TW201305842A

TW201305842A - 在儲存裝置上即時監控檔案系統以維護安全的方法與裝置

Info

Publication number: TW201305842A
Application number: TW100126986A
Authority: TW
Inventors: Shih-Wei Chien
Original assignee: Lionic Corp
Priority date: 2011-07-29
Filing date: 2011-07-29
Publication date: 2013-02-01

Abstract

本發明係揭露一種用於外接儲存裝置的安全系統，而無需用戶端電腦裝置的介入。具體而言，本發明之一實施例揭露了一種方法，該方法包含有：在一外接儲存裝置內，建立與維持一個檔案系統的必要資料，即時監控一區塊層級的指令與資料，並檢驗該區塊層級的指令與資料在該檔案系統中所對應之一個檔案；以及該檔案是否有風險來對該檔案進行一動作。

Description

在儲存裝置上即時監控檔案系統以維護安全的方法與裝置

本發明揭露關於電腦安全防護科技，尤指一種用於維護儲存裝置安全的方法與裝置。

所謂的「惡意軟體(malware)」係被設計用於在不需要使用者同意的情況下滲透或傷害一用戶端電腦的一軟體或程式。惡意軟體包含有電腦病毒(virus)、電子蠕蟲(worm)、特洛伊木馬病毒(trojan horses)、間諜軟體(spyware)、詐欺的廣告軟體(dishonest adware)以及其他具有惡意的或不想要的軟體，一般而言，惡意軟體會利用霸佔該用戶端電腦的資源來中斷該用戶端電腦的運作，並且經常使得該用戶端電腦無法使用。

一般的外接儲存裝置100(如第一圖所繪)包含一儲存媒體102，可以是NOR/NAND快閃記憶體(Flash)、硬碟(Hard Disk)、固態硬碟(Solid State Drive)以及磁帶(Magnetic Tape)等；一介面控制器104，一般常見的介面為USB、eSATA等等；以及一個媒體控制器106用來直接控制讀寫儲存媒體。此外接儲存裝置100透過電纜線110連接於主電腦120，並接受主電腦傳送過來的指令與資料，或是回傳狀態或讀取的資料。實務上介面控制器104和媒體控制器106也常被整合成一個單一的元件。

從主電腦作業系統的觀點，外接儲存裝置通常被定義為一個區塊裝置(Block Device)，並且在其上建立並維護一個檔案系統，例如FAT，NTFS，ext2等等。如第二圖所繪，主電腦220內包含介面控制器222透過纜線230以連接到外接儲存裝置200。應用程式228於主電腦220中所操作的是檔案，但實際上一個檔案是由作業系統226中所定義，並透過檔案系統210的規畫，實際儲存於一個或多個儲存媒體區塊(Block)210中。檔案系統本身的資料結構也是儲存於一個或多個儲存媒體區塊(Block)210中。當外接儲存裝置200連接到主電腦220時，作業系統226會讀取儲存媒體區塊210，辨認出檔案系統210的類別，也會儲放一些關於檔案系統210的資訊(如快取，檔案列表等)於主機的記憶體224中。外接儲存裝置200內的媒體控制器202通常並沒有檔案的認知，而是基於區塊208來進行操作。

有一部份的惡意軟體會透過外接儲存裝置來傳播，因為外接儲存裝置的可攜性。一旦在某一台電腦感染到惡意程式，透過外接儲存裝置，也感染到外接儲存裝置上的資料或程式。當連接到另外一台電腦時，當此電腦讀取該外接儲存裝置時，很容易因為自動開啟(Autorun)或是使用者開啟或執行該外接儲存裝置上受感染的檔案，因而蔓延感染到該電腦。

傳統上的作法有幾種：其中一種最常見的是在每一台電腦都安裝防毒軟體，但是因為作業環境的複雜性，電腦上可能執行各種不同的作業系統，甚至電腦本身可以是嵌入式設備(Embedded Device)例如說網路儲存裝置(Network Attached Storage，NAS)，並不一定能找到可相應的防毒軟體，此外，大規模部署的成本也很高。另外一種方法為預置防毒軟體於外接儲存裝置中，每次接上外接儲存裝置時，就先執行上面的防毒軟體，不過該方法如同之前的作法，一樣會有作業系統分歧性與適用性的問題。還有為了避免自動執行(Autorun)造成的自動傳染，一個作法是透過關掉作業系統的自動執行功能，但是這樣並不能避免使用者手動開啟受感染檔案的風險。另外，還有一種特別的作法為透過特殊的驅動程式，管控外接儲存裝置的讀取與寫入，並於主電腦作業系統中攔截可能的惡意軟體。這個方法可以視為另外一種防毒軟體，不過由於驅動程式與作業系統的高依存性，同樣地，這個方法也是無法克服作業系統分歧性與適用性的問題。

另外比較相關的是中華民國專利證書號M354832，王平等人所發明之”防毒隨身碟”。在這個專利中，發明人介紹了”有關於一種防毒隨身碟，其包括有本體、記憶體(Memory)及微控制器(MCU)，其本體一端設有傳輸介面，而本體之側面則設有顯示單元及開關，而記憶體(Memory)係置入本體內，並與傳輸介面電性連結，其內建有防毒程式及操作系統程式，另外，微控制器(MCU)係與記憶體(Memory)、顯示單元及開關分別電性連結，此內建防毒軟體在與電腦連線前，可主動先進行掃毒，降低電腦和隨身碟之間中毒的機會，以保障自己與別人電腦的安全。”然而此發明仍然需要使用者手動開啟開關，以進行掃描。這與本發明利用全時監控外接儲存媒體以保障使用者安全的作法不同。

如上所述，傳統的方法沒有辦法很周全地在各種應用環境下避免惡意軟體利用外接儲存裝置的傳播，因此目前非常需要一種有效且簡單部署的方法與系統在一外接儲存裝置上去解決這樣的問題。

本發明係揭露一種用於外接儲存裝置的方法與裝置。其中，本發明之一實施例揭露了一種方法，該方法包含有：在一外接儲存裝置內，建立與維持一個檔案系統的必要資料，即時監控一區塊層級的指令與資料，並檢驗該區塊層級的指令與資料在該檔案系統中所對應之一個檔案；以及該檔案是否有風險來對該檔案進行一動作。

本發明的方法與裝置之一優勢在於可以防止惡意軟體或機密資料利用外接儲存裝置的散播，而無需用戶端電腦裝置的介入。具有跨平台的適應性與部署的簡易性，並且能有效確保儲存於外接儲存裝置上的資料免於感染的風險。

在本說明書中有許多與電腦系統以及資料儲存科技相關的各種名詞，例如通用序列匯流排(Universal Serial Bus，USB)，整合式磁碟電子介面(Integrated Drive Electronics，IDE)，外接序列進階技術接取(external serial ATA，eSATA)，外接硬碟盒(external HDD device)。本發明之一實施例係以用於一外接儲存裝置的一程式產品來實現，該程式產品的程式係定義一些實施例(包含有這裡所描述的一些方法)的功能，並且可以被包含在各種的電腦可讀媒體(machine-readable storage media)上。關於這裡所使用的「電腦可讀媒體」包含有但不限定於：(i)儲存有唯讀資訊的不可寫入之儲存媒體(例如一CD-ROM光碟機可以讀取的一CD-ROM光碟片、一DVD光碟機可以讀取的一DVD光碟片、或在一網路裝置中的唯讀記憶裝置，例如唯讀記憶晶片或任何種類的固態非揮發性半導體記憶體)；(ii)儲存有可修改資訊的可寫入之儲存媒體(例如快閃記憶體或任何種類的固態隨機存取半導體記憶體)。當這樣的電腦可讀媒體具有用於指示本發明之功能的電腦可讀之指令時，是屬於本發明之實施例。其他的媒體包含有經由一網路裝置傳送資訊的通訊媒體，例如經由一電腦、電話網路或無線通訊網路傳送資訊的通訊媒體。後者的實施例具體地包含有傳輸資訊到網際網路以及其他網路或從網際網路以及其他網路傳輸資訊。當這樣的通訊媒體具有用於指示本發明之功能的電腦可讀之指令時，是屬於本發明之實施例。

第3圖所繪示的係為依據本發明之一實施例舉例說明一USB外接儲存裝置，其中一安全檢查模組監控從主電腦傳送過來的指令與資料，如第3圖所示，一USB外接快閃記憶體磁碟(USB Flash Disk) 300包含有一USB介面控制器302、一快閃記憶體控制器304、一快閃記憶體306以及一安全檢查模組310。並於快閃體306上被畫分成多個區塊308，其中包含參數區塊(parameter block)儲存關於儲存媒體本身的格式資訊與檔案系統的類別等資訊。當此USB外接快閃記憶體磁碟(USB Flash Disk) 300接上主電腦時，安全檢查模組310會先透過快閃記憶體控制器304讀取快閃記憶體306上的參數區塊(parameter block)並得知該快閃記憶體上的檔案系統的類別。當主電腦透過USB介面控制器302傳送過來的指令與資料時，安全檢查模組310會監控以及過濾是否該指令是否觸發更進一步的安全檢查動作。舉例來說，如果指令是寫入一個快閃記憶體區塊，且該區塊又被設定為屬於一檔案的最後一個區塊，則安全檢查模組310將會依序檢查屬於該檔案的所有區塊，如果有發現有惡意特徵，則阻止該指令完成。或是當發現有惡意特徵，主動將這些區塊填入一些代碼(譬如說0x00的值)以摧毀該受感染檔案。此外，安全檢查模組310也可以對受感染檔案進行修復。

第4圖所繪示的係為依據本發明之一實施例舉例更進一步說明安全檢查模組的功能。此實施例中的一安全檢查模組400，係以一微處理器402為主體，並有一信號監控模組408和一媒體控制模組410耦接於微處理器402，並有一動態記憶體404提供微處理器402運行時使用，而一靜態記憶體406則存放程式碼，設定與特徵資料庫。信號監控模組408一端耦接於一介面控制器414(介面控制器不包含於安全檢查模組中，在此圖中出現只是方便說明)，一端藕接至媒體控制模組410。而媒體控制模組410的另一端則藕接於一媒體控制器416(媒體控制器不包含於安全檢查模組中，在此圖中出現只是方便說明)。

在初始階段，微處理器402從靜態記憶體406載入程式碼到動態記憶體404並且開始執行程式碼，第5圖所繪示的係為一流程圖500用來說明第4圖微處理器404的程式碼流程。如步驟502，首先會透過媒體控制模組410下指令給媒體控制器416去讀取儲存媒體上的參數區塊(parameter block)並得知該儲存媒體上的檔案系統的類別。此外，如步驟504，程式碼也可以包含讀取檔案系統並儲存一些資料結構於動態記憶體404以利後續作業的進行。然後依步驟506，微處理器402會將想要監控與攔截的模式交付信號監控模組408。信號監控模組408會持續監控主電腦透過介面控制器414發送過來的一指令與資料。如果該指令與資料符合事先定義的模式，則會觸發微處理器402介入處理，反之則不做任何動作直接傳遞給媒體控制模組410。

當微處理器402如步驟508持續檢查觸發信號，當處理一區塊指令與資料符合模式而觸發微處理器402，舉例來說，如果指令是寫入一個快閃記憶體區塊，且該區塊又被設定為屬於一檔案的最後一個區塊，則微處理器402會攔截指令與資料，並且透過媒體控制模組410下指令給媒體控制器416去讀取或寫入儲存媒體上的資料。微處理器402上執行的動作為：如步驟510依序讀取該指令所對應的一檔案的所有在儲存媒體上的區塊，並且如步驟512比對這些區塊是否跟特徵資料庫的任一特徵有所匹配。如果發現有特徵為惡意程式或機密資料，則可以如步驟514進行一系列響應的動作，反之則進行步驟516。這些動作可包含：阻擋該區塊指令與資料，並不要將其轉發給媒體控制模組410；回傳錯誤代碼(Error code)給信號監控模組408，讓主電腦知道該區塊指令不能被完成；或者主動將這些區塊填入一些代碼(譬如說0x00的值)以摧毀該受感染檔案。此外，微處理器402也可以對受感染檔案進行修復或是透過檔案系統的修改搬移到隔離區。如步驟516，微處理器402會檢查屬於該檔案的所有區塊是否已經都已經檢查過了，若是則如步驟518將該區塊指令轉發給直接傳遞給媒體控制模組410，反之則繼續執行步驟510。

第6圖所繪示的係為依據本發明之一實施例舉例另一種安全檢查模組的功能。此實施例中的一安全檢查模組600，係以一硬體電路(Hardwire circuit)信號監控與內容比對模組602為主體，並有一媒體控制模組604耦接於信號監控與內容比對模組602，並有一動態記憶體606提供信號監控與內容比對模組602運行時使用。信號監控與內容比對模組602一端耦接於一介面控制器608(介面控制器不包含於安全檢查模組600中，在此圖中出現只是方便說明)，一端藕接至媒體控制模組604。而媒體控制模組604的另一端則藕接於一媒體控制器610(媒體控制器不包含於安全檢查模組600中，在此圖中出現只是方便說明)。在此實施例中，信號監控與內容比對模組602也可以包含媒體控制模組604成為一個整合的模組。

第7圖所繪示的係為一流程圖700用來說明第6圖信號監控與內容比對模組602的流程。在初始階段，如步驟702信號監控與內容比對模組602會先會透過媒體控制模組604下指令給媒體控制器610去讀取儲存媒體上的參數區塊(parameter block)並得知該儲存媒體上的檔案系統的類別。此外，如步驟704，程式碼也可以包含讀取檔案系統並儲存一些資料結構於動態記憶體606以利後續作業的進行。然後依步驟706，信號監控與內容比對模組602會透過媒體控制模組604下指令給媒體控制器610去讀取儲存媒體上的特徵資料庫，特徵資料庫在此例中可以是一些字串的集合，而這些字串是文件中用來決定文件分類的依據，例如某一字串屬於高機密等級，另一字串屬於普通等級。如步驟708信號監控與內容比對模組602會持續監控主電腦透過介面控制器608發送過來的一指令與資料。如步驟710中，如果有一指令與資料產生，則信號監控與內容比對模組602會先暫時緩衝此一指令與資料，並如步驟712，將資料與特徵資料庫進行比對，比對方法可以利用各種內容比對技術。如果該指令與資料符合特徵資料庫裡面的一特徵字串，則信號監控與內容比對模組602會依該特徵字串所的定義如步驟716進行一響應動作。該響應動作可包含：阻擋該區塊指令與資料，並不要將其轉發給媒體控制模組604；回傳錯誤代碼(Error code)給介面控制器608，讓主電腦知道該區塊指令不能被完成。如果該區塊指令與資料不吻合任何特徵資料庫，如步驟714將該區塊指令和資料轉發給媒體控制模組604。

第8圖所繪示的係為一流程圖800用來說明第6圖信號監控與內容比對模組更新特徵資料庫的流程。如步驟802主電腦端開始寫入特徵資料庫，如步驟804信號監控與內容比對模組602會持續監控主電腦透過介面控制器608發送過來的一指令與資料，如果該指令是屬於特徵資料庫檔案，則如步驟806，信號監控與內容比對模組602會讀取該特徵資料庫，並如步驟808檢查該特徵資料庫是否完整正確，檢查的方法可以利用加密/編碼等手段。如果該特徵資料資料庫並不完整或者來源無法通過驗證，則如步驟810忽略該檔案。反之則如步驟812將該檔案複製到一特定檔案名稱，然後如步驟814再從該特定檔案載入新的特徵資料庫。

以上所述僅為本發明之較佳實施例，凡依本發明申請專利範圍所做之均等變化與修飾，皆應屬本發明之涵蓋範圍。

100．．．外接儲存裝置

102．．．儲存媒體

104．．．介面控制器

106．．．媒體控制器

110．．．電纜線

202．．．儲存媒體

204．．．介面控制器

206．．．媒體控制器

208．．．儲存媒體區塊

210．．．檔案系統

222．．．主電腦端介面控制器

226．．．作業系統

228．．．應用程式

230．．．電纜線

214．．．腳本程式

300．．．USB外接快閃記憶體磁碟

302．．．USB介面裝置控制器

304．．．快閃記憶體控制器

306．．．快閃記憶體

308．．．快閃記憶體區塊

310．．．安全檢查模組

400．．．安全檢查模組

402．．．微處理器

404．．．動態記憶體

406．．．靜態記憶體

408．．．信號監控模組

410．．．媒體控制模組

414．．．介面控制器

416．．．媒體控制器

600．．．安全檢查模組

602．．．信號監控與內容比對模組

604．．．媒體控制模組

606．．．動態記憶體

608．．．介面控制器

610．．．媒體控制器

第1圖所繪示的係為舉例說明一現行外接儲存裝置的組成狀況。

第2圖所繪示的係為舉例說明一現行外接儲存裝置的組成狀況與系統端電腦的連結狀況。

第3圖所繪示的係為依據本發明之一實施例舉例說明一外接儲存裝置的系統組成。

第4圖所繪示的係為依據本發明之一實施例舉例說明一外接儲存裝置的安全檢查模組。

第5圖係依據本發明之一實施例繪示一流程圖來舉例說明一外接儲存裝置的安全檢查模組的處理流程。

第6圖所繪示的係為依據本發明之一實施例舉例另一種安全檢查模組的功能。

第7圖係依據本發明之另一實施例繪示一流程圖用來說明一信號監控與內容比對模組的處理流程。

第8圖係依據本發明之另一實施例繪示一流程圖用來說明一信號監控與內容比對模組進行一更新特徵資料庫的流程。