亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

通過(guò)沙箱技術(shù)改進(jìn)計(jì)算機(jī)安全性的方法

文檔序號(hào):6655921閱讀:300來(lái)源:國(guó)知局
專利名稱:通過(guò)沙箱技術(shù)改進(jìn)計(jì)算機(jī)安全性的方法
技術(shù)領(lǐng)域
本發(fā)明一般涉及計(jì)算機(jī)安全性,并且尤其涉及使用虛擬化技術(shù)來(lái)改進(jìn)計(jì)算平臺(tái)的安全性。

發(fā)明內(nèi)容
計(jì)算機(jī)病毒是計(jì)算機(jī)用戶的普遍問(wèn)題。一種典型的攻擊模式是向無(wú)防備用戶的計(jì)算機(jī)發(fā)送包含文件附件的電子郵件信息(電子郵件)。所述文件附件包含惡意攻擊代碼,并且所述電子郵件包含一些誘導(dǎo)來(lái)使用戶啟動(dòng)該文件附件。當(dāng)用戶點(diǎn)擊該文件附件時(shí),嵌入在該文件中的攻擊代碼被執(zhí)行。所述攻擊代碼訪問(wèn)地址簿并將電子郵件中的該文件附件發(fā)送給在所述地址簿中找到的各個(gè)地址。然后,所述攻擊代碼嘗試修改用戶計(jì)算機(jī)上的文件或者獲得其它文件并將它們郵寄回攻擊者。
這種攻擊的傳播是快速的。一旦一個(gè)無(wú)防備用戶啟動(dòng)該文件附件,病毒就會(huì)迅速地傳播到其他無(wú)防備用戶,該其他無(wú)防備用戶隨后使該問(wèn)題無(wú)限期延續(xù)下去。這種病毒已知可以瓦解計(jì)算機(jī)網(wǎng)絡(luò)并給網(wǎng)絡(luò)運(yùn)營(yíng)商、公司以及用戶帶來(lái)數(shù)百萬(wàn)美元的損失。
存在檢測(cè)病毒并將它們從被侵襲的計(jì)算機(jī)上清除的技術(shù)。然而,這些技術(shù)通常僅在病毒已經(jīng)被檢測(cè)到并且許多計(jì)算機(jī)已經(jīng)被感染之后才使用。希望有新的方法能夠減慢計(jì)算機(jī)病毒和其他惡意代碼的傳播,由此允許病毒檢測(cè)器在損害遍及各處之前檢測(cè)并刪除該病毒。
除了改進(jìn)檢測(cè)和減慢這種攻擊的能力之外,還希望防止或限制對(duì)用戶系統(tǒng)的損壞以及對(duì)用戶數(shù)據(jù)的訪問(wèn)。用戶從不運(yùn)行可疑文件的理想情況從不存在,因此,實(shí)用的解決辦法必須認(rèn)清這點(diǎn)并試圖防止或限制該程序損壞所述用戶系統(tǒng)及訪問(wèn)所述用戶數(shù)據(jù)。
附圖簡(jiǎn)述通過(guò)以下本發(fā)明的詳細(xì)描述,本發(fā)明的特征和優(yōu)點(diǎn)將會(huì)變得顯而易見(jiàn),其中

圖1例示了本發(fā)明的一個(gè)實(shí)施例可以在其中運(yùn)行的虛擬機(jī)環(huán)境的一個(gè)實(shí)施例;圖2是根據(jù)本發(fā)明實(shí)施例的用戶虛擬機(jī)與沙箱虛擬機(jī)相互作用的示圖;圖3是例示根據(jù)本發(fā)明實(shí)施例的沙箱虛擬機(jī)的用法的流程圖;以及圖4是例示根據(jù)本發(fā)明實(shí)施例的虛擬機(jī)環(huán)境的示圖。
發(fā)明詳述本發(fā)明的實(shí)施例是使用沙箱技術(shù)(sandboxing)以改進(jìn)計(jì)算平臺(tái)的安全性的方法。虛擬化中的新近進(jìn)展賦予計(jì)算平臺(tái)運(yùn)行多個(gè)受保護(hù)的計(jì)算環(huán)境中的多個(gè)虛擬機(jī)的能力,從而一個(gè)環(huán)境的執(zhí)行將不會(huì)干擾另一個(gè)環(huán)境的執(zhí)行。本發(fā)明的實(shí)施例使用虛擬化來(lái)創(chuàng)建沙箱虛擬機(jī),該沙箱虛擬機(jī)與計(jì)算平臺(tái)的其余部分相隔離。所述沙箱可以被用來(lái)打開(kāi)可疑文件或執(zhí)行可疑應(yīng)用程序,從而如果在所述可疑文件或應(yīng)用程序中存在攻擊代碼,則該攻擊將被包含在該沙箱中。然后,依據(jù)所規(guī)定的策略來(lái)處理該攻擊代碼。通過(guò)僅在沙箱中訪問(wèn)可疑文件,可以減少攻擊代碼的進(jìn)一步傳播,并且可以更容易地檢測(cè)到該攻擊。
在說(shuō)明書(shū)中提及的本發(fā)明的“一個(gè)實(shí)施例”或“實(shí)施例”意味著結(jié)合所述實(shí)施例描述的特定特征、結(jié)構(gòu)、或特性被包括在本發(fā)明的至少一個(gè)實(shí)施例中。因此,出現(xiàn)在整個(gè)說(shuō)明書(shū)的不同位置中的短語(yǔ)“在一個(gè)實(shí)施例中”的出現(xiàn)不必都指同一實(shí)施例。
以下的發(fā)明詳述的一些部分是以對(duì)計(jì)算機(jī)系統(tǒng)的寄存器或存儲(chǔ)器內(nèi)的數(shù)據(jù)比特進(jìn)行的運(yùn)算的算法和符號(hào)表示的方式呈現(xiàn)的。這些算法描述和表示都是由數(shù)據(jù)處理領(lǐng)域的技術(shù)人員使用的手段,以最有效地將他們工作的實(shí)質(zhì)傳達(dá)給本領(lǐng)域中的其它技術(shù)人員。并且通常地,這里的算法被設(shè)想為是產(chǎn)生期望結(jié)果的一系列有條理的運(yùn)算。所述運(yùn)算是要求對(duì)物理量進(jìn)行物理操作的運(yùn)算。通常,但不是必須地,這些量采用能夠被存儲(chǔ)、傳送、組合、比較、以及以其他方式進(jìn)行操作的電信號(hào)或磁信號(hào)的形式。主要出于通用用法的原因,將這些信號(hào)稱為比特、值、元素、符號(hào)、字符、項(xiàng)、數(shù)字等已經(jīng)被多次證明是方便的。
然而,應(yīng)該記住的是,所有這些及類似術(shù)語(yǔ)將與合適的物理量相關(guān)聯(lián),并且僅是應(yīng)用于這些量的簡(jiǎn)便的標(biāo)記。除非特別聲明為明顯不同于以下的討論,應(yīng)該明白的是,在整個(gè)本發(fā)明中,利用例如“處理”或“計(jì)算”或“推算”或“確定”或類似術(shù)語(yǔ)的討論,可以指計(jì)算機(jī)系統(tǒng)或類似電子計(jì)算設(shè)備的動(dòng)作和過(guò)程,這些計(jì)算機(jī)系統(tǒng)和電子計(jì)算設(shè)備用于將被表示為計(jì)算機(jī)系統(tǒng)寄存器和存儲(chǔ)器內(nèi)的物理(電子)量的數(shù)據(jù),操作并變換成同樣被表示為計(jì)算機(jī)系統(tǒng)存儲(chǔ)器或寄存器或其它這樣的信息存儲(chǔ)、傳輸或顯示設(shè)備內(nèi)的物理量的其它數(shù)據(jù)。
在以下所述實(shí)施例的詳細(xì)描述中,參考了用于以例示方式示出可以實(shí)踐本發(fā)明的特定的實(shí)施例的附圖。在所述附圖中,在整個(gè)所述幾個(gè)視圖中,相似的數(shù)字描述基本上類似的組件。這些實(shí)施例被充分詳細(xì)地描述以使本領(lǐng)域的技術(shù)人員能實(shí)踐本發(fā)明。可以使用其它的實(shí)施例,并且在不背離本發(fā)明的范圍的情況下,可以進(jìn)行結(jié)構(gòu)、邏輯、和電性改變。此外,應(yīng)該理解的是,本發(fā)明的各個(gè)實(shí)施例雖然不同,但不必是相互排斥的。例如,在一個(gè)實(shí)施例中描述的特定的特征、結(jié)構(gòu)、或特性可以被包括在其它的實(shí)施例內(nèi)。因此,下面的詳細(xì)描述不能以限制的方式來(lái)理解,本發(fā)明的范圍僅由附加的權(quán)利要求以及這樣的權(quán)利要求所授權(quán)的等價(jià)物的全部范圍一同來(lái)限定。
在一些實(shí)施例中,本發(fā)明可以被提供為包括其上存儲(chǔ)有指令的機(jī)器或計(jì)算機(jī)可讀介質(zhì)的計(jì)算機(jī)程序產(chǎn)品或軟件,所述指令可以用于對(duì)計(jì)算機(jī)(或其它電子設(shè)備)進(jìn)行編程以執(zhí)行根據(jù)本發(fā)明的過(guò)程。在其它實(shí)施例中,本發(fā)明的步驟可以由包括用于執(zhí)行所述步驟的硬接線邏輯的專用硬件組件,或由被編程的計(jì)算機(jī)組件和定制的硬件組件的任意組合來(lái)執(zhí)行。
因此,機(jī)器可讀介質(zhì)可以包括用于以機(jī)器(例如,計(jì)算機(jī))可讀的方式存儲(chǔ)或傳輸信息的任何機(jī)制,但并不局限于軟盤(pán)、光盤(pán)、壓縮光盤(pán)、只讀存儲(chǔ)器(CD-ROM)、和磁光盤(pán)、只讀存儲(chǔ)器(ROM)、隨機(jī)存取存儲(chǔ)器(RAM)、可擦可編程只讀存儲(chǔ)器(EPROM)、電可擦除可編程只讀存儲(chǔ)器(EEPROM)、磁或光卡、閃存、在因特網(wǎng)上的傳輸、電學(xué)、光學(xué)、聲音或其它形式的傳播信號(hào)(例如,載波、紅外信號(hào)、數(shù)字信號(hào)等)等。
圖1例示了本發(fā)明可以在其中運(yùn)行的處理系統(tǒng)100的虛擬機(jī)環(huán)境的一個(gè)實(shí)施例。在這個(gè)實(shí)施例中,裸平臺(tái)硬件116包括計(jì)算平臺(tái),其例如能夠執(zhí)行標(biāo)準(zhǔn)操作系統(tǒng)(OS)和比如虛擬機(jī)監(jiān)視器(VMM)112的虛擬機(jī)監(jiān)視器(VMM)。
盡管所述VMM 112典型地以軟件實(shí)現(xiàn),但是其可以仿真并將裸機(jī)接口導(dǎo)出到更高級(jí)的軟件。這種更高級(jí)的軟件可以包括標(biāo)準(zhǔn)或?qū)崟r(shí)OS,或可以是具有受限操作系統(tǒng)功能的被高度剝離的操作環(huán)境,該受限操作系統(tǒng)功能可能不包括傳統(tǒng)OS設(shè)施等。所述軟件也可以包括比如BIOS的固件的形式?;蛘撸?,VMM 112可以在另一個(gè)VMM內(nèi)、在另一個(gè)VMM上、或與另一個(gè)VMM并行地運(yùn)行。例如,VMM可以以硬件、軟件、或固件、或通過(guò)各種技術(shù)的組合來(lái)實(shí)現(xiàn)。
所述處理系統(tǒng)100可以是個(gè)人計(jì)算機(jī)(PC)、大型機(jī)、手持設(shè)備、便攜式計(jì)算機(jī)、置頂盒、或任何其它計(jì)算系統(tǒng)中的任意一種。所述平臺(tái)硬件116包括處理器118和存儲(chǔ)器120。
處理器118可以是能夠執(zhí)行軟件的任何類型的處理器,比如微處理器、數(shù)字信號(hào)處理器、微控制器等。所述處理器118可以包括用于執(zhí)行本發(fā)明的方法實(shí)施例的微代碼、可編程邏輯或硬編碼邏輯。盡管圖1僅示出了一個(gè)這種處理器118,但是在系統(tǒng)中可以存在一個(gè)或多個(gè)處理器,并且每個(gè)處理器可以運(yùn)行相同的VMM、不同的VMM、多個(gè)VMM、或不運(yùn)行VMM。
存儲(chǔ)器120可以是硬盤(pán)、軟盤(pán)、隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、閃存、上述設(shè)備的任意組合、或由處理器118可讀的任意其它類型的機(jī)器介質(zhì)。存儲(chǔ)器120可以存儲(chǔ)用于執(zhí)行本發(fā)明的方法實(shí)施例的指令和/或數(shù)據(jù)。
VMM 112將一個(gè)或多個(gè)虛擬機(jī)(VM)的摘要呈現(xiàn)給其它軟件(例如,“客戶”軟件),其可以將相同或不同的摘要提供給各個(gè)客戶。圖1示出了兩個(gè)VM,虛擬機(jī)#1 102和虛擬機(jī)#N 114,但是在任何給定的系統(tǒng)中可以實(shí)現(xiàn)任何數(shù)量的虛擬機(jī)。在每個(gè)VM上運(yùn)行的所述客戶軟件可以包括比如客戶OS #1 104或OS #J 106的客戶OS以及各種客戶軟件應(yīng)用程序107、108、109和110。每個(gè)客戶OS 104和106期望訪問(wèn)其上運(yùn)行客戶OS 104或106的VM 102和114內(nèi)的物理資源(例如,處理器寄存器、存儲(chǔ)器和I/O設(shè)備)并執(zhí)行其它功能。例如,根據(jù)在VM中呈現(xiàn)的處理器和平臺(tái)的體系結(jié)構(gòu),客戶OS期望訪問(wèn)所有寄存器、高速緩沖存儲(chǔ)器、結(jié)構(gòu)、I/O設(shè)備、存儲(chǔ)器等。能由客戶軟件訪問(wèn)的資源被分類為“有特權(quán)的”或“無(wú)特權(quán)的”。對(duì)于有特權(quán)的資源,VMM 112有利于實(shí)現(xiàn)客戶軟件所希望的功能性,同時(shí)保持對(duì)這些有特權(quán)的資源的最終控制。無(wú)特權(quán)的資源不需要由VMM 112控制并能由客戶軟件訪問(wèn)。
此外,每個(gè)客戶OS期望處理各種事件,比如異常(例如,頁(yè)錯(cuò)誤、常規(guī)保護(hù)錯(cuò)誤等)、中斷(例如,硬件中斷、軟件中斷)、以及平臺(tái)事件(例如,初始化(INIT)和系統(tǒng)管理中斷(SMI))。這些事件中的一些是“有特權(quán)的”,這是因?yàn)樗鼈儽仨氂蒝MM 112處理以確保VM 102和114的正確操作以及免受客戶軟件影響。
當(dāng)有特權(quán)的事件發(fā)生或客戶軟件嘗試訪問(wèn)有特權(quán)的資源時(shí),控制被轉(zhuǎn)移到VMM 112。這里,從客戶軟件到VMM 112的控制的轉(zhuǎn)移被稱為VM退出。在使資源訪問(wèn)容易或適當(dāng)?shù)靥幚硎录?,VMM 112將控制返回給客戶軟件。從VMM 112到客戶軟件的控制的轉(zhuǎn)移被稱為VM進(jìn)入。
在一個(gè)實(shí)施例中,處理器118依照在虛擬機(jī)控制結(jié)構(gòu)(VMCS)124中存儲(chǔ)的數(shù)據(jù)來(lái)控制VM 102和114的操作。所述VMCS 124是一個(gè)結(jié)構(gòu),其包含客戶軟件的狀態(tài)、VMM 112的狀態(tài)、表明VMM 112如何希望控制客戶軟件的操作的執(zhí)行控制信息、用于控制在VMM112與VM之間的轉(zhuǎn)換的信息等等。處理器118從VMCS 124讀取信息以確定所述VM的執(zhí)行環(huán)境并約束它的行為。在一個(gè)實(shí)施例中,所述VMCS被存儲(chǔ)在存儲(chǔ)器120中。在一些實(shí)施例中,多個(gè)VMCS結(jié)構(gòu)被使用來(lái)支持多個(gè)VM。
如這里所用,沙箱是一個(gè)執(zhí)行環(huán)境,其中,在所述環(huán)境中執(zhí)行的代碼在一些功能性上被限制。在本發(fā)明的實(shí)施例中,沙箱允許執(zhí)行代碼,但是所述代碼被隔離,以便所述代碼不能損壞或訪問(wèn)所述沙箱外部的任何計(jì)算平臺(tái)。被懷疑是惡意的文件應(yīng)該在沙箱中打開(kāi),從而如果該文件是惡意的,則它可能引起的損害將是有限的或被防止。另外,沙箱可以被監(jiān)視以監(jiān)測(cè)可疑活動(dòng)發(fā)生,比如,在打開(kāi)文件或執(zhí)行代碼期間。在一個(gè)實(shí)施例中,沙箱可以被實(shí)現(xiàn)為虛擬機(jī)。
圖2是根據(jù)本發(fā)明實(shí)施例的用戶虛擬機(jī)與沙箱虛擬機(jī)相互作用的示圖。在一個(gè)實(shí)例中,用戶可以在用戶虛擬機(jī)200中執(zhí)行一個(gè)或多個(gè)應(yīng)用程序。例如,一個(gè)應(yīng)用程序202可以是電子郵件程序。用戶計(jì)算機(jī)可以接收包含文件附件204的電子郵件。當(dāng)用戶點(diǎn)擊所述文件附件時(shí),不是在所述用戶虛擬機(jī)200中打開(kāi)該文件,而是利用所述應(yīng)用程序202的另一個(gè)復(fù)制,或者可能利用另一個(gè)程序(沒(méi)有示出),在沙箱虛擬機(jī)206中打開(kāi)所述附件204。用戶仍能夠查看由所述沙箱虛擬機(jī)所呈現(xiàn)的附件,但是容納該沙箱虛擬機(jī)的計(jì)算平臺(tái)中的其余部分得到保護(hù),以免受到在該沙箱中發(fā)生的操作的影響。也就是,所述沙箱虛擬機(jī)可以防止某些指定操作侵襲該沙箱外部的文件或其他系統(tǒng)資源。因此,如果所述文件附件包含通過(guò)訪問(wèn)電子郵件應(yīng)用程序的地址簿而試圖向其他用戶分發(fā)該攻擊的攻擊代碼,則如果沙箱阻止所述應(yīng)用程序發(fā)送電子郵件,那么來(lái)自所述沙箱的分發(fā)將不會(huì)成功。
圖3是例示依據(jù)本發(fā)明實(shí)施例的沙箱虛擬機(jī)的用法的流程圖300。在方框302,處理系統(tǒng)的實(shí)體識(shí)別應(yīng)該被標(biāo)記為可疑的文件。在一個(gè)實(shí)施例中,所述實(shí)體可以是虛擬機(jī)管理器(VMM)。用戶也可以參與標(biāo)記文件的決定。在另一個(gè)實(shí)施例中,專用虛擬機(jī)可能正在運(yùn)行來(lái)執(zhí)行沙箱管理操作。可疑文件可以是仍不為所述處理系統(tǒng)信任的任何文件。在文件或應(yīng)用程序進(jìn)入處理系統(tǒng)時(shí),根據(jù)預(yù)定的關(guān)于該文件或應(yīng)用程序是否應(yīng)該被標(biāo)記為可疑或不可疑的文件識(shí)別策略來(lái)評(píng)價(jià)所述文件或應(yīng)用程序。一個(gè)實(shí)例策略是,當(dāng)不在處理系統(tǒng)上創(chuàng)建的文件或應(yīng)用程序被接收并第一次存儲(chǔ)在處理系統(tǒng)中時(shí),所有這些文件或應(yīng)用程序應(yīng)該被標(biāo)記為可疑的。另一個(gè)策略是,如果文件或應(yīng)用程序被利用信任的簽名密鑰進(jìn)行數(shù)字簽名,則所述文件或應(yīng)用程序?qū)⒉粫?huì)被識(shí)別為可疑的,否則它將會(huì)被認(rèn)為是可疑的。這些策略僅僅是例示性的,并且在沒(méi)有背離本發(fā)明范圍的情況下,可以使用用于識(shí)別可疑文件和應(yīng)用程序的其他方法。
在方框304中,一旦文件被確定為是可疑的,則所述實(shí)體就標(biāo)記該可疑文件以表示它們是可疑的。本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到,存在許多方式來(lái)標(biāo)記所述文件。一種將文件標(biāo)記為可疑的實(shí)例方法是創(chuàng)建所述文件系統(tǒng)的擴(kuò)展名,從而在每個(gè)文件上存在有表明它是否是可疑的注釋。在一個(gè)實(shí)施例中,這個(gè)注釋可以是二進(jìn)制標(biāo)記,其中,當(dāng)所述標(biāo)志被設(shè)置時(shí),所述文件被認(rèn)為是可疑的。
在已經(jīng)執(zhí)行了一些標(biāo)記動(dòng)作之后的某個(gè)時(shí)間點(diǎn)上,在方框306,在用戶虛擬機(jī)內(nèi)運(yùn)行的軟件(例如,諸如應(yīng)用程序)可請(qǐng)求執(zhí)行或訪問(wèn)文件。例如,電子郵件附件可以被用戶選定來(lái)執(zhí)行。在另一個(gè)實(shí)例中,用戶希望所選定的應(yīng)用程序來(lái)訪問(wèn)在文件系統(tǒng)中存儲(chǔ)的文件。在方框308中,可以確定所述文件當(dāng)前是否被標(biāo)記為可疑。如果所述文件不是可疑的,則在方框310,所述文件可以在用戶虛擬機(jī)內(nèi)被執(zhí)行或訪問(wèn)。如果所述文件是可疑的,則在沙箱虛擬機(jī)內(nèi)處理所述文件。在一個(gè)實(shí)施例中,在方框312,沙箱虛擬機(jī)可以被創(chuàng)建來(lái)處理該特定文件訪問(wèn)請(qǐng)求。在另一個(gè)實(shí)施例中,永久的沙箱虛擬機(jī)在處理系統(tǒng)中是激活的,以處理所有這種訪問(wèn)可疑文件的請(qǐng)求。
在另一個(gè)實(shí)施例中,通過(guò)“派生”新的虛擬機(jī)環(huán)境創(chuàng)建沙箱虛擬機(jī),以在需要沙箱時(shí)構(gòu)建用戶虛擬機(jī)的復(fù)制副本。派生的一個(gè)好處是,在原始副本完全未更改的狀態(tài)下,原始副本和復(fù)制副本可以開(kāi)始分開(kāi),并因此充當(dāng)機(jī)器狀態(tài)的已知好的“檢驗(yàn)點(diǎn)”。如果隨后在所述復(fù)制副本中觀測(cè)到攻擊,則系統(tǒng)能夠簡(jiǎn)單地還原到已知好的“檢驗(yàn)點(diǎn)”。因此,VM“派生”在包含病毒或減慢它們的傳播基礎(chǔ)上又邁進(jìn)了一步,即還提供用于從攻擊中恢復(fù)的方法的步驟。
一旦沙箱虛擬機(jī)被激活來(lái)處理文件訪問(wèn),則在方框314,根據(jù)指定的沙箱策略的規(guī)則,可以在所述沙箱虛擬機(jī)中訪問(wèn)或執(zhí)行文件。所述沙箱策略可以定義何種動(dòng)作可以被認(rèn)為是文件訪問(wèn)的一部分。例如,使在沙箱中執(zhí)行的軟件遵從不從所述沙箱中發(fā)送電子郵件的策略。這可以通過(guò)使處理系統(tǒng)內(nèi)的策略檢查器組件捕獲由沙箱發(fā)送電子郵件的任何請(qǐng)求來(lái)實(shí)施。作為另一個(gè)實(shí)例,在沙箱中執(zhí)行的軟件可能不被允許在處理系統(tǒng)中刪除或修改文件。在一個(gè)實(shí)施例中,這通過(guò)虛擬化要修改文件的所有請(qǐng)求來(lái)實(shí)施,使得在沙箱虛擬機(jī)看來(lái),它是正在實(shí)現(xiàn)修改文件的請(qǐng)求,但實(shí)際上,將使用臨時(shí)文件來(lái)實(shí)現(xiàn)所述請(qǐng)求,從而永久系統(tǒng)文件將不會(huì)有任何改變。在從用戶虛擬機(jī)中派生所述沙箱虛擬機(jī)的另一個(gè)實(shí)施例中,在沙箱中執(zhí)行一段時(shí)間后,所述派生出的環(huán)境被并入回所述用戶環(huán)境。此時(shí),做出關(guān)于是否接受對(duì)由所述沙箱虛擬機(jī)請(qǐng)求的文件進(jìn)行改變的決定。在一個(gè)實(shí)例中,不接受在沙箱內(nèi)做出的對(duì)系統(tǒng)文件的改變?;蛘?,如果檢測(cè)到所述派生出的環(huán)境已被病毒攻擊污染,就簡(jiǎn)單地將它丟棄,并且系統(tǒng)操作可以返回到作為已知好的檢查點(diǎn)的原始VM狀態(tài)。
當(dāng)在沙箱虛擬機(jī)內(nèi)正執(zhí)行或訪問(wèn)可疑文件時(shí),例如虛擬機(jī)監(jiān)視器(VMM)的實(shí)體監(jiān)視沙箱以監(jiān)測(cè)表明正在運(yùn)行攻擊碼的行為。例如,VMM可以監(jiān)視所述沙箱以監(jiān)測(cè)系統(tǒng)文件的變化、自動(dòng)電子郵件請(qǐng)求、或訪問(wèn)敏感文檔的嘗試。如果VMM檢測(cè)到這些行為中的任何一種,則VMM將會(huì)以一個(gè)或多個(gè)規(guī)定的方式作出響應(yīng)。例如,VMM將文件標(biāo)記為可能的攻擊代碼,刪除所述代碼,通知用戶,將文件發(fā)送給安全服務(wù)器以用于進(jìn)一步評(píng)價(jià),或執(zhí)行其他預(yù)定的動(dòng)作。
在本發(fā)明實(shí)施例的情況下,不僅可執(zhí)行文件可以被標(biāo)記為可疑的并在沙箱中被執(zhí)行,而且另外,數(shù)據(jù)文件也能被標(biāo)記為可疑的,并且,訪問(wèn)所述數(shù)據(jù)文件的應(yīng)用程序能在沙箱中被執(zhí)行。例如,當(dāng)應(yīng)用程序正在訪問(wèn)信任的數(shù)據(jù)文件時(shí),該應(yīng)用程序可以在用戶虛擬機(jī)中執(zhí)行,但是當(dāng)它正在訪問(wèn)可疑數(shù)據(jù)文件時(shí),其將在沙箱中執(zhí)行。這提供了構(gòu)思,即代碼可以被信任,但是當(dāng)信任的代碼執(zhí)行不被信任的數(shù)據(jù)時(shí),所得到的組合仍然包含攻擊。
一旦文件已經(jīng)被標(biāo)記為可疑的,除非采取一些指定的動(dòng)作來(lái)去除所述文件上的可疑標(biāo)記,否則所述文件將保持被標(biāo)記為可疑的??梢晌募梢员欢啻卧L問(wèn)并仍然保持被標(biāo)記為可疑的。用于實(shí)現(xiàn)對(duì)可疑文件去標(biāo)記的功能的一個(gè)策略是,用戶運(yùn)行不是沙箱的虛擬機(jī),并且請(qǐng)求將所述可疑文件導(dǎo)入到該虛擬機(jī)中。另一個(gè)可被用于對(duì)可疑文件去標(biāo)記的策略是,在文件已經(jīng)在沙箱內(nèi)被執(zhí)行指定的時(shí)間段之后,在沒(méi)有表明攻擊代碼的行為的證據(jù)的情況下,則可以改變所述文件的可疑標(biāo)記。在一個(gè)實(shí)施例中,這種去標(biāo)記可以通過(guò)對(duì)所述文件的可疑標(biāo)記去設(shè)置來(lái)實(shí)現(xiàn)。在另一個(gè)實(shí)施例中,一旦文件被認(rèn)為是被信任的,則用戶可以有選擇地對(duì)該文件進(jìn)行去標(biāo)記。
圖4是例示依據(jù)本發(fā)明實(shí)施例的虛擬機(jī)環(huán)境的圖。在這個(gè)實(shí)施例中,除了使VMM監(jiān)視沙箱虛擬機(jī)的操作之外,執(zhí)行監(jiān)視的實(shí)體可以是策略實(shí)施虛擬機(jī)404?;蛘撸娲?,監(jiān)視實(shí)體能夠駐留于(至少部分地)執(zhí)行附加動(dòng)作的另一個(gè)VM。這個(gè)虛擬機(jī)可以與文件系統(tǒng)虛擬機(jī)402相互作用以確保在沙箱內(nèi)執(zhí)行的攻擊代碼不能在處理系統(tǒng)中修改文件。由所述文件系統(tǒng)虛擬機(jī)處理訪問(wèn)所述文件系統(tǒng)的請(qǐng)求。所述策略實(shí)施虛擬機(jī)實(shí)施預(yù)定的策略406,其描述了為正在沙箱內(nèi)被執(zhí)行的代碼所允許的活動(dòng)。在一個(gè)實(shí)例中,沙箱虛擬機(jī)不能直接訪問(wèn)網(wǎng)絡(luò),從而沙箱虛擬機(jī)訪問(wèn)網(wǎng)絡(luò)的任何請(qǐng)求將被發(fā)送到所述策略實(shí)施虛擬機(jī)。然后,所述策略實(shí)施虛擬機(jī)將檢查策略以查看是否將允許所述網(wǎng)絡(luò)訪問(wèn)。按照這種方式,所述策略實(shí)施虛擬機(jī)能阻止沙箱虛擬機(jī)向網(wǎng)絡(luò)發(fā)送電子郵件或發(fā)送任何信息。
本發(fā)明實(shí)施例有助于阻止一些計(jì)算機(jī)病毒的快速傳播。如果使用本發(fā)明打開(kāi)具有攻擊代碼的文件附件,則所述附件將會(huì)在沙箱中打開(kāi)。所述沙箱將不被允許發(fā)送電子郵件(取決于如何定義策略),從而所述攻擊將不會(huì)被復(fù)制。所述攻擊代碼可以修改所述沙箱中的系統(tǒng)文件,但是這些改變將是虛擬地進(jìn)行的,從而實(shí)際的系統(tǒng)文件將不會(huì)被修改。當(dāng)在所述沙箱中打開(kāi)文件后,用戶可以決定將文件轉(zhuǎn)移到另一個(gè)虛擬機(jī)。但是這不像將文件保留在所述沙箱中一樣優(yōu)選,即使這個(gè)方案也可以減慢病毒傳播。
盡管所述操作在這里被描述為順序的過(guò)程,但是實(shí)際上一些操作可以被并行地或同時(shí)執(zhí)行。另外,在一些實(shí)施例中,在不背離本發(fā)明的精神的情況下,可以重新排列操作的順序。
盡管已經(jīng)參考例示性的實(shí)施例描述本發(fā)明,但是并不意在從限制的意義上解釋本描述。對(duì)本發(fā)明所屬領(lǐng)域的技術(shù)人員來(lái)說(shuō)顯而易見(jiàn)的是,所述例示性的實(shí)施例的各種修改以及本發(fā)明的其他實(shí)施例,被認(rèn)為是在本發(fā)明的精神和范圍內(nèi)。
權(quán)利要求
1.一種改進(jìn)處理系統(tǒng)的安全性的方法,包括在沙箱虛擬機(jī)中對(duì)可疑文件進(jìn)行執(zhí)行和訪問(wèn)中至少之一。
2.如權(quán)利要求1所述的方法,還包括根據(jù)沙箱策略對(duì)可疑文件進(jìn)行執(zhí)行和訪問(wèn)中至少之一,其中所述沙箱策略定義在對(duì)可疑文件進(jìn)行執(zhí)行和訪問(wèn)中至少之一期間將被采取的所允許的動(dòng)作。
3.如權(quán)利要求2所述的方法,其中,所述沙箱策略包括阻止發(fā)送電子郵件信息、刪除或修改所述處理系統(tǒng)上的文件、以及通過(guò)網(wǎng)絡(luò)接口發(fā)送消息中的至少一個(gè),所有上述操作都在所述沙箱虛擬機(jī)內(nèi)發(fā)起。
4.如權(quán)利要求1所述的方法,還包括識(shí)別將被標(biāo)記為可疑的文件。
5.如權(quán)利要求4所述的方法,其中,識(shí)別將被標(biāo)記為可疑的文件包括根據(jù)文件識(shí)別策略評(píng)價(jià)所述文件。
6.如權(quán)利要求5所述的方法,其中,識(shí)別將被標(biāo)記為可疑的所述文件包括由虛擬機(jī)監(jiān)視器識(shí)別所述文件。
7.如權(quán)利要求4所述的方法,還包括標(biāo)記所述可疑文件以將所述文件識(shí)別為可疑的。
8.如權(quán)利要求1所述的方法,還包括為對(duì)所述可疑文件進(jìn)行執(zhí)行和訪問(wèn)中至少之一創(chuàng)建所述沙箱虛擬機(jī)。
9.如權(quán)利要求1所述的方法,還包括在所述處理系統(tǒng)中創(chuàng)建用于處理對(duì)一個(gè)或多個(gè)可疑文件進(jìn)行執(zhí)行和訪問(wèn)中至少之一的所述沙箱虛擬機(jī)。
10.如權(quán)利要求1所述的方法,還包括通過(guò)從用戶虛擬機(jī)派生所述沙箱虛擬機(jī)來(lái)創(chuàng)建所述沙箱虛擬機(jī)。
11.如權(quán)利要求7所述的方法,還包括,當(dāng)對(duì)進(jìn)行對(duì)可疑文件的執(zhí)行和訪問(wèn)中的至少一個(gè)的監(jiān)視表明所述可疑文件不是惡意的時(shí),改變所述可疑文件的標(biāo)記。
12.如權(quán)利要求7所述的方法,還包括在用戶虛擬機(jī)內(nèi)將可疑文件的標(biāo)記從可疑改變?yōu)椴豢梢伞?br> 13.如權(quán)利要求1所述的方法,還包括,在嘗試在用戶虛擬機(jī)中執(zhí)行或訪問(wèn)文件之前,確定所述文件是否被標(biāo)記為可疑的。
14.一種物品,包括具有多個(gè)機(jī)器可讀指令的存儲(chǔ)介質(zhì),其中,當(dāng)由處理器執(zhí)行所述指令時(shí),所述指令通過(guò)在沙箱虛擬機(jī)中對(duì)可疑文件進(jìn)行執(zhí)行和訪問(wèn)中至少之一,提供改進(jìn)處理系統(tǒng)的安全性。
15.如權(quán)利要求14所述的物品,還包括用于根據(jù)沙箱策略對(duì)所述可疑文件進(jìn)行執(zhí)行和訪問(wèn)中至少一個(gè)的指令,其中所述沙箱策略定義在對(duì)所述可疑文件進(jìn)行執(zhí)行和訪問(wèn)中的至少一個(gè)期間將被采取的所允許的動(dòng)作。
16.如權(quán)利要求15所述的物品,其中,所述沙箱策略包括阻止發(fā)送電子郵件信息、刪除或修改所述處理系統(tǒng)上的文件、以及通過(guò)網(wǎng)絡(luò)接口發(fā)送消息中的至少一個(gè),所有上述操作都在所述沙箱虛擬機(jī)內(nèi)發(fā)起。
17.如權(quán)利要求14所述的物品,還包括用于識(shí)別將被標(biāo)記為可疑的文件的指令。
18.如權(quán)利要求17所述的物品,其中,用于識(shí)別將被標(biāo)記為可疑的文件的指令包括用于根據(jù)文件識(shí)別策略評(píng)價(jià)所述文件的指令。
19.如權(quán)利要求18所述的物品,其中,用于識(shí)別將被標(biāo)記為可疑的所述文件的指令包括用于通過(guò)虛擬機(jī)監(jiān)視器識(shí)別所述文件的指令。
20.如權(quán)利要求17所述的物品,還包括用于標(biāo)記所述可疑文件以將所述文件識(shí)別為可疑的指令。
21.如權(quán)利要求15所述的物品,還包括用于為對(duì)所述可疑文件進(jìn)行執(zhí)行和訪問(wèn)中至少一個(gè)創(chuàng)建所述沙箱虛擬機(jī)的指令。
22.如權(quán)利要求15所述的物品,還包括用于在所述處理系統(tǒng)中創(chuàng)建用于處理對(duì)所有可疑文件進(jìn)行執(zhí)行和訪問(wèn)中的至少一個(gè)的所述沙箱虛擬機(jī)的指令。
23.如權(quán)利要求15所述的物品,還包括用于通過(guò)從用戶虛擬機(jī)派生所述沙箱虛擬機(jī)來(lái)創(chuàng)建所述沙箱虛擬機(jī)的指令。
24.如權(quán)利要求20所述的物品,還包括用于當(dāng)對(duì)進(jìn)行對(duì)可疑文件的執(zhí)行和訪問(wèn)中的至少一個(gè)的監(jiān)視表明所述可疑文件不是惡意的時(shí)改變所述可疑文件的標(biāo)記的指令。
25.如權(quán)利要求20所述的物品,還包括用于從用戶虛擬機(jī)內(nèi)將可疑文件的標(biāo)記從可疑改變?yōu)椴豢梢傻闹噶睢?br> 26.如權(quán)利要求14所述的物品,還包括用于在用戶虛擬機(jī)中嘗試執(zhí)行或訪問(wèn)文件之前,確定所述文件是否被標(biāo)記為可疑的指令。
27.一種處理系統(tǒng)包括虛擬機(jī)監(jiān)視器,用于識(shí)別和標(biāo)記可疑文件;以及沙箱虛擬機(jī),用于對(duì)可疑文件進(jìn)行執(zhí)行和訪問(wèn)中至少一個(gè)。
28.如權(quán)利要求27所述的處理系統(tǒng),其中,所述沙箱虛擬機(jī)根據(jù)沙箱策略對(duì)所述可疑文件進(jìn)行執(zhí)行和訪問(wèn)中至少一個(gè),其中所述沙箱策略定義在對(duì)所述可疑文件進(jìn)行執(zhí)行和訪問(wèn)中至少一個(gè)期間將被采取的所允許的動(dòng)作。
29.如權(quán)利要求28所述的處理系統(tǒng),其中,所述沙箱策略包括阻止發(fā)送帶有所述可疑文件作為附件的電子郵件信息,和刪除所述處理系統(tǒng)上的文件中的至少一個(gè),上述兩者都在所述沙箱虛擬機(jī)內(nèi)發(fā)起。
30.如權(quán)利要求27所述的處理系統(tǒng),其中,所述虛擬機(jī)監(jiān)視器通過(guò)根據(jù)文件識(shí)別策略評(píng)價(jià)文件,識(shí)別將被標(biāo)記為可疑的所述文件。
31.如權(quán)利要求27所述的處理系統(tǒng),其中,當(dāng)對(duì)由所述沙箱虛擬機(jī)進(jìn)行的對(duì)可疑文件的執(zhí)行和訪問(wèn)中的至少一個(gè)的監(jiān)視表明所述可疑文件不是可疑的時(shí),所述虛擬機(jī)監(jiān)視器改變所述可疑文件的標(biāo)記。
32.一種處理系統(tǒng),包括沙箱虛擬機(jī),用于對(duì)可疑文件進(jìn)行執(zhí)行和訪問(wèn)中至少一個(gè);以及策略實(shí)施虛擬機(jī),用于識(shí)別和標(biāo)記可疑文件,以及實(shí)施沙箱策略,所述沙箱策略定義在對(duì)所述可疑文件進(jìn)行執(zhí)行和訪問(wèn)中至少一個(gè)期間將被所述沙箱虛擬機(jī)采取的所允許的動(dòng)作。
33.如權(quán)利要求32所述的處理系統(tǒng),其中,所述沙箱策略包括通過(guò)所述策略實(shí)施虛擬機(jī),阻止發(fā)送帶有所述可疑文件作為附件的電子郵件信息,和刪除所述處理系統(tǒng)中上的文件中的至少一個(gè),兩者都在所述沙箱虛擬機(jī)內(nèi)發(fā)起。
34.如權(quán)利要求32所述的處理系統(tǒng),其中,所述策略實(shí)施虛擬機(jī)通過(guò)根據(jù)文件識(shí)別策略評(píng)價(jià)文件,識(shí)別將被標(biāo)記為可疑的文件。
35.如權(quán)利要求32所述的處理系統(tǒng),其中,當(dāng)對(duì)由所述沙箱虛擬機(jī)進(jìn)行的對(duì)可疑文件的執(zhí)行和訪問(wèn)中的至少一個(gè)的監(jiān)視表明所述可疑文件不是可疑的時(shí),所述策略實(shí)施虛擬機(jī)改變所述可疑文件的標(biāo)記。
36.一種改進(jìn)處理系統(tǒng)的安全性的方法,包括識(shí)別將被標(biāo)記為可疑的文件;標(biāo)記所述被識(shí)別的文件;接受由用戶虛擬機(jī)對(duì)文件進(jìn)行執(zhí)行和訪問(wèn)中至少一個(gè)的請(qǐng)求;當(dāng)所述文件沒(méi)有被標(biāo)記為可疑時(shí),在所述用戶虛擬機(jī)中對(duì)所述文件進(jìn)行執(zhí)行和訪問(wèn)中至少一個(gè);并且當(dāng)所述文件被標(biāo)記為可疑時(shí),根據(jù)策略,創(chuàng)建沙箱虛擬機(jī)并在所述沙箱虛擬機(jī)中對(duì)所述文件進(jìn)行執(zhí)行和訪問(wèn)中至少一個(gè)。
37.如權(quán)利要求36所述的方法,其中,所述策略包括阻止發(fā)送帶有所述可疑文件作為附件的電子郵件信息,和刪除所述處理系統(tǒng)上的文件中的至少一個(gè),上述兩者都在所述沙箱虛擬機(jī)內(nèi)發(fā)起。
38.如權(quán)利要求36所述的方法,其中,識(shí)別將被標(biāo)記為可疑的文件包括根據(jù)文件識(shí)別策略評(píng)價(jià)所述文件。
39.如權(quán)利要求38所述的方法,其中,識(shí)別將被標(biāo)記為可疑的所述文件包括通過(guò)虛擬機(jī)監(jiān)視器識(shí)別所述文件。
全文摘要
通過(guò)在沙箱虛擬機(jī)中進(jìn)行對(duì)可疑文件的執(zhí)行和訪問(wèn)中的至少一個(gè),可以實(shí)現(xiàn)改進(jìn)處理系統(tǒng)的安全性。
文檔編號(hào)G06F1/00GK1961272SQ200580017458
公開(kāi)日2007年5月9日 申請(qǐng)日期2005年6月21日 優(yōu)先權(quán)日2004年6月29日
發(fā)明者厄尼·F·布里克爾, 克利福德·D·霍爾, 約瑟夫·F·齊胡拉, 理查德·烏利格 申請(qǐng)人:英特爾公司
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1