TW202215279A - 用於偵測儲存裝置中的惡意活動之模組和方法 - Google Patents
用於偵測儲存裝置中的惡意活動之模組和方法 Download PDFInfo
- Publication number
- TW202215279A TW202215279A TW110108901A TW110108901A TW202215279A TW 202215279 A TW202215279 A TW 202215279A TW 110108901 A TW110108901 A TW 110108901A TW 110108901 A TW110108901 A TW 110108901A TW 202215279 A TW202215279 A TW 202215279A
- Authority
- TW
- Taiwan
- Prior art keywords
- module
- neural network
- storage device
- trained neural
- controller
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 230000000694 effects Effects 0.000 title claims abstract description 48
- 238000013528 artificial neural network Methods 0.000 claims abstract description 90
- 238000013527 convolutional neural network Methods 0.000 claims description 10
- 230000003213 activating effect Effects 0.000 claims description 5
- 230000000306 recurrent effect Effects 0.000 claims description 5
- 230000004913 activation Effects 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 4
- 238000012005 ligant binding assay Methods 0.000 claims 3
- 230000015654 memory Effects 0.000 description 24
- 230000008569 process Effects 0.000 description 17
- 230000008901 benefit Effects 0.000 description 8
- 238000001514 detection method Methods 0.000 description 8
- 238000013403 standard screening design Methods 0.000 description 8
- 238000003062 neural network model Methods 0.000 description 5
- 238000005192 partition Methods 0.000 description 5
- 238000012549 training Methods 0.000 description 4
- 230000001010 compromised effect Effects 0.000 description 3
- 238000013519 translation Methods 0.000 description 3
- 230000014616 translation Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- Virology (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Human Computer Interaction (AREA)
Abstract
本文件描述用於偵測儲存裝置中之惡意活動之模組及方法,其中該模組設置於儲存裝置之一控制器內。該模組被配置以使用一經訓練神經網路來監測含有惡意活動之敏感資料或資訊的儲存裝置之檔案系統的適合的邏輯區塊位址(LBA)。
Description
本發明係關於用於偵測儲存裝置中之惡意活動之模組及方法,其中該模組設置於儲存裝置之控制器內。該模組被配置以使用經訓練神經網路來監測含有惡意活動之敏感資料或資訊的儲存裝置之檔案系統的適合的邏輯區塊位址(LBA)。
儲存裝置通常包含固態裝置(SSD)、硬碟機(HDD)、光碟機或磁碟機。無關於儲存裝置之類型,這些裝置通常藉由其邏輯區塊位址(LBA)來線性地定址。對於HDD、光碟機或磁碟機,LBA指定儲存於儲存裝置內之特定資料區塊之位置。作為一實例,LBA 0係指第一磁軌上可由磁碟機中之第一磁頭存取之第一扇區,因而,當LBA 0由主機裝置存取時,將LBA 0處所含之內容提供至主機裝置。
然而,不同於上文所描述之磁碟機,SSD包含電子可抹除且可再程式化且因而將不具有如邏輯區塊定址系統中所提及之磁軌或磁頭之非揮發性記憶體。因此,SSD必須利用如SSD之快閃記憶體控制器內所提供之快閃轉譯層(FTL)以將主機裝置之檔案系統邏輯區塊位址映射至快閃記憶體之實體位址(邏輯至實體映射)。換言之,主機裝置將仍利用現有LBA定址方法以定址SSD用於讀取/寫入/覆寫操作。來自主機裝置之命令將被FTL攔截且FTL將維持快閃記憶體之LBA與實體區塊位址(PBA)之間的關係映射。PBA將接著藉由SSD之控制器利用以進行所接收命令。
近來,SSD已變得更廣泛用作儲存裝置,此係由於SSD提供優於傳統機械硬碟機之許多優點。舉例而言,SSD比HDD快得多,且能夠遞送高達HDD 100倍之效能,且此意謂較快啟動時間及較快檔案傳送。SSD亦消耗比HDD小得多的功率,從而產生改良的功率及熱效率。因此,SSD現廣泛用於工業、醫療或軍事應用中。
通常,大多數SSD將與主機裝置一起使用,且可用以儲存主機裝置之作業系統,亦即用作主機之系統磁碟機,其中與作業系統相關聯之程式碼儲存於SSD內,且將在主機裝置啟動時被存取。當SSD用作主機之系統磁碟機時,SSD將具有儲存於邏輯區塊位址(LBA)0處之主啟動記錄(MBR),以及儲存於儲存裝置中其他處的主機裝置之作業系統程式碼。當主機裝置第一次存取儲存裝置時,指令將發送至LBA 0以指示SSD發送LBA 0處之內容至主機裝置。此使得主機裝置能夠自LBA 0讀取MBR,其中MBR將通常含有電腦可讀取程式碼,該電腦可讀取程式碼在由主機裝置執行時為主機裝置提供自儲存裝置讀取作業系統程式碼之其他部分並啟動主機裝置之能力。
替代地,SSD亦可用作輔助儲存媒體,諸如USB快閃驅動器、記憶卡或外部儲存裝置以擴展可由主機裝置存取之儲存容量。當此SSD第一次由主機裝置存取時,儲存裝置之LBA 0處之內容將向主機裝置指示此SSD將用作輔助儲存媒體。
為了存取包含於敏感應用程式內之資訊,惡意第三方已經用各種手段及方式來感染此類儲存裝置之MBR。常見方法涉及在使儲存裝置之MBR或其他啟動扇區解除加強及致使受損作業系統安裝於其內之前,惡意第三方獲得對儲存裝置之系統層級存取。
為了在儲存裝置誤置之情況下保護作業系統以免被篡改並防止存取重要私用資訊,熟習此項技術者已提出,作業系統程式碼(包括MBR)由安裝在儲存裝置內且經受鑑認程序之軟體加密,使得MBR及作業系統程式碼僅可由經授權使用者存取。因為控制器將不能夠在鑑認儲存裝置之使用者之前讀取MBR,因此儲存裝置可儲存「替代」主啟動記錄(MBR),其使得鑑認資訊將由在儲存裝置中執行之鑑認程式收集及驗證。
在成功地鑑認儲存裝置之使用者之後,儲存裝置將LBA 0重新映射至原始MBR,使得儲存裝置可接收實際MBR且正常啟動。此方法之不利方面在於,若使用者之鑑認憑證被破解,則此意謂MBR及作業系統程式碼亦將受危害。
另外,熟習此項技術者提出之解決方案需要所監測儲存裝置之作業系統、分區系統或啟動區域為已知的,且在儲存裝置可被這些解決方案充分保護之前預載入這些解決方案中。換言之,現有解決方案無法自動地識別所監測儲存裝置之作業系統、分區系統或啟動區域,且此資訊必須由使用者提供至現有監測解決方案。對於儲存裝置之控制器,儲存裝置內所含之所有資訊包含使用者之資料,且該資料為預設的,無法區分此資料。當使用者修改或不正確地選擇經監測儲存裝置之作業系統、分區系統或啟動區域時,此變得尤其成問題,且因此,儲存裝置可能無意中受損。
出於以上原因,熟習此項技術者不斷地努力提出能夠偵測儲存裝置中之惡意活動的模組及方法,即使使用者並不將儲存裝置之作業系統、分區系統或啟動區域提供至裝置之控制器。
藉由根據本發明之實施例所提供的系統及方法,以上及其他問題得到解決且本領域進一步發展。
根據本發明之模組及方法之實施例之第一優點在於模組能夠識別記憶體裝置內所安裝之作業系統之類型。
根據本發明之模組及方法之實施例之第二優點在於模組能夠自動且高效地偵測發生在儲存裝置內之特定位置內之惡意活動。
根據本發明之模組及方法之實施例之第三優點在於將在韌體層級處監測儲存裝置之邏輯區塊位址且在可偵測到並阻止惡意活動之前不需要啟動作業系統。
根據本發明之模組及方法之實施例之第四優點在於包含於儲存裝置(被配置以充當主機裝置之系統裝置)內之內容將仍受保護以免受惡意第三方影響,即使儲存裝置在模組被配置以偵測兩種組態中之惡意活動時自主機裝置移除且重新配置為輔助儲存裝置。
根據本發明之模組及方法之實施例之第五優點在於在模組實施為儲存裝置控制器之韌體之部分時,不會在作業系統層級處停用該模組。
以上優點係由以如下方式操作的根據本發明之方法之實施例提供。
根據本發明之第一態樣,揭示了一種用於偵測儲存裝置中之惡意活動之模組,其中該模組設置於儲存裝置之控制器內,該模組被配置以:自主機裝置擷取發送至該控制器之第一邏輯區塊位址(LBA0)並擷取第一LBA0處之內容,其中所擷取內容用於激活從設置於該控制器內之資料模組所擷取之經訓練神經網路;使用第一LBA0處之內容及該經訓練神經網路來識別儲存裝置之待監測之邏輯區塊位址(LBA);藉由該主機裝置將發送至經識別LBA之指令鏡射至該控制器,並鏡射經鏡射LBA之內容;使用該經訓練神經網路基於經鏡射指令及內容判定惡意活動是否正發生在儲存裝置處,其中神經網路基於與作業系統或輔助儲存操作相關聯之檔案系統之主啟動記錄、主檔案表、啟動扇區、BIOS參數區塊或經擴展BIOS參數區塊相關的LBA處之內容之平均讀取/寫入/覆寫存取來加以訓練而用於不同類型之該些作業系統或該些輔助儲存操作。
關於本發明之第一態樣,相關聯之經訓練神經網路之激活包含該模組被配置以:自第一LBA0處之內容選擇一組魔數(magic number),其中選定之該組魔數與魔數查找表一起用以判定與儲存控制器之檔案系統相關聯的作業系統之類型或輔助儲存操作之類型,其中魔數查找表自資料模組獲得;及激活經訓練神經網路以自資料模組偵測與經判定類型之作業系統或輔助儲存操作相關之惡意活動。
關於本發明之第一態樣,識別儲存裝置之待監測之LBA包含該模組被配置以:基於與經激活之經訓練神經網路相關聯的作業系統或輔助儲存操作之經判定類型而識別含有關鍵資料之LBA,其中該關鍵資料至少包含與儲存裝置相關聯之檔案系統之主檔案表、主啟動記錄、啟動扇區、BIOS參數區塊或經擴展BIOS參數區塊。
關於本發明之第一態樣,該模組進一步被配置以:使用基於經鏡射指令及內容經判定已發生在儲存裝置處之惡意活動而最佳化經訓練神經網路。
關於本發明之第一態樣,該模組進一步被配置以:回應於基於經鏡射指令及內容判定惡意活動已發生在儲存裝置處之判定而鎖定儲存裝置。
關於本發明之第一態樣,經訓練神經網路包含人工神經網路、遞回神經網路(RNN)或卷積神經網路(CNN)中之一者。
根據本發明之第二態樣,揭示了一種用於偵測儲存裝置中之惡意活動之方法,該方法包含以下步驟:利用設置於儲存裝置之控制器內之模組自主機裝置擷取發送至該控制器之第一邏輯區塊位址(LBA0);利用該模組擷取第一LBA0處之內容,其中所擷取內容用於激活從設置於該控制器內之資料模組所擷取之經訓練神經網路;利用該模組使用第一LBA0處之內容及該經訓練神經網路來識別儲存裝置之待監測之邏輯區塊位址(LBA);利用該模組藉由該主機裝置將發送至經識別LBA之指令鏡射至該控制器,並鏡射經鏡射LBA之內容;以及使用該經訓練神經網路基於經鏡射指令及內容判定惡意活動是否正發生在儲存裝置處,其中神經網路基於與作業系統或輔助儲存操作相關聯之檔案系統之主啟動記錄、主檔案表、啟動扇區、BIOS參數區塊或經擴展BIOS參數區塊相關的LBA處之內容之平均讀取/寫入/覆寫存取來加以訓練而用於不同類型之該些作業系統或該些輔助儲存操作。
關於本發明之第二態樣,相關聯之經訓練神經網路之激活包含以下步驟:利用該模組自第一LBA0處之內容選擇一組魔數,其中選定之該組魔數與魔數查找表一起用以判定與儲存控制器之檔案系統相關聯的作業系統之類型或輔助儲存操作之類型,其中魔數查找表自資料模組獲得;及利用該模組激活經訓練神經網路以自資料模組偵測與經判定類型之作業系統或輔助儲存操作相關之惡意活動。
關於本發明之第二態樣,識別儲存裝置之待監測之LBA包含以下步驟:利用該模組基於與經激活之經訓練神經網路相關聯的作業系統或輔助儲存操作之經判定類型而識別含有關鍵資料之LBA,其中該關鍵資料至少包含與儲存裝置相關聯之檔案系統之主檔案表、主啟動記錄、啟動扇區、BIOS參數區塊或經擴展BIOS參數區塊。
關於本發明之第二態樣,該方法進一步包含以下步驟:利用該模組使用基於經鏡射指令及內容經判定已發生在儲存裝置處之惡意活動而最佳化經訓練神經網路。
關於本發明之第二態樣,該方法進一步包含以下步驟:利用該模組回應於基於經鏡射指令及內容判定惡意活動已發生在儲存裝置處之判定而鎖定儲存裝置。
關於本發明之第二態樣,經訓練神經網路包含人工神經網路、遞回神經網路(RNN)或卷積神經網路(CNN)中之一者。
本發明係關於一種用於偵測儲存裝置中之惡意活動之模組及方法,其中該模組設置於該儲存裝置之控制器內。該模組被配置以使用經訓練神經網路監測儲存裝置之檔案系統之含有惡意活動之敏感資料或資訊之適合的邏輯區塊位址(LBA),其中神經網路基於與作業系統或輔助儲存操作相關聯之檔案系統之主啟動記錄、主檔案表、啟動扇區、BIOS參數區塊或經擴展BIOS參數區塊相關的LBA處之內容之平均讀取/寫入/覆寫存取來加以訓練而用於不同類型之該些作業系統或該些輔助儲存操作。
現將參考如隨附圖式中所說明的本發明之若干實施例來詳細地描述本發明。在以下描述中,闡述眾多特定特徵以便提供對本發明之實施例之透徹理解。然而,熟習此項技術者將顯而易見,實施例可在無一些或所有特定特徵之情況下實現。此類實施例亦應屬於本發明之範圍。此外,可能未詳細描述以下中之某些程序步驟及/或結構,且讀者將被稱作對應的引用,以免不必要地混淆本發明。
此外,熟習此項技術者將認識到,此描述中之許多功能單元貫穿本說明書已經標註為模組。熟習此項技術者亦將認識到,模組可實施為電路、邏輯晶片或任何類別之離散組件。再此外,熟習此項技術者亦將認識到,模組可以軟體實施,軟體可接著由各種處理器架構執行。在本發明之實施例中,模組亦可包含電腦指令、韌體或可執行程式碼,其可基於所接收指令指示電腦處理器進行一系列事件。模組之實施的選擇作為對熟習此項技術者之設計選擇而留下,且並不以任何方式限制本發明之範圍。
根據本發明之實施例的用於偵測儲存裝置中之惡意活動之例示性程序或方法在以下步驟中闡明。如藉由設置於儲存裝置之控制器內之模組實施的程序或方法之步驟如下:
步驟1:自主機裝置擷取發送至該控制器之第一邏輯區塊位址(LBA0)並擷取該第一LBA0處之內容,其中所擷取內容用於激活從設置於該控制器內之資料模組所擷取之經訓練神經網路;
步驟2:使用該第一LBA0處之內容及該經訓練神經網路來識別該儲存裝置之待監測之邏輯區塊位址(LBA);
步驟3:藉由該主機裝置將發送至經識別LBA之指令鏡射至該控制器,並鏡射經鏡射LBA之內容;
步驟4:使用該經訓練神經網路基於經鏡射指令及內容判定惡意活動是否正發生在該儲存裝置處,其中該神經網路基於與作業系統或輔助儲存操作相關聯之檔案系統之主啟動記錄、主檔案表、啟動扇區、BIOS參數區塊或經擴展BIOS參數區塊相關的LBA處之內容之平均讀取/寫入/覆寫存取來加以訓練而用於不同類型之該些作業系統或該些輔助儲存操作。
根據本發明之實施例,上文闡明之步驟可由包含於儲存裝置100之控制器105內之模組進行或執行,如圖1中所說明,其中儲存裝置100另外包含快取記憶體107、快閃記憶體110a至h及介面120。儲存裝置100可包含各種類型之固態裝置/磁碟機,快取記憶體107可包含動態隨機存取記憶體(DRAM)且用於快取使用者資料及內部SSD背景資料兩者。快閃記憶體110a至h可包含任何類型之電子非揮發性電腦記憶體儲存媒體,其可以電子方式抹除及重新程式化,諸如NAND或NOR快閃記憶體。介面120充當主機系統與儲存裝置100之間的實體介面,其中現有儲存標準及介面,諸如但不限於小電腦系統介面(SCSI)協定、串列進階附接技術(SATA)協定、串列附接SCSI(SAS)、非揮發性記憶體高速(NVMe)、周邊組件高速互連(PCIe)或任何類似介面可用作用於以通信方式將儲存裝置100連接至諸如電腦的主機裝置之鏈路。
控制器105為具有獨立處理之複雜的嵌入式系統且與包含於控制器105內之韌體及模組一起用以管理儲存裝置100之所有態樣,包括保護及控制儲存於快閃記憶體110a至h中之內容。此控制器最常實施為系統單晶片(SoC)設計,其由耦接至一或多個嵌人式處理器核心之多個硬體加速功能區塊/模組組成。
在圖2中說明包含於控制器105內之功能區塊。特定言之,圖2展示控制器105可包含微控制器205、緩衝器210、快閃介面模組(FIM)215a至c及威脅偵測模組250。微控制器205包含位於控制器105內部之處理器且經指派以接收及操控傳入資料。本文中,術語「處理器」一般用於指可處理此類指令且可包括:微處理器、微控制器、可程式化邏輯裝置或其他計算裝置之任何裝置或組件。亦即,微控制器205可由用於接收輸入、根據儲存於記憶體中之指令處理輸入並產生輸出之任何合適的邏輯電路系統提供。在此實施例中,微控制器205可為具有記憶體可定址空間之單核心處理器。緩衝器210可被視為資料模組,此係由於其可包含用於執行控制器105之韌體或儲存待由模組250存取之資料/資訊的靜態RAM(SRAM)。根據本發明之實施例,威脅偵測模組250用於在控制器105處鏡射輸入/輸出;訓練及載入適合的經訓練神經網路以偵測可在儲存裝置內發生之惡意活動及相關任務。FIM 215a至c充當控制器105與快閃記憶體110a至h之間的實體及邏輯互連件,從而允許該控制器同時與多個快閃記憶體通信。熟習此項技術者將認識到,上文所描述之各種記憶體組件包含非暫時性電腦可讀取媒體且應被視為包含除了暫時性傳播信號以外的所有電腦可讀取媒體。通常,指令在記憶體組件中儲存為程式碼,但亦可為固線式的。儘管圖中未示,但控制器105亦包含用於將LBA自主機裝置轉譯至快閃記憶體之實體區塊位址(PBA)之快閃轉譯層(FTL)。為簡潔起見,如熟習此項技術者所已知,省略FTL之詳細工作。
當啟動主機裝置(圖中未示)時且在儲存裝置100待用作主機裝置之系統裝置的假定下,其作業系統將不內含於主機裝置之ROM或RAM。其將儲存於儲存裝置100內。因而,為了有助於作業系統之載入,主機裝置將執行儲存於主機裝置之ROM中之韌體,其將向儲存裝置100之LBA「0」(LBA0)發送適合的指令。在接收定址至其LBA「0」之指令後,儲存裝置100將發送回儲存在對應於LBA「0」之實體區塊位址處之資料。在場景後,藉由儲存裝置100之控制器105所接收之邏輯區塊位址將藉由提供於控制器105內之FTL轉換成合適的實體區塊位址。然而,對於主機裝置,所有此均未被發現,且應理解,當指令定址至儲存裝置100之LBA時,LBA與PBA之間的所有必要轉譯將在控制器105中自動發生。
通常,在系統裝置中,LBA方案中之第一LBA,亦即LBA「0」可含有但並非僅限於主啟動記錄(MBR),其包含在由主機裝置執行時為主機裝置提供自儲存裝置100讀取作業系統程式碼之其他部分並啟動主機裝置之能力的電腦可讀取程式碼。LBA為共同方案,其用於指定儲存於儲存裝置100內之資料區塊之位置並為主機裝置提供簡單線性定址方法以存取儲存於儲存裝置100內之內容而主機裝置不必知道儲存裝置之實體扇區位置或PBA。因而,當藉由主機裝置存取儲存裝置之各種分區、檔案系統或任何其他特殊區域時,與這些區域相關聯之LBA將藉由主機裝置發送至儲存裝置100之控制器105,使得控制器105可使用此資訊來擷取主機裝置之相關資料/資訊。
當控制器105自主機裝置接收LBA及其相關指令並基於所接收指令將LBA之內容傳回至主機裝置時,威脅偵測模組250被配置以鏡射所有此內容,且此可藉由使所有輸入及輸出之記錄在控制器105處發生而進行。換言之,威脅偵測模組250可藉由記錄藉由控制器105所接收之指令及指令所針對之LBA而達成此情形。這些LBA處所提供之資料及/或資訊接著亦可藉由模組250記錄,之後該資料及/或資訊被發送回至請求主機裝置。
在圖3中展示如在邏輯區塊位址「0」(LBA0)處所提供之檔案系統之例示性啟動扇區。如所說明,展示啟動扇區300包含具有多個長度及其個別偏移之多個欄位。每一欄位將具有將與特定含義或命令相關聯之其自身基值。這些值可包含但不限於已經針對每一類型之作業系統/檔案系統/儲存系統基於每一特定含義/命令產生之十六進位數或魔數,且因而,每一含義或命令將與唯一值相關聯。舉例而言,「EB」之值可與「每一扇區之位元組」相關聯,「52」之值可與「每一叢集之扇區」相關聯,「67」之值可與「OEM ID」相關聯,「J9」之值可與「BPB」相關聯,「34」之值可與「經擴展BPB」相關聯,等等。
在本發明之此例示性實施例中,如圖3中所示之LBA0之資料305處所含之關鍵資訊將尤其受關注,例如可包含BIOS參數區塊(BPB)及經擴展BPB,且熟習此項技術者將認識到,此僅為實例且亦可使用LBA0處之其他內容。基於包含於資料305中之資訊,可判定關於儲存裝置之檔案系統之以下資訊:每一扇區之位元組之數目、每一叢集之扇區之數目、媒體描述符之類型、扇區之總數目、主檔案表(MFT)或其等效結構之位置、主檔案表之複本之位置、每一MFT記錄之叢集之數目、每一索引緩衝器之叢集之數目、檔案系統之類型、作業系統及卷之序號。此資訊可接著用於判定儲存裝置之檔案系統之作業系統,儲存裝置之檔案系統及/或儲存裝置之檔案系統之操作。熟習此項技術者將認識到,在不脫離本發明之情況下,其他資訊可包括於資料305內及LBA0之內容內。
根據本發明之實施例,魔數查找表可預載至快取記憶體107或緩衝器210中。如熟習此項技術者所已知,魔數係指針對特定資訊或資料產生之恆定數值。因而,魔數可用於識別特定檔案格式或協定或可指代不大可能被誤認為其他含義之獨特唯一值。在本發明之此實施例中,預載魔數查找表中魔數中之每一者指代特定類型之作業系統及/或一種類型之檔案系統,諸如輔助儲存檔案系統。應注意,此查找表可視需要週期性地更新,或每當引入新作業系統、輔助儲存檔案系統或其他類型之檔案系統時更新。魔數查找表中之資訊可接著與LBA0處發現之內容匹配且基於所得匹配,模組250可接著判定與儲存裝置相關聯之作業系統/檔案系統/儲存系統之類型。
藉此,威脅偵測模組250可接著利用此資訊激活包含於模組250內之經訓練神經網路來針對特定類型之作業系統或輔助儲存操作偵測惡意活動,此係由於每一檔案系統將具有含有關鍵內容、資訊或資料之LBA之其自身唯一清單。在本發明之實施例中,關鍵內容或記錄包含但不限於影響儲存裝置之使用者之資料、影響儲存裝置之正常操作之資料及/或任何此類類似資料。換言之,此資訊可由模組250使用以識別儲存裝置100之檔案系統中待被經訓練神經網路密切監測之LBA,其中這些LBA對於儲存裝置內安裝之類型之檔案系統可為唯一的。另外,亦可選定及載入已經最佳化以用於經識別類型之作業系統或檔案系統之經訓練神經網路。一旦上文所描述之參數已經初始化,則經激活之經訓練神經網路可接著由模組250使用以監測儲存裝置100來監測惡意活動。
在本發明之實施例中,神經網路模型提供於緩衝器210或快取記憶體107內且此神經網路可包含但不限於人工神經網路,諸如遞回神經網路(RNN)、遞歸神經網路或卷積神經網路(CNN)。此神經網路模型將在其用於偵測發生在儲存裝置之檔案系統中之惡意活動之前已經預訓練。
特定言之,神經網路模型將基於對同與每一類型之作業系統或輔助儲存檔案系統(其安裝於用作輔助儲存操作之儲存裝置中)相關聯之檔案系統之主啟動記錄、主檔案表、啟動扇區、BIOS參數區塊及/或經擴展BIOS參數區塊相關的特定LBA或PBA處之內容之平均讀取/寫入/覆寫存取已經訓練。
換言之,神經網路模型將已基於諸如以下各者的各種輸入向量而被訓練:在各種類型之作業系統及其對應檔案系統之操作期間或在儲存裝置作為輔助儲存系統之操作期間通常被存取的LBA的內容的平均讀取/寫入/覆寫存取。因而,偏離習知動作之任何活動可導致神經網路將觸發活動標記為惡意活動。經標記之惡意活動連同由這些惡意活動存取之LBA亦可用於訓練神經網路,其中可在神經網路之訓練階段期間將上述資料之組合提供至神經網路以最佳化神經網路之訓練。
在本發明之其他實施例中,經訓練神經網路可進一步使用在儲存裝置之正常操作期間偵測到之惡意活動而最佳化。此運作中最佳化步驟將大大改良神經網路之效率及有效性。
在本發明之實施例中,對各種作業系統及檔案系統之LBA之內容的平均讀取/寫入/覆寫存取可藉由在一段時間內在具有各種作業系統及檔案系統之儲存裝置之控制器處記錄輸入/輸出而獲得。平均讀取/寫入/覆寫存取亦可自第三方資源獲得且可用以訓練神經網路。
另外,由於針對各種作業系統、檔案系統及輔助儲存系統中之每一者所存取之LBA在系統之間不同,因此可產生對於這些系統中之每一者含有關鍵資料之LBA之記錄,其中關鍵資料可包含但不限於檔案系統之主檔案表或其等效檔案結構、主啟動記錄、啟動扇區、由使用者界定之關鍵區域、安全區域、BIOS參數區塊或經擴展BIOS參數區塊。此記錄可接著與經訓練神經網路模型鏈接且儲存於快取記憶體107或緩衝器210中,或替代地,可用作經提供以訓練如上文所描述之神經網路之訓練資料之部分。因此,一旦儲存裝置之功能已經識別,亦即用作系統裝置或輔助儲存裝置,則可接著自此記錄識別儲存裝置之含有關鍵資料之LBA。
綜上所述,神經網路將經訓練以保護檔案系統之某些區域且將基於實施於儲存裝置上之檔案系統之類型及含有關鍵資料之LBA而進行訓練。用以識別檔案系統之類型之資訊可自第一LBA,亦即LBA0處之內容獲得。然而,熟習此項技術者將認識到,儘管最初可在LBA0處發現相關內容,但對於某些類型之檔案系統,其可如此龐大或由於資訊經結構化之方式,其可跨越多個LBA,例如自LBA「0」至LBA「48」分佈。在本發明之實施例中,每一神經網路可針對每一類型之檔案系統經最佳化,此係由於關鍵LBA在檔案系統之間發生變化。因而,待使用之經訓練神經網路之類型可取決於儲存裝置之檔案系統且經訓練神經網路之效能可在經合適訓練之神經網路將選擇為與合適的檔案系統一起使用時更高效且有效,且此動作可被視為激活經訓練神經網路。
圖4說明根據本發明之實施例的用於偵測以通信方式連接至主機裝置之儲存裝置中之惡意活動的程序400,其中程序400可實施於如儲存裝置之控制器內所提供之威脅偵測模組250中。程序400始於步驟405,其中藉由程序400複製自主機裝置發送至該控制器之第一邏輯區塊位址(LBA)。程序400接著繼續進行以擷取第一LBA處之內容,其中所擷取內容用於激活自設置於該控制器內之資料模組擷取之經訓練神經網路。當此情況發生時,載入並激活已經最佳化用於經識別檔案系統/作業系統/儲存系統之特定神經網路。
基於所擷取內容及/或經激活之經訓練神經網路,接著在步驟410處載入含有用於相關聯檔案系統之關鍵資料的LBA之記錄。此記錄接著用於識別待藉由程序400監測之儲存裝置之LBA。在步驟415處,程序400接著在監測下鏡射發送至LBA之指令以及鏡射來自這些LBA之隨後發送至主機裝置之內容。程序400接著在步驟420處基於經鏡射指令及內容判定惡意活動是否正發生在儲存裝置處。
若程序400在步驟420處判定惡意活動正發生在儲存裝置內,則程序400將接著繼續進行至步驟425,其中將產生合適的警報或警告或替代地可鎖定儲存裝置。程序400接著結束。相對而言,若在步驟420處程序400未偵測到惡意活動,則程序400將接著結束。每當啟動儲存裝置時,程序400將接著重複自身,使得其將能夠偵測可發生之任何惡意活動。
圖5說明可在相關聯主機裝置之啟動期間實施於用於激活自資料模組擷取之經訓練神經網路之模組250中的程序500。程序500藉由自第一LBA(如在步驟405中藉由程序400複製)或其他LBA(若內容擴展超出第一LBA)處發現之內容選擇一組值或魔數而始於步驟505。接著將這些組之值或魔數與預載入至儲存裝置之快取記憶體或緩衝器中之魔數查找表進行比較。藉由匹配該組值/魔數與包含於魔數查找表中之值/魔數,程序500接著能夠判定作業系統及其檔案系統之類型或能夠判定與儲存裝置之檔案系統相關聯之系統組態之類型(例如,輔助儲存檔案系統)。在此步驟處亦識別對於經識別檔案系統至關重要之LBA,使得經訓練神經網路將意識到其必須監測這些LBA。程序500接著繼續進行以在步驟515處基於此資訊激活經訓練神經網路,由此加速經訓練神經網路之偵測速度,此係由於經訓練神經網路已經激活以與適合的檔案系統一起使用。
熟習此項技術者可確定許多其他改變、取代、變化及修改,且意欲本發明涵蓋屬於所附申請專利範圍之範疇內的所有這些改變、取代、變化及修改。
100:儲存裝置
105:控制器
107:快取記憶體
110a~110h:快閃記憶體
120:介面
205:微控制器
210:緩衝器
215a~215c:快閃介面模組(FIM)
250:威脅偵測模組
300:啟動扇區
305:資料
400:程序
405~425:步驟
500:程序
505~515:步驟
以上及其他問題藉由實施方式中所描述且在以下圖式中所展示的根據本發明之系統及方法的特徵及優點解決。
[圖1]說明根據本發明之實施例的包含於儲存裝置內之模組之方塊圖;
[圖2]說明根據本發明之實施例的包含於儲存裝置之控制器內之模組之方塊圖;
[圖3]說明根據本發明之實施例的儲存裝置中之檔案系統之例示性啟動扇區;
[[圖4]說明根據本發明之實施例的用於偵測儲存裝置中之惡意活動之程序或方法之流程圖;且
[圖5]說明根據本發明之實施例的用於激活經訓練神經網路之程序或方法之流程圖。
100:儲存裝置
105:控制器
107:快取記憶體
110a~110h:快閃記憶體
120:介面
Claims (16)
- 一種用於偵測一儲存裝置中之惡意活動之模組,其中該模組設置於該儲存裝置之一控制器內,該模組被配置以: 自一主機裝置擷取發送至該控制器之一第一邏輯區塊位址(LBA0)並擷取該第一LBA0處之內容,其中所擷取內容用於激活從設置於該控制器內之一資料模組所擷取之一經訓練神經網路; 使用該第一LBA0處之內容及該經訓練神經網路來識別該儲存裝置之待監測之邏輯區塊位址(LBA); 藉由該主機裝置將發送至經識別LBA之指令鏡射至該控制器,並鏡射經鏡射LBA之內容; 使用該經訓練神經網路基於經鏡射指令及內容判定惡意活動是否正發生在該儲存裝置處,其中神經網路基於與作業系統或輔助儲存操作相關聯之檔案系統之主啟動記錄、關鍵記錄、主檔案表、啟動扇區、BIOS參數區塊或經擴展BIOS參數區塊相關的LBA處之內容之平均讀取/寫入/覆寫存取來加以訓練而用於不同類型之該些作業系統或該些輔助儲存操作。
- 如請求項1之模組,其中相關聯之該經訓練神經網路之激活包含該模組被配置以: 自該第一LBA0處之內容選擇一組魔數,其中選定之該組魔數與一魔數查找表一起用以判定與該控制器之檔案系統相關聯的作業系統之類型或輔助儲存操作之類型,其中該魔數查找表自該資料模組獲得;及 激活該經訓練神經網路以自該資料模組偵測與經判定類型之作業系統或經判定類型之輔助儲存操作相關之惡意活動。
- 如請求項2之模組,其中激活該經訓練神經網路包含該模組被配置以選擇已經最佳化以用於與該控制器之該檔案系統相關聯的該經判定類型之作業系統或該經判定類型之輔助儲存操作之經訓練神經網路。
- 如請求項1之模組,其中識別該儲存裝置之待監測之LBA包含該模組被配置以: 基於與經激活之該經訓練神經網路相關聯的作業系統或輔助儲存操作之一經判定類型而識別含有關鍵資料之LBA,其中該關鍵資料至少包含與該儲存裝置相關聯之檔案系統之主檔案表、主啟動記錄、啟動扇區、BIOS參數區塊或經擴展BIOS參數區塊。
- 如請求項1之模組,其中該模組進一步被配置以: 使用基於該些經鏡射指令及內容經判定已發生在該儲存裝置處之惡意活動而最佳化該經訓練神經網路。
- 如請求項1或5之模組,其中該模組進一步被配置以: 回應於基於該些經鏡射指令及內容判定惡意活動已發生在該儲存裝置處之一判定而鎖定該儲存裝置。
- 如請求項1之模組,其中該經訓練神經網路包含一人工神經網路。
- 如請求項7之模組,其中該人工神經網路包含一遞回神經網路(RNN)或一卷積神經網路(CNN)。
- 一種用於偵測一儲存裝置中之惡意活動之方法,其包含以下步驟: 利用設置於該儲存裝置之一控制器內之一模組自一主機裝置擷取發送至該控制器之一第一邏輯區塊位址(LBA0); 利用該模組擷取該第一LBA0處之內容,其中所擷取內容用於激活從設置於該控制器內之一資料模組所擷取之一經訓練神經網路; 利用該模組使用該第一LBA0處之內容及該經訓練神經網路來識別該儲存裝置之待監測之邏輯區塊位址(LBA); 利用該模組藉由該主機裝置將發送至經識別LBA之指令鏡射至該控制器,並鏡射經鏡射LBA之內容;以及 使用該經訓練神經網路基於經鏡射指令及內容判定惡意活動是否正發生在該儲存裝置處,其中該神經網路基於與作業系統或輔助儲存操作相關聯之檔案系統之主啟動記錄、關鍵記錄、主檔案表、啟動扇區、BIOS參數區塊或經擴展BIOS參數區塊相關的LBA處之內容之平均讀取/寫入/覆寫存取來加以訓練而用於不同類型之該些作業系統或該些輔助儲存操作。
- 如請求項9之方法,其中相關聯之該經訓練神經網路之激活包含以下步驟: 利用該模組自該第一LBA0處之內容選擇一組魔數,其中選定之該組魔數與一魔數查找表一起用以判定與該控制器之檔案系統相關聯的作業系統之類型或輔助儲存操作之類型,其中該魔數查找表自該資料模組獲得;及 利用該模組激活該經訓練神經網路以自該資料模組偵測與經判定類型之作業系統或經判定類型之輔助儲存操作相關之惡意活動。
- 如請求項10之方法,其中激活該經訓練神經網路包含以下步驟:選擇已經最佳化以用於與該控制器之該檔案系統相關聯的該經判定類型之作業系統或該經判定類型之輔助儲存操作之經訓練神經網路。
- 如請求項9之方法,其中識別該儲存裝置之待監測之LBA包含以下步驟: 利用該模組基於與經激活之該經訓練神經網路相關聯的作業系統或輔助儲存操作之一經判定類型而識別含有關鍵資料之LBA,其中該關鍵資料至少包含與該儲存裝置相關聯之檔案系統之主檔案表、主啟動記錄、啟動扇區、BIOS參數區塊或經擴展BIOS參數區塊。
- 如請求項9之方法,其中該方法進一步包含以下步驟:利用該模組使用基於該些經鏡射指令及內容經判定已發生在該儲存裝置處之惡意活動而最佳化該經訓練神經網路。
- 如請求項9或13之方法,其中該方法進一步包含以下步驟: 利用該模組回應於基於該些經鏡射指令及內容判定惡意活動已發生在該儲存裝置處之一判定而鎖定該儲存裝置。
- 如請求項9之方法,其中該經訓練神經網路包含一人工神經網路。
- 如請求項15之方法,其中該人工神經網路包含一遞回神經網路(RNN)或一卷積神經網路(CNN)。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SG10202009754Q | 2020-10-01 | ||
| SG10202009754QA SG10202009754QA (en) | 2020-10-01 | 2020-10-01 | Module and method for detecting malicious activities in a storage device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI751928B TWI751928B (zh) | 2022-01-01 |
| TW202215279A true TW202215279A (zh) | 2022-04-16 |
Family
ID=73698205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW110108901A TWI751928B (zh) | 2020-10-01 | 2021-03-12 | 用於偵測儲存裝置中的惡意活動之模組和方法 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US11055443B1 (zh) |
| EP (1) | EP3979118B1 (zh) |
| JP (1) | JP7202030B2 (zh) |
| KR (1) | KR102363182B1 (zh) |
| CN (1) | CN114282228B (zh) |
| AU (1) | AU2021204804B1 (zh) |
| CA (1) | CA3126591A1 (zh) |
| IL (1) | IL286431B2 (zh) |
| SG (1) | SG10202009754QA (zh) |
| TW (1) | TWI751928B (zh) |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8490194B2 (en) | 2006-01-31 | 2013-07-16 | Robert Moskovitch | Method and system for detecting malicious behavioral patterns in a computer, using machine learning |
| CN103853979B (zh) | 2010-12-31 | 2018-01-16 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| US9317690B2 (en) * | 2011-03-28 | 2016-04-19 | Mcafee, Inc. | System and method for firmware based anti-malware security |
| CN106021147B (zh) * | 2011-09-30 | 2020-04-28 | 英特尔公司 | 在逻辑驱动器模型下呈现直接存取的存储设备 |
| US9185079B2 (en) * | 2011-12-22 | 2015-11-10 | Intel Corporation | Method and apparatus to tunnel messages to storage devices by overloading read/write commands |
| WO2013095573A1 (en) * | 2011-12-22 | 2013-06-27 | Intel Corporation | Activation and monetization of features built into storage subsystems using a trusted connect service back end infrastructure |
| EP2795521A4 (en) * | 2011-12-22 | 2015-08-26 | Intel Corp | SYSTEMS AND METHODS OF PROVIDING MALWARE SOFTWARE PROTECTION AND MALWARE SEARCHING IN STORAGE DEVICES |
| CN102737186B (zh) | 2012-06-26 | 2015-06-17 | 腾讯科技(深圳)有限公司 | 恶意文件识别方法、装置及存储介质 |
| US9639275B2 (en) * | 2014-08-06 | 2017-05-02 | Seagate Technology Llc | Managing data within a storage device based on file system metadata |
| US10198595B2 (en) * | 2015-12-22 | 2019-02-05 | Walmart Apollo, Llc | Data breach detection system |
| US10121010B2 (en) * | 2016-05-12 | 2018-11-06 | Endgame, Inc. | System and method for preventing execution of malicious instructions stored in memory and malicious threads within an operating system of a computing device |
| CN107742079B (zh) | 2017-10-18 | 2020-02-21 | 杭州安恒信息技术股份有限公司 | 恶意软件识别方法及系统 |
| US10963394B2 (en) * | 2018-04-16 | 2021-03-30 | Samsung Electronics Co., Ltd. | System and method for optimizing performance of a solid-state drive using a deep neural network |
| US10944789B2 (en) | 2018-07-25 | 2021-03-09 | Easy Solutions Enterprises Corp. | Phishing detection enhanced through machine learning techniques |
| US10769018B2 (en) * | 2018-12-04 | 2020-09-08 | Alibaba Group Holding Limited | System and method for handling uncorrectable data errors in high-capacity storage |
-
2020
- 2020-10-01 SG SG10202009754QA patent/SG10202009754QA/en unknown
- 2020-12-11 US US17/119,348 patent/US11055443B1/en active Active
- 2020-12-11 EP EP20213607.3A patent/EP3979118B1/en active Active
-
2021
- 2021-03-12 TW TW110108901A patent/TWI751928B/zh active
- 2021-04-08 CN CN202110377934.7A patent/CN114282228B/zh active Active
- 2021-07-08 AU AU2021204804A patent/AU2021204804B1/en active Active
- 2021-08-02 CA CA3126591A patent/CA3126591A1/en active Pending
- 2021-08-11 JP JP2021130997A patent/JP7202030B2/ja active Active
- 2021-09-14 IL IL286431A patent/IL286431B2/en unknown
- 2021-09-28 KR KR1020210127969A patent/KR102363182B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| CN114282228A (zh) | 2022-04-05 |
| SG10202009754QA (en) | 2020-11-27 |
| KR102363182B1 (ko) | 2022-02-14 |
| NZ778067A (en) | 2021-08-27 |
| IL286431A (en) | 2022-04-01 |
| TWI751928B (zh) | 2022-01-01 |
| US11055443B1 (en) | 2021-07-06 |
| CN114282228B (zh) | 2022-11-01 |
| EP3979118B1 (en) | 2023-06-07 |
| JP7202030B2 (ja) | 2023-01-11 |
| EP3979118C0 (en) | 2023-06-07 |
| JP2022059563A (ja) | 2022-04-13 |
| CA3126591A1 (en) | 2022-04-01 |
| IL286431B2 (en) | 2024-01-01 |
| IL286431B1 (en) | 2023-09-01 |
| EP3979118A1 (en) | 2022-04-06 |
| AU2021204804B1 (en) | 2021-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107632939B (zh) | 用于存储装置的映射表 | |
| JP5405513B2 (ja) | メモリシステム、不揮発性記憶装置、不揮発性記憶装置の制御方法、及びプログラム | |
| US7895394B2 (en) | Storage system | |
| TW201619971A (zh) | 耦合至主機dram之綠能與非固態硬碟(nand ssd)驅動器、gnsd應用程式及其操作方法和電腦系統主機、增加非揮發快閃記憶儲存器耐久性之方法 | |
| US9529805B2 (en) | Systems and methods for providing dynamic file system awareness on storage devices | |
| KR20150114363A (ko) | 스토리지 시스템, 그것의 쓰기 방지 수행 방법, 그리고 그것의 쓰기 방지 인증 방법 | |
| TWI498738B (zh) | 檔案保護方法與系統及其記憶體控制器與記憶體儲存裝置 | |
| US8433847B2 (en) | Memory drive that can be operated like optical disk drive and method for virtualizing memory drive as optical disk drive | |
| US20140219041A1 (en) | Storage device and data processing method thereof | |
| TWI446172B (zh) | 記憶體儲存裝置、其記憶體控制器與存取方法 | |
| US11644983B2 (en) | Storage device having encryption | |
| US8776232B2 (en) | Controller capable of preventing spread of computer viruses and storage system and method thereof | |
| US20140281581A1 (en) | Storage Device | |
| TWI751928B (zh) | 用於偵測儲存裝置中的惡意活動之模組和方法 | |
| JP2015053075A (ja) | メモリシステム、情報処理装置および記憶装置 | |
| US20240045597A1 (en) | Storage device and operation method thereof | |
| KR102425470B1 (ko) | 데이터 저장 장치 및 그것의 동작 방법 | |
| JP5649709B2 (ja) | メモリシステム、不揮発性記憶装置、不揮発性記憶装置の制御方法およびプログラム | |
| US11314453B2 (en) | Memory system managing map data based on risk of malware—infection of host, and operating method thereof | |
| NZ778067B2 (en) | Module and method for detecting malicious activities in a storage device | |
| JP2006018602A (ja) | 3.5インチ定形型ディスク形状を持ったデータトランスミッション装置 | |
| NZ778588A (en) | Systems and methods for processing metadata | |
| US10019574B2 (en) | Systems and methods for providing dynamic file system awareness on storage devices | |
| Cui et al. | Towards trustable storage using SSDs with proprietary FTL | |
| US20220327245A1 (en) | Data storage device and method of access |