[发明专利]用于检测感兴趣指令序列的系统和方法

说明书

技术领域

本公开一般涉及数字安全领域，并且更具体地涉及检测一个或多个指令序列中的感兴趣活动，包括检测恶意活动。

背景技术

计算技术的激增在数字安全领域提出了挑战。众所周知，电子设备(例如，在企业平台上操作的计算机)可以包括恶意计算机数据和/或将恶意计算机数据散播到其他电子设备。这可能导致，例如，实质性的系统中断和经济损失。本领域普通技术人员将理解，基于恶意计算机数据的攻击包括计算机病毒、恶意软件、蠕虫、特洛伊木马程序、自动运行型木马(bots)、入侵(例如，未授权访问)、漏洞利用(例如特权升级、违反机密性)、基于时间的攻击(例如，拒绝服务)或诸如此类的。术语“威胁”用于描述这些类型的攻击中的一种或多种。

传统的数字安全技术可以用于检测和/或移除在电子设备上所存储的和/或执行的恶意计算机数据。这样的数字安全技术可以包括“反病毒软件”，“恶意软件检测”，“入侵防御”，“防攻击”，防火墙等，尽管这些术语在含义上不相同。术语“统一威胁管理”(“UTM”)已经用于描述数字安全技术的这些实现中的一种或多种。

传统的数字安全技术通常使用对应于特定威胁的签名来检测威胁。这种模式下的现有设计至少有两种方式存在缺陷。首先，威胁的检测依赖于特定威胁的先验知识和针对特定威胁的签名的可用性。也就是说，传统的数字安全技术依赖已知的签名来检测已知计算机病毒的存在，并且因此，传统的数字安全技术通常不能检测签名尚不可用或未知的威胁。例如，常规的数字安全技术可能无法检测已知计算机病毒的未知变化。

其次，由于已知威胁的数量不断增加，常规数字安全技术维护越来越多的签名。当进程在电子设备上执行时，维持的签名与程序映像进行比较以识别可能的威胁。在许多情况下，以这种方式比较签名和程序映像使用大量的计算资源。在消费者计算机的上下文中，即使是偶然的计算机用户也不应惊讶，反病毒软件的操作会导致计算机变得迟钝。

尽管在该领域有所改进，但是常规数字安全技术继续受到这些缺陷的限制，这些缺陷是其设计的后果。

发明概述

一种用于检测感兴趣的指令序列的示例方法包括在具有一个或多个处理器的电子设备处识别在电子设备上执行的进程。所述方法还包括使用所述一个或多个处理器获得所述进程的虚拟地址空间的表示。在一些实施例中，表示指示要由电子设备的一个或多个处理器执行的一个或多个指令序列。该方法还包括使用所述一个或多个处理器基于所述表示来生成数据段。在一些实施例中，数据段包括多个整数。该方法还包括使用一个或多个处理器确定包括多个有序整数的元表达式是否出现在数据段中。在一些实施例中，元表达式对应于感兴趣的指令序列。该方法还包括，如果元表达式出现在数据段中，则启动操作。

附图说明

图1描述了根据本发明实施方案的虚拟地址空间。

图2描绘了根据本发明的实施方案的用于检测感兴趣的指令序列的示例性的过程。

图3描绘了根据本发明的实施方案的用于训练统一威胁管理系统(UTMS)的过程。

图4描绘了根据本发明的实施方案的用于实现距离函数的示例性的过程。

图5(A)-(F)描绘根据本发明的实施方案的示例性整数序列。

图6(A)-(C)描绘了根据本发明实施方案的示例性整数序列。

图7描绘了根据本发明的实施方案的示例性整数序列。

图8描绘了根据本发明的实施方案的示例性整数序列。

图9描绘了根据本发明的实施方案的用于检测感兴趣的指令序列的示例性的计算系统。

发明详述

呈现以下描述以使所属领域的技术人员能够制作和使用各种实施方案。具体设备、技术和应用的描述仅作为示例提供。对本文描述的示例的各种修改对于本领域普通技术人员将是显而易见的，并且在不脱离各种实施方案的精神和范围的情况下，本文定义的一般原理可以应用于其他示例和应用。因此，各种实施方案不旨在限于本文所描述和示出的示例，而是符合与权利要求一致的范围。

本文所述的实施方案包括用于检测感兴趣的指令序列的技术。示例性的感兴趣的指令序列包括但不限于对应于计算机病毒、恶意软件、蠕虫、特洛伊木马、bots、入侵(例如，未授权访问)、漏斗利用(例如特权升级，违反机密性)、基于定时的攻击(例如，拒绝服务)或诸如此类的。

1.概述