優(yōu)先權(quán)聲明

本申請(qǐng)要求享有于2012年12月25日提交的、2012156443號(hào)俄羅斯聯(lián)邦專利申請(qǐng)的優(yōu)先權(quán)，該申請(qǐng)的公開(kāi)通過(guò)援引并入本文。

技術(shù)領(lǐng)域

本發(fā)明總地涉及信息處理和安全，并且，更具體地，涉及檢測(cè)其代碼由虛擬機(jī)所執(zhí)行的惡意軟件。

背景技術(shù)

今天，觀察到其程序代碼由虛擬機(jī)（例如Java虛擬機(jī)、公共語(yǔ)言運(yùn)行時(shí)、ActionScript（動(dòng)作腳本）虛擬機(jī)）所執(zhí)行的計(jì)算機(jī)威脅的數(shù)目急劇增加。漏洞（exploit）是這類威脅中最危險(xiǎn)的。

漏洞是程序代碼片段或命令序列，其使用軟件中的缺陷并被用來(lái)攻擊計(jì)算機(jī)系統(tǒng)。危險(xiǎn)不在于漏洞本身，而在于其隨身攜帶的有效載荷。漏洞的有效載荷是由罪犯所部署的功能性（functionality），其當(dāng)缺陷在遭受攻擊的系統(tǒng)上被利用時(shí)導(dǎo)致功能性的未經(jīng)授權(quán)的激活。惡意軟件的下載可被引用為這類功能性的示例。漏洞可以獨(dú)立地使用以測(cè)試計(jì)算機(jī)系統(tǒng)安全性，或者與惡意軟件一起使用。

從各種各樣的漏洞中，應(yīng)該特別注意那些要求虛擬機(jī)執(zhí)行其代碼的漏洞。這種漏洞最常用于攻擊并且是最危險(xiǎn)的，因?yàn)槠潆y以檢測(cè)。

存在用于對(duì)抗這類威脅的兩個(gè)主要方法。第一個(gè)方法涉及消除由漏洞所使用的缺陷。第二個(gè)方法涉及使用特殊工具來(lái)檢測(cè)漏洞的存在并停止它們的活動(dòng)。這些工具可以內(nèi)置在軟件自身中（例如Java虛擬機(jī)安全模型）或者由外部提供。第一個(gè)方法是可靠的并且解決問(wèn)題的根源，但是其具有兩個(gè)顯著的缺點(diǎn)。其中一個(gè)，從找到缺陷的時(shí)刻到發(fā)出經(jīng)修正的軟件版本的時(shí)刻經(jīng)過(guò)相當(dāng)長(zhǎng)的一段時(shí)間。在此期間，易受攻擊的產(chǎn)品的用戶保持未受保護(hù)。另一個(gè)缺點(diǎn)是第一個(gè)方法不對(duì)所謂的“零日”缺陷提供任何保護(hù)，“零日”缺陷即使用應(yīng)用或操作系統(tǒng)中的錯(cuò)誤或缺陷并且在缺陷被找到之后而相關(guān)更新發(fā)出之前立即出現(xiàn)的威脅。

第二個(gè)方法避免這些缺點(diǎn)，但是其可靠性取決于其技術(shù)實(shí)現(xiàn)的質(zhì)量，并且應(yīng)該注意這類保護(hù)工具可能自身是易受攻擊的。使用該方法的最普遍的解決方案是使用啟發(fā)式規(guī)則和簽名分析（例如分析所分析的代碼是否與已知計(jì)算機(jī)威脅的代碼樣本相同）以及內(nèi)置虛擬機(jī)安全工具來(lái)檢測(cè)漏洞。使用簽名一般適合檢測(cè)已知漏洞。然而，如果攻擊代碼被修改，則該解決方案將變?yōu)闊o(wú)用的。

啟發(fā)式分析實(shí)現(xiàn)方案不具有該不足，但是其在存在更周密的代碼修改（例如加密/混淆）、存在惡意代碼的算法的改變或者避免代碼仿真的技術(shù)被部署的情況下可能是低效的。

虛擬機(jī)是在計(jì)算機(jī)系統(tǒng)的操作系統(tǒng)和硬件平臺(tái)上運(yùn)行的基于軟件的計(jì)算環(huán)境。虛擬機(jī)建立抽象層次以達(dá)到與虛擬機(jī)實(shí)際在其上執(zhí)行的硬件平臺(tái)的獨(dú)立。虛擬機(jī)具有其自身的內(nèi)置安全模型。應(yīng)該特別注意Java虛擬機(jī)（JVM）安全模型；其具有四個(gè)部件：類文件檢驗(yàn)器、類加載器、安全管理器和JVM架構(gòu)自身。因?yàn)镴ava字節(jié)碼可以被解譯，所以控制使避免緩沖區(qū)溢出成為可能的數(shù)組索引是可能的，緩沖區(qū)溢出代表最典型和危險(xiǎn)類型的軟件執(zhí)行錯(cuò)誤。還存在用于處理異常（exception）的內(nèi)置機(jī)制，其允許高效地解決出現(xiàn)的沖突，同時(shí)垃圾收集器清除未使用的存儲(chǔ)器，防止罪犯觀看可能包含有用信息的“垃圾”存儲(chǔ)器塊。

安全管理器，在用于JVM的安全模型中的最重要的元件，其是根據(jù)所建立的安全策略向應(yīng)用授予權(quán)限的部件。如果應(yīng)用嘗試實(shí)施特許操作的情況出現(xiàn)，則安全管理器檢查應(yīng)用的權(quán)限并確定這類行為的合法性。默認(rèn)的安全管理器是Java類java.lang.SecurityManager；其包括用于檢查對(duì)安全策略是關(guān)鍵的操作的數(shù)個(gè)方法。

最近，使用漏洞對(duì)JVM的直接攻擊的數(shù)目已經(jīng)急劇增加。隨著這些攻擊顯現(xiàn)，由Java創(chuàng)建者所提議的安全模型實(shí)際上在其實(shí)現(xiàn)方案中具有嚴(yán)重的不足。現(xiàn)在這些不足由罪犯在其攻擊中積極地使用。

鑒于上述情況，用于檢測(cè)漏洞的已知方法在其應(yīng)用中或者具有限制，或者具有不足，其產(chǎn)生安全風(fēng)險(xiǎn)并且一般不提供充分的保護(hù)。

因此需要解決這些挑戰(zhàn)中的至少一些并且潛在地具有甚至更寬的適用性的實(shí)際解決方案。

發(fā)明內(nèi)容

本發(fā)明的一個(gè)方面針對(duì)用于防御由進(jìn)程虛擬機(jī)可執(zhí)行的惡意的程序指令集的自動(dòng)計(jì)算機(jī)實(shí)現(xiàn)的方法。進(jìn)程虛擬機(jī)包括在具有硬件平臺(tái)和操作系統(tǒng)的計(jì)算機(jī)系統(tǒng)上可執(zhí)行的程序指令。方法包括：

·由在計(jì)算機(jī)系統(tǒng)上執(zhí)行的自動(dòng)擴(kuò)張進(jìn)程來(lái)擴(kuò)張進(jìn)程虛擬機(jī)的程序指令以在進(jìn)程虛擬機(jī)內(nèi)建立異常監(jiān)視模塊；

·經(jīng)由進(jìn)程虛擬機(jī)執(zhí)行隸屬（subject）程序指令集；