[发明专利]入侵检测的方法和系统

说明书

技术领域

本发明涉及用于通过检测入侵程序的攻击来保护所述计算机软件的方法和系统，该入侵程序干扰在具有处理器和至少一个处理器存储器的计算机系统上的受保护的软件的运行。

背景技术

描述了保护服务器-客户机网络环境以防止服务器系统被外部客户机访问的许多攻击防范系统。通常在服务器侧存在分析来自外部客户机送往服务器的业务所调用的访问过程和行为的监视进程。对于典型行为模式的比较允许或不允许该访问。例如，Alcatel的申请US2005273855描述了这样一种系统，其中在申请中没有具体描述(并且不是那个申请的发明的组成部分的)专用攻击防范装置保存访问控制功能用于允许或阻止对服务器系统的访问权的黑名单。要求攻击防范装置向服务器的访问限制功能发送命令，以便管理对系统的可访问性。

另一种现有技术(Choo，US4932054)描述了在插入计算机的通信端口的软件保护硬件装置中结合的过滤器组件。该装置选择从通信端口发出的、从用于保护应用程序的控制软件的命令中产生的比特或者比特组合。过滤器组件选择与产生用于激活保护装置中的功能的过滤器组件的输出的参考码匹配的“伪装预定控制代码”的比特。

发明内容

本发明的一个目的是提供用于检测对计算机系统上的应用软件的入侵的方法。该方法应当可靠地监视入侵的这类企图，并且应当极为有效。

此目的通过具有技术方案1所述的特征的方法以及具有技术方案30所述的特征的系统来实现。在从属子技术方案定义如技术方案1所述的本发明方法的其它发展和特殊实施例。

根据本发明的用于保护计算机软件的方法检测入侵程序的攻击，该入侵程序干扰在具有处理器和至少一个处理器存储器的计算机系统上的受保护的软件的运行(execution)。受保护的软件包括通过嵌入附加代码进行修改的受保护的程序、特别是应用程序。例如，受保护的软件可包括集成到受保护的软件中的控制程序和/或安全引擎和/或监视器程序。

根据本发明，将要保护的计算机软件(受保护的软件)与许可证容器进行通信，许可证容器包含使用受保护的计算机软件的许可证，并且包含至少一个密码密钥。许可证容器为受保护的软件提供许可证和密码密钥以保护其使用及其完整性。

受保护的计算机软件至少部分经过加密，并使用关联密码密钥对所述受保护的软件进行解密以便运行。关联密码密钥或密钥是包含在许可证容器中并且与受保护的软件一起和/或为受保护的软件生成的密钥，以便限制和控制软件的使用以及对受保护的计算机软件的至少部分加密部分进行解密。

根据本发明的方法包括以下步骤：

在运行受保护的软件期间，分析软件的行为和/或计算机系统上的受保护的软件的运行环境。此外，在这个运行期间，搜索入侵程序或入侵的模式。在另一个步骤中，根据受保护的软件的行为的分析或者根据计算机系统上的运行环境的分析，来检测进入受保护的软件的入侵。入侵程序使用监视组件或监视器程序来获得对受保护的软件的未经授权的访问。在检测到入侵或试图入侵时，创建信号。信号可以是标志等，它由受保护的软件、控制程序、监视器程序、安全部分和/或计算机系统进行处理以便进行进一步处理。

在本发明的范围中，受保护的软件的行为包括在运行受保护的软件期间和/或之后的受保护的软件的反应。如果入侵程序尝试渗入受保护的软件，则应用的反应、计算机系统的计算机软件的处理器容量的使用、用于运行受保护的软件的完整程序或者特殊程序或代码部分的整体定时(overall timing)可能偏离。此外，术语“行为”还包括到处理器或处理器存储器中的特殊逻辑地址的链接。

如上所述，计算机系统或主计算机包括安全装置、通常是用于软件保护或软件实现许可证容器的加密锁(dongle)，提供用于检测和识别来自运行于同一个主计算机的本地入侵程序的攻击的攻击检测功能以及其它安全功能。

入侵软件可通过本地方式和/或通过来自与本地主计算机进行通信的远程连网计算机或服务器的远程访问来引入。入侵软件可用于攻击和分析软件保护系统所保护的计算机软件，如WIBU-P6专利EP118477B1所述。

可以是保护硬件组件、可以是可分离安全加密锁或者软件许可证容器的许可证容器(以下称作一般术语“许可证容器”)为单站计算机或连网计算机提供许可证访问参数，以便对主机应用软件进行解锁，但这不是进行限制。除了软件之外，媒体内容或者任何类型的数据也可通过这种许可证容器来保护。术语“软件”在此只是一个示例。在以下“保护目标”部分给出更准确的定义。