技術領域

本公開一般涉及數字安全領域，并且更具體地涉及檢測一個或多個指令序列中的感興趣活動，包括檢測惡意活動。

背景技術

計算技術的激增在數字安全領域提出了挑戰。眾所周知，電子設備(例如，在企業平臺上操作的計算機)可以包括惡意計算機數據和/或將惡意計算機數據散播到其他電子設備。這可能導致，例如，實質性的系統中斷和經濟損失。本領域普通技術人員將理解，基于惡意計算機數據的攻擊包括計算機病毒、惡意軟件、蠕蟲、特洛伊木馬程序、自動運行型木馬(bots)、入侵(例如，未授權訪問)、漏洞利用(例如特權升級、違反機密性)、基于時間的攻擊(例如，拒絕服務)或諸如此類的。術語“威脅”用于描述這些類型的攻擊中的一種或多種。

傳統的數字安全技術可以用于檢測和/或移除在電子設備上所存儲的和/或執行的惡意計算機數據。這樣的數字安全技術可以包括“反病毒軟件”，“惡意軟件檢測”，“入侵防御”，“防攻擊”，防火墻等，盡管這些術語在含義上不相同。術語“統一威脅管理”(“UTM”)已經用于描述數字安全技術的這些實現中的一種或多種。

傳統的數字安全技術通常使用對應于特定威脅的簽名來檢測威脅。這種模式下的現有設計至少有兩種方式存在缺陷。首先，威脅的檢測依賴于特定威脅的先驗知識和針對特定威脅的簽名的可用性。也就是說，傳統的數字安全技術依賴已知的簽名來檢測已知計算機病毒的存在，并且因此，傳統的數字安全技術通常不能檢測簽名尚不可用或未知的威脅。例如，常規的數字安全技術可能無法檢測已知計算機病毒的未知變化。

其次，由于已知威脅的數量不斷增加，常規數字安全技術維護越來越多的簽名。當進程在電子設備上執行時，維持的簽名與程序映像進行比較以識別可能的威脅。在許多情況下，以這種方式比較簽名和程序映像使用大量的計算資源。在消費者計算機的上下文中，即使是偶然的計算機用戶也不應驚訝，反病毒軟件的操作會導致計算機變得遲鈍。

盡管在該領域有所改進，但是常規數字安全技術繼續受到這些缺陷的限制，這些缺陷是其設計的后果。

發明概述

一種用于檢測感興趣的指令序列的示例方法包括在具有一個或多個處理器的電子設備處識別在電子設備上執行的進程。所述方法還包括使用所述一個或多個處理器獲得所述進程的虛擬地址空間的表示。在一些實施例中，表示指示要由電子設備的一個或多個處理器執行的一個或多個指令序列。該方法還包括使用所述一個或多個處理器基于所述表示來生成數據段。在一些實施例中，數據段包括多個整數。該方法還包括使用一個或多個處理器確定包括多個有序整數的元表達式是否出現在數據段中。在一些實施例中，元表達式對應于感興趣的指令序列。該方法還包括，如果元表達式出現在數據段中，則啟動操作。

附圖說明

圖1描述了根據本發明實施方案的虛擬地址空間。

圖2描繪了根據本發明的實施方案的用于檢測感興趣的指令序列的示例性的過程。

圖3描繪了根據本發明的實施方案的用于訓練統一威脅管理系統(UTMS)的過程。

圖4描繪了根據本發明的實施方案的用于實現距離函數的示例性的過程。

圖5(A)-(F)描繪根據本發明的實施方案的示例性整數序列。

圖6(A)-(C)描繪了根據本發明實施方案的示例性整數序列。

圖7描繪了根據本發明的實施方案的示例性整數序列。

圖8描繪了根據本發明的實施方案的示例性整數序列。

圖9描繪了根據本發明的實施方案的用于檢測感興趣的指令序列的示例性的計算系統。

發明詳述

呈現以下描述以使所屬領域的技術人員能夠制作和使用各種實施方案。具體設備、技術和應用的描述僅作為示例提供。對本文描述的示例的各種修改對于本領域普通技術人員將是顯而易見的，并且在不脫離各種實施方案的精神和范圍的情況下，本文定義的一般原理可以應用于其他示例和應用。因此，各種實施方案不旨在限于本文所描述和示出的示例，而是符合與權利要求一致的范圍。

本文所述的實施方案包括用于檢測感興趣的指令序列的技術。示例性的感興趣的指令序列包括但不限于對應于計算機病毒、惡意軟件、蠕蟲、特洛伊木馬、bots、入侵(例如，未授權訪問)、漏斗利用(例如特權升級，違反機密性)、基于定時的攻擊(例如，拒絕服務)或諸如此類的。

1.概述