▶ カズアー アドヴァンスド テクノロジーズ リミテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-07-11
(54)【発明の名称】脅威に強いマルチコンピューティング環境
(51)【国際特許分類】
G06F 21/55 20130101AFI20230704BHJP
【FI】
G06F21/55
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2022574103
(86)(22)【出願日】2021-06-03
(85)【翻訳文提出日】2022-12-01
(86)【国際出願番号】 IL2021050665
(87)【国際公開番号】W WO2021245674
(87)【国際公開日】2021-12-09
(31)【優先権主張番号】275098
(32)【優先日】2020-06-03
(33)【優先権主張国・地域又は機関】IL
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
2.BLUETOOTH
3.イーサネット
(71)【出願人】
【識別番号】520372331
【氏名又は名称】カズアー アドヴァンスド テクノロジーズ リミテッド
【氏名又は名称原語表記】KAZUAR Advanced Technologies Ltd.
(74)【代理人】
【識別番号】110001302
【氏名又は名称】弁理士法人北青山インターナショナル
(72)【発明者】
【氏名】フィンチェルスタイン,ダニエル モンディ
(72)【発明者】
【氏名】ポラット,ユヴァル モシェ
(72)【発明者】
【氏名】フェンスター,ヤアコフ
(72)【発明者】
【氏名】マルコ,シュロミ ラズ
(57)【要約】
コンピューティングシステムは、共有リソースにアクセスするために1つ以上のコンピューティング環境(CE)を実行するように構成された1つ以上のプロセッサと、前記1つ以上のCEに動作可能に接続され、前記1つ以上のCEによって生成されたデータを検査するように構成された、プロセッサベースのコンピューティング環境検査ユニット(CEIU)と、プロセッサベースの緩和ユニット(MU)と、記憶媒体と、を備え、前記CEIUは、第1のCEの侵害を示すCEによって生成されたデータの検出に応答して、前記第1のCEの侵害を前記MUに通知するようにさらに構成され、前記MUは、前記第1のCEの侵害の通知の受信に応答して、前記第1のCEによる前記共有リソースへのアクセスを無効にするように構成される。
【選択図】図1B
【選択図】図1B
【特許請求の範囲】
【請求項1】
コンピューティングシステムであって、1つ以上のプロセッサであって、前記1つ以上のプロセッサは、1つ以上のコンピューティング環境(CE)を実行するように構成され、前記1つ以上のCEは、共有リソースにアクセスするように構成された、プロセッサと、
前記1つ以上のCEに動作可能に接続され、前記1つ以上のCEのCEデータを検査するように構成された、プロセッサベースのコンピューティング環境検査ユニット(CEIU)と、
プロセッサベースの緩和ユニット(MU)と、
を備え、
前記CEIUは、第1のCEの侵害を示すCEデータの検出に応答して、前記第1のCEの侵害を前記MUに通知するようにさらに構成され、
前記MUは、前記第1のCEの侵害の通知の受信に応答して、
a)前記第1のCEによる前記共有リソースへのアクセスを無効にすることと、
b)前記第1のCEの実行状態の派生データを保存し、これにより脅威分析に使用できるCE画像を生成することと、
c)前記第1のCEを終了し、前記第1のCEの第1のブート画像からCE動作を復元することと、
を含む群の少なくとも1つを実施するように構成される、システム。
【請求項2】
前記1つ以上のCEの少なくとも1つはゲストCEであり、前記MUはハイパーバイザ機能を備える、請求項1に記載のシステム。
【請求項3】
前記1つ以上のCEの少なくとも1つはベースCEであり、前記MUはブートローダ機能を備える、請求項1に記載のシステム。
【請求項4】
前記1つ以上のCEの少なくとも1つはオペレーティングシステムプロセスである、請求項1に記載のシステム。
【請求項5】
前記1つ以上のCEの少なくとも1つはコンテナである、請求項1に記載のシステム。
【請求項6】
前記1つ以上のプロセッサの少なくとも1つは無線リンクを含むリモートデバイス内にあり、リモートCEが前記少なくとも1つのプロセッサ上で実行され、
前記リモートCEの前記CEIUへの動作可能な接続が前記無線リンクを利用する、請求項1に記載のシステム。
【請求項7】
前記MUは、前記第1のCEのCEデータをおとりリソースに向けることによって共有リソースへのアクセスを無効にするように構成され、これによって前記第1のCEを分離する、請求項1に記載のシステム。
【請求項8】
前記おとりリソースは、前記第1のCEのCEデータの派生データを記憶媒体に記憶するように構成される、請求項7に記載のシステム。
【請求項9】
前記おとりリソースは、おとりデータを前記第1のCEに提供するように構成される、請求項7に記載のシステム。
【請求項10】
前記CEIUは、ネットワークインターフェースコントローラに配置され、前記CEIUは、前記1つ以上のCEからのネットワークデータを検査するように構成される、請求項1に記載のシステム。
【請求項11】
前記CEIUは、仮想ネットワークに動作可能に接続されたゲストCEであり、前記CEIUは、1つ以上の前記CEによって生成されたネットワークデータ、および
1つ以上の前記CEに送信されたネットワークデータのうちの少なくとも1つを検査するように構成される、請求項1に記載のシステム。
【請求項12】
コンピューティング環境(CE)の侵害を緩和する方法であって、プロセッサベースのコンピューティング環境検査ユニット(CEIU)によって、共有リソースにアクセスするように構成された1つ以上のCEのCEデータを検査することと、
前記プロセッサベースのCEIUによって、第1のCEの侵害を示すCEデータを検出することと、
侵害を示す前記データの検出に応答して、前記プロセッサベースのCEIUによって、前記第1のCEの侵害をプロセッサベースの緩和ユニット(MU)に通知することと、
前記第1のCEの侵害の通知の受信に応答して、前記MUによって、
g)前記第1のCEによる前記共有リソースへのアクセスを無効にすることと、
h)前記第1のCEの実行状態の派生データを保存し、これにより脅威分析に使用できるCE画像を生成することと、
i)前記第1のCEを終了し、前記第1のCEの第1のブート画像からCE動作を復元することと、
を含む群の少なくとも1つを実施することと、
を含む方法。
【請求項13】
共有リソースへのアクセスを無効にすることは、前記第1のCEのCEデータをおとりリソースユニットに向けることを含み、これによって前記第1のCEを分離する、請求項12に記載の方法。
【請求項14】
共有リソースへのアクセスを無効にすることの後に、前記プロセッサベースのMUによって、記憶媒体に保存された第1のCEブート画像からCE動作を復元することをさらに含む、請求項12に記載の方法。
【請求項15】
前記おとりリソースは、おとりデータを前記第1のCEに提供する、請求項13に記載の方法。
【請求項16】
プログラム命令を含むコンピュータ可読記憶媒体を備えるコンピュータプログラム製品であって、当該プログラム命令は、プロセッサによって読み込まれると、コンピューティング環境(CE)の侵害を緩和する方法を前記プロセッサに実施させ、本方法は、プロセッサベースのコンピューティング環境検査ユニット(CEIU)によって、共有リソースにアクセスするように構成された1つ以上のCEのCEデータを検査することと、
前記プロセッサベースのCEIUによって、第1のCEの侵害を示すCEデータを検出することと、
侵害を示す前記データの検出に応答して、前記プロセッサベースのCEIUによって、前記第1のCEの侵害をプロセッサベースの緩和ユニット(MU)に通知することと、
前記第1のCEの侵害の通知の受信に応答して、前記MUによって、
j)前記第1のCEによる前記共有リソースへのアクセスを無効にすることと、
k)前記第1のCEの実行状態の派生データを保存し、これにより脅威分析に使用できるCE画像を生成することと、
l)前記第1のCEを終了し、前記第1のCEの第1のブート画像からCE動作を復元することと、
を含む群の少なくとも1つを実施することと、
を含む、コンピュータプログラム製品。
【請求項17】
共有リソースへのアクセスを無効にすることは、前記第1のCEを終了することを含む、請求項16に記載のコンピュータプログラム製品。
【請求項18】
共有リソースへアクセスを無効にすることは、前記第1のCEのCEデータをおとりリソースユニットに向けることを含み、これによって前記第1のCEを分離する、請求項16に記載のコンピュータプログラム製品。
【請求項19】
前記方法は、共有リソースへのアクセスを無効にすることの後に、前記プロセッサベースのMUによって、記憶媒体に保存された第1のCEブート画像からCE動作を復元することをさらに含む、請求項16に記載のコンピュータプログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
本開示の主題は、コンピューティングシステムの保護に関し、特にマルウェアの侵入を緩和する。
【背景技術】
【0002】
マルウェアの感染とその緩和の問題は、従来技術で認識されており、解決策を提供するためにさまざまな技術が開発されてきた。
【発明の概要】
【0003】
本開示の主題の一態様によれば、コンピューティングシステムが提供され、本システムは、1つ以上のプロセッサであって、前記1つ以上のプロセッサは、1つ以上のコンピューティング環境(CE)を実行するように構成され、前記1つ以上のCEは、共有リソースにアクセスするように構成された、プロセッサと、前記1つ以上のCEに動作可能に接続され、前記1つ以上のCEによって生成されたデータを検査するように構成された、プロセッサベースのコンピューティング環境検査ユニット(CEIU)と、プロセッサベースの緩和ユニット(MU)と、記憶媒体と、を備え、前記CEIUは、第1のCEの侵害を示すCE生成データの検出に応答して、前記第1のCEの侵害を前記MUに通知するようにさらに構成され、前記MUは、前記第1のCEの侵害の通知の受信に応答して、前記第1のCEによる前記共有リソースへのアクセスを無効にするように構成される。
【0004】
上記の特徴に加えて、本開示の主題の本態様によるシステムは、技術的に可能な任意の所望の組み合わせまたは順列で、以下に列挙される特徴(i)から(x)の1つまたは複数を含むことができる。
【0005】
(i)前記1つ以上のCEの少なくとも1つはゲストCEであり、前記MUはハイパーバイザ機能を備える。
【0006】
(ii)前記1つ以上のCEの少なくとも1つはベースCEであり、前記MUはブートローダ機能を備える。
【0007】
(iii)共有リソースへのアクセスを無効にすることは、前記第1のCEを終了することを含む。
【0008】
(iv)共有リソースへのアクセスを無効にすることは、前記第1のCEによって生成されたデータをプロセッサベースのおとりリソースユニットに向けることを含み、これによって前記第1のCEを分離する。
【0009】
(v)前記おとりリソースユニットは、前記第1のCEによって生成された受信データの派生データを前記記憶媒体に記憶するように構成される。
【0010】
(vi)前記おとりリソースユニットは、おとりデータを前記第1のCEに提供するように構成される。
【0011】
(vii)前記MUは、前記第1のCEの侵害を示す前記通知の受信に応答して、前記第1のCEの実行状態のデータ派生物を前記記憶媒体に記憶するように構成され、これにより、脅威分析に使用できるCE画像が生成される。
【0012】
(viii)前記MUは、共有リソースへのアクセスを無効にした後、前記記憶媒体に保存された第1のCEブート画像からCE動作を復元するように構成される。
【0013】
(ix)前記CEIUは、ネットワークインターフェースコントローラに配置され、前記CEIUは、前記1つ以上のCEからのネットワークデータを検査するように構成される。
【0014】
(x)前記CEIUは、仮想ネットワークに動作可能に接続されたゲストCEであり、前記CEIUは、前記1つ以上のCEによって生成されたネットワークデータを検査するように構成される。
【0015】
本開示の主題の別の態様によれば、マルチCEシステムにおけるコンピューティング環境(CE)の侵害を緩和する方法が提供され、本方法は、プロセッサベースのコンピューティング環境検査ユニット(CEIU)によって、共有リソースにアクセスするように構成された1つ以上のCEによって生成されたデータを検査することと、前記プロセッサベースのCEIUによって、第1のCEの侵害を示すCE生成データを検出することと、侵害を示す前記データの検出に応答して、前記プロセッサベースのCEIUによって、前記第1のCEの侵害をプロセッサベースの緩和ユニット(MU)に通知することと、前記第1のCEの侵害の通知の受信に応答して、前記MUによって、前記第1のCEによる前記共有リソースへのアクセスを無効にすることと、を含む。
【0016】
本開示の主題の本態様は、技術的に可能な任意の所望の組み合わせまたは順列で、システムに関する上述の特徴(i)から(x)の1つまたは複数を適宜、任意で含むことができる。
【0017】
本開示の主題の別の態様によれば、プログラム命令を含むコンピュータ可読記憶媒体を備えるコンピュータプログラム製品が提供され、当該プログラム命令は、プロセッサによって読み込まれると、マルチCEシステムにおけるコンピューティング環境(CE)の侵害を緩和する方法を前記プロセッサに実施させ、本方法は、プロセッサベースのコンピューティング環境検査ユニット(CEIU)によって、共有リソースにアクセスするように構成された1つ以上のCEによって生成されたデータを検査することと、前記プロセッサベースのCEIUによって、第1のCEの侵害を示すCE生成データを検出することと、侵害を示す前記データの検出に応答して、前記プロセッサベースのCEIUによって、前記第1のCEの侵害をプロセッサベースの緩和ユニット(MU)に通知することと、前記第1のCEの侵害の通知の受信に応答して、前記MUによって、前記第1のCEによる前記共有リソースへのアクセスを無効にすることと、を含む。
【0018】
本開示の主題の本態様は、技術的に可能な任意の所望の組み合わせまたは順列で、システムに関する上述の特徴(i)から(x)の1つまたは複数を適宜、任意で含むことができる。
【0019】
本開示の主題の別の態様によれば、コンピューティングシステムが提供され、本システムは、1つ以上のプロセッサであって、前記1つ以上のプロセッサは、1つ以上のコンピューティング環境(CE)を実行するように構成され、前記1つ以上のCEは、共有リソースにアクセスするように構成された、プロセッサと、前記1つ以上のCEに動作可能に接続され、前記1つ以上のCEのCEデータを検査するように構成された、プロセッサベースのコンピューティング環境検査ユニット(CEIU)と、プロセッサベースの緩和ユニット(MU)と、を備え、前記CEIUは、第1のCEの侵害を示すCEデータの検出に応答して、前記第1のCEの侵害を前記MUに通知するようにさらに構成され、前記MUは、前記第1のCEの侵害の通知の受信に応答して、
a)前記第1のCEによる前記共有リソースへのアクセスを無効にすることと、
b)前記第1のCEの実行状態の派生データを保存し、これにより脅威分析に使用できるCE画像を生成することと、
c)前記第1のCEを終了し、前記第1のCEの第1のブート画像からCE動作を復元することと、
を含む群の少なくとも1つを実施するように構成される。
a)前記第1のCEによる前記共有リソースへのアクセスを無効にすることと、
b)前記第1のCEの実行状態の派生データを保存し、これにより脅威分析に使用できるCE画像を生成することと、
c)前記第1のCEを終了し、前記第1のCEの第1のブート画像からCE動作を復元することと、
を含む群の少なくとも1つを実施するように構成される。
【0020】
上記の特徴に加えて、本開示の主題の本態様によるシステムは、技術的に可能な任意の所望の組み合わせまたは順列で、以下に列挙される特徴(i)から(ix)の1つまたは複数を含むことができる。
【0021】
(i)前記1つ以上のCEの少なくとも1つはゲストCEであり、前記MUはハイパーバイザ機能を備える。
【0022】
(ii)前記1つ以上のCEの少なくとも1つはベースCEであり、前記MUはブートローダ機能を備える。
【0023】
(iii)前記1つ以上のCEの少なくとも1つはオペレーティングシステムプロセスである。
【0024】
(iv)前記1つ以上のCEの少なくとも1つはコンテナである。
【0025】
(v)前記1つ以上のプロセッサの少なくとも1つは無線リンクを含むリモートデバイス内にあり、リモートCEが前記少なくとも1つのプロセッサ上で実行され、前記リモートCEの前記CEIUへの動作可能な接続が前記無線リンクを利用する。
【0026】
(vi)前記MUは、前記第1のCEのCEデータをおとりリソースに向けることによって共有リソースへのアクセスを無効にするように構成され、これによって前記第1のCEを分離する。
【0027】
(vii)前記おとりリソースは、前記第1のCEのCEデータの派生データを記憶媒体に記憶するように構成される。
【0028】
(viii)前記おとりリソースは、おとりデータを前記第1のCEに提供するように構成される。前記CEIUは、ネットワークインターフェースコントローラに配置され、前記CEIUは、前記1つ以上のCEからのネットワークデータを検査するように構成される。
【0029】
(ix)前記CEIUは、仮想ネットワークに動作可能に接続されたゲストCEであり、前記CEIUは、1つ以上の前記CEによって生成されたネットワークデータ、および1つ以上の前記CEに送信されたネットワークデータのうちの少なくとも1つを検査するように構成される。
【0030】
本開示の主題の別の態様によれば、コンピューティング環境(CE)の侵害を緩和する方法が提供され、本方法は、プロセッサベースのコンピューティング環境検査ユニット(CEIU)によって、共有リソースにアクセスするように構成された1つ以上のCEのCEデータを検査することと、前記プロセッサベースのCEIUによって、第1のCEの侵害を示すCEデータを検出することと、侵害を示す前記データの検出に応答して、前記プロセッサベースのCEIUによって、前記第1のCEの侵害をプロセッサベースの緩和ユニット(MU)に通知することと、前記第1のCEの侵害の通知の受信に応答して、前記MUによって、
a)前記第1のCEによる前記共有リソースへのアクセスを無効にすることと、
b)前記第1のCEの実行状態の派生データを保存し、これにより脅威分析に使用できるCE画像を生成することと、
c)前記第1のCEを終了し、前記第1のCEの第1のブート画像からCE動作を復元することと、
を含む群の少なくとも1つを実施することと、を含む。
a)前記第1のCEによる前記共有リソースへのアクセスを無効にすることと、
b)前記第1のCEの実行状態の派生データを保存し、これにより脅威分析に使用できるCE画像を生成することと、
c)前記第1のCEを終了し、前記第1のCEの第1のブート画像からCE動作を復元することと、
を含む群の少なくとも1つを実施することと、を含む。
【0031】
本開示の主題の本態様は、技術的に可能な任意の所望の組み合わせまたは順列で、システムに関する上述の特徴(i)から(ix)の1つまたは複数を適宜、任意で含むことができる。
【0032】
本開示の主題の別の態様によれば、プログラム命令を含むコンピュータ可読記憶媒体を備えるコンピュータプログラム製品が提供され、当該プログラム命令は、プロセッサによって読み込まれると、コンピューティング環境(CE)の侵害を緩和する方法を前記プロセッサに実施させ、本方法は、プロセッサベースのコンピューティング環境検査ユニット(CEIU)によって、共有リソースにアクセスするように構成された1つ以上のCEのCEデータを検査することと、前記プロセッサベースのCEIUによって、第1のCEの侵害を示すCEデータを検出することと、侵害を示す前記データの検出に応答して、前記プロセッサベースのCEIUによって、前記第1のCEの侵害をプロセッサベースの緩和ユニット(MU)に通知することと、前記第1のCEの侵害の通知の受信に応答して、前記MUによって、
d)前記第1のCEによる前記共有リソースへのアクセスを無効にすることと、
e)前記第1のCEの実行状態の派生データを保存し、これにより脅威分析に使用できるCE画像を生成することと、
f)前記第1のCEを終了し、前記第1のCEの第1のブート画像からCE動作を復元することと、
を含む群の少なくとも1つを実施することと、を含む。
d)前記第1のCEによる前記共有リソースへのアクセスを無効にすることと、
e)前記第1のCEの実行状態の派生データを保存し、これにより脅威分析に使用できるCE画像を生成することと、
f)前記第1のCEを終了し、前記第1のCEの第1のブート画像からCE動作を復元することと、
を含む群の少なくとも1つを実施することと、を含む。
【0033】
本開示の主題の本態様は、技術的に可能な任意の所望の組み合わせまたは順列で、システムに関する上述の特徴(i)から(ix)の1つまたは複数を適宜、任意で含むことができる。
【0034】
本開示の主題の特定の実施形態の利点の中には、マルウェアによるコンピューティング環境の侵害に対する回復力の強化がある。
【図面の簡単な説明】
【0035】
本発明を理解し、実際にどのように実施できるかを理解するために、添付の図面を参照して、非限定的な例として実施形態を説明する。
【発明を実施するための形態】
【0036】
以下の詳細な説明では、本発明を十分に理解できるようにするために、数多くの具体的な詳細が示されている。しかしながら、本開示の主題は、これらの具体的な詳細がなくとも実施され得ることが、当業者には理解されるであろう。他の実施例では、本開示の主題を曖昧にしないように、周知の方法、手順、構成要素、および回路については詳細に説明していない。
【0037】
特に明記しない限り、以下の記述から明らかなように、明細書の記述全体を通して、「処理する」、「演算する」、「比較する」、「通知する」、「検査する」、「決定する」、「計算する」、「受信する」、「緩和する」、「停止する」、「分離する」、「提供する」、「復元する」などの用語を使用する場合は、データを操作および/または他のデータに変換するコンピュータの動作および/または処理を指しており、当該データは例えば電子量などの物理量として表され、および/または当該データは物理的な対象物を表す。「コンピュータ」という用語は、非限定的な例として、本出願で開示されるプロセッサ、緩和ユニット、および検査ユニットを含む、データ処理機能を備えたあらゆる種類のハードウェアベースの電子デバイスをカバーするように広く解釈されるべきである。
【0038】
本明細書で使用される「非一時的メモリ」および「非一時的記憶媒体」という用語は、現在開示されている主題に適した任意の揮発性または不揮発性コンピュータメモリを含むように広く解釈されるべきである。
【0039】
本明細書の教示による動作は、所望の目的のために特別に構築されたコンピュータによって、または非一時的なコンピュータ可読記憶媒体に記憶されたコンピュータプログラムによって所望の目的のために特別に構成された汎用コンピュータによって実行され得る。
【0040】
現在開示されている主題の実施形態は、特定のプログラミング言語を参照して説明されていない。本明細書に記載されているように、現在開示されている主題の教示を実装するために、さまざまなプログラミング言語を使用できることが理解されるであろう。
【0041】
これを念頭に置いて、本開示の主題のいくつかの実施形態による、脅威に強いマルチコンピューティング環境システムの例のブロック図を示す図1Aを参照する。
【0042】
多様なセキュリティメカニズムが広く展開されているにもかかわらず、ネットワーク化されたコンピューティングデバイスに対するサイバー攻撃を可能にする脅威ベクトルが多数存在する。これらのベクトルには、電子メール、Webコンテンツ、ユニバーサルシリアルバス(USB)デバイス、不正なモバイルアプリなどがある。これらのシステムアクセス方法は、組織または個人に対する攻撃を開始したり、情報を盗んだりするためのエントリポイントとなる。
【0043】
ソーシャルエンジニアリング攻撃を避けるためにユーザを慣れさせる努力やマルウェア対策ソリューションの展開にもかかわらず、組織や個人は依然として攻撃の犠牲になっている。場合によっては、マルウェアインスタンスが、従来のマルウェア対策保護の範囲外の特定のコンピュータ構成要素(低レベルのオペレーティングシステムソフトウェアなど)に現れることがある。場合によっては、マルウェアインスタンスには、従来のマルウェア対策メカニズムによる検出を回避できるメカニズムがある。
【0044】
いくつかの実施形態では、本主題は、マルチコンピューティング環境(CE)を、CEをモニタリングし、いかなる侵害も検出/緩和するためのインフラストラクチャとともに含むことができる、脅威に強いマルチコンピューティングシステム100について説明する。
【0045】
「敵対ツール」マルウェアの潜伏期間は、例えば14日間である。頻繁に、攻撃者は、例えば50~150日間、システムの活動を受動的にモニタリングできる。その結果、CEを毎日または毎週復元することで、このような種類の敵対者の活動を効果的に緩和することができる。
【0046】
本開示の主題の説明を明確にするために、図1Aは、二次バス117を介して動作可能に接続された単一のメモリ115を有する単一のプロセッサ110を含む脅威に強いコンピューティングシステム100の例を示す。いくつかの実施形態では、脅威に強いマルチコンピューティングシステム100は、1つ以上のプロセッサを含むことができ、これらは、当技術分野で知られているように、さまざまな方法で1つ以上のメモリおよび他の構成要素と動作可能に相互接続できることに留意されたい。プロセッサ110に関する以下の説明は、(そのような複数のプロセッサが存在する実施形態では)追加のプロセッサにも同様に適用できることにさらに留意されたい。
【0047】
脅威に強いコンピューティングシステム100は、プロセッサ110を含むことができる。プロセッサ110は、例えば、汎用プロセッサ、専用の特定用途向け集積回路(ASIC)、マルチコアプロセッサ内の1つ以上のコアなど、データ処理機能を備えた適切なハードウェアベースの電子デバイスとすることができる。プロセッサ110は、例えば、複数のプロセッサ、複数のASIC、仮想プロセッサ、それらの組み合わせなどから構成される。プロセッサ110は、システムバス105に動作可能に接続することができる。
【0048】
メモリ115は、例えば、適切な種類の揮発性または不揮発性記憶装置とすることができ、例えば、単一の物理メモリ構成要素または複数の物理メモリ構成要素を含むことができる。メモリ115は、仮想メモリも含むことができる。メモリ115は、例えば、演算に使用されるさまざまなデータを記憶するように構成することができる。
【0049】
図2を参照して以下でさらに詳細に説明するように、プロセッサ110は、非一時的コンピュータ可読記憶媒体上に実装されたコンピュータ可読命令に従っていくつかの機能モジュールを実行するように構成することができる。このような機能モジュールは、以降、プロセッサに含まれるものとして参照される。これらのモジュールは、例えば、後述するコンピューティング環境(CE)を含むことができる。
【0050】
本開示では、「コンピューティング環境」(CE)という用語は、非限定的な例として、ソフトウェアモジュール(例えば、物理プロセッサまたは仮想プロセッサなどのプロセッサ上で実行する)を含み、ここでプロセッサ(BIOSを実行するブートプロセッサまたはハイパーバイザを実行する汎用プロセッサなど)は、ブート画像から初期化できる。
【0051】
非限定的な例として、コンピューティング環境は、Linux、Microsoft Windows(商標)などの汎用ソフトウェアオペレーティングシステム、組み込みLinuxなどの専用リアルタイムオペレーティングシステム、専用ユーザアプリケーションなどである場合がある。「ベースCE」には、ハイパーバイザやその他の仮想化/ゲストテクノロジがない場合に、物理プロセッサ上で実行するCEが含まれる。いくつかの実施形態では、ベースCEは、ハイパーバイザまたは他の仮想化/ゲスト機能を提供する。
【0052】
いくつかの実施形態では、ベースCEは、例えば、Linux KernelベースのVirtual MachineまたはMicrosoft Windows Hyper-Vなどのハイパーバイザ技術を含むことができる。そのような実施形態では、追加のCEは、そのようなベースCEによって有効にされる仮想マシン(VM)で実行することができる。「ゲストCE」という用語には、ベースCE内のハイパーバイザまたはその他の仮想化/ゲストテクノロジによって有効にされるプロセッサ(物理または仮想)上で実行されるCEが含まれる。ゲストCEは、例えば、Linux、Microsoft Windows(商標)などの汎用ソフトウェアオペレーティングシステム、組み込みLinuxなどの専用リアルタイムオペレーティングシステム、専用ユーザアプリケーションなどを実行できる。
【0053】
いくつかの実施形態では、ゲストCEは、CEブート画像からの初期化をサポートする他の技術(例えば、適切なコンテナ技術、実行可能なプロセス、chrootなど)を使用して実装することができる。
【0054】
図1Aでは、ベースCE(ハイパーバイザを含む)130がプロセッサ110上で実行し、プロセッサ110に含まれている。ゲストCE135A、135Bは、非限定的な例として、ベースCE(ハイパーバイザを含む)130上で動作するVMであり、プロセッサ110にも含まれる。
【0055】
いくつかの実施形態では、ゲストCEは、wifiまたはBluetoothなどの無線通信リンクを介して検査ユニット180に動作可能に接続されたリモートデバイス(例えば、IoTデバイス)上に配置することができる。
【0056】
いくつかの実施形態では、脅威に強いコンピューティングシステム100は、プロセッサ110上でCEを初期化するための基本機能を実行するCE(例えば、基本入出力システム、すなわちBIOS)を実行できるブートプロセッサ(図示せず)を含むことができる。
【0057】
ネットワークインターフェースコントローラ120は、イーサネット、電気電子技術者協会(IEEE)802.11などの適切な種類のネットワークインターフェースとすることができ、システムバス105に動作可能に接続することができる。プロセッサ110および含まれるCE130、135A、135Bは、例えば、ネットワークインターフェースコントローラ120を介して外部エンティティとの間でデータを送受信することができる。
【0058】
記憶媒体145は、当技術分野で既知の適切な種類の記憶装置(例えば、ディスクベースまたはフラッシュベースの記憶システムなどの不揮発性記憶装置)であり、システムバス105に動作可能に接続できる。
【0059】
いくつかの実施形態では、記憶媒体145は、チェックポイントCEブート画像150を記憶することができる。いくつかの実施形態では、チェックポイントCEブート画像150は、実行中のCEから作成されたブート画像である。実施形態固有の構成要素(例えば、緩和ユニット170、またはCE自体、または専用の画像作成ユニット(図示せず))は、定期的に(またはイベントの発生時に)、チェックポイントCEブート画像150を、マルウェアによって侵害されていないコンピューティング環境であると決定または評価されたCEから作成することができる。
【0060】
いくつかの実施形態では、チェックポイントCEブート画像は、図2を参照して以下に説明するように、マルウェアによる侵害の可能性の評価に続いてCEを復元するために引き続き利用することができる。
【0061】
いくつかの実施形態では、記憶媒体145は、分析のために侵害されたCEの画像を記憶することができる。
【0062】
脅威に強いマルチコンピューティングシステム100は、CE間で共有されるリソースを含むことができる。例えば、ゲストCE135A、135BおよびベースCE130は、ネットワークインターフェースコントローラ120、共有メモリ118、または他の適切な構成要素の利用のアクセスを共有することができる。したがって、CE130、135A、135Bは、これらの共有リソースにアクセスするように構成することができる。
【0063】
検査ユニット180(CE検査ユニットとも呼ばれる)は、システムバス105に動作可能に接続することができ、システムバス105を介して、例えば当技術分野で知られている方法を使用して、動作可能に接続された他のシステム構成要素と通信することができる。検査ユニット180は、専用プロセッサ(ソフトウェアを実行する汎用プロセッサなど)とすることができる。あるいは、検査ユニット180は、ASIC、またはプロセッサ110に関して上で説明した実装などの処理能力を有する別の種類のデバイスであり得る。
【0064】
検査ユニット180は、例えば、マルウェアまたは別の方法でコンピューティング環境(CE)(例えば、ゲストCEまたはベースCE)が侵害されたことを示す、CE生成またはCEアドレス指定されたバスアクティビティついてシステムバス105を検査するように構成することができる。非限定的な例として、検査は、CEによるバス要求の統計的分布がモニタリングまたは構成された基準から逸脱していることを検出することができる。さらなる非限定的な例として、検査は、CPU使用、ハードウェアドライバのアクセス、またはシステムコールが、モニタリングまたは設定された基準から逸脱していることを検出できる。
【0065】
検査ユニット180は、CEの侵害の検出に応答して、緩和ユニット170にCEが侵害されたことを通知するように構成することができる。非限定的な例として、検査ユニット180は、保護された(例えば、認証された)メッセージを、緩和ユニット170によって読み取られる共有メモリ118の場所に書き込むことができる。非限定的な例として、そのようなメッセージは、侵害された可能性のあるCEを実行しているプロセッサを示すシステムバス105アドレスを示すデータを含むことができる。
【0066】
いくつかの実施形態では、検査ユニット180は、例えば緩和ユニット170などの他の構成要素と同じ場所に配置することができる。いくつかの実施形態では、検査ユニット180自体がCEであり得る。
【0067】
いくつかの実施形態では、検査ユニット180は、ネットワークインターフェースコントローラ120と同じ場所に配置することができる。いくつかのそのような実施形態では、検査ユニット180は、NICを介した送信のために他の構成要素(プロセッサ110など)によって送信されたデータを読み取り、そのようなデータおよび/またはメタデータ(送信機および受信機の識別子、パケット長など)を検査することができる。いくつかのそのような実施形態では、検査ユニット180は、通信媒体を介して受信されたデータを読み取り、そのようなデータおよび/またはメタデータを検査することができる。いくつかのそのような実施形態では、検査ユニット180は、CEの侵害を示すデータについて、CEによって生成されたネットワークトラフィックデータ(およびCE宛てのデータ)を検査することができる。「CEデータ」という用語は、本明細書では、特定のCEによって生成されるか、または特定のCE宛てのデータを指すために使用される。
【0068】
緩和ユニット170は、システムバス105に動作可能に接続され、例えば当技術分野で知られている方法を使用して、動作可能に接続された他のシステム構成要素と通信することができる。緩和ユニット170は、専用プロセッサ(ソフトウェアを実行する汎用プロセッサなど)とすることができる。あるいは、緩和ユニット170は、ASIC、またはプロセッサ110に関して上述した実装などの処理能力を有する別の種類のデバイスとすることができる。いくつかの実施形態では、緩和ユニット170は、例えば検査ユニット180などの他の構成要素と同じ場所に配置することができる。いくつかの実施形態では、緩和ユニット170自体がCEであってもよい。
【0069】
緩和ユニット170は、CEの侵害の可能性の通知に応答して、CEが脅威に強いマルチコンピューティングシステム100の共有リソースにアクセスできないようにすることによって侵害を緩和するように構成することができる。いくつかの実施形態では、緩和ユニット170は、CEの実行を終了することによって、共有リソースへのCEアクセスを無効にする(任意で、MUはチェックポイントブート画像からCE動作を復元することができる)。いくつかの実施形態では、緩和ユニット170は、CEを分離することによって共有リソースへのCEアクセスを無効にする(以下で説明するように)。
【0070】
いくつかの実施形態では、緩和ユニット170は、プロセッサ上のCEのセキュリティ侵害の可能性についての通知に応答して、侵害された可能性のあるCEの実行状態のデータ派生物(例えば、コード、スタック等を含むCEの画像)を記憶媒体145に保存する。侵害された可能性のあるCEの保存された画像は、分析のために後でアクセスできる。
【0071】
いくつかの実施形態では、緩和ユニット170は、侵害された可能性のあるCEの実行を停止するのと並行して、またはその後に、プロセスをトリガして、以前に記憶された特定のチェックポイントCEブート画像の実行を開始することによって、CEを復元することができる。いくつかの実施形態では、緩和ユニット170は、復元されたCEのパラメータ(例えば、ネットワークインターフェースアドレス、メモリ構成、または他のパラメータ)を異なる値またはランダム化された値に設定することができる。この方法でパラメータを変更すると、マルウェアやその情報収集が妨害される可能性がある。
【0072】
いくつかの実施形態では、緩和ユニット170は、緩和ポリシーを利用して、侵害された可能性のあるCEに適用する緩和アクションを決定することができる。いくつかの実施形態では、緩和ポリシーは、例えば、ソフトウェアにハードコーディングされた静的なものであり得る。いくつかの実施形態では、緩和ポリシーは動的であることができ、例えば、実行される緩和の種類は、例えば侵害された可能性のあるCEの検出頻度に依存することができる。
【0073】
緩和ユニット170は、ベースCE130を停止および復元できるようにするブートローダ機能を備えて構成することができる。例えば、緩和ユニット170は、ブートローダ機能を実装することができる(例えば、当技術分野で知られている特定の実装に適した方法を使用してコンピューティング環境を開始/終了するためのサポート方法)。あるいは、緩和ユニット170は、脅威に強いマルチコンピューティングシステム100内の他の場所に配置されたブートローダを制御することができる。
【0074】
以下に説明するように、緩和ユニット170は、ゲストCE135A、135Bを停止および復元できるようにするハイパーバイザ機能を備えて構成することができる。
【0075】
緩和ユニット170は、例えば、ベースCE130が動作可能に接続されている特定の種類のバスまたはネットワークに適した方法を使用して、侵害された可能性のあるベースCE130の分離を可能にすることができる。例えば、緩和ユニット170は、侵害された可能性のあるCEによって生成されたデータがおとりリソースユニット195に向けられるように、システムバス105の機能を構成することができる。おとりリソースユニット195は、侵害された可能性のあるCEから受信したデータを示すデータを記憶媒体145に記憶することができる。おとりリソースユニット190は、以下で説明するように、侵害された可能性のあるCEにおとりデータを提供することができる。
【0076】
おとりリソースユニット195は、例えば、システムバス105に動作可能に接続され、例えば、当技術分野で知られている方法を使用して、動作可能に接続された他のシステム構成要素と通信することができる。このようなおとりリソースユニットは、専用プロセッサ(ソフトウェアを実行する汎用プロセッサなど)またはASIC、またはプロセッサ110に関して上述した実装などの処理能力を有する別の種類のデバイスであり得る。
【0077】
おとりリソースユニット195は、侵害された可能性のあるCEの分離の一部として利用することができる。具体的には、分離中、おとりリソースユニット195は、侵害された可能性のあるCEからデータを受信するように構成することができる。いくつかの実施形態では、おとりリソースユニット195は、侵害された可能性のあるCEから受信したデータを分析して、どの種類のマルウェアがCEなどに影響を与えた可能性があるかを判断する。いくつかの実施形態では、おとりリソースユニット195は、後続の分析(例えば、オフライン分析ど)のために、侵害された可能性のあるCEから受信したデータ派生物を(例えば、記憶媒体145に)保存する。いくつかの実施形態では、おとりリソースユニット195は、おとりデータ(例えば、CEに提供されるデータに似たデータ)を侵害された可能性のあるCEに提供する。このようにして、脅威に強いマルチコンピューティングシステム100は、脅威に強いマルチコンピューティングシステム100の完全性を脅かすことなく、侵害されたCEの挙動をモニタリングすることができる。
【0078】
第2の検査ユニット140は、専用プロセッサ(ソフトウェアを実行する汎用プロセッサなど)とすることができる。あるいは、第2の検査ユニット140は、ASIC、またはプロセッサ110に関して上述した実装などの処理能力を有する別の種類のデバイスであり得る。いくつかの実施形態では、第2検査ユニット140はCEとすることができる。
【0079】
第2の検査ユニット140は、システムバス105に動作可能に接続することができ、システムバス105のバス信号を読み取って検査することができる。第2の検査ユニット140は、例えば、検査ユニット180への/からのバス信号の検査を実行し、これらの検査ユニット180がマルウェアによって、または異なる方法で構成されているという兆候を検査するように構成することができる。第2の検査ユニット140は、検査ユニット180の潜在的な侵害を緩和ユニット170に通知するように構成することができる。検査ユニット170は、(本明細書で説明するように)CEの場合と同じ方法で、検査ユニット180の潜在的な侵害を緩和することができる。
【0080】
本開示の主題の教示は、図1Aを参照して説明された対話型指導システムおよび被験者ガイダンスシステムによって拘束されないことに留意されたい。同等および/または変更された機能は、別の方法で統合または分割でき、ソフトウェアとファームウェアおよび/またはハードウェアの適切な組み合わせで実装でき、適切なデバイスで実行できる。インタラクティブな指示システムと被験者ガイダンスシステムは、それぞれスタンドアロンエンティティにすることも、ネットワークやその他の手段を介して他のエンティティと完全にまたは部分的に統合することもできる。
【0081】
ここで、本開示の主題のいくつかの実施形態による、脅威に強いマルチコンピューティングシステムの変形例のブロック図を示す図1Bに注目する。
【0082】
図1Bに示す脅威に強いマルチコンピューティングシステム100では、検査ユニット185をプロセッサ110に含めることができる。具体的には、検査ユニット185は、例えば、ベースCE(ハイパーバイザ)130のハイパーバイザ機能によって有効化されたゲストCE(例えば、仮想マシン)とすることができる。
【0083】
いくつかの実施形態では、ゲストCE135A、135Bは、ベースCE(ハイパーバイザ)130の内部にある仮想ネットワークインターフェース(図示せず)を介して互いに通信することができる。いくつかのそのような実施形態では、検査ユニット185は、仮想ネットワークインターフェースに動作可能に接続され、ユーザCE135A、135Bによって送信された/ユーザCE135A、135Bに向けられたネットワークデータを受信し、データおよび/またはメタデータ(送信機および受信機の識別子など、パケット長など)を検査する。他の実施形態では、ゲストCE135A、135Bおよび/または検査ユニット185は、他の適切なメカニズムを使用して通信することができる。いくつかの実施形態では、ゲストCE135A、135Bおよび検査ユニット185は、ベースCE(ハイパーバイザ)130を介してシステムバス105に動作可能に接続された構成要素(例えば、ネットワークインターフェースコントローラ120)と通信することができる。図2の検査ユニット185は、例えば、図1の検査ユニット180を参照して、上述したCEおよびCEデータの同じ挙動を検査することができる。
【0084】
図1Bは、ゲストCEおよびベースCEの特定の非限定的な構成例を示していることに留意されたい。他の例では、ゲストCEは、コンテナ、プロセスなどの内部に配置され、当技術分野で知られている適切なメカニズムで他のシステム構成要素と通信してもよい。
【0085】
図1Bに示される脅威に強いマルチコンピューティングシステム100では、緩和ユニット175は、プロセッサ110に含まれ得る。いくつかの実施形態では、緩和ユニット175は、ベースCE(ハイパーバイザ)130のハイパーバイザ機能を管理する能力を有するCEとすることができる。いくつかの他の実施形態では、緩和ユニット175は、ベースCE(ハイパーバイザ)130のハイパーバイザ機能と統合することができる(例えば、ベースCE(ハイパーバイザ)130のハイパーバイザモジュール内に完全に含まれる統合ソフトウェアモジュールとして)。
【0086】
本明細書で使用される「ハイパーバイザ機能」という用語は、ブート画像からCEを停止および/または復元する機能、ならびにCE間でデータを転送する機能、およびCE間で転送されるデータを変更およびリダイレクトする機能、および以下に説明するCEのハイパーバイザ分離に利用される他の機能を含む。いくつかの実施形態では、緩和ユニット175は、例えば、ハイパーバイザとの統合によって、またはハイパーバイザの管理によって、ハイパーバイザ機能を有する。
【0087】
いくつかの実施形態では、ゲストCE135A、135Bの侵害の可能性についての検査ユニット185からの通知の受信に応答して、緩和ユニット175は、ハイパーバイザ機能を利用して、侵害されたゲストCE135A、135Bを停止することができる。
【0088】
いくつかの実施形態では、緩和ユニット175は、同時に(例えば、ゲストCE135A、135Bの侵害の可能性についての検査ユニット185からの通知の受信に応答して)、または適切なチェックポイントCEブート画像150からゲストCE135A、135Bを後で復元することができる。
【0089】
いくつかの実施形態では、ゲストCE135A、135Bの侵害の可能性についての検査ユニット185からの通知の受信に応答して、緩和ユニット175は、侵害された可能性のあるゲストCE135A、135Bの実行状態の派生データ(例えば、画像または「スナップショット」)を記憶媒体145に記憶することができる。次に、この画像を例えばオフライン分析にかけることができる。
【0090】
いくつかの実施形態では、緩和ユニット175は、ゲストCE135A、135Bのセキュリティ侵害の可能性についての通知を受信すると、侵害された可能性のあるCEのハイパーバイザ分離を構成することができる。一部の実施形態では、CEに対してハイパーバイザ分離が構成されると、CEは実行を継続するが、脅威に強いマルチコンピューティングシステム100内の共有リソースの一部または全部に直接アクセスしない。
【0091】
緩和ユニット170は、例えば、ベースCE130内の特定の種類のハイパーバイザに適した方法を使用して、侵害された可能性のあるゲストCE135A、135Bのハイパーバイザ分離を可能にすることができる。例えば、緩和ユニット170は、侵害された可能性のあるCEによって生成されたデータがおとりリソースユニット195に向けられるように、ベースCE(ハイパーバイザ)130のハイパーバイザ機能を構成することができる。おとりリソースユニット195は、侵害された可能性のあるCEから受信したデータを示すデータを記憶媒体145に記憶することができる。おとりリソースユニット190は、以下で説明するように、侵害された可能性のあるCEにおとりデータを提供することができる。
【0092】
おとりリソースユニット195は、例えば、ベースCE(ハイパーバイザ)130のハイパーバイザ機能によって有効化されるゲストCE(例えば、仮想マシン)であり得る。あるいは、おとりリソースユニットは、例えば、システムバス105に動作可能に接続され、例えば、当技術分野で知られている方法を使用して、動作可能に接続された他のシステム構成要素と通信することができる。このようなおとりリソースユニットは、専用プロセッサ(ソフトウェアを実行する汎用プロセッサなど)またはASIC、またはプロセッサ110に関して上述した実装などの処理能力を有する別の種類のデバイスであり得る。
【0093】
おとりリソースユニット195は、侵害された可能性のあるCEのハイパーバイザ分離の一部として利用することができる。具体的には、ハイパーバイザの分離中に、おとりリソースユニット195は、侵害された可能性のあるCEからデータを受信するように構成できる。いくつかの実施形態では、おとりリソースユニット195は、侵害された可能性のあるCEから受信したデータを分析して、どの種類のマルウェアがCEなどに影響を与えた可能性があるかを判断する。いくつかの実施形態では、おとりリソースユニット195は、後続の分析(例えば、オフライン分析)のために、侵害された可能性のあるCEから受信したデータのデータ派生物を(例えば、記憶媒体145に)保存する。いくつかの実施形態では、おとりリソースユニット195は、おとりデータ(例えば、CEに提供されるデータに似たデータ)を侵害された可能性のあるCEに提供する。このようにして、脅威に強いマルチコンピューティングシステム100は、脅威に強いマルチコンピューティングシステム100の完全性を脅かすことなく、侵害されたCEの挙動をモニタリングすることができる。
【0094】
本開示の主題の教示は、図1Bを参照して説明された対話型指導システムおよび被験者ガイダンスシステムによって拘束されないことに留意されたい。同等および/または変更された機能は、別の方法で統合または分割でき、ソフトウェアとファームウェアおよび/またはハードウェアの適切な組み合わせで実装でき、適切なデバイスで実行できる。インタラクティブな指示システムと被験者ガイダンスシステムは、それぞれスタンドアロンエンティティにすることも、ネットワークやその他の手段を介して他のエンティティと完全にまたは部分的に統合することもできる。
【0095】
ここで、本開示の主題のいくつかの実施形態による、脅威に強いマルチコンピューティング環境システムにおいて侵害された可能性のあるコンピューティング環境を緩和するプロセスの例のフロー図である図2に注目する。
【0096】
検査ユニット180または185は、CEによって生成された活動をモニタリングする(210)ことができる。例えば、検査ユニット180または185は、上述のようにCE(例えば、ベースCE(ハイパーバイザ)130またはユーザCE135A、135B)を実行するプロセッサ110から/へのバス信号またはネットワークトラフィックをモニタリングすることができ、これによってCEによって生成または受信されたデータを検査することができる。いくつかの実施形態では、検査ユニット180(例えば、プロセッサ上で動作するソフトウェアとして実装される)は、図1Aを参照して上述したように、バスアクティビティまたはネットワークトラフィックをモニタリングする。いくつかの実施形態では、検査ユニット185は、ゲストCE(例えば、仮想マシン)として実装され、例えば、図1Bを参照して上述したように、仮想ネットワークを介してネットワークトラフィックをモニタリングする。
【0097】
検査ユニット180または185は、CE侵害またはCE侵害の可能性を示すCEが生成した活動の検出に応答して、侵害されたCEに関して緩和ユニット170または175に通知することができる(220)。例えば、検査ユニット180または185は、実施形態に適した通知メカニズム(例えば、安全メッセージング)を介して緩和ユニット170または175に通知メッセージを送ることができる。
【0098】
任意で、緩和ユニット170または175がCE侵害の通知を受けることに応答して、緩和ユニット170または175は、侵害された可能性のあるゲストCE135A、135Bの画像の派生データ(例えば、上記の画像または「スナップショット」)を記憶媒体145に記憶することができる(225)。次に、この画像を例えばオフライン分析にかけることができる。
【0099】
緩和ユニット170または175がCE侵害の通知を受けることに応答して、緩和ユニット170または175は、侵害されたCEによる一部またはすべての共有リソースへのアクセスを無効にすることができる(230)。
【0100】
いくつかの実施形態では、緩和ユニット170または175は、侵害されたCEを終了することによって、共有リソースへのアクセスを無効にすることができる。非限定的な例として、緩和ユニット170は、侵害されたベースCE130を終了するために、図1Aを参照して上述したようにブートローダ機能を利用することができる。さらなる非限定的な例として、緩和ユニット175は、侵害されたゲストCE135A、135Bを終了するために、図1Bを参照して上述したようにハイパーバイザ機能を利用することができる。
【0101】
いくつかの実施形態では、緩和ユニット170または175は、侵害されたゲストCE135A、135Bのハイパーバイザ分離を構成することによって、共有リソースへのアクセスを無効にすることができる。非限定的な例として、緩和ユニット175は、侵害されたゲストCE135A、135Bのハイパーバイザ分離を構成するために、図1Bを参照して上述したハイパーバイザ機能を利用することができる。ハイパーバイザの分離については、図3を参照して以下でさらに詳しく説明する。
【0102】
任意で、侵害されたCEの終了と並行して、またはその後に、緩和ユニット170または175は、例えばチェックポイントCEブート画像240からCEを復元することができる(240)。非限定的な例として、緩和ユニット170は、ベース(ハイパーバイザ)CE130を復元するために、図1Aを参照して上述したようにブートローダ機能を利用することができる。さらなる非限定的な例として、緩和ユニット175は、ゲストCE135A、135Bを復元するために、図1Bを参照して上述したようにハイパーバイザ機能を利用することができる。
【0103】
いくつかの実施形態では、緩和ユニット170は、復元されたCEのパラメータ(例えば、ネットワークインターフェースアドレス、メモリ構成、または他のパラメータ)を異なる値またはランダム化された値に設定することができる。この方法でパラメータを変更すると、マルウェアやその情報収集が妨害される可能性がある。
【0104】
いくつかの実施形態では、緩和ユニット170は、緩和ポリシーを利用して、侵害された可能性のあるCEに適用する緩和アクションを決定することができる。いくつかの実施形態では、緩和ポリシーは、例えば、ソフトウェアにハードコーディングされた静的なものであり得る。いくつかの実施形態では、緩和ポリシーは動的であることができ、例えば、実行される緩和の種類は、例えば侵害された可能性のあるCEの検出頻度に依存することができる。
【0105】
本開示の主題の教示は、図2に示される流れ図に制限されず、図示された動作は、図示された順序以外で発生することができることに留意されたい。例えば、連続して示される動作225および230は、実質的に同時に実行することができる。また、フローチャートは、図1Aおよび図1Bのシステムの要素を参照して説明されているが、これは決して拘束力を持たず、動作は本明細書に記載された要素以外の要素によって動作を実行することができることに留意されたい。
【0106】
ここで、本開示の主題のいくつかの実施形態による、ハイパーバイザ分離が有効になっている場合の侵害されたゲストCE135A、135Bからのデータフローのプロセスの例のフロー図を示す図3に注目する。
【0107】
侵害されたゲストCE135A、135Bは、データを生成できる(310)。このデータには、例えば、メモリやストレージからの読み取りまたは書き込み、特定の実行パス、またはネットワークデータの送信などのリクエストが含まれる。これらの生成されたデータは、良性または悪意のある可能性がある。
【0108】
ハイパーバイザ分離が構成されているため、ハイパーバイザは(例えば)、CEが生成したデータをおとりリソースユニット195に向けることができる(320)。このようにして、CE活動を凍結することができ、特に共有リソースはCEデータの影響を受けない。
【0109】
おとりリソースユニットは、セキュリティ分析のために、侵害されたゲストCE135A、135Bによって生成された受信データを(例えば、記憶媒体145に)記憶することができる(330)。
【0110】
おとりリソースユニット195は、侵害されたゲストCE135A、135Bにおとりデータを送信することができる(340)。おとりデータは、侵害されたCEがそのリクエストに応じて受け取り得るデータに似たデータである可能性がある。このようにして、脅威に強いマルチコンピューティングシステム100は、侵害されたゲストCE135A、135Bによって生成されたデータを受信し続けることができ、これによって脅威分析を容易にする。
【0111】
侵害されたゲストCE135A、135Bは、おとりデータを受信し(350)、脅威に強いマルチコンピューティングシステム100または機密共有リソースに悪影響を与えることなく実行を継続できる。
【0112】
本開示の主題の教示は、図3に示される流れ図に制限されず、図示された動作は、図示された順序以外で発生することができることに留意されたい。例えば、連続して示される動作325および330は、実質的に同時に実行することができる。また、フローチャートは、図1Aおよび図1Bのシステムの要素を参照して説明されているが、これは決して拘束力を持たず、動作は本明細書に記載された要素以外の要素によって動作を実行することができることに留意されたい。
【0113】
本発明は、その適用において、本明細書に含まれる説明または図面に示される詳細に限定されないことを理解されたい。本発明は、他の実施形態が可能であり、さまざまな方法で実施および実施することができる。したがって、本明細書で使用される表現および用語は、説明を目的とするものであり、限定的なものと見なされるべきではないことを理解されたい。そのため、当業者は、本開示の基づく概念が、本開示の主題のいくつかの目的を実行するための他の構造、方法、およびシステムを設計するための基礎として容易に利用できることを理解するであろう。
【0114】
本発明によるシステムは、少なくとも部分的に、適切にプログラムされたコンピュータ上で実施できることも理解されるであろう。同様に、本発明は、本発明の方法を実行するためのコンピュータによって読み取り可能なコンピュータプログラムを企図する。本発明はさらに、本発明の方法を実行するためにコンピュータによって実行可能な命令のプログラムを有形に具体化する非一時的なコンピュータ可読メモリを企図する。
【0115】
当業者は、添付の特許請求の範囲において、およびそれによって定められるその範囲から逸脱することなく、前述のように、さまざまな修正および変更を本発明の実施形態に適用できることを容易に理解するであろう。
【図1A】
【図1B】
【図2】
【図3】
【国際調査報告】