CN107004087B - 用于自修复的代理存在 - Google Patents

用于自修复的代理存在 Download PDF

Info

Publication number
CN107004087B
CN107004087B CN201480082168.XA CN201480082168A CN107004087B CN 107004087 B CN107004087 B CN 107004087B CN 201480082168 A CN201480082168 A CN 201480082168A CN 107004087 B CN107004087 B CN 107004087B
Authority
CN
China
Prior art keywords
remedial action
management agent
band management
monitored
security controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201480082168.XA
Other languages
English (en)
Other versions
CN107004087A (zh
Inventor
S·塔库尔
A·K·伯格拉普
H·辛格
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Masa Robra Usa LLC
Original Assignee
McAfee LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by McAfee LLC filed Critical McAfee LLC
Priority to CN202110411242.XA priority Critical patent/CN113221102A/zh
Publication of CN107004087A publication Critical patent/CN107004087A/zh
Application granted granted Critical
Publication of CN107004087B publication Critical patent/CN107004087B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

在一个或多个示例中,公开了一种检测用于自修复的代理存在的***和方法。
Figure DDA0001253676750000011
AMT等带外监视进程或者在协处理器上执行的固件中的任何进程都可以监视一个或多个进程,以便确定某个进程是否出故障或者以其他方式满足安全准则。可以将崩溃的进程报告给企业安全控制器(ESC)。ESC可注意到受影响的机器的趋势并指示所述机器采取适当的补救动作,比如从补救映像中进行引导。

Description

用于自修复的代理存在
技术领域
本申请涉及计算机安全领域,并且更具体地涉及一种检测用于自修复的代理存在的***和方法。
背景技术
企业中被感染的/发生故障的***可能需要手动辅助和故障排除以修正其问题。有时,如果***感染了病毒或其他恶意应用程序,它可能变成爆发的源或受害者。因此,可能需要手动地补救所述***,这可能是昂贵而耗时的。此外,在所述机器正在等待补救时,它可能感染其他机器。
附图说明
当与附图一起阅读时,将从以下详细描述中更好地理解本公开。强调的是,根据行业中的标准实践,不同特征未按比例绘制,并且仅用于说明性目的。实际上,为了讨论的清晰起见,可以任意地放大或者减小各种特征的尺寸。
图1是根据本说明书的一个或多个示例的网络的框图。
图2是根据本说明书的一个或多个示例的客户端设备的框图。
图3是根据本说明书的一个或多个示例的服务器设备的框图。
图4是根据本说明书的一个或多个示例的方法的流程图。
具体实施方式
概述
在一个或多个示例中,公开了一种检测用于自修复的代理存在的***和方法。诸如
Figure GDA0002327565050000011
AMT等带外监视进程或者在协处理器上执行的固件中的任何进程都可以监视一个或多个进程,以便确定某个进程是否出故障或者以其他方式满足安全准则。可以将崩溃的进程报告给企业安全控制器(ESC)。ESC可注意到受影响的机器的趋势并指示所述机器采取适当的补救动作,比如从补救映像中进行引导。
本公开的示例实施例
以下公开内容提供了用于实施本公开的不同特征的许多不同实施例或示例。以下描述了部件和安排的具体示例以便简化本公开。当然,这些仅是示例并且并不旨在是限制性的。另外,本公开在各种示例中可以重复参考标号和/或字母。这种重复是出于简明性和清楚性的目的,并且本身并不决定所讨论的各种实施例和/或配置之间的关系。
不同实施例可以具有不同优点,并且不必需要任何实施例的特定优点。
在一方面安全专家和终端用户与另一方面恶意软件作者之间不断演化的军备竞赛中,对于恶意行为者而言,有用的技术是在存储器内识别反病毒引擎、反恶意软件引擎或其他***管理代理,并且试图禁用、卸载、损坏或以其他方式危害它。如果保护所述设备的软件被禁用,则所述恶意软件可以执行而不受惩罚。在一些情况下,恶意软件对象甚至可以启动监视进程,所述监视进程持续地监视反病毒代理恢复,并且如果进程恢复则再次终止所述进程。它还可能尽力阻止反病毒更新,并且以其他方式干扰启动处理恶意软件对象的补救进程的任何尝试。
当用户变得了解针对其机器的这种狡诈行为后,他仅有的实际资源可以通知企业安全人员,从而使得他们然后可以手动地隔离所述机器并且进行补救。这种进程可能是昂贵而麻烦的。
然而,在本说明书中认识到,如果不是在个别情况中,至少是在若干机器的聚合中,干扰***管理代理或其他关键进程可以自身成为恶意软件的存在的可靠指示符。因此,如果可以监视所述***,并且检测禁用或以其他方式阻碍关键进程的尝试,则可以从服务器发起自动补救。
然而,应该注意的是,恶意软件攻击不是关键进程可能遭遇错误或问题的唯一原因。例如,关键应用程序可能由于页面错误、存储器错误、硬件故障、普通缺陷或异常输入(仅列出一些非限制性示例)而崩溃。因此,仅通过监视关键进程在单个机器上检测恶意软件可能是困难的。然而,如果ESC监视许多机器并且在短时间内在若干机器上检测相似故障,则这可以是某些东西出现差错的可靠标识符。
根据本说明书,安全管理员可以定义安全策略,包括定义应该由带外管理代理监视的一个或多个关键应用程序的列表。如果带外管理代理检测到与任何被监视应用程序相关的安全事件,则它可以将所述事件报告给ESC。如果ESC确定所述事件可能是由恶意软件引起的,则它可以将指令提供给带外管理代理,比如,指示它从网络共享中检索补救映像并且利用补救映像重新引导所述机器。补救映像可以包含最新的病毒定义,并且可以具有用于扫描硬盘并移除恶意软件对象的实用程序。
在一个示例中,可以通过
Figure GDA0002327565050000031
VproTM或相似的安全协处理器以及相关联的固件来提供带外监视。贯穿本说明书,带外管理代理旨在包括VproTM协处理器或者能够带外监视***应用程序的任何相似或等效的硬件、软件和/或固件。在某些实施例中,带外监视可以发生在可信执行环境(TEE)内。带外管理引擎可以监视已配置列表上的所有进程,并且如果所述进程中的任一进程崩溃或以其他方式遭遇错误,则立即报告给企业安全控制器。
尽管带外管理引擎可能不能通过自身确定关键***崩溃的原因,但企业安全控制器能够聚合相关和有用信息以便确定例如恶意软件爆发已经发生。例如,如果大量主机突然并几乎同时失去它们的反病毒代理,则企业安全控制器可以确定恶意软件爆发可能在进行中,并采取适当的补救动作。
可以通过检测同一被监视代理的几乎同时崩溃的多个实例来简化企业安全控制器处的决策。例如,可以认为单个机器上的反病毒代理由于某个错误而偶尔崩溃是相对正常的。然而,两个不同机器上的反病毒引擎的几乎同时的崩溃应当罕见得多。三个或更多机器的几乎同时的崩溃可以以高可信度来指示恶意软件活动正在进行。
一旦以适当级别的可信度确定一个或多个机器可能正在遭受恶意软件爆发,则可以采取适当的补救动作。例如,所述机器可以被放置在***防御模式中,其中,它们在网络上的活动是极其有限的。它们还可以被短暂地放置在无法访问企业计算资源的受保护子网络中,从而可以迅速地防止所述爆发进一步扩散。一旦主机被放置在***防御模式中,它可能被限制于只有少量活动,比如,联系补救服务器以下载补救映像。
在某些实施例中,
Figure GDA0002327565050000041
VproTM提供(“开箱即用”)被称为“代理存在”的特征,所述特征可以被配置成用于监视特殊进程,并且如果那个进程出故障,则报告给企业安全控制器。
现在将具体地参照所附附图来描述通过检测代理存在而用于补救的***和方法。
图1是根据本说明书的一个或多个示例的安全企业100的网络层次图。在图1的示例中,多个用户120操作多个客户端设备110。具体地,用户120-1操作台式计算机110-1。用户120-2操作膝上型计算机110-2。并且用户120-3操作移动设备110-3。
每台计算设备可以包括适当的操作***,比如微软视窗操作***、Linux操作***、安卓操作***、Mac OSX操作***、苹果iOS操作***、Unix操作***等。相比一种类型的设备,可能在另一种类型的设备上更经常地使用前述项中的一些项。例如,台式计算机110-1(其在一个实施例中可以是工程工作站)更有可能使用微软视窗操作***、Linux操作***、Unix操作***或Mac OSX操作***之一。膝上型计算机110-2(其通常为具有较少定制选项的便携式现有设备)更有可能运行微软视窗操作***或Mac OSX操作***。移动设备110-3更有可能运行安卓操作***或iOS操作***。然而,这些示例并不旨在是限制性的。
客户端设备110可以经由企业网络170而彼此通信地耦合以及耦合到其他网络资源。企业网络170可以是任何合适的网络或在一个或多个网络协议上操作的一个或多个网络的组合,通过非限制性示例,包括例如,局域网、内联网、虚拟网、广域网、无线网、蜂窝网或互联网(经由代理、虚拟机或其他相似安全机制可选择地访问)。企业网络170还可以包括一个或多个服务器、防火墙、路由器、交换机、安全装置、反病毒服务器或其他有用的网络设备。在此展示中,为了简单企业网络170被示为单一网络,但在一些实施例中,企业网络170可以包括大量网络,比如,连接至互联网的一个或多个企业内联网。企业网络170还可以经由外部网络172提供对外部网络(比如,互联网)的访问。类似地,外部网络172可以是任何合适类型的网络。
配置为企业安全控制器(ESC)140的一个或多个计算设备还可以在企业网络170上操作。ESC 140可以为令人敬畏的安全管理员150提供用户界面以定义企业安全策略,所述ESC 140可以实施企业网络170并跨客户端设备120。在一个非限制性示例中,ESC 140可以是或者可以包括
Figure GDA0002327565050000051
e策略协调器(ePO)安全装置。
安全企业100可能在网络上遭遇多种“安全对象”。安全对象可以是在企业网络170上操作或与其交互的并且具有实际或潜在安全影响的任何对象。在一个示例中,对象可以被广泛地分成硬件对象和软件对象,所述硬件对象包括与网络通信或经由网络操作的任何物理设备。软件对象可以被进一步再分为“可执行对象”和“静态对象”。可执行对象包括可以主动执行代码或自主操作的任何对象,通过非限制性示例,比如,应用程序、驱动程序、程序、可执行文件、库、进程、运行时、脚本、宏指令、二进制文件、解释器、解释语言文件、带有直接***代码的配置文件、嵌式代码以及固件指令。静态对象可以被广泛地设计为不是可执行对象或者不能执行的任何对象,通过非限制性示例,比如,文档、图片、音乐文件、文本文件、不带有直接***代码的配置文件、视频以及图。在一些情况下,还可以提供混合软件对象,比如例如,带有内置式宏指令的字处理文档或带有直接***代码的动画。出于安全的目的,这些可以被认为是单独类别的软件对象,或者可以简单地当做可执行对象。
通过非限制性示例,企业安全策略可以包括认证策略、网络使用策略、网络资源配额、反病毒策略以及对客户端设备110上的可执行对象的限制。各种网络服务器可以提供实质***,比如,布线、联网、企业数据服务以及企业应用程序。
安全企业100可以利用外部网络172跨企业边界104进行通信。企业边界104可以表示物理、逻辑或其他边界。外部网络172可以包括,例如,网站、服务器、网络协议以及其他基于网络的服务。在一个示例中,应用程序储存库160经由外部网络172是可用的,并且攻击者180(或其他类似恶意的或疏忽的行为者)也连接至外部网络172。
用户120或安全企业100的目标可能是在没有来自攻击者180或来自不想要的安全对象的干扰的情况下,成功地操作客户端设备110。在一个示例中,攻击者180是恶意软件作者,其目标或目的是制造恶意伤害或损害。恶意伤害或损害可以采取以下形式:在客户端设备110上安装root kit或其他恶意软件以便篡改***、安装间谍软件或广告软件以便收集个人和商用数据、丑化网站、操作僵尸网络(比如,垃圾邮件服务器)或者仅打搅和骚扰用户120。因此,攻击者180的一个目的可能是在一个或多个客户端设备110上安装其恶意软件。如贯穿本说明书所使用的,恶意软件(“恶意软件(malware)”)包括被配置成用于提供不想要的结果或不想做的工作的任何安全对象。在许多情况下,恶意软件将会是可执行对象,通过非限制性示例,包括被设计成用于采取潜在不想要的行动的病毒、木马、僵尸、rootkit、后门、蠕虫、间谍软件、广告软件、勒索软件、拨号器、有效载荷、恶意浏览器辅助对象、追踪cookie、登陆器或类似对象,通过非限制性示例包括数据销毁、隐匿数据采集、浏览器劫持、网络代理或重定向、隐匿追踪、数据记录、密钥登陆、对移除的过度或蓄意阻碍、联系收获、以及未授权自传播。
攻击者180可能还想要针对安全企业100的产业或其他间谍行为,比如,窃取机密或专有数据、窃取身份或者获得对企业资源的未授权访问。因此,攻击者180的策略还可以包括努力获得对一个或多个客户端设备110的物理访问,并且在未授权的情况下对其进行操作,从而使得有效安全策略还可以包括用于阻止这种访问的规定。
在另一个示例中,软件开发者可能不是明显地具有恶意意图,但可能开发造成安全风险的软件。例如,众所周知的并且经常使用的安全缺陷是所谓的缓冲器溢出,其中,恶意用户能够将超长字符串输入到输入表中并且因此获得执行任意指令或者在计算设备200上使用升级特权操作的能力。缓冲器溢出可能是例如不良输入验证或者使用不安全程序库的结果,并且在许多情况下,出现在非显而易见的上下文中。因此,尽管他本身不是恶意的,但将软件贡献到应用程序储存库160的开发者可以无意地为攻击者180提供攻击向量。编写差的应用程序也可以引起固有问题,比如崩溃、数据丢失或者其他非期望的行为。因为这种软件本身可能是期望的,所以开发者在漏洞变得已知时偶尔提供修复漏洞的更新或补丁是有益的。然而,从安全的角度来看,这些更新或补丁实质上是新的。
应用程序储存库160可以表示向用户120提供交互地或自动地下载应用程序并将其安装在客户端设备110上的能力的视窗操作***或苹果操作***的“app商店”、类Unix操作***程序库或端口收集、或者其他网络业务。如果应用程序储存库160具有适当地使攻击者180难以分散明显恶意的软件的安全措施,那么攻击者180反而可以暗中将漏洞***到显然有益的应用程序中。
在一些情况下,安全企业100可以提供对来自应用程序储存库160的可以安装的应用程序的类型进行限制的策略指示。因而,应用程序储存库160可以包括并非无意被发开且并非恶意软件,但虽然如此仍违反策略的软件。例如,一些企业限制对娱乐软件(如媒体播放器和游戏)的安装。因此,甚至安全的媒体播放器或游戏也可能不适于企业计算机。安全管理员150可以负责分配与这种限制一致的计算策略并且将其在客户端设备120上实施。
安全企业100还可以与安全服务提供商190签订合同或者订阅安全服务提供商,所述安全服务提供商可以提供安全服务、更新、反病毒定义、补丁、产品和服务。
Figure GDA0002327565050000071
公司是这种提供全面安全和反病毒解决方案的安全服务提供商的非限制性示例。在一些情况下,安全服务提供商190可以包括威胁情报能力,比如,由McAfee公司提供的全球威胁情报(GTITM)数据库。安全服务提供商190可以通过当新的候选恶意对象出现在客户端网络上时对其进行分析并且将它们表征为恶意的或良性的来更新其威胁情报数据库。
在另一个示例中,安全企业100可以简单地为家庭,假设父母是安全管理员150的角色。父母可以希望保护他们的孩子不受非期望内容(通过非限制性示例,比如,色情作品、广告软件、间谍软件、不符合年龄的内容、对某些政治、宗教或社会运动的倡导、用于讨论非法或者危险活动的论坛)的影响。在这种情况下,父母可以执行安全管理员150的一些或全部职责。
共同地,任何属于或可以指定为属于不期望对象的任何前述类别的对象可以被分类为恶意对象。当在安全企业100内遇到未知对象时,可以初始地将其分类为“候选恶意对象”。这一指定可以保证所述未知对象不被授予全部网络特权,直到所述对象被进一步分析。因此,用户120和安全管理员150的目标是配置并操作客户端设备110和企业网络170,从而排除所有恶意对象,并且及时并准确地对候选恶意对象进行分类。
当企业安全服务器140检测一个或多个客户端设备110的潜在危害时,它可以采取适当的动作,比如补救。在一个示例中,补救包括指示带外管理引擎从补救映像148引导客户端设备110。补救映像148可以被储存在NFS或UNC服务器142上以提供网络引导能力。补救映像148可以包括用于扫描和清洁***的最新的病毒定义。在一些情况下,安全服务提供商190可以提供定期更新,并且企业安全控制器140可以保持补救映像148是最新的。在其他情况下,安全服务提供商190可以保持补救映像148是最新的,并且可以经由外部网络172按需传递最新补救映像的副本。在又另一个示例中,企业安全控制器140可以定期地将轻量型和最新的补救引擎传递到客户端设备110的带外管理引擎,并且基于来自企业安全控制器140的命令,客户端设备110可以引导补救映像的本地副本。
在一个示例中,每个客户端设备110包括带外管理引擎,所述带外管理引擎可以在固件中或在受保护的硬件空间中运行,从而使它不能被PUC损害。例如,如果一个或多个进程突然崩溃,带外管理引擎可以监视一个或多个特定的进程并进行报告。由于单个进程崩溃可能不足以使客户端设备110认为事件是可疑的,至少在某些实施例中,企业安全服务器140可以注意到对于大量客户端设备110相同的进程已经在短时间段内崩溃。这可以是可疑活动的指示。然后,企业安全服务器140可以采取适当的动作,比如,隔离单独的客户端设备110,子网包含这些设备或整个网络。在一个示例中,企业安全服务器140保持开放单个端口,从而使得它可以执行补救动作。
图2是根据本说明书的一个或多个示例的计算设备200的框图。计算设备200可以是任何适当的计算设备。在各种实施例中,通过非限制性示例,“计算设备”可以是或可以包括:计算机、工作站、服务器、主机、嵌入式计算机、嵌入式控制器、嵌入式传感器、个人数字助理(PDA)、膝上型计算机、蜂窝电话、IP电话、智能电话、平板计算机、可转换平板计算机、计算装置、网络装置、接收器、可穿戴计算机、手持式计算器或者用于处理和传递数据的任何其他电子、微电子或者微机电设备。
在某些实施例中,客户端设备110可以均为计算设备200的示例。
计算设备200包括连接至存储器220的处理器210,所述存储器具有存储在其中的用于提供操作***222和管理代理224的至少软件部分的可执行指令。计算设备200的其他部件包括存储设备250、网络接口260以及***接口240。仅通过示例提供此架构,并且旨在是非排他性的和非限制性的。此外,所公开的各个部分仅旨在成为逻辑划分,并且不一定需要表示物理上分离的硬件和/或软件部件。某些计算设备例如在单个物理存储器设备中提供主存储器220和存储设备250,并且在其他情况下,存储器220和/或存储设备250在功能上被分布在许多物理设备上。在虚拟机或管理程序的情况下,可以采用在虚拟化层上运行的软件或固件的形式来提供全部或部分功能以便提供所公开的逻辑功能。在其他示例中,诸如网络接口260的设备可以仅提供执行其逻辑操作所必须的最小量硬件接口,并且可以依靠软件驱动程序来提供附加的必要逻辑。因此,本文所公开的每个逻辑块旨在广泛地包括被配置成并且可操作用于提供那个块的所公开的逻辑操作的一个或多个逻辑元件。如贯穿本说明书所使用的“逻辑元件”可以包括硬件、外部硬件(数字、模拟或混合信号)、软件、往复式软件、服务、驱动程序、接口、部件、模块、算法、传感器、部件、固件、微代码、可编程逻辑或者可以协调以获得逻辑操作的对象。
在示例中,尽管其他存储器架构(包括其中存储器220经由***总线270-1或某条其他总线与处理器210通信的架构)是可能的,处理器210经由存储器总线270-3被通信地耦合至存储器220,通过示例所述存储器总线可以是例如直接存储器访问(DMA)总线。处理器210可以经由***总线270-1被通信地耦合至其他设备。如贯穿本说明书所使用的“总线”包括任何有线或者无线互连线、网络、连接、线束、单条总线、多条总线、交叉式网络、单级网络、多级网络或可操作用于在计算设备的部分之间或在计算设备之间承载数据、信号或电力的其他传导介质。应当注意的是,仅通过非限制性示例来公开这些用途,并且一些实施例可以省略前述总线中的一条或多条总线,而其他实施例可以采用附加或不同总线。
在各个示例中,“处理器”可以包括逻辑元件的任何组合,通过非限制性示例,包括微处理器、数字信号处理器、现场可编程门阵列、图形处理单元、可编程逻辑阵列、专用集成电路或虚拟机处理器。在某些架构中,可以提供多核处理器,在这种情况下,处理器210可以仅被当做多核处理器中的一个核,或者可以视情况而被当做整个多核处理器。在一些实施例中,还可以为专用或支持功能提供一个或多个协处理器。
处理器210可以经由DMA总线270-3连接至DMA配置中的存储器220。为了简化本公开,存储器220被公开为单个逻辑块,但是在物理实施例中可以包括任何合适的易失性或非易失性存储器技术(或多项技术)的一个或多个块,包括例如DDR RAM、SRAM、DRAM、缓存、L1或L2存储器、片上存储器、寄存器、闪存、ROM、光介质、虚拟存储器区域、磁或磁带存储器或类似的存储设备。在某些实施例中,存储器220可以包括相对低延迟易失性主存储器,而存储设备250可以包括相对较高延迟非易失性存储器。然而,存储器220和存储设备250不需要是物理上独立的设备,并且在一些示例中,可能仅表示功能的逻辑分离。还应当注意的是,尽管通过非限制性示例公开了DMA,但是DMA并不是与本说明书一致的唯一协议,并且其他存储器架构是可用的。
存储设备250可以是任何种类的存储器220,或者可以是分离的设备。存储设备250可以包括一个或多个非瞬态计算机可读介质,通过非限制性示例包括硬盘驱动器、固态驱动器、外部存储设备、独立磁盘冗余阵列(RAID)、网络附接存储设备、光学存储设备、磁带驱动器、备份***、云存储设备、或前述各项的任何组合。存储设备250可以是或其中可以包括一个或多个数据库或存储在其他配置中的数据,并且可以包括操作软件的存储副本,比如操作***222以及管理代理224的软件部分。许多其他配置也是有可能的,并且旨在被包括在本说明书的广泛范围内。
可以提供网络接口260来将计算设备200与有线或无线网络通信地耦合。如贯穿本说明书所使用的“网络”可以包括可操作用于在计算设备内或在计算设备之间交换数据或信息的任何通信平台,通过非限制性示例包括自组织本地网、提供具有电交互能力的通信设备的互联网架构、简易老式电话***(POTS)(计算设备可以使用所述简易老式电话***来执行交易,在所述交易中它们可以由人类操作员来帮助或在所述交易中它们可以手动地将数据键入到电话或其他合适的电子设备中)、提供通信接口或在***中的任何两个节点之间进行交换的任何分组数据网络(PDN)、或任何局域网(LAN)、城域网(MAN)、广域网(WAN)、无线局域网(WLAN)、虚拟专用网(VPN)、内联网、或促进网络或电话环境中的通信的任何其他适当的架构或***。
在一个示例中,管理代理224可操作用于执行如此发明书中所描述的计算机实现方法。管理代理224可以包括一种或多种非瞬态计算机可读介质,具有存储在其上的可操作用于指示处理器提供安全引擎的可执行指令。如贯穿本说明书所使用的“引擎”包括相似或相异种类的一个或多个逻辑元件的任何组合,所述逻辑元件可操作用于并且被配置成用于执行由管理代理224所提供的一种或多种方法。因此,管理代理224可以包括被配置成用于提供如在此说明书中所描述的方法的一个或多个逻辑元件。在一些情况下,管理代理224可以包括被设计成用于执行方法或方法的一部分的专用集成电路,并且还可以包括可操作用于指示处理器执行所述方法的软件指令。在一些情况下,管理代理224可以作为“守护进程”而运行。“守护进程”可以包括任何程序或一系列可执行指令,无论在硬件、软件、固件或其任何组合中实施与否,那些可执行指令都作为后台进程、终止并驻留程序、服务、***扩展、控制面板、引导程序、BIOS子程序、或没有直接用户交互操作的任何类似程序的运行。在某些实施例中,可以利用升级特权在“驱动器空间”中或在保护环架构中的环0、1或2中运行守护进程。还应该注意的是,管理代理224还可以包括其他硬件和软件,通过非限制性示例包括配置文件、注册表项以及交互式或用户模式软件。
在一个示例中,管理代理224包括存储在可操作用于执行根据本说明书的方法的非瞬态介质上的可执行指令。在适当时间(比如,在引导计算设备200时或在收到来自操作***222或用户120的命令时),处理器210可以从存储设备250中检索管理代理224(或其软件部分)的副本并将其加载到存储器220中。然后,处理器210可以迭代地执行管理代理224的指令以提供所期望的方法。
在一些情况下,带有使管理代理224崩溃或以其他方式禁止管理代理的特定意图的恶意软件对象可以有意地并特别地将管理代理224作为目标。因此,管理代理224的崩溃可以指示可能的感染。
可以在固件、协处理器、可信执行环境(TEE)或安全存储器区域中提供带外管理引擎212以针对恶意软件对象的干扰而将其硬化。带外管理引擎212可以被配置成用于监视计算设备200并且将事件的某些类别报告给企业安全服务器140。在一个非限制性示例中,带外管理引擎212可以是或可以包括
Figure GDA0002327565050000121
VPRO协处理器以及配设有主动管理技术(AMT)(包括“代理存在”特征)的固件。VPRO代理存在特征是VPRO可以监视的常驻程序的可配置列表,并且如果发生进程崩溃或停止工作中的任何一种,将通知ESC 140。
***设备接口240可以被配置成用于与连接至计算设备200的但不一定是计算设备200的核架构的一部分的任何辅助设备接口连接。***设备可以可操作用于向计算设备200提供扩展的功能,并且可以或可以不完全依赖于计算设备200。在一些情况下,***设备可以是计算设备本身。通过非限制性示例,***设备可以包括输入和输出设备,比如,显示器、终端、打印机、键盘、鼠标、调制解调器、网络控制器、传感器、换能器、致动器、控制器、数据采集总线、照相机、麦克风、扬声器或者外部存储设备。
图3是根据本说明书的一个或多个示例的服务器140的框图。服务器140可以是任何合适的计算设备,如结合图2所描述的。通常,图2的定义和示例可以被视为同等地适用于图3,除非另外特别声明。本文中单独描述了服务器140以展示在某些实施例中,可以沿客户端服务器模型将根据本说明书的逻辑操作分开,其中,计算设备200提供某些局部化任务,而服务器140提供某些其他集中式任务。
服务器140包括连接至存储器320的处理器310,所述存储器具有存储在其中的用于提供操作***322和安全服务器引擎324的至少软件部分的可执行指令。服务器140的其他部件包括存储设备350、网络接口360以及***设备接口340。如图2中所描述的,可以由一个或多个相似或相异的逻辑元件提供每个逻辑块。
在示例中,处理器310经由存储器总线370-3被通信地耦合至存储器320,所述存储器总线可以是例如直接存储器访问(DMA)总线。处理器310可以经由***总线370-1被通信地耦合至其他设备。
处理器310可以经由DMA总线370-3或者经由任何其他合适的存储器配置连接至DMA配置中的存储器320。如图2中所讨论的,存储器320可以包括任何合适类型的一个或多个逻辑元件。
存储设备350可以是任何种类的存储器220,或者可以是分离的设备,如结合图2的存储设备250所描述的。存储设备350可以是或其中可以包括一个或多个数据库或存储在其他配置中的数据,并且可以包括操作软件的存储副本,比如操作***322以及安全服务器引擎324的软件部分。
可以提供网络接口360以将服务器140通信地耦合到有线或无线网络。并且可以包括如图2中所描述的一个或多个逻辑元件。
安全服务器引擎324是如图2中所描述的引擎,并且在一个示例中包括可操作用于执行如本说明书中所描述的计算机实现方法的一个或多个逻辑元件。安全服务器引擎324的软件部分可以作为守护进程而运行。
安全服务器引擎324可以包括一种或多种非瞬态计算机可读介质,具有存储在其上的可操作用于指示处理器提供安全引擎的可执行指令。在适当时间上(如根据引导服务器140或根据来自操作***222或用户120或安全管理员150的命令),处理器310可以从存储设备350中检索安全服务器引擎324(或其软件部分)的副本并将其加载到存储器320中。然后,处理器310可以迭代的执行安全服务器引擎324的指令以提供所期望的方法。
***接口340可以被配置成用于与连接至服务器140但不一定是服务器140的核架构的一部分的任何辅助设备接口连接。***设备可以可操作用于向服务器140提供扩展功能,并且可以或可以不完全依赖于服务器140。通过非限制性示例,***设备可以包括图2中所公开的***设备中的任何***设备。
在一个示例中,安全服务器引擎324包括存储在可操作用于执行根据本说明书的方法的非瞬态介质上的可执行指令。在适当时间上(如根据引导服务器140或根据来自操作***322或用户120的命令),处理器310可以从存储设备350中检索安全服务器引擎324(或其软件部分)的副本并将其加载到存储器320中。然后,处理器310可以迭代的执行安全服务器引擎324的指令。
机器学习引擎326还可以被配置成用于提供机器学习算法,从而使得服务器140可以适应于不断变化的安全场景。具体地,机器学习引擎326可以接收来自所断言的安全事件的反馈,以判定它们是否是合法的安全事件。例如,如果安全事件使大量机器经受补救,并且未发现它们中存在恶意软件,则可以分析所述事件以确定是否存在一些其他的激发原因。然后,机器学习引擎326可以存储这种情况以便进一步参考,从而使得可以避免假肯定。相反,如果发生似乎是良性的安全事件,但随后证明是病毒爆发的症状,则机器学习引擎326可以利用相关信息进行更新以更好地捕捉进一步的爆发。
***设备接口340可以被配置成用于与连接至服务器140但不一定是服务器140的核架构的一部分的任何辅助设备接口连接。***设备可以可操作用于向服务器140提供扩展功能,并且可以或可以不完全依赖于服务器140。在一些情况下,***设备可以是计算设备本身。通过非限制性示例,***设备可以包括结合图2的***设备接口240所讨论的设备中的任何设备。
示例方法400包括以下操作,如图4中所展示的。
在框410中,可以提供接口以登记用于进行监视的适当的进程。例如,VproTM“代理存在”特征可以用于登记用于监视的一个或多个应用程序。
在某些实施例中,这些数据可以通知安全事件,并且向机器学习引擎326提供反馈。这可以帮助减少假肯定。可以利用遥测术、产品事件以及产品使用模式以规则的间隔在组织内进行数据收集。自学习引擎326还可以为每个被监视***建立应用程序模式,并且在无监督自学习模式中周期性地对应用程序行为进行比较。
在框420中,带外管理引擎可以监视在框410中登记的关键进程。这可以进一步包括收集有关每个进程资源消耗的数据、专用于特定任务的数据、任务调度、用户使用模式监视,并且监视其他进程的与带外管理代理212的交互。带外管理代理212可以收集专用于任务的数据、任务调度、用户使用模式或者其他进程的与监视的交互。这些数据可以是针对自学习引擎326的输入。
在框430中,当任何被监视进程出现故障或者被用户或恶意应用(可选地如由ESC140确定)强制关闭时,可以采取补救动作。在某些实施例中:
a.服务器端逻辑建立应用程序使用模式并确定它们是否表示正常的消耗。
b.ESC 140可以取环境的增量并设法判定安全事件的原因是否与环境中的任何特定变化(比如,新产品安装、更新等)有关。
c.如果消耗是合法的,则基于先前的启发法允许所述进程运行特定持续时间。ESC140还可以为终端用户120生成***通知,被监视进程忙于特定任务,并且应该在特定时间帧内释放资源。
d.如果被监视进程消耗定义阈值以上的资源,则执行预定补救动作。
e.如果被监视进程仍不稳定,则应用补救动作,包括例如重新启动进程或者在客户端上应用***防御策略。
在框450中,如果带外管理代理212不能恢复所述事件(比如,通过重新启动进程),则***防御状态可以触发以保障***免受爆发。这可以包括在框460中使得所述***可远程管理并且隔离受影响的***以及限制与例如NFS/UNC服务器142进行通信,从而使得它可以检索并引导补救映像148。
如果所述***是虚拟机,则将会发生硬件监视但是代理进程监视服务可以仍然监视并回报数据。
在框480中,在接收对安全事件的适当反馈后,自学习引擎326可以进入无监督自学习模式。
在一个或多个实施例中,通过非限制性示例,触发补救进程的标准可以包括:
a.与预定消耗或先前使用模式相比,对高***资源的使用。
b.对进程标识符的改变以便持续运行进程。
c.在不将进程监视从服务器移除的情况下,对应用程序的移除/卸载。
d.来自被监视进程的中断和错误。
e.从被监视进程泄露的任何***资源。
f.监视进程停止或者未将心跳发送到代理存在监视器。
在一个或多个实施例中,通过非限制性示例,补救动作可以包括以下各项:
a.重新安装所述应用程序(如果被移除或损坏)。
b.重新启动所述进程。
c.运行来自服务器的诊断命令以检索所有事件。
d.针对带有关键使命服务的问题通知安全管理员150。
e.如果***被感染,则利用预定清洁器/使用集成驱动电路(IDE)重定向(IDER)的救援映像来补救所述***。
前述内容概述了若干实施例的特征,从而使得本领域的技术人员可以更好地理解本公开的方面。本领域的技术人员应该认识到,他们可以容易地将本公开用作设计或修改其他进程以及结构的基础,以便于实施相同的目的和/或实现在此介绍的实施例的相同优点。本领域技术人员还应意识到,所述等同构造没有背离本公开的精神和范围,并且在不背离本公开的精神和范围的情况下,可做出各种改变、替换和替代。
本公开的特定实施例可以容易地包括片上***(SOC)中央处理单元(CPU)封装体。SOC表示将计算机或其他电子***的部件整合到单个芯片中的集成电路(IC)。其可以包含数字、模拟、混合信号、以及射频功能,所有所述功能可以在单个芯片基底上提供。其他实施例可以包括多芯片模块(MCM),多个芯片位于单个电子封装件内并且被配置成用于通过电子封装体彼此密切交互。在各个其他实施例中,数字信号处理功能可以在专用集成电路(ASIC)、现场可编程门阵列(FPGA)和其他半导体芯片中的一个或多个硅核中实施。
在示例实施方式中,在此概述的处理活动的至少一些部分也可以在软件中实施。在一些实施例中,这些特征中的一个或多个特征可以在所公开的附图的元件外部提供的或者采用任何适当方式合并的硬件中实施,以便实现预期功能。各种部件可以包括可以协调以便实现如在此所概述的操作的软件(或者往复式软件)。在仍其他实施例中,这些元件可以包括促进其操作的任何适当的算法、硬件、软件、部件、模块、接口或者对象。
此外,可以移除或以其他方式合并与所描述的微处理器相关联的部件中的一些部件。在一般意义上,在附图中所描绘的安排可以在其表示上更合逻辑,而物理架构可以包括这些元件的各种排列、组合和/或混合。必须注意,可以使用无数可能的设计配置来实现在此所概述的操作目标。相应地,相关联的基础设施具有大量替代安排、设计选择、设备可能性、硬件配置、软件实施方式、设备选项等。
任何适当配置的处理器部件可以执行与数据相关联的任何类型的指令以便实现在此详细说明的操作。在此公开的任何处理器可以将元件或者物品(例如数据)从一种状态或一种东西转换为另一种状态或者另一种东西。在另一个示例中,在此概述的一些活动可以使用固定逻辑或者可编程逻辑(例如,由处理器执行的软件和/或计算机指令)实施,并且在此标识的元件可以是某种类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM))、包括数字逻辑、软件、代码、电子指令、闪速存储器、光盘、CD-ROM、DVD ROM、磁性或者光学卡、适合于存储电子指令的其他类型的机器可读介质的ASIC、或者其任何适当的组合。在操作中,处理器可以将信息存储在任何适当类型的非瞬态存储介质(例如,随机存取存储器(RAM)、只读存储器(ROM)、现场可编程门阵列(FPGA)、可擦除可编程只读存储器(EPROM)、电可擦除可编程ROM(EEPROM)等)、软件、硬件中或者在适当况下并基于特定需要存储在任何其他适当部件、设备、元件或者物体中。进一步地,可以在任何数据库、寄存器、表格、缓存、队列、控制列表或者存储结构(所有这些可以在任何适当的时间帧被引用)中基于特定需要和实施方式提供在处理器中被跟踪、发送、接收或者存储的信息。在此所讨论的存储器项中的任何存储器项应当被理解为包括在宽泛术语‘存储器’内。类似地,在此所描述的可能的处理元件、模块以及机器中的任何一者应当被理解为包括在宽泛术语‘微处理器’或者‘处理器’内。
采用各种形式来具体化实施在此描述的功能中的所有或部分功能的计算机程序逻辑,包括但决不限于源代码形式、计算机可执行的形式、以及各种中间形式(例如,由汇编器、编辑器、链接器或***生成的形式)。在示例中,源代码包括以各种编程语言实施的一系列计算机程序指令,如目标代码、汇编语言、或高级语言(比如,与各种操作***或操作环境一起使用的OpenCL、Fortran、C、C++、JAVA或HTML)。源代码可以限定并使用各种数据结构和通信消息。源代码可以采用计算机可执行的形式(例如,经由解释器),或者源代码可以被转换(例如,经由转换器、汇编器、或编译器)成计算机可执行的形式。
在对以上实施例的讨论中,可以容易地替换、替代或以其他方式修改电容器、缓冲器、图形元件、互连板、时钟、DDR、相机传感器、除法器、电感器、电阻器、放大器、开关、数字核、晶体管和/或其他部件,以便满足特定电路需要。此外,应当注意的是,对互补电子设备、硬件、非瞬态软件等的使用提供了同等可行的选项,以便实施本公开的教导。
在一个示例实施例中,可以在相关联的电子设备的板上实施附图的任何数量的电路。所述板可以是可以容纳电子设备的内部电子***的各种部件并且进一步为其他***设备提供连接器的一般电路板。更具体地,所述板可以提供电连接,***的其他部件可以通过所述电子连接来进行电通信。可以基于特定配置需要、处理需求、计算机设计等来将任何适当的处理器(包括数字信号处理器、微处理器、支持芯片组等)、存储器元件等耦合至所述板。如外部存储设备、附加传感器、用于音频/视频显示的控制器、以及***设备等其他部件可以作为***卡而经由线缆附接至所述板,或者整合到所述板本身中。在另一个示例实施例中,附图的电路可以被实施为独立的模块(例如,具有相关联的部件的设备和被配置成用于执行特定应用程序或功能的电路),或者被实施为到电子设备的专用硬件的***模块。
注意,使用在此所提供的许多示例,可以关于两个、三个、四个或更多个电气部件来对交互进行描述。然而,这样做只是出于清楚和示例的目的。应理解的是,可以采用任何适当方式来合并所述***。根据类似的设计替代方案,可以在各个可能的配置中组合附图中所展示的部件、模块和元件中的任一者,所有这些配置在本说明书的广泛范围内。在某些情况下,通过仅参照有限数量的电气元件,可能更容易描述一组给定流程的功能中的一项或多项功能。应当理解的是,附图的电路及其教导是可容易扩展的,并且可以容纳大量部件以及更复杂/成熟的安排和配置。相应地,所提供的示例不应限制如潜在地应用到无数其他架构上的电路的范围或抑制其宽泛教导。
许多其他的改变、替代、变更、改变、和修改对本领域技术人员来说是确定的,并且旨在本公开包含了落在所附权利要求书的范围内的所有的改变、替代、变更、改变、和修改。为了帮助美国专利及商标局(USPTO)以及另外本申请发布的任何专利的任何读者理解本申请所附权利要求书,申请人希望注意本申请人:(a)并不旨在所附权利要求中的任一项因为在本申请的申请日存在而援引35U.S.C.第112章第(6)段,除非在特定权利要求中确切地使用了字词“用于……的装置”或“用于……的步骤”;并且(b)并不旨在通过本说明书中未在所附权利要求书中反映出的任何陈述以任何方式限制本公开。
示例实施方式
在示例中公开了一种企业安全控制器,所述企业安全控制器包括:网络接口;以及一个或多个逻辑元件,所述逻辑元件包括安全引擎,所述安全引擎可操作用于:经由所述网络接口从客户端设备的带外管理代理接收安全事件的报告;并且指示所述带外管理引擎采取补救动作。
进一步公开了示例,其中,所述安全事件包括被监视进程的崩溃。
进一步公开了示例,其中,所述安全事件包括被监视进程中的错误。
进一步公开了示例,其中,所述安全事件包括检测到被监视进程使用过量***资源。
进一步公开了示例,其中,所述安全事件包括检测到被监视进程的进程标识符的变化。
进一步公开了示例,其中,所述安全事件包括检测到被监视应用程序的移除或卸载。
进一步公开了示例,其中,所述安全事件包括检测到被监视进程中的错误。
进一步公开了示例,其中,所述安全事件包括检测到来自被监视进程的***资源泄露。
进一步公开了示例,其中,所述补救动作包括使得所述带外管理代理从补救映像引导所述客户端设备。
进一步公开了示例,其中,所述补救动作包括使得所述带外管理代理重新安装被监视应用程序。
进一步公开了示例,其中,所述补救动作包括使得所述带外管理代理重新启动被监视进程。
进一步公开了示例,其中,所述补救动作包括使得所述带外管理代理运行诊断命令。
进一步公开了示例,其中,所述补救动作包括使得所述带外管理代理使用清洁操作***映像对所述客户端设备进行重新映像。
在示例中进一步公开了一种或多种计算机可读介质,具有存储在其上的可执行指令,所述可执行指令用于指示处理器提供安全服务器引擎,所述安全服务器引擎可操作用于:经由所述网络接口从客户端设备的带外管理代理接收安全事件的报告;并且指示所述带外管理引擎采取补救动作。
进一步公开了示例,其中,所述安全事件包括被监视进程的崩溃。
进一步公开了示例,其中,所述安全事件包括被监视进程中的错误。
进一步公开了示例,其中,所述安全事件包括检测到被监视进程使用过量***资源。
进一步公开了示例,其中,所述安全事件包括检测到被监视进程的进程标识符的变化。
进一步公开了示例,其中,所述安全事件包括检测到被监视应用程序的移除或卸载。
进一步公开了示例,其中,所述安全事件包括检测到被监视进程中的错误。
进一步公开了示例,其中,所述安全事件包括检测到来自被监视进程的***资源泄露。
进一步公开了示例,其中,所述补救动作包括使得所述带外管理代理从补救映像引导所述客户端设备。
进一步公开了示例,其中,所述补救动作包括使得所述带外管理代理重新安装被监视应用程序。
在示例中进一步公开了一种计算装置,所述计算装置包括:存储器,所述存储器包括待监视应用程序;以及带外管理引擎,所述带外管理引擎可操作用于:监视所述待监视应用程序;将与所述待监视应用程序相关的安全事件报告给安全控制器装置;接收采取安全动作的指令;以及使得所述计算装置采取所述安全动作。
进一步公开了示例,其中,所述带外管理引擎包括安全协处理器。

Claims (26)

1.一种企业安全控制器,包括:
网络接口;以及
一个或多个逻辑元件,所述逻辑元件包括安全引擎,所述安全引擎用于:
经由所述网络接口从客户端设备的带外管理代理接收被监视进程的崩溃的报告;
检测相同进程在短时间段内已对于不同客户端设备崩溃,其中,相同进程在短时间段内已对于不同客户端设备崩溃指示可疑活动;以及
基于所述检测指示所述带外管理代理针对所述进程采取补救动作。
2.如权利要求1所述的企业安全控制器,其中,所述补救动作基于所述被监视进程中的错误被采取。
3.如权利要求1所述的企业安全控制器,其中,所述安全引擎进一步用于检测所述被监视进程使用过量***资源。
4.如权利要求1所述的企业安全控制器,其中,所述安全引擎进一步用于基于被监视应用程序的进程标识符的变化来指示所述带外管理代理采取补救动作。
5.如权利要求1所述的企业安全控制器,其中,所述安全引擎进一步用于基于被监视应用程序的移除或卸载来指示所述带外管理代理采取补救动作。
6.如权利要求1所述的企业安全控制器,其中,所述补救动作基于所述被监视进程中的中断被采取。
7.如权利要求1所述的企业安全控制器,其中,所述补救动作基于来自所述被监视进程的***资源泄漏被采取。
8.如权利要求1至7中任一项所述的企业安全控制器,其中,所述补救动作包括使得所述带外管理代理从补救映像引导所述客户端设备。
9.如权利要求1至7中任一项所述的企业安全控制器,其中,所述补救动作包括使得所述带外管理代理重新安装被监视应用程序。
10.如权利要求1至7中任一项所述的企业安全控制器,其中,所述补救动作包括使得所述带外管理代理重新启动所述被监视进程。
11.如权利要求1至7中任一项所述的企业安全控制器,其中,所述补救动作包括使得所述带外管理代理运行诊断命令。
12.如权利要求1至7中任一项所述的企业安全控制器,其中,所述补救动作包括使得所述带外管理代理使用清洁操作***映像对所述客户端设备进行重新映像。
13.如权利要求1所述的企业安全控制器,进一步包括:
机器学习引擎,用于接收来自所断言的安全事件的反馈,以判定所述安全事件是否是合法的安全事件。
14.如权利要求1所述的企业安全控制器,其中,所述带外管理代理包括英特尔vPro协处理器。
15.如权利要求1所述的企业安全控制器,其中,在固件、协处理器、可信执行环境(TEE)或安全存储器区域中提供所述带外管理代理。
16.一种用于提供安全服务器引擎的方法,包括:
经由网络接口从客户端设备的带外管理代理接收被监视进程的崩溃的报告;
检测相同进程在短时间段内已对于不同客户端设备崩溃,其中,相同进程在短时间段内已对于不同客户端设备崩溃指示可疑活动;以及
基于所述检测指示所述带外管理代理针对所述进程采取补救动作。
17.如权利要求16所述的方法,其中,所述补救动作基于所述被监视进程中的错误被采取。
18.如权利要求16所述的方法,进一步包括:检测所述被监视进程使用过量***资源。
19.如权利要求16所述的方法,进一步包括:基于被监视应用程序的进程标识符的变化来指示所述带外管理代理采取补救动作。
20.如权利要求16所述的方法,进一步包括:基于被监视应用程序的移除或卸载来指示所述带外管理代理采取补救动作。
21.如权利要求16所述的方法,其中,所述补救动作基于所述被监视进程中的中断被采取。
22.如权利要求16所述的方法,其中,所述补救动作基于所述被监视进程的***资源泄漏被采取。
23.如权利要求16至22中任一项所述的方法,其中,所述补救动作包括使得所述带外管理代理从补救映像引导所述客户端设备。
24.如权利要求16至22中任何一项所述的方法,进一步包括:基于历史数据检测和避免假肯定。
25.一种用于提供安全服务器引擎的设备,包括用于执行如权利要求16至24中任一项所述的方法的装置。
26.如权利要求25所述的设备,其中,所述装置包括处理器和存储器。
CN201480082168.XA 2014-10-24 2014-12-27 用于自修复的代理存在 Active CN107004087B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110411242.XA CN113221102A (zh) 2014-10-24 2014-12-27 用于自修复的代理存在

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IN5294/CHE/2014 2014-10-24
IN5294CH2014 2014-10-24
PCT/US2014/072455 WO2016064433A1 (en) 2014-10-24 2014-12-27 Agent presence for self-healing

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202110411242.XA Division CN113221102A (zh) 2014-10-24 2014-12-27 用于自修复的代理存在

Publications (2)

Publication Number Publication Date
CN107004087A CN107004087A (zh) 2017-08-01
CN107004087B true CN107004087B (zh) 2021-04-27

Family

ID=55761285

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201480082168.XA Active CN107004087B (zh) 2014-10-24 2014-12-27 用于自修复的代理存在
CN202110411242.XA Pending CN113221102A (zh) 2014-10-24 2014-12-27 用于自修复的代理存在

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN202110411242.XA Pending CN113221102A (zh) 2014-10-24 2014-12-27 用于自修复的代理存在

Country Status (5)

Country Link
US (2) US11416606B2 (zh)
EP (1) EP3210152A4 (zh)
CN (2) CN107004087B (zh)
RU (1) RU2667598C1 (zh)
WO (1) WO2016064433A1 (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2667598C1 (ru) 2014-10-24 2018-09-21 Макафи, Инк. Контроль присутствия агента для самовосстановления
US10691795B2 (en) * 2016-10-24 2020-06-23 Certis Cisco Security Pte Ltd Quantitative unified analytic neural networks
US10313441B2 (en) * 2017-02-13 2019-06-04 Bank Of America Corporation Data processing system with machine learning engine to provide enterprise monitoring functions
CN106961658B (zh) * 2017-03-09 2019-10-29 广东美的制冷设备有限公司 物联网家电设备离线恢复方法和联网模块
US10956575B2 (en) * 2017-11-20 2021-03-23 Hewlett Packard Enterprise Development Lp Determine malware using firmware
CN108229167B (zh) * 2017-12-29 2022-05-31 北京安云世纪科技有限公司 用于对多进程应用进行控制的方法、设备及移动终端
US11546365B2 (en) * 2018-01-28 2023-01-03 AVAST Software s.r.o. Computer network security assessment engine
CN111480160B (zh) 2018-01-31 2023-11-03 惠普发展公司,有限责任合伙企业 用于过程验证的***、方法和介质
CN108960401B (zh) * 2018-05-25 2021-01-01 浙江工业大学 一种面向Web服务计算环境的数据细胞自愈方法
US11797684B2 (en) 2018-08-28 2023-10-24 Eclypsium, Inc. Methods and systems for hardware and firmware security monitoring
US11799894B2 (en) 2018-09-28 2023-10-24 AVAST Software s.r.o. Dual network security assessment engine
US11586490B2 (en) 2020-03-31 2023-02-21 Hewlett Packard Enterprise Development Lp System and method of identifying self-healing actions for computing systems using reinforcement learning
US11368377B2 (en) * 2020-05-21 2022-06-21 Accenture Global Solutions Limited Closed loop monitoring based privileged access control
CN111745650B (zh) * 2020-06-15 2021-10-15 哈工大机器人(合肥)国际创新研究院 一种机器人操作***的运行方法和机器人的控制方法

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020138753A1 (en) * 1999-05-11 2002-09-26 Munson John C. Method and system for simplifying the structure of dynamic execution profiles
WO2002087152A1 (en) * 2001-04-18 2002-10-31 Caveo Technology, Llc Universal, customizable security system for computers and other devices
KR20030036342A (ko) * 2003-03-08 2003-05-09 주식회사 키모스정보기술 외부에서 기업 내 바이러스 방역, 컴퓨터 보안 및 통제서비스를 제공하는 관제 시스템 및 시스템 관제 방법
US20040003286A1 (en) * 2002-07-01 2004-01-01 Microsoft Corporation Distributed threat management
US20060253745A1 (en) * 2001-09-25 2006-11-09 Path Reliability Inc. Application manager for monitoring and recovery of software based application processes
US20100037321A1 (en) * 2008-08-04 2010-02-11 Yoggie Security Systems Ltd. Systems and Methods for Providing Security Services During Power Management Mode
US20100251369A1 (en) * 2009-03-25 2010-09-30 Grant Calum A M Method and system for preventing data leakage from a computer facilty
US20110126111A1 (en) * 2009-11-20 2011-05-26 Jasvir Singh Gill Method And Apparatus For Risk Visualization and Remediation
US20120240185A1 (en) * 2000-09-25 2012-09-20 Harsh Kapoor Systems and methods for processing data flows
US20130211762A1 (en) * 2012-02-09 2013-08-15 Microsoft Corporation Self-tuning statistical resource leak detection
US20130247166A1 (en) * 2010-04-07 2013-09-19 Apple Inc. Mobile device management

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6073142A (en) 1997-06-23 2000-06-06 Park City Group Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments
US5987610A (en) 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
US6460050B1 (en) 1999-12-22 2002-10-01 Mark Raymond Pace Distributed content identification system
US7111201B2 (en) * 2000-05-19 2006-09-19 Self Repairing Computers, Inc. Self repairing computer detecting need for repair and having switched protected storage
US6901519B1 (en) 2000-06-22 2005-05-31 Infobahn, Inc. E-mail virus protection system and method
US9800608B2 (en) * 2000-09-25 2017-10-24 Symantec Corporation Processing data flows with a data flow processor
US20110214157A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Securing a network with data flow processing
US6928579B2 (en) * 2001-06-27 2005-08-09 Nokia Corporation Crash recovery system
US20050235284A1 (en) * 2004-04-14 2005-10-20 International Business Machines Corporation Systems and methods for tracking processing unit usage
US7636918B2 (en) * 2004-04-14 2009-12-22 International Business Machines Corporation Method and system for tracking memory usage by software agents
US20060020923A1 (en) * 2004-06-15 2006-01-26 K5 Systems Inc. System and method for monitoring performance of arbitrary groupings of network infrastructure and applications
US7490356B2 (en) * 2004-07-20 2009-02-10 Reflectent Software, Inc. End user risk management
US20070006307A1 (en) * 2005-06-30 2007-01-04 Hahn Scott D Systems, apparatuses and methods for a host software presence check from an isolated partition
US8149771B2 (en) * 2006-01-31 2012-04-03 Roundbox, Inc. Reliable event broadcaster with multiplexing and bandwidth control functions
JP4288292B2 (ja) * 2006-10-31 2009-07-01 株式会社エヌ・ティ・ティ・ドコモ オペレーティングシステム監視設定情報生成装置及びオペレーティングシステム監視装置
JP4903818B2 (ja) * 2007-02-09 2012-03-28 株式会社エヌ・ティ・ティ・ドコモ 端末装置及びソフトウエア検査方法
US8019700B2 (en) * 2007-10-05 2011-09-13 Google Inc. Detecting an intrusive landing page
US8099784B1 (en) * 2009-02-13 2012-01-17 Symantec Corporation Behavioral detection based on uninstaller modification or removal
US8930769B2 (en) * 2010-08-13 2015-01-06 International Business Machines Corporation Managing operating system deployment failure
US8621276B2 (en) * 2010-12-17 2013-12-31 Microsoft Corporation File system resiliency management
US8839001B2 (en) * 2011-07-06 2014-09-16 The Boeing Company Infinite key memory transaction unit
US8856936B2 (en) * 2011-10-14 2014-10-07 Albeado Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security
US9210044B2 (en) * 2012-07-27 2015-12-08 Dell Products L.P. Automated remediation with an appliance
US9319535B2 (en) * 2013-06-25 2016-04-19 Syniverse Technologies, Llc Method and apparatus to collect, analyze, and utilize network data
US9386034B2 (en) * 2013-12-17 2016-07-05 Hoplite Industries, Inc. Behavioral model based malware protection system and method
RU2667598C1 (ru) 2014-10-24 2018-09-21 Макафи, Инк. Контроль присутствия агента для самовосстановления

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020138753A1 (en) * 1999-05-11 2002-09-26 Munson John C. Method and system for simplifying the structure of dynamic execution profiles
US20120240185A1 (en) * 2000-09-25 2012-09-20 Harsh Kapoor Systems and methods for processing data flows
WO2002087152A1 (en) * 2001-04-18 2002-10-31 Caveo Technology, Llc Universal, customizable security system for computers and other devices
US20060253745A1 (en) * 2001-09-25 2006-11-09 Path Reliability Inc. Application manager for monitoring and recovery of software based application processes
US20040003286A1 (en) * 2002-07-01 2004-01-01 Microsoft Corporation Distributed threat management
KR20030036342A (ko) * 2003-03-08 2003-05-09 주식회사 키모스정보기술 외부에서 기업 내 바이러스 방역, 컴퓨터 보안 및 통제서비스를 제공하는 관제 시스템 및 시스템 관제 방법
US20100037321A1 (en) * 2008-08-04 2010-02-11 Yoggie Security Systems Ltd. Systems and Methods for Providing Security Services During Power Management Mode
US20100251369A1 (en) * 2009-03-25 2010-09-30 Grant Calum A M Method and system for preventing data leakage from a computer facilty
US20110126111A1 (en) * 2009-11-20 2011-05-26 Jasvir Singh Gill Method And Apparatus For Risk Visualization and Remediation
US20130247166A1 (en) * 2010-04-07 2013-09-19 Apple Inc. Mobile device management
US20130211762A1 (en) * 2012-02-09 2013-08-15 Microsoft Corporation Self-tuning statistical resource leak detection

Also Published As

Publication number Publication date
EP3210152A1 (en) 2017-08-30
CN113221102A (zh) 2021-08-06
US20170316204A1 (en) 2017-11-02
RU2667598C1 (ru) 2018-09-21
US20220309157A1 (en) 2022-09-29
CN107004087A (zh) 2017-08-01
US11416606B2 (en) 2022-08-16
WO2016064433A1 (en) 2016-04-28
EP3210152A4 (en) 2018-03-07

Similar Documents

Publication Publication Date Title
CN107004087B (zh) 用于自修复的代理存在
US11977630B2 (en) Detecting ransomware
CN107533608B (zh) 可信更新
EP3314861B1 (en) Detection of malicious thread suspension
US20200042720A1 (en) Pre-launch process vulnerability assessment
US9934380B2 (en) Execution profiling detection of malicious objects
EP3998791A1 (en) Real-time mobile security posture
CN106797375B (zh) 恶意软件代理的行为检测
CN106687979B (zh) 交叉视图恶意软件检测
EP3314499B1 (en) Temporary process deprivileging
US9912528B2 (en) Security content over a management band
RU2583709C2 (ru) Система и способ устранения последствий заражения виртуальных машин

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230707

Address after: California, USA

Patentee after: MASA ROBRA USA LLC

Address before: Texas, USA

Patentee before: MCAFEE, Inc.