安全的盘访问控制制造技术

接收来自安全工具的请求，该请求与涉及存储设备中的数据记录的事件有关。使用应用编程接口(API)与该存储设备的安全存储功能对接，该安全存储功能启用一组安全存储操作。至少部分地基于该请求，在该存储设备处执行涉及该数据记录的安全操作。在一个方面，这组安全存储操作可包括：直接读取操作、直接写入操作、写入时复制操作和尝试保存的写入操作。

Secure disk access control

Receiving a request from a security tool is related to an event involving data logging in the storage device. The application programming interface (API) is used to connect with the security storage function of the storage device, and the security storage function enables a set of secure storage operations. At least partially, based on the request, a secure operation involving the data record is executed at the storage device. In one aspect, this set of secure storage operations can include direct read operation, direct write operation, copy operation at write time, and attempt to save write operations.

【技术实现步骤摘要】
安全的盘访问控制本申请是PCT国际申请号为PCT/US2013/048754、国际申请日为2013年6月28日、进入中国国家阶段的申请号为201380048900.7，题为“安全的盘访问控制”的专利技术专利申请的分案申请。
本公开总体涉及计算机安全领域，更具体而言，本公开涉及恶意软件的检测和修复。
技术介绍
存储是计算系统上的宝贵资源。计算系统的存储设备可以不仅是应用文件和数据的储存库，而且是关键的操作系统文件和关键的高价值数据(包括敏感的个人数据等此类示例)的储存库。根套件(rootkit)、病毒和其他恶意软件攻击已为目标存储设备所知，这些目标存储设备例如是存储设备的引导加载器(如，主引导记录(MBR))、文件系统、盘区等。此类恶意程序的示例包括TDL4、Trojan.Mebroot、Popureb.E、Max++，等等。此类恶意程序可操纵系统存储，从而为其的持续存在创建空间、创建私有文件系统或存储分区、偷窃数据、泄露数据、造成数据丢失，等等此类示例。附图说明图1是包括示例盘访问安全代理的示例系统的简化的示意图；图2是包括示例存储设备的示例系统的简化框图；图3是表示包括示例盘访问安全代理和公共API的示例系统的多个方面的简化框图；图4是表示示例盘访问安全代理和示例启用安全存储的存储设备之间的交互的简化框图；图5A-5B是表示示例安全存储操作的简化框图；图6A-6C是表示示例安全存储操作的简化框图；图7A-7C是表示示例安全存储操作的简化框图；图8A-8B是示例启用安全存储的存储设备中的数据记录的简化表示；图9A-9E是表示涉及示例盘访问安全代理的示例技术的流程图；图10是根据一个实施例的示例性处理器的框图；图11是根据一个实施例的示例性移动设备系统的框图；以及图12是根据一个实施例的示例性计算系统的框图。各附图中同样的附图标记指示同样的元素。具体实施方式图1示出示例系统100，其包括例如示例计算设备105，该示例计算设备105具有能够对接并控制由该计算设备105利用的一个或多个存储设备(如，110)的盘访问安全代理115。在一些实现方案中，盘访问安全代理115可控制在存储设备层级(如，l1)上可用的操作和逻辑，以提供延伸至系统软件堆栈的最低层的专用的安全存储功能。该盘访问安全代理115可通过一个或多个API(如，120)与启用安全存储的存储设备(如，110)上所提供的功能对接。在一个示例中，可将盘访问安全代理115配置成用于通过单个的、公共API120等等此类潜在的示例，潜在地与多个启用安全存储的存储设备对接。在一些实现方案中，盘访问安全代理115可进一步与安全管理工具(如，125)对接，并连接到安全管理工具(如，125)，这些安全管理工具(包括安全工具套件)提供高级的安全评估和策略管理服务。此类安全工具(如，125)可包括例如主机入侵防护系统、反恶意软件检测和修复工具、数据访问控制和防护，等等此类示例。此外，可通过外部的(例如，远程的和/或第三方的)安全管理工具(以及存在于计算设备105上的安全工具)定义并管理各种安全策略(如，130)以引导盘访问安全代理115的多种交互以及引导对在启用安全存储的存储设备(如，110)处的各种存储层级或盘层级操作的控制。在一个示例实现方案中，盘访问安全代理115可包括一个或多个处理器132和一个或多个存储器元件134，以及例如结合该盘访问安全代理与存储设备(如，110)的交互来提供各种功能的一个或多个组件。在一些示例中，此类组件可包括属性引擎136、访问决定引擎138、策略管理器140、情报引擎142、自保护引擎144、早期或离线检测引擎146，等等潜在的许多此类示例。在一个示例实现方案中，属性引擎136可具有从在存储设备110处通过受监测的读取/写入尝试检测到的信息中标识特定的读取/写入尝试的源等此类示例的功能和逻辑。在一些实例中，盘访问安全代理115可进一步包括访问决定引擎138，该访问决定引擎138具有确定响应于在存储设备处的各种读取/写入尝试而要在存储设备110处采取的动作(例如，基于使用属性引擎136对特定的读取/写入尝试的源进行的标识)的逻辑和功能。此外，可在存储设备110处或在描述经监测的读取/写入尝试的更高的软件堆栈处收集信息，可向盘访问安全代理115提供此信息，并且可例如由示例访问决定引擎138利用此信息以确定读取/写入尝试是正当的、期望的或可信的，或者确定在某些实例中，应当阻止、经进一步分析或以其他方式修复未知的或不可信的读取/写入尝试。在一些示例中，盘访问安全代理115可进一步包括诸如策略管理器140之类的附加组件。示例策略管理器140可包括用于接收、更新多个策略，并将这些策略应用于与盘访问安全代理115对接(如，通过公共API120)的盘(如，存储设备110)的读取/写入尝试的功能，这些策略例如是经由一个或多个安全管理工具125服务于盘访问安全代理115的策略130。相关地，在盘访问安全代理115的一些实现方案中，可提供情报引擎142以从一个或多个安全工具125中收集情报，这些安全工具125发现关于计算设备105的属性、所安装的应用、硬件配置、网络配置、已知的威胁和易损性等此类示例的信息。通过示例情报引擎和/或通过示例策略管理器收集到的情报(例如，基于从对其他类似的计算设备、操作系统、应用等的监测中收集到的情报)可用于通知盘访问安全代理115的(例如，使用访问决定引擎138)、关于存储设备110(或“盘”)的多个活动的决定、指令和控制。附加的组件可包括例如自保护模块144，该自保护模块144用于利用存储设备110的多个功能以保护由盘访问安全代理和/或其他安全相关的工具所利用的文件和数据以及计算设备所使用的应用，等等此类示例。在一些实现方案中，可用执行基本存储管理和数据读取/写入操作的逻辑来配置存储设备110。此外，可用在一些情况下结合盘访问安全代理115执行多个功能的功能来进一步配置启用安全存储的存储设备(如，110)以实现各种安全存储任务。存储设备110可包括一个或多个处理器设备148、一个或多个存储器元件150以及提供用于执行各种安全存储功能的功能的一个或多个组件(或者可与上述各项一起来利用存储设备110)。存储设备110可以是各种数据170和备份数据175的储存库。在一些示例中，存储设备110可存储敏感的数据，包括操作系统文件、本地安全工具文件、主引导记录(MBR)、卷引导记录(VBR)，等等此类示例。启用安全存储的存储器设备(如，110)可包括能够启用稳健的存储设备操作和校验的逻辑，诸如例如逻辑152，该逻辑152启用直接的或可信的读取能力，该读取能力允许存储设备绕过盘堆栈文件系统，并且直接从存储设备上的数据记录中读取。类似地，示例存储设备可具有用于对该示例存储设备的数据执行直接、可信的写入的逻辑156。在一些实现方案中，存储设备可具有用于执行基本的数据访问控制操作的逻辑154，这些操作包括阻止或不允许以及修改对存储设备数据(例如，该存储设备的特定区域)的读取、写入和其他访问尝试。实际上，存储设备可具有定义并初始化用于安全存储的盘的多个部分的功能(如，安全存储逻辑158)，并且可进一步具有管理该盘的功能(如，盘管理逻辑本文档来自技高网...

【技术保护点】
至少一种机器可访问存储介质，具有存储于其上的多条指令，当在机器上执行所述多条指令时，所述多条指令使所述机器用于：接收来自安全工具的请求，所述请求与涉及存储设备中的数据记录的事件有关；使用应用编程接口(API)与所述存储设备的安全存储功能对接，其中，所述安全存储功能启用一组安全存储操作；以及至少部分地基于所述请求，在所述存储设备处执行涉及所述数据记录的安全操作。

【技术特征摘要】
2012.10.19 IN 1213/KOL/20121.至少一种机器可访问存储介质，具有存储于其上的多条指令，当在机器上执行所述多条指令时，所述多条指令使所述机器用于：接收来自安全工具的请求，所述请求与涉及存储设备中的数据记录的事件有关；使用应用编程接口(API)与所述存储设备的安全存储功能对接，其中，所述安全存储功能启用一组安全存储操作；以及至少部分地基于所述请求，在所述存储设备处执行涉及所述数据记录的安全操作。2.如权利要求1所述的存储介质，其特征在于，所述API促进基于主机的安全存储能力、基于芯片组的安全存储能力和基于固件的安全存储能力中的每一个所共有的一组安全存储功能。3.如权利要求1所述的存储介质，其特征在于，所述一组安全存储操作包括直接读取操作。4.如权利要求3所述的存储介质，其特征在于，所述安全操作包括对所述数据记录中的特定数据记录的直接读取，所述多条指令进一步使所述机器将通过所述直接读取所获取的特定数据的内容传递到所述安全工具中，执行所述安全操作包括：通过直接写入操作重新写入所述特定数据记录。5.如权利要求1所述的存储介质，其特征在于，所述一组安全存储操作包括直接写入操作。6.一种方法，包括：接收来自安全工具的...

【专利技术属性】
技术研发人员：M·休斯，J·泰迪，A·卡布拉，
申请(专利权)人：迈克菲股份有限公司，
类型：发明
国别省市：美国,US