[发明专利]入侵检测的方法和系统

权利要求书

1.一种用于通过检测入侵程序的攻击来保护计算机软件的方法，所述入侵程序干扰在具有处理器和至少一个处理器存储器的计算机系统上的所述受保护的软件的运行，

-其中要保护的所述计算机软件与许可证容器进行通信，所述许可证容器包含用于使用和运行所述受保护的计算机软件的许可证并且包含至少一个密码密钥，

-其中所述许可证容器为所述受保护的软件提供许可证和密码密钥以保护其使用及其完整性，以及

-其中所述受保护的计算机软件至少部分经过加密，并使用关联密码密钥对所述受保护的软件进行解密以便运行，

包括以下步骤：

-在运行所述受保护的软件期间，分析所述受保护的软件的行为和/或所述计算机系统上的所述受保护的软件的运行环境，以及搜索入侵或入侵程序的模式，

-检测运行所述受保护的软件期间对所述受保护的软件的入侵，

其中所述入侵程序使用监视组件来获得未经授权的访问，

-创建关于检测到攻击的信号；并且

其中

所述受保护的软件包括应用程序的原始软件代码和附加代码或特殊操作码、安全引擎和/或控制程序代码；以及

分析所述受保护的软件的行为的步骤包括将运行线程分类为由常规程序运行所创建的已授权线程或者由入侵程序所创建的未经授权的线程。

2.如权利要求1所述的方法，其特征在于，分析所述受保护的软件的行为包括：

分析所述受保护的软件中的特殊操作码的运行，和/或

分析特殊程序部分或者所述受保护的软件代码的部分的运行，和/或

测量用于运行所述受保护的软件的定时并且评估测量的结果。

3.如权利要求1或2所述的方法，还包括以下步骤：

通过在所述受保护的软件中运行任意命令，采用预先定义的特定值来锁定所述许可证容器。

4.如权利要求3所述的方法，其特征在于，所述任意命令是锁定所述许可证容器的特定加密操作。

5.如权利要求3所述的方法，其特征在于，通过将计数器设置成预定值，来执行所述许可证容器的锁定，或者删除所述许可证容器中的必要密码密钥。

6.如权利要求5所述的方法，其特征在于，所述预定值为零。

7.如权利要求1所述的方法，其特征在于，分析所述受保护的软件的行为包括分析应用程序接口(API)的运行，并且将头部运行的次数与尾部运行的次数进行比较。

8.如权利要求1或2所述的方法，其中，所述受保护的软件中的所述附加代码是仅在入侵监视程序引起的干扰模式的情况下才运行的诱饵码，其特征在于，检测所述诱饵码的运行。

9.如权利要求8所述的方法，其中，在所述受保护的软件的导入地址表(IAT)的未使用部分中引用所述诱饵码。

10.如权利要求8所述的方法，其特征在于，所述诱饵码是所述受保护的软件中从不在无干扰操作条件下运行的部分。

11.如权利要求1或2所述的方法，其特征在于，保护装置连接到包括所述许可证容器的所述计算机系统的接口。

12.如权利要求8所述的方法，其特征在于，所述诱饵码使用特殊设计的API调用来锁定连接到所述计算机系统的接口且包括许可证容器的所述保护装置。

13.如权利要求11所述的方法，其特征在于，在检测到入侵软件的攻击之后，法庭数据被创建以便用于记住入侵事件并被存储。

14.如权利要求13所述的方法，其特征在于，所述法庭数据存储在所述保护装置的受保护存储器中。

15.如权利要求13或14所述的方法，其特征在于，所述法庭数据以加密形式存储。

16.如权利要求13或14所述的方法，其特征在于，所述法庭数据存储在所述保护装置的仅可一次性写入的存储器区域中。

17.如权利要求13或14所述的方法，其特征在于，所述法庭数据被集中并且被评估，以便检测全局模式。