用于检测存储装置中的恶意活动的模块和方法制造方法及图纸

本文描述了用于检测存储装置中的恶意活动的模块和方法，其中，在存储装置的控制器内提供该模块。该模块被配置为使用经训练的神经网络来监视包含敏感数据或信息的存储装置的文件系统的适当逻辑块地址(LBA)的恶意活动。文件系统的适当逻辑块地址(LBA)的恶意活动。文件系统的适当逻辑块地址(LBA)的恶意活动。

【技术实现步骤摘要】
用于检测存储装置中的恶意活动的模块和方法


[0001]本专利技术涉及一种用于检测存储装置中的恶意活动的模块和方法，其中，该模块设置在存储装置的控制器内。该模块被配置为利用经训练的神经网络来监视包含敏感数据或信息的存储装置的文件系统的适当逻辑块地址(LBA)的恶意活动。

技术介绍

[0002]存储装置通常包括固态装置(SSD)、硬盘驱动器(HDD)、光盘驱动器或磁盘驱动器。无论存储装置的类型如何，这些装置通常都通过其逻辑块地址(LBA)进行线性寻址。对于HDD、光盘驱动器或磁盘驱动器，LBA指定驱动器内存储的特定数据块的位置。例如，LBA 0将指磁盘驱动器中的第一磁头可访问的第一磁道上的第一扇区，如此，当主机装置访问LBA 0时，LBA 0处包含的内容将被提供给主机装置。
[0003]然而，与上述磁盘驱动器不同，SSD包括非易失性存储器，其可电擦除并且可重新编程，如此，其将不具有在逻辑块寻址系统中提到的磁道或磁头。因此，SSD必须利用设置在SSD闪存控制器内的闪存转换层(FTL)来将主机装置的文件系统逻辑块地址映射到闪存的物理地址(逻辑到物理映射)。换言之，主机装置仍将利用现有的LBA寻址方法来寻址SSD以进行读取/写入/重写操作。来自主机装置的这些命令将被FTL拦截，并且FTL将维护LBA与闪存的物理块地址(PBA)之间关系的映射。然后，SSD的控制器将使用PBA来执行接收到的命令。
[0004]最近，由于SSD具有比传统机械硬盘驱动器更多的优势，因此SSD已越来越广泛地用作存储装置。例如，SSD比HDD快得多，并且能够提供高达HDD的100倍的性能，这意味着更快的启动时间和更快的文件传输。与HDD相比，SSD消耗的功率也少得多，从而改善了功率和热效率。结果，SSD现在广泛地用于工业、医疗或军事应用。
[0005]通常，大多数SSD将与主机装置一起使用，并且可用于存储主机装置的操作系统，即，用作主机的系统驱动器，其中，与操作系统关联的代码存储在SSD内，并且当主机装置启动时将对其进行访问。当SSD用作主机的系统驱动器时，SSD将具有存储在逻辑块地址(LBA)0处的主引导记录(MBR)，和存储在存储装置中的其他位置的主机装置的操作系统代码。当主机装置首次访问存储装置时，指令将发送至LBA 0，以指示SSD将LBA 0处的内容发送至主机装置。这使主机装置能够从LBA 0读取MBR，其中，MBR通常将包含计算机可读程序代码，该代码在由主机装置执行时，使主机装置能够从存储装置读取操作系统代码的其他部分，并且启动主机装置。
[0006]可替代地，SSD也可用作辅助存储介质(诸如USB闪存驱动器、存储卡或外部存储装置)，以扩展主机装置可访问的存储容量。当主机装置首次访问这种SSD时，存储装置的LBA 0处的内容将向主机装置指示其将用作辅助存储介质。
[0007]为了访问敏感应用程序中包含的信息，恶意第三方已采取各种手段和方式来感染此类存储装置的MBR。常见的方法涉及恶意第三方在对存储装置的MBR或其他引导扇区进行脱根(de
‑
root)之前获得对存储装置的系统级别访问，并导致在其中安装受损的操作系统。
[0008]为了保护操作系统免受篡改并防止在存储装置放错位置的情况下访问重要的私人信息，本领域技术人员已经提出，操作系统代码(包括MBR)由安装在存储装置内的软件加密，并经受认证过程，使得MBR和操作系统代码只能由授权用户访问。由于控制器在认证存储装置的用户之前将无法读取MBR，因此存储装置可以存储“替代”主引导记录(MBR)，该主引导记录(MBR)导致认证信息被在存储装置中运行的认证程序收集和验证。
[0009]成功认证存储装置的用户后，存储装置将LBA 0重新映射到原始MBR，使得存储装置可以接收实际的MBR并正常启动。这种方法的缺点是，如果用户的认证凭据受到破坏，则这意味着MBR和操作系统代码也将受到危害。
[0010]另外，本领域技术人员提出的解决方案要求被监视的存储装置的操作系统、分区系统或引导区域是已知的，并且预加载到这些解决方案中，然后可以由这些解决方案充分保护存储装置。换言之，现有解决方案无法自动识别被监视的存储装置的操作系统、分区系统或引导区域，并且此类信息必须由用户提供给现有的监视解决方案。对于存储装置的控制器，存储装置内包含的所有信息包括用户的数据，并且其在默认情况下无法区分该数据。当被监视的存储装置的操作系统、分区系统或引导区域被用户修改或错误选择时，这尤其成为问题，结果，存储装置可能会意外受损。
[0011]由于上述原因，即使没有通过用户向该装置的存储器提供存储装置的操作系统、分区系统或引导区域，本领域技术人员也一直在努力提出一种能够检测存储装置中的恶意活动的模块和方法。

技术实现思路

[0012]通过根据本专利技术的实施例提供的系统和方法，解决了以上和其他问题，并且在本领域取得了进步。
[0013]根据本专利技术的模块和方法的实施例的第一优点在于，该模块能够识别安装在存储器装置内的操作系统的类型。
[0014]根据本专利技术的模块和方法的实施例的第二优点在于，该模块能够自动且有效地检测存储装置内的特定位置内发生的恶意活动。
[0015]根据本专利技术的模块和方法的实施例的第三优点在于，将以固件级别监视存储装置的逻辑块地址，并且不要求在可能检测到并阻止恶意活动之前启动操作系统。
[0016]根据本专利技术的模块和方法的实施例的第四优点在于，由于模块被配置为检测两种配置中的恶意活动，即使存储装置从主机装置移除且被重新配置为辅助存储装置，仍将保护包含在存储装置(其已被配置为用作主机装置的系统装置)内的内容免受恶意第三方。
[0017]根据本专利技术的模块和方法的实施例的第五优点在于，当模块被实现为存储装置控制器的固件的一部分时，可以以操作系统级别不禁用该模块。
[0018]由以以下方式操作的根据本专利技术的方法的实施例提供了以上优点。
[0019]根据本专利技术的第一方面，提供了用于检测存储装置中的恶意活动的模块，其中，该模块设置在存储装置的控制器内，该模块被配置为：从主机装置检索发送至控制器的第一逻辑块地址(LBA0)，并且检索第一LBA0处的内容，其中，所检索的内容用于启用从设置在控制器内的数据模块检索的经训练的神经网络；利用第一LBA0处的内容和经训练的神经网络来识别要被监视的存储装置的逻辑块地址(LBA)；将主机装置发送至所识别的LBA的指令镜
像到控制器，并且将经镜像的LBA的内容镜像；基于经镜像的指令和内容利用经训练的神经网络来确定是否在存储装置处发生恶意活动，其中，基于与同操作系统或辅助存储操作关联的文件系统的主引导记录、主文件表、引导扇区、BIOS参数块或扩展的BIOS参数块有关的LBA处的内容的平均读取/写入/重写访问，针对不同类型的操作系统或辅助存储操作来训练神经网络。
[0020]关于本专利技术的第一方面，启用关联的经训练的神经网络包括模块被配置为：从LBA0处的内容选择一组幻数，其本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于检测存储装置中的恶意活动的模块，其中，所述模块设置在所述存储装置的控制器内，所述模块被配置为：从主机装置检索发送至所述控制器的第一逻辑块地址，并在所述第一逻辑块地址处检索内容，其中，所检索的内容用于启用从设置在所述控制器内的数据模块检索到的经训练的神经网络；利用所述第一逻辑块地址处的内容和所述经训练的神经网络来识别所述存储装置的要被监视的逻辑块地址；将所述主机装置发送至所识别的逻辑块地址的指令镜像至所述控制器，并且将经镜像的逻辑块地址的内容进行镜像：利用所述经训练的神经网络，基于经镜像的指令和内容，来确定是否在所述存储装置处正在发生恶意活动，其中，基于与同操作系统或辅助存储操作关联的文件系统的主引导记录、关键记录、主文件表、引导扇区、BIOS参数块或扩展的BIOS参数块有关的逻辑块地址处的内容的平均读取/写入/重写访问，针对不同类型的操作系统或辅助存储操作，来训练所述神经网络。2.根据权利要求1所述的模块，其中，启用关联的经训练的神经网络包括所述模块被配置为：从所述第一逻辑块地址处的内容中选择一组幻数，其中，所选择的一组幻数与幻数查找表一起用来确定与所述控制器的文件系统关联的操作系统的类型或辅助存储操作的类型，其中，从所述数据模块获得所述幻数查找表；以及启用所述经训练的神经网络以从所述数据模块检测与操作系统或辅助存储操作的经确定的类型有关的恶意活动。3.根据权利要求2所述的模块，其中，启用经训练的神经网络包括所述模块被配置为选择已经针对与所述控制器的文件系统关联的操作系统的经确定的类型或辅助存储操作的经确定的类型优化的经训练的神经网络。4.根据权利要求1所述的模块，其中，所述识别所述存储装置的要被监视的逻辑块地址包括所述模块被配置为：基于与所启用的经训练的神经网络关联的操作系统或辅助存储操作的经确定的类型，来识别包含关键数据的逻辑块地址，其中，所述关键数据至少包括与所述存储装置关联的文件系统的主文件表、主引导记录、引导扇区、BIOS参数块或扩展的BIOS参数块。5.根据权利要求1所述的模块，其中，所述模块还被配置为：利用基于经镜像的指令和内容而被确定为已经在所述存储装置处发生的恶意活动，来优化所述经训练的神经网络。6.根据权利要求1或5所述的模块，其中，所述模块还被配置为：响应于基于经镜像的指令和内容而被确定在所述存储装置处已经发生恶意活动的确定，来锁定所述存储装置。7.根据权利要求1至6中任一项所述的模块，其中，所述经训练的神经网络包括人工神经网络。8.根据权利要求7所述的模块，其中，所述人工神经网络包括循环神经网络或卷积神经网络。
9.一种用于检测存储装置中的恶意活动的方法，包括以下步骤：利...

【专利技术属性】
技术研发人员：陈美玲，尼扎，
申请(专利权)人：丰立有限公司，
类型：发明
国别省市：