DE102014212838A1 - System and method for detecting harmful data within a data set - Google Patents
System and method for detecting harmful data within a data set Download PDFInfo
- Publication number
- DE102014212838A1 DE102014212838A1 DE102014212838.2A DE102014212838A DE102014212838A1 DE 102014212838 A1 DE102014212838 A1 DE 102014212838A1 DE 102014212838 A DE102014212838 A DE 102014212838A DE 102014212838 A1 DE102014212838 A1 DE 102014212838A1
- Authority
- DE
- Germany
- Prior art keywords
- sub
- unit
- record
- data
- calculation units
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
Es wird ein System (10) zum Detektieren von Schaddaten innerhalb eines Datensatzes (7) vorgeschlagen. Das System (10) weist eine zentrale Recheneinheit (1) und eine Mehrzahl von Unterrecheneinheiten (2, 3, 4) auf, die mit der zentralen Recheneinheit (1) gekoppelt sind. Jede der Unterrecheneinheiten (2, 3, 4) ist dazu eingerichtet, einen empfangenen Datensatz (7) zu überprüfen und Schaddaten innerhalb des Datensatzes (7) zu detektieren. Die zentrale Recheneinheit (1) ist dazu eingerichtet, den Datensatz (7) an eine Unterrecheneinheit (2) der Mehrzahl von Unterrecheneinheiten (2, 3, 4) zu übertragen und eine Überprüfung des Datensatzes (7) auf der einen Unterrecheneinheit (2) zu starten, und, nach einem Stoppen der Überprüfung, den Datensatz (7) an eine weitere Unterrecheneinheit (3) der Mehrzahl von Unterrecheneinheiten (2, 3, 4) zu übertragen und die Überprüfung des Datensatzes (7) auf der weiteren Unterrecheneinheit (3) fortzusetzen. Durch die Verteilung der Überprüfung auf mehrere Unterrecheneinheiten kann ein potentiell gefährdender Datensatz über einen längeren Zeitraum überprüft werden. Während der Überprüfung mittels einer der Unterrecheneinheiten können die übrigen Unterrecheneinheiten in einem normalen Betriebszustand verbleiben, d.h. anderweitig genutzt werden. Des Weiteren werden ein Verfahren, ein Computerprogrammprodukt sowie ein Datenträger zum Detektieren von Schaddaten innerhalb eines Datensatzes vorgeschlagen.A system (10) for detecting harmful data within a data record (7) is proposed. The system (10) has a central processing unit (1) and a plurality of sub-calculation units (2, 3, 4), which are coupled to the central processing unit (1). Each of the sub-calculation units (2, 3, 4) is set up to check a received data record (7) and to detect harmful data within the data record (7). The central processing unit (1) is set up to transmit the data record (7) to a sub-unit (2) of the plurality of sub-units (2, 3, 4) and to check the data record (7) on the one sub-unit (2) start, and, after stopping the check, to transmit the data record (7) to a further sub-unit (3) of the plurality of sub-units (2, 3, 4) and checking the record (7) on the further sub-unit (3) continue. By distributing the check on several sub-calculation units, a potentially hazardous data record can be checked over a longer period of time. During verification by one of the sub-calculation units, the remaining sub-calculation units may remain in a normal operating condition, i. be used elsewhere. Furthermore, a method, a computer program product and a data carrier for detecting harmful data within a data record are proposed.
Description
Die vorliegende Erfindung betrifft ein System und ein Verfahren zum Detektieren von Schaddaten innerhalb eines Datensatzes. Des Weiteren betrifft die Erfindung ein Computerprogrammprodukt sowie einen Datenträger mit einem gespeicherten Computerprogramm, welche die Durchführung eines Verfahrens zum Detektieren von Schaddaten innerhalb eines Datensatzes veranlassen. The present invention relates to a system and method for detecting malicious data within a data set. Furthermore, the invention relates to a computer program product as well as a data carrier with a stored computer program, which cause the implementation of a method for detecting harmful data within a data record.
Herkömmlicherweise werden zur Erkennung und Analyse von bösartiger Software, das heißt Daten bzw. Software, die Schaden an Daten eines Systems verursachen können, bzw. Dokumenten oder Email-Anhängen mit bösartiger Software sogenannte Sandboxen eingesetzt. Eine Sandbox stellt hierbei eine gesicherte Umgebung bereit, in der das kontrollierte Ausführen und Beobachten potentiell bösartiger Daten möglich ist, ohne produktive Daten oder Systeme zu gefährden. Eine solche Sandbox kann auf jedem Rechnersystem, wie beispielsweise einem PC, eingesetzt werden. Conventionally, the detection and analysis of malicious software, that is, data or software that can cause damage to data on a system, or documents or email attachments with malicious software called sandboxes are used. A sandbox provides a secure environment in which the controlled execution and observation of potentially malicious data is possible without jeopardizing productive data or systems. Such a sandbox can be used on any computer system, such as a PC.
Mit der zunehmenden Verbreitung von Sandboxen reagieren die Ersteller bösartiger Software mit Umgehungsmechanismen. Hierbei wird beispielsweise eine Zeitverzögerung eingesetzt, wobei die bösartige Funktionalität nicht sofort nach dem Start der potentiell bösartigen Software aufgerufen wird, sondern erst nach einer gewissen Zeit, beispielsweise 30 Minuten, oder mit Ablauf eines bestimmten Datums. Dies kann auch durch sogenannte „Sleep Calls“ geschehen, die dafür sorgen, dass die bösartige Funktionalität aktiv wird. With the proliferation of sandboxing, malicious software developers are reacting with bypass mechanisms. In this case, for example, a time delay is used, wherein the malicious functionality is not called immediately after the start of the potentially malicious software, but only after a certain time, for example 30 minutes, or at the end of a certain date. This can also be done by so-called "sleep calls", which ensure that the malicious functionality becomes active.
Da Sandboxen in der Regel zur Analyse einer großen Menge potentiell bösartiger Software eingesetzt werden, ist eine solche Verzögerungsstrategie häufig wirksam, da nur eine begrenzte Laufzeit für die zu überprüfenden Daten bzw. den zu überprüfenden Datensatz zur Verfügung steht. Because sandboxing is typically used to analyze a large amount of potentially malicious software, such a delaying strategy is often effective because there is limited time available for the data or record being reviewed.
Um dem zu begegnen kann die Laufzeit für jeden zu überprüfenden Datensatz erhöht werden, indem mehrere identische Sandboxen auf einem Rechnersystem aufgesetzt werden und die zu untersuchende Software bzw. Daten auf die Sandboxen nach einem Rundlaufverfahren (Round-Robin) verteilt werden. To counter this, the runtime for each data record to be checked can be increased by setting up several identical sandboxes on one computer system and distributing the software or data to be examined on the sandboxes using a round-robin method.
Eine andere Möglichkeit besteht darin, dass eine Sandbox durch entsprechende Instrumentierung (Hooking) zeitverzögernde Aufrufe erkennen und verkürzen kann. Beispielsweise kann dadurch eine Sandbox einen Sleep-Call mit nur einer Sekunde statt der spezifizierten Dauer durchführen. Jedoch kann eine solche Instrumentierung wiederum von entsprechend ausgestatteter Software erkannt und rückgängig gemacht werden, beispielsweise durch Vergleich oder Rücksetzen der Funktionspointer oder einen Vergleich mit Hardware-Zeitquellen. Another possibility is that a sandbox can recognize and shorten time-delayed calls by appropriate instrumenting (hooking). For example, a sandbox can perform a sleep call with only one second instead of the specified duration. However, such instrumentation may in turn be detected and undone by appropriately-equipped software, for example, by comparing or resetting the function pointers or comparing with hardware time sources.
Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, ein System und ein Verfahren bereitzustellen, mit denen eine sichere Erkennung von Schaddaten möglich ist. Against this background, an object of the present invention is to provide a system and a method with which a reliable detection of harmful data is possible.
Demgemäß wird ein System zum Detektieren von Schaddaten innerhalb eines Datensatzes vorgeschlagen. Das System weist eine zentrale Recheneinheit und eine Mehrzahl von Unterrecheneinheiten auf, die mit der zentralen Recheneinheit gekoppelt sind. Jede der Unterrecheneinheiten ist dazu eingerichtet, einen empfangenen Datensatz zu überprüfen und Schaddaten innerhalb des Datensatzes zu detektieren. Die zentrale Recheneinheit ist dazu eingerichtet, den Datensatz an eine Unterrecheneinheit der Mehrzahl von Unterrecheneinheiten zu übertragen und eine Überprüfung des Datensatzes auf der einen Unterrecheneinheit zu starten, und, nach einem Stoppen der Überprüfung, den Datensatz an eine weitere Unterrecheneinheit der Mehrzahl von Unterrecheneinheiten zu übertragen und die Überprüfung des Datensatzes auf der weiteren Unterrecheneinheit fortzusetzen. Accordingly, a system for detecting harmful data within a data set is proposed. The system has a central processing unit and a plurality of sub-calculation units, which are coupled to the central processing unit. Each of the sub-calculation units is set up to check a received data record and to detect harmful data within the data record. The central processing unit is configured to transmit the data set to a sub-unit of the plurality of sub-units and to start a check of the data set on the one sub-unit, and, after stopping the check, to transfer the data to another sub-unit of the plurality of sub-units and continue the verification of the record on the further sub-unit.
Gemäß dem vorgeschlagenen System wird die Überprüfung von Schaddaten innerhalb eines Datensatzes auf mehrere Unterrecheneinheiten verteilt, so dass ein verteiltes Gesamtsystem geschaffen wird. Jede dieser Unterrecheneinheiten dient somit während der Überprüfung als Sandbox, die den Datensatz überprüfen kann. Die Überprüfung kann auf einer Unterrecheneinheit gestartet und, nachdem sie auf dieser Untereinheit gestoppt wurde, auf einer weiteren Unterrecheneinheit fortgesetzt werden. According to the proposed system, the checking of damage data within a data set is distributed among a plurality of sub-calculation units, so that a distributed overall system is created. Each of these subunits thus serves as a sandbox during verification, which can check the record. The check can be started on a subunit unit and, after it has been stopped on this subunit, continued on another subunit unit.
Die zentrale Recheneinheit kann irgendeine Art von Controller oder Koordinator sein, der dazu geeignet ist, den Datensatz an die einzelnen Unterrecheneinheiten zu senden und die Überprüfung des Datensatzes zu koordinieren. The central processing unit may be any type of controller or coordinator capable of sending the data set to the individual subunits and of coordinating the verification of the data set.
Eine Unterrecheneinheit kann beispielsweise ein Client-PC sein. Die zentrale Recheneinheit kann ebenfalls ein Client-PC mit einer zusätzlichen Funktionalität sein. Die Unterrecheneinheiten weisen eine entsprechende Funktionalität auf, um den Datensatz zu empfangen und Schaddaten innerhalb des Datensatzes zu detektieren, indem der empfangene Datensatz überprüft wird. A sub-unit may, for example, be a client PC. The central processing unit can also be a client PC with additional functionality. The sub-units have corresponding functionality to receive the record and to detect bad data within the record by checking the received record.
Die zentrale Recheneinheit und die Mehrzahl von Unterrecheneinheiten können Teil eines Netzwerks sein und kabelgebunden oder kabellos miteinander kommunizieren. Beispielsweise können so Unterrecheneinheiten an unterschiedlichen Orten installiert sein und zur Überprüfung von Datensätzen verwendet werden. The central processing unit and the plurality of sub-units can be part of a network and communicate with each other wirelessly or wirelessly. For example, so Unterrecheneinheiten can be installed in different locations and used to verify records.
Unter Datensatz kann in diesem Zusammenhang eine Menge an Daten verstanden werden, die Dokumente, E-Mail-Anhänge oder auszuführende Programme enthalten. Der Datensatz kann potentiell bösartige Daten enthalten, die produktive Daten oder Systeme gefährden könnten. Hierzu zählen beispielsweise Trojaner, Würmer, Viren oder ähnliches. In this context, a record can be understood as a set of data containing documents, e-mail attachments or programs to be executed. The data set may contain potentially malicious data that could compromise productive data or systems. These include, for example, Trojans, worms, viruses or the like.
Die jeweilige Einheit, zum Beispiel zentrale Recheneinheit oder Unterrecheneinheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein. The respective unit, for example central processing unit or sub-computing unit, can be implemented in hardware and / or software technology. In a hardware implementation, the respective unit may be embodied as a device or as part of a device, for example as a computer or as a microprocessor. In a software implementation, the respective unit may be designed as a computer program product, as a function, as a routine, as part of a program code or as an executable object.
Gemäß einer Ausführungsform ist die zentrale Recheneinheit dazu eingerichtet, den Datensatz nacheinander an eine beliebige Anzahl der Mehrzahl von Unterrecheneinheiten zu übertragen. According to one embodiment, the central processing unit is configured to transmit the data set in succession to any number of the plurality of sub-calculation units.
Die zentrale Recheneinheit kann je nach Auslastung der verschiedenen Unterrecheneinheiten den Datensatz nacheinander an eine beliebige Anzahl der Unterrecheneinheiten übertragen. Die Anzahl hängt von der Größe, d.h. der Datenmenge, des zu überprüfenden Datensatzes ab. Es ist auch möglich, dass die zentrale Recheneinheit den Datensatz lediglich an eine Untermenge der Mehrzahl von Unterrecheneinheiten mehrfach überträgt. Depending on the utilization of the various sub-calculation units, the central processing unit can successively transmit the data record to any number of sub-calculation units. The number depends on the size, i. the amount of data of the record to be checked. It is also possible that the central processing unit repeatedly transmits the data record only to a subset of the plurality of sub-calculation units.
Gemäß einer weiteren Ausführungsform weist jede der Mehrzahl von Unterrecheneinheiten eine virtuelle Maschine auf, die dazu eingerichtet ist, den Datensatz zu überprüfen. According to another embodiment, each of the plurality of sub-calculation units includes a virtual machine configured to review the data set.
Die virtuellen Maschinen der einzelnen Unterrecheneinheiten dienen als Sandbox, die abgekapselt vom übrigen System den empfangenen Datensatz überprüfen können. Auf diese Weise wird verhindert, dass Schaddaten oder Schadsoftware innerhalb des Datensatzes Einfluss auf die einzelnen Unterrecheneinheiten nehmen können. The virtual machines of the individual secondary units serve as a sandbox, which, when encapsulated by the rest of the system, can check the received data record. This prevents malicious data or malware within the dataset from influencing the individual slave units.
Gemäß einer weiteren Ausführungsform sind die virtuellen Maschinen der Mehrzahl von Unterrecheneinheiten identisch. According to another embodiment, the virtual machines of the plurality of sub-calculation units are identical.
Gemäß dieser Ausführungsform weist jede der Unterrecheneinheiten eine identische virtuelle Maschine auf. Die virtuellen Maschinen können daher auf identische Weise den empfangenen Datensatz überprüfen. According to this embodiment, each of the sub-calculation units has an identical virtual machine. The virtual machines can therefore check the received data record in an identical way.
Gemäß einer weiteren Ausführungsform ist die zentrale Recheneinheit dazu eingerichtet, einen aktuellen Zustand jeder der Mehrzahl von Unterrecheneinheiten zu ermitteln. According to a further embodiment, the central processing unit is configured to determine a current state of each of the plurality of sub-calculation units.
Die zentrale Recheneinheit kann mit der Mehrzahl von Unterrecheneinheiten derart kommunizieren, dass sie einen aktuellen Zustand jeder Unterrecheneinheit ermitteln kann. Dies kann beispielsweise durch Signale erfolgen, die von der zentralen Recheneinheit an die Unterrecheneinheiten gesendet werden, welche wiederum ein Bestätigungssignal zurückgeben müssen. Eine andere Möglichkeit besteht darin, dass jede Unterrecheneinheit in einem vordefinierten zeitlichen Abstand eine Nachricht an die zentrale Recheneinheit sendet, um den aktuellen Zustand zu melden. The central processing unit can communicate with the plurality of sub-calculation units such that it can determine a current state of each sub-unit. This can be done, for example, by signals that are sent by the central processing unit to the secondary units, which in turn must return an acknowledgment signal. Another possibility is that each sub-unit sends a message to the central processing unit at a predefined time interval in order to report the current status.
Gemäß einer weiteren Ausführungsform ist die zentrale Recheneinheit dazu eingerichtet, den Datensatz an eine Unterrecheneinheit der Mehrzahl von Unterrecheneinheiten basierend auf den ermittelten aktuellen Zuständen zu übertragen. According to a further embodiment, the central processing unit is configured to transmit the data record to a sub-calculation unit of the plurality of sub-calculation units based on the determined current states.
Basierend auf den aktuellen Zuständen kann die zentrale Recheneinheit gemäß dieser Ausführungsform entscheiden, an welche der Unterrecheneinheiten sie den Datensatz übermittelt. Nach einem Stoppen der Überprüfung auf einer der Unterrecheneinheiten kann die zentrale Recheneinheit erneut entscheiden, an welche Unterrecheneinheit sie den Datensatz zur Überprüfung als Nächstes übermittelt. Based on the current states, the central processing unit according to this embodiment can decide to which of the sub-calculation units it will transmit the data record. After stopping the check on one of the sub-calculation units, the central processing unit can again decide to which sub-unit it will transmit the record for review next.
Gemäß einer weiteren Ausführungsform umfasst der aktuelle Zustand einen beschäftigten Zustand oder einen Leerlaufzustand. According to another embodiment, the current state includes a busy state or an idle state.
Unter einem beschäftigten Zustand wird ein Zustand einer Unterrecheneinheit verstanden, in der diese in einem normalen Betrieb ist, d.h. für andere Funktionalitäten genutzt wird oder andere Funktionen ausführt. Als Leerlaufzustand wird ein Zustand der Unterrecheneinheiten verstanden, in denen die Unterrecheneinheiten keine Tätigkeiten durchführen, das heißt „idle“ sind. A busy state is understood to mean a state of a slave unit in which it is in normal operation, i. is used for other functionalities or performs other functions. An idle state is understood to be a state of the sub-calculation units in which the sub-calculation units do not carry out any activities, that is, are "idle".
Gemäß einer weiteren Ausführungsform ist die zentrale Recheneinheit dazu eingerichtet, den aktuellen Zustand jeder der Mehrzahl von Unterrecheneinheiten zu überwachen und den Datensatz an eine der Unterrecheneinheiten zu übertragen, deren aktueller Zustand einem Leerlaufzustand entspricht. According to a further embodiment, the central processing unit is configured to monitor the current state of each of the plurality of sub-calculation units and to transmit the data record to one of the sub-calculation units whose current state corresponds to an idling state.
Die zentrale Recheneinheit sendet somit den Datensatz lediglich an eine der Unterrecheneinheiten zur Überprüfung, deren aktueller Zustand „idle“ ist, das heißt die entsprechende Unterrecheneinheit keine weiteren Tätigkeiten oder Funktionen durchführt. Die entsprechende Unterrecheneinheit kann daher die Überprüfung des Datensatzes vornehmen, ohne dass die Rechenleistung der Unterrecheneinheit für andere Funktionalitäten beeinflusst wird. The central processing unit thus sends the data record only to one of the sub-calculation units for checking whose current state is "idle", that is to say the corresponding sub-computing unit does not carry out any further activities or functions. The corresponding sub-unit can therefore perform the verification of the record, without that the computing power of the subunit unit is influenced for other functionalities.
Gemäß einer weiteren Ausführungsform ist die zentrale Recheneinheit dazu eingerichtet, bei einer Änderung des aktuellen Zustands der überprüfenden Unterrecheneinheit von einem Leerlaufzustand zu einem beschäftigten Zustand die Überprüfung zu stoppen und einen aktuellen Zustand der Überprüfung von der überprüfenden Unterrecheneinheit zu empfangen. According to a further embodiment, the central processing unit is set up to stop the check and to receive a current state of the check from the checking sub-unit when the current state of the checking sub-unit changes from an idle state to a busy state.
Sobald die zentrale Recheneinheit erkennt, dass die aktuell überprüfende Unterrecheneinheit von einem Leerlaufzustand zu einem beschäftigten Zustand wechselt, kann sie die Überprüfung auf dieser Unterrecheneinheit stoppen. Auf diese Weise wird die Rechenleistung für übrige Funktionalitäten der Unterrecheneinheit nicht beeinflusst, da diese die Überprüfung lediglich in einem Leerlaufzustand durchführt. Um die Überprüfung auf einer weiteren Unterrecheneinheit fortsetzen zu können, empfängt die zentrale Recheneinheit von der bislang überprüfenden Unterrecheneinheit einen aktuellen Zustand der Überprüfung. Alternativ kann die bisher überprüfende Unterrecheneinheit den aktuellen Zustand der Überprüfung auch direkt an eine weitere Unterrecheneinheit übermitteln, die die Überprüfung fortsetzen soll. As soon as the central processing unit recognizes that the currently checking sub-unit changes from an idle state to a busy state, it can stop the check on this sub-unit. In this way, the computing power for other functionalities of the sub-unit is not affected, since this performs the check only in an idle state. In order to be able to continue the check on a further subunit unit, the central arithmetic unit receives a current state of the check from the subunit unit that was previously checking. Alternatively, the previous-checking sub-unit can also forward the current state of the check directly to another sub-unit that is to continue the check.
Gemäß einer weiteren Ausführungsform ist die zentrale Recheneinheit dazu eingerichtet, den aktuellen Zustand der Überprüfung zusammen mit dem Datensatz an eine Unterrecheneinheit der Mehrzahl von Unterrecheneinheiten zu übertragen, deren aktueller Zustand einem Leerlaufzustand entspricht. According to a further embodiment, the central processing unit is configured to transmit the current state of the check together with the data record to a sub-calculation unit of the plurality of sub-calculation units whose current state corresponds to an idling state.
Gemäß dieser Ausführungsform kann die zentrale Recheneinheit den aktuellen Zustand der Überprüfung zusammen mit dem Datensatz an eine weitere Unterrecheneinheit senden, die sich gerade in einem Leerlaufzustand befindet. Alternativ kann die zentrale Recheneinheit lediglich den Datensatz an die Unterrecheneinheit, die sich gerade in einem Leerlaufzustand befindet, übermitteln, und der aktuelle Zustand der Überprüfung wird direkt von der bislang überprüfenden Unterrecheneinheit übermittelt. According to this embodiment, the central processing unit may send the current state of the check together with the data set to another inter-unit that is currently in an idle state. Alternatively, the central processing unit can only transmit the data record to the sub-calculation unit, which is currently in an idle state, and the current state of the verification is transmitted directly by the sub-calculation unit that was previously checking.
Gemäß einer weiteren Ausführungsform ist jede der Mehrzahl von Unterrecheneinheiten dazu eingerichtet, bei einem Detektieren von Schaddaten innerhalb des empfangenen Datensatzes ein Warnsignal an die zentrale Recheneinheit zu übertragen. In accordance with a further embodiment, each of the plurality of sub-calculation units is set up to transmit a warning signal to the central processing unit upon detection of malicious data within the received data record.
Sobald eine der Unterrecheneinheiten die Überprüfung abgeschlossen hat, wobei sie Schaddaten innerhalb des empfangenen Datensatzes detektiert hat, kann diese Unterrecheneinheit ein Warnsignal an die zentrale Recheneinheit übertragen. Die zentrale Recheneinheit kann beispielsweise den überprüften Datensatz als bösartig markieren oder direkt einen Löschvorgang einleiten. As soon as one of the sub-calculation units has completed the check, wherein it has detected harmful data within the received data record, this sub-unit can transmit a warning signal to the central processing unit. For example, the central processing unit can mark the checked data record as malicious or initiate an immediate deletion process.
Sobald eine der Unterrecheneinheiten die Überprüfung abgeschlossen hat, ohne dass sie Schaddaten innerhalb des empfangenen Datensatzes detektiert hat, kann diese Unterrecheneinheit ein Entwarnsignal an die zentrale Recheneinheit übertragen. Die zentrale Recheneinheit kann beispielsweise den überprüften Datensatz als ungefährlich markieren. As soon as one of the sub-calculation units has completed the check without it having detected any damage data within the received data record, this sub-unit can transmit a guard signal to the central processing unit. For example, the central processing unit can mark the checked data set as safe.
Gemäß einem weiteren Aspekt wird ein Verfahren zum Detektieren von Schaddaten innerhalb eines Datensatzes vorgeschlagen. Das Verfahren weist die folgenden Schritte auf: Übertragen eines Datensatzes an eine Unterrecheneinheit einer Mehrzahl von Unterrecheneinheiten, wobei jede der Unterrecheneinheiten dazu eingerichtet ist, einen empfangenen Datensatz zu überprüfen und Schaddaten innerhalb des Datensatzes zu detektieren, Starten einer Überprüfung des Datensatzes auf der einen Unterrecheneinheit, Stoppen der Überprüfung des Datensatzes auf der einen Unterrecheneinheit, Übertragen des Datensatzes an eine weitere Unterrecheneinheit der Mehrzahl von Unterrecheneinheiten, und Fortsetzen der Überprüfung des Datensatzes auf der weiteren Unterrecheneinheit. According to a further aspect, a method for detecting harmful data within a data record is proposed. The method comprises the steps of: transmitting a record to a sub-calculation unit of a plurality of sub-calculation units, each of the sub-calculation units being adapted to review a received record and to detect data of damage within the record, starting a check of the record on the one sub-calculation unit, Stopping the verification of the record on the one sub-unit, transmitting the record to another sub-unit of the plurality of sub-units, and continuing the verification of the record on the other sub-unit.
Weiterhin wird ein Computerprogrammprodukt vorgeschlagen, welches auf einer programmgesteuerten Einrichtung die Durchführung des wie oben erläuterten Verfahrens veranlasst. Furthermore, a computer program product is proposed, which causes the execution of the method as explained above on a program-controlled device.
Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm-Mittel, kann beispielsweise als Speichermedium, wie z.B. Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt oder dem Computerprogramm-Mittel erfolgen. A computer program product, such as a computer program means may, for example, be used as a storage medium, e.g. Memory card, USB stick, CD-ROM, DVD, or even in the form of a downloadable file provided by a server in a network or delivered. This can be done, for example, in a wireless communication network by transmitting a corresponding file with the computer program product or the computer program means.
Des Weiteren wird ein Datenträger mit einem gespeicherten Computerprogramm mit Befehlen vorgeschlagen, welche die Durchführung des wie oben erläuterten Verfahrens auf einer programmgesteuerten Einrichtung veranlassen. Furthermore, a data carrier with a stored computer program with commands is suggested, which cause the execution of the method as explained above on a program-controlled device.
Die für das vorgeschlagene System beschriebenen Ausführungsformen und Merkmale gelten für das vorgeschlagene Verfahren entsprechend. The embodiments and features described for the proposed system apply accordingly to the proposed method.
Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Ausführungsformen. Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der Erfindung hinzufügen. Further possible implementations of the invention also include not explicitly mentioned combinations of features or embodiments described above or below with regard to the exemplary embodiments. This will be the expert Also add individual aspects as improvements or additions to the respective basic form of the invention.
Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfindung sind Gegenstand der Unteransprüche sowie der im Folgenden beschriebenen Ausführungsbeispiele der Erfindung. Im Weiteren wird die Erfindung anhand von bevorzugten Ausführungsformen unter Bezugnahme auf die beigelegten Figuren näher erläutert. Further advantageous embodiments and aspects of the invention are the subject of the dependent claims and the embodiments of the invention described below. Furthermore, the invention will be explained in more detail by means of preferred embodiments with reference to the attached figures.
In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist. In the figures, the same or functionally identical elements have been given the same reference numerals, unless stated otherwise.
Die Mehrzahl von Unterrecheneinheiten
Um einen Datensatz
Sobald die zentrale Recheneinheit
Die zentrale Recheneinheit
Auf diese Weise sind deutlich längere Laufzeiten, das heißt Überprüfungszeiten, des Datensatzes
Die virtuellen Maschinen
Der aktuelle Zustand
Durch das beschriebene System
In einem ersten Schritt
In einem zweiten Schritt
In einem dritten Schritt
In einem vierten Schritt
In einem fünften Schritt
Die Schritte
Obwohl die vorliegende Erfindung anhand von Ausführungsbeispielen beschrieben wurde, ist sie vielfältig modifizierbar. Although the present invention has been described with reference to embodiments, it is variously modifiable.
Claims (14)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014212838.2A DE102014212838A1 (en) | 2014-07-02 | 2014-07-02 | System and method for detecting harmful data within a data set |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014212838.2A DE102014212838A1 (en) | 2014-07-02 | 2014-07-02 | System and method for detecting harmful data within a data set |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102014212838A1 true DE102014212838A1 (en) | 2016-01-07 |
Family
ID=54866147
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102014212838.2A Withdrawn DE102014212838A1 (en) | 2014-07-02 | 2014-07-02 | System and method for detecting harmful data within a data set |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102014212838A1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050132362A1 (en) * | 2003-12-10 | 2005-06-16 | Knauerhase Robert C. | Virtual machine management using activity information |
US7607171B1 (en) * | 2002-01-17 | 2009-10-20 | Avinti, Inc. | Virus detection by executing e-mail code in a virtual machine |
-
2014
- 2014-07-02 DE DE102014212838.2A patent/DE102014212838A1/en not_active Withdrawn
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7607171B1 (en) * | 2002-01-17 | 2009-10-20 | Avinti, Inc. | Virus detection by executing e-mail code in a virtual machine |
US20050132362A1 (en) * | 2003-12-10 | 2005-06-16 | Knauerhase Robert C. | Virtual machine management using activity information |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102018113625A1 (en) | ERROR INJECTION TESTING DEVICE AND METHOD | |
DE112008001528T5 (en) | Multiprocessor system and control method therefor | |
DE102013015172A1 (en) | Security system challenge-and-response procedure using a modified watchdog timer | |
DE10211889B4 (en) | Processing unit to execute event processes in real time without causing a process fault | |
DE102007046475A1 (en) | Monitor an execution pattern of a target agent on a VT-enabled system | |
DE102015201443A1 (en) | Method and device for controlling a watchdog | |
EP3430558B1 (en) | Detecting a deviation of a security state of a computing device from a desired security state | |
DE102011005209A1 (en) | Program instruction-controlled instruction flow control | |
WO2006032585A1 (en) | Method for executing a computer program on a computer system | |
EP3695337B1 (en) | Method and confirmation device for confirming the integrity of a system | |
DE112011100168T5 (en) | Collect diagnostic data in a computing environment | |
DE102013214218A1 (en) | METHOD AND SYSTEM FOR CHECKING SOFTWARE | |
DE102014212838A1 (en) | System and method for detecting harmful data within a data set | |
DE102015005071A1 (en) | A system and method for monitoring the integrity of a component delivered by a server system to a client system | |
DE102020116959A1 (en) | WATCHDOG CIRCUIT, CIRCUIT, SYSTEM-ON-CHIP, METHOD FOR OPERATING A WATCHDOG CIRCUIT, METHOD FOR OPERATING A CIRCUIT AND METHOD FOR OPERATING A SYSTEM-ON-CHIP | |
DE102017219195B4 (en) | PROCEDURE FOR ENSURE OPERATION OF A COMPUTER | |
DE102016224206A1 (en) | VEHICLE CONTROL DEVICE | |
WO2016206847A1 (en) | Method and apparatus for protecting a program counter structure of a processor system and for monitoring the handling of an interrupt request | |
DE102009038248A1 (en) | Method for removing modular software | |
EP3752911A1 (en) | Method for installing a program code packet onto a device, device, and motor vehicle | |
DE112018002612T5 (en) | Vehicle control device | |
DE102021212994B3 (en) | Method for detecting anomalies indicating tampering during a secure boot process of a software-controlled device | |
EP3893113B1 (en) | Monitoring of a component of a control system for a moving means | |
EP3486825A1 (en) | Method and apparatus for the computer-aided determination of a severity of a breach in integrity | |
DE102022122008A1 (en) | Processor circuit for collecting logging records from multiple control circuits in a data pool, associated operating method for the processor circuit, system for collecting logging records, and computer-readable storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |