RU2397537C2 - Управление безопасностью компьютера, например, в виртуальной машине или реальной операционной системе - Google Patents
Управление безопасностью компьютера, например, в виртуальной машине или реальной операционной системе Download PDFInfo
- Publication number
- RU2397537C2 RU2397537C2 RU2005135472/09A RU2005135472A RU2397537C2 RU 2397537 C2 RU2397537 C2 RU 2397537C2 RU 2005135472/09 A RU2005135472/09 A RU 2005135472/09A RU 2005135472 A RU2005135472 A RU 2005135472A RU 2397537 C2 RU2397537 C2 RU 2397537C2
- Authority
- RU
- Russia
- Prior art keywords
- instances
- security
- computer
- virtual
- virtual machine
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
Изобретение относится к средствам поддержания безопасности и целостности операционных систем (ОС) компьютеров. Технический результат - повышение безопасности компьютеров. Схема безопасности обеспечивает безопасность для одной или нескольких экземпляров самостоятельной рабочей среды, выполняющихся на компьютере, включает в себя реализацию набора приложений безопасности, управление которыми может осуществляться надзирающим процессом. Набор приложений безопасности и надзирающий процесс могут функционировать на главной системе компьютера, которая также может обеспечивать платформу для выполнения упомянутых одной или нескольких самостоятельных рабочих сред. Схема безопасности защищает процессы, выполняющиеся в упомянутых одной или нескольких самостоятельных рабочих средах, и процессы, выполняющиеся на компьютере вне самостоятельных рабочих сред. 3 н. и 6 з.п. ф-лы, 10 ил.
Description
Область техники, к которой относится изобретение
Описанная технология относится, в общем случае, к поддержанию безопасности и целостности операционных систем (ОС) компьютеров.
Предшествующий уровень техники
Когда программное обеспечение, которое разработано специально для повреждения или разрушения системы (например, злонамеренное программное обеспечение или "злонамеренное ПО") вторгается в компьютерную систему, целостность операционной системы компьютера, а следовательно, и вся компьютерная система, получает большое повреждение. Хотя вопросы и требования безопасности пользователей компьютеров варьируются в широком диапазоне, с учетом повышения опасности заражения вирусами, червями и троянами, большинство пользователей компьютеров обращают внимание на целостность важных компонентов инфраструктуры своих компьютеров, например процессов операционной системы, процессов памяти и т.д.
Некоторые типы злонамеренного ПО используют привилегированные операции операционной системы для атаки на компьютер. Такие привилегированные операции обычно состоят из команд или наборов команд, доступных только привилегированному пользователю или процессу. Например, когда злонамеренное ПО способно каким-то образом осуществлять доступ к одной или нескольким из этих привилегированных операций, это может привести к удалению или повреждению файлов операционной системы, атаке на компоненты операционной системы, хранящиеся в памяти, удалению файлов пользователя и многим другим пагубным последствиям. В некоторых случаях, даже незлонамеренные процессы могут повредить компьютерную систему вследствие непреднамеренного поведения, при котором осуществляется доступ к привилегированным операциям. В более общем случае, почти любой процесс может иметь возможность получить доступ к привилегированным операциям, просто допуская истинность привилегированного пользователя.
Обычно, операционные системы обеспечивают инфраструктуру для вмещения процессов и предоставления системных служб этим процессам. Операционные системы обычно обеспечивают базовую защиту безопасности, например, применяя контроль доступа и прав собственности в отношении системных ресурсов. Например, в обычных средах операционной системы, защитные службы безопасности, например, сетевой брандмауэр, оценивание уязвимости, обнаружение заплаток, блокировка поведения, обнаружение проникновения в сетевой узел или сеть и антивирусные технологии, выполняются в качестве собственных приложений в операционной системе. Несмотря на эти меры, операционная система иногда не способна точно определить, была ли она атакована. В частности, когда экземпляр злонамеренного кода или другого злонамеренного ПО атакует компьютерную систему и получает достаточный контроль (например, доступ администраторского уровня), все дальнейшие попытки операционной системы определить, подверглась ли она атаке, уже не будут заслуживать доверия, поскольку механизмы для таких попыток также могут быть повреждены. Дело в том, что злонамеренный код может эффективно изменять любые структуры, хранящиеся в памяти или на диске, используемые операционной системой или приложениями, используемыми для ее защиты.
Один подход к защите компьютерной системы и ее операционной системы предусматривает установку набора приложений безопасности, например, антивирусного программного обеспечения, персональных брандмауэров и систем обнаружения проникновения. В системах с множественными компьютерными системами, например, компьютерной сети или кластере компьютерных систем, развернутых в массиве, в каждой отдельной компьютерной системе выполняется собственный набор приложений безопасности. Дело в том, что каждая компьютерная система в сети или массиве является физически отдельной сущностью со своим собственным сетевым присоединением, собственным(и) центральным(и) процессором (ами), собственным экземпляром операционной системы и т.д. Хотя такие приложения безопасности можно устанавливать на каждой компьютерной системе, чтобы предотвратить повреждение компьютерной системы и ее операционной системы, таким приложениям безопасности может быть слишком сложно защитить компьютерную систему, поскольку, наподобие любого другого приложения, выполняющегося в компьютерной системе, они также уязвимы для атаки.
В другом подходе к защите компьютерной системы и ее операционной системы, такие аспекты компьютерной системы, как память, защищаются посредством аспектов изоляции компьютерной системы.
Сущность изобретения
Описанные здесь методики защиты компьютера обеспечивают различные функциональные возможности безопасности, включая использование единого процесса безопасности (или набора процессов безопасности) для мониторинга, защиты и исправления множественных логически изолированных виртуальных машин (ВМ), выполняющихся на хост-системе. В некоторых вариантах осуществления, методики безопасности обеспечивают безопасность одного или нескольких экземпляров самостоятельной рабочей среды, выполняющихся на компьютере. Методики безопасности могут включать в себя реализацию приложения безопасности, которым может управлять надзирающий процесс. Приложение безопасности может отслеживать одну или несколько виртуальных машин. Этот мониторинг может осуществляться различными методами, включая автономное сканирование виртуальных машин приложением безопасности, реализацию агентского процесса безопасности, выполняющегося на каждой виртуальной машине, и т.д.
В некоторых вариантах осуществления набор приложений безопасности и надзирающий процесс могут функционировать на хост-системе компьютера, что может также обеспечивать платформу для выполнения одной или несколько самостоятельных рабочих сред. Методики безопасности могут защищать процессы, выполняющиеся в одной или нескольких самостоятельных рабочих средах, и процессы, выполняющиеся на компьютере вне самоограниченных рабочих сред.
Перечень фигур
Фиг.1 - блок-схема примера системы для реализации методик безопасности в одном варианте осуществления.
Фиг.2 - блок-схема примера автономного сканирования виртуальных машин в системе, показанной на фиг.1.
Фиг.3А - блок-схема альтернативного примера автономного сканирования виртуальных машин в системе, показанной на фиг.1.
Фиг.3В - блок-схема другого примера сканирования виртуальных машин в системе, показанной на фиг.1.
Фиг.3С - блок-схема еще одного примера сканирования виртуальных машин в системе, показанной на фиг.1.
Фиг.4 - логическая блок-схема процедуры, осуществляемой надзирающим процессом, который отслеживает операционную систему в системе, показанной на фиг.1.
Фиг.5 - логическая блок-схема примера процедуры мониторинга безопасности, который отслеживает виртуальные машины в системе, показанной на фиг.1, с использованием периодического сканирования.
Фиг.6 - логическая блок-схема второго примера процедуры мониторинга безопасности, который отслеживает виртуальные машины в системе, показанной на фиг.1, с использованием монтирования структуры виртуальной машины.
Фиг.7 - логическая блок-схема третьего примера процедуры мониторинга безопасности, который отслеживает виртуальные машины в системе, показанной на фиг.1, без использования монтирования структуры виртуальной машины.
Фиг.8 - логическая блок-схема второго примера процедуры мониторинга безопасности, который отслеживает виртуальные машины в системе, показанной на фиг.1, с использованием агентского процесса, выполняющегося на виртуальной машине.
На чертежах одинаковые позиции обозначают одинаковые или по существу аналогичные элементы или действия. Для облегчения рассмотрения любого конкретного элемента или действия, старшая значащая цифра или цифры в позиции обозначают номер фигуры, в которой этот элемент впервые представлен (например, элемент 204 впервые представлен и рассмотрен в связи с фиг.2).
Подробное описание
Изобретение будет описано в отношении различных вариантов осуществления. Нижеследующее описание обеспечивает конкретные детали для полного понимания и описания этих вариантов осуществления изобретения. Однако специалистам в данной области понятно, что изобретение можно осуществлять на практике без этих деталей. В других примерах, общеизвестные структуры и функции не показаны и не описаны подробно во избежание ненужного затемнения описания вариантов осуществления изобретения.
Терминологию, используемую в представленном описании, следует интерпретировать в самом широком возможном смысле, даже если она используется в связи с подробным описанием определенных конкретных вариантов осуществления изобретения. Некоторые термины могут даже быть подчеркнуты ниже, однако любая терминология, подлежащая интерпретации в каком-либо ограниченном смысле, будет открыто и конкретно определена как таковая в этом разделе Подробного описания.
I. Обзор
Описанные здесь методики защиты компьютера обеспечивают различные функциональные возможности безопасности, включая использование единого процесса безопасности (или набора процессов безопасности) для мониторинга, защиты и исправления множественных логически изолированных виртуальных машин, выполняющихся на хост-системе.
В некоторых вариантах осуществления, хост-система, выполняющаяся на физической машине, обеспечивает виртуальную машину, на которой могут выполняться операционная система и приложения. Хотя многие процессы могут выполняться на виртуальной машине, в общем случае, операционная система и приложения, выполняющиеся на виртуальной машине, не могут осуществлять доступ к ресурсам (например, памяти и устройствам) иначе, как по разрешению хост-системы, которая обеспечивает виртуальную машину, или по указанию гостя, который назначен виртуальной машине.
Если виртуальная машина выполняет злонамеренное ПО, то любое повреждение ограничивается операционной системой, приложениями и доступными ресурсами виртуальной машины. Таким образом, компьютер, по существу, защищен от эффектов злонамеренного ПО, выполняющегося на виртуальной машине.
В некоторых вариантах осуществления, хост-система может препятствовать операционной системе и приложениям, выполняющимся на виртуальной машине, в осуществлении привилегированных операций, которые могут приводить к нежелательным изменениям ресурсов или операционной системы физической машины. Например, операционной системе, выполняющейся на виртуальной машине, могут быть даны администраторские привилегии в виртуальной машине, но не в физической машине.
В некоторых вариантах осуществления, хост-система реализует профилактические процессы безопасности. Примеры таких процессов безопасности включают в себя мониторы сетевого брандмауэра, мониторы оценивания уязвимости, мониторы обнаружения заплаток, мониторы блокировки поведения, мониторы проникновения в сетевой узел или сеть и антивирусные технологии. В общем, процессы безопасности сконфигурированы на повышение безопасности виртуальных машин, хост-системы и, следовательно, физической машины.
В некоторых вариантах осуществления, процессы безопасности реализованы как находящиеся под управлением надзирающего процесса, выполняющегося на хост-системе. Надзирающий процесс может предоставлять или обеспечивать процессам безопасности некоторый уровень доступа и видимости к компонентам виртуальных машин, включая виртуальную память, виртуальный диск, виртуальные сетевые адаптеры, виртуальные драйверы и т.д. Например, надзирающий процесс может позволять процессу безопасности сканировать структуру данных в памяти или хранящуюся на диске, соответствующую виртуальному жесткому диску виртуальной машины, на предмет признаков злонамеренного ПО или нарушений безопасности. Дополнительно (или альтернативно), когда обеспечена объектная модель, поддерживаемая хост-системой, надзирающий процесс может облегчать возвращение информации о состоянии виртуальной машины (например, состояния памяти или состояния связи) хост-системе. В общем случае, поскольку хост-система и надзирающий процесс обеспечивают некоторый уровень изоляции, процессы безопасности могут контролировать и отслеживать безопасность виртуальных машин, в то же время оставаясь недоступными губительным программам, выполняющимся в этих виртуальных машинах. Таким образом, процессы безопасности защищаются от тайных действий или поражения со стороны программ, которые им надлежит отслеживать.
В некоторых вариантах осуществления, процессы безопасности могут использоваться для мониторинга и исправления виртуальной машины, которая находится в сохраненном состоянии, в котором выполнение монитора виртуальной машины остановлено и в котором вся информация, касающаяся состояния памяти, устройства и центрального процессора (ЦП) виртуальной машины, записана в физический файл. Процессы безопасности также могут использоваться для мониторинга и исправления виртуальной машины, которая находится в приостановленном состоянии, которые обычно вызываются менеджером виртуальных машин. В приостановленном состоянии виртуальная машина прекращает выполнение, но остается готовой возобновить следующую команду и обработку. В сценарии приостановленного или сохраненного состояния виртуальная операционная система внутри виртуальной машины не знает об изменении состояния. Аналогично, процессы безопасности могут иметь возможность сканировать и исправлять или очищать виртуальную машину до ее загрузки в хост-систему.
В некоторых вариантах осуществления, хост-система может осуществлять монтирование жесткого диска виртуальной машины, как если бы он был физическим диском, и затем сканировать виртуальный жесткий диск на уровне блоков (как любой другой смонтированный диск). Например, хост-система может использовать драйвер диска, который может быть загружен в операционную систему физической машины. Этот драйвер диска может затем интерпретировать виртуальный жесткий диск и представлять его хост-системе как локально присоединенный диск.
Другой подход к мониторингу виртуальных машин состоит в выполнении «агентского» процесса безопасности на каждой виртуальной машине. В этом подходе агентский процесс безопасности ассоциирован с основным процессом безопасности на хост-системе. Агентский процесс безопасности открывает канал связи с основным процессом безопасности и способствует в обнаружении атаки на виртуальную машину и восстановлении после нее. Хотя этот сценарий может быть сопряжен с опасностью повреждения агентского процесса безопасности во время атаки, агент все же может иметь опцию внешнего восстановления, доступную ему через основной процесс безопасности. В некоторых сценариях (например, сценариях, предусматривающих использование гипервизора (программного средства управления операционными системами)), агент может выполняться на другой виртуальной машине, отличной от той, в отношении которой он фактически в текущий момент выполняет мониторинг.
В некоторых вариантах осуществления, хост-система может делать периодические снимки полного состояния каждой виртуальной машины. Теоретически, это делание снимков может осуществляться мгновенно, с минимальной потерей производительности. Однако возможны многочисленные варианты этого метода. Если процесс безопасности обнаруживает аномалию в виртуальной машине (например, злонамеренное ПО, переписывающее операционную систему, или злонамеренное ПО, объявляющее себя как программа в памяти), то хост-система может восстановить состояние виртуальной машины до состояния последнего снимка, предпринять действие по предотвращению повторения аномалии и перезапустить виртуальную машину.
II. Иллюстративная система
На фиг.1-5 и в нижеприведенном описании обеспечено краткое, общее описание подходящей среды, в которой можно реализовать изобретение. Хотя это и не требуется, аспекты изобретения описаны в общем контексте машиноисполняемых команд, например процедур, выполняемых компьютером общего назначения (например, компьютером-сервером, беспроводным устройством или персональным/портативным компьютером). Специалистам в данной области техники очевидно, что изобретение можно осуществлять на практике с использованием других сред связи, обработки данных или конфигураций компьютерной системы, включая пункты доступа в Интернет, карманные устройства (включая карманные персональные компьютеры (КПК)), переносные компьютеры, сотовые или мобильные телефоны любых типов, встроенные компьютеры (включая подключенные к автомобилям), многопроцессорные системы, телевизионные приставки, сетевые ПК, миникомпьютеры, универсальные компьютеры и пр.
Аспекты изобретения могут быть реализованы в компьютере специального назначения или процессоре данных, который конкретно запрограммирован, сконфигурирован или сконструирован для выполнения одной или нескольких машиноисполняемых команд, подробно объясненных ниже. Аспекты изобретения также могут быть применены на практике в распределенных вычислительных сетях, где задачи или модули выполняются удаленными устройствами обработки данных, соединенными через сеть связи. В распределенной вычислительной среде программные модули могут размещаться в локальных и удаленных запоминающих устройствах.
Аспекты изобретения могут храниться или распространяться на машиночитаемых носителях, включающих в себя магнитно или оптически считываемые компьютерные диски, в качестве машинного кода в полупроводниковой памяти, нанотехнологической памяти, органической или оптической памяти или других переносных носителях данных. Действительно, реализуемые компьютером команды, структуры данных, изображения экрана дисплея и другие данные, отвечающие аспектам изобретения, могут быть распространены по Интернету или другим сетям (включая беспроводные сети) на распространяемом сигнале в среде распространения сигнала (например, электромагнитной (ых) волне(ах), звуковой волне и т.д.) в течение периода времени, либо могут быть обеспечены в любой аналоговой или цифровой сети (с коммутацией пакетов, с коммутацией каналов или другой схемой). Специалистам в данной области техники очевидно, что части изобретения размещаются на компьютере-сервере, тогда как соответствующие части размещаются на компьютере-клиенте, например, мобильном устройстве.
Согласно фиг.1, компьютерная система (физическая машина) 100, на которой могут быть реализованы методики защиты компьютера, обеспечивает различные компоненты. Эти компоненты включают в себя хост-систему 102, сконфигурированную для выполнения в компьютерной системе 100 в дополнение, в сочетании с или вместо стандартной или общего назначения операционной системы 104 компьютера. В некоторых вариантах осуществления хост-система 102 может быть сконфигурирована так, чтобы она была недоступна никому, кроме собственных и/или привилегированных надзирающих функций или функций безопасности. Хост-система 102 может взаимодействовать с одним или несколькими компьютерными ресурсами, например процессором 106 с блоком управления памятью (БУП) 108, диском 110, памятью 112, подсистемой 114 связи и одним или несколькими системными драйверами 116.
В некоторых вариантах осуществления одна или несколько виртуальных машин 118 выполняются под управлением хост-системы 102 и могут подчиняться хост-системе 102. Каждая из виртуальных машин 118 может содержать совокупность компонентов, которые облегчают виртуализацию или эмуляцию процессора и других машинных ресурсов. Например, как показано в иллюстрируемом варианте осуществления, каждая из виртуальных машин 118 может осуществлять доступ к набору эмулированных ресурсов, включая виртуальные сетевые адаптеры 119, виртуальную память 120 (которая может представлять собой выделенную часть памяти 112 физической машины), виртуальный диск 122 и один или несколько виртуальных драйверов 124, каждый из которых представляет виртуальный экземпляр невиртуальных системных драйверов 116. На каждой из этих виртуальных машин 118 выполняется экземпляр 126 виртуальной операционной системы. В некоторых вариантах осуществления, экземпляр 126 виртуальной операционной системы может быть полной или частичной копией операционной системы 104 физической машины.
В общем случае, виртуальные машины 118 могут зависеть от БУП 108 для обеспечения различных защит страничного уровня. В общем случае, приложения или процессы 129, выполняющиеся на каждой из виртуальных машин, используют только эмулированные ресурсы (например, виртуальную память 120, виртуальный диск 122, виртуальные драйверы 124, операционную систему 126, и т.д.) соответствующей виртуальной машины. Такие приложения или процессы 129 иногда называют «гостевым» кодом. Эмулированные ресурсы обычно предполагают заслуживающими доверия в том смысле, что они согласуются со стандартными защитными механизмами на хост-системе 102 и не предоставляют данные пользователя хост-системы гостевому коду, если им в явном виде не предписано делать это.
В некоторых вариантах осуществления эмулированные ресурсы могут обеспечивать обмен данными между хост-системой 102 и гостевым кодом, выполняющимся на виртуальной машине 118, с использованием нескольких методик интеграции, например, доступов к порту ввода/вывода, регистров, отображенных в память, прямого доступа к памяти (DMA), прерываний и т.д. Другие методики обмена данными включают в себя совместное использование буфера обмена, перетаскивание файлов, синхронизацию по времени и т.д. Для поддержки таких методик обмена данными, виртуальные машины 118 могут обеспечивать ряд служб, включая асинхронные гостевые события, синхронные хост-вызовы, перенос данных между гостевым кодом и хост-системой 102, реестр интеграционных услуг и т.д.
Виртуальные машины 118 могут создаваться или инициироваться на хост-системе 102 с использованием любой из нескольких возможных методик. Например, в одном варианте осуществления хост-система 102 может создавать и запускать экземпляр виртуальной машины и конфигурировать параметры для виртуальной машины во время создания. В некоторых вариантах осуществления, хост-система 102 может помещать образ существующей виртуальной машины на диск 110 (возможно, совместно используемый) и загружать этот образ в качестве нового экземпляра виртуальной машины. В некоторых случаях, эта загрузка называется «импортом» экземпляра виртуальной машины и некоторым образом аналогична функции «импорта», которая переносит данные из одного приложения в другое.
В некоторых вариантах осуществления на хост-системе 102 выполняется набор из одного или нескольких надзирающих процессов 128. В некоторых вариантах осуществления один или несколько надзирающих процессов 128 могут иметь полный или частичный доступ к экземплярам 126 виртуальной операционной системы и могут предоставлять услугу безопасности каждой виртуальной машине 118. В некоторых вариантах осуществления надзирающие процессы 128 могут также выполнять такие функции, как регулирование цифровых прав (DRM) и контроль прослушивания. Поскольку эта конфигурация предусматривает, что любое злонамеренное ПО, выполняющееся на виртуальных машинах 118, не может осуществлять доступ к ресурсам вне каждой виртуальной машины, надзирающий процесс 128, в общем случае, уберегается от повреждения злонамеренным ПО.
В некоторых вариантах осуществления один или несколько надзирающих процессов 128 управляют набором приложений безопасности (например, антивирусным программным обеспечением, персональными брандмауэрами, системами обнаружения проникновения и т.д.), которые могут защищать и/или контролировать все виртуальные машины 118 на хост-системе 102. Например, один или несколько надзирающих процессов 128 могут обеспечивать автономное сканирование множественных виртуальных машин набором приложений безопасности. Автономное сканирование может включать в себя конфигурирование набора приложений безопасности, чтобы они знали о каждом из виртуальных ресурсов виртуальных машин, поскольку они размещаются как виртуальные объекты на компьютерной системе (физической машине). Таким образом, набор приложений безопасности может проверять (сканировать) эти виртуальные ресурсы извне виртуальной машины (например, зная внутренний формат структур данных виртуальной машины).
Хотя здесь используются термины "приложение безопасности" и "надзирающий процесс", такие понятия не ограничиваются приложениями или процессами. Напротив, любая утилита или служба, способная предоставлять услуги виртуальной машине и/или ее, ресурсам, может быть реализована на хост-системе для достижения нужных результатов без отхода от объема изобретения. Некоторые примеры такой утилиты или службы включают в себя утилиту по борьбе с рекламным ПО, утилиту по борьбе со шпионским ПО, дефрагментатор диска и т.д.
Автономное сканирование ресурсов виртуальной машины может иметь место в то время, как виртуальные машины выполняются или находятся в спящем режиме (например, в приостановленном или сохраненном состоянии). Например, в случае, когда виртуальная машина может быть создана путем нахождения и загрузки образа существующей виртуальной машины в хост-систему 102, автономное сканирование (и любые необходимые очистка или исправления) могут происходить до «импорта» экземпляра виртуальной машины. Ресурсы виртуальной машины, которые можно сканировать в приостановленном или сохраненном состоянии, включают в себя виртуальные жесткие диски, содержимое памяти виртуальной машины, структуры буфера виртуального связного порта и т.д. В некоторых реализациях может быть невозможно осуществлять доступ к памяти приостановленной виртуальной машины. Однако память виртуальной машины все же может быть доступна, когда виртуальная машина находится в сохраненном состоянии, или через снимок виртуальной машины.
На фиг.2 показан один пример конфигурации 200 автономного сканирования, иллюстрирующий различные компоненты по фиг.1. В этой конфигурации приложение 202 безопасности и необязательный надзирающий процесс 128 размещены на хост-системе 102. Приложение 202 безопасности, которое может, по меньшей мере, частично находиться под управлением надзирающего процесса 128, рассматривает ресурсы виртуальной машины 118 как структуру данных или набор структур данных, которую (ый) можно сканировать на предмет признаков нарушений безопасности. Чтобы можно было осуществлять доступ к ресурсам виртуальной машины 118 в необработанном виде и точно обнаруживать нарушения безопасности, приложение 202 безопасности может опираться на информацию о семантике и конфигурации структур данных, связанных с ресурсами. В некоторых вариантах осуществления эта информация обновляется, чтобы отражать любые намеренные изменения семантики и конфигурации структур данных.
Например, приложение 202 безопасности, показанное на фиг.2, может представлять собой средство антивирусного сканирования, которое сканирует виртуальную машину 118, чтобы определить, заражена ли она одним или несколькими известными вирусами или червями. Чтобы начать процесс сканирования, антивирусное средство 202 загружает текущий файл определения сигнатур в свою программную память. Например, файл определения сигнатур может задавать семантику и конфигурацию структуры виртуального жесткого диска виртуальной машины, тем самым обеспечивая точку отсчета для антивирусного средства при сканировании жесткого диска виртуальной машины в его текущем состоянии.
Затем антивирусное средство направляет свое сканирование на считывание части жесткого диска физической, машины, которая соответствует виртуальному жесткому диску виртуальной машины. Таким образом, антивирусное средство эффективно считывает содержимое виртуального жесткого диска и сравнивает это содержимое (например, объект содержимого) со своим списком известного злонамеренного содержимого, используя способы и методики, применяемые специалистами в данной области техники при обнаружении злонамеренного программного обеспечения. В целях этого примера, объект содержимого на виртуальном жестком диске может представлять собой файл или другой объект, манипулируемый операционной системой, например ключ из системного реестра Microsoft Windows, или любой другой объект на диске, который можно идентифицировать как часть экземпляра злонамеренного или нежелательного программного обеспечения. Обнаружив злонамеренное программное обеспечение, антивирусное средство может попытаться удалить любые вредные объекты или удалить инфекцию, присутствующую в объекте.
На фиг.3А показан второй пример конфигурации 300 автономного сканирования. В этой конфигурации, объектный интерфейс 302 виртуальной машины, поддерживаемый надзирающим процессом 128, обеспечивает универсальный интерфейс, через который приложение 304 безопасности может осуществлять доступ к ресурсам виртуальных машин. Объектный интерфейс 302 виртуальной машины может отображать структуры данных виртуальной машины, которые могут варьироваться от виртуальной машины к виртуальной машине, в общий формат, к которому может осуществлять доступ приложение 304 безопасности для сканирования и других действий. Таким образом, приложение 304 безопасности должно быть разработано только для доступа к этому общему формату, а не к каждому варианту формата, который может иметь виртуальная машина. Например, хост-система 102 может обнаружить информацию о состоянии виртуальных машин 118 (например, состоянии диска, состоянии памяти или состоянии связи), чтобы приложение 304 безопасности могло отслеживать его на предмет нарушений безопасности или других проблем. Кроме того, объектный интерфейс 302 виртуальной машины может обеспечивать функциональные возможности, которые могут использовать множественные приложения безопасности. Например, объектный интерфейс 302 виртуальной машины может обеспечивать функцию, которая позволяет другому процессу безопасности сканировать виртуальные сетевые адаптеры виртуальной машины на предмет входящих сетевых пакетов, имеющих злонамеренное содержимое, например полезную нагрузку в виде червей.
Эта конфигурация обеспечивает некоторую гибкость для разработчика виртуальной машины и разработчика приложения безопасности. Например, разработчик виртуальной машины может изменить структуры данных виртуальной машины без последствий для разработчика приложения безопасности. Таким образом, приложение безопасности 304 нужно разрабатывать только для доступа к этому общему формату, а не к каждому варианту формата, который может иметь виртуальная машина.
В некоторых вариантах осуществления методика автономного сканирования обеспечивает синхронизацию текущего состояния виртуальной машины с тем, что приложение безопасности воспринимает как текущее состояние виртуальной машины, тем самым обеспечивая возможности более точного и согласованного сканирования. Эта синхронизация может быть полезна в случае, когда состояния виртуальной машины быстро изменяются.
Согласно фиг.3В, один способ осуществления этой синхронизации состоит в выполнении агентского процесса 322, который обеспечивает самосогласованный вид виртуальной машины в режиме, близком к реальному времени. Агентский процесс 322, который может выполняться на виртуальной машине 118, может затем экспортировать этот вид виртуальной машины в объектный интерфейс 302 виртуальной машины, который затем может предоставлять соответствующую информацию надзирающему процессу и/или приложению безопасности. В некоторых вариантах осуществления, агентский процесс 322 может обеспечивать интерфейс прикладного программирования (API) для использования объектным интерфейсом 302 виртуальной машины. (Альтернативно, приложение безопасности может обеспечивать аналогичный API для использования объектным интерфейсом 302 виртуальной машины.)
Альтернативный способ осуществления этой синхронизации состоит в том, что виртуальная машина 118 создает постоянные снимки своего состояния и сохраняет эти снимки в памяти или на диске. Хотя такие снимки могут быть на несколько секунд «устаревшими», они, тем не менее, будут самосогласованными.
Согласно фиг.3С, альтернативная методика обеспечения сканирования безопасности виртуальных машин предусматривает систему 330, сконфигурированную так, что приложение 336 безопасности и надзирающий процесс 334 выполняются на указанной виртуальной машине 332 (а не непосредственно на хост-системе 102). Тогда приложение 336 безопасности и надзирающий процесс 334 могут отслеживать и/или сканировать другие виртуальные машины 118 для обнаружения проблем. Таким образом, указанная виртуальная машина 332 (которая может быть предназначена для обеспечения мониторинга безопасности) может оставаться защищенной от атак.
III. Системные последовательности операций
На фиг.4-8 изображены иллюстративные логические блок-схемы, где показаны процессы, происходящие в системе, изображенной на фиг.1. На этих логических блок-схемах не показаны все функции или обмены данными, но зато они позволяют понять команды и данные, обмен которыми происходит в системе. Специалистам в данной области очевидно, что некоторые функции или обмены командами и данными можно повторять, изменять, опускать или дополнять, и что можно легко реализовать другие, не показанные, аспекты.
Согласно фиг.4, надзирающая процедура 400, выполняемая, например, надзирающим процессом, показанным на фиг.1, может выполняться в хост-системе (или вне ее) для мониторинга, изменения и/или конфигурирования процессов или виртуальных операционных систем, выполняющихся на виртуальной машине. Альтернативно, надзирающая процедура 400 может отслеживать изменять и/или конфигурировать процессы, выполняющиеся на реальной (а не виртуальной) операционной системе.
На этапе 401 процедура 400 приостанавливает операционную систему виртуальной машины. На этапе 402 принятия решения процедура 400 проверяет изменения, которые могут быть вызваны разрушительными действиями (например, нестандартными процессами), имеющими место в виртуальной машине. Например, процедура 400 может сканировать часть ядра операционной системы виртуальной машины для выявления проблем. В порядке альтернативы (или дополнительно к) мониторингу ядра виртуальной операционной системы, процедура 400 может отслеживать другие аспекты, связанные с виртуальной (или реальной) операционной системой. Например, процедура 400 может отслеживать пространства виртуальных адресов, отслеживать эмулированные устройства, отслеживать эмулированный жесткий диск, осуществлять проверки целостности (например, проверять контрольные суммы), проверять целостность файлов, находящихся на виртуальном диске или в памяти, и т.д.
Если на этапе 402 принятия решения процедура 400 не обнаруживает изменений, которые могут быть следствием вредоносных действий, то процедура 400 переходит к этапу 404 для перезапуска ядра виртуальной операционной системы, прежде чем закончить. Однако в некоторых вариантах осуществления (не проиллюстрированных) процедура 400 может возвращаться к этапу 401 (по истечении периода времени для повторного осуществления этапов приостановки и проверки (пока экземпляр виртуальной операционной системы не закончит работу). Если же на этапе 402 принятия решения, процедура 400 обнаруживает изменения, которые могут быть следствием вредоносных действий, то процедура переходит к этапу 403, где процедура инициирует ограничительные действия. Пример ограничительных действий может включать в себя такие действия, как временная приостановка гостевой операционной системы для осуществления дополнительного сканирования, временная приостановка процессов выбора, очистка злонамеренного ПО и переформатирование виртуальной операционной системы для исправления любого повреждения, отключение виртуальной машины после взятия снимка, чтобы среду виртуальной машины можно было в большей или меньшей степени восстановить после перезапуска виртуальной машины.
На фиг.5 показан пример процедуры 500 автономного сканирования, обеспечиваемого надзирающим процессом, который управляет набором приложений безопасности (например, антивирусным программным обеспечением), способных осуществлять автономное сканирование и исправление виртуальной машины, выполняющейся на хост-системе. На этапе 501 процедура 500 извлекает периодический снимок текущего состояния выполняющейся виртуальной машины. На этапе 502 процедура сканирует извлеченный периодический снимок. На этапе 503 принятия решения, если проблема обнаружена, то процедура переходит к этапу 504, где процедура извещает выполняющуюся виртуальную машину о проблеме или, альтернативно, предписывает виртуальной машине выполнить откат к последнему сохраненному состоянию, которое было до возникновения проблемы. Если на этапе 503 принятия решения процедура 500 не обнаруживает проблему, то процедура возвращается к этапу 501 для извлечения следующего периодического снимка.
На фиг.6 показан пример процедуры 600 автономного сканирования, обеспечиваемого надзирающим процессом, который управляет набором приложений безопасности (например, антивирусным, программным обеспечением), способных осуществлять автономное сканирование и исправление множественных виртуальных машин, выполняющихся на хост-системе. Например, процедуру 600 можно использовать для обнаружения и восстановления виртуальной машины, которая была отключена вследствие заражения злонамеренным ПО. На этапе 601 процедура 600 монтирует следующую структуру или компонент виртуальной машины к хост-системе по аналогии с монтированием физического диска. Таким образом, структура или компонент включается в состав операционной системы компьютера, а не рассматривается как внешний сканируемый объект. Структура или компонент может быть эмулированным компонентом, если смотреть с точки зрения хост-системы. В некоторых вариантах осуществления структуры или компоненты виртуальной машины могут быть реализованы так, что хост-система может обеспечивать интерфейс для набора приложений безопасности, чтобы сканировать их. Например, память виртуальной машины можно реализовать так, чтобы ее можно было сканировать на предмет злонамеренного ПО, хранящегося в памяти.
На этапе 602 набор приложений безопасности сканирует структуру виртуального жесткого диска (или структуру, хранящуюся в памяти, и т.д.). На этапе 603 принятия решения, если сканируемая структура повреждена, то процедура 600 переходит к этапу 604, где приложения безопасности исправляют структуру виртуального жесткого диска (или структуру, хранящуюся в памяти). Если же согласно этапу 603 принятия решения сканируемый компонент не поврежден, то процедура переходит к этапу 605 принятия решения.
На этапе 605 принятия решения, если все структуры или компоненты виртуальной машины просканированы, то процедура заканчивается. В противном случае, процедура возвращается к этапу 601 для монтирования следующей структуры или компонента виртуальной машины.
В некоторых вариантах осуществления, процедуру 600 можно использовать в сочетании с методами оптимизации, которые отслеживают изменения, происходящие между сканированиями, на каждом жестком диске виртуальной машины. Таким образом, процедура 600 может сканировать только изменения, произошедшие после последнего сканирования, что повышает эффективность сканирования. Например, процедура оптимизации может отслеживать изменения на жестком диске виртуальной машины на уровне блоков. Изменения на уровне блоков можно затем отображать изменения на уровне файлов для целей сканирования (поскольку обычное антивирусное программное обеспечение сканирует на уровне файлов). Альтернативно, изменения можно отслеживать, просматривая изменения структур главной файловой таблицы. Для этого может потребоваться хранилище контрольных точек предыдущих главных файловых таблиц в хост-системе.
На фиг.7 показан пример процедуры 700 автономного сканирования, обеспечиваемого надзирающим процессом, который управляет набором приложений безопасности (например, антивирусным программным обеспечением), способных осуществлять автономное сканирование и исправление множественных виртуальных машин, выполняющихся на хост-системе. Например, процедуру 700 можно использовать для обнаружения и восстановления виртуальной машины, которая была отключена вследствие заражения злонамеренным ПО. В отличие от процедуры автономного сканирования, показанной на фиг.6, которая монтирует структуру или компонент виртуальной машины до сканирования, процедура, показанная на фиг.7, сканирует структуру или компонент извне. На этапе 701 процедура 700 сканирует следующую структуру или компонент виртуальной машины. Структура или компонент может быть эмулированным компонентом, если смотреть с точки зрения хост-системы. В некоторых вариантах осуществления структуры или компоненты виртуальной машины могут быть реализованы так, что хост-система может обеспечивать интерфейс для набора приложений безопасности, чтобы сканировать их. Например, память виртуальной машины можно реализовать так, чтобы ее можно было сканировать на предмет злонамеренного ПО, хранящегося в памяти.
На этапе 702 принятия решения, если сканируемая структура повреждена, то процедура 700 переходит к этапу 703, где приложения безопасности исправляют структуру виртуального жесткого диска (или структуру, хранящуюся в памяти). Если же согласно этапу 702 принятия решения сканируемый компонент не поврежден, то процедура переходит к этапу 704 принятия решения. На этапе 704 принятия решения, если все структуры или компоненты виртуальной машины просканированы, то процедура заканчивается. В противном случае, процедура возвращается к этапу 701 для монтирования следующей структуры или компонента виртуальной машины.
На фиг.8 показана логическая блок-схема, которая представляет второй пример процедуры 800 автономного сканирования, обеспечиваемого надзирающим процессом, который управляет набором приложений безопасности (например, антивирусным программным обеспечением), способных осуществлять автономное сканирование и исправление множественных виртуальных машин, выполняющихся на хост-системе. В процедуре 800 агентский процесс, например, агентский процесс 322, показанный на фиг.3В, позволяет синхронизировать фактическое состояние виртуальной машины при сканировании и состояние виртуальной машины, воспринимаемое приложениями безопасности.
На этапе 801 процедура 800 устанавливает связь между приложением безопасности (например, приложением 304 безопасности, показанным на фиг.3В, которое выполняется на хост-системе или на объектном интерфейсе виртуальной машины) и агентским процессом через некоторый интерфейс межмашинной связи. На этапе 802 процедура 800 устанавливает доступ к памяти виртуальной машины. Например, агентский процесс, выполняющийся на хост-системе, может обеспечивать доступ к виртуальному буферу, который соответствует памяти приложений виртуальной машины. Процедура переходит к этапу 803, где приложение безопасности сканирует память на предмет проблем безопасности. Например, когда приложение безопасности является средством антивирусного сканирования, средство антивирусного сканирования может сканировать память на предмет структур кода, которые совпадают с сигнатурами известного злонамеренного программного обеспечения. На этапе 804 принятия решения, если какие-либо структуры или компоненты виртуальной машины повреждены, то процедура 800 переходит к этапу 805, где приложение безопасности и/или агентский процесс очищает память компьютера. Альтернативно, приложение безопасности может сигнализировать агентскому процессу, чтобы тот предпринял корректирующее действие по отношению к виртуальной машине. Если же согласно этапу 804 принятия решения никакие структуры или компоненты не были повреждены, то процедура заканчивается.
IV. Заключение
Если в контексте явно не требуется обратное, то на протяжении описания и формулы изобретения слова «содержит», «содержащий» и т.п.следует рассматривать во включительном смысле, а не в исключительном или исчерпывающем смысле; т.е., скажем, в смысле «в том числе, но без ограничения». Кроме того, слова «здесь», «выше», «ниже» и слова аналогичного значения, используемые в данной заявке, должны относиться к этой заявке в целом, а не к каким-либо конкретным частям этой заявки. Когда в формуле изобретения используется слово «или» в отношении списка из двух или более элементов, это слово охватывает все из следующих интерпретаций слова: любой из элементов списка, все элементы списка и любая комбинация элементов списка.
Вышеприведенное подробное описание вариантов осуществления изобретения не призвано исчерпывать или ограничивать изобретение именно той формой, которая раскрыта выше. Хотя конкретные варианты осуществления и примеры изобретения описаны выше в иллюстративных целях, в пределах объема изобретения возможны различные эквивалентные модификации, что очевидно специалистам в данной области. Например, хотя процессы или блоки представлены в данном порядке, альтернативные варианты осуществления могут осуществлять процедуры, имеющие этапы, или использовать системы, имеющие блоки, в другом порядке, и некоторые процессы или блоки могут быть удалены, перемещены, добавлены, подразделены, объединены и/или изменены. Каждый из этих процессов или блоков можно реализовать различными путями. Кроме того, хотя процессы или блоки иногда показаны как осуществляемые последовательно, эти процессы или блоки можно вместо этого осуществлять параллельно или можно осуществлять в разное время. Когда контекст позволяет, слова в вышеприведенном подробном описании, использующем единственное или множественное число, также могут включать в себя множественное или единственное число, соответственно, когда позволяет контекст.
Принципы изобретения, обеспеченные здесь, можно применять к другим системам, не обязательно системе, описанной здесь. Элементы и действия различных вариантов осуществления, описанных выше, можно комбинировать для обеспечения дополнительных вариантов осуществления.
Данная заявка относится к находящейся в общей собственности патентной заявке США под названием "Method and System for a Self-healing Device", поданной 21 декабря 2004 г. Все вышеупомянутые патенты и заявки и другие ссылки, включая перечисленные в прилагаемых документах подачи, включены сюда посредством ссылки. Аспекты изобретения можно, при необходимости, изменять, чтобы использовать системы, функции и понятия различных ссылок, описанные выше, для обеспечения других дополнительных вариантов осуществления изобретения.
Эти и другие изменения можно делать в изобретении в свете вышеприведенного Подробного описания. Хотя вышеприведенное описание детализирует определенные варианты осуществления изобретения и описывает режим, считающийся наилучшим, вне зависимости от того, насколько подробно они изложены в тексте, изобретение можно осуществлять на практике многими способами. Как отмечено выше, конкретную терминологию, используемую при описании определенных признаков или аспектов изобретения, не следует рассматривать как терминологию, которая переопределена здесь для ограничения какими-либо конкретными характеристиками, признаками или аспектами изобретения, с которыми связана эта терминология. В общем, термины, используемые в нижеследующей формуле изобретения, не следует рассматривать в плане ограничения изобретения конкретными вариантами осуществления, раскрытыми в описании изобретения, если в вышеприведенном разделе Подробное описание такие термины явно не определены. Соответственно, фактический объем изобретения охватывает не только раскрытые варианты осуществления, но также эквивалентные способы практической реализации изобретения в соответствии с формулой изобретения.
Хотя определенные аспекты изобретения представлены ниже в определенных пунктах формулы изобретения, изобретатели рассматривают различные аспекты изобретения в любом количестве форм формулы изобретения. Например, хотя только один аспект изобретения изложен как реализованный в машиночитаемом носителе, другие аспекты могут аналогично быть реализованы в машиночитаемом носителе. Соответственно, изобретатели присвоили себе право добавлять дополнительные пункты формулы изобретения после подачи заявки для рассмотрения таких дополнительных форм формулы изобретения для других аспектов изобретения.
Claims (9)
1. Реализуемый в компьютере способ мониторинга и защиты множества экземпляров ограниченной среды выполнения процессов, причем каждый из упомянутого множества экземпляров осуществляет доступ к эмулированным ресурсам компьютера, при этом способ содержит этапы, на которых
выполняют на компьютере, по меньшей мере, одно приложение безопасности, которое отслеживает каждый из упомянутого множества экземпляров ограниченной среды выполнения процессов для обнаружения вредоносных процессов, причем упомянутое, по меньшей мере, одно приложение безопасности выполняется внешним образом по отношению к упомянутому множеству экземпляров ограниченной среды выполнения процессов, и
обеспечивают сканирование виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности, причем виртуальные ресурсы включают в себя эмулированные ресурсы компьютера, и при упомянутом обеспечении конфигурируют упомянутый набор приложений безопасности так, чтобы он знал о ресурсах, воспринимаемых основной операционной системой компьютера,
при этом при обеспечении сканирования виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности обеспечивают доступ к структуре виртуального сетевого адаптера, ассоциированный с одним из упомянутого множества экземпляров ограниченной среды выполнения процессов.
выполняют на компьютере, по меньшей мере, одно приложение безопасности, которое отслеживает каждый из упомянутого множества экземпляров ограниченной среды выполнения процессов для обнаружения вредоносных процессов, причем упомянутое, по меньшей мере, одно приложение безопасности выполняется внешним образом по отношению к упомянутому множеству экземпляров ограниченной среды выполнения процессов, и
обеспечивают сканирование виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности, причем виртуальные ресурсы включают в себя эмулированные ресурсы компьютера, и при упомянутом обеспечении конфигурируют упомянутый набор приложений безопасности так, чтобы он знал о ресурсах, воспринимаемых основной операционной системой компьютера,
при этом при обеспечении сканирования виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности обеспечивают доступ к структуре виртуального сетевого адаптера, ассоциированный с одним из упомянутого множества экземпляров ограниченной среды выполнения процессов.
2. Способ по п.1, в котором упомянутое, по меньшей мере, одно приложение безопасности осуществляет доступ к каждому из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством связи с соответствующими агентскими процессами безопасности, которые выполняются в каждом из упомянутого множества экземпляров ограниченной среды выполнения процессов во взаимнооднозначном соответствии.
3. Способ по п.1, в котором упомянутое, по меньшей мере, одно приложение безопасности осуществляет доступ к каждому из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством объектного интерфейса виртуальной машины, который обеспечивает универсальный интерфейс, через который упомянутое, по меньшей мере, одно приложение безопасности может осуществлять доступ к эмулированным ресурсам.
4. Способ по п.1, в котором упомянутое, по меньшей мере, одно приложение безопасности выполняется в хост-системе, обеспечиваемой компьютером, при этом каждый из упомянутого множества экземпляров ограниченной среды выполнения процессов также выполняется в этой хост-системе.
5. Способ по п.1, в котором упомянутое, по меньшей мере, одно приложение безопасности выполняется в хост-системе, обеспеченной компьютером, при этом каждый из упомянутого множества экземпляров ограниченной среды выполнения процессов также выполняется в этой хост-системе, и при этом управление упомянутым, по меньшей мере, одним приложением безопасности осуществляется, по меньшей мере частично, надзирающим процессом, выполняющимся в хост-системе.
6. Способ по п.1, в котором при обеспечении сканирования виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности обеспечивают доступ к структуре виртуальной памяти, ассоциированной с одним из упомянутого множества экземпляров ограниченной среды выполнения процессов.
7. Способ по п.1, в котором при обеспечении сканирования виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности обеспечивают доступ к структуре виртуального жесткого диска, ассоциированной с одним из упомянутого множества экземпляров ограниченной среды выполнения процессов.
8. Реализуемый в компьютере способ мониторинга и защиты множества экземпляров ограниченной среды выполнения процессов, причем каждый из упомянутого множества экземпляров осуществляет доступ к эмулированным ресурсам компьютера, при этом способ содержит этапы, на которых
выполняют на компьютере, по меньшей мере, одно приложение безопасности, которое отслеживает каждый из упомянутого множества экземпляров ограниченной среды выполнения процессов для обнаружения вредоносных процессов, причем упомянутое, по меньшей мере, одно приложение безопасности выполняется внешним образом по отношению к упомянутому множеству экземпляров ограниченной среды выполнения процессов, и
обеспечивают сканирование виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности, причем виртуальные ресурсы включают в себя эмулированные ресурсы компьютера, и при упомянутом обеспечении конфигурируют упомянутый набор приложений безопасности так, чтобы он знал о ресурсах, воспринимаемых основной операционной системой компьютера,
при этом при обеспечении сканирования виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности обеспечивают доступ к структуре виртуального драйвера, ассоциированной с одним из упомянутого множества экземпляров ограниченной среды выполнения процесса.
выполняют на компьютере, по меньшей мере, одно приложение безопасности, которое отслеживает каждый из упомянутого множества экземпляров ограниченной среды выполнения процессов для обнаружения вредоносных процессов, причем упомянутое, по меньшей мере, одно приложение безопасности выполняется внешним образом по отношению к упомянутому множеству экземпляров ограниченной среды выполнения процессов, и
обеспечивают сканирование виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности, причем виртуальные ресурсы включают в себя эмулированные ресурсы компьютера, и при упомянутом обеспечении конфигурируют упомянутый набор приложений безопасности так, чтобы он знал о ресурсах, воспринимаемых основной операционной системой компьютера,
при этом при обеспечении сканирования виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности обеспечивают доступ к структуре виртуального драйвера, ассоциированной с одним из упомянутого множества экземпляров ограниченной среды выполнения процесса.
9. Реализуемый в компьютере способ мониторинга и защиты множества экземпляров ограниченной среды выполнения процессов, причем каждый из упомянутого множества экземпляров осуществляет доступ к эмулированным ресурсам компьютера, при этом способ содержит этапы, на которых
выполняют на компьютере, по меньшей мере, одно приложение безопасности, которое отслеживает каждый из упомянутого множества экземпляров ограниченной среды выполнения процессов для обнаружения вредоносных процессов, причем упомянутое, по меньшей мере, одно приложение безопасности выполняется внешним образом по отношению к упомянутому множеству экземпляров ограниченной среды выполнения процессов, и
обеспечивают сканирование виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности, причем виртуальные ресурсы включают в себя эмулированные ресурсы компьютера, и при упомянутом обеспечении конфигурируют упомянутый набор приложений безопасности так, чтобы он знал о ресурсах, воспринимаемых основной операционной системой компьютера,
при этом при обнаружении вредоносного процесса в одном из упомянутого множества экземпляров ограниченной среды выполнения процессов деактивируют этот экземпляр, если он еще не был деактивирован, исправляют данный экземпляр и загружают исправленный экземпляр в основную среду компьютера, чтобы он стал активным.
выполняют на компьютере, по меньшей мере, одно приложение безопасности, которое отслеживает каждый из упомянутого множества экземпляров ограниченной среды выполнения процессов для обнаружения вредоносных процессов, причем упомянутое, по меньшей мере, одно приложение безопасности выполняется внешним образом по отношению к упомянутому множеству экземпляров ограниченной среды выполнения процессов, и
обеспечивают сканирование виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности, причем виртуальные ресурсы включают в себя эмулированные ресурсы компьютера, и при упомянутом обеспечении конфигурируют упомянутый набор приложений безопасности так, чтобы он знал о ресурсах, воспринимаемых основной операционной системой компьютера,
при этом при обнаружении вредоносного процесса в одном из упомянутого множества экземпляров ограниченной среды выполнения процессов деактивируют этот экземпляр, если он еще не был деактивирован, исправляют данный экземпляр и загружают исправленный экземпляр в основную среду компьютера, чтобы он стал активным.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/019,094 | 2004-12-21 | ||
US11/019,094 US7409719B2 (en) | 2004-12-21 | 2004-12-21 | Computer security management, such as in a virtual machine or hardened operating system |
US10/019,094 | 2004-12-21 |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2005135472A RU2005135472A (ru) | 2007-05-27 |
RU2397537C2 true RU2397537C2 (ru) | 2010-08-20 |
Family
ID=36097120
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2005135472/09A RU2397537C2 (ru) | 2004-12-21 | 2005-11-15 | Управление безопасностью компьютера, например, в виртуальной машине или реальной операционной системе |
Country Status (13)
Country | Link |
---|---|
US (1) | US7409719B2 (ru) |
EP (1) | EP1674965B1 (ru) |
JP (1) | JP4406627B2 (ru) |
KR (1) | KR101034415B1 (ru) |
CN (1) | CN1794131B (ru) |
AU (1) | AU2005237120B2 (ru) |
BR (1) | BRPI0505780A (ru) |
CA (1) | CA2527526C (ru) |
MX (1) | MXPA05012560A (ru) |
MY (1) | MY151284A (ru) |
RU (1) | RU2397537C2 (ru) |
TW (1) | TWI387923B (ru) |
ZA (1) | ZA200509349B (ru) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2487406C1 (ru) * | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети |
RU2595511C2 (ru) * | 2014-12-05 | 2016-08-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений |
RU2626350C1 (ru) * | 2016-04-11 | 2017-07-26 | Андрей Сергеевич Моляков | Способ функционирования операционной системы вычислительного устройства программно-аппаратного комплекса |
RU2644126C2 (ru) * | 2016-05-31 | 2018-02-07 | Некоммерческое Партнерство "Центр Прикладных Исследований Компьютерных Сетей" | Способ оптимального планирования использования виртуальных сетевых ресурсов центров обработки данных |
RU2763112C1 (ru) * | 2020-08-24 | 2021-12-27 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования списка виртуальных машин с указанием статуса защиты |
Families Citing this family (298)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8352400B2 (en) | 1991-12-23 | 2013-01-08 | Hoffberg Steven M | Adaptive pattern recognition based controller apparatus and method and human-factored interface therefore |
US7966078B2 (en) | 1999-02-01 | 2011-06-21 | Steven Hoffberg | Network media appliance system and method |
US8856927B1 (en) | 2003-07-22 | 2014-10-07 | Acronis International Gmbh | System and method for using snapshots for rootkit detection |
EP1661025A4 (en) | 2003-08-11 | 2010-05-26 | Chorus Systems Inc | SYSTEMS AND METHOD FOR GENERATING AND USING AN ADAPTIVE REFERENCE MODEL |
US8074276B1 (en) * | 2004-04-19 | 2011-12-06 | Parallels Holdings, Ltd. | Method and system for administration of security services within a virtual execution environment (VEE) infrastructure |
US7555596B2 (en) * | 2004-12-10 | 2009-06-30 | Microsoft Corporation | Systems and methods for attaching a virtual machine virtual hard disk to a host machine |
US7685149B2 (en) * | 2005-03-28 | 2010-03-23 | Microsoft Corporation | Identifying and removing potentially unwanted software |
WO2006134691A1 (ja) * | 2005-06-17 | 2006-12-21 | Nec Corporation | 情報処理装置、復旧装置、プログラム及び復旧方法 |
US7784098B1 (en) * | 2005-07-14 | 2010-08-24 | Trend Micro, Inc. | Snapshot and restore technique for computer system recovery |
US7752436B2 (en) * | 2005-08-09 | 2010-07-06 | Intel Corporation | Exclusive access for secure audio program |
US8161548B1 (en) | 2005-08-15 | 2012-04-17 | Trend Micro, Inc. | Malware detection using pattern classification |
US7779472B1 (en) | 2005-10-11 | 2010-08-17 | Trend Micro, Inc. | Application behavior based malware detection |
US8935281B1 (en) | 2005-10-31 | 2015-01-13 | Symantec Operating Corporation | Optimized content search of files |
US7917481B1 (en) * | 2005-10-31 | 2011-03-29 | Symantec Operating Corporation | File-system-independent malicious content detection |
US8422678B2 (en) * | 2005-11-16 | 2013-04-16 | Intel Corporation | Method, apparatus and system for protecting security keys on a wireless platform |
US20070168694A1 (en) * | 2006-01-18 | 2007-07-19 | Phil Maddaloni | System and method for identifying and removing pestware using a secondary operating system |
US7840958B1 (en) | 2006-02-17 | 2010-11-23 | Trend Micro, Inc. | Preventing spyware installation |
US7941813B1 (en) | 2006-02-17 | 2011-05-10 | Parallels Holdings, Ltd. | System and method for using virtual machine for driver installation sandbox |
US7926054B2 (en) * | 2006-03-03 | 2011-04-12 | Novell, Inc. | System, method, and computer-readable medium for virtual machine instantiation from an external peripheral device |
US7536541B2 (en) * | 2006-03-07 | 2009-05-19 | Novell Inc. | Parallelizing multiple boot images with virtual machines |
US8387138B2 (en) * | 2006-03-21 | 2013-02-26 | At&T Intellectual Property I, L.P. | Security scanning system and method |
US20070234337A1 (en) * | 2006-03-31 | 2007-10-04 | Prowess Consulting, Llc | System and method for sanitizing a computer program |
US9547485B2 (en) * | 2006-03-31 | 2017-01-17 | Prowess Consulting, Llc | System and method for deploying a virtual machine |
US8205261B1 (en) * | 2006-03-31 | 2012-06-19 | Emc Corporation | Incremental virus scan |
US8296759B1 (en) * | 2006-03-31 | 2012-10-23 | Vmware, Inc. | Offloading operations to a replicate virtual machine |
US8332940B2 (en) * | 2006-04-11 | 2012-12-11 | Installfree, Inc. | Techniques for securing a computing environment |
US8321377B2 (en) * | 2006-04-17 | 2012-11-27 | Microsoft Corporation | Creating host-level application-consistent backups of virtual machines |
US8181244B2 (en) * | 2006-04-20 | 2012-05-15 | Webroot Inc. | Backward researching time stamped events to find an origin of pestware |
US8429746B2 (en) * | 2006-05-22 | 2013-04-23 | Neuraliq, Inc. | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems |
US20140373144A9 (en) * | 2006-05-22 | 2014-12-18 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
EP1881404A1 (fr) * | 2006-07-20 | 2008-01-23 | Gemplus | Procédé de protection dynamique des données lors de l'exécution d'un code logiciel en langage intermédiaire dans un appareil numérique |
US8190868B2 (en) | 2006-08-07 | 2012-05-29 | Webroot Inc. | Malware management through kernel detection |
US8392996B2 (en) * | 2006-08-08 | 2013-03-05 | Symantec Corporation | Malicious software detection |
CN1909453B (zh) * | 2006-08-22 | 2011-04-20 | 深圳市深信服电子科技有限公司 | 一种基于网关/网桥的防间谍软件侵犯方法 |
US8056134B1 (en) * | 2006-09-10 | 2011-11-08 | Ogilvie John W | Malware detection and identification via malware spoofing |
US7802050B2 (en) * | 2006-09-29 | 2010-09-21 | Intel Corporation | Monitoring a target agent execution pattern on a VT-enabled system |
JP4756603B2 (ja) * | 2006-10-10 | 2011-08-24 | ルネサスエレクトロニクス株式会社 | データプロセッサ |
US8949825B1 (en) * | 2006-10-17 | 2015-02-03 | Manageiq, Inc. | Enforcement of compliance policies in managed virtual systems |
US8612971B1 (en) | 2006-10-17 | 2013-12-17 | Manageiq, Inc. | Automatic optimization for virtual systems |
US9697019B1 (en) | 2006-10-17 | 2017-07-04 | Manageiq, Inc. | Adapt a virtual machine to comply with system enforced policies and derive an optimized variant of the adapted virtual machine |
US8752045B2 (en) | 2006-10-17 | 2014-06-10 | Manageiq, Inc. | Methods and apparatus for using tags to control and manage assets |
US8949826B2 (en) * | 2006-10-17 | 2015-02-03 | Managelq, Inc. | Control and management of virtual systems |
US8234641B2 (en) * | 2006-10-17 | 2012-07-31 | Managelq, Inc. | Compliance-based adaptations in managed virtual systems |
US8458695B2 (en) | 2006-10-17 | 2013-06-04 | Manageiq, Inc. | Automatic optimization for virtual systems |
US9038062B2 (en) * | 2006-10-17 | 2015-05-19 | Manageiq, Inc. | Registering and accessing virtual systems for use in a managed system |
US9086917B1 (en) | 2006-10-17 | 2015-07-21 | Manageiq, Inc. | Registering and accessing virtual systems for use in a managed system |
US8234640B1 (en) * | 2006-10-17 | 2012-07-31 | Manageiq, Inc. | Compliance-based adaptations in managed virtual systems |
US9015703B2 (en) | 2006-10-17 | 2015-04-21 | Manageiq, Inc. | Enforcement of compliance policies in managed virtual systems |
WO2008048665A2 (en) * | 2006-10-18 | 2008-04-24 | University Of Virginia Patent Foundation | Method, system, and computer program product for malware detection analysis, and response |
DE102006049646B3 (de) | 2006-10-20 | 2008-06-19 | Siemens Ag | Verfahren und Sendevorrichtung zum gesicherten Erstellen und Versenden einer elektronischen Nachricht sowie Verfahren und Empfangsvorrichtung zum gesicherten Empfangen und Verarbeiten einer elektronischen Nachricht |
US8584109B2 (en) * | 2006-10-27 | 2013-11-12 | Microsoft Corporation | Virtualization for diversified tamper resistance |
JP4896677B2 (ja) * | 2006-11-20 | 2012-03-14 | 株式会社ソニー・コンピュータエンタテインメント | ソフトウエアの改竄検査装置及び方法、コンピュータプログラム |
EP1933248A1 (de) * | 2006-12-12 | 2008-06-18 | secunet Security Networks Aktiengesellschaft | Verfahren zur sicheren Datenverarbeitung auf einem Computersystem |
US7987469B2 (en) * | 2006-12-14 | 2011-07-26 | Intel Corporation | RDMA (remote direct memory access) data transfer in a virtual environment |
US8099786B2 (en) * | 2006-12-29 | 2012-01-17 | Intel Corporation | Embedded mechanism for platform vulnerability assessment |
CN101211389B (zh) * | 2006-12-31 | 2010-04-07 | 联想(北京)有限公司 | 一种硬件安全单元以及其服务请求的处理方法和系统 |
US8380987B2 (en) * | 2007-01-25 | 2013-02-19 | Microsoft Corporation | Protection agents and privilege modes |
US7765374B2 (en) * | 2007-01-25 | 2010-07-27 | Microsoft Corporation | Protecting operating-system resources |
US8391288B2 (en) | 2007-01-31 | 2013-03-05 | Hewlett-Packard Development Company, L.P. | Security system for protecting networks from vulnerability exploits |
US8856782B2 (en) * | 2007-03-01 | 2014-10-07 | George Mason Research Foundation, Inc. | On-demand disposable virtual work system |
US20080320594A1 (en) * | 2007-03-19 | 2008-12-25 | Xuxian Jiang | Malware Detector |
JP5446860B2 (ja) * | 2007-03-27 | 2014-03-19 | 日本電気株式会社 | 仮想マシン運用システム、仮想マシン運用方法およびプログラム |
US8127412B2 (en) | 2007-03-30 | 2012-03-06 | Cisco Technology, Inc. | Network context triggers for activating virtualized computer applications |
US20080250407A1 (en) * | 2007-04-05 | 2008-10-09 | Microsoft Corporation | Network group name for virtual machines |
US8689288B2 (en) * | 2007-04-16 | 2014-04-01 | Samsung Electronics Co., Ltd. | Apparatus and method for protecting system in virtualized environment |
US8011010B2 (en) * | 2007-04-17 | 2011-08-30 | Microsoft Corporation | Using antimalware technologies to perform offline scanning of virtual machine images |
US8875272B2 (en) * | 2007-05-15 | 2014-10-28 | International Business Machines Corporation | Firewall for controlling connections between a client machine and a network |
US8296848B1 (en) * | 2007-06-20 | 2012-10-23 | Symantec Corporation | Control flow redirection and analysis for detecting vulnerability exploitation |
US9588821B2 (en) | 2007-06-22 | 2017-03-07 | Red Hat, Inc. | Automatic determination of required resource allocation of virtual machines |
US8539570B2 (en) * | 2007-06-22 | 2013-09-17 | Red Hat, Inc. | Method for managing a virtual machine |
US8429748B2 (en) * | 2007-06-22 | 2013-04-23 | Red Hat, Inc. | Network traffic analysis using a dynamically updating ontological network description |
US8984504B2 (en) | 2007-06-22 | 2015-03-17 | Red Hat, Inc. | Method and system for determining a host machine by a virtual machine |
US8191141B2 (en) | 2007-06-22 | 2012-05-29 | Red Hat, Inc. | Method and system for cloaked observation and remediation of software attacks |
US8949827B2 (en) * | 2007-06-22 | 2015-02-03 | Red Hat, Inc. | Tracking a virtual machine |
US8127290B2 (en) * | 2007-06-22 | 2012-02-28 | Red Hat, Inc. | Method and system for direct insertion of a virtual machine driver |
US9727440B2 (en) | 2007-06-22 | 2017-08-08 | Red Hat, Inc. | Automatic simulation of virtual machine performance |
US9569330B2 (en) | 2007-06-22 | 2017-02-14 | Red Hat, Inc. | Performing dependency analysis on nodes of a business application service group |
US8336108B2 (en) * | 2007-06-22 | 2012-12-18 | Red Hat, Inc. | Method and system for collaboration involving enterprise nodes |
US9678803B2 (en) | 2007-06-22 | 2017-06-13 | Red Hat, Inc. | Migration of network entities to a cloud infrastructure |
US9354960B2 (en) | 2010-12-27 | 2016-05-31 | Red Hat, Inc. | Assigning virtual machines to business application service groups based on ranking of the virtual machines |
US20090007100A1 (en) * | 2007-06-28 | 2009-01-01 | Microsoft Corporation | Suspending a Running Operating System to Enable Security Scanning |
US8584094B2 (en) * | 2007-06-29 | 2013-11-12 | Microsoft Corporation | Dynamically computing reputation scores for objects |
US8341277B2 (en) * | 2007-07-03 | 2012-12-25 | International Business Machines Corporation | System and method for connecting closed, secure production network |
JP4938576B2 (ja) * | 2007-07-24 | 2012-05-23 | 日本電信電話株式会社 | 情報収集システムおよび情報収集方法 |
KR20090011481A (ko) * | 2007-07-26 | 2009-02-02 | 삼성전자주식회사 | 단말 장치에서의 침입 탐지 방법 및 그 장치 |
US8671166B2 (en) * | 2007-08-09 | 2014-03-11 | Prowess Consulting, Llc | Methods and systems for deploying hardware files to a computer |
US8122505B2 (en) * | 2007-08-17 | 2012-02-21 | International Business Machines Corporation | Method and apparatus for detection of malicious behavior in mobile ad-hoc networks |
US8146098B2 (en) * | 2007-09-07 | 2012-03-27 | Manageiq, Inc. | Method and apparatus for interfacing with a computer user via virtual thumbnails |
US8250641B2 (en) * | 2007-09-17 | 2012-08-21 | Intel Corporation | Method and apparatus for dynamic switching and real time security control on virtualized systems |
US8307443B2 (en) * | 2007-09-28 | 2012-11-06 | Microsoft Corporation | Securing anti-virus software with virtualization |
CN101350054B (zh) * | 2007-10-15 | 2011-05-25 | 北京瑞星信息技术有限公司 | 计算机有害程序自动防护方法及装置 |
CN101350053A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 防止网页浏览器被漏洞利用的方法和装置 |
CN101350052B (zh) * | 2007-10-15 | 2010-11-03 | 北京瑞星信息技术有限公司 | 发现计算机程序的恶意行为的方法和装置 |
KR100985047B1 (ko) * | 2007-10-25 | 2010-10-04 | 주식회사 안철수연구소 | 쓰레드 스케줄링 시스템 및 그 방법 |
US8407688B2 (en) | 2007-11-27 | 2013-03-26 | Managelq, Inc. | Methods and apparatus for storing and transmitting historical configuration data associated with information technology assets |
US8418173B2 (en) | 2007-11-27 | 2013-04-09 | Manageiq, Inc. | Locating an unauthorized virtual machine and bypassing locator code by adjusting a boot pointer of a managed virtual machine in authorized environment |
US8738905B2 (en) * | 2007-12-10 | 2014-05-27 | International Business Machines Corporation | Third party secured storage for web services and web applications |
US8667595B2 (en) * | 2007-12-31 | 2014-03-04 | Intel Corporation | Method, apparatus and system for containing and localizing malware propagation |
EP2232474A4 (en) * | 2008-01-07 | 2011-08-31 | Smart Technologies Ulc | METHOD OF MANAGING APPLICATIONS IN A MULTI-SCREEN COMPUTER SYSTEM AND MULTI-SCREEN COMPUTER SYSTEM EMPLOYING THE METHOD |
US8104087B2 (en) * | 2008-01-08 | 2012-01-24 | Triumfant, Inc. | Systems and methods for automated data anomaly correction in a computer network |
KR100881386B1 (ko) | 2008-01-24 | 2009-02-02 | 주식회사 파수닷컴 | 프로세스 분리 실행을 통한 drm 클라이언트 충돌 방지 방법 |
US8468543B2 (en) * | 2008-01-25 | 2013-06-18 | Fasoo.Com.Co.Ltd. | System and method for preventing DRM client crash using process separate execution |
US8201029B2 (en) | 2008-01-31 | 2012-06-12 | International Business Machines Corporation | Method and apparatus for operating system event notification mechanism using file system interface |
US8051111B2 (en) | 2008-01-31 | 2011-11-01 | Prowess Consulting, Llc | Method and system for modularizing windows imaging format |
US8719936B2 (en) * | 2008-02-01 | 2014-05-06 | Northeastern University | VMM-based intrusion detection system |
GB2460393B (en) * | 2008-02-29 | 2012-03-28 | Advanced Risc Mach Ltd | A data processing apparatus and method for controlling access to secure memory by virtual machines executing on processing circuitry |
US20090241192A1 (en) * | 2008-03-21 | 2009-09-24 | Thomas Andrew J | Virtual machine configuration sharing between host and virtual machines and between virtual machines |
US20090241194A1 (en) * | 2008-03-21 | 2009-09-24 | Andrew James Thomas | Virtual machine configuration sharing between host and virtual machines and between virtual machines |
US8104083B1 (en) * | 2008-03-31 | 2012-01-24 | Symantec Corporation | Virtual machine file system content protection system and method |
KR100931518B1 (ko) * | 2008-04-22 | 2009-12-14 | 주식회사 안철수연구소 | 가상 데스크탑을 이용한 프로그램 보호 방법 |
JP2009282751A (ja) * | 2008-05-22 | 2009-12-03 | Toyota Infotechnology Center Co Ltd | プログラム検査システムおよび方法 |
US8443363B1 (en) | 2008-05-30 | 2013-05-14 | Symantec Corporation | Coordinated virtualization activities |
US8516478B1 (en) * | 2008-06-12 | 2013-08-20 | Mcafee, Inc. | Subsequent processing of scanning task utilizing subset of virtual machines predetermined to have scanner process and adjusting amount of subsequest VMs processing based on load |
US8589474B2 (en) * | 2008-06-17 | 2013-11-19 | Go Daddy Operating Company, LLC | Systems and methods for software and file access via a domain name |
US8522015B2 (en) * | 2008-06-27 | 2013-08-27 | Microsoft Corporation | Authentication of binaries in memory with proxy code execution |
US8572692B2 (en) * | 2008-06-30 | 2013-10-29 | Intel Corporation | Method and system for a platform-based trust verifying service for multi-party verification |
EP2304560B1 (en) * | 2008-07-21 | 2017-02-08 | International Business Machines Corporation | A method and system for improvements in or relating to off-line virtual environments |
US8561137B2 (en) * | 2008-07-23 | 2013-10-15 | Oracle International Corporation | Techniques for identity authentication of virtualized machines |
JP5446167B2 (ja) * | 2008-08-13 | 2014-03-19 | 富士通株式会社 | ウイルス対策方法、コンピュータ、及びプログラム |
CN101673215B (zh) * | 2008-09-09 | 2012-12-12 | 联想(北京)有限公司 | 一种虚拟环境中用户管理装置及方法 |
US9098698B2 (en) | 2008-09-12 | 2015-08-04 | George Mason Research Foundation, Inc. | Methods and apparatus for application isolation |
US8799450B2 (en) * | 2008-10-14 | 2014-08-05 | Mcafee, Inc. | Server-based system, method, and computer program product for scanning data on a client using only a subset of the data |
US9450960B1 (en) | 2008-11-05 | 2016-09-20 | Symantec Corporation | Virtual machine file system restriction system and method |
US20100175108A1 (en) * | 2009-01-02 | 2010-07-08 | Andre Protas | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit |
US20100199351A1 (en) * | 2009-01-02 | 2010-08-05 | Andre Protas | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit |
US20100191784A1 (en) * | 2009-01-29 | 2010-07-29 | Sobel William E | Extending Secure Management of File Attribute Information to Virtual Hard Disks |
US9177145B2 (en) * | 2009-03-24 | 2015-11-03 | Sophos Limited | Modified file tracking on virtual machines |
US8510838B1 (en) * | 2009-04-08 | 2013-08-13 | Trend Micro, Inc. | Malware protection using file input/output virtualization |
US11489857B2 (en) | 2009-04-21 | 2022-11-01 | Webroot Inc. | System and method for developing a risk profile for an internet resource |
US9069983B1 (en) * | 2009-04-29 | 2015-06-30 | Symantec Corporation | Method and apparatus for protecting sensitive information from disclosure through virtual machines files |
US20100312805A1 (en) * | 2009-05-08 | 2010-12-09 | Noonan Iii Donal Charles | System and method for capturing, managing, and distributing computer files |
US20120060220A1 (en) * | 2009-05-15 | 2012-03-08 | Invicta Networks, Inc. | Systems and methods for computer security employing virtual computer systems |
US8955108B2 (en) * | 2009-06-17 | 2015-02-10 | Microsoft Corporation | Security virtual machine for advanced auditing |
US8839422B2 (en) | 2009-06-30 | 2014-09-16 | George Mason Research Foundation, Inc. | Virtual browsing environment |
EP2457153B1 (en) * | 2009-07-20 | 2016-11-02 | Schneider Electric IT Corporation | Method and system for power analysis |
US8332688B1 (en) * | 2009-07-21 | 2012-12-11 | Adobe Systems Incorporated | Failover and recovery of a computing application hosted by a virtual instance of a machine |
US9569240B2 (en) | 2009-07-21 | 2017-02-14 | Adobe Systems Incorporated | Method and system to provision and manage a computing application hosted by a virtual instance of a machine |
US8732145B1 (en) * | 2009-07-22 | 2014-05-20 | Intuit Inc. | Virtual environment for data-described applications |
US8613085B2 (en) * | 2009-07-22 | 2013-12-17 | Broadcom Corporation | Method and system for traffic management via virtual machine migration |
US8661434B1 (en) * | 2009-08-05 | 2014-02-25 | Trend Micro Incorporated | Migration of computer security modules in a virtual machine environment |
US8132057B2 (en) * | 2009-08-07 | 2012-03-06 | International Business Machines Corporation | Automated transition to a recovery kernel via firmware-assisted-dump flows providing automated operating system diagnosis and repair |
US8635705B2 (en) * | 2009-09-25 | 2014-01-21 | Intel Corporation | Computer system and method with anti-malware |
US20110093902A1 (en) * | 2009-10-16 | 2011-04-21 | At&T Intellectual Property I, L.P. | System and Method to Process a Data Stream Having Different Content Types |
KR101058993B1 (ko) | 2009-10-26 | 2011-08-23 | 한국조폐공사 | 가상드라이브 방식의 스마트카드 테스트 장치 및 방법 |
US8640241B2 (en) | 2009-11-16 | 2014-01-28 | Quatum Corporation | Data identification system |
JP5140062B2 (ja) * | 2009-12-11 | 2013-02-06 | 株式会社日立製作所 | 仮想化環境におけるセキュリティ管理方法、仮想サーバ管理システム、および管理サーバ |
WO2011069784A1 (en) | 2009-12-11 | 2011-06-16 | International Business Machines Corporation | System and method of managing software content in virtual desktop environments |
US8601284B2 (en) | 2010-01-27 | 2013-12-03 | International Business Machines Corporation | Secure connected digital media platform |
US20110191852A1 (en) * | 2010-01-30 | 2011-08-04 | Scott Sanders | Method to perform a security assessment on a clone of a virtual system |
EP2354995B1 (en) * | 2010-02-09 | 2016-12-28 | Siemens Aktiengesellschaft | Software licensing in a virtual computing environment |
US9703586B2 (en) * | 2010-02-17 | 2017-07-11 | Microsoft Technology Licensing, Llc | Distribution control and tracking mechanism of virtual machine appliances |
US9665712B2 (en) * | 2010-02-22 | 2017-05-30 | F-Secure Oyj | Malware removal |
US8621628B2 (en) * | 2010-02-25 | 2013-12-31 | Microsoft Corporation | Protecting user mode processes from improper tampering or termination |
JP5440273B2 (ja) * | 2010-03-09 | 2014-03-12 | 富士通株式会社 | スナップショット管理方法、スナップショット管理装置、及びプログラム |
US8938782B2 (en) * | 2010-03-15 | 2015-01-20 | Symantec Corporation | Systems and methods for providing network access control in virtual environments |
CA2737631C (en) | 2010-04-18 | 2014-07-15 | Layer 7 Technologies Inc. | Protected application stack and method and system of utilizing |
US9811662B2 (en) * | 2010-05-03 | 2017-11-07 | Panzura, Inc. | Performing anti-virus checks for a distributed filesystem |
US8839239B2 (en) | 2010-06-15 | 2014-09-16 | Microsoft Corporation | Protection of virtual machines executing on a host device |
US9106697B2 (en) * | 2010-06-24 | 2015-08-11 | NeurallQ, Inc. | System and method for identifying unauthorized activities on a computer system using a data structure model |
US8789189B2 (en) | 2010-06-24 | 2014-07-22 | NeurallQ, Inc. | System and method for sampling forensic data of unauthorized activities using executability states |
US8667489B2 (en) * | 2010-06-29 | 2014-03-04 | Symantec Corporation | Systems and methods for sharing the results of analyses among virtual machines |
US8782434B1 (en) | 2010-07-15 | 2014-07-15 | The Research Foundation For The State University Of New York | System and method for validating program execution at run-time |
KR101091777B1 (ko) * | 2010-07-16 | 2011-12-08 | 주식회사 파수닷컴 | Drm 환경에서의 악성 코드 실시간 검사 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 |
US8458791B2 (en) * | 2010-08-18 | 2013-06-04 | Southwest Research Institute | Hardware-implemented hypervisor for root-of-trust monitoring and control of computer system |
US9245114B2 (en) * | 2010-08-26 | 2016-01-26 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
US8082585B1 (en) * | 2010-09-13 | 2011-12-20 | Raymond R. Givonetti | Protecting computers from malware using a hardware solution that is not alterable by any software |
JP5508223B2 (ja) * | 2010-10-20 | 2014-05-28 | 株式会社日立製作所 | 個人識別システム及び方法 |
US9117091B2 (en) | 2010-10-31 | 2015-08-25 | Temporal Defense Systems, Llc | System and method for securing virtual computing environments |
US8910155B1 (en) | 2010-11-02 | 2014-12-09 | Symantec Corporation | Methods and systems for injecting endpoint management agents into virtual machines |
US20120144489A1 (en) * | 2010-12-07 | 2012-06-07 | Microsoft Corporation | Antimalware Protection of Virtual Machines |
US8484465B1 (en) * | 2010-12-08 | 2013-07-09 | Google Inc. | Heterogeneous virtual machines sharing a security model |
JP5739182B2 (ja) | 2011-02-04 | 2015-06-24 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 制御システム、方法およびプログラム |
RU2457533C1 (ru) * | 2011-02-10 | 2012-07-27 | Государственное образовательное учреждение высшего профессионального образования Северо-Кавказский горно-металлургический институт (государственный технологический университет) (СКГМИ (ГТУ) | Способ адаптивного управления пакетом антивирусных сканеров и система для его осуществления |
JP5731223B2 (ja) | 2011-02-14 | 2015-06-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
JP5689333B2 (ja) * | 2011-02-15 | 2015-03-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
US8892788B2 (en) | 2011-02-22 | 2014-11-18 | Red Hat Israel, Ltd. | Exposing a DMA engine to guests in a virtual machine system |
US8959569B2 (en) | 2011-03-18 | 2015-02-17 | Juniper Networks, Inc. | Security enforcement in virtualized systems |
US9619262B2 (en) * | 2011-05-31 | 2017-04-11 | Micro Focus Software Inc. | Techniques for security auditing of cloud resources |
US9298910B2 (en) * | 2011-06-08 | 2016-03-29 | Mcafee, Inc. | System and method for virtual partition monitoring |
US8813233B1 (en) * | 2011-06-27 | 2014-08-19 | Amazon Technologies, Inc. | Machine image inspection |
US10356106B2 (en) | 2011-07-26 | 2019-07-16 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting anomaly action within a computer network |
US8566918B2 (en) | 2011-08-15 | 2013-10-22 | Bank Of America Corporation | Method and apparatus for token-based container chaining |
US9069943B2 (en) | 2011-08-15 | 2015-06-30 | Bank Of America Corporation | Method and apparatus for token-based tamper detection |
US8752123B2 (en) | 2011-08-15 | 2014-06-10 | Bank Of America Corporation | Apparatus and method for performing data tokenization |
US8474056B2 (en) * | 2011-08-15 | 2013-06-25 | Bank Of America Corporation | Method and apparatus for token-based virtual machine recycling |
US8812830B2 (en) | 2011-08-31 | 2014-08-19 | Microsoft Corporation | Attestation protocol for securely booting a guest operating system |
US8850512B2 (en) * | 2011-10-13 | 2014-09-30 | Mcafee, Inc. | Security assessment of virtual machine environments |
US20130111018A1 (en) * | 2011-10-28 | 2013-05-02 | International Business Machines Coporation | Passive monitoring of virtual systems using agent-less, offline indexing |
US9313100B1 (en) | 2011-11-14 | 2016-04-12 | Amazon Technologies, Inc. | Remote browsing session management |
WO2013074041A1 (en) | 2011-11-16 | 2013-05-23 | V-Key Pte. Ltd. | Cryptographic system and methodology for securing software cryptography |
WO2013082437A1 (en) * | 2011-12-02 | 2013-06-06 | Invincia, Inc. | Methods and apparatus for control and detection of malicious content using a sandbox environment |
US9330188B1 (en) | 2011-12-22 | 2016-05-03 | Amazon Technologies, Inc. | Shared browsing sessions |
CN102609299B (zh) * | 2012-01-13 | 2015-03-11 | 深圳市深信服电子科技有限公司 | 虚拟化系统及其创建方法、装置 |
JP5814138B2 (ja) * | 2012-01-19 | 2015-11-17 | 株式会社エヌ・ティ・ティ・データ | セキュリティ設定システム、セキュリティ設定方法およびプログラム |
US9336321B1 (en) | 2012-01-26 | 2016-05-10 | Amazon Technologies, Inc. | Remote browsing and searching |
US8839087B1 (en) | 2012-01-26 | 2014-09-16 | Amazon Technologies, Inc. | Remote browsing and searching |
US8484732B1 (en) | 2012-02-01 | 2013-07-09 | Trend Micro Incorporated | Protecting computers against virtual machine exploits |
US9137210B1 (en) | 2012-02-21 | 2015-09-15 | Amazon Technologies, Inc. | Remote browsing session management |
US9116735B2 (en) * | 2012-03-07 | 2015-08-25 | Microsoft Technology Licensing, Llc | Offline provisioning of virtual machines |
TWI450098B (zh) * | 2012-06-19 | 2014-08-21 | Acer Inc | 主控端電子裝置以及主控端操作方法 |
US8732791B2 (en) * | 2012-06-20 | 2014-05-20 | Sophos Limited | Multi-part internal-external process system for providing virtualization security protection |
US10607007B2 (en) | 2012-07-03 | 2020-03-31 | Hewlett-Packard Development Company, L.P. | Micro-virtual machine forensics and detection |
US9223962B1 (en) * | 2012-07-03 | 2015-12-29 | Bromium, Inc. | Micro-virtual machine forensics and detection |
US9063721B2 (en) | 2012-09-14 | 2015-06-23 | The Research Foundation For The State University Of New York | Continuous run-time validation of program execution: a practical approach |
US9069782B2 (en) | 2012-10-01 | 2015-06-30 | The Research Foundation For The State University Of New York | System and method for security and privacy aware virtual machine checkpointing |
FR2997811B1 (fr) | 2012-11-05 | 2015-01-02 | Viaccess Sa | Dispositif de traitement de contenus multimedia mettant en oeuvre une pluralite de machines virtuelles. |
CN103077261B (zh) * | 2012-11-23 | 2015-12-02 | 厦门美亚中敏电子科技有限公司 | 一种虚拟环境智能修复的计算机动态仿真方法 |
US9922192B1 (en) | 2012-12-07 | 2018-03-20 | Bromium, Inc. | Micro-virtual machine forensics and detection |
US10341263B2 (en) | 2012-12-10 | 2019-07-02 | University Of Central Florida Research Foundation, Inc. | System and method for routing network frames between virtual machines |
US8763085B1 (en) | 2012-12-19 | 2014-06-24 | Trend Micro Incorporated | Protection of remotely managed virtual machines |
JP2013061994A (ja) * | 2013-01-07 | 2013-04-04 | Fujitsu Ltd | ウイルス検出プログラム、ウイルス検出方法、監視プログラム、監視方法、及びコンピュータ |
EP2946332B1 (en) | 2013-01-16 | 2018-06-13 | Palo Alto Networks (Israel Analytics) Ltd | Automated forensics of computer systems using behavioral intelligence |
US9560014B2 (en) * | 2013-01-23 | 2017-01-31 | Mcafee, Inc. | System and method for an endpoint hardware assisted network firewall in a security environment |
KR101309657B1 (ko) * | 2013-03-13 | 2013-09-17 | 엘에스웨어(주) | 클라우드 컴퓨팅 환경에서의 호스트 기반 취약점 분석 시스템 및 방법 |
CN104219211B (zh) * | 2013-06-03 | 2017-11-21 | 中国移动通信集团公司 | 一种云计算网络中网络安全的检测方法及装置 |
US9578137B1 (en) | 2013-06-13 | 2017-02-21 | Amazon Technologies, Inc. | System for enhancing script execution performance |
US10152463B1 (en) | 2013-06-13 | 2018-12-11 | Amazon Technologies, Inc. | System for profiling page browsing interactions |
US9396082B2 (en) | 2013-07-12 | 2016-07-19 | The Boeing Company | Systems and methods of analyzing a software component |
US9336025B2 (en) | 2013-07-12 | 2016-05-10 | The Boeing Company | Systems and methods of analyzing a software component |
US9852290B1 (en) | 2013-07-12 | 2017-12-26 | The Boeing Company | Systems and methods of analyzing a software component |
US9280369B1 (en) | 2013-07-12 | 2016-03-08 | The Boeing Company | Systems and methods of analyzing a software component |
US9280372B2 (en) * | 2013-08-12 | 2016-03-08 | Amazon Technologies, Inc. | Request processing techniques |
US9479521B2 (en) | 2013-09-30 | 2016-10-25 | The Boeing Company | Software network behavior analysis and identification system |
JP2016533574A (ja) * | 2013-10-17 | 2016-10-27 | ソフトキャンプ カンパニー,リミテッド | ファイル形式変換を通じたデータ防疫処理システムと方法 |
US10089474B2 (en) | 2013-10-29 | 2018-10-02 | Hewlett Packard Enterprise Development Lp | Virtual machine introspection |
CN103685235A (zh) * | 2013-11-18 | 2014-03-26 | 汉柏科技有限公司 | 一种基于防火墙的三层网络虚拟化实现方法及系统 |
US9756069B1 (en) * | 2014-01-10 | 2017-09-05 | Trend Micro Inc. | Instant raw scan on host PC with virtualization technology |
US20150205962A1 (en) * | 2014-01-23 | 2015-07-23 | Cylent Systems, Inc. | Behavioral analytics driven host-based malicious behavior and data exfiltration disruption |
US10430614B2 (en) | 2014-01-31 | 2019-10-01 | Bromium, Inc. | Automatic initiation of execution analysis |
US20150304343A1 (en) | 2014-04-18 | 2015-10-22 | Intuit Inc. | Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment |
JP6337498B2 (ja) * | 2014-02-18 | 2018-06-06 | 日本電気株式会社 | 復元装置、復元システム、復元方法、および、プログラム |
US10757133B2 (en) | 2014-02-21 | 2020-08-25 | Intuit Inc. | Method and system for creating and deploying virtual assets |
US10121007B2 (en) | 2014-02-21 | 2018-11-06 | Intuit Inc. | Method and system for providing a robust and efficient virtual asset vulnerability management and verification service |
US9866581B2 (en) | 2014-06-30 | 2018-01-09 | Intuit Inc. | Method and system for secure delivery of information to computing environments |
TWI603266B (zh) | 2014-03-03 | 2017-10-21 | 廣達電腦股份有限公司 | 虛擬機器之資源調整方法及系統 |
RU2580030C2 (ru) | 2014-04-18 | 2016-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ распределения задач антивирусной проверки между виртуальными машинами в виртуальной сети |
US11294700B2 (en) | 2014-04-18 | 2022-04-05 | Intuit Inc. | Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets |
US9356945B2 (en) | 2014-07-17 | 2016-05-31 | Check Point Advanced Threat Prevention Ltd | Automatic content inspection system for exploit detection |
US10102082B2 (en) * | 2014-07-31 | 2018-10-16 | Intuit Inc. | Method and system for providing automated self-healing virtual assets |
JP2014225302A (ja) * | 2014-09-08 | 2014-12-04 | 富士通株式会社 | ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ |
US9860208B1 (en) | 2014-09-30 | 2018-01-02 | Palo Alto Networks, Inc. | Bridging a virtual clone of a target device in a honey network to a suspicious device in an enterprise network |
US9716727B1 (en) | 2014-09-30 | 2017-07-25 | Palo Alto Networks, Inc. | Generating a honey network configuration to emulate a target network environment |
US9495188B1 (en) | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
US10044675B1 (en) | 2014-09-30 | 2018-08-07 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter IP and peer-checking evasion techniques |
US9882929B1 (en) | 2014-09-30 | 2018-01-30 | Palo Alto Networks, Inc. | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network |
WO2016093182A1 (ja) * | 2014-12-09 | 2016-06-16 | 日本電信電話株式会社 | 特定装置、特定方法および特定プログラム |
US10104099B2 (en) | 2015-01-07 | 2018-10-16 | CounterTack, Inc. | System and method for monitoring a computer system using machine interpretable code |
US9560078B2 (en) * | 2015-02-04 | 2017-01-31 | Intel Corporation | Technologies for scalable security architecture of virtualized networks |
US9864701B1 (en) * | 2015-03-10 | 2018-01-09 | Amazon Technologies, Inc. | Resource mapping for an input/output device |
US9563777B2 (en) | 2015-04-29 | 2017-02-07 | International Business Machines Corporation | Security policy generation based on snapshots of similar virtual machines |
US10567395B2 (en) | 2015-05-10 | 2020-02-18 | Check Point Advanced Threat Prevention Ltd | Detection of potentially malicious web content by emulating user behavior and user environment |
US10956571B2 (en) * | 2015-05-15 | 2021-03-23 | Intel Corporation | Kernel runtime integrity using processor assists |
US10075461B2 (en) | 2015-05-31 | 2018-09-11 | Palo Alto Networks (Israel Analytics) Ltd. | Detection of anomalous administrative actions |
US10395029B1 (en) * | 2015-06-30 | 2019-08-27 | Fireeye, Inc. | Virtual system and method with threat protection |
US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
RU2618947C2 (ru) * | 2015-06-30 | 2017-05-11 | Закрытое акционерное общество "Лаборатория Касперского" | Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал |
US9742796B1 (en) | 2015-09-18 | 2017-08-22 | Palo Alto Networks, Inc. | Automatic repair of corrupt files for a detonation engine |
US9977894B2 (en) * | 2015-11-18 | 2018-05-22 | Red Hat, Inc. | Virtual machine malware scanning |
US10142365B2 (en) * | 2016-01-22 | 2018-11-27 | The Boeing Company | System and methods for responding to cybersecurity threats |
CN105787382B (zh) * | 2016-01-28 | 2018-12-21 | 东软集团股份有限公司 | 访问控制方法和装置 |
RU2628923C1 (ru) * | 2016-05-20 | 2017-08-22 | Акционерное общество "Лаборатория Касперского" | Система и способ распределения файлов между виртуальными машинами, входящими в распределённую систему виртуальных машин, для выполнения антивирусной проверки |
CN105912931A (zh) * | 2016-05-23 | 2016-08-31 | 北京北信源软件股份有限公司 | 一种虚拟化环境下修复离线虚拟机漏洞的方法及系统 |
WO2017219362A1 (zh) * | 2016-06-24 | 2017-12-28 | 阿贝尔环球国际有限公司 | 终端装置及其终端操作系统与云端装置及其云端操作系统 |
KR102208938B1 (ko) * | 2016-06-24 | 2021-01-27 | 지멘스 악티엔게젤샤프트 | Plc 가상 패칭 및 보안 콘텍스트의 자동화된 배포 |
US10686829B2 (en) | 2016-09-05 | 2020-06-16 | Palo Alto Networks (Israel Analytics) Ltd. | Identifying changes in use of user credentials |
US9578066B1 (en) * | 2016-09-14 | 2017-02-21 | Hytrust, Inc. | Systems and method for assuring security governance in managed computer systems |
US10503895B2 (en) | 2017-04-11 | 2019-12-10 | Red Hat, Inc. | Runtime non-intrusive container security introspection and remediation |
US10333987B2 (en) * | 2017-05-18 | 2019-06-25 | Bank Of America Corporation | Security enhancement tool for a target computer system operating within a complex web of interconnected systems |
CN107463428B (zh) * | 2017-06-29 | 2020-06-02 | 北京北信源软件股份有限公司 | 一种用于虚拟化环境下的补丁管理方法和装置 |
US10333951B1 (en) * | 2017-07-31 | 2019-06-25 | EMC IP Holding Company LLC | Method and system for implementing golden container storage |
US10621357B2 (en) * | 2017-08-31 | 2020-04-14 | Microsoft Technology Licensing, Llc | Off node scanning |
US10652213B2 (en) | 2017-12-18 | 2020-05-12 | Nicira, Inc. | Agent-less micro-segmentation of a network |
WO2019152003A1 (en) | 2018-01-31 | 2019-08-08 | Hewlett-Packard Development Company, L.P. | Process verification |
US10999304B2 (en) | 2018-04-11 | 2021-05-04 | Palo Alto Networks (Israel Analytics) Ltd. | Bind shell attack detection |
RU2690415C1 (ru) * | 2018-08-20 | 2019-06-03 | Акционерное Общество "Нппкт" | Технология автоматического запуска операционной системы на аппаратной платформе с элементами, не поддерживаемыми модулями операционной системы, при включении компьютера |
US11316872B2 (en) | 2019-01-30 | 2022-04-26 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using port profiles |
US11184378B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Scanner probe detection |
US11070569B2 (en) | 2019-01-30 | 2021-07-20 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting outlier pairs of scanned ports |
US11184376B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Port scan detection using destination profiles |
US11184377B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using source profiles |
CN110764869A (zh) * | 2019-09-11 | 2020-02-07 | 沪东中华造船(集团)有限公司 | 一种基于多个虚拟系统的船舶生产用能状况实时监控系统 |
US11271907B2 (en) | 2019-12-19 | 2022-03-08 | Palo Alto Networks, Inc. | Smart proxy for a large scale high-interaction honeypot farm |
US11265346B2 (en) | 2019-12-19 | 2022-03-01 | Palo Alto Networks, Inc. | Large scale high-interactive honeypot farm |
US11012492B1 (en) | 2019-12-26 | 2021-05-18 | Palo Alto Networks (Israel Analytics) Ltd. | Human activity detection in computing device transmissions |
US11604876B2 (en) * | 2020-01-28 | 2023-03-14 | Rubrik, Inc. | Malware protection for virtual machines |
US11616805B2 (en) * | 2020-01-28 | 2023-03-28 | Rubrik, Inc. | Malware protection for virtual machines |
CN115053222A (zh) * | 2020-02-07 | 2022-09-13 | 百可德罗德公司 | 通过主机与虚拟来宾之间的受控交互来创建隔离工作区的方法和系统 |
US11640461B2 (en) * | 2020-03-06 | 2023-05-02 | Rubrik, Inc. | Secure runtime for virtual machines |
US11875187B2 (en) | 2020-03-06 | 2024-01-16 | Rubrik, Inc. | Secure runtime for virtual machines |
EP3940565A1 (en) * | 2020-07-15 | 2022-01-19 | Hewlett-Packard Development Company, L.P. | System management states |
US11762678B2 (en) * | 2020-07-16 | 2023-09-19 | Twistlock, Ltd. | Efficient virtual machine scanning |
WO2022047415A1 (en) * | 2020-08-31 | 2022-03-03 | Qomplx, Inc. | System and method for secure evaluation of cyber detection products |
US11509680B2 (en) | 2020-09-30 | 2022-11-22 | Palo Alto Networks (Israel Analytics) Ltd. | Classification of cyber-alerts into security incidents |
US11775655B2 (en) | 2021-05-11 | 2023-10-03 | International Business Machines Corporation | Risk assessment of a container build |
CA3236918A1 (en) * | 2021-11-05 | 2023-05-11 | Ahad Karamali BANDEALY | Apparatuses and methods for telesupervision of service providers of counseling or medical services |
US11799880B2 (en) | 2022-01-10 | 2023-10-24 | Palo Alto Networks (Israel Analytics) Ltd. | Network adaptive alert prioritization system |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001175486A (ja) | 1999-12-21 | 2001-06-29 | Hitachi Ltd | 計算機システム |
JP3630087B2 (ja) * | 2000-05-10 | 2005-03-16 | 日本電気株式会社 | 自動データ処理装置 |
JP4256107B2 (ja) | 2002-03-07 | 2009-04-22 | 富士通株式会社 | データサーバへの不正侵入対処方法、及びプログラム |
JP2004013607A (ja) * | 2002-06-07 | 2004-01-15 | Hitachi Ltd | ファイル監視装置 |
US7673304B2 (en) * | 2003-02-18 | 2010-03-02 | Microsoft Corporation | Multithreaded kernel for graphics processing unit |
US7581253B2 (en) * | 2004-07-20 | 2009-08-25 | Lenovo (Singapore) Pte. Ltd. | Secure storage tracking for anti-virus speed-up |
-
2004
- 2004-12-21 US US11/019,094 patent/US7409719B2/en active Active
-
2005
- 2005-10-18 MY MYPI20054887 patent/MY151284A/en unknown
- 2005-10-24 TW TW094137180A patent/TWI387923B/zh not_active IP Right Cessation
- 2005-11-07 KR KR1020050106056A patent/KR101034415B1/ko active IP Right Grant
- 2005-11-15 RU RU2005135472/09A patent/RU2397537C2/ru not_active IP Right Cessation
- 2005-11-17 JP JP2005332691A patent/JP4406627B2/ja active Active
- 2005-11-18 ZA ZA200509349A patent/ZA200509349B/xx unknown
- 2005-11-18 CA CA2527526A patent/CA2527526C/en not_active Expired - Fee Related
- 2005-11-21 CN CN2005101271196A patent/CN1794131B/zh active Active
- 2005-11-21 MX MXPA05012560A patent/MXPA05012560A/es active IP Right Grant
- 2005-11-23 AU AU2005237120A patent/AU2005237120B2/en not_active Ceased
- 2005-12-07 EP EP05111766.1A patent/EP1674965B1/en active Active
- 2005-12-19 BR BRPI0505780-9A patent/BRPI0505780A/pt not_active IP Right Cessation
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2487406C1 (ru) * | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети |
RU2595511C2 (ru) * | 2014-12-05 | 2016-08-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений |
RU2626350C1 (ru) * | 2016-04-11 | 2017-07-26 | Андрей Сергеевич Моляков | Способ функционирования операционной системы вычислительного устройства программно-аппаратного комплекса |
RU2644126C2 (ru) * | 2016-05-31 | 2018-02-07 | Некоммерческое Партнерство "Центр Прикладных Исследований Компьютерных Сетей" | Способ оптимального планирования использования виртуальных сетевых ресурсов центров обработки данных |
RU2763112C1 (ru) * | 2020-08-24 | 2021-12-27 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования списка виртуальных машин с указанием статуса защиты |
Also Published As
Publication number | Publication date |
---|---|
US7409719B2 (en) | 2008-08-05 |
TWI387923B (zh) | 2013-03-01 |
MY151284A (en) | 2014-04-30 |
BRPI0505780A (pt) | 2006-09-19 |
EP1674965A2 (en) | 2006-06-28 |
CN1794131A (zh) | 2006-06-28 |
JP4406627B2 (ja) | 2010-02-03 |
KR20060071308A (ko) | 2006-06-26 |
AU2005237120B2 (en) | 2010-08-26 |
CA2527526A1 (en) | 2006-06-21 |
RU2005135472A (ru) | 2007-05-27 |
EP1674965B1 (en) | 2020-02-12 |
CA2527526C (en) | 2015-03-24 |
US20060136720A1 (en) | 2006-06-22 |
AU2005237120A1 (en) | 2006-07-06 |
JP2006178936A (ja) | 2006-07-06 |
MXPA05012560A (es) | 2006-09-29 |
CN1794131B (zh) | 2011-11-30 |
TW200627275A (en) | 2006-08-01 |
KR101034415B1 (ko) | 2011-05-12 |
ZA200509349B (en) | 2008-04-30 |
EP1674965A3 (en) | 2013-03-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2397537C2 (ru) | Управление безопасностью компьютера, например, в виртуальной машине или реальной операционной системе | |
RU2714607C2 (ru) | Двукратная самодиагностика памяти для защиты множества сетевых конечных точек | |
US8938782B2 (en) | Systems and methods for providing network access control in virtual environments | |
JP6370747B2 (ja) | バーチャルマシーンモニタベースのアンチマルウェアセキュリティのためのシステム及び方法 | |
Pearce et al. | Virtualization: Issues, security threats, and solutions | |
US9087199B2 (en) | System and method for providing a secured operating system execution environment | |
EP3692440B1 (en) | Systems and methods for preventing malicious applications from exploiting application services | |
US8127412B2 (en) | Network context triggers for activating virtualized computer applications | |
US20100175108A1 (en) | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit | |
US20100199351A1 (en) | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit | |
US9100440B1 (en) | Systems and methods for applying data loss prevention policies to closed-storage portable devices | |
RU2667598C1 (ru) | Контроль присутствия агента для самовосстановления | |
US20190377598A1 (en) | Data migration method and apparatus | |
US8572741B2 (en) | Providing security for a virtual machine by selectively triggering a host security scan | |
EP3797371B1 (en) | Systems and methods for controlling an application launch based on a security policy | |
WO2018212474A1 (ko) | 독립된 복원영역을 갖는 보조기억장치 및 이를 적용한 기기 | |
RU2460133C1 (ru) | Система и способ защиты компьютерных приложений | |
Sato et al. | VMBLS: Virtual machine based logging scheme for prevention of tampering and loss | |
RU2583709C2 (ru) | Система и способ устранения последствий заражения виртуальных машин | |
BRPI0505780B1 (pt) | Computer security management, such as a virtual machine or physically defined operating system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PC41 | Official registration of the transfer of exclusive right |
Effective date: 20150526 |
|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20191116 |