使用基于硬件的微体系结构数据的异常程序执行的检测的制作方法
【专利说明】使用基于硬件的微体系结构数据的异常程序执行的检测
[0001] 相关申请的交叉引用
[0002] 本申请要求标题为"SYSTEMSANDMET册DSTODETECTANOMALOUSPROGRAM EXECUTIONUSINGPROCESSORMICROAROnTECTURALEVENTS"的且于2013年3月18日提交 的美国临时专利申请序列号61/803, 029的利益和优先权�����,该专利申请的内容通过引用被 全部并入本文��。
[0003] 关于联邦资助的研究的声明
[0004] 在由高级防御研究计划机构值ARPA)授予的FA8750-10-2-0253下W政府支持做 出本发明��。政府在本发明中有某些权利�。
[000引背景
[0006] 在特定领域中的计算机的激增����,通常随之而来的是在该领域中的恶意进程(例如 恶意软件)的激增�����。例如���,包括最近的Amlroid设备的系统带有病毒��、rootkit间碟软件��、 广告软件和其它类别的恶意进程�����。尽管有防病毒软件的存在����,恶意软件威胁及来自其 它类型的恶意进程的威胁)持续并增长��。不幸的是��,存在着破坏商业防病毒软件的很多方 式�����,包括简单地禁用防病毒系统�����。此外�����,恶意软件可变异成新的变体����,运使恶意软件的静态 检测变得很难�����。
[0007] 下面提供一些常见的恶意软件进程的例子:
[0008]
[0009]
[0010] 恶意进程��,例如恶意软件���,最初被创建W得到恶名或开玩笑����,但今天恶意软件部署 主要是受经济收益刺激�。在美国等�,存在个人信息���、信用卡�、进入敏感机器内的登录的活跃 地下市场的报告���。此外���,为了工业间碟目的和/或为了蓄意破坏�,恶意进程�,例如恶意软件��, 被发展来针对特定的计算机��。
[0011] 概述
[0012] 本文公开的设备��、系统��、装置����、方法����、产品�����、介质和其它实现包括一种方法���,其包括: 得到关于执行一个或多个进程的硬件设备的基于硬件的微体系结构数据����,包括基于硬件的 微体系结构计数器数据�����,W及至少部分地基于所述基于硬件的微体系结构数据�����,来确定在 硬件设备上执行的一个或多个进程中的至少一个进程是否相应于恶意进程�����。
[0013] 方法的实施方式可包括在本公开中所述的至少一些特征�����,包括下列特征中的一个 或多个���。
[0014] 得到基于硬件的微体系结构数据可包括在不同的时间实例得到基于硬件的微体 系结构数据�。
[0015] 在不同的时间实例得到基于硬件的微体系结构数据可包括执行例如下列项中的 一个或多个:由硬件设备发起W发送微体系结构数据的数据推送操作和/或由防病毒引擎 发起W发送微体系结构数据的数据拉出操作���。
[0016] 得到基于硬件的微体系结构数据可包括:得到从一个或多个进程在具有多个处理 器核屯���、的处理器设备上的执行产生的多核基于硬件的微体系结构数据�,W及使从多个处理 器核屯���、中的每个处理器核屯�����、得到的相应的基于硬件的微体系结构数据与一个或多个进程 关联�����。
[0017] 基于所述基于硬件的微体系结构数据来确定一个或多个进程中的至少一个进程 是否相应于恶意进程�,可包括将一个或多个机器学习过程应用于基于硬件的微体系结构数 据�����,W确定一个或多个进程中的至少一个进程是否相应于恶意进程����。
[0018] 将一个或多个机器学习过程应用于基于硬件的微体系结构数据W确定一个或多 个进程中的至少一个进程是否相应于恶意进程����,可包括使所得到的基于硬件的微体系结构 数据匹配到与一个或多个恶意进程相关的基于硬件的微体系结构数据的W前识别的模式����。
[0019] 该方法还可包括�����,得到对与一个或多个恶意进程相关的基于硬件的微体系结构数 据的W前识别的模式的更新���。
[0020] 得到更新可包括���,将与一个或多个恶意进程相关的基于硬件的微体系结构数据的 W前识别的模式的加密数据下载到与提供基于硬件的微体系结构数据的硬件设备通信的 防病毒引擎��,在防病毒引擎处将与一个或多个恶意进程相关的基于硬件的微体系结构数据 的W前识别的模式的下载的加密数据解密����,W及更新由防病毒引擎维持的修订计数器�����,该 修订计数器指示基于硬件的微体系结构数据的W前识别的模式的最近的更新的修订号�����。
[0021] 一个或多个机器学习过程可包括�����,例如下列项中的一个或多个:k最近邻过程���、决 策树过程�����、随机森林过程��、人工神经网络过程�、张量密度过程和/或隐马克波夫模型过程��。
[0022] 恶意进程可包括����,例如W下中的一个或多个:恶意软件进程和/或侧信道攻击进 程�����。
[0023] 基于硬件的微体系结构数据可包括�,例如下列项中的一个或多个:处理器负荷密 度数据�、分支预测性能数据和/或关于指令高速缓存遗漏的数据�����。
[0024] 在一些变形中��,公开了包括执行一个或多个进程的硬件设备和与硬件设备通信的 防病毒引擎的系统����。防病毒引擎配置成:得到关于执行一个或多个进程的硬件设备的包括 基于硬件的微体系结构计数器数据的基于硬件的微体系结构数据��,W及至少部分地基于所 述基于硬件的微体系结构数据来确定在硬件设备上执行的一个或多个进程中的至少一个 进程是否相应于恶意进程�����。
[00巧]系统的实施方式可包括在本公开中所述的特征中的至少一些特征�,包括上面关于 方法所述的特征中的至少一些特征W及下列特征中的一个或多个����。
[0026] 配置成得到基于硬件的微体系结构数据的防病毒引擎�����,可配置成在不同的时间实 例得到基于硬件的微体系结构数据����。
[0027] 配置成在不同的时间实例得到基于硬件的微体系结构数据的防病毒引擎�,可配置 成响应于例如下列项中的一个或多个来接收微体系结构数据:由硬件设备发起的数据推送 操作和/或由防病毒引擎发起的数据拉出操作���。
[0028] 配置成基于所述基于硬件的微体系结构数据来确定一个或多个进程中的至少一 个进程是否相应于恶意进程的防病毒引擎��,可配置成将一个或多个机器学习过程应用于 基于硬件的微体系结构数据����,W确定一个或多个进程中的至少一个进程是否相应于恶意进 程�����。
[0029] 配置成将一个或多个机器学习过程应用于基于硬件的微体系结构数据W确定一 个或多个进程中的至少一个进程是否相应于恶意进程的防病毒引擎�,可配置成使所得到的 基于硬件的微体系结构数据匹配到与一个或多个恶意进程相关的基于硬件的微体系结构 数据的W前识别的模式��。
[0030] 防病毒引擎还可配置成得到关于与一个或多个恶意进程相关的基于硬件的微体 系结构数据的W前识别的模式的更新����。
[0031] 在一些变形中����,提供存储有在至少一个可编程设备上可执行的一组指令的计算机 可读介质�����。运组指令在被执行时引起包括W下项的操作:得到关于执行一个或多个进程的 硬件设备的包括基于硬件的微体系结构计数器数据的基于硬件的微体系结构数据�����,W及至 少部分地基于所述基于硬件的微体系结构数据��,来确定在硬件设备上执行的一个或多个进 程中的至少一个进程是否相应于恶意进程�����。
[0032] 计算机可读介质的实施方式��,可包括在本公开中所述的特征中的至少一些特征��, 包括上面关于方法和系统所述的特征中的至少一些特征�����。
[0033] 在一些变形中�����,提供了一种装置����。该装置包括�,用于得到关于执行一个或多个进程 的硬件设备的包括基于硬件的微体系结构计数器数据的基于硬件的微体系结构数据的模 块����,W及用于至少部分地基于所述基于硬件的微体系结构数据来确定在硬件设备上执行的 一个或多个进程中的至少一个进程是否相应于恶意进程的???��。
[0034] 装置的实施方式可包括在本公开中所述的特征中的至少一些特征��,包括上面关于 方法�����、系统和计算机可读介质所述的特征中的至少一些特征��。
[0035] 除非另有规定�����,在本文使用的所有技术术语和科学术语具有与通常理解的或照惯 例理解的相同的含义����。如在本文使用的�����,冠词"一(a)"和"一(an)"指冠词的语法对象的一 个或多于一个(即至少一个)�����。作为例子��,"元件(anelement)"意指一个元件或多于一个 元件�。如本文使用的"大约(About)"和/或"大致(approximately)"在指可测量值(例如 数量����、持续时间等)时意指包括偏离规定值的±20%或±10%�����、±5%或+0. 1 %的变化����,因 为运样的变化在本文所述的系统��、设备����、电路�、方法和其它实现中是适当的����。如在本文使用 的"实质上(Substantially)"在指可测量值(例如数量�、持续时间����、物理属性(例如频率) 等)时也意指包括偏离规定值的±20%或±10%�����、±5%或+0. 1%的变化���,因为运样的变 化在本文所述的系统��、设备��、电路��、方法和其它实现中是适当的���。
[0036]如在本文(包括在权利要求中)使用的����,如在由"…的至少一个(atleastone of)"或"…的一个或多个(oneormoreof)"引述的项目的列表中使用的"或"或"和"指示 可使用所列出的项目的任何组合�。例如�����,"A�、B或C中的至少一个(atleastoneofA,B,or C)"的列表包括组合A或B或C或AB或AC或BC和/或ABC(即A和B和C)中的任一个�����。 此外���,在项目A����、B或C的多于一次出现或使用是可能的程度上�,A����、B和/或C的多次使用可 形成所设想的组合��。例如�,"A�、B或C中的至少一个(atleastoneofA,B,orC)"的列表 也可包括AA�、AAB�、AAA��、BB等����。
[0037]如在本文(包括在权利要求中)使用的��,除非另有规定��,功能����、操作或特征"基于 化asedon)"项目和/或条件的陈述����,意指功能�����、操作�、功能基于所陈述的项目和/或条件并 可基于除了所陈述的项目和/或条件W外的一个或多个项目和/或条件�。
[0038] 在下面的附图中和描述中阐述了一个或多个实现的细节�。根据描述�、附图和权利 要求���,另外的特征�����、方面和优点将变得明显��。
[0039] 附图的简要说明
[0040] 现在将参考下面的附图详细描述运些和其它方面����。
[0041] 图1包括的是几个不同的进程的硬件微体系结构活动的曲线图的示例图示����。
[0042] 图2是检测恶意进程的示例系统的示意图���。
[0043] 图3是检测恶意进程的示例过程的流程图����。
[0044]