專利名稱:具有反惡意軟件的計算機系統(tǒng)和方法
技術領域:
本發(fā)明涉及具有反惡意軟件的計算機系統(tǒng)和方法����。
技術背景
惡意軟件(或惡意代碼)是用于指可對計算機造成問題或損壞的各種類型軟件的 總括性術語��。它包含病毒�����、蠕蟲���、特洛伊木馬、宏病毒和后門����。惡意軟件已經(jīng)演變成越來越具 隱秘性和目標性。反惡意軟件技術也已經(jīng)演變成了解和革除惡意軟件的隱秘行為�。當前的 反惡意軟件方法利用防篡改軟件(TRQ機制來保護其在系統(tǒng)存儲器中的帶內(nèi)安全代理(在 操作平臺操作系統(tǒng)的范圍內(nèi))。但是�,這些方法本身易受軟件攻擊并且因而變得有缺陷。因 此�����,期望能有新的方法來保護平臺免受惡意軟件攻擊���。發(fā)明內(nèi)容
本發(fā)明涉及一種計算平臺���,包括
CPU����,用于執(zhí)行具有相關聯(lián)操作系統(tǒng)⑴S)存儲器空間的操作系統(tǒng)(OS)���;以及
可在所述操作系統(tǒng)不運行時進行操作的可管理性引擎��,所述可管理性引擎提供帶 外(OOB)安全代理以保護所述OS存儲器空間中的代碼�,所述OOB安全代理在所述OS之外 運行���。
本發(fā)明涉及一種設備�,包括
—個或多個芯片���,具有可管理性引擎和用于存儲帶外(OOB)安全代理以保護平臺 免受惡意軟件攻擊的非易失性存儲器。
本發(fā)明涉及一種系統(tǒng)����,包括
平臺,包含具有相關聯(lián)的OS的CPU和具帶外(OOB)能力的可管理性引擎���;以及
經(jīng)由所述可管理性引擎鏈接到所述平臺的遠程安全代理服務�����;
其中在所述OS之外執(zhí)行OOB代理以便保護所述平臺免受惡意軟件的攻擊����。
附圖的各圖中舉例而非限制性地示出本發(fā)明的實施例,附圖中類似的附圖標記是 指類似的元件���。
圖1是根據(jù)一些實施例具有反惡意軟件解決方案的平臺的框圖����。
圖2示出如圖1所示的解決方案的更特定實現(xiàn)���。
圖3是根據(jù)一些實施例用于實現(xiàn)反惡意軟件系統(tǒng)的例行程序的流程圖����。
圖4是示出根據(jù)一些實施例用于保護平臺免受惡意軟件攻擊的例行程序的流程 圖����。
具體實施方式
已觀察到,常規(guī)的反惡意軟件解決方案一般不具有安全的執(zhí)行環(huán)境�。它們可能也不具有對它們正在試圖保衛(wèi)的操作系統(tǒng)的可信可視性。例如,傳統(tǒng)的反惡意軟件應用可依 賴操作系統(tǒng)(OS)本身來進行系統(tǒng)調(diào)用以便從存儲器獲得文件和文件部分��。不幸的是�,由于 惡意軟件可在OS內(nèi)進行操作,所以它們可破壞這些通道���。因此��,期望能有新的方法�����。
在一些實施例中����,方法可提供帶外(OOB)代理來保護平臺�。OOB代理能夠利用非 TRS方法來測量和保護帶內(nèi)安全代理。在一些實施例中����,可管理性引擎可提供到帶內(nèi)和帶外 安全代理的帶外連接性,并提供對系統(tǒng)存儲器資源的訪問權��,而不必依賴OS服務�����。這可用 于可信反惡意軟件和補救服務��。
本發(fā)明的不同實施例可包括以下一些或所有特征的任意組合(1)本地安全代理 的受保護的執(zhí)行環(huán)境和有保證的執(zhí)行�;( 可供本地安全代理使用的可信系統(tǒng)可視性和事 件(eventing)能力;(3)與遠程安全代理交互的帶外(OOB)通道�;(4)本地安全代理的OOB 永久性存儲。
圖1示出根據(jù)一些實施例具有反惡意軟件保護的平臺100�。它包括CPU 105、系統(tǒng) 存儲器112����、BI0S存儲器130、00B (帶外)管理引擎140和安全非易失性存儲器150�,它們?nèi)?圖所示那樣耦合并在通信上與網(wǎng)絡120(例如,諸如萬維網(wǎng)的TCP/IP網(wǎng)絡)鏈接�����。應明白��, 為了簡單起見�����,將這些塊作為獨立實體加以介紹,但實際上���,取決于設計考慮和半導體技術 的狀況���,它們可作為獨立芯片實現(xiàn)、在單個芯片中實現(xiàn)����、或在一個或多個裝置的任何合適組 合中實現(xiàn)。
CPU 105可以用任何一個(或多個)合適的處理器芯片來實現(xiàn)����,包括但不限于單核 裝置、多核裝置和所謂的芯片上系統(tǒng)(SOC)實現(xiàn)����。它利用系統(tǒng)存儲器112(例如,高速緩存 存儲器����、內(nèi)部/外部隨機存取存儲器和包括閃速硬盤驅動器存儲器的硬盤驅動器的組合) 來執(zhí)行軟件代碼。當運行時�����,CPU 105可執(zhí)行諸如Microsoft Windows OS��、Linux OS或 Apple OS的操作系統(tǒng)(OS) 104和在OS下方運行并且因而稱為帶外的00B安全代理110����。 OS具有內(nèi)核(0S核),它可包括帶內(nèi)(IB)安全代理108�。IB和00B安全代理一起協(xié)作以保 護平臺100免受惡意軟件攻擊。
IB安全代理(或簡稱為IB代理)從OS內(nèi)核內(nèi)進行操作并與00B安全代理(或簡 稱為00B代理)交互以保護平臺��。IB代理受到00B代理的保護(當00B代理活動時)����,并 與在線安全代理服務122交互,在線安全代理服務122可驗證IB代理應用處于安全代理服 務122的正確狀態(tài)以便為平臺提供服務特定資產(chǎn)�����。IB代理可根據(jù)由00B代理和/或安全代 理服務定義的策略進行操作����。進而,IB代理給予00B代理諸如辨識模式�����、注冊表改變請求 等上下文,以供00B代理用于定義或修訂這些策略��。
在這種平臺模型下���,OS是不可信的����,S卩����,它被認為否則可由惡意軟件訪問。因此����, IB代理在不可信的OS環(huán)境中操作。另一方面�,與可管理性引擎協(xié)作,00B代理在OS之下在 例如不是OS存儲器空間的一部分的虛擬化可信存儲器空間中運行��。它經(jīng)由00B管理引擎 實現(xiàn)和控制�����。
00B管理引擎可以用任何合適的帶外方案來實現(xiàn)����。例如����,它可用作為獨立芯片組 功能的一部分的固件來實現(xiàn)(例如���,可管理性引擎),或者它可在例如作為網(wǎng)絡接口控制器 (NIC)的一部分的服務處理器中或作為該服務處理器來實現(xiàn)��。由于屬于帶外(00B)�,所以即 使當OS不運行時,它仍能夠進行操作�����。
在一些實施例中����,通過00B代理,00B管理引擎140對屬于在OS上下文內(nèi)執(zhí)行的受保護IB代理108的存儲器頁面實施基于頁面的訪問控制和監(jiān)視策略���。OS在這種模型中是 不可信的�����,因此通過源自可管理性引擎的OOB代理測量和保護IB代理��?;陧撁娴谋Wo機 制在 2006 年 3 月 30 日提交的題為“INTRA-PARTITIONING OFSOFTffARE COMPONENTS WITHIN AN EXECUTI0NENVIR0NMENT”的美國申請序列號11/3卯488中進行了描述,該申請通過引用 包括到本文中��。
可以采用任何合適的方式將OOB安全代理110提供給可管理性引擎�����。例如�,它可 出現(xiàn)在CD-ROM上,并存儲在例如安全非易失性存儲器150中����,或者它可以是在制作時或在 以后的時間包括到可管理性引擎中的固件的部分。它可以自啟動�,或者它可以響應來自安 全代理服務122的請求經(jīng)由可管理性引擎140啟用和啟動。
在許多情況下���,將以以下方式加載00B安全代理110用于CPU執(zhí)行�。首先�����,啟動 BIOS,并且一旦其初始引導任務完成�����,它便將引導移交給可管理性引擎���,然后可管理性引擎 將00B代理安全加載到存儲器中(例如����,經(jīng)由OS空間之外的虛擬化和/或其它安全方法)�。 一旦加載了 00B代理��,它則可使OS本身開始進行加載和啟動��。
在一些實施例中�����,可存在用于驗證00B代碼的完整性的機制��。例如����,可將校驗和 (或其它合適的度量標準)存儲在CPU或BIOS中���,然后在加載00B代理用于執(zhí)行時通過CPU 對其進行驗證。
00B代理還可提供例如要存儲在安全非易失性存儲器150中的存儲器快照(例如��, 散列審計(hash audit))以及基于來自帶內(nèi)代理的策略進行監(jiān)視的存儲器區(qū)域的事件�。OOB 代理還可通過提供來自由目標OS環(huán)境設置的特定CPU寄存器的信息來幫助帶內(nèi)代理建立 應當監(jiān)視的區(qū)域。
安全代理服務可以采用任何合適的方式從合適的可訪問網(wǎng)絡服務器來實現(xiàn)��。它可 作為遠程(云)服務來實現(xiàn)����,其中可對所提供的存儲器(例如,系統(tǒng)存儲器)快照執(zhí)行離線 反惡意軟件分析�。該服務還可通過使用安全00B網(wǎng)絡通道來提供受到00B代理保護的憑證 而驗證通過00B代理合適測量了 IB代理。
安全00B通道用于將平臺連接到安全代理服務�����。它包括可管理性引擎140中的網(wǎng) 絡接口 144和虛擬重定向塊142�����。網(wǎng)絡接口 144為服務122提供網(wǎng)絡接口(如同NIC—樣) 以便即使當OS不活動時仍可與平臺通信��。它還在惡意軟件可能已經(jīng)危及IB通道的完整性 時允許可管理性引擎140與服務122通信。
虛擬重定向142提供從可管理性引擎140和/或服務122到CPU以及引導和BIOS 功能性的通道��。因此�,例如,它可允許可管理性引擎140和/或服務122仿效⑶驅動器或 串行鏈路并實現(xiàn)引導����,其中00B代理如之前所述那樣插入。網(wǎng)絡接口 144允許從IB代理證 明它正在受保護地運行��。如果/當本地IB和/或00B代理分析檢測到可能需要補救的問 題時����,它還允許服務122接收來自IB代理的報警。它還允許服務122向IB代理提供策略 并在帶內(nèi)分析完成之后便于補救平臺����。
圖2示出利用可作為htel的vPro 技術的一部分的htel AMT (主動管理技 術)的圖1中的平臺的示范性實現(xiàn)�����。例如�����,芯片組可包括可管理性引擎(ME)MO,而ME 240 可包括IDE-R(IDE重定向)特征以及00B網(wǎng)絡棧(網(wǎng)絡接口 )��。它還可包括可信存儲器服 務層(TMSL)����,其可用于實現(xiàn)圖1中的00B代理。一些CPU還可包括TXT (可信執(zhí)行技術)能 力�、在啟動00B代理(在此情況下為TMSL)之前可用于驗證00B代理的完整性的硬件根系簽名檢查器。
IDE-R使得能夠進行網(wǎng)絡引導操作���。它可用于向本地平臺提供經(jīng)由虛擬媒體映像 啟動的TMSL�����。(這只在初始下載時需要)���。一般來說,不管受管理客戶端的引導和功率狀態(tài) 如何�����,IDE-R都可從管理控制臺為受管理客戶端提供重定向串行和IDE通信�。客戶端只需 具有AMT能力���、到電源的連接和網(wǎng)絡連接����。
在一些實施例中,安全非易失性存儲器可利用IntelTMAMT 3PDS(第三方數(shù)據(jù)存 儲)裝置來實現(xiàn)�����。它可用于存儲由TMSL創(chuàng)建的策略以及審計日志的散列��。3PDS通常是用 閃速存儲器實現(xiàn)的�����。它可用于存儲日志以發(fā)送回給服務122�����。
圖3示出用于從在線服務加載和啟動OOB代理的例行程序��。在302�����,服務評估平臺 的能力和狀態(tài)�����。服務可通過與可管理性引擎的安全對話來評估平臺能力����。
在304,如上所述��,如果平臺適合IB和OOB安全性����,則進行到306。否則�����,可在稍后 的時間再次檢查(303)���。
在306�����,在下載軟件之后�����,如果必需�����,則服務122可通過重新引導平臺并將虛擬重 定向(IDE-R引導)選項設為活動來開始服務��。服務為OOB代理(例如�����,TMSL)提供密鑰/ 策略���。在308��,重新引導平臺���,以便使OOB和IB代理啟動。利用這樣的引導�����,在310����,00B代 理可在訪客OS環(huán)境中啟動0S,其中還啟動IB代理����。最后,在312�����,運行中的IB和OOB代理 彼此一起起作用以保護平臺免受惡意軟件的攻擊���。
圖4示出利用IB和OOB代理運行惡意軟件保護的例行程序���。在402,IB代理向 OOB代理(例如�����,TMSL)注冊以開始對它想要保護的系統(tǒng)存儲器頁面的測量并將它們綁定到 其運行時狀態(tài)�。
在404,通過例如利用所提供的清單���,OOB代理測量IB代理并保護它�����。例如��,它可如 前面提及的包括到本文的題為 “INTRA-PARTITIONING OF SOFTWARE COMPONENTS WITHINAN EXE⑶TION ENVIRONMENT”的專利申請所描述地那樣執(zhí)行頁面保護�。其中,OOB代理可測量 和保護包含IB代理的代碼和數(shù)據(jù)的頁面�����。IB代理可能沒有對這些保護的本地了解�,并且可 能只嘗試訪問對它可用的服務。OOB代理還可與IB安全代理創(chuàng)建受保護的存儲器通道��。
在406�����,IB代理可聯(lián)系服務122以確認受保護的操作�。例如,它可經(jīng)由OOB代理創(chuàng) 建的引用(IB代理的簽名散列)這樣做����。然后,服務可向IB代理提供反惡意軟件規(guī)則/策 略(例如�����,創(chuàng)建或更新它們)。如果服務可驗證IB代理受到OOB代理的保護��,則服務可經(jīng) 由受保護的存儲器空間(受到OOB代理的保護)將(簽名)規(guī)則提供給受保護的IB代理��。 OOB代理也可將這些認證令牌存儲(例如�����,在安全非易失性存儲器150中)到為它自己的使 用而保留的特殊的受保護存儲區(qū)域中�����。
在408��,IB代理可利用OOB代理服務來讀取存儲器或將存儲器事件處理程序設置 成允許訪問特定物理或虛擬存儲器頁面�����。對受監(jiān)視存儲器的所有訪問可例如導致經(jīng)由受保 護的存儲器通道將事件報導到安全代理中��。未知事件或行為可使IB代理經(jīng)由OOB代理生 成存儲器快照并將它保存在例如受保護的非易失性存儲器中���,其中保存散列和審計并使它 們可供在線服務122使用。
在以上描述中,闡述了眾多具體細節(jié)�。但是,應了解����,沒有這些具體細節(jié)也可實現(xiàn) 本發(fā)明的實施例。在其它情況下��,沒有詳細示出公知的電路�����、結構和技術�����,以免使本描述晦 澀難懂�。記住,提到“一個實施例”��、“實施例”�����、“示范實施例”�����、“各種實施例”等時表示,這樣描述的本發(fā)明的實施例可包括特定特征�����、結構或特性���,但不是每個實施例都一定要包括這 些特定特征、結構或特性��。此外��,一些實施例可具有針對其它實施例描述的一些或所有特 征�����,或者可不具有針對其它實施例描述的任何特征���。
在以上描述和隨附權利要求中�,以下術語應如下理解�。可使用術語“耦合”和“連 接”及其派生詞����。應理解���,這些術語不是彼此同義的。而是�����,在特定實施例中�����,“連接”用于 表示兩個或兩個以上元件彼此直接物理或電接觸����。“耦合”用于表示兩個或兩個以上元件彼 此協(xié)作或交互����,但它們可以或者可以不直接物理或電接觸。
本發(fā)明不限于所描述的實施例���,而是在實現(xiàn)時可具有在隨附權利要求的精神和范 圍內(nèi)的修正和更改�。例如�����,應明白,本發(fā)明適合與所有類型的半導體集成電路(“IC”)芯片 一起使用���。這些IC芯片的實例包括但不限于處理器�、控制器���、芯片組組件�����、可編程邏輯陣列 (PLA)、存儲器芯片��、網(wǎng)絡芯片等����。
還應明白,在一些附圖中�,用線條表示信號傳導線路。一些可能比較粗以便表示較 多的構成信號路徑���,一些可能具有數(shù)字標記以便表示構成的信號路徑的數(shù)量�,和/或一些 可能在一端或多端具有箭頭以便表示主要信息流方向。但是����,這不應以限制方式來理解。而 是�����,這些增加的細節(jié)可結合一個或多個示范性實施例使用以便于更容易地理解電路��。不管 是否具有額外信息���,任何表示的信號線實際上都可包括可沿多個方向行進的一個或多個信 號�,并且可以用任何合適類型的信號方案來實現(xiàn)�����,例如用差分對����、光纖線和/或單端線實現(xiàn) 的數(shù)字或模擬線路。
應明白�,可能會給出示范尺寸/模型/值/范圍,但本發(fā)明不限于此�����。隨著制造技 術(例如,光刻術)隨時間變得成熟��,預期可制造更小尺寸的器件����。此外,為了說明和論述 的簡化�,并且為了避免使本發(fā)明晦澀難懂,圖中可能示出或者可能未示出到IC芯片和其它 組件的公知功率/地連接�。另外,為了避免使本發(fā)明晦澀難懂����,用框圖的形式示出各布置�����, 這樣做還考慮到關于這些框圖布置的實現(xiàn)的細節(jié)高度依賴實現(xiàn)本發(fā)明的平臺的事實�����,即���, 這些細節(jié)應當在本領域技術人員的范圍之內(nèi)�。在闡述了具體細節(jié)(例如,電路)以便描述 本發(fā)明的示范實施例的情況下�,本領域技術人員應明白,本發(fā)明可在沒有這些具體細節(jié)或 在這些具體細節(jié)有變化的情況下實現(xiàn)��。因此�����,應將本描述視為是說明性而不是限制性����。
權利要求
1.一種計算平臺,包括CPU�,用于執(zhí)行具有相關聯(lián)操作系統(tǒng)(OS)存儲器空間的操作系統(tǒng)(OS);以及 可在所述操作系統(tǒng)不運行時進行操作的可管理性引擎��,所述可管理性引擎提供帶外 (OOB)安全代理以保護所述OS存儲器空間中的代碼����,所述OOB安全代理在所述OS之外運 行。
2.如權利要求1所述的平臺��,其中所述OOB代理在所述CPU中在所述OS之下運行。
3.如權利要求1所述的平臺����,包括在所述OS內(nèi)運行的帶內(nèi)(IB)代理。
4.如權利要求3所述的平臺����,其中所述IB代理通知所述OOB代理可能的惡意軟件活動。
5.如權利要求3所述的平臺����,其中所述OOB代理保護所述IB代理免受惡意軟件的攻擊ο
6.如權利要求1所述的平臺,其中所述可管理性引擎包括用于向外部安全代理服務提 供安全OOB通道的網(wǎng)絡接口�����。
7.如權利要求1所述的平臺����,其中所述可管理性引擎在芯片中與所述OOB代理的固件一起實現(xiàn)。
8.如權利要求1所述的平臺����,其中所述可管理性引擎在網(wǎng)絡接口控制器中實現(xiàn)�����。
9.如權利要求1所述的平臺,其中所述可管理性引擎包括虛擬重定向����,其可使得能夠 遠程重新引導所述CPU以激活所述OOB代理。
10.如權利要求1所述的平臺���,其中所述CPU具有用于確認所述OOB代碼的完整性的邏輯�。
11.一種設備��,包括一個或多個芯片���,具有可管理性引擎和用于存儲帶外(OOB)安全代理以保護平臺免受 惡意軟件攻擊的非易失性存儲器��。
12.如權利要求11所述的設備�����,其中所述可管理性引擎包括用于重新引導所述平臺以 便激活所述OOB代理的虛擬重定向功能���。
13.如權利要求11所述的設備,其中所述可管理性引擎包括用于提供到所述平臺的 OOB網(wǎng)絡連接性的網(wǎng)絡接口�。
14.如權利要求11所述的設備,其中所述OOB代理用于向所述非易失性存儲器提供來 自所述平臺的散列審計數(shù)據(jù)以便供經(jīng)由安全OOB通道與所述可管理性引擎鏈接的遠程安 全服務進行分析。
15.如權利要求11所述的設備���,其中所述OOB代理在所述平臺的系統(tǒng)操作系統(tǒng)之下的 層中運行�����。
16.一種系統(tǒng)�����,包括平臺��,包含具有相關聯(lián)的OS的CPU和具帶外(OOB)能力的可管理性引擎�����;以及 經(jīng)由所述可管理性引擎鏈接到所述平臺的遠程安全代理服務����; 其中在所述OS之外執(zhí)行OOB代理以便保護所述平臺免受惡意軟件的攻擊����。
17.如權利要求15所述的系統(tǒng),其中所述遠程服務向所述平臺提供所述OOB代理��。
18.如權利要求15所述的系統(tǒng)����,包括在所述OS內(nèi)運行的帶內(nèi)代理。
全文摘要
在一些實施例中���,方法可提供用于保護平臺的帶外(OOB)代理�。OOB代理能夠利用非TRS方法來測量和保護帶內(nèi)安全代理�����。在一些實施例中�,可管理性引擎可提供到帶內(nèi)和帶外安全代理的帶外連接性,并提供對系統(tǒng)存儲器資源的訪問權���,而不必依賴OS服務���。這可用于可信反惡意軟件和補救服務。
文檔編號H04L29/08GK102035651SQ20101050777
公開日2011年4月27日 申請日期2010年9月27日 優(yōu)先權日2009年9月25日
發(fā)明者D·M·德拉姆, H·M·科斯拉維, P·G·穆爾高恩卡, P·S·施密茨, R·L·薩希塔, S·奧林, Y·拉希德 申請人:英特爾公司