[发明专利]硬件和软件执行概况分析

说明书

技术领域

本发明总体涉及电子安全领域，更具体地涉及硬件和软件执行概况分析(profiling)。

背景技术

在电子安全领域，电子安全产品常常发觉它们自身比有害软件的所有者和分发者迟一步。电子安全的许多传统方式以标识威胁并且对这些威胁的反应来作为它们的起始点。此反应性方式可以保护电子设备免受已知威胁的破坏，但是仍使电子设备易受未知威胁的侵害。此外，此反应性方式要求电子设备的恒久的警戒和更新，以便跟上有害软件的最新的进展。

附图说明

为了更完整地理解本发明以及其优点，现在结合所附附图来参照以下描述，其中：

图1示出根据本公开的某些实施例的、用于在无论什么插入方法的情况下检测事件的处理中恶意软件的存在的示例系统；

图2示出根据本公开的某些实施例的、用于检测事件嗅探恶意软件的示例系统；

图3示出根据本公开的某些实施例的、用于处置用户模式和内核模式恶意软件两者的示例系统；以及

图4示出根据本公开的某些实施例的、用于组装执行简档(profile)的示例方法的流程图。

具体实施方式

在现代的电子系统中，一个主要问题仍是电子安全。对电子系统的安全的恒久的威胁是通过除系统的用户计划的那些装置以外的装置对系统资源的吸收的威胁。这些装置可以采取软件、硬件、固件，或它们的某种组合的形式，并且可包括计算机病毒、蠕虫、间谍软件、广告软件，或可以从被感染的电子设备搜集信息，损坏设备，或具有某种其他有害影响的其他装置。这些装置可以一般被称为“恶意软件”。

一种特别恶意种类的恶意软件可以将其本身插入到电子设备的事件处理例程中，以便破坏、监视和/或改变这些进程。例如，击键记录软件可以被插入到对击键的处置中以捕捉这些击键。另一类型的恶意软件可以利用“面向返回的编程”，其中，恶意软件企图利用对主机计算机的各种栈和/或寄存器的返回调用以插入其自身的恶意代码。

恶意软件一般能以被插入到对某种事件的处置中的需求来表征，即使仅被调度而由系统执行也是如此。在事件处理中检测恶意软件的存在是有价值的，但是常常是困难的。例如，恶意软件可以通过间接的方法(诸如，利用电子设备本身的漏洞(“漏洞利用(exploit)”))而被包括在事件的处理中。某个先前的电子安全软件已经能够发现可以使用哪些插入方法并且监视这些插入方法(例如，已知的漏洞)。例如，在击键记录器的情况下，插入的方法可以是对应用编程接口(“API”)的利用。解决此漏洞的一个历史方法是监视API以检测对正常操作的颠覆。

对诸如这种方法之类的反应性检测方法使得要跟上恶意软件插入技术的变化是困难的。改善的方式可以是允许在无论什么插入技术的情况下都检测事件的处理中恶意软件的存在一种方式。另外，也支持使用组装的执行简档以验证API(诸如，特许的API)的调用者可能是有益的。

图1示出了根据本公开的某些实施例的、用于在无论什么插入方法的情况下检测事件的处理中恶意软件的存在的示例系统100。系统100可包括处理器102、存储器104、可通信地耦合到处理器102的安全模块106、可通信地耦合到处理器102的执行概况分析模块108以及可通信地耦合到处理器102的概况分析控制模块110。

执行概况分析模块108、安全模块106和/或概况分析控制模块110可以配置成用于在系统100的任何合适的部分上执行。它们可以被配置成在例如服务器、计算机、节点、网关、路由器、发射机或接收机上执行。可以由任何合适的电子设备和/或电子设备的组合来实现系统100，诸如：计算机、膝上型计算机、云计算服务器、刀片(blade)、台式机、机架服务器、移动设备和/或web服务器。在一些实施例中，系统100可以通过一个或多个微处理器、微控制器、专用集成电路和/或片上系统(“SoC”)配置中的其他合适的电子设备来实现。

在一些实施例中，由执行概况分析模块108、安全模块106和/或概况分析控制模块110执行的功能中的一些或全部功能可以由一个或多个安全代理来执行。可安装安全代理以在各种电子设备上运行，所述各种电子设备包括计算机、膝上型计算机、云计算服务器、刀片、台式机、机架服务器、移动设备和/或web服务器。