DE102014212838A1 - System and method for detecting harmful data within a data set - Google Patents

System and method for detecting harmful data within a data set Download PDF

Info

Publication number
DE102014212838A1
DE102014212838A1 DE102014212838.2A DE102014212838A DE102014212838A1 DE 102014212838 A1 DE102014212838 A1 DE 102014212838A1 DE 102014212838 A DE102014212838 A DE 102014212838A DE 102014212838 A1 DE102014212838 A1 DE 102014212838A1
Authority
DE
Germany
Prior art keywords
sub
unit
record
data
calculation units
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102014212838.2A
Other languages
German (de)
Inventor
Jan Gerrit Göbel
Heiko Patzlaff
Gerrit Rothmaier
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102014212838.2A priority Critical patent/DE102014212838A1/en
Publication of DE102014212838A1 publication Critical patent/DE102014212838A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Abstract

Es wird ein System (10) zum Detektieren von Schaddaten innerhalb eines Datensatzes (7) vorgeschlagen. Das System (10) weist eine zentrale Recheneinheit (1) und eine Mehrzahl von Unterrecheneinheiten (2, 3, 4) auf, die mit der zentralen Recheneinheit (1) gekoppelt sind. Jede der Unterrecheneinheiten (2, 3, 4) ist dazu eingerichtet, einen empfangenen Datensatz (7) zu überprüfen und Schaddaten innerhalb des Datensatzes (7) zu detektieren. Die zentrale Recheneinheit (1) ist dazu eingerichtet, den Datensatz (7) an eine Unterrecheneinheit (2) der Mehrzahl von Unterrecheneinheiten (2, 3, 4) zu übertragen und eine Überprüfung des Datensatzes (7) auf der einen Unterrecheneinheit (2) zu starten, und, nach einem Stoppen der Überprüfung, den Datensatz (7) an eine weitere Unterrecheneinheit (3) der Mehrzahl von Unterrecheneinheiten (2, 3, 4) zu übertragen und die Überprüfung des Datensatzes (7) auf der weiteren Unterrecheneinheit (3) fortzusetzen. Durch die Verteilung der Überprüfung auf mehrere Unterrecheneinheiten kann ein potentiell gefährdender Datensatz über einen längeren Zeitraum überprüft werden. Während der Überprüfung mittels einer der Unterrecheneinheiten können die übrigen Unterrecheneinheiten in einem normalen Betriebszustand verbleiben, d.h. anderweitig genutzt werden. Des Weiteren werden ein Verfahren, ein Computerprogrammprodukt sowie ein Datenträger zum Detektieren von Schaddaten innerhalb eines Datensatzes vorgeschlagen.A system (10) for detecting harmful data within a data record (7) is proposed. The system (10) has a central processing unit (1) and a plurality of sub-calculation units (2, 3, 4), which are coupled to the central processing unit (1). Each of the sub-calculation units (2, 3, 4) is set up to check a received data record (7) and to detect harmful data within the data record (7). The central processing unit (1) is set up to transmit the data record (7) to a sub-unit (2) of the plurality of sub-units (2, 3, 4) and to check the data record (7) on the one sub-unit (2) start, and, after stopping the check, to transmit the data record (7) to a further sub-unit (3) of the plurality of sub-units (2, 3, 4) and checking the record (7) on the further sub-unit (3) continue. By distributing the check on several sub-calculation units, a potentially hazardous data record can be checked over a longer period of time. During verification by one of the sub-calculation units, the remaining sub-calculation units may remain in a normal operating condition, i. be used elsewhere. Furthermore, a method, a computer program product and a data carrier for detecting harmful data within a data record are proposed.

Description

Die vorliegende Erfindung betrifft ein System und ein Verfahren zum Detektieren von Schaddaten innerhalb eines Datensatzes. Des Weiteren betrifft die Erfindung ein Computerprogrammprodukt sowie einen Datenträger mit einem gespeicherten Computerprogramm, welche die Durchführung eines Verfahrens zum Detektieren von Schaddaten innerhalb eines Datensatzes veranlassen. The present invention relates to a system and method for detecting malicious data within a data set. Furthermore, the invention relates to a computer program product as well as a data carrier with a stored computer program, which cause the implementation of a method for detecting harmful data within a data record.

Herkömmlicherweise werden zur Erkennung und Analyse von bösartiger Software, das heißt Daten bzw. Software, die Schaden an Daten eines Systems verursachen können, bzw. Dokumenten oder Email-Anhängen mit bösartiger Software sogenannte Sandboxen eingesetzt. Eine Sandbox stellt hierbei eine gesicherte Umgebung bereit, in der das kontrollierte Ausführen und Beobachten potentiell bösartiger Daten möglich ist, ohne produktive Daten oder Systeme zu gefährden. Eine solche Sandbox kann auf jedem Rechnersystem, wie beispielsweise einem PC, eingesetzt werden. Conventionally, the detection and analysis of malicious software, that is, data or software that can cause damage to data on a system, or documents or email attachments with malicious software called sandboxes are used. A sandbox provides a secure environment in which the controlled execution and observation of potentially malicious data is possible without jeopardizing productive data or systems. Such a sandbox can be used on any computer system, such as a PC.

Mit der zunehmenden Verbreitung von Sandboxen reagieren die Ersteller bösartiger Software mit Umgehungsmechanismen. Hierbei wird beispielsweise eine Zeitverzögerung eingesetzt, wobei die bösartige Funktionalität nicht sofort nach dem Start der potentiell bösartigen Software aufgerufen wird, sondern erst nach einer gewissen Zeit, beispielsweise 30 Minuten, oder mit Ablauf eines bestimmten Datums. Dies kann auch durch sogenannte „Sleep Calls“ geschehen, die dafür sorgen, dass die bösartige Funktionalität aktiv wird. With the proliferation of sandboxing, malicious software developers are reacting with bypass mechanisms. In this case, for example, a time delay is used, wherein the malicious functionality is not called immediately after the start of the potentially malicious software, but only after a certain time, for example 30 minutes, or at the end of a certain date. This can also be done by so-called "sleep calls", which ensure that the malicious functionality becomes active.

Da Sandboxen in der Regel zur Analyse einer großen Menge potentiell bösartiger Software eingesetzt werden, ist eine solche Verzögerungsstrategie häufig wirksam, da nur eine begrenzte Laufzeit für die zu überprüfenden Daten bzw. den zu überprüfenden Datensatz zur Verfügung steht. Because sandboxing is typically used to analyze a large amount of potentially malicious software, such a delaying strategy is often effective because there is limited time available for the data or record being reviewed.

Um dem zu begegnen kann die Laufzeit für jeden zu überprüfenden Datensatz erhöht werden, indem mehrere identische Sandboxen auf einem Rechnersystem aufgesetzt werden und die zu untersuchende Software bzw. Daten auf die Sandboxen nach einem Rundlaufverfahren (Round-Robin) verteilt werden. To counter this, the runtime for each data record to be checked can be increased by setting up several identical sandboxes on one computer system and distributing the software or data to be examined on the sandboxes using a round-robin method.

Eine andere Möglichkeit besteht darin, dass eine Sandbox durch entsprechende Instrumentierung (Hooking) zeitverzögernde Aufrufe erkennen und verkürzen kann. Beispielsweise kann dadurch eine Sandbox einen Sleep-Call mit nur einer Sekunde statt der spezifizierten Dauer durchführen. Jedoch kann eine solche Instrumentierung wiederum von entsprechend ausgestatteter Software erkannt und rückgängig gemacht werden, beispielsweise durch Vergleich oder Rücksetzen der Funktionspointer oder einen Vergleich mit Hardware-Zeitquellen. Another possibility is that a sandbox can recognize and shorten time-delayed calls by appropriate instrumenting (hooking). For example, a sandbox can perform a sleep call with only one second instead of the specified duration. However, such instrumentation may in turn be detected and undone by appropriately-equipped software, for example, by comparing or resetting the function pointers or comparing with hardware time sources.

Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, ein System und ein Verfahren bereitzustellen, mit denen eine sichere Erkennung von Schaddaten möglich ist. Against this background, an object of the present invention is to provide a system and a method with which a reliable detection of harmful data is possible.

Demgemäß wird ein System zum Detektieren von Schaddaten innerhalb eines Datensatzes vorgeschlagen. Das System weist eine zentrale Recheneinheit und eine Mehrzahl von Unterrecheneinheiten auf, die mit der zentralen Recheneinheit gekoppelt sind. Jede der Unterrecheneinheiten ist dazu eingerichtet, einen empfangenen Datensatz zu überprüfen und Schaddaten innerhalb des Datensatzes zu detektieren. Die zentrale Recheneinheit ist dazu eingerichtet, den Datensatz an eine Unterrecheneinheit der Mehrzahl von Unterrecheneinheiten zu übertragen und eine Überprüfung des Datensatzes auf der einen Unterrecheneinheit zu starten, und, nach einem Stoppen der Überprüfung, den Datensatz an eine weitere Unterrecheneinheit der Mehrzahl von Unterrecheneinheiten zu übertragen und die Überprüfung des Datensatzes auf der weiteren Unterrecheneinheit fortzusetzen. Accordingly, a system for detecting harmful data within a data set is proposed. The system has a central processing unit and a plurality of sub-calculation units, which are coupled to the central processing unit. Each of the sub-calculation units is set up to check a received data record and to detect harmful data within the data record. The central processing unit is configured to transmit the data set to a sub-unit of the plurality of sub-units and to start a check of the data set on the one sub-unit, and, after stopping the check, to transfer the data to another sub-unit of the plurality of sub-units and continue the verification of the record on the further sub-unit.

Gemäß dem vorgeschlagenen System wird die Überprüfung von Schaddaten innerhalb eines Datensatzes auf mehrere Unterrecheneinheiten verteilt, so dass ein verteiltes Gesamtsystem geschaffen wird. Jede dieser Unterrecheneinheiten dient somit während der Überprüfung als Sandbox, die den Datensatz überprüfen kann. Die Überprüfung kann auf einer Unterrecheneinheit gestartet und, nachdem sie auf dieser Untereinheit gestoppt wurde, auf einer weiteren Unterrecheneinheit fortgesetzt werden. According to the proposed system, the checking of damage data within a data set is distributed among a plurality of sub-calculation units, so that a distributed overall system is created. Each of these subunits thus serves as a sandbox during verification, which can check the record. The check can be started on a subunit unit and, after it has been stopped on this subunit, continued on another subunit unit.

Die zentrale Recheneinheit kann irgendeine Art von Controller oder Koordinator sein, der dazu geeignet ist, den Datensatz an die einzelnen Unterrecheneinheiten zu senden und die Überprüfung des Datensatzes zu koordinieren. The central processing unit may be any type of controller or coordinator capable of sending the data set to the individual subunits and of coordinating the verification of the data set.

Eine Unterrecheneinheit kann beispielsweise ein Client-PC sein. Die zentrale Recheneinheit kann ebenfalls ein Client-PC mit einer zusätzlichen Funktionalität sein. Die Unterrecheneinheiten weisen eine entsprechende Funktionalität auf, um den Datensatz zu empfangen und Schaddaten innerhalb des Datensatzes zu detektieren, indem der empfangene Datensatz überprüft wird. A sub-unit may, for example, be a client PC. The central processing unit can also be a client PC with additional functionality. The sub-units have corresponding functionality to receive the record and to detect bad data within the record by checking the received record.

Die zentrale Recheneinheit und die Mehrzahl von Unterrecheneinheiten können Teil eines Netzwerks sein und kabelgebunden oder kabellos miteinander kommunizieren. Beispielsweise können so Unterrecheneinheiten an unterschiedlichen Orten installiert sein und zur Überprüfung von Datensätzen verwendet werden. The central processing unit and the plurality of sub-units can be part of a network and communicate with each other wirelessly or wirelessly. For example, so Unterrecheneinheiten can be installed in different locations and used to verify records.

Unter Datensatz kann in diesem Zusammenhang eine Menge an Daten verstanden werden, die Dokumente, E-Mail-Anhänge oder auszuführende Programme enthalten. Der Datensatz kann potentiell bösartige Daten enthalten, die produktive Daten oder Systeme gefährden könnten. Hierzu zählen beispielsweise Trojaner, Würmer, Viren oder ähnliches. In this context, a record can be understood as a set of data containing documents, e-mail attachments or programs to be executed. The data set may contain potentially malicious data that could compromise productive data or systems. These include, for example, Trojans, worms, viruses or the like.

Die jeweilige Einheit, zum Beispiel zentrale Recheneinheit oder Unterrecheneinheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein. The respective unit, for example central processing unit or sub-computing unit, can be implemented in hardware and / or software technology. In a hardware implementation, the respective unit may be embodied as a device or as part of a device, for example as a computer or as a microprocessor. In a software implementation, the respective unit may be designed as a computer program product, as a function, as a routine, as part of a program code or as an executable object.

Gemäß einer Ausführungsform ist die zentrale Recheneinheit dazu eingerichtet, den Datensatz nacheinander an eine beliebige Anzahl der Mehrzahl von Unterrecheneinheiten zu übertragen. According to one embodiment, the central processing unit is configured to transmit the data set in succession to any number of the plurality of sub-calculation units.

Die zentrale Recheneinheit kann je nach Auslastung der verschiedenen Unterrecheneinheiten den Datensatz nacheinander an eine beliebige Anzahl der Unterrecheneinheiten übertragen. Die Anzahl hängt von der Größe, d.h. der Datenmenge, des zu überprüfenden Datensatzes ab. Es ist auch möglich, dass die zentrale Recheneinheit den Datensatz lediglich an eine Untermenge der Mehrzahl von Unterrecheneinheiten mehrfach überträgt. Depending on the utilization of the various sub-calculation units, the central processing unit can successively transmit the data record to any number of sub-calculation units. The number depends on the size, i. the amount of data of the record to be checked. It is also possible that the central processing unit repeatedly transmits the data record only to a subset of the plurality of sub-calculation units.

Gemäß einer weiteren Ausführungsform weist jede der Mehrzahl von Unterrecheneinheiten eine virtuelle Maschine auf, die dazu eingerichtet ist, den Datensatz zu überprüfen. According to another embodiment, each of the plurality of sub-calculation units includes a virtual machine configured to review the data set.

Die virtuellen Maschinen der einzelnen Unterrecheneinheiten dienen als Sandbox, die abgekapselt vom übrigen System den empfangenen Datensatz überprüfen können. Auf diese Weise wird verhindert, dass Schaddaten oder Schadsoftware innerhalb des Datensatzes Einfluss auf die einzelnen Unterrecheneinheiten nehmen können. The virtual machines of the individual secondary units serve as a sandbox, which, when encapsulated by the rest of the system, can check the received data record. This prevents malicious data or malware within the dataset from influencing the individual slave units.

Gemäß einer weiteren Ausführungsform sind die virtuellen Maschinen der Mehrzahl von Unterrecheneinheiten identisch. According to another embodiment, the virtual machines of the plurality of sub-calculation units are identical.

Gemäß dieser Ausführungsform weist jede der Unterrecheneinheiten eine identische virtuelle Maschine auf. Die virtuellen Maschinen können daher auf identische Weise den empfangenen Datensatz überprüfen. According to this embodiment, each of the sub-calculation units has an identical virtual machine. The virtual machines can therefore check the received data record in an identical way.

Gemäß einer weiteren Ausführungsform ist die zentrale Recheneinheit dazu eingerichtet, einen aktuellen Zustand jeder der Mehrzahl von Unterrecheneinheiten zu ermitteln. According to a further embodiment, the central processing unit is configured to determine a current state of each of the plurality of sub-calculation units.

Die zentrale Recheneinheit kann mit der Mehrzahl von Unterrecheneinheiten derart kommunizieren, dass sie einen aktuellen Zustand jeder Unterrecheneinheit ermitteln kann. Dies kann beispielsweise durch Signale erfolgen, die von der zentralen Recheneinheit an die Unterrecheneinheiten gesendet werden, welche wiederum ein Bestätigungssignal zurückgeben müssen. Eine andere Möglichkeit besteht darin, dass jede Unterrecheneinheit in einem vordefinierten zeitlichen Abstand eine Nachricht an die zentrale Recheneinheit sendet, um den aktuellen Zustand zu melden. The central processing unit can communicate with the plurality of sub-calculation units such that it can determine a current state of each sub-unit. This can be done, for example, by signals that are sent by the central processing unit to the secondary units, which in turn must return an acknowledgment signal. Another possibility is that each sub-unit sends a message to the central processing unit at a predefined time interval in order to report the current status.

Gemäß einer weiteren Ausführungsform ist die zentrale Recheneinheit dazu eingerichtet, den Datensatz an eine Unterrecheneinheit der Mehrzahl von Unterrecheneinheiten basierend auf den ermittelten aktuellen Zuständen zu übertragen. According to a further embodiment, the central processing unit is configured to transmit the data record to a sub-calculation unit of the plurality of sub-calculation units based on the determined current states.

Basierend auf den aktuellen Zuständen kann die zentrale Recheneinheit gemäß dieser Ausführungsform entscheiden, an welche der Unterrecheneinheiten sie den Datensatz übermittelt. Nach einem Stoppen der Überprüfung auf einer der Unterrecheneinheiten kann die zentrale Recheneinheit erneut entscheiden, an welche Unterrecheneinheit sie den Datensatz zur Überprüfung als Nächstes übermittelt. Based on the current states, the central processing unit according to this embodiment can decide to which of the sub-calculation units it will transmit the data record. After stopping the check on one of the sub-calculation units, the central processing unit can again decide to which sub-unit it will transmit the record for review next.

Gemäß einer weiteren Ausführungsform umfasst der aktuelle Zustand einen beschäftigten Zustand oder einen Leerlaufzustand. According to another embodiment, the current state includes a busy state or an idle state.

Unter einem beschäftigten Zustand wird ein Zustand einer Unterrecheneinheit verstanden, in der diese in einem normalen Betrieb ist, d.h. für andere Funktionalitäten genutzt wird oder andere Funktionen ausführt. Als Leerlaufzustand wird ein Zustand der Unterrecheneinheiten verstanden, in denen die Unterrecheneinheiten keine Tätigkeiten durchführen, das heißt „idle“ sind. A busy state is understood to mean a state of a slave unit in which it is in normal operation, i. is used for other functionalities or performs other functions. An idle state is understood to be a state of the sub-calculation units in which the sub-calculation units do not carry out any activities, that is, are "idle".

Gemäß einer weiteren Ausführungsform ist die zentrale Recheneinheit dazu eingerichtet, den aktuellen Zustand jeder der Mehrzahl von Unterrecheneinheiten zu überwachen und den Datensatz an eine der Unterrecheneinheiten zu übertragen, deren aktueller Zustand einem Leerlaufzustand entspricht. According to a further embodiment, the central processing unit is configured to monitor the current state of each of the plurality of sub-calculation units and to transmit the data record to one of the sub-calculation units whose current state corresponds to an idling state.

Die zentrale Recheneinheit sendet somit den Datensatz lediglich an eine der Unterrecheneinheiten zur Überprüfung, deren aktueller Zustand „idle“ ist, das heißt die entsprechende Unterrecheneinheit keine weiteren Tätigkeiten oder Funktionen durchführt. Die entsprechende Unterrecheneinheit kann daher die Überprüfung des Datensatzes vornehmen, ohne dass die Rechenleistung der Unterrecheneinheit für andere Funktionalitäten beeinflusst wird. The central processing unit thus sends the data record only to one of the sub-calculation units for checking whose current state is "idle", that is to say the corresponding sub-computing unit does not carry out any further activities or functions. The corresponding sub-unit can therefore perform the verification of the record, without that the computing power of the subunit unit is influenced for other functionalities.

Gemäß einer weiteren Ausführungsform ist die zentrale Recheneinheit dazu eingerichtet, bei einer Änderung des aktuellen Zustands der überprüfenden Unterrecheneinheit von einem Leerlaufzustand zu einem beschäftigten Zustand die Überprüfung zu stoppen und einen aktuellen Zustand der Überprüfung von der überprüfenden Unterrecheneinheit zu empfangen. According to a further embodiment, the central processing unit is set up to stop the check and to receive a current state of the check from the checking sub-unit when the current state of the checking sub-unit changes from an idle state to a busy state.

Sobald die zentrale Recheneinheit erkennt, dass die aktuell überprüfende Unterrecheneinheit von einem Leerlaufzustand zu einem beschäftigten Zustand wechselt, kann sie die Überprüfung auf dieser Unterrecheneinheit stoppen. Auf diese Weise wird die Rechenleistung für übrige Funktionalitäten der Unterrecheneinheit nicht beeinflusst, da diese die Überprüfung lediglich in einem Leerlaufzustand durchführt. Um die Überprüfung auf einer weiteren Unterrecheneinheit fortsetzen zu können, empfängt die zentrale Recheneinheit von der bislang überprüfenden Unterrecheneinheit einen aktuellen Zustand der Überprüfung. Alternativ kann die bisher überprüfende Unterrecheneinheit den aktuellen Zustand der Überprüfung auch direkt an eine weitere Unterrecheneinheit übermitteln, die die Überprüfung fortsetzen soll. As soon as the central processing unit recognizes that the currently checking sub-unit changes from an idle state to a busy state, it can stop the check on this sub-unit. In this way, the computing power for other functionalities of the sub-unit is not affected, since this performs the check only in an idle state. In order to be able to continue the check on a further subunit unit, the central arithmetic unit receives a current state of the check from the subunit unit that was previously checking. Alternatively, the previous-checking sub-unit can also forward the current state of the check directly to another sub-unit that is to continue the check.

Gemäß einer weiteren Ausführungsform ist die zentrale Recheneinheit dazu eingerichtet, den aktuellen Zustand der Überprüfung zusammen mit dem Datensatz an eine Unterrecheneinheit der Mehrzahl von Unterrecheneinheiten zu übertragen, deren aktueller Zustand einem Leerlaufzustand entspricht. According to a further embodiment, the central processing unit is configured to transmit the current state of the check together with the data record to a sub-calculation unit of the plurality of sub-calculation units whose current state corresponds to an idling state.

Gemäß dieser Ausführungsform kann die zentrale Recheneinheit den aktuellen Zustand der Überprüfung zusammen mit dem Datensatz an eine weitere Unterrecheneinheit senden, die sich gerade in einem Leerlaufzustand befindet. Alternativ kann die zentrale Recheneinheit lediglich den Datensatz an die Unterrecheneinheit, die sich gerade in einem Leerlaufzustand befindet, übermitteln, und der aktuelle Zustand der Überprüfung wird direkt von der bislang überprüfenden Unterrecheneinheit übermittelt. According to this embodiment, the central processing unit may send the current state of the check together with the data set to another inter-unit that is currently in an idle state. Alternatively, the central processing unit can only transmit the data record to the sub-calculation unit, which is currently in an idle state, and the current state of the verification is transmitted directly by the sub-calculation unit that was previously checking.

Gemäß einer weiteren Ausführungsform ist jede der Mehrzahl von Unterrecheneinheiten dazu eingerichtet, bei einem Detektieren von Schaddaten innerhalb des empfangenen Datensatzes ein Warnsignal an die zentrale Recheneinheit zu übertragen. In accordance with a further embodiment, each of the plurality of sub-calculation units is set up to transmit a warning signal to the central processing unit upon detection of malicious data within the received data record.

Sobald eine der Unterrecheneinheiten die Überprüfung abgeschlossen hat, wobei sie Schaddaten innerhalb des empfangenen Datensatzes detektiert hat, kann diese Unterrecheneinheit ein Warnsignal an die zentrale Recheneinheit übertragen. Die zentrale Recheneinheit kann beispielsweise den überprüften Datensatz als bösartig markieren oder direkt einen Löschvorgang einleiten. As soon as one of the sub-calculation units has completed the check, wherein it has detected harmful data within the received data record, this sub-unit can transmit a warning signal to the central processing unit. For example, the central processing unit can mark the checked data record as malicious or initiate an immediate deletion process.

Sobald eine der Unterrecheneinheiten die Überprüfung abgeschlossen hat, ohne dass sie Schaddaten innerhalb des empfangenen Datensatzes detektiert hat, kann diese Unterrecheneinheit ein Entwarnsignal an die zentrale Recheneinheit übertragen. Die zentrale Recheneinheit kann beispielsweise den überprüften Datensatz als ungefährlich markieren. As soon as one of the sub-calculation units has completed the check without it having detected any damage data within the received data record, this sub-unit can transmit a guard signal to the central processing unit. For example, the central processing unit can mark the checked data set as safe.

Gemäß einem weiteren Aspekt wird ein Verfahren zum Detektieren von Schaddaten innerhalb eines Datensatzes vorgeschlagen. Das Verfahren weist die folgenden Schritte auf: Übertragen eines Datensatzes an eine Unterrecheneinheit einer Mehrzahl von Unterrecheneinheiten, wobei jede der Unterrecheneinheiten dazu eingerichtet ist, einen empfangenen Datensatz zu überprüfen und Schaddaten innerhalb des Datensatzes zu detektieren, Starten einer Überprüfung des Datensatzes auf der einen Unterrecheneinheit, Stoppen der Überprüfung des Datensatzes auf der einen Unterrecheneinheit, Übertragen des Datensatzes an eine weitere Unterrecheneinheit der Mehrzahl von Unterrecheneinheiten, und Fortsetzen der Überprüfung des Datensatzes auf der weiteren Unterrecheneinheit. According to a further aspect, a method for detecting harmful data within a data record is proposed. The method comprises the steps of: transmitting a record to a sub-calculation unit of a plurality of sub-calculation units, each of the sub-calculation units being adapted to review a received record and to detect data of damage within the record, starting a check of the record on the one sub-calculation unit, Stopping the verification of the record on the one sub-unit, transmitting the record to another sub-unit of the plurality of sub-units, and continuing the verification of the record on the other sub-unit.

Weiterhin wird ein Computerprogrammprodukt vorgeschlagen, welches auf einer programmgesteuerten Einrichtung die Durchführung des wie oben erläuterten Verfahrens veranlasst. Furthermore, a computer program product is proposed, which causes the execution of the method as explained above on a program-controlled device.

Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm-Mittel, kann beispielsweise als Speichermedium, wie z.B. Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt oder dem Computerprogramm-Mittel erfolgen. A computer program product, such as a computer program means may, for example, be used as a storage medium, e.g. Memory card, USB stick, CD-ROM, DVD, or even in the form of a downloadable file provided by a server in a network or delivered. This can be done, for example, in a wireless communication network by transmitting a corresponding file with the computer program product or the computer program means.

Des Weiteren wird ein Datenträger mit einem gespeicherten Computerprogramm mit Befehlen vorgeschlagen, welche die Durchführung des wie oben erläuterten Verfahrens auf einer programmgesteuerten Einrichtung veranlassen. Furthermore, a data carrier with a stored computer program with commands is suggested, which cause the execution of the method as explained above on a program-controlled device.

Die für das vorgeschlagene System beschriebenen Ausführungsformen und Merkmale gelten für das vorgeschlagene Verfahren entsprechend. The embodiments and features described for the proposed system apply accordingly to the proposed method.

Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Ausführungsformen. Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der Erfindung hinzufügen. Further possible implementations of the invention also include not explicitly mentioned combinations of features or embodiments described above or below with regard to the exemplary embodiments. This will be the expert Also add individual aspects as improvements or additions to the respective basic form of the invention.

Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfindung sind Gegenstand der Unteransprüche sowie der im Folgenden beschriebenen Ausführungsbeispiele der Erfindung. Im Weiteren wird die Erfindung anhand von bevorzugten Ausführungsformen unter Bezugnahme auf die beigelegten Figuren näher erläutert. Further advantageous embodiments and aspects of the invention are the subject of the dependent claims and the embodiments of the invention described below. Furthermore, the invention will be explained in more detail by means of preferred embodiments with reference to the attached figures.

1 zeigt ein schematisches Blockdiagramm eines Ausführungsbeispiels eines Systems zum Detektieren von Schaddaten innerhalb eines Datensatzes; und 1 shows a schematic block diagram of an embodiment of a system for detecting harmful data within a record; and

2 zeigt ein schematisches Ablaufdiagramm eines Ausführungsbeispiels eines Verfahrens zum Detektieren von Schaddaten innerhalb eines Datensatzes. 2 shows a schematic flow diagram of an embodiment of a method for detecting harmful data within a record.

In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist. In the figures, the same or functionally identical elements have been given the same reference numerals, unless stated otherwise.

1 zeigt ein Ausführungsbeispiel eines Systems 10 mit einer zentralen Recheneinheit 1 und einer Mehrzahl von Unterrecheneinheiten 2, 3, 4. Jede der Mehrzahl von Unterrecheneinheiten 2, 3, 4 weist eine identische virtuelle Maschine 5 auf, die als Sandbox dient. 1 shows an embodiment of a system 10 with a central processing unit 1 and a plurality of sub-calculation units 2 . 3 . 4 , Each of the plurality of sub-units 2 . 3 . 4 has an identical virtual machine 5 on, which serves as a sandbox.

Die Mehrzahl von Unterrecheneinheiten 2, 3, 4 und die zentrale Recheneinheit 1 können in einem Netzwerk angeordnet sein und kabellos oder kabelgebunden miteinander kommunizieren. The majority of sub-calculation units 2 . 3 . 4 and the central processing unit 1 can be located in a network and communicate with each other wirelessly or by cable.

Um einen Datensatz 7 zu überprüfen, der potentiell bösartige Schaddaten oder -software enthält, kann die zentrale Recheneinheit 1 den Datensatz 7 an eine der Mehrzahl von Unterrecheneinheiten 2, 3, 4 übermitteln. Um die Rechenleistung der einzelnen Unterrecheneinheiten 2, 3, 4 für einen normalen Betrieb und andere Funktionalitäten nicht zu beeinflussen, kann die zentrale Recheneinheit basierend auf einem Zustand Z2, Z3, Z4 ermitteln, welche der Unterrecheneinheiten 2, 3, 4 sich in einem Leerlaufzustand befindet. Die Zustände Z2, Z3, Z4 können von den Unterrecheneinheiten 2, 3, 4 an die zentrale Recheneinheit übermittelt werden. Dies kann entweder auf Aufforderung durch die zentrale Recheneinheit 1 oder kontinuierlich in bestimmten Abständen erfolgen. To get a record 7 to verify that contains potentially malicious malicious data or software, the central processing unit 1 the record 7 to one of the plurality of sub-calculation units 2 . 3 . 4 to transfer. To the computing power of the individual secondary units 2 . 3 . 4 for normal operation and other functionalities, the central processing unit can determine which of the sub-calculation units based on a state Z2, Z3, Z4 2 . 3 . 4 is in an idle state. The states Z2, Z3, Z4 can be determined by the sub-calculation units 2 . 3 . 4 be transmitted to the central processing unit. This can be done either at the request of the central processing unit 1 or continuously at certain intervals.

Sobald die zentrale Recheneinheit 1 basierend auf den Zuständen Z2, Z3, Z4 erkennt, dass die gerade überprüfende Unterrecheneinheit, beispielsweise Unterrecheneinheit 2, von einem Leerlaufzustand zu einem Beschäftigtenzustand wechselt, kann die zentrale Recheneinheit 1 die Überprüfung des Datensatzes 7 auf der Unterrecheneinheit 2 stoppen. Anschließend kann die zentrale Recheneinheit eine weitere Unterrecheneinheit, beispielsweise Unterrecheneinheit 3, veranlassen, die Überprüfung des Datensatzes 7 fortzusetzen. Hierzu kann die zentrale Recheneinheit 1 den Datensatz 7 an die Unterrecheneinheit 3 übermitteln. Zusätzlich kann ein aktueller Zustand 6 der Überprüfung des Datensatzes 7 an die Unterrecheneinheit 3 übergeben werden. Dies kann entweder direkt von der Unterrecheneinheit 2 an die Unterrecheneinheit 3 oder von der Unterrecheneinheit 2 über die zentrale Recheneinheit 1 an die Unterrecheneinheit 3 erfolgen. Once the central processing unit 1 Based on the states Z2, Z3, Z4 recognizes that the currently under consideration Unterrecheinheit, for example, Unterrecheneinheit 2 , changes from an idle state to a busy state, the central processing unit 1 the review of the record 7 on the sub-unit 2 to stop. Subsequently, the central processing unit, a further Unterrecheneinheit, for example, Unterrecheneinheit 3 , induce the review of the record 7 continue. For this purpose, the central processing unit 1 the record 7 to the sub-unit 3 to transfer. In addition, a current state 6 the review of the record 7 to the sub-unit 3 be handed over. This can either be done directly from the sub unit 2 to the sub-unit 3 or from the sub-unit 2 via the central processing unit 1 to the sub-unit 3 respectively.

Die zentrale Recheneinheit 1 kann somit die Überprüfung des Datensatzes 7 auf die verschiedenen Unterrecheneinheiten 2, 3, 4 verteilen, was auch als „Distributed Computing“ bezeichnet werden kann. Die Sandboxen bzw. virtuellen Maschinen können also virtuell parallelisiert werden, indem die Überprüfung des Datensatzes 7 auf einer Unterrecheneinheit 2 angefangen, und auf einer weiteren Unterrecheneinheit 3 fortgesetzt wird. The central processing unit 1 can thus verify the record 7 on the various sub-calculation units 2 . 3 . 4 which can also be called "distributed computing". The sandboxes or virtual machines can therefore be virtually parallelized by checking the record 7 on a sub unit 2 started, and on another Unterrecheneinheit 3 will continue.

Auf diese Weise sind deutlich längere Laufzeiten, das heißt Überprüfungszeiten, des Datensatzes 7 möglich, da mehrere Unterrecheneinheiten 2, 3, 4 als dedizierte Sandboxen zur Verfügung stehen und die Unterrecheneinheiten 2, 3, 4 einen Großteil der Zeit nur gering ausgelastet sind. In this way, significantly longer runtimes, that is, verification times, of the record 7 possible, because several sub-calculation units 2 . 3 . 4 are available as dedicated sandboxes and the subset units 2 . 3 . 4 much of the time are used only slightly.

Die virtuellen Maschinen 5, die als Sandboxen dienen, sind identisch, so dass die Analyse identisch durchgeführt werden kann. The virtual machines 5 that serve as sandboxes are identical so that the analysis can be performed identically.

Der aktuelle Zustand 6 der Überprüfung des Datensatzes kann auch als Snapshot bezeichnet werden, der von einer Unterrecheneinheit 2 an die nächste Unterrecheneinheit 3 verschoben wird. Sobald eine der Unterrecheneinheiten 2, 3, 4 wieder in einen Betriebszustand oder beschäftigten Zustand übergeht, wird die Überprüfung des Datensatzes 7 auf der entsprechenden Unterrecheneinheit 2, 3, 4 gestoppt. Die Überprüfung des Datensatzes 7 wird dann auf der nächsten Unterrecheneinheit 2, 3, 4 an der Stelle fortgeführt, an der sie zuvor gestoppt wurde. Stoppen in diesem Zusammenhang bedeutet Pausieren der Überprüfung, um diese später fortzusetzen. Auf diese Weise kann der Datensatz 7 über lange Zeiträume analysiert werden, ohne dass die einzelnen Unterrecheneinheiten 2, 3, 4 in ihrer Leistung beeinträchtigt werden. The current state 6 The review of the record may also be referred to as a snapshot taken by a sub-unit 2 to the next sub unit 3 is moved. Once one of the secondary units 2 . 3 . 4 returns to an operating state or busy state, the verification of the record 7 on the corresponding sub-unit 2 . 3 . 4 stopped. The review of the record 7 will then be on the next sub unit 2 . 3 . 4 continued at the point where it was previously stopped. Stopping in this context means pausing the check to continue later. That way, the record can be 7 be analyzed over long periods of time without the individual secondary units 2 . 3 . 4 be affected in their performance.

Durch das beschriebene System 10 kann eine Erhöhung der tatsächlich verfügbaren Sandboxen, d.h. Unterrecheneinheiten 2, 3, 4, die jeweils unter Verwendung einer virtuellen Maschine 5 als Sandbox fungieren, erreicht werden. Angenommen es stehen im Schnitt 80% der Clients, d.h. der Unterrecheneinheiten 2, 3, 4, zur Verfügung, jeder dieser Clients 2, 3, 4 bringt 50% der Rechenleistung einer dedizierten Sandbox, und 20% zusätzlicher Aufwand für Migration, d.h. empfangen und übertragen des Datensatzes 7 sowie des aktuellen Zustands 6 der Überprüfung, so entspricht jeder Client 2, 3, 4 rechnerisch etwa 1/3 Sandbox. Ein System 10 mit beispielsweise 1500 Clients 2, 3, 4 verfügt daher über ca. 500 virtuelle Sandboxen. Bei einem Fallaufkommen von in etwa 500 Fällen am Tag, kann jeder Datensatz 7 damit 24 Stunden (statt 3 Minuten mit 10 dedizierten Sandboxen) kontrolliert ausgeführt und beobachtet werden. Through the described system 10 can be an increase in the actually available sandboxes, ie sub-calculation units 2 . 3 . 4 each using a virtual machine 5 acting as a sandbox. On average, 80% of the clients, that is, the sub-processors, are assumed 2 . 3 . 4 , available to each of these clients 2 . 3 . 4 brings 50% of the computing power of a dedicated sandbox, and 20% additional effort for migration, ie, receive and transmit the record 7 as well as the current state 6 the review, so every client corresponds 2 . 3 . 4 calculated about 1/3 sandbox. A system 10 with, for example, 1500 clients 2 . 3 . 4 therefore has about 500 virtual sandboxes. In a case occurrence of about 500 cases a day, each record can 7 24 hours (instead of 3 minutes with 10 dedicated sandboxes) are controlled and observed.

2 zeigt ein schematisches Ablaufdiagramm eines Verfahrens zum Detektieren von Schaddaten innerhalb eines Datensatzes 7. 2 shows a schematic flow diagram of a method for detecting harmful data within a record 7 ,

In einem ersten Schritt 101 wird ein Datensatz 7 an eine Unterrecheneinheit 2 einer Mehrzahl von Unterrecheneinheiten 2, 3, 4 übertragen, wobei jede der Unterrecheneinheiten 2, 3, 4 dazu eingerichtet ist, einen empfangenen Datensatz 7 zu überprüfen und Schaddaten innerhalb des Datensatzes 7 zu detektieren. In a first step 101 becomes a record 7 to a sub-unit 2 a plurality of secondary units 2 . 3 . 4 transferred, with each of the Unterrecheneinheiten 2 . 3 . 4 is set up to receive a received record 7 check and damage data within the record 7 to detect.

In einem zweiten Schritt 102 wird eine Überprüfung des Datensatzes 7 auf der einen Unterrecheneinheit 2 gestartet. In a second step 102 will be a review of the record 7 on the one sub unit 2 started.

In einem dritten Schritt 103 wird die Überprüfung des Datensatzes 7 auf der einen Unterrecheneinheit 2 gestoppt. In a third step 103 will review the record 7 on the one sub unit 2 stopped.

In einem vierten Schritt 104 wird der Datensatz 7 an eine weitere Unterrecheneinheit 3 der Mehrzahl von Unterrecheneinheiten 2, 3, 4 übertragen. In a fourth step 104 becomes the record 7 to another sub-unit 3 the plurality of secondary units 2 . 3 . 4 transfer.

In einem fünften Schritt 105 wird die Überprüfung des Datensatzes 7 auf der weiteren Unterrecheneinheit 3 fortgesetzt. In a fifth step 105 will review the record 7 on the further sub unit 3 continued.

Die Schritte 101 bis 105 können beliebig oft mit unterschiedlichen Unterrecheneinheiten 2, 3, 4 wiederholt werden, bis die Überprüfung des Datensatzes 7 abgeschlossen ist. The steps 101 to 105 can be used any number of times with different sub-units 2 . 3 . 4 be repeated until the review of the record 7 is completed.

Obwohl die vorliegende Erfindung anhand von Ausführungsbeispielen beschrieben wurde, ist sie vielfältig modifizierbar. Although the present invention has been described with reference to embodiments, it is variously modifiable.

Claims (14)

System (10) zum Detektieren von Schaddaten innerhalb eines Datensatzes (7), mit: einer zentralen Recheneinheit (1) und einer Mehrzahl von Unterrecheneinheiten (2, 3, 4), die mit der zentralen Recheneinheit (1) gekoppelt sind, wobei jede der Unterrecheneinheiten (2, 3, 4) dazu eingerichtet ist, einen empfangenen Datensatz (7) zu überprüfen und Schaddaten innerhalb des Datensatzes (7) zu detektieren, wobei die zentrale Recheneinheit (1) dazu eingerichtet ist, den Datensatz (7) an eine Unterrecheneinheit (2) der Mehrzahl von Unterrecheneinheiten (2, 3, 4) zu übertragen und eine Überprüfung des Datensatzes (7) auf der einen Unterrecheneinheit (2) zu starten, und, nach einem Stoppen der Überprüfung, den Datensatz (7) an eine weitere Unterrecheneinheit (3) der Mehrzahl von Unterrecheneinheiten (2, 3, 4) zu übertragen und die Überprüfung des Datensatzes (7) auf der weiteren Unterrecheneinheit (3) fortzusetzen. System ( 10 ) for detecting harmful data within a data set ( 7 ), comprising: a central processing unit ( 1 ) and a plurality of sub-calculation units ( 2 . 3 . 4 ), which communicate with the central processing unit ( 1 ), each of the sub-calculation units ( 2 . 3 . 4 ) is set up to receive a received data record ( 7 ) and damage data within the dataset ( 7 ), wherein the central processing unit ( 1 ) is set up the record ( 7 ) to a sub-unit ( 2 ) of the plurality of sub-calculation units ( 2 . 3 . 4 ) and a review of the data set ( 7 ) on the one sub-unit ( 2 ) and, after stopping the check, the record ( 7 ) to another sub-unit ( 3 ) of the plurality of sub-calculation units ( 2 . 3 . 4 ) and the verification of the dataset ( 7 ) on the further sub-unit ( 3 ) continue. System (10) nach Anspruch 1, dadurch gekennzeichnet, dass die zentrale Recheneinheit (1) dazu eingerichtet ist, den Datensatz (7) nacheinander an eine beliebige Anzahl der Mehrzahl von Unterrecheneinheiten (2, 3, 4) zu übertragen. System ( 10 ) according to claim 1, characterized in that the central processing unit ( 1 ) is set up the record ( 7 ) successively to any number of the plurality of sub-calculation units ( 2 . 3 . 4 ) transferred to. System (10) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass jede der Mehrzahl von Unterrecheneinheiten (2, 3, 4) eine virtuelle Maschine (5) aufweist, die dazu eingerichtet ist, den Datensatz (7) zu überprüfen. System ( 10 ) according to claim 1 or 2, characterized in that each of the plurality of sub-calculation units ( 2 . 3 . 4 ) a virtual machine ( 5 ), which is adapted to store the data set ( 7 ) to check. System (10) nach Anspruch 3, dadurch gekennzeichnet, dass die virtuellen Maschinen (5) der Mehrzahl von Unterrecheneinheiten (2, 3, 4) identisch sind. System ( 10 ) according to claim 3, characterized in that the virtual machines ( 5 ) of the plurality of sub-calculation units ( 2 . 3 . 4 ) are identical. System (10) nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die zentrale Recheneinheit (1) dazu eingerichtet ist, einen aktuellen Zustand (Z2, Z3, Z4) jeder der Mehrzahl von Unterrecheneinheiten (2, 3, 4) zu ermitteln. System ( 10 ) according to one of claims 1 to 4, characterized in that the central processing unit ( 1 ) is adapted to a current state (Z2, Z3, Z4) of each of the plurality of Unterrecheneinheiten (Z2, Z3, Z4) 2 . 3 . 4 ) to investigate. System (10) nach Anspruch 5, dadurch gekennzeichnet, dass die zentrale Recheneinheit (1) dazu eingerichtet ist, den Datensatz (7) an eine Unterrecheneinheit (2, 3, 4) der Mehrzahl von Unterrecheneinheiten (2, 3, 4) basierend auf den ermittelten aktuellen Zuständen (Z2, Z3, Z4) zu übertragen. System ( 10 ) according to claim 5, characterized in that the central processing unit ( 1 ) is set up the record ( 7 ) to a sub-unit ( 2 . 3 . 4 ) of the plurality of sub-calculation units ( 2 . 3 . 4 ) based on the determined current states (Z2, Z3, Z4). System (10) nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass der aktuelle Zustand (Z2, Z3, Z4) einen beschäftigten Zustand oder einen Leerlaufzustand umfasst. System ( 10 ) according to claim 5 or 6, characterized in that the current state (Z2, Z3, Z4) comprises a busy state or an idle state. System (10) nach einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, dass die zentrale Recheneinheit (1) dazu eingerichtet ist, den aktuellen Zustand (Z2, Z3, Z4) jeder der Mehrzahl von Unterrecheneinheiten (2, 3, 4) zu überwachen und den Datensatz (7) an eine der Unterrecheneinheiten (2, 3, 4) zu übertragen, deren aktueller Zustand (Z2, Z3, Z4) einem Leerlaufzustand entspricht. System ( 10 ) according to one of claims 5 to 7, characterized in that the central processing unit ( 1 ) is adapted to the current state (Z2, Z3, Z4) of each of the plurality of Unterrecheneinheiten (Z2, Z3, Z4) 2 . 3 . 4 ) and monitor the record ( 7 ) to one of the sub-calculation units ( 2 . 3 . 4 ) whose current state (Z2, Z3, Z4) corresponds to an idling state. System (10) nach Anspruch 8, dadurch gekennzeichnet, dass die zentrale Recheneinheit (1) dazu eingerichtet ist, bei einer Änderung des aktuellen Zustands (Z2, Z3, Z4) der überprüfenden Unterrecheneinheit (2, 3, 4) von einem Leerlaufzustand zu einem beschäftigten Zustand die Überprüfung zu stoppen und einen aktuellen Zustand (6) der Überprüfung von der überprüfenden Unterrecheneinheit (2, 3, 4) zu empfangen. System ( 10 ) according to claim 8, characterized in that the central processing unit ( 1 ) is adapted to change the current status (Z2, Z3, Z4) of the checking sub-unit ( 2 . 3 . 4 ) from an idle state to a busy state to stop the check and a current state ( 6 ) checking by the checking sub-unit ( 2 . 3 . 4 ) to recieve. System (10) nach Anspruch 9, dadurch gekennzeichnet, dass die zentrale Recheneinheit (1) dazu eingerichtet ist, den aktuellen Zustand (6) der Überprüfung zusammen mit dem Datensatz (7) an eine Unterrecheneinheit (2, 3, 4) der Mehrzahl von Unterrecheneinheiten (2, 3, 4) zu übertragen, deren aktueller Zustand (Z2, Z3, Z4) einem Leerlaufzustand entspricht. System ( 10 ) according to claim 9, characterized in that the central processing unit ( 1 ) is adapted to the current state ( 6 ) of the verification together with the dataset ( 7 ) to a sub-unit ( 2 . 3 . 4 ) of the plurality of sub-calculation units ( 2 . 3 . 4 ) whose current state (Z2, Z3, Z4) corresponds to an idling state. System (10) nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass jede der Mehrzahl von Unterrecheneinheiten (2, 3, 4) dazu eingerichtet ist, bei einem Detektieren von Schaddaten innerhalb des empfangenen Datensatzes (7) ein Warnsignal an die zentrale Recheneinheit (1) zu übertragen. System ( 10 ) according to one of claims 1 to 10, characterized in that each of the plurality of sub-calculation units ( 2 . 3 . 4 ) is adapted to detect harmful data within the received data set ( 7 ) a warning signal to the central processing unit ( 1 ) transferred to. Verfahren zum Detektieren von Schaddaten innerhalb eines Datensatzes (7), mit: Übertragen (101) eines Datensatzes (7) an eine Unterrecheneinheit (2) einer Mehrzahl von Unterrecheneinheiten (2, 3, 4), wobei jede der Unterrecheneinheiten (2, 3, 4) dazu eingerichtet ist, einen empfangenen Datensatz (7) zu überprüfen und Schaddaten innerhalb des Datensatzes (7) zu detektieren, Starten (102) einer Überprüfung des Datensatzes (7) auf der einen Unterrecheneinheit (2), Stoppen (103) der Überprüfung des Datensatzes (7) auf der einen Unterrecheneinheit (2), Übertragen (104) des Datensatzes (7) an eine weitere Unterrecheneinheit (3) der Mehrzahl von Unterrecheneinheiten (2, 3, 4), und Fortsetzen (105) der Überprüfung des Datensatzes (7) auf der weiteren Unterrecheneinheit (3). Method for detecting damage data within a data record ( 7 ), with: Transfer ( 101 ) of a data record ( 7 ) to a sub-unit ( 2 ) a plurality of sub-calculation units ( 2 . 3 . 4 ), each of the sub-calculation units ( 2 . 3 . 4 ) is set up to receive a received data record ( 7 ) and damage data within the dataset ( 7 ), start ( 102 ) a review of the record ( 7 ) on the one sub-unit ( 2 ), To stop ( 103 ) the review of the record ( 7 ) on the one sub-unit ( 2 ), Transfer ( 104 ) of the data record ( 7 ) to another sub-unit ( 3 ) of the plurality of sub-calculation units ( 2 . 3 . 4 ), and continue ( 105 ) the review of the record ( 7 ) on the further sub-unit ( 3 ). Computerprogrammprodukt, welches die Durchführung eines Verfahrens nach Anspruch 12 auf einer programmgesteuerten Einrichtung veranlasst.  Computer program product, which causes the implementation of a method according to claim 12 on a program-controlled device. Datenträger mit einem gespeicherten Computerprogramm mit Befehlen, welche die Durchführung eines Verfahrens nach Anspruch 12 auf einer programmgesteuerten Einrichtung veranlassen.  Data carrier with a stored computer program with instructions which cause the execution of a method according to claim 12 on a program-controlled device.
DE102014212838.2A 2014-07-02 2014-07-02 System and method for detecting harmful data within a data set Withdrawn DE102014212838A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102014212838.2A DE102014212838A1 (en) 2014-07-02 2014-07-02 System and method for detecting harmful data within a data set

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014212838.2A DE102014212838A1 (en) 2014-07-02 2014-07-02 System and method for detecting harmful data within a data set

Publications (1)

Publication Number Publication Date
DE102014212838A1 true DE102014212838A1 (en) 2016-01-07

Family

ID=54866147

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014212838.2A Withdrawn DE102014212838A1 (en) 2014-07-02 2014-07-02 System and method for detecting harmful data within a data set

Country Status (1)

Country Link
DE (1) DE102014212838A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050132362A1 (en) * 2003-12-10 2005-06-16 Knauerhase Robert C. Virtual machine management using activity information
US7607171B1 (en) * 2002-01-17 2009-10-20 Avinti, Inc. Virus detection by executing e-mail code in a virtual machine

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7607171B1 (en) * 2002-01-17 2009-10-20 Avinti, Inc. Virus detection by executing e-mail code in a virtual machine
US20050132362A1 (en) * 2003-12-10 2005-06-16 Knauerhase Robert C. Virtual machine management using activity information

Similar Documents

Publication Publication Date Title
DE102018113625A1 (en) ERROR INJECTION TESTING DEVICE AND METHOD
DE112008001528T5 (en) Multiprocessor system and control method therefor
DE102013015172A1 (en) Security system challenge-and-response procedure using a modified watchdog timer
DE10211889B4 (en) Processing unit to execute event processes in real time without causing a process fault
DE102007046475A1 (en) Monitor an execution pattern of a target agent on a VT-enabled system
DE102015201443A1 (en) Method and device for controlling a watchdog
EP3430558B1 (en) Detecting a deviation of a security state of a computing device from a desired security state
DE102011005209A1 (en) Program instruction-controlled instruction flow control
WO2006032585A1 (en) Method for executing a computer program on a computer system
EP3695337B1 (en) Method and confirmation device for confirming the integrity of a system
DE112011100168T5 (en) Collect diagnostic data in a computing environment
DE102013214218A1 (en) METHOD AND SYSTEM FOR CHECKING SOFTWARE
DE102014212838A1 (en) System and method for detecting harmful data within a data set
DE102015005071A1 (en) A system and method for monitoring the integrity of a component delivered by a server system to a client system
DE102020116959A1 (en) WATCHDOG CIRCUIT, CIRCUIT, SYSTEM-ON-CHIP, METHOD FOR OPERATING A WATCHDOG CIRCUIT, METHOD FOR OPERATING A CIRCUIT AND METHOD FOR OPERATING A SYSTEM-ON-CHIP
DE102017219195B4 (en) PROCEDURE FOR ENSURE OPERATION OF A COMPUTER
DE102016224206A1 (en) VEHICLE CONTROL DEVICE
WO2016206847A1 (en) Method and apparatus for protecting a program counter structure of a processor system and for monitoring the handling of an interrupt request
DE102009038248A1 (en) Method for removing modular software
EP3752911A1 (en) Method for installing a program code packet onto a device, device, and motor vehicle
DE112018002612T5 (en) Vehicle control device
DE102021212994B3 (en) Method for detecting anomalies indicating tampering during a secure boot process of a software-controlled device
EP3893113B1 (en) Monitoring of a component of a control system for a moving means
EP3486825A1 (en) Method and apparatus for the computer-aided determination of a severity of a breach in integrity
DE102022122008A1 (en) Processor circuit for collecting logging records from multiple control circuits in a data pool, associated operating method for the processor circuit, system for collecting logging records, and computer-readable storage medium

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee