[发明专利]用于检测从基于字节码的沙箱环境逃逸的尝试的方法、设备和系统

说明书

通过将字节码注入到沙箱环境的预定方法中，可以检测使用利用来尝试从沙箱环境逃逸的应用，而无需知晓应用或用于尝试从沙箱环境逃逸的利用。在指示应用从沙箱逃逸后，可以结束应用，或可以报告逃逸，允许进一步对应用进行监视。

技术领域

此处所描述的实施例一般涉及计算机安全领域，具体而言，涉及用于检测从沙箱环境逃逸的应用的技术。

背景

沙箱是一种受限的环境，其中不受信任的软件可能以如下方式执行：限制不受信任的软件执行可能被恶意软件利用的动作的能力。沙箱可以被用作开发环境，限制可能会损坏未受保护环境的错误的影响。类似地，沙箱可以用于测试不受信任的软件，诸如从不受信任的源获取的软件。基本上，程序员必须编写只在沙箱内“活动”的代码，如同儿童被允许在现实沙箱的约束限制内做他们希望做的事情，但是不允许独立地从沙箱逃逸。

某些编程环境，诸如Oracle America公司所提供的平台，提供沙箱环境，作为它们的开发环境的一部分。(“JAVA”是Oracle America公司的注册商标)。在JAVA开发环境中，沙箱是建立规则集合的安全措施，例如，当创建在其作为网页的一部分发送时防止特定功能的小程序时，使用该组规则。当浏览器请求带有小程序的网页时，自动地发送小程序，一旦页面到达浏览器，小程序就可以执行。如果小程序被允许对存储器和操作系统资源进行无限的访问，则如果小程序是恶意软件，它会带来危害。沙箱创建一种环境，在该环境中，对小程序可以请求或访问哪些系统资源有严格的限制。除规则之外，JAVA语言还提供代码检测器以保证遵守沙箱的限制。

然而，如在每个安全性环境中，一旦被发现从沙箱逃逸并访问处于沙箱中的软件不应该能够访问的资源，安全性环境中的弱点或瑕疵可能会被利用。入侵预防系统尝试防止操作系统、应用或开发环境中的允许这样的利用(exploit)成功的漏洞。通常，这样的入侵预防系统使用定制沙箱或虚拟机来监视利用行为和对沙箱利用的基于签名的检测，类似于传统的防恶意软件的软件。然而，入侵预防系统常常不能检测利用，诸如还没有被分析的利用(常常被称为0日利用)。或者，某些常规方法产生假阳性指示，将不是利用的某种东西称为利用。更好的方法将有所帮助。

附图简述

图1是示出了根据一个实施例的提供沙箱环境的可编程设备的框图。

图2是示出了根据一个实施例的用于插桩(instrument)沙箱的技术的流程图。

图3是示出了根据一个实施例的用于插桩JAVA沙箱的技术的流程图。

图4是示出了根据一个实施例的用于插桩JAVA沙箱的技术的框图。

图5是示出了根据一个实施例的与本文所描述的技术一起使用的可编程设备的框图。

图6是示出了根据另一实施例的与本文所描述的技术一起使用的可编程设备的框图。

图7是其中可以实现本文所描述的技术的可编程设备的网络的框图。

具体实施方式

在下面的描述中，为了进行说明，阐述了很多具体细节以便提供对本发明的透彻理解。然而，对本领域技术人员将显而易见的是，本发明可以在没有这些具体细节的情况下实施。在其他情况下，以框图形式示出结构和设备，以便不至于使本发明变得模糊。对没有下标或后缀的标号的引用被理解为引用对应于所引用标号的全部下标和后缀实例。此外，本公开中所使用的语言主要用于可读性和指导目的，可能并非用于描绘或限定发明的主题，而是借助于确定发明主题所必需的权利要求。说明书中对“一个实施例”、“实施例”的引用意味着结合该实施例所描述的特定特征、结构或特性被包括本发明的至少一个实施例中，对“一个实施例”或“实施例”的多个引用不应该被理解为一定都引用同一个实施例。

如此处所使用的，术语“可编程设备”可以是指单个可编程设备或一起协作以执行描述为在可编程设备上执行或由可编程设备执行的功能的多个可编程设备。