本文描述的特定实施例提供了一种电子设备,该电子设备可以被配置成:执行具有操作系统的系统中的应用,执行针对应用的事件跟踪,分析来自事件跟踪的每一个指令指针,以及确定指令指针是否指向存储器的孤儿页面。孤儿页面可以是:与该应用不相关联的代码的区域,未被识别的代码的区域或与应用不相关联的不寻常的代码。另外,事件跟踪可以是作为操作系统一部分的嵌入式应用。
【技术实现步骤摘要】
【国外来华专利技术】基于分析事件的漏洞利用检测对相关申请的交叉引用本申请要求于2015年6月26日提交的、标题为“PROFILINGEVENTBASEDEXPLOITDETECTION”的第14/751,762号美国非临时专利申请的利益和优先权,该专利申请的全部内容通过引用被合并于此。
本公开一般地涉及信息安全领域,并且更特别地,涉及基于分析事件的漏洞利用(exploit)检测。
技术介绍
在当今社会中,网络安全领域已经变得日益重要。因特网已经使得能够实现全世界的不同计算机网络的互连。特别地,因特网提供用于在经由各种类型的客户端设备连接到不同的计算机网络的不同用户之间交换数据的介质。尽管因特网的使用已经使商业和个人通信改头换面,但是它也已被用作用于使恶意操作者获得对计算机和计算机网络的未经授权的访问以及用于敏感信息的有意或无意公开的工具。感染主机计算机的恶意的软件(“恶意软件”)可能能够执行任何数目的恶意动作,诸如从与主机计算机相关联的企业或个体窃取敏感信息,向其它主机计算机传播,和/或协助分布式拒绝服务攻击,从主机计算机发出垃圾邮件或恶意电子邮件等。因此,对于保护计算机和计算机网络免受恶意的软件的恶意和无意的漏洞利用而言,仍然存在值得注意的管理挑战。附图说明为了提供本公开及其特征和优点的更完整的理解,参照结合随附各图来理解以下描述,其中相同的参考标号表示相同的部分,其中:图1是依照本公开的实施例的用于网络环境中的基于分析事件的漏洞利用检测的通信系统的简化框图;图2是依照本公开的实施例的用于网络环境中的基于分析事件的漏洞利用检测的通信系统的部分的简化框图;图3是图示了依照实施例的可以与通信系统相关联的潜在操作的简化流程图;图4是图示了依照实施例的可以与通信系统相关联的潜在操作的简化流程图;图5是图示了依照实施例的以点对点配置布置的示例计算系统的框图;图6是与本公开的示例ARM生态系统片上系统(SOC)相关联的简化框图;以及图7是示出了依照实施例的示例处理器核的框图。附图各图未必按比例绘制,因为在不脱离本公开的范围的情况下,它们的尺寸可以被相当大地改变。具体实施方式示例实施例图1是依照本公开的实施例的用于网络环境中的基于分析事件的漏洞利用检测的通信系统的简化框图。通信系统100可以包括电子设备102,云服务104和服务器106。电子设备102可以包括处理器110,操作系统(OS)112,一个或多个应用114a和114b,安全模块116,和存储器118a。OS112可以包括事件跟踪模块120。事件跟踪模块120可以包括指令指针队列122。安全模块116可以包括指令指针分析模块124和应用模块表126。存储器118a可以包括一个或多个应用区域128a和128bb,孤儿应用区域130,白名单132和黑名单134。云服务104可以包括存储器118b和网络安全模块138a。存储器118b可以包括白名单132和黑名单134。网络安全模块138a可以包括应用模块表126和网络指令指针分析模块140。服务器106可以包括存储器118c和网络安全模块138b。存储器118c可以包括白名单132和黑名单134。网络安全模块138b可以包括应用模块表126和网络指令指针分析模块140。电子设备102,云服务104和服务器106可以使用网络108进行通信。恶意软件136可能试图使用网络108或通过直接连接(例如,通过通用串行总线(USB)类型的连接)将自己介绍给电子设备102。在示例实施例中,通信系统100可以被配置成在具有OS(例如,OS112)的系统中执行应用(例如,应用114a),使用事件跟踪模块120执行针对应用的事件跟踪,使用指令指针分析模块124分析来自事件跟踪的每一个指令指针,并确定指令指针是否指向存储器的孤儿页面(例如,孤儿应用区域130)。孤儿页面可以是与应用不相关联的代码区域,未识别的代码区域或与应用不相关联的不寻常的代码。另外,事件跟踪可以是作为OS一部分的嵌入式应用或特征。应用模块表126可以包括与进程相关联的模块或存储器区域的列表。例如,应用程序114a可以与应用区域128a相关联,并且应用114b可以与应用区域128b相关联。图1的元件可以通过采用任何合适的连接(有线的或无线的)的一个或多个接口耦合到彼此,所述连接为网络(例如,网络108)通信提供切实可行的通路。此外,图1的这些元件中的任何一个或多个可以基于特定配置需要而组合或从架构移除。通信系统100可以包括能够进行传输控制协议/因特网协议(TCP/IP)通信以用于网络中的分组的传送或接收的配置。通信系统100还可以在适当的情况下和基于特定需要而与用户数据报协议/IP(UDP/IP)或任何其它合适的协议结合地操作。为了说明通信系统100的某些示例技术的目的,重要的是,理解可以遍历网络环境的通信。以下基础信息可以被视为可以根据其适当地解释本公开的基础。对因特网的增加的访问已经具有增加恶意软件的范围的意想不到的效果。这里使用的术语恶意软件包括被设计用来在没有所有者的知情同意的情况下渗透,修改,改变,损坏或破坏计算机系统的任何类型的软件程序,应用,模块,代码等,而不管软件程序的动机如何,并且也不管由软件程序对所有者的设备,系统,网络或数据所导致的结果如何。某些恶意软件可以利用文档查看器(例如,Microsoft®,Word®,Adobe®查看器,浏览器等)中的漏洞利用。例如,企业可能会得到一个Word®或PDF®格式的文档,这实际上可能是一个有针对性的零日攻击。当企业中的电子设备打开或读取文档时,恶意软件可能危及电子设备。在另一个示例中,电子设备可能被用于访问网站,并且恶意软件可以在不知不觉中使用来自网站的漏洞利用安装在电子设备上。该问题的当前解决方案通常是侵入性的并且具有性能或兼容性问题。例如,基于沙箱或基于仿真的解决方案来检测恶意应用尝试在受控环境下运行第三方软件。这可能与电子设备具有严重的兼容性问题,通过消耗相对大量的资源实质性地降低电子设备的性能,并且可能造成性能瓶颈,使得解决方案在电子设备上部署不可行。其它解决方案可能具有性能和兼容性问题,或者基于已知弱点的特定知识。另外,可以使用各种检测程序来尝试检测恶意软件的存在。在一些情况下,检测程序依靠检测正被检查的软件程序中的签名来确定程序是否是恶意软件或包含恶意软件。在一些情况下,检测程序使用跟踪方法来确定软件程序是否是恶意软件。然而,恶意软件作者经常改变或更改恶意软件程序的部分,以便避免通过跟踪方法进行检测。需要一种不需要目标程序或可疑恶意软件在受控环境下运行或使用OS控制流拦截的恶意软件检测系统和方法。如果系统和方法可以使用良好支持的OS特征(例如,MicrosoftWindows®特征)来一般地识别在诸如文档查看器,浏览器等进程中的任意代码执行将是有益的。如图1中概述的用于基于分析事件的漏洞利用检测的通信系统可以解决这些问题(和其它问题)。在图1的通信系统100中,系统可以被配置成使用OS的事件跟踪特征来识别在给定的目标进程下正在被执行的存储器区域。基于所识别的存储器区域,通信系统100可以被配置成通过检查目标应用是否正在执行来自未识别的区域的代码或者执行内部页面的代码是否是不寻常的,来确定目本文档来自技高网...
【技术保护点】
至少一个计算机可读介质,其包括一个或多个指令,所述一个或多个指令当被处理器执行时使得处理器:执行系统中的应用;执行针对应用的事件跟踪;分析来自事件跟踪的每一个指令指针;以及确定指令指针是否指向存储器的孤儿页面。
【技术特征摘要】
【国外来华专利技术】2015.06.26 US 14/7517621.至少一个计算机可读介质,其包括一个或多个指令,所述一个或多个指令当被处理器执行时使得处理器:执行系统中的应用;执行针对应用的事件跟踪;分析来自事件跟踪的每一个指令指针;以及确定指令指针是否指向存储器的孤儿页面。2.根据权利要求1所述的至少一个计算机可读介质,其中孤儿页面是与该应用不相关联的代码的区域。3.根据权利要求1和2中任一项所述的至少一个计算机可读介质,其中孤儿页面是未被识别的代码的区域。4.根据权利要求1-3中任一项所述的至少一个计算机可读介质,其中系统包括操作系统和作为操作系统一部分的嵌入式应用,所述嵌入式应用执行事件跟踪。5.根据权利要求1-4中任一项所述的至少一个计算机可读介质,还包括所述一个或多个指令,所述一个或多个指令当被处理器执行时使得处理器:确定指令指针是否指向与应用不相关联的不寻常的代码。6.根据权利要求1-5中任一项所述的至少一个计算机可读介质,其中事件跟踪对于应用是透明的。7.根据权利要求1-6中任一项所述的至少一个计算机可读介质,其中事件跟踪与应用异步,使得目标应用继续执行而不被阻止。8.根据权利要求1-7中任一项所述的至少一个计算机可读介质,还包括一个或多个指令,所述一个或多个指令当被处理器执行时使得处理器:在指令指针指向存储器的孤儿页面或指令指针指向与应用不相关联的不寻常的代码的情况下将应用标记为恶意的。9.一种装置,包括:检测模块,其中所述检测模块被配置成:执行系统中的应用;执行针对应用的事件跟踪;分析来自事件跟踪的每一个指令指针;以及确定指令指针是否指向存储器的孤儿页面。10.根据权利要求9所述的装置,其中孤儿页面是与该应用不相关联的代码的区域。11.根据权利要求9和10中任一项所述的装置,其中孤儿页面是未被识别的代码的区...
【专利技术属性】
技术研发人员:V皮库尔,R马图尔,
申请(专利权)人:迈克菲有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。