用于保护多个网络端点的双重存储器内省制造技术

描述的系统及方法实现使多个客户端系统(例如，企业网络)免受计算机安全威胁(例如恶意软件及入侵)。在一些实施例中，每一受保护客户端操作现场内省引擎及按需内省引擎。所述现场内省引擎检测暴露于相应客户端系统上的受保护虚拟机内某些事件的发生，且将所述发生传送到远程安全服务器。所述服务器又可通过指示待由所述客户端执行的取证工具来请求来自所述客户端系统的所述事件的取证分析。取证工具可存储于所述客户端可存取的中央存储库中。响应于接收所述分析请求，所述按需内省引擎可检索及执行所述取证工具，且将所述取证分析的结果传送到所述安全服务器。所述服务器可使用所述信息确定所述相应客户端是否处于恶意软件或入侵者的攻击下。

【技术实现步骤摘要】
【国外来华专利技术】用于保护多个网络端点的双重存储器内省相关申请案本申请案主张2015年12月19日申请的标题为“用于保护多个网络端点的双重存储器内省(DualMemoryIntrospectionforSecuringMultipleNetworkEndpoints)”的第62/269,952号美国临时专利申请案的申请日期的权益，所述美国专利申请案的全部内容以引用方式并入本文中。
技术介绍
本专利技术涉及计算机安全系统及方法，且特定来说，本专利技术涉及用于使硬件虚拟化环境免受计算机安全威胁的系统及方法。恶意软件(malicioussoftware)，也称为恶意软件(malware)，影响世界各地的众多计算机系统。呈许多形式(例如计算机病毒、蠕虫、木马及间谍软件)的恶意软件对成千上万的计算机用户带来严重威胁，从而使用户易于丢失数据及敏感信息、遭受身份盗窃且损失生产力等。计算机安全软件可用于使计算机系统免受恶意软件。然而，在分布式计算系统(例如企业网络及云计算系统)中，常规安全软件通常不能对攻击作出良好响应。即使在安全软件能够检测攻击时，分析及补救可能仍然需要向受影响客户端系统派遣人类操作者，例如，以应用补丁、恢复丢失的数据等。另外，一旦检测到且分析了新的威胁，就必须及时将更新版本的安全软件分发到所有受保护计算机系统。替代计算机安全系统可在中央服务器计算机上执行，从而通过通信网络从安全客户端接收相关数据。服务器可根据接收到的数据确定相应客户端是否感染了恶意软件，且可将结论传送到相应客户端。虽然此类配置被较好地装配以处理新出现的威胁，但其需要大量服务器侧计算能力。计算机安全操作由于硬件虚拟化的到来而进一步复杂化。随着越来越多的商品及服务在线交易，且随着工作逐步去本地化，基础设施即服务(IAAS)变成了拥有计算机硬件的可行替代。相当大比例的计算活动当前是使用虚拟机进行。在典型的应用(例如服务器农场及云计算)中，数以百计的虚拟机可同时在单个硬件平台上执行。所有此类虚拟机可能需要恶意软件保护。适应恶意软件不断变化的性质及流动劳动力的挑战需要开发新颖计算机安全系统及协议，尤其是开发实现跨越多个分布式客户端有效地管理计算机安全操作的系统及方法。
技术实现思路
根据一个方面，一种客户端计算机系统包括经配置以执行管理程序、现场内省引擎及按需内省引擎的硬件处理器。所述管理程序经配置以暴露客户虚拟机(VM)及与所述客户VM不同的安全VM，其中所述按需内省引擎在所述安全VM内执行，且其中所述现场内省引擎在所述客户VM及安全VM外部执行。所述现场内省引擎经配置以：响应于检测到所述客户VM内事件的发生通过通信网络将所述事件的指示符发射到远程服务器计算机系统。所述按需内省引擎经配置以：响应于所述现场内省引擎将所述事件的所述指示符发射到所述远程服务器计算机系统，从所述远程服务器计算机系统接收分析请求，所述分析请求指示驻存于远程工具存储库中的安全工具，所述远程工具存储库经配置以将安全工具分布到包含所述客户端计算机系统的多个客户端，所述安全工具包括经配置以分析所述事件的发生的软件，所述安全工具由所述远程服务器计算机系统根据所述事件的事件类型进行选择。所述按需内省引擎进一步经配置以：响应于接收所述分析请求，根据所述分析请求识别所述安全工具，且作为响应，从所述工具存储库选择性地检索所述安全工具，其中检索所述安全工具包括通过所述通信网络连接到中央工具存储库。所述按需内省引擎进一步经配置以：响应于选择性地检索所述安全工具，执行所述安全工具，及将执行所述安全工具的结果发射到所述远程服务器计算机系统。根据另一方面，一种服务器计算机经配置以执行与多个客户端系统的计算机安全事务。所述服务器计算机系统包括硬件处理器，所述硬件处理器经配置以：响应于从所述多个客户端系统的客户端系统接收事件指示符，所述事件指示符指示在所述客户端系统上执行的客户虚拟机VM内事件的发生，选择驻存于经配置以将安全工具分布到所述多个客户端系统的远程工具存储库中的安全工具，所述安全工具包括经配置以分析所述事件的发生的软件，其中选择所述安全工具是根据所述事件的事件类型执行。所述硬件处理器进一步经配置以：响应于选择所述安全工具，通过通信网络将分析请求发射到所述客户端系统，所述分析请求包括所述安全工具的标识符；及作为响应，从所述客户端系统接收在所述客户端系统上执行所述安全工具的结果。所述客户端系统经配置以执行管理程序、现场内省引擎及按需内省引擎。所述管理程序经配置以暴露所述客户VM及与所述客户VM不同的安全VM，其中所述按需内省引擎在所述安全VM内执行，且其中所述现场内省引擎在所述客户VM及安全VM外部执行。所述现场内省引擎经配置以：响应于检测到所述事件的发生将所述事件指示符发射到所述服务器计算机系统。所述按需内省引擎经配置以：响应于接收所述分析请求，根据所述分析请求识别所述安全工具。所述按需内省引擎进一步经配置以：响应于识别所述安全工具，从所述工具存储库选择性地检索所述安全工具，其中检索所述安全工具包括所述客户端系统通过所述通信网络连接到所述远程工具存储库。所述按需内省引擎进一步经配置以：响应于检索所述安全工具，执行所述安全工具以产生所述结果。根据另一方面，一种非暂时性计算机可读媒体包括一组指令，当所述组指令执行于客户端计算机系统的硬件处理器上时致使所述客户端计算机系统形成管理程序、现场内省引擎及按需内省引擎。所述管理程序经配置以暴露客户虚拟机(VM)及与所述客户VM不同的安全VM，其中所述按需内省引擎在所述安全VM内执行，且其中所述现场内省引擎在所述客户VM及安全VM外部执行。所述现场内省引擎经配置响应于检测到所述客户VM内事件的发生通过通信网络将所述事件的指示符发射到远程服务器计算机系统。所述按需内省引擎经配置以：响应于所述现场内省引擎将所述事件的所述指示符发射到所述远程服务器计算机系统，从所述远程服务器计算机系统接收分析请求，所述分析请求指示驻存于远程工具存储库中的安全工具，所述远程工具存储库经配置以将安全工具分布到包含所述客户端计算机系统的多个客户端，所述安全工具包括经配置以分析所述事件的发生的软件，所述安全工具由所述远程服务器计算机系统根据所述事件的事件类型选择。所述按需内省引擎进一步经配置以：响应于接收所述分析请求，根据所述分析请求识别所述安全工具，且作为响应，从所述工具存储库选择性地检索所述安全工具，其中检索所述安全工具包括通过所述通信网络连接到中央工具存储库。所述按需内省引擎进一步经配置以：响应于选择性地检索所述安全工具，执行所述安全工具，及将执行所述安全工具的结果发射到所述远程服务器计算机系统。附图说明在阅读以下详细描述及参考图之后，将更好地理解本专利技术的前述方面及优点，其中：图1说明根据本专利技术的一些实施例的其中使多个客户端系统免受计算机安全威胁的示范性配置。图2-A说明根据本专利技术的一些实施例的客户端系统的示范性硬件配置。图2-B展示根据本专利技术的一些实施例的安全服务器计算机系统的示范性硬件配置。图3-A展示根据本专利技术的一些实施例的由受保护客户端系统上执行的管理程序暴露的一组示范性虚拟机及一对示范性内省引擎。图3-B展示根据本专利技术的一些实施例的安全组件的替代配置。图4展示根据本专利技术的一些实施例的由安本文档来自技高网...

【技术保护点】
1.一种客户端计算机系统，其包括经配置以执行管理程序、现场内省引擎及按需内省引擎的硬件处理器，其中：所述管理程序经配置以暴露客户虚拟机VM及与所述客户VM不同的安全VM，其中所述按需内省引擎在所述安全VM内执行，且其中所述现场内省引擎在所述客户VM及安全VM外部执行；所述现场内省引擎经配置响应于检测到所述客户VM内事件的发生通过通信网络将所述事件的指示符发射到远程服务器计算机系统；且所述按需内省引擎经配置以：响应于所述现场内省引擎将所述事件的所述指示符发射到所述远程服务器计算机系统，从所述远程服务器计算机系统接收分析请求，所述分析请求指示驻存于远程工具存储库中的安全工具，所述远程工具存储库经配置以将安全工具分布到包含所述客户端计算机系统的多个客户端，所述安全工具包括经配置以分析所述事件的所述发生的软件，所述安全工具由所述远程服务器计算机系统根据所述事件的事件类型选择，响应于接收所述分析请求，根据所述分析请求识别所述安全工具，响应于识别所述安全工具，从所述工具存储库选择性地检索所述安全工具，其中检索所述安全工具包括通过所述通信网络连接到所述中央工具存储库，响应于选择性地检索所述安全工具，执行所述安全工具，及响应于执行所述安全工具，将执行所述安全工具的结果发射到所述远程服务器计算机系统。...

【技术特征摘要】
【国外来华专利技术】2015.12.19 US 62/269,9521.一种客户端计算机系统，其包括经配置以执行管理程序、现场内省引擎及按需内省引擎的硬件处理器，其中：所述管理程序经配置以暴露客户虚拟机VM及与所述客户VM不同的安全VM，其中所述按需内省引擎在所述安全VM内执行，且其中所述现场内省引擎在所述客户VM及安全VM外部执行；所述现场内省引擎经配置响应于检测到所述客户VM内事件的发生通过通信网络将所述事件的指示符发射到远程服务器计算机系统；且所述按需内省引擎经配置以：响应于所述现场内省引擎将所述事件的所述指示符发射到所述远程服务器计算机系统，从所述远程服务器计算机系统接收分析请求，所述分析请求指示驻存于远程工具存储库中的安全工具，所述远程工具存储库经配置以将安全工具分布到包含所述客户端计算机系统的多个客户端，所述安全工具包括经配置以分析所述事件的所述发生的软件，所述安全工具由所述远程服务器计算机系统根据所述事件的事件类型选择，响应于接收所述分析请求，根据所述分析请求识别所述安全工具，响应于识别所述安全工具，从所述工具存储库选择性地检索所述安全工具，其中检索所述安全工具包括通过所述通信网络连接到所述中央工具存储库，响应于选择性地检索所述安全工具，执行所述安全工具，及响应于执行所述安全工具，将执行所述安全工具的结果发射到所述远程服务器计算机系统。2.根据权利要求1所述的客户端计算机系统，其中所述远程服务器计算机系统进一步经配置以根据所述结果确定所述客户端计算机系统是否包括恶意软件。3.根据权利要求1所述的客户端计算机系统，其中所述远程服务器计算机系统进一步经配置以根据所述结果检测所述客户端计算机系统的恶意入侵。4.根据权利要求1所述的客户端计算机系统，其中所述按需内省引擎进一步经配置以：响应于将所述结果发射到所述远程服务器计算机系统，从所述远程服务器计算机系统接收驻存于所述远程工具存储库中的消解工具的指示符，所述消解工具包括经配置以使在所述客户端计算机系统上执行的恶意软件无法使用的软件；及响应于接收所述消解工具的所述指示符，检索并执行所述消解工具。5.根据权利要求1所述的客户端计算机系统，其中所述现场内省引擎进一步经配置以：响应于检测到所述事件的所述发生，根据所述事件的事件类型确定是否满足事件资格条件；及作为响应，仅当满足所述事件资格条件时将所述事件的所述指示符发射到所述远程服务器计算机系统。6.根据权利要求1所述的客户端计算机系统，其中从所述远程工具存储库检索所述安全工具包括将所述远程工具存储库安装到所述安全VM的文件系统上。7.根据权利要求1所述的客户端计算机系统，其中所述安全VM进一步包括网络滤波器，且其中所述管理程序进一步经配置以经由所述网络滤波器在所述客户VM与远程方之间路由网络业务。8.根据权利要求7所述的客户端计算机系统，其中：所述远程服务器计算机系统进一步经配置响应于确定所述客户端计算机系统是否包括恶意软件，当所述客户端计算机系统包括恶意软件时，将安全警示发送到所述客户端计算机系统；且所述网络滤波器经配置响应于所述客户端计算机系统接收所述安全警示，限制所述客户VM与所述远程方之间的网络业务。9.根据权利要求1所述的客户端计算机系统，其中执行所述安全工具的所述结果包括由所述客户VM使用的存储器区段的内容的副本。10.根据权利要求1所述的客户端计算机系统，其中执行所述安全工具的所述结果包括在所述客户VM内执行的软件实体列表。11.根据权利要求1所述的客户端计算机系统，其中执行所述安全工具的所述结果包括所述客户端计算机系统的硬件配置的指示符。12.根据权利要求1所述的客户端计算机系统，其中：所述管理程序经配置以在所述远程服务器计算机系统与所述安全VM之间建立安全点对点通信通道；且所述按需内省引擎经配置以经由所述安全点对点通信通道接收所述分析请求及发射所述结果。13.一种经配置以执行与多个客户端系统的计算机安全事务的服务器计算机，所述服务器计算机系统包括硬件处理器，所述硬件处理器经配置以：响应于从所述多个客户端系统的客户端系统接收事件指示符，所述事件指示符指示在所述客户端系统上执行的客户虚拟机VM内事件的发生，选择驻存于经配置以将安全工具分布到所述多个客户端系统的远程工具存储库中的安全工具，所述安全工具包括经配置以分析所述事件的所述发生的软件，其中选择所述安全工具是根据所述事件的事件类型执行；响应于选择所述安全工具，通过通信网络将分析请求发射到所述客户端系统，所述分析请求包括所述安全工具的标识符；及响应于发射所述安全工具的所述...

【专利技术属性】
技术研发人员：达恩霍雷亚·卢察什，山多尔·卢卡奇，达尼埃尔伊万·蒂克莱，拉杜伊万·乔卡斯，约内尔克里斯蒂内尔·阿尼基泰，
申请(专利权)人：比特梵德知识产权管理有限公司，
类型：发明
国别省市：塞浦路斯,CY