用于保护SSD免受威胁的系统及方法技术方案

本文中所描述的各种实施方案涉及用于保护存储在固态驱动器(SSD)上的数据免受恶意软件影响的系统及方法，其包含：由所述SSD的控制器确定典型业务配置文件；由所述控制器从主机接收命令；及由所述控制器通过确定所述命令偏离所述典型业务配置文件来确定所述命令可能由恶意软件引起。响应于确定所述命令可能由所述恶意软件引起，所述控制器执行恶意软件响应动作。动作。动作。

【技术实现步骤摘要】
【国外来华专利技术】用于保护SSD免受威胁的系统及方法


[0001]本公开大体上涉及保护固态驱动器(SSD)免受威胁，且特定来说，涉及用于保护SSD免受例如勒索软件的恶意软件影响的系统及方法。

技术介绍

[0002]恶意软件(例如，勒索软件)攻击对存储在固态驱动器(SSD)上，例如在数据中心设置中的用户数据造成损坏，且临时或永久拒绝用户存取用户数据。在使用数据中心来存储数据之前，对操作主机的用户进行认证。一旦经过认证，通常就可由主机自由存取存储在数据中心的SSD中的数据，而无需进一步认证或安全措施，其中主机相对于SSD的动作可能被恶意软件操纵。因此，认证仅针对处于未认证状态且需要认证来获得存取的SSD而保护数据，例如在断电及再次通电时。
[0003]用以防范恶意软件的常规方法包含可执行文件的静态检测。静态检测涉及在执行所述文件之前分析所述文件。然而，恶意软件可采用代码混淆、二进制打包、自我修改、经加密代码及其它技术以避免静态检测。
[0004]用以防范恶意软件的另一常规方法是恶意软件的自动分析，其涉及监控主机中的文件系统输入/输出(I/O)活动且使用独特的I/O模式或“指纹”来检测恶意软件。然而，此分析仅在人工虚拟沙盒环境中而不是在真实的实时系统中执行。
[0005]进一步常规方法使用机器学习以执行及监控沙盒环境内的恶意软件。在这种方法中，恶意软件的行为被记录为所谓的恶意软件指令集(MIST)的循序报告。这些报告转换成嵌入到多维向量空间中的“指令q
‑
gram”。基于这些报告，应用机器学习技术以执行恶意软件的行为的聚类及分类。然而，存储器及计算要求(例如，5GB及2.4GHz的四核皓龙处理器(Opteron))使这种方法无法部署在SSD控制器上。另外，这种方法将无法足够快地反应以阻止恶意软件运行其任务到完成，且因此在实时环境中毫无用处。

技术实现思路

[0006]在某些方面，一种用于保护存储在SSD上的数据免受恶意软件影响的方法包含：由所述SSD的控制器确定典型业务配置文件；由所述控制器从主机接收命令；由所述控制器通过确定所述命令偏离所述典型业务配置文件来确定所述命令可能由恶意软件引起；及响应于确定所述命令可能由所述恶意软件引起，由所述控制器执行恶意软件响应动作。
[0007]SSD装置的本实施方案包含控制器及非易失性存储器。所述控制器：确定典型业务配置文件；从主机接收命令；通过确定所述命令偏离所述典型业务配置文件来确定所述命令可能由恶意软件引起；及响应于确定所述命令可能由所述恶意软件引起，执行恶意软件响应操作。
[0008]在一些实施方案中，一种存储计算机可读指令的非暂时性计算机可读媒体，使得当所述计算机可读指令被执行时引起SSD的控制器：确定典型业务配置文件；从主机接收命令；通过确定所述命令偏离所述典型业务配置文件来确定所述命令可能由恶意软件引起；
及响应于确定所述命令可能由所述恶意软件引起，执行恶意软件响应操作。
附图说明
[0009]图1是展示根据一些实施方案的可操作地耦合到主机的实例SSD的框图；
[0010]图2是说明根据一些实施方案的用于保护存储在SSD上的数据免受恶意软件影响的实例过程的流程图；
[0011]图3是说明在一些实例中的特定数据中心环境的实例典型业务配置文件的图；
[0012]图4是说明在一些实例中的特定数据中心环境的实例典型业务配置文件的图；及
[0013]图5是说明根据一些实施方案的用于检测与写入命令相关联的经加密数据的实例过程的流程图。
具体实施方式
[0014]本公开涉及用于保护存储在SSD上的用户数据免受例如但不限于恶意软件的外部威胁的系统、方法及非暂时性处理器可读媒体。恶意软件是指经设计以在未授权的情况下破坏、擦除、毁坏或加密存储在SSD上的用户数据的任何软件或应用程序。恶意软件的实例包含病毒、勒索软件等。恶意软件通常在主机的系统(例如，存储服务器)上运行，且指示可操作地耦合到主机的SSD对主机的用户数据进行加密(接着擦除用户数据的原始明文)。例如，主机上运行的恶意软件可通过使用文件系统调用来标定文件系统的数据(例如，文件)。在另一实例中，恶意软件可使用低级命令，例如块级命令，例如但不限于块擦除、修剪/取消映射/解除分配等。
[0015]用以保护用户数据免受在主机上运行的恶意软件影响的常规方法不适合基于内置存储磁盘的部署。即，常规方法不是在SSD的固件上实施且不适用于在SSD的固件上实施。另一方面，本文中所公开的布置允许从存储装置(例如，SSD)内透明地检测勒索软件(例如，而没有明显的性能降级)。主机上运行的勒索软件不能检测在SSD的固件内运行的此类过程，或阻碍或以其它方式阻止所述过程运行。此外，在主机上实施的常规方法未能检测恶意软件的情况下，本文中所公开的布置提供预防恶意软件的额外保护层。
[0016]在包含SSD的数据中心中，对于特定的数据中心环境，每一SSD的I/O命令模式、数据大小及数据内容类型可能每天均类似。即，不同数据中心环境具有不同业务类型及不同业务配置文件。在一个实例中，例如微博及社交网络服务的主机通过将具有小数据范围的大量写入命令发送到具有小数据大小的数据(对应于博客条目或社交媒体帖子)的SSD来将所述数据存储在SSD中，其中不经常更新但经常读取此数据。在另一实例中，例如在线音频/多媒体提供商的主机存储具有大数据大小的数据(对应于视频及/或音频数据)，其中所述数据的数据内容类型是经编码数据。在线多媒体提供商通常将具有大数据范围/区间的相对少量的循序写入命令发送到所述数据的SSD(例如，以最初存储多媒体文件)，其中此数据也经受大量的循序读取命令(例如，因大量用户流式传送多媒体文件)。
[0017]勒索软件通常优先选择及标定用户数据文件而不是操作系统或程序文件，对用户文件进行加密且尽快覆写/删除原始明文用户文件，因此使用户文件不可存取直到在付费之后提供用以对所述文件进行解密的一或多个解密密钥。在一个实例中，勒索软件首先从其中存储文件的存储驱动器读取文件，使用密码学强对称加密算法(例如但不限于高级加
密标准(AES))来对服务器(例如，主机)中的文件进行加密，且接着以经加密形式将文件写回到存储驱动器。因此，勒索软件以明文形式覆写及删除原始文件且用经加密副本来替换它。可对于由勒索软件识别为含有用户文件的特定文件夹或目录中的所有文件重复此类过程。在一些情况下，勒索软件对已知含有用户数据的特定类型的文件(例如但不限于文本文件、文档、图像、照片文件、视频文件等)进行加密，而对其它类型的文件(例如但不限于可执行文件及临时文件)不进行加密。
[0018]虽然覆写文件通常导致对应于存储在物理存储媒体(例如，硬盘驱动器)中的文件的数据被覆写，但这不适用于使用典型NAND快闪存储器实施的SSD。鉴于NAND快闪存储器页面(在存储器块中)在不首先擦除包含其它页面的整块的情况下可能不会被覆写，对主机文件的覆写由SSD控制器(而不是主机)处置，所述SSD控制本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于保护存储在固态驱动器(SSD)上的数据免受恶意软件影响的方法，其包括：由所述SSD的控制器确定典型业务配置文件；由所述控制器从主机接收命令；由所述控制器通过确定所述命令偏离所述典型业务配置文件来确定所述命令可能由恶意软件引起；及响应于确定所述命令可能由所述恶意软件引起，由所述控制器执行恶意软件响应动作。2.根据权利要求1所述的方法，其中所述恶意软件响应动作包括以下中的一或多者：延迟所述命令的执行、停止所述命令的所述执行、忽略所述命令或向所述主机报告所述命令可能由所述恶意软件引起。3.根据权利要求1所述的方法，其中所述典型业务配置文件是基于以下中的一或多者来确定：输入/输出(I/O)命令模式、逻辑块地址范围大小、数据传送类型、从所述主机接收的数据的速率或大小，或从所述主机接收的所述数据的数据内容类型。4.根据权利要求1所述的方法，其中所述典型业务配置文件是基于以下来确定：循序写入操作、随机写入操作、循序读取操作、随机读取操作、修剪操作、取消映射操作或解除分配操作中的一或多者的每秒输入/输出(I/O)操作(IOPS)。5.根据权利要求4所述的方法，其中从所述主机接收的所述命令包括循序读取命令、循序写入命令、修剪操作、取消映射操作或解除分配操作；且基于所述循序写入操作、所述随机写入操作、所述循序读取操作、所述随机读取操作、所述修剪操作、所述取消映射操作或所述解除分配操作中的所述一或多者的所述IOPS，确定所述循序读取命令、所述循序写入命令、所述修剪操作、所述取消映射操作或所述解除分配操作偏离所述典型业务配置文件。6.根据权利要求1所述的方法，其中所述典型业务配置文件是基于以下来确定：小写入操作、大写入操作、小读取操作、大读取操作、修剪操作、取消映射操作或解除分配操作中的一或多者的每秒输入/输出(I/O)操作(IOPS)。7.根据权利要求6所述的方法，其中从所述主机接收的所述命令包括对应于大数据大小的读取命令或对应于大数据大小的写入命令；且基于所述小写入操作、所述大写入操作、所述小读取操作或所述大读取操作中的所述一或多者的所述IOPS，确定对应于大数据大小的所述读取命令或对应于大数据大小的所述写入命令偏离所述典型业务配置文件。8.根据权利要求1所述的方法，其中所述命令是写入命令；且确定所述命令可能由所述恶意软件引起包括由所述控制器确定与所述写入命令相关联的数据是经加密数据。9.根据权利要求8所述的方法，其中确定与所述写入命令相关联的所述数据是所述经加密数据包括：由所述控制器的压缩器压缩与所述写入命令相关联的所述数据；及
由所述压缩器确定所述数据是不可...

【专利技术属性】
技术研发人员：尼格尔，
申请(专利权)人：铠侠股份有限公司，
类型：发明
国别省市：