[发明专利]使用基于硬件的微体系结构数据的异常程序执行的检测

说明书

公开了设备、系统、装置、方法、产品、介质和其它实现，包括一种方法，其包括：得到关于执行一个或多个进程的硬件设备的包括基于硬件的微体系结构计数器数据的基于硬件的微体系结构数据，以及至少部分地基于所述基于硬件的微体系结构数据来确定在硬件设备上执行的一个或多个进程中的至少一个进程是否相应于恶意进程。在一些实施方式中，基于所述基于硬件的微体系结构数据来确定一个或多个进程中的至少一个进程是否相应于恶意进程可包括将一个或多个机器学习过程应用于基于硬件的微体系结构数据以确定一个或多个进程中的至少一个进程是否相应于恶意进程。

相关申请的交叉引用

本申请要求标题为“DETECTION OF ANOMALOUS PROGRAM EXECUTION USINGHARDWARE-BASED MICRO-ARCHITECTURAL DATA”的且于2013年11月5日提交的国际申请号PCT/US2013/068451的利益和优先权益，其要求标题为“SYSTEMS AND METHODS TO DETECTANOMALOUS PROGRAM EXECUTION USING PROCESSOR MICROARCHITECTURAL EVENTS”的且于2013年3月18日提交的美国临时专利申请序列号61/803,029的利益和优先权，这些专利申请的内容全都通过引用被全部并入本文。

关于联邦资助的研究的声明

在由高级防御研究计划机构(DARPA)授予的FA 8750-10-2-0253下以政府支持做出本发明。政府在本发明中有某些权利。

技术领域

本公开涉及使用基于硬件的微体系结构数据的异常程序执行的检测。

背景

在特定领域中的计算机的激增，通常随之而来的是在该领域中的恶意进程(例如恶意软件)的激增。例如，包括最近的Android设备的系统带有病毒、rootkit间谍软件、广告软件和其它类别的恶意进程。尽管有防病毒软件的存在，恶意软件威胁(以及来自其它类型的恶意进程的威胁)持续并增长。不幸的是，存在着破坏商业防病毒软件的很多方式，包括简单地禁用防病毒系统。此外，恶意软件可变异成新的变体，这使恶意软件的静态检测变得很难。

下面提供一些常见的恶意软件进程的例子：

恶意进程，例如恶意软件，最初被创建以得到恶名或开玩笑，但今天恶意软件部署主要是受经济收益刺激。在美国等，存在个人信息、信用卡、进入敏感机器内的登录的活跃地下市场的报告。此外，为了工业间谍目的和/或为了蓄意破坏，恶意进程，例如恶意软件，被发展来针对特定的计算机。

概述

本文公开的设备、系统、装置、方法、产品、介质和其它实现包括一种方法，其包括：得到关于执行一个或多个进程的硬件设备的基于硬件的微体系结构数据，包括基于硬件的微体系结构计数器数据，以及至少部分地基于所述基于硬件的微体系结构数据，来确定在硬件设备上执行的一个或多个进程中的至少一个进程是否相应于恶意进程。

方法的实施方式可包括在本公开中所述的至少一些特征，包括下列特征中的一个或多个。

得到基于硬件的微体系结构数据可包括在不同的时间实例得到基于硬件的微体系结构数据。

在不同的时间实例得到基于硬件的微体系结构数据可包括执行例如下列项中的一个或多个：由硬件设备发起以发送微体系结构数据的数据推送操作和/或由防病毒引擎发起以发送微体系结构数据的数据拉出操作。

得到基于硬件的微体系结构数据可包括：得到从一个或多个进程在具有多个处理器核心的处理器设备上的执行产生的多核基于硬件的微体系结构数据，以及使从多个处理器核心中的每个处理器核心得到的相应的基于硬件的微体系结构数据与一个或多个进程关联。