在一个示例实施例中提供方法,其包括监视第一接口、监视第二接口以及如果该第二接口未在该第一接口之前被执行则采取策略动作。在更特定的实施例中,监视第二接口可包括沿与第一接口关联的调用栈步进。此外,可识别对于与第二接口关联的调用代码的程序上下文并且对其起作用。
【技术实现步骤摘要】
【国外来华专利技术】【专利摘要】在一个示例实施例中提供方法,其包括监视第一接口、监视第二接口以及如果该第二接口未在该第一接口之前被执行则采取策略动作。在更特定的实施例中,监视第二接口可包括沿与第一接口关联的调用栈步进。此外,可识别对于与第二接口关联的调用代码的程序上下文并且对其起作用。【专利说明】
本说明大体涉及信息系统安全的领域,并且更具体地,涉及用于间接接口监视和垂线探测(plumb-lining)的系统和方法。
技术介绍
信息系统已经在全球范围内融入人们的日常生活和商业,并且信息安全的领域在现今的社会同样变得日益重要。然而,这样的广泛融合还对恶意操作者呈现利用这些系统的许多机会。一旦恶意软件已经传染主机计算机,它可以执行任何数量的恶意动作,例如从主机计算机发出垃圾邮件或恶意emai 1、从与主机计算机关联的企业或个人窃取敏感信息、传播到其他主机计算机和/或帮助分布式拒绝服务攻击。另外,对于一些类型的malware,恶意操作者可以出售或用别的方式获得对其他恶意操作者的访问,由此扩大主机计算机的利用。从而,有效保护并且维持稳定的计算机和系统的能力对于部件制造商、系统设计师和网络运营商仍然提出重大挑战。
技术实现思路
综览 在一个示例实施例中提供方法,其包括监视第一接口、监视第二接口并且如果该第二接口未在该第一接口之前被执行则采取策略动作。在更特定的实施例中,监视第二接口可包括沿与第一接口关联的调用栈步进。此外,可识别与第二接口关联的调用代码的程序上下文并且对其起作用。【专利附图】【附图说明】为了提供对本公开及其特征和优势的更完整理解,结合附图参考下面的描述,其中类似的标号代表类似的部件,其中: 图1是图示根据该说明的主机环境的示例实施例的简化示意图; 图2是图示可与主机环境的一个潜在实施例关联的额外的细节的简化框图; 图3是图示可与主机环境的某些实施例关联的潜在操作的简化流程图; 图4是可与主机环境的某些实施例关联的潜在操作的简化流程图;图5是图示在主机环境的示例实施例中的通过调用帧分析的间接监视的高级框图; 图6是图示在主机环境的一个示例实施例中可与识别调用代码关联的潜在操作的简化流程图; 图7是图示可与主机环境的一个示例实施例关联的用于启用执行监视回调的潜在操作的简化流程图; 图8是图示在主机环境的另一个示例实施例中可与监视识别的返回指令的执行所关联的潜在操作的简化流程图; 图9是图示在主机环境的示例实施例中可与分析在栈被展开时被监视的栈条目所关联的潜在操作的简化流程图; 图10是图示在主机环境的示例实施例中可与利用动态调整的安全级别来处理事件所关联的潜在操作的简化流程图;并且 图11是图示在主机环境的示例实施例中可与利用动态调整的安全级别来检测不希望数据所关联的潜在操作的简化流程图。【具体实施方式】转向图1,图1是其中可实现的主机环境100的一个实施例的示意图。主机环境100包括用户软件102和安全监视器104,其都可以在用户空间105中执行。用户软件102可包括例如程序文件I至η。安全监视器104可包括处理程序(handler) 104a、间接监视模块(IMM) 104b和垂线探测模块104c。在主机环境100的一个实施例中,程序文件I至η中的每个可代表截然不同的用户模式应用,例如字处理器、电子数据表、web浏览器、email客户端等。在主机环境100的用户空间105中还示出进程106,其是对应于程序文件I至η中的一个或多个的执行进程的示例。操作系统107可包括核108,其可以提供进程业务映射元件110,用于将进程(例如,进程106)映射到用户软件102的对应程序文件。为了便于参考,用户软件102在主机环境100的用户空间104中示出,但它可存储在数据存储部件(例如存储器元件112)中。主机环境100还可包括例如输入/输出(I/O)装置114和处理器116等的硬件113,以及采用存储器管理单元(MMU)、额外的对称多处理(SMP)元件、物理存储器、以太网、外围部件互连(PCI)总线和对应的桥、小型计算机系统接口(SCSI)/集成驱动电子器件(IDE)元件等的形式的额外硬件(未示出)。另外,还可包括适合的调制解调器和/或额外的网络适配器用于允许网络访问。主机环境100可包括准确执行它们的规定功能所必需的任何额外的硬件和软件。此外,任何适合的操作系统可在主机环境100中配置以适当地管理其中的硬件部件的操作。硬件配置可改变并且描绘的示例并不意味着暗指架构限制。此外,主机环境100仅代表提供用于加载安全监视器104的至少基本能力的环境。web浏览器是其中可实现间接接口监视和垂线探测的另一个类型的主机环境的示例。为了图示在例如主机环境100等的主机环境中的间接接口监视和垂线探测的原理的目的,重要的是要理解在这样的环境内出现的活动和通信。下面的基本信息可视为可以从中正确解释本公开的基础。这样的信息仅为了解释目的而切实提供,并且因此不应采用任何方式解释来限制该说明和它的潜在应用的广泛范围。恶意操作者不断开发用于使用malware的新战术,malware大体上包括设计成在没有计算机所有者的知情同意的情况下访问和/或控制计算机的任何软件,并且最常用作任何怀有敌意的、侵入的或骚扰软件(例如计算机病毒、bot、间谍软件、广告软件等)的标签。一旦主机被损害,malware可颠覆主机并且将它用于恶意活动,例如发垃圾邮件或信息窃取,或甚至使主机失效。Malware还典型地包括一个或多个传播矢量,其使Malware能够在网络内或跨其他网络散布到其他组织或个体。常见的传播矢量包括利用本地网络内的主机上的已知漏洞并且发送具有附连的恶意程序的恶意email或在这些email内提供恶意链接。聚焦在阻止未经授权的程序文件在主机环境中执行的安全软件可对于企业或其他组织实体的用户或雇员具有不可取的副作用。网络或信息技术(IT)管理员可承担精心制作与企业实体的所有方面相关的广泛策略以使雇员能够从可取且可信的网络资源获得软件和其他电子数据的责任。在没有广泛策略在位的情况下,可阻止雇员从未被专门授权的网络资源下载软件和其他电子数据,即使这样的软件和其他数据促使合法且必需的业务活动也如此。这样的系统可如此有限制性使得如果在主机计算机上发现未经授权的软件,任何主机计算机活动在网络管理员介入之前可被暂停。此外,在网络级处,可能简单地存在太多的应用而不能有效追踪并且引入策略。大的白名单或黑名单可能难以维持并可使网络性能下降,并且一些应用可能不易轻松识别。另外,安全软件通常可能取决于铸造遍布其主机环境进行监视的广泛的系统网。然而,主机环境通常可对安全软件可能监视到的具有基础设施限制。例如,在一些嵌入式环境(例如Windows Mobile)内,因为接口代码可从不可变的存储器执行,通过内联挂接直接监视接口可能是不可能的。一些实施例还可有意限制安全软件监视环境的能力。示例是64位版本的MICROSOFT WINDOWS操作系统通过核补丁保护(通俗地称为“PatchGuard”)所施加的直接核模式接口监视的预防。Malware持续采用日益复杂的技术用于规避被安全软件(特别是系统监视技术)的检测。示例包括通过绕过上层接口而相反直接启用本文档来自技高网...
【技术保护点】
一种方法,其包括:监视第一接口;监视第二接口;以及如果所述第二接口未在所述第一接口之前被执行则采取策略动作。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:GW达彻尔,
申请(专利权)人:迈可菲公司,
类型:发明
国别省市:无
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。