在一些实施例中,方法可提供用于保护平台的带外(OOB)代理。OOB代理能够利用非TRS方法来测量和保护带内安全代理。在一些实施例中,可管理性引擎可提供到带内和带外安全代理的带外连接性,并提供对系统存储器资源的访问权,而不必依赖OS服务。这可用于可信反恶意软件和补救服务。
【技术实现步骤摘要】
本专利技术涉及。技术背景恶意软件(或恶意代码)是用于指可对计算机造成问题或损坏的各种类型软件的 总括性术语。它包含病毒、蠕虫、特洛伊木马、宏病毒和后门。恶意软件已经演变成越来越具 隐秘性和目标性。反恶意软件技术也已经演变成了解和革除恶意软件的隐秘行为。当前的 反恶意软件方法利用防篡改软件(TRQ机制来保护其在系统存储器中的带内安全代理(在 操作平台操作系统的范围内)。但是,这些方法本身易受软件攻击并且因而变得有缺陷。因 此,期望能有新的方法来保护平台免受恶意软件攻击。
技术实现思路
本专利技术涉及一种计算平台,包括CPU,用于执行具有相关联操作系统⑴S)存储器空间的操作系统(OS);以及可在所述操作系统不运行时进行操作的可管理性引擎,所述可管理性引擎提供带 外(OOB)安全代理以保护所述OS存储器空间中的代码,所述OOB安全代理在所述OS之外 运行。本专利技术涉及一种设备,包括—个或多个芯片,具有可管理性引擎和用于存储带外(OOB)安全代理以保护平台 免受恶意软件攻击的非易失性存储器。本专利技术涉及一种系统,包括平台,包含具有相关联的OS的CPU和具带外(OOB)能力的可管理性引擎;以及经由所述可管理性引擎链接到所述平台的远程安全代理服务;其中在所述OS之外执行OOB代理以便保护所述平台免受恶意软件的攻击。附图说明附图的各图中举例而非限制性地示出本专利技术的实施例,附图中类似的附图标记是 指类似的元件。图1是根据一些实施例具有反恶意软件解决方案的平台的框图。图2示出如图1所示的解决方案的更特定实现。图3是根据一些实施例用于实现反恶意软件系统的例行程序的流程图。图4是示出根据一些实施例用于保护平台免受恶意软件攻击的例行程序的流程 图。具体实施方式已观察到,常规的反恶意软件解决方案一般不具有安全的执行环境。它们可能也不具有对它们正在试图保卫的操作系统的可信可视性。例如,传统的反恶意软件应用可依 赖操作系统(OS)本身来进行系统调用以便从存储器获得文件和文件部分。不幸的是,由于 恶意软件可在OS内进行操作,所以它们可破坏这些通道。因此,期望能有新的方法。在一些实施例中,方法可提供带外(OOB)代理来保护平台。OOB代理能够利用非 TRS方法来测量和保护带内安全代理。在一些实施例中,可管理性引擎可提供到带内和带外 安全代理的带外连接性,并提供对系统存储器资源的访问权,而不必依赖OS服务。这可用 于可信反恶意软件和补救服务。本专利技术的不同实施例可包括以下一些或所有特征的任意组合(1)本地安全代理 的受保护的执行环境和有保证的执行;( 可供本地安全代理使用的可信系统可视性和事 件(eventing)能力;(3)与远程安全代理交互的带外(OOB)通道;(4)本地安全代理的OOB 永久性存储。图1示出根据一些实施例具有反恶意软件保护的平台100。它包括CPU 105、系统 存储器112、BI0S存储器130、00B (带外)管理引擎140和安全非易失性存储器150,它们如 图所示那样耦合并在通信上与网络120(例如,诸如万维网的TCP/IP网络)链接。应明白, 为了简单起见,将这些块作为独立实体加以介绍,但实际上,取决于设计考虑和半导体技术 的状况,它们可作为独立芯片实现、在单个芯片中实现、或在一个或多个装置的任何合适组 合中实现。CPU 105可以用任何一个(或多个)合适的处理器芯片来实现,包括但不限于单核 装置、多核装置和所谓的芯片上系统(SOC)实现。它利用系统存储器112(例如,高速缓存 存储器、内部/外部随机存取存储器和包括闪速硬盘驱动器存储器的硬盘驱动器的组合) 来执行软件代码。当运行时,CPU 105可执行诸如Microsoft Windows OS、Linux OS或 Apple OS的操作系统(OS) 104和在OS下方运行并且因而称为带外的00B安全代理110。 OS具有内核(0S核),它可包括带内(IB)安全代理108。IB和00B安全代理一起协作以保 护平台100免受恶意软件攻击。IB安全代理(或简称为IB代理)从OS内核内进行操作并与00B安全代理(或简 称为00B代理)交互以保护平台。IB代理受到00B代理的保护(当00B代理活动时),并 与在线安全代理服务122交互,在线安全代理服务122可验证IB代理应用处于安全代理服 务122的正确状态以便为平台提供服务特定资产。IB代理可根据由00B代理和/或安全代 理服务定义的策略进行操作。进而,IB代理给予00B代理诸如辨识模式、注册表改变请求 等上下文,以供00B代理用于定义或修订这些策略。在这种平台模型下,OS是不可信的,S卩,它被认为否则可由恶意软件访问。因此, IB代理在不可信的OS环境中操作。另一方面,与可管理性引擎协作,00B代理在OS之下在 例如不是OS存储器空间的一部分的虚拟化可信存储器空间中运行。它经由00B管理引擎 实现和控制。00B管理引擎可以用任何合适的带外方案来实现。例如,它可用作为独立芯片组 功能的一部分的固件来实现(例如,可管理性引擎),或者它可在例如作为网络接口控制器 (NIC)的一部分的服务处理器中或作为该服务处理器来实现。由于属于带外(00B),所以即 使当OS不运行时,它仍能够进行操作。在一些实施例中,通过00B代理,00B管理引擎140对属于在OS上下文内执行的受保护IB代理108的存储器页面实施基于页面的访问控制和监视策略。OS在这种模型中是 不可信的,因此通过源自可管理性引擎的OOB代理测量和保护IB代理。基于页面的保护机 制在 2006 年 3 月 30 日提交的题为“INTRA-PARTITIONING OFSOFTffARE COMPONENTS WITHIN AN EXECUTI0NENVIR0NMENT”的美国申请序列号11/3卯488中进行了描述,该申请通过引用 包括到本文中。可以采用任何合适的方式将OOB安全代理110提供给可管理性引擎。例如,它可 出现在CD-ROM上,并存储在例如安全非易失性存储器150中,或者它可以是在制作时或在 以后的时间包括到可管理性引擎中的固件的部分。它可以自启动,或者它可以响应来自安 全代理服务122的请求经由可管理性引擎140启用和启动。在许多情况下,将以以下方式加载00B安全代理110用于CPU执行。首先,启动 BIOS,并且一旦其初始引导任务完成,它便将引导移交给可管理性引擎,然后可管理性引擎 将00B代理安全加载到存储器中(例如,经由OS空间之外的虚拟化和/或其它安全方法)。 一旦加载了 00B代理,它则可使OS本身开始进行加载和启动。在一些实施例中,可存在用于验证00B代码的完整性的机制。例如,可将校验和 (或其它合适的度量标准)存储在CPU或BIOS中,然后在加载00B代理用于执行时通过CPU 对其进行验证。00B代理还可提供例如要存储在安全非易失性存储器150中的存储器快照(例如, 散列审计(hash audit))以及基于来自带内代理的策略进行监视的存储器区域的事件。OOB 代理还可通过提供来自由目标OS环境设置的特定CPU寄存器的信息来帮助带内代理建立 应当监视的区域。安全代理服务可以采用任何合适的方式从合适的可访问网络服务器来实现。它可 作本文档来自技高网...
【技术保护点】
一种计算平台,包括:CPU,用于执行具有相关联操作系统(OS)存储器空间的操作系统(OS);以及可在所述操作系统不运行时进行操作的可管理性引擎,所述可管理性引擎提供带外(OOB)安全代理以保护所述OS存储器空间中的代码,所述OOB安全代理在所述OS之外运行。
【技术特征摘要】
US 2009-9-25 61/277532;US 2010-2-17 12/6588761.一种计算平台,包括CPU,用于执行具有相关联操作系统(OS)存储器空间的操作系统(OS);以及 可在所述操作系统不运行时进行操作的可管理性引擎,所述可管理性引擎提供带外 (OOB)安全代理以保护所述OS存储器空间中的代码,所述OOB安全代理在所述OS之外运 行。2.如权利要求1所述的平台,其中所述OOB代理在所述CPU中在所述OS之下运行。3.如权利要求1所述的平台,包括在所述OS内运行的带内(IB)代理。4.如权利要求3所述的平台,其中所述IB代理通知所述OOB代理可能的恶意软件活动。5.如权利要求3所述的平台,其中所述OOB代理保护所述IB代理免受恶意软件的攻击ο6.如权利要求1所述的平台,其中所述可管理性引擎包括用于向外部安全代理服务提 供安全OOB通道的网络接口。7.如权利要求1所述的平台,其中所述可管理性引擎在芯片中与所述OOB代理的固件一起实现。8.如权利要求1所述的平台,其中所述可管理性引擎在网络接口控制器中实现。9.如权利要求1所述的平台,其中所述可管理性引擎包括虚拟重定向,其可使得能够 远程重新...
【专利技术属性】
技术研发人员:RL萨希塔,DM德拉姆,S奥林,Y拉希德,PG穆尔高恩卡,PS施密茨,HM科斯拉维,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。