公开了用于组装事件的执行简档的技术。技术可包括以下步骤:对事件监视分支指令;在执行分支指令时生成对安全模块的回调;根据多个事件标识符来过滤回调;以及验证与分支指令相关联的代码段,所述代码段包括在分支指令之前执行的代码以及在分支指令之后执行的代码。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术总体涉及电子安全领域,更具体地涉及硬件和软件执行概况分析(profiling)。
技术介绍
在电子安全领域,电子安全产品常常发觉它们自身比有害软件的所有者和分发者迟一步。电子安全的许多传统方式以标识威胁并且对这些威胁的反应来作为它们的起始点。此反应性方式可以保护电子设备免受已知威胁的破坏,但是仍使电子设备易受未知威胁的侵害。此外,此反应性方式要求电子设备的恒久的警戒和更新,以便跟上有害软件的最新的进展。【附图说明】为了更完整地理解本专利技术以及其优点,现在结合所附附图来参照以下描述,其中:图1示出根据本公开的某些实施例的、用于在无论什么插入方法的情况下检测事件的处理中恶意软件的存在的示例系统;图2示出根据本公开的某些实施例的、用于检测事件嗅探恶意软件的示例系统;图3示出根据本公开的某些实施例的、用于处置用户模式和内核模式恶意软件两者的示例系统;以及图4示出根据本公开的某些实施例的、用于组装执行简档(profile)的示例方法的流程图。【具体实施方式】在现代的电子系统中,一个主要问题仍是电子安全。对电子系统的安全的恒久的威胁是通过除系统的用户计划的那些装置以外的装置对系统资源的吸收的威胁。这些装置可以采取软件、硬件、固件,或它们的某种组合的形式,并且可包括计算机病毒、蠕虫、间谍软件、广告软件,或可以从被感染的电子设备搜集信息,损坏设备,或具有某种其他有害影响的其他装置。这些装置可以一般被称为“恶意软件”。一种特别恶意种类的恶意软件可以将其本身插入到电子设备的事件处理例程中,以便破坏、监视和/或改变这些进程。例如,击键记录软件可以被插入到对击键的处置中以捕捉这些击键。另一类型的恶意软件可以利用“面向返回的编程”,其中,恶意软件企图利用对主机计算机的各种栈和/或寄存器的返回调用以插入其自身的恶意代码。恶意软件一般能以被插入到对某种事件的处置中的需求来表征,即使仅被调度而由系统执行也是如此。在事件处理中检测恶意软件的存在是有价值的,但是常常是困难的。例如,恶意软件可以通过间接的方法(诸如,利用电子设备本身的漏洞(“漏洞利用(exploit)”))而被包括在事件的处理中。某个先前的电子安全软件已经能够发现可以使用哪些插入方法并且监视这些插入方法(例如,已知的漏洞)。例如,在击键记录器的情况下,插入的方法可以是对应用编程接口(“API”)的利用。解决此漏洞的一个历史方法是监视API以检测对正常操作的颠覆。对诸如这种方法之类的反应性检测方法使得要跟上恶意软件插入技术的变化是困难的。改善的方式可以是允许在无论什么插入技术的情况下都检测事件的处理中恶意软件的存在一种方式。另外,也支持使用组装的执行简档以验证API (诸如,特许的API)的调用者可能是有益的。图1示出了根据本公开的某些实施例的、用于在无论什么插入方法的情况下检测事件的处理中恶意软件的存在的示例系统100。系统100可包括处理器102、存储器104、可通信地耦合到处理器102的安全模块106、可通信地耦合到处理器102的执行概况分析模块108以及可通信地耦合到处理器102的概况分析控制模块110。执行概况分析模块108、安全模块106和/或概况分析控制模块110可以配置成用于在系统100的任何合适的部分上执行。它们可以被配置成在例如服务器、计算机、节点、网关、路由器、发射机或接收机上执行。可以由任何合适的电子设备和/或电子设备的组合来实现系统100,诸如:计算机、膝上型计算机、云计算服务器、刀片(blade)、台式机、机架服务器、移动设备和/或web服务器。在一些实施例中,系统100可以通过一个或多个微处理器、微控制器、专用集成电路和/或片上系统(“SoC”)配置中的其他合适的电子设备来实现。在一些实施例中,由执行概况分析模块108、安全模块106和/或概况分析控制模块110执行的功能中的一些或全部功能可以由一个或多个安全代理来执行。可安装安全代理以在各种电子设备上运行,所述各种电子设备包括计算机、膝上型计算机、云计算服务器、刀片、台式机、机架服务器、移动设备和/或web服务器。在一些实施例中,处理器102可以包括例如,微处理器、微控制器、数字信号处理器(DSP)、专用集成电路(ASIC),或配置成解释和/或执行程序指令和/或处理数据的任何其他数字或模拟电路。在一些实施例中,处理器102可以解释和/或执行存储在存储器104中的程序指令和/或处理数据。存储器104可以部分地或整体地被配置为应用存储器、系统存储器,或这两者。存储器104可包括配置成用于保持和/或容纳一个或多个存储器模块的任何系统、设备或装置。每一个存储器模块都可包括配置成用于保留程序指令和/或数据达一段时间的任何系统、设备或装置(例如,计算机可读存储介质)。用于配置系统100的操作(诸如,对诸如概况分析模块108、安全模块106和/或概况分析控制模块110之类的组件的配置)的指令、逻辑或数据可以驻留在存储器104中,用于由处理器102执行。在一些实施例中,系统100可以监视选择活动的执行。也就是说,系统100可以允许对未经授权的软件的通用运行时检测。例如,系统100可以允许系统100的用户来确定软件执行流源自哪里,以及执行流可以继续进行到哪里。在相同或替代实施例中,系统100可以发现在对被跟踪的事件的处置中所涉及的代码。例如,系统100可以发现在对输入/输出(“I/o”)事件处置、对特许的API的调用返回等的处置中所涉及的代码。在一些实施例中,系统100可以配置成基于未经授权的软件的行为的在先获悉,在不使用签名、插入、监视单个已知的漏洞利用和/或标识恶意软件的其他方法来检测未经授权的软件。也就是说,系统100可以配置成用于检测未经授权的软件的片段的先前未知的版本,和/或可以不要求响应于系统软件的变化而频繁地更新监视软件。在一些实施例中,系统100可包括安全模块106。安全模块106可以配置成用于监视选择活动的执行。安全模块106可以配置成用于接收来自执行概况分析模块108的输出以检测未经授权的软件。例如,安全模块106可以是在系统100上执行的代理,所述代理配置成用于将安全策略应用于所收集的关于所标识的事件的执行简档的数据。在一些实施例中,系统100还可包括概况分析控制模块110。概况分析控制模块110可以配置成与安全模块106对接,以便将适用的安全策略的变化和/或其他相关的信息通知给安全模块106。例如,概况分析控制模块110可以将新类型的执行事件策略、过滤规则和/或回调条件传递到执行概况分析模块108和/或安全模块106。概况分析控制模块110也可以配置成用于处置新执行概况分析事件,以便创建和/或优化反恶意软件试探发(heuristics)(例如,面向返回的编程检测、API误用和/或一般代码注入)。在一些实施例中,系统100可包括执行概况分析模块108。执行概况分析模块108可以配置成用于实现并提供执行概况分析和监视能力。在一些实施例中,可以通过硬件、软件和/或它们的某种组合来实现执行概况分析模块108。例如,可以通过使用二进制转换技术(或其他合适的代码仿真技术)和/或被开发以与执行概况分析模块108 —起使用的CHJ硬件扩展来实现执行概况分析模块108。作为本文档来自技高网...
【技术保护点】
一种用于组装事件的执行简档的系统,所述系统包括:处理器;执行概况分析模块,可通信地耦合到所述处理器,所述执行概况分析模块配置成用于:对所述事件监视分支指令;在所述分支指令的执行时,生成对安全模块的回调;以及根据多个事件标识符来过滤所述回调;以及安全模块,可通信地耦合到所述处理器和所述执行概况分析模块,所述安全模块配置成用于:验证与所述分支指令相关联的代码段,所述代码段包括在所述分支指令之前执行的代码以及在所述分支指令之后执行的代码。
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:G·W·达尔彻,R·L·萨希塔,P·山姆盖维拉由瑟姆,K·山田,A·克里希纳斯瓦米,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。