[发明专利]用于确定软件的正确的执行的系统和方法

权利要求书

1.一种由至少一个处理器执行的方法，包括：

接收具有第一和第二断言的应用的第一和第二基准踪迹事件，所述第一和第二基准踪迹事件分别对应于所述第一和第二断言；

在接收到所述第一和第二基准踪迹事件之后，接收通过执行所述应用所生成的并且分别对应于所述第一和第二断言的第一和第二实时踪迹事件；以及

通过比较器逻辑模块，将所述第一以及第二基准踪迹事件分别与所述第一和第二实时踪迹事件进行比较，

其中所述比较器逻辑模块在第一安全环境中执行，所述应用在与所述第一安全环境隔离的第二安全环境中执行，其中所述比较器逻辑模块具有对所述第一和第二基准踪迹事件以及所述第一和第二实时踪迹事件的读取访问，但不具有对这些踪迹事件的写访问。

2.如权利要求1所述的方法，其特征在于，包括通过所述第一和第二断言，生成(a)所述第一和第二基准踪迹事件以及(b)所述第一和第二实时踪迹事件。

3.如权利要求1所述的方法，其特征在于，包括确定所述第一和第二基准踪迹事件中的一个和所述第一和第二实时踪迹事件中的一个之间的差异。

4.如权利要求3所述的方法，其特征在于，包括将所述差异与预定值进行比较，以判断所述应用是否正在正确地操作。

5.如权利要求1所述的方法，其特征在于，所述第一和第二基准踪迹事件分别包括第一和第二基准指令计数，并且所述第一和第二实时踪迹事件分别包括第一和第二实时指令计数。

6.如权利要求5所述的方法，其特征在于，将所述第一和第二基准踪迹事件分别与所述第一和第二实时踪迹事件进行比较包括将所述第一和第二基准指令计数分别与所述第一和第二实时指令计数进行比较。

7.如权利要求1所述的方法，其特征在于，所述第一和第二断言中的至少一个被包括在有分支的代码部分的一个分支内。

8.如权利要求1所述的方法，其特征在于，所述第一和第二断言中的每一个都被包括代码部分的单一循环内。

9.如权利要求1所述的方法，其特征在于：

所述第一和第二基准踪迹事件分别包括第一和第二基准时间戳，所述第一和第二实时踪迹事件分别包括第一和第二实时时间戳；以及

将所述第一和第二基准踪迹事件分别与所述第一和第二实时踪迹事件进行比较包括将所述第一和第二基准时间戳分别与所述第一和第二实时时间戳进行比较。

10.如权利要求1所述的方法，其特征在于，包括实时地将所述第一以及第二基准踪迹事件分别与所述第一和第二实时踪迹事件进行比较。

11.如权利要求1所述的方法，其特征在于，包括基于将所述第一以及第二基准踪迹事件分别与所述第一和第二实时踪迹事件进行比较，来检测恶意软件活动。

12.如权利要求1所述的方法，其特征在于，将所述第一和第二基准踪迹事件分别与所述第一和第二实时踪迹事件进行比较包括：从位于远程的计算节点接收基于将所述和第二基准踪迹事件分别与所述第一和第二实时踪迹事件进行比较的评估。

13.如权利要求1所述的方法，其特征在于，所述第一和第二基准踪迹事件首先是由第一计算平台上的第一方所生成的，所述第一和第二实时踪迹事件首先是由第二计算平台上的第二方所生成的。

14.如权利要求1所述的方法，其特征在于：

所述应用在第一计算节点上执行；

比较器逻辑模块将所述第一以及第二基准踪迹事件分别与所述第一和第二实时踪迹事件进行比较；以及

所述比较器逻辑模块在所述第一计算节点和远程耦合到所述第一计算节点的第二计算节点中的一个上执行。

15.如权利要求1所述的方法，其特征在于，包括基于恶意软件执行超出从所述第一基准踪迹事件扩展到所述第二基准踪迹事件的指令计数的指令数量，来检测恶意软件活动；

其中所述恶意软件至少部分地被包括在所述应用中并位于所述第一和第二断言之间。

16.一种计算机系统，包括用于执行如权利要求1-15中的任一项所述的方法的至少一个处理器。

17.一种用于检测软件执行的设备，包括用于执行权利要求1到15中的任何一项所述的方法的装置。