[发明专利]用于检测存储装置中的恶意活动的模块和方法

说明书

本文描述了用于检测存储装置中的恶意活动的模块和方法，其中，在存储装置的控制器内提供该模块。该模块被配置为使用经训练的神经网络来监视包含敏感数据或信息的存储装置的文件系统的适当逻辑块地址(LBA)的恶意活动。

技术领域

本发明涉及一种用于检测存储装置中的恶意活动的模块和方法，其中，该模块设置在存储装置的控制器内。该模块被配置为利用经训练的神经网络来监视包含敏感数据或信息的存储装置的文件系统的适当逻辑块地址(LBA)的恶意活动。

背景技术

存储装置通常包括固态装置(SSD)、硬盘驱动器(HDD)、光盘驱动器或磁盘驱动器。无论存储装置的类型如何，这些装置通常都通过其逻辑块地址(LBA)进行线性寻址。对于HDD、光盘驱动器或磁盘驱动器，LBA指定驱动器内存储的特定数据块的位置。例如，LBA 0将指磁盘驱动器中的第一磁头可访问的第一磁道上的第一扇区，如此，当主机装置访问LBA 0时，LBA 0处包含的内容将被提供给主机装置。

然而，与上述磁盘驱动器不同，SSD包括非易失性存储器，其可电擦除并且可重新编程，如此，其将不具有在逻辑块寻址系统中提到的磁道或磁头。因此，SSD必须利用设置在SSD闪存控制器内的闪存转换层(FTL)来将主机装置的文件系统逻辑块地址映射到闪存的物理地址(逻辑到物理映射)。换言之，主机装置仍将利用现有的LBA寻址方法来寻址SSD以进行读取/写入/重写操作。来自主机装置的这些命令将被FTL拦截，并且FTL将维护LBA与闪存的物理块地址(PBA)之间关系的映射。然后，SSD的控制器将使用PBA来执行接收到的命令。

最近，由于SSD具有比传统机械硬盘驱动器更多的优势，因此SSD已越来越广泛地用作存储装置。例如，SSD比HDD快得多，并且能够提供高达HDD的100倍的性能，这意味着更快的启动时间和更快的文件传输。与HDD相比，SSD消耗的功率也少得多，从而改善了功率和热效率。结果，SSD现在广泛地用于工业、医疗或军事应用。

通常，大多数SSD将与主机装置一起使用，并且可用于存储主机装置的操作系统，即，用作主机的系统驱动器，其中，与操作系统关联的代码存储在SSD内，并且当主机装置启动时将对其进行访问。当SSD用作主机的系统驱动器时，SSD将具有存储在逻辑块地址(LBA)0处的主引导记录(MBR)，和存储在存储装置中的其他位置的主机装置的操作系统代码。当主机装置首次访问存储装置时，指令将发送至LBA 0，以指示SSD将LBA 0处的内容发送至主机装置。这使主机装置能够从LBA 0读取MBR，其中，MBR通常将包含计算机可读程序代码，该代码在由主机装置执行时，使主机装置能够从存储装置读取操作系统代码的其他部分，并且启动主机装置。

可替代地，SSD也可用作辅助存储介质(诸如USB闪存驱动器、存储卡或外部存储装置)，以扩展主机装置可访问的存储容量。当主机装置首次访问这种SSD时，存储装置的LBA0处的内容将向主机装置指示其将用作辅助存储介质。

为了访问敏感应用程序中包含的信息，恶意第三方已采取各种手段和方式来感染此类存储装置的MBR。常见的方法涉及恶意第三方在对存储装置的MBR或其他引导扇区进行脱根(de-root)之前获得对存储装置的系统级别访问，并导致在其中安装受损的操作系统。

为了保护操作系统免受篡改并防止在存储装置放错位置的情况下访问重要的私人信息，本领域技术人员已经提出，操作系统代码(包括MBR)由安装在存储装置内的软件加密，并经受认证过程，使得MBR和操作系统代码只能由授权用户访问。由于控制器在认证存储装置的用户之前将无法读取MBR，因此存储装置可以存储“替代”主引导记录(MBR)，该主引导记录(MBR)导致认证信息被在存储装置中运行的认证程序收集和验证。

成功认证存储装置的用户后，存储装置将LBA 0重新映射到原始MBR，使得存储装置可以接收实际的MBR并正常启动。这种方法的缺点是，如果用户的认证凭据受到破坏，则这意味着MBR和操作系统代码也将受到危害。