의 파일은 열림 및/또는 수정될 수 없다.
블록 280에서, 타겟 파일이 보호된 볼륨 내의 드라이버 화이트리스트 파일이 아니라고 판정되면, 처리는 블록 278으로 진행하는데, 여기서 데이터 액세스 로직(168)은 필요한 I/O 요청(154)에 대해, 그것을 실행 또는 수행하거나, 또는 추가 처리를 위해 제출하는 데 필요한 임의의 다른 동작을 수행한다.
따라서, 본 설명은 컴퓨팅 시스템 자체의 보안을 크게 향상시킨다는 것을 알 수있다. 시스템 파일에 대한 모든 파일 열기 요청이 인터셉트되고, 타겟 파일이 드라이버인지 여부가 확인된다. 드라이버라면, 드라이버가 화이트리스트 메커니즘에 의해 승인되는 경우에만 파일 열기 요청을 진행하도록 허용한다. 그렇지 않은 경우 파일 열기 요청이 차단된다. 마찬가지로, 심지어 파일 열기 요청이 드라이버 파일에 관한 것이 아니라면, 시스템은 타겟 파일이 보호된 볼륨(예컨대, 화이트리스트) 내에 있는지 여부를 판정한다. 보호된 볼륨 내에 있다면, 다시 I/O 요청이 차단되므로 화이트리스트는 수정될 수 없다. 동일한 메커니즘을 사용하여 악성 드라이버가 설치되는 것 및 화이트리스트가 수정되는 것으로부터 시스템을 보호함으로써, 메커니즘은 효율적이면서도 상당히 향상된 수준의 보안을 제공한다.
본 명세서에서 위 설명의 부분들은 다양한 시스템, 컴포넌트 및/또는 로직을 설명한 것임에 유의한다. 이러한 시스템, 컴포넌트 및/또는 로직은 이들 시스템, 컴포넌트 및/또는 로직과 연관된 기능을 수행하는 하드웨어 항목(예컨대, 프로세서 및 관련 메모리 또는 기타 처리 컴포넌트, 이들 중 일부는 후술함)으로 구성될 수 있음을 알 수 있을 것이다. 또한, 후술하는 바와 같이, 시스템, 컴포넌트 및/또는 로직은, 메모리에 로드되고 이어서 프로세서 또는 서버 또는 다른 컴퓨팅 컴포넌트에 의해 실행되는 소프트웨어로 구성될 수 있다. 시스템, 컴포넌트 및/또는 로직은 또한 하드웨어, 소프트웨어, 펌웨어 등의 다른 조합으로 구성될 수 있으며, 이들 중 일부 예는 후술된다. 이들은 전술한 시스템, 컴포넌트 및/또는 로직을 형성하는 데 사용할 수 있는 상이한 구조의 일부 예일 뿐이다. 다른 구조도 사용될 수 있다.
본 논의는 프로세서 및 서버를 언급하였다. 일 실시예에서, 프로세서 및 서버는 별도로 도시되지 않은 관련 메모리 및 타이밍 회로를 구비한 컴퓨터 프로세서를 포함한다. 이들은, 자신이 속해 있고 자신을 활성화하는 시스템 또는 장치의 기능부이며, 해당 시스템의 다른 컴포넌트 또는 항목의 기능을 용이하게 한다.
또한, 다수의 사용자 인터페이스 디스플레이를 논의하였다. 이들은 다양한 형태를 취할 수 있고, 그 위에 배치된 다양한 사용자 작동가능 입력 메커니즘들을 가질 수 있다. 예를 들어, 사용자 작동가능 입력 메커니즘들은 텍스트 상자, 체크 박스, 아이콘, 링크, 드롭다운 메뉴, 검색 상자 등일 수 있다. 이들은 또한, 다양한 방식으로 작동될 수 있다. 예를 들어, 이들은 포인트 앤 클릭 장치(예컨대, 트랙볼 또는 마우스)를 사용하여 작동될 수 있다. 이들은 하드웨어 버튼, 스위치, 조이스틱 또는 키보드, 엄지 스위치 또는 엄지 패드 등을 사용하여 작동될 수 있다. 이들은 또한 가상 키보드 또는 기타 가상 액추에이터를 사용하여 작동될 수 있다. 또한, 이들이 표시되는 화면이 터치 감지 화면인 경우, 이들은 터치 제스처를 사용하여 작동될 수 있다. 또한, 이들을 표시하는 장치가 음성 인식 컴포넌트를 구비하는 경우, 이들은 음성 명령을 사용하여 작동될 수 있다.
다수의 데이터 저장소도 논의하였다. 이들은 각각 복수의 데이터 저장소로 나뉠 수 있다. 이들 저장소는 모두 자신에게 액세스하는 시스템에 대해 로컬일 수도 있고, 모두가 원격일 수도 있으며, 또는 일부는 로컬이고 다른 일부는 원격일 수도 있다. 이 모든 구성이 본 명세서에서 고려된다.
또한, 도면들은 제각기의 기능을 갖는 다수의 블록을 보여준다. 보다 적은 수의 컴포넌트에 의해 기능이 수행되도록 보다 적은 수의 블록이 사용될 수 있음에 유의한다. 또한, 보다 많은 블록이 사용되어 보다 많은 컴포넌트들 사이에 기능이 분산될 수도 있다.
도 5는, 구성요소들이 클라우드 컴퓨팅 아키텍처(500)에 배치된다는 점을 제외하면, 도 1에 도시된 아키텍처(100)의 블록도이다. 클라우드 컴퓨팅은, 서비스를 제공하는 시스템의 물리적 위치 또는 구성에 대해 최종 사용자가 알 필요가 없는, 계산, 소프트웨어, 데이터 액세스 및 저장 서비스를 제공한다. 다양한 예에서, 클라우드 컴퓨팅은 적절한 프로토콜을 사용하여, 인터넷과 같은 광역 통신망을 통해 서비스를 제공한다. 예를 들어, 클라우드 컴퓨팅 제공업체는 광역 통신망을 통해 애플리케이션을 제공하며, 이들은 웹 브라우저 또는 기타 컴퓨팅 컴포넌트를 통해 액세스될 수 있다. 아키텍처(100)의 소프트웨어 또는 컴포넌트 및 대응하는 데이터는 원격 위치에 있는 서버에 저장될 수 있다. 클라우드 컴퓨팅 환경의 컴퓨팅 리소스는 원격 데이터 센터 위치에 통합될 수도 있고 분산될 수도 있다. 클라우드 컴퓨팅 인프라는, 사용자에게는 단일 액세스 지점인 것처럼 보이지만, 공유 데이터 센터를 통해 서비스를 제공할 수 있다. 따라서, 본 명세서에 설명된 컴포넌트 및 기능은 클라우드 컴퓨팅 아키텍처를 사용하여 원격 위치의 서비스 제공자로부터 제공될 수 있다. 또는, 이들은 기존 서버에서 제공될 수도 있고, 클라이언트 장치에 직접 또는 다른 방법으로 설치될 수도 있다.
본 설명은 공용 클라우드 컴퓨팅 및 사설 클라우드 컴퓨팅 모두를 포함하고자 한다. 클라우드 컴퓨팅(공용 및 사설 모두)은 실질적으로 원활한 리소스 풀링을 제공하며, 기본 하드웨어 인프라를 관리하고 구성할 필요성을 줄여준다.
공용 클라우드는 벤더에 의해 관리되며 일반적으로 동일한 인프라를 사용하는 다수의 소비자를 지원한다. 또한, 사설 클라우드와 달리 공용 클라우드는 최종 사용자가 하드웨어를 관리하지 않아도 되게 할 수 있다. 사설 클라우드는 조직 자체에서 관리될 수 있으며, 인프라는 일반적으로 다른 조직과 공유되지 않는다. 조직은 설치 및 수리 등과 같이 하드웨어를 어느 정도 유지관리한다.
도 5에 도시된 예에서, 일부 항목은 도 1에 도시된 것과 유사하고, 이들은 유사하게 번호가 매겨져 있다. 도 5는 특히 데이터 센터 컴퓨팅 시스템(102)이 클라우드(502)(공용, 사설 또는 일부는 공용이고 다른 일부는 사설인 조합일 수 있음)에 위치할 수 있음을 보여준다. 따라서, 사용자(104, 106, 114)는 사용자 장치(108, 110, 116)를 사용하여 클라우드(502)를 통해 이들 시스템에 액세스한다.
도 5는 또한 클라우드 아키텍처의 또 다른 예를 도시하고 있다. 도 5는 컴퓨팅 시스템(102)의 일부 요소는 클라우드(502)에 배치될 수 있는 반면 다른 요소는 그렇지 않을 수 있음이 또한 고려된다는 것을 보여준다. 예를 들어, 데이터 저장소(142, 144)가 클라우드(502) 외부에 배치되어 클라우드(502)를 통해 액세스될 수 있다. 다른 예에서는, 시스템(132)(또는 다른 항목)이 클라우드(502) 외부에 있을 수 있다. 이들이 어디에 위치하는지에 관계없이, 이들은 네트워크(광역 통신망 또는 근거리 통신망)를 통해 장치(108, 110, 116)에 의해 직접 액세스될 수 있고, 서비스에 의해 원격 사이트에서 호스팅되거나, 또는 클라우드를 통해 서비스로서 제공되거나 또는 클라우드에 있는 접속 서비스에 의해 액세스될 수 있다. 이들 아키텍처 모두가 본 명세서에서 고려된다.
또한, 아키텍처(100) 또는 그 일부는 다양한 장치에 배치될 수 있음에 유의한다. 이들 장치 중 일부는 서버, 데스크톱 컴퓨터, 랩톱 컴퓨터, 태블릿 컴퓨터, 또는 팜탑 컴퓨터, 휴대폰, 스마트폰, 멀티미디어 플레이어, 개인용 디지털 보조장치 등과 같은 기타 모바일 장치를 포함한다.
도 6은 아키텍처(100) 또는 그 일부(예를 들어)가 배치될 수 있는 컴퓨팅 환경의 일 예이다. 도 6을 참조하면, 일부 실시예를 구현하는 예시적인 시스템은 컴퓨터(810) 형태의 범용 컴퓨팅 장치를 포함한다. 컴퓨터(810)의 컴포넌트는, 제한적인 것은 아니지만, 프로세싱 유닛(820)(이전 도면들의 프로세서 또는 서버를 포함할 수 있음), 시스템 메모리(830), 및 시스템 메모리를 포함한 다양한 시스템 컴포넌트를 프로세싱 유닛(820)에 결합하는 시스템 버스(821)를 포함할 수 있다. 시스템 버스(821)는 메모리 버스 또는 메모리 컨트롤러, 주변 버스, 및 다양한 버스 아키텍처 중 어느 하나를 이용하는 로컬 버스를 포함하는 몇몇 유형의 버스 구조들 중 임의의 버스 구조일 수 있다. 예를 들어, 이러한 아키텍처는, 제한적인 것은 아니지만 ISA(Industry Standard Architecture) 버스, MCA(Micro Channel Architecture) 버스, EISA(Enhanced ISA) 버스, VESA(Video Electronics Standards Association) 로컬 버스, 및 메자닌(Mezzanine) 버스로도 알려져 있는 PCI(Peripheral Component Interconnect) 버스를 포함한다. 도 1과 관련하여 설명한 메모리 및 프로그램은 도 6의 대응하는 부분에 배치될 수 있다.
컴퓨터(810)는 통상 다양한 컴퓨터 판독가능 매체를 포함한다. 컴퓨터 판독가능 매체는 컴퓨터(810)에 의해 액세스될 수 있는 임의의 이용가능한 매체일 수 있으며, 휘발성 및 비휘발성 매체, 착탈식 및 비착탈식 매체를 포함한다. 예를 들어, 제한적인 것은 아니지만, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 포함할 수 있다. 컴퓨터 저장 매체는 변조된 데이터 신호 또는 반송파와 상이한 형태이며 이들을 포함하지는 않는다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위해 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 착탈식 및 비착탈식 매체를 포함하는 하드웨어 저장 매체를 포함한다. 컴퓨터 저장 매체는 제한적인 것은 아니지만, RAM, ROM, EEPROM, 플래시 메모리 또는 다른 메모리 기술, CD-ROM, DVD(digital versatile disk) 또는 다른 광학 디스크 저장부, 자기 카세트, 자기 테이프, 자기 디스크 저장부 또는 다른 자기 저장 장치, 또는 원하는 정보를 저장하는데 사용될 수 있으며 컴퓨터(810)에 의해 액세스될 수 있는 임의의 다른 매체를 포함한다. 통신 매체는 통상적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터를 전송 메커니즘으로 구현하며 임의의 정보 전달 매체를 포함한다. "변조된 데이터 신호"란 용어는 신호 내에 정보를 인코딩하기 위한 방식으로 설정 또는 변경된 특징들 중 하나 이상을 갖는 신호를 의미한다. 예를 들어, 제한적인 것은 아니지만, 통신 매체는 유선 네트워크 또는 직접 유선 접속과 같은 유선 매체, 음향, RF, 적외선 및 기타 무선 매체와 같은 무선 매체를 포함한다. 또한 이들 중 임의의 것들을 조합한 것 역시 컴퓨터 판독가능 매체의 범위 내에 포함되어야 한다.
시스템 메모리(830)는 판독 전용 메모리(ROM)(831) 및 RAM(832)과 같은 휘발성 및/또는 비휘발성 메모리 형태의 컴퓨터 저장 매체를 포함한다. 예컨대 시동(start-up) 중에 컴퓨터(810) 내의 구성 요소 사이에서의 정보 전달을 돕는 기본 루틴을 포함하는 기본 입력/출력 시스템(833)(BIOS)은 전형적으로 ROM(831)에 저장된다. RAM(832)은 전형적으로 프로세싱 유닛(820)에 의해 즉시 액세스가능한 및/또는 현재 동작되고 있는 데이터 및/또는 프로그램 모듈을 포함한다. 예를 들어, 도 6은 운영 체제(834), 애플리케이션 프로그램(835), 기타 프로그램 모듈(836), 및 프로그램 데이터(837)를 도시하고 있으나, 이에 한정되지는 않는다.
컴퓨터(810)는 또한 다른 착탈식/비착탈식 휘발성/비휘발성 컴퓨터 저장 매체를 포함할 수 있다. 예를 들어, 도 6은 비착탈식, 비휘발성 자기 매체에 대해 판독 또는 기록하는 하드 디스크 드라이브(841), 및 CD ROM 또는 기타 광학 매체와 같은 착탈식 비휘발성 광학 디스크(856)에 대해 판독 또는 기록하는 광학 디스크 드라이브(855)를 도시하고 있다. 예시적인 동작 환경에 사용될 수 있는 다른 착탈식/비착탈식 휘발성/비휘발성 컴퓨터 저장 매체는 자기 테이프 카세트, 플래시 메모리 카드, 디지털 다용도 디스크(DVD), 디지털 비디오 테이프, 솔리드 스테이트 RAM, 솔리드 스테이트 ROM 등을 포함하지만, 이에 한정되지는 않는다. 하드 디스크 드라이브(841)는 통상적으로 인터페이스(840)와 같은 비착탈식 메모리 인터페이스를 통해 시스템 버스(821)에 접속되고, 광학 디스크 드라이브(855)는 통상적으로 인터페이스(850)와 같은 착탈식 메모리 인터페이스에 의해 시스템 버스(821)에 접속된다.
이에 갈음하여 또는 이에 더하여, 본 명세서에 기술된 기능은 적어도 부분적으로 하나 이상의 하드웨어 로직 컴포넌트에 의해 수행될 수 있다. 예를 들어, 제한적인 것은 아니지만, 사용될 수 있는 예시적인 유형의 하드웨어 로직은 FPGA(Field-programmable Gate Array), ASIC(Program-specific Integrated Circuit), ASSP(Program-specific Standard Product), SOC(System-on-a-chip) system), CPLD(Complex Programmable Logic Device) 등을 포함한다.
도 6에 도시된 전술한 드라이브 및 이들의 관련 컴퓨터 저장 매체는 컴퓨터(810)의 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 및 기타 데이터의 저장을 제공한다. 도 6에서, 예를 들어, 하드 디스크 드라이브(841)는 운영 체제(844), 애플리케이션 프로그램(845), 기타 프로그램 모듈(846), 및 프로그램 데이터(847)를 저장하고 있는 것으로 도시되어 있다. 이들 컴포넌트는 운영 체제(834), 애플리케이션 프로그램(835), 기타 프로그램 모듈(836), 및 프로그램 데이터(837)와 동일하거나 또는 다를 수 있다는 점에 유의한다. 본 명세서에서 운영 체제(844), 애플리케이션 프로그램(845), 기타 프로그램 모듈(846), 및 프로그램 데이터(847)에는 상이한 도면번호가 주어지며, 이는, 최소한, 이들이 다른 구성 요소임을 나타내고 있다.
사용자는 키보드(862), 마이크로폰(863), 및 마우스, 트랙볼 또는 터치 패드와 같은 포인팅 장치(861)와 같은 입력 장치를 통해 커맨드 및 정보를 컴퓨터(810)에 입력할 수 있다. 다른 입력 장치(도시되어 있지 않음)는 조이스틱, 게임 패드, 위성 접시, 스캐너 등을 포함할 수 있다. 이들 및 다른 입력 장치는 흔히 시스템 버스에 결합되는 사용자 입력 인터페이스(860)를 통해 프로세싱 유닛(820)에 연결되지만, 병렬 포트, 게임 포트 또는 USB(universal serial bus)와 같은 버스 구조 및 다른 인터페이스에 의해 연결될 수도 있다. 비주얼 디스플레이(891) 또는 다른 유형의 디스플레이 장치가 또한 비디오 인터페이스(890)와 같은 인터페이스를 통해 시스템 버스(821)에 연결된다. 모니터 외에, 컴퓨터는 또한 스피커(897) 및 프린터(896)와 같은 다른 주변 출력 장치를 포함할 수 있는데, 이들은 출력 주변 인터페이스(895)를 통해 연결될 수 있다.
컴퓨터(810)는 원격 컴퓨터(880)와 같은 하나 이상의 원격 컴퓨터로의 논리 접속을 사용하는 네트워크 환경에서 동작할 수 있다. 원격 컴퓨터(880)는 개인용 컴퓨터, 핸드헬드 장치, 서버, 라우터, 네트워크 PC, 피어 장치 또는 기타 공통 네트워크 노드일 수 있으며, 통상적으로 컴퓨터(810)와 관련하여 전술한 요소들 전부 또는 대다수를 포함한다. 도 6에 도시된 논리 접속부는 LAN(871) 및 WAN(873)을 포함하지만, 다른 네트워크를 포함할 수도 있다. 이들 네트워킹 환경은 사무실, 기업형 컴퓨터 네트워크, 인트라넷 및 인터넷에서 흔히 볼 수 있다.
LAN 네트워킹 환경에서 사용될 경우, 컴퓨터(810)는 네트워크 인터페이스 또는 어댑터(870)를 통해 LAN(871)에 접속된다. WAN 네트워킹 환경에서 사용될 경우, 컴퓨터(810)는 통상적으로 모뎀(872) 또는 인터넷과 같은 WAN(873)을 통해 통신을 확립하는 기타 수단을 포함한다. 모뎀(872)은 내부 또는 외부에 있을 수 있으며, 사용자 입력 인터페이스(860) 또는 기타 적절한 메커니즘을 통해 시스템 버스(821)에 연결될 수 있다. 네트워킹된 환경에서, 컴퓨터(810)와 관련하여 도시된 프로그램 모듈 또는 그 일부분은 원격 메모리 저장 장치에 저장될 수 있다. 예를 들어, 비제한적으로, 도 6은 원격 애플리케이션 프로그램(885)을 원격 컴퓨터(880) 상에 존재하는 것으로 도시하고 있다. 도시된 네트워크 접속은 예시적인 것이며 컴퓨터들 사이에 통신 링크를 확립하는 다른 수단이 사용될 수도 있음을 알 수 있을 것이다.
예 1은 컴퓨팅 시스템으로서,
데이터 저장 장치에 저장된 데이터에 대한 동작을 수행하기 위한 요청을 수신하는, 서버 커널 내의 데이터 액세스 로직과,
요청이 실행되기 전에 요청을 인터셉트하고, 요청이 타겟 파일을 열기 위한 파일 열기 요청이면 타겟 파일이 드라이버 파일인지 여부를 판정하고, 타겟 파일이 드라이버 파일이 아니면 타겟 파일이 저장되는 저장 위치를 식별하는, 서버 커널 내의 호 인터셉션 로직(call interception logic)과,
타겟 파일이 드라이버 파일이면 드라이버 파일이 화이트리스트 파일에 의해 승인되는지 여부를 판정하고, 타겟 파일이 드라이버 파일이 아니면 저장 위치가 화이트리스트 파일을 포함하는 보호된 위치에 있는지 여부를 판정하는, 서버 커널 내의 타겟 분석 로직과,
타겟 파일이 화이트리스트 파일에 의해 승인되지 않는 드라이버 파일이면 요청이 실행되는 것을 차단하고, 타겟 파일이 드라이버 파일은 아니지만 보호된 위치에 저장되어 있으면 요청이 실행되는 것을 차단하는 호 차단 로직을 포함하는, 컴퓨팅 시스템이다.
예 2는, 요청이 타겟 파일을 열기 위한 파일 열기 요청인지 여부를 식별하도록 구성된, 서버 커널 내의 호 유형 식별자 로직을 더 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨팅 시스템이다.
예 3은, 호 인터셉션 로직이, 타겟 파일의 유형을 식별하여 타겟 파일이 드라이버 파일인지 여부를 판정하도록 구성된 타겟 파일 유형 식별자 로직을 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨팅 시스템이다.
예 4는, 호 인터셉션 로직이, 타겟 파일이 저장되는 저장 위치를 식별하도록 구성된 타겟 볼륨 식별자 로직을 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨팅 시스템이다.
예 5는, 타겟 분석 로직이, 타겟 파일 유형 식별자 로직이 타겟 파일이 드라이버 파일임을 식별하면, 화이트리스트 파일에 액세스하고, 드라이버 파일을 식별하는 드라이버 파일 식별자를 화이트리스트 파일 내의 엔트리와 비교하여 드라이버 파일 식별자가 화이트리스트 파일 내의 엔트리에 의해 식별되는지 여부를 판정하고, 드라이버 파일 식별자가 화이트리스트 파일 내의 엔트리에 의해 식별되면, 드라이버 파일이 화이트리스트 파일에 의해 승인됨을 나타내는 승인 출력을 생성하도록 구성된 드라이버/화이트리스트 비교 및 보호 로직을 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨팅 시스템이다.
예 6은, 타겟 분석 로직이, 타겟 파일 유형 식별자 로직이 타겟 파일을 드라이버 파일로서 식별하지 않으면, 타겟 파일의 저장 위치를 보호된 볼륨을 포함하는 저장 위치의 범위와 비교하여 타겟 파일의 저장 위치가 보호된 볼륨에 있는지 여부를 판정하고, 타겟 파일의 저장 위치가 보호된 볼륨에 있지 않으면, 타겟 파일이 보호된 볼륨에 저장되지 않음을 나타내는 승인 출력을 생성하도록 구성된 타겟 볼륨 분석 로직을 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨팅 시스템이다.
예 7은, 요청은 서버 커널에 의한 실행을 위해, 서버 커널로 로딩되는 로딩된 필터 드라이버들로 이루어진 첨부된 드라이버 스택을 이용하여 파일 시스템 내의 파일에 액세스하는 것인, 이전 예들 중 어느 하나 또는 모두의 컴퓨팅 시스템이다.
예 8은, 호 인터셉션 로직이 파일 시스템에 첨부된 드라이버 스택 내의 필터 드라이버를 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨팅 시스템이다.
예 9는, 호 타겟 분석 로직이 파일 시스템에 첨부된 드라이버 스택 내의 필터 드라이버를 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨팅 시스템이다.
예 10은, 호 차단 로직이 파일 시스템에 첨부된 드라이버 스택 내의 필터 드라이버를 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨팅 시스템이다.
예 11은, 컴퓨터로 구현되는 방법으로서,
서버 커널 내에서, 데이터 저장 장치에 저장된 데이터에 대한 동작을 수행하기 위한 요청을 수신하는 단계와,
요청이 실행되기 전에, 요청이 타겟 파일을 열기 위한 파일 열기 요청인지 여부를 식별하는 단계와,
요청이 파일 열기 요청이면, 타겟 파일이 드라이버 파일인지 여부를 판정하는 단계와,
타겟 파일이 드라이버 파일이 아니면, 타겟 파일이 저장되는 저장 위치를 식별하는 단계와,
타겟 파일이 드라이버 파일이면, 드라이버 파일이 화이트리스트 파일에 의해 승인되는지 여부를 판정하는 단계와,
타겟 파일이 드라이버 파일이 아니면, 저장 위치가 화이트리스트 파일을 포함하는 보호된 위치에 있는지 여부를 판정하는 단계와,
타겟 파일이 화이트리스트 파일에 의해 승인되지 않는 드라이버 파일이면, 요청이 실행되는 것을 차단하는 단계와,
타겟 파일이 드라이버 파일은 아니지만 보호된 위치에 저장되어 있으면, 요청이 실행되는 것을 차단하는 단계를 포함하는, 컴퓨터로 구현되는 방법이다.
예 12는, 서버 커널에서, 요청이 타겟 파일을 열기 위한 파일 열기 요청인지 여부를 식별하는 단계를 더 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨터로 구현되는 방법이다.
예 13은, 드라이버 파일이 화이트리스트 파일에 의해 승인되는지 여부를 판정하는 단계가,
타겟 파일이 드라이버 파일이면, 화이트리스트 파일에 액세스하는 단계와,
드라이버 파일을 식별하는 드라이버 파일 식별자를 화이트리스트 파일 내의 엔트리와 비교하여 드라이버 파일 식별자가 화이트리스트 파일 내의 엔트리에 의해 식별되는지 여부를 판정하는 단계와,
드라이버 파일 식별자가 화이트리스트 파일 내의 엔트리에 의해 식별되면, 드라이버 파일이 화이트리스트 파일에 의해 승인됨을 나타내는 승인 출력을 생성하는 단계를 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨터로 구현되는 방법이다.
예 14는, 저장 위치가 화이트리스트 파일을 포함하는 보호된 위치에 있는지 여부를 판정하는 단계가,
타겟 파일이 드라이버 파일로서 식별되지 않으면, 타겟 파일의 저장 위치를 보호된 볼륨을 포함하는 저장 위치의 범위와 비교하여 타겟 파일의 저장 위치가 보호된 볼륨에 있는지 여부를 판정하는 단계와,
타겟 파일의 저장 위치가 보호된 볼륨에 있지 않으면, 타겟 파일이 보호된 볼륨에 저장되지 않음을 나타내는 승인 출력을 생성하는 단계를 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨터로 구현되는 방법이다.
예 15는, 요청은 서버 커널에 의한 실행을 위해, 서버 커널로 로딩되는 로딩된 필터 드라이버들로 이루어진 첨부된 드라이버 스택을 이용하여 파일 시스템 내의 파일에 액세스하는 것인, 이전 예들 중 어느 하나 또는 모두의 컴퓨터로 구현되는 방법이다.
예 16은, 타겟 파일이 드라이버 파일인지 여부를 판정하는 것이,
파일 시스템에 첨부된 드라이버 스택 내의 필터 드라이버에 요청을 제공하는 것과,
필터 드라이버를 실행하는 것을 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨팅 시스템이다.
예 17은, 타겟 파일이 저장되는 저장 위치를 식별하는 단계, 드라이버 파일이 화이트리스트 파일에 의해 승인되는지 여부를 판정하는 단계, 및 저장 위치가 화이트리스트 파일을 포함하는 보호된 위치에 있는지 여부를 판정하는 단계가,
파일 시스템에 첨부된 드라이버 스택 내의 필터 드라이버에 요청을 제공하는 단계와,
필터 드라이버를 실행하는 단계를 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨터로 구현되는 방법이다.
예 18은, 컴퓨팅 시스템으로서,
데이터 저장 장치에 저장된 데이터에 대한 동작을 수행하기 위한 요청을 수신하는, 서버 커널 내의 데이터 액세스 로직과,
요청이 타겟 파일을 열기 위한 파일 열기 요청인지 여부를 식별하도록 구성된, 서버 커널 내의 호 유형 식별자 로직과,
요청이 파일 열기 요청이면, 요청이 실행되기 전에 요청을 인터셉트하고, 타겟 파일의 유형을 식별하여 타겟 파일이 드라이버 파일인지 여부를 판정하도록 구성된 타겟 파일 유형 식별자 로직과,
타겟 파일이 저장되는 저장 위치를 식별하도록 구성된 타겟 볼륨 식별자 로직과,
타겟 파일이 드라이버 파일이면 드라이버 파일이 화이트리스트 파일에 의해 승인되는지 여부를 판정하고, 타겟 파일이 드라이버 파일이 아니면 저장 위치가 화이트리스트 파일을 포함하는 보호된 위치에 있는지 여부를 판정하는, 서버 커널 내의 타겟 분석 로직과,
타겟 파일이 화이트리스트 파일에 의해 승인되지 않는 드라이버 파일이면 요청이 실행되는 것을 차단하고, 타겟 파일이 드라이버 파일은 아니지만 보호된 위치에 저장되어 있으면 요청이 실행되는 것을 차단하는 호 차단 로직을 포함하는, 컴퓨팅 시스템이다.
예 19는, 타겟 분석 로직이, 타겟 파일 유형 식별자 로직이 타겟 파일이 드라이버 파일임을 식별하면, 화이트리스트 파일에 액세스하고, 드라이버 파일을 식별하는 드라이버 파일 식별자를 화이트리스트 파일 내의 엔트리와 비교하여 드라이버 파일 식별자가 화이트리스트 파일 내의 엔트리에 의해 식별되는지 여부를 판정하고, 드라이버 파일 식별자가 화이트리스트 파일 내의 엔트리에 의해 식별되면, 드라이버 파일이 화이트리스트 파일에 의해 승인됨을 나타내는 승인 출력을 생성하도록 구성된 드라이버/화이트리스트 비교 및 보호 로직을 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨팅 시스템이다.
예 20은, 타겟 분석 로직이, 타겟 파일 유형 식별자 로직이 타겟 파일을 드라이버 파일로서 식별하지 않으면, 타겟 파일의 저장 위치를 보호된 볼륨을 포함하는 저장 위치의 범위와 비교하여 타겟 파일의 저장 위치가 보호된 볼륨에 있는지 여부를 판정하고, 타겟 파일의 저장 위치가 보호된 볼륨에 있지 않으면, 타겟 파일이 보호된 볼륨에 저장되지 않음을 나타내는 승인 출력을 생성하도록 구성된 타겟 볼륨 분석 로직을 포함하는, 이전 예들 중 어느 하나 또는 모두의 컴퓨팅 시스템이다.
또한, 본 명세서에 설명된 상이한 예들은 상이한 방식으로 결합될 수 있다는 점에 유의해야 한다. 즉, 하나 이상의 예의 일부는 하나 이상의 다른 예의 일부와 결합될 수 있다. 이 모든 것이 본 명세서에서 고려된다.
첨부된 청구항들에 정의된 청구대상은 구조적인 특징 및/또는 방법의 동작에 특유한 언어로 기술되어 있지만, 반드시 전술한 특정한 특징이나 동작으로 제한되지는 않음을 이해해야 한다. 오히려, 전술한 특정한 특징 및 동작은 청구항들을 구현하는 예시적인 형태로서 개시되어 있다.

Claims (15)

  1. 컴퓨팅 시스템으로서,
    데이터 저장 장치에 저장된 데이터에 대한 동작을 수행하기 위한 요청을 수신하는, 서버 커널 내의 데이터 액세스 로직과,
    상기 요청이 실행되기 전에 상기 요청을 인터셉트하고, 상기 요청이 타겟 파일을 열기 위한 파일 열기 요청이면 상기 타겟 파일이 드라이버 파일인지 여부를 판정하고, 상기 타겟 파일이 드라이버 파일이 아니면 상기 타겟 파일이 저장되는 저장 위치를 식별하는, 상기 서버 커널 내의 호 인터셉션 로직(call interception logic)과,
    상기 타겟 파일이 드라이버 파일이면 상기 드라이버 파일이 화이트리스트 파일에 의해 승인되는지 여부를 판정하고, 상기 타겟 파일이 드라이버 파일이 아니면 상기 저장 위치가 상기 화이트리스트 파일을 포함하는 보호된 위치에 있는지 여부를 판정하는, 상기 서버 커널 내의 타겟 분석 로직과,
    상기 타겟 파일이 상기 화이트리스트 파일에 의해 승인되지 않는 드라이버 파일이면 상기 요청이 실행되는 것을 차단하고, 상기 타겟 파일이 드라이버 파일은 아니지만 상기 보호된 위치에 저장되어 있으면 상기 요청이 실행되는 것을 차단하는 호 차단 로직을 포함하는,
    컴퓨팅 시스템.
  2. 제 1 항에 있어서,
    상기 요청이 상기 타겟 파일을 열기 위한 상기 파일 열기 요청인지 여부를 식별하도록 구성된, 상기 서버 커널 내의 호 유형 식별자 로직을 더 포함하는,
    컴퓨팅 시스템.
  3. 제 2 항에 있어서,
    상기 호 인터셉션 로직은, 상기 타겟 파일의 유형을 식별하여 상기 타겟 파일이 드라이버 파일인지 여부를 판정하도록 구성된 타겟 파일 유형 식별자 로직을 포함하는,
    컴퓨팅 시스템.
  4. 제 3 항에 있어서,
    상기 호 인터셉션 로직은, 상기 타겟 파일이 저장되는 상기 저장 위치를 식별하도록 구성된 타겟 볼륨 식별자 로직을 포함하는,
    컴퓨팅 시스템.
  5. 제 4 항에 있어서,
    상기 타겟 분석 로직은, 상기 타겟 파일 유형 식별자 로직이 상기 타겟 파일이 드라이버 파일임을 식별하면, 상기 화이트리스트 파일에 액세스하고, 상기 드라이버 파일을 식별하는 드라이버 파일 식별자를 상기 화이트리스트 파일 내의 엔트리와 비교하여 상기 드라이버 파일 식별자가 상기 화이트리스트 파일 내의 엔트리에 의해 식별되는지 여부를 판정하고, 상기 드라이버 파일 식별자가 상기 화이트리스트 파일 내의 엔트리에 의해 식별되면, 상기 드라이버 파일이 상기 화이트리스트 파일에 의해 승인됨을 나타내는 승인 출력을 생성하도록 구성된 드라이버/화이트리스트 비교 및 보호 로직을 포함하는,
    컴퓨팅 시스템.
  6. 제 5 항에 있어서,
    상기 타겟 분석 로직은, 상기 타겟 파일 유형 식별자 로직이 상기 타겟 파일을 드라이버 파일로서 식별하지 않으면, 상기 타겟 파일의 저장 위치를 보호된 볼륨을 포함하는 저장 위치의 범위와 비교하여 상기 타겟 파일의 저장 위치가 상기 보호된 볼륨에 있는지 여부를 판정하고, 상기 타겟 파일의 저장 위치가 상기 보호된 볼륨에 있지 않으면, 상기 타겟 파일이 상기 보호된 볼륨에 저장되지 않음을 나타내는 승인 출력을 생성하도록 구성된 타겟 볼륨 분석 로직을 포함하는,
    컴퓨팅 시스템.
  7. 제 6 항에 있어서,
    상기 요청은 상기 서버 커널에 의한 실행을 위해, 상기 서버 커널로 로딩되는 로딩된 필터 드라이버들로 이루어진 첨부된 드라이버 스택을 이용하여 파일 시스템 내의 파일에 액세스하는 것인,
    컴퓨팅 시스템.
  8. 제 7 항에 있어서,
    상기 호 인터셉션 로직은 상기 파일 시스템에 첨부된 상기 드라이버 스택 내의 필터 드라이버를 포함하는,
    컴퓨팅 시스템.
  9. 제 7 항에 있어서,
    상기 호 타겟 분석 로직은 상기 파일 시스템에 첨부된 상기 드라이버 스택 내의 필터 드라이버를 포함하는,
    컴퓨팅 시스템.
  10. 제 7 항에 있어서,
    상기 호 차단 로직은 상기 파일 시스템에 첨부된 상기 드라이버 스택 내의 필터 드라이버를 포함하는,
    컴퓨팅 시스템.
  11. 컴퓨터로 구현되는 방법으로서,
    서버 커널 내에서, 데이터 저장 장치에 저장된 데이터에 대한 동작을 수행하기 위한 요청을 수신하는 단계와,
    상기 요청이 실행되기 전에, 상기 요청이 타겟 파일을 열기 위한 파일 열기 요청인지 여부를 식별하는 단계와,
    상기 요청이 상기 파일 열기 요청이면, 상기 타겟 파일이 드라이버 파일인지 여부를 판정하는 단계와,
    상기 타겟 파일이 드라이버 파일이 아니면, 상기 타겟 파일이 저장되는 저장 위치를 식별하는 단계와,
    상기 타겟 파일이 드라이버 파일이면, 상기 드라이버 파일이 화이트리스트 파일에 의해 승인되는지 여부를 판정하는 단계와,
    상기 타겟 파일이 드라이버 파일이 아니면, 상기 저장 위치가 상기 화이트리스트 파일을 포함하는 보호된 위치에 있는지 여부를 판정하는 단계와,
    상기 타겟 파일이 상기 화이트리스트 파일에 의해 승인되지 않는 드라이버 파일이면, 상기 요청이 실행되는 것을 차단하는 단계와,
    상기 타겟 파일이 드라이버 파일은 아니지만 상기 보호된 위치에 저장되어 있으면, 상기 요청이 실행되는 것을 차단하는 단계를 포함하는,
    컴퓨터로 구현되는 방법.
  12. 제 11 항에 있어서,
    상기 서버 커널에서, 상기 요청이 상기 타겟 파일을 열기 위한 상기 파일 열기 요청인지 여부를 식별하는 단계를 더 포함하는,
    컴퓨터로 구현되는 방법.
  13. 제 12 항에 있어서,
    상기 드라이버 파일이 화이트리스트 파일에 의해 승인되는지 여부를 판정하는 단계는,
    상기 타겟 파일이 드라이버 파일이면, 상기 화이트리스트 파일에 액세스하는 단계와,
    상기 드라이버 파일을 식별하는 드라이버 파일 식별자를 상기 화이트리스트 파일 내의 엔트리와 비교하여 상기 드라이버 파일 식별자가 상기 화이트리스트 파일 내의 엔트리에 의해 식별되는지 여부를 판정하는 단계와,
    상기 드라이버 파일 식별자가 상기 화이트리스트 파일 내의 엔트리에 의해 식별되면, 상기 드라이버 파일이 상기 화이트리스트 파일에 의해 승인됨을 나타내는 승인 출력을 생성하는 단계를 포함하는,
    컴퓨터로 구현되는 방법.
  14. 제 13 항에 있어서,
    상기 저장 위치가 상기 화이트리스트 파일을 포함하는 보호된 위치에 있는지 여부를 판정하는 단계는,
    상기 타겟 파일이 드라이버 파일로서 식별되지 않으면, 상기 타겟 파일의 저장 위치를 보호된 볼륨을 포함하는 저장 위치의 범위와 비교하여 상기 타겟 파일의 저장 위치가 상기 보호된 볼륨에 있는지 여부를 판정하는 단계와,
    상기 타겟 파일의 저장 위치가 상기 보호된 볼륨에 있지 않으면, 상기 타겟 파일이 상기 보호된 볼륨에 저장되지 않음을 나타내는 승인 출력을 생성하는 단계를 포함하는,
    컴퓨터로 구현되는 방법.
  15. 컴퓨팅 시스템으로서,
    데이터 저장 장치에 저장된 데이터에 대한 동작을 수행하기 위한 요청을 수신하는, 서버 커널 내의 데이터 액세스 로직과,
    상기 요청이 타겟 파일을 열기 위한 파일 열기 요청인지 여부를 식별하도록 구성된, 상기 서버 커널 내의 호 유형 식별자 로직과,
    상기 요청이 파일 열기 요청이면, 상기 요청이 실행되기 전에 상기 요청을 인터셉트하고, 상기 타겟 파일의 유형을 식별하여 상기 타겟 파일이 드라이버 파일인지 여부를 판정하도록 구성된 타겟 파일 유형 식별자 로직과,
    상기 타겟 파일이 저장되는 저장 위치를 식별하도록 구성된 타겟 볼륨 식별자 로직과,
    상기 타겟 파일이 드라이버 파일이면 상기 드라이버 파일이 화이트리스트 파일에 의해 승인되는지 여부를 판정하고, 상기 타겟 파일이 드라이버 파일이 아니면 상기 저장 위치가 상기 화이트리스트 파일을 포함하는 보호된 위치에 있는지 여부를 판정하는, 상기 서버 커널 내의 타겟 분석 로직과,
    상기 타겟 파일이 상기 화이트리스트 파일에 의해 승인되지 않는 드라이버 파일이면 상기 요청이 실행되는 것을 차단하고, 상기 타겟 파일이 드라이버 파일은 아니지만 상기 보호된 위치에 저장되어 있으면 상기 요청이 실행되는 것을 차단하는 호 차단 로직을 포함하는,
    컴퓨팅 시스템.
KR1020217010268A 2018-10-08 2019-09-24 컴퓨터 시스템에서 비승인 드라이버의 설치를 제어하는 기법 KR20210068444A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/154,144 US11151273B2 (en) 2018-10-08 2018-10-08 Controlling installation of unauthorized drivers on a computer system
US16/154,144 2018-10-08
PCT/US2019/052538 WO2020076492A1 (en) 2018-10-08 2019-09-24 Controlling installation of unauthorized drivers on a computer system

Publications (1)

Publication Number Publication Date
KR20210068444A true KR20210068444A (ko) 2021-06-09

Family

ID=68165745

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020217010268A KR20210068444A (ko) 2018-10-08 2019-09-24 컴퓨터 시스템에서 비승인 드라이버의 설치를 제어하는 기법

Country Status (5)

Country Link
US (2) US11151273B2 (ko)
EP (1) EP3844649A1 (ko)
KR (1) KR20210068444A (ko)
CN (1) CN112805700A (ko)
WO (1) WO2020076492A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11080416B2 (en) * 2018-10-08 2021-08-03 Microsoft Technology Licensing, Llc Protecting selected disks on a computer system
JP7391802B2 (ja) * 2020-09-11 2023-12-05 株式会社東芝 情報処理装置、情報処理方法及びコンピュータプログラム
CN115906184B (zh) * 2023-01-09 2023-06-16 闪捷信息科技有限公司 一种控制进程访问文件的方法、装置、介质及电子设备

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6336171B1 (en) 1998-12-23 2002-01-01 Ncr Corporation Resource protection in a cluster environment
US7380140B1 (en) * 1998-12-30 2008-05-27 Spyrus, Inc. Providing a protected volume on a data storage device
US6898712B2 (en) * 2001-02-20 2005-05-24 Networks Associates Technology, Inc. Test driver ordering
US7167982B2 (en) 2001-09-14 2007-01-23 Lenovo (Singapore) Pte Ltd. Securing decrypted files in a shared environment
US8291407B2 (en) 2002-06-12 2012-10-16 Symantec Corporation Systems and methods for patching computer programs
EP1519775B1 (en) * 2002-07-05 2013-03-20 Mudalla Technology, Inc. Secure game download
US7188127B2 (en) * 2003-10-07 2007-03-06 International Business Machines Corporation Method, system, and program for processing a file request
US20050131960A1 (en) * 2003-12-15 2005-06-16 Reed Benjamin C. Method and system of accessing at least one target file in a computer system with an operating system with file locking implemented at file-open time
WO2006101549A2 (en) 2004-12-03 2006-09-28 Whitecell Software, Inc. Secure system for allowing the execution of authorized computer program code
US20060150247A1 (en) 2004-12-30 2006-07-06 Andrew Gafken Protection of stored data
EP1684151A1 (en) 2005-01-20 2006-07-26 Grant Rothwell William Computer protection against malware affection
CA2717583A1 (en) 2007-03-05 2008-09-12 Andrea Robinson Fahmy Method and system for preventing unauthorized access and distribution of digital data
US8099718B2 (en) 2007-11-13 2012-01-17 Intel Corporation Method and system for whitelisting software components
US8950007B1 (en) 2008-04-07 2015-02-03 Lumension Security, Inc. Policy-based whitelisting with system change management based on trust framework
EP2327035A1 (en) 2008-08-07 2011-06-01 Safend Ltd System and method for protecting content on a storage device
WO2010065271A2 (en) 2008-11-25 2010-06-10 Board Of Governors For Higher Education, State Of Rhode Island And Providence Plantations Systems and methods for providing continuous file protection at block level
US8224796B1 (en) 2009-09-11 2012-07-17 Symantec Corporation Systems and methods for preventing data loss on external devices
KR101113820B1 (ko) 2010-03-16 2012-02-29 소프트캠프(주) 응용프로그램의 파일 입출력 보안방법과 보안시스템
US9239909B2 (en) 2012-01-25 2016-01-19 Bromium, Inc. Approaches for protecting sensitive data within a guest operating system
US8943550B2 (en) * 2010-05-28 2015-01-27 Apple Inc. File system access for one or more sandboxed applications
US9147071B2 (en) * 2010-07-20 2015-09-29 Mcafee, Inc. System and method for proactive detection of malware device drivers via kernel forensic behavioral monitoring and a back-end reputation system
US8726396B1 (en) 2011-01-14 2014-05-13 Symantec Corporation Scanning protected files for violations of a data loss prevention policy
US8863232B1 (en) * 2011-02-04 2014-10-14 hopTo Inc. System for and methods of controlling user access to applications and/or programs of a computer
US9003104B2 (en) 2011-02-15 2015-04-07 Intelligent Intellectual Property Holdings 2 Llc Systems and methods for a file-level cache
US9087199B2 (en) 2011-03-31 2015-07-21 Mcafee, Inc. System and method for providing a secured operating system execution environment
US9038176B2 (en) 2011-03-31 2015-05-19 Mcafee, Inc. System and method for below-operating system trapping and securing loading of code into memory
US20120291103A1 (en) 2011-05-09 2012-11-15 Google Inc. Permission-based administrative controls
US8626714B1 (en) 2011-09-07 2014-01-07 Symantec Corporation Automated separation of corporate and private data for backup and archiving
EP2795513A4 (en) 2011-12-22 2015-12-16 Intel Corp SYSTEMS AND METHODS FOR PROVIDING PROTECTION AGAINST MALICIOUS SOFTWARE ON STORAGE DEVICES
US9081960B2 (en) 2012-04-27 2015-07-14 Ut-Battelle, Llc Architecture for removable media USB-ARM
US9769123B2 (en) 2012-09-06 2017-09-19 Intel Corporation Mitigating unauthorized access to data traffic
US9672374B2 (en) 2012-10-19 2017-06-06 Mcafee, Inc. Secure disk access control
US9336395B2 (en) 2013-01-25 2016-05-10 Hewlett-Packard Development Company, L.P. Boot driver verification
US9202053B1 (en) 2013-02-27 2015-12-01 Trend Micro Inc. MBR infection detection using emulation
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US20160378528A1 (en) 2015-06-26 2016-12-29 Vmware, Inc. Propagating changes from a virtual machine clone to a physical host device
US10204237B2 (en) 2016-07-01 2019-02-12 Workday, Inc. Sensitive data service access
GB2554390B (en) 2016-09-23 2018-10-31 1E Ltd Computer security profiling
CN109923548B (zh) * 2016-10-11 2022-06-10 佰倬信息科技有限责任公司 通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品
US20180157834A1 (en) 2016-12-02 2018-06-07 Politecnico Di Milano Protection system and method for protecting a computer system against ransomware attacks
US10810164B2 (en) * 2017-01-27 2020-10-20 Wyse Technology L.L.C. Securing access to functionality of a file-based write filter
CN107038369A (zh) 2017-03-21 2017-08-11 深圳市金立通信设备有限公司 一种资源访问控制的方法及终端
US11080416B2 (en) 2018-10-08 2021-08-03 Microsoft Technology Licensing, Llc Protecting selected disks on a computer system

Also Published As

Publication number Publication date
CN112805700A (zh) 2021-05-14
US20200110893A1 (en) 2020-04-09
US11151273B2 (en) 2021-10-19
WO2020076492A1 (en) 2020-04-16
EP3844649A1 (en) 2021-07-07
US20220067195A1 (en) 2022-03-03

Similar Documents

Publication Publication Date Title
EP3847568B1 (en) Protecting selected disks on a computer system
US20110239306A1 (en) Data leak protection application
US20220067195A1 (en) Controlling installation of unauthorized drivers on a computer system
CN109074450B (zh) 威胁防御技术
US20220335125A1 (en) Protecting a computer device from escalation of privilege attacks
US11221968B1 (en) Systems and methods for shadow copy access prevention
EP3753221B1 (en) System and method for monitoring effective control of a machine
US10587652B2 (en) Generating false data for suspicious users
US9805190B1 (en) Monitoring execution environments for approved configurations
US10929537B2 (en) Systems and methods of protecting data from malware processes
US10992713B2 (en) Method of and system for authorizing user to execute action in electronic service
RU2645265C2 (ru) Система и способ блокировки элементов интерфейса приложения
KR20060050768A (ko) 액세스 인가 api
US10542005B2 (en) Connection control for virtualized environments
US11170103B2 (en) Method of detecting malicious files resisting analysis in an isolated environment
KR101099310B1 (ko) 통합된 액세스 인가
US20230004638A1 (en) Redirection of attachments based on risk and context
Gligor Security limitations of virtualization and how to overcome them
EP3243313B1 (en) System and method for monitoring a computer system using machine interpretable code
EP3588346A1 (en) Method of detecting malicious files resisting analysis in an isolated environment
US20240056473A1 (en) Determining the Exposure Level Of Vulnerabilities
US20230409717A1 (en) System and method for detecting vulnerabilities in the operating system based on process and thread data
Jiménez Aranda et al. Possible keyloggers without implementing a keyboard in android