入侵检测的方法和系统技术方案

通过检测入侵程序的攻击来保护计算机软件的方法，该入侵程序干扰具有处理器和至少一个处理器存储器的计算机系统上的所述受保护的软件的运行，其中要保护的计算机软件与包含使用和运行受保护的计算机软件的许可证并且包含至少一个密码密钥的许可证容器进行通信，其中许可证容器为受保护的软件提供许可证和密码密钥以保护其使用及其完整性，以及其中受保护的计算机软件至少部分经过加密，并且使用关联密码密钥对所述受保护的软件进行解密以便运行，该方法包括以下步骤：在运行受保护的软件期间，分析受保护的软件的行为和／或计算机系统上的受保护的软件的运行环境，并搜索入侵或入侵程序的模式，检测受保护的软件的运行期间对受保护的软件的入侵，其中入侵程序使用监视组件来获得未经授权的访问，以及创建有关检测到攻击的信号。

【技术实现步骤摘要】
【国外来华专利技术】专利
和背景本专利技术涉及用于通过检测入侵程序的攻击来保护所述计算机软件的方法和系统，该入侵程序干扰在具有处理器和至少一个处理器存储器的计算机系统上的受保护的软件的运行。现有技术/专利技术背景描述了保护服务器-客户机网络环境以防止服务器系统被外部客户机访问的许多攻击防范系统。通常在服务器侧存在分析来自外部客户机送往服务器的业务所调用的访问过程和行为的监视进程。对于典型行为模式的比较允许或不允许该访问。例如，Alcatel的申请US2005273855描述了这样一种系统，其中在申请中没有具体描述(并且不是那个申请的专利技术的组成部分的)专用攻击防范装置保存访问控制功能用于允许或阻止对服务器系统的访问权的黑名单。要求攻击防范装置向服务器的访问限制功能发送命令，以便管理对系统的可访问性。另一种现有技术(Choo，US4932054)描述了在插入计算机的通信端口的软件保护硬件装置中结合的过滤器组件。该装置选择从通信端口发出的、从用于保护应用程序的控制软件的命令中产生的比特或者比特组合。过滤器组件选择与产生用于激活保护装置中的功能的过滤器组件的输出的参考码匹配的“伪装预定控制代码”的比特。专利技术描述本专利技术的一个目的是提供用于检测对计算机系统上的应用软件的入侵的方法。该方法应当可靠地监视入侵的这类企图，并且应当极为-->有效。此目的通过具有权利要求1所述的特征的方法以及具有权利要求30所述的特征的系统来实现。在从属子权利要求中定义如权利要求1所述的本专利技术方法的其它发展和特殊实施例。根据本专利技术的用于保护计算机软件的方法检测入侵程序的攻击，该入侵程序干扰在具有处理器和至少一个处理器存储器的计算机系统上的受保护的软件的运行(execution)。受保护的软件包括通过嵌入附加代码进行修改的受保护的程序、特别是应用程序。例如，受保护的软件可包括集成到受保护的软件中的控制程序和/或安全引擎和/或监视器程序。根据本专利技术，将要保护的计算机软件(受保护的软件)与许可证容器进行通信，许可证容器包含使用受保护的计算机软件的许可证，并且包含至少一个密码密钥。许可证容器为受保护的软件提供许可证和密码密钥以保护其使用及其完整性。受保护的计算机软件至少部分经过加密，并使用关联密码密钥对所述受保护的软件进行解密以便运行。关联密码密钥或密钥是包含在许可证容器中并且与受保护的软件一起和/或为受保护的软件生成的密钥，以便限制和控制软件的使用以及对受保护的计算机软件的至少部分加密部分进行解密。根据本专利技术的方法包括以下步骤：在运行受保护的软件期间，分析软件的行为和/或计算机系统上的受保护的软件的运行环境。此外，在这个运行期间，搜索入侵程序或入侵的模式。在另一个步骤中，根据受保护的软件的行为的分析或者根据计算机系统上的运行环境的分析，来检测进入受保护的软件的入侵。入侵程序使用监视组件或监视器程序来获得对受保护的软件的未经授权的访问。在检测到入侵或试图入侵时，创建信号。信号可以是标志等，它由受保护的软件、控制程序、监视器程序、安全部分和/或计算机系统进行处理以便进行进一步处理。-->在本专利技术的范围中，受保护的软件的行为包括在运行受保护的软件期间和/或之后的受保护的软件的反应。如果入侵程序尝试渗入受保护的软件，则应用的反应、计算机系统的计算机软件的处理器容量的使用、用于运行受保护的软件的完整程序或者特殊程序或代码部分的整体定时(overall timing)可能偏离。此外，术语“行为”还包括到处理器或处理器存储器中的特殊逻辑地址的链接。如上所述，计算机系统或主计算机包括安全装置、通常是用于软件保护或软件实现许可证容器的加密锁(dongle)，提供用于检测和识别来自运行于同一个主计算机的本地入侵程序的攻击的攻击检测功能以及其它安全功能。入侵软件可通过本地方式和/或通过来自与本地主计算机进行通信的远程连网计算机或服务器的远程访问来引入。入侵软件可用于攻击和分析软件保护系统所保护的计算机软件，如WIBU-P6专利EP118477 B1所述。可以是保护硬件组件、可以是可分离安全加密锁或者软件许可证容器的许可证容器(以下称作一般术语“许可证容器”)为单站计算机或连网计算机提供许可证访问参数，以便对主机应用软件进行解锁，但这不是进行限制。除了软件之外，媒体内容或者任何类型的数据也可通过这种许可证容器来保护。术语“软件”在此只是一个示例。在以下“保护目标”部分给出更准确的定义。对于避开通过客户机程序向受保护的应用程序所提供的已安装保护机制，许多方法被使用并且是已知的。本专利技术所提出及所述的概念是检测和防止通常分解运行于计算机主机系统上的进程并且避开为目标应用程序所提供的保护机制的不同攻击方法的对策。各种攻击的方法与检测和防范机制的对策可能同样多。本专利技术概念提出新方法及其组合来检测和分析入侵事件，以及将它们报告给保护系统，以便组织防御措施。本专利技术用于实施例如EP 1184771 B1中提出的用于保护软件、多-->媒体内容或者任何类型的数据文件的许可证系统。充当许可证容器的保护装置经由主计算机接口和一组消息与控制软件进行通信，以便保护目标应用软件的使用和完整性。标准的应用软件经过加密，并且需要许可证及关联的解密密钥来对应用软件进行解密以便程序运行。入侵软件可攻击这种进程，并且例如可侵入保护硬件与控制软件之间的通信链路，以便允许运行应用程序。未经授权使用(例如为了伪造而使用调试器工具)的监视软件组件引起的任何入侵事件将被尽早发现。另外，在入侵应用对运行时的受保护的应用程序进行任何干扰时，伪造数据或指令的入侵应用程序将被检测并用于防止破坏受保护的程序代码的完整性或者可表示单进程的运行的预定代码段的序列的运行。将通过阻挡许可证容器与检查入侵的控制软件组件、又称作控制程序(或者控制程序模块)之间的通信链路来保护访问限制组件的完整性。在防入侵方案之中，CodeMeter Developers Guide的手册(第89页)中描述的一种已知方法提供控制程序(CodeMeter.exe)扫描系统中例如用户模式调试器、内核调试器、又称作“IDE”调试器的综合开发环境调试器等不同类型的调试程序的存在的能力。在启动受保护的应用程序之前，例如，控制程序的控制模块向保护装置(CodeMeter)生成消息，使得与软件保护控制软件的通信链路被阻本文档来自技高网...

【技术保护点】
一种用于通过检测入侵程序的攻击来保护计算机软件的方法，所述入侵程序干扰在具有处理器和至少一个处理器存储器的计算机系统上的所述受保护的软件的运行，　－其中要保护的所述计算机软件与许可证容器进行通信，所述许可证容器包含用于使用和运行所述受 保护的计算机软件的许可证并且包含至少一个密码密钥，　－其中所述许可证容器为所述受保护的软件提供许可证和密码密钥以保护其使用及其完整性，以及　－其中所述受保护的计算机软件至少部分经过加密，并使用关联密码密钥对所述受保护的软件进行解 密以便运行，　包括以下步骤：　－在运行所述受保护的软件期间，分析所述受保护的软件的行为和／或所述计算机系统上的所述受保护的软件的运行环境，以及搜索入侵或入侵程序的模式，　－检测运行所述受保护的软件期间对所述受保护的软件的入 侵，　其中所述入侵程序使用监视组件来获得未经授权的访问，　－创建关于检测到攻击的信号。

【技术特征摘要】
【国外来华专利技术】EP 2006-6-21 06012776.81.一种用于通过检测入侵程序的攻击来保护计算机软件的方法，
所述入侵程序干扰在具有处理器和至少一个处理器存储器的计算机系
统上的所述受保护的软件的运行，
-其中要保护的所述计算机软件与许可证容器进行通信，所述许
可证容器包含用于使用和运行所述受保护的计算机软件的许可证并且
包含至少一个密码密钥，
-其中所述许可证容器为所述受保护的软件提供许可证和密码密
钥以保护其使用及其完整性，以及
-其中所述受保护的计算机软件至少部分经过加密，并使用关联
密码密钥对所述受保护的软件进行解密以便运行，
包括以下步骤：
-在运行所述受保护的软件期间，分析所述受保护的软件的行为
和/或所述计算机系统上的所述受保护的软件的运行环境，以及搜索入
侵或入侵程序的模式，
-检测运行所述受保护的软件期间对所述受保护的软件的入侵，
其中所述入侵程序使用监视组件来获得未经授权的访问，
-创建关于检测到攻击的信号。
2.如权利要求1所述的方法，其特征在于，所述受保护的软件包
括应用程序的原始软件代码和附加代码或特殊操作码、安全引擎和/
或控制程序代码。
3.如权利要求2所述的方法，其特征在于，分析所述受保护的软
件的行为包括：
分析所述受保护的软件中的特殊操作码的运行，和/或
分析特殊程序部分或者所述受保护的软件代码的部分的运行，和/
或
测量用于运行所述受保护的软件的定时并且评估测量的结果。
4.如权利要求1至3中的任一项所述的方法，还包括以下步骤：
通过在所述受保护的软件中运行任意命令、采用预先定义的特殊
值来锁定所述许可证容器。
5.如权利要求4所述的方法，其特征在于，所述任意命令是锁定
所述许可证容器的特殊加密操作。
6.如权利要求4所述的方法，其特征在于，通过将计数器设置成
预定值、优选地为零，或者通过删除所述许可证容器中的必要密码密
钥，来执行所述许可证容器的锁定。
7.如以上权利要求中的任一项所述的方法，其特征在于，分析所
述受保护的软件的行为包括分析应用程序接口(API)的运行，并且将头
部运行的次数与尾部运行的次数进行比较。
8.如权利要求2至7中的任一项所述的方法，其中，所述受保护
的软件中的所述附加代码是仅在入侵监视程序引起的干扰模式的情况
下才运行的诱饵码，其特征在于，检测所述诱饵码的运行。
9.如权利要求8所述的方法，其中，在所述受保护的软件的导入
地址表(IAT)的未使用部分中引用所述诱饵码。
10.如权利要求8所述的方法，其特征在于，所述诱饵码是所述
受保护的软件中从不在无干扰操作条件下运行的部分。
11.如以上权利要求中的任一项所述的方法，其特征在于，保护
装置连接到包括所述许可证容器的所述计算机系统的接口。
12.如权利要求8和11所述的方法，其特征在于，所述诱饵码使
用特殊设计的API调用来锁定所述保护装置。
13.如权利要求11所述的方法，其特征在于，在检测到入侵软件
的攻击之后，法庭数据被创建以便用于记住入侵事件，并且所述法庭
数据优选地存储在所述保护装置中。
14.如权利要求13所述的方法，其特征在于，所述法庭数据存储
在所述保护装置的受保护存储器中。
15.如权利要求13或14所述的方法，其特征在于，所述法庭数
据以加密形式存储。
16.如权利要求13至15中的任一项所述的方法，其特征在于，
所述法庭数据存储在所述保护装置的...

【专利技术属性】
技术研发人员：R库格勒，P威克曼，O温曾里德，M巴克海特，
申请(专利权)人：威步系统股份公司，
类型：发明
国别省市：DE[德国]