[发明专利]用于保护多个网络端点的双重存储器内省

说明书

描述的系统及方法实现使多个客户端系统(例如，企业网络)免受计算机安全威胁(例如恶意软件及入侵)。在一些实施例中，每一受保护客户端操作现场内省引擎及按需内省引擎。所述现场内省引擎检测暴露于相应客户端系统上的受保护虚拟机内某些事件的发生，且将所述发生传送到远程安全服务器。所述服务器又可通过指示待由所述客户端执行的取证工具来请求来自所述客户端系统的所述事件的取证分析。取证工具可存储于所述客户端可存取的中央存储库中。响应于接收所述分析请求，所述按需内省引擎可检索及执行所述取证工具，且将所述取证分析的结果传送到所述安全服务器。所述服务器可使用所述信息确定所述相应客户端是否处于恶意软件或入侵者的攻击下。

相关申请案

本申请案主张2015年12月19日申请的标题为“用于保护多个网络端点的双重存储器内省(Dual Memory Introspection for Securing Multiple Network Endpoints)”的第62/269,952号美国临时专利申请案的申请日期的权益，所述美国专利申请案的全部内容以引用方式并入本文中。

背景技术

本发明涉及计算机安全系统及方法，且特定来说，本发明涉及用于使硬件虚拟化环境免受计算机安全威胁的系统及方法。

恶意软件(malicious software)，也称为恶意软件(malware)，影响世界各地的众多计算机系统。呈许多形式(例如计算机病毒、蠕虫、木马及间谍软件)的恶意软件对成千上万的计算机用户带来严重威胁，从而使用户易于丢失数据及敏感信息、遭受身份盗窃且损失生产力等。

计算机安全软件可用于使计算机系统免受恶意软件。然而，在分布式计算系统(例如企业网络及云计算系统)中，常规安全软件通常不能对攻击作出良好响应。即使在安全软件能够检测攻击时，分析及补救可能仍然需要向受影响客户端系统派遣人类操作者，例如，以应用补丁、恢复丢失的数据等。另外，一旦检测到且分析了新的威胁，就必须及时将更新版本的安全软件分发到所有受保护计算机系统。

替代计算机安全系统可在中央服务器计算机上执行，从而通过通信网络从安全客户端接收相关数据。服务器可根据接收到的数据确定相应客户端是否感染了恶意软件，且可将结论传送到相应客户端。虽然此类配置被较好地装配以处理新出现的威胁，但其需要大量服务器侧计算能力。

计算机安全操作由于硬件虚拟化的到来而进一步复杂化。随着越来越多的商品及服务在线交易，且随着工作逐步去本地化，基础设施即服务(IAAS)变成了拥有计算机硬件的可行替代。相当大比例的计算活动当前是使用虚拟机进行。在典型的应用(例如服务器农场及云计算)中，数以百计的虚拟机可同时在单个硬件平台上执行。所有此类虚拟机可能需要恶意软件保护。

适应恶意软件不断变化的性质及流动劳动力的挑战需要开发新颖计算机安全系统及协议，尤其是开发实现跨越多个分布式客户端有效地管理计算机安全操作的系统及方法。

发明内容