[发明专利]用于间接接口监视和垂线探测的系统和方法

说明书

技术领域

本说明大体涉及信息系统安全的领域，并且更具体地，涉及用于间接接口监视和垂线探测（plumb-lining）的系统和方法。

背景技术

信息系统已经在全球范围内融入人们的日常生活和商业，并且信息安全的领域在现今的社会同样变得日益重要。然而，这样的广泛融合还对恶意操作者呈现利用这些系统的许多机会。一旦恶意软件已经传染主机计算机，它可以执行任何数量的恶意动作，例如从主机计算机发出垃圾邮件或恶意email、从与主机计算机关联的企业或个人窃取敏感信息、传播到其他主机计算机和/或帮助分布式拒绝服务攻击。另外，对于一些类型的malware，恶意操作者可以出售或用别的方式获得对其他恶意操作者的访问，由此扩大主机计算机的利用。从而，有效保护并且维持稳定的计算机和系统的能力对于部件制造商、系统设计师和网络运营商仍然提出重大挑战。

发明内容

综览

在一个示例实施例中提供方法，其包括监视第一接口、监视第二接口并且如果该第二接口未在该第一接口之前被执行则采取策略动作。在更特定的实施例中，监视第二接口可包括沿与第一接口关联的调用栈步进。此外，可识别与第二接口关联的调用代码的程序上下文并且对其起作用。

附图说明

为了提供对本公开及其特征和优势的更完整理解，结合附图参考下面的描述，其中类似的标号代表类似的部件，其中：

图1是图示根据该说明的主机环境的示例实施例的简化示意图；

图2是图示可与主机环境的一个潜在实施例关联的额外的细节的简化框图；

图3是图示可与主机环境的某些实施例关联的潜在操作的简化流程图；

图4是可与主机环境的某些实施例关联的潜在操作的简化流程图；

图5是图示在主机环境的示例实施例中的通过调用帧分析的间接监视的高级框图；

图6是图示在主机环境的一个示例实施例中可与识别调用代码关联的潜在操作的简化流程图；

图7是图示可与主机环境的一个示例实施例关联的用于启用执行监视回调的潜在操作的简化流程图；

图8是图示在主机环境的另一个示例实施例中可与监视识别的返回指令的执行所关联的潜在操作的简化流程图；

图9是图示在主机环境的示例实施例中可与分析在栈被展开时被监视的栈条目所关联的潜在操作的简化流程图；

图10是图示在主机环境的示例实施例中可与利用动态调整的安全级别来处理事件所关联的潜在操作的简化流程图；并且

图11是图示在主机环境的示例实施例中可与利用动态调整的安全级别来检测不希望数据所关联的潜在操作的简化流程图。

具体实施方式

转向图1，图1是其中可实现用于间接接口监视和垂线探测的系统和方法的主机环境100的一个实施例的示意图。主机环境100包括用户软件102和安全监视器104，其都可以在用户空间105中执行。用户软件102可包括例如程序文件1至n。安全监视器104可包括处理程序（handler）104a、间接监视模块（IMM）104b和垂线探测模块104c。在主机环境100的一个实施例中，程序文件1至n中的每个可代表截然不同的用户模式应用，例如字处理器、电子数据表、web浏览器、email客户端等。在主机环境100的用户空间105中还示出进程106，其是对应于程序文件1至n中的一个或多个的执行进程的示例。

操作系统107可包括核108，其可以提供进程业务映射元件110，用于将进程（例如，进程106）映射到用户软件102的对应程序文件。为了便于参考，用户软件102在主机环境100的用户空间104中示出，但它可存储在数据存储部件（例如存储器元件112）中。