[发明专利]使用硬件特征的对异常进程的无监督的检测

说明书

公开了设备、系统、装置、方法、产品、介质和其它实现，包括一种方法，其包括：得到关于执行与表示第一进程的正常行为的预先记录的硬件性能数据相关的第一进程的硬件设备的包括硬件性能计数器数据的当前硬件性能数据，以及基于相应于第一进程的所得到的当前硬件性能数据与表示第一进程的正常行为的预先记录的硬件性能数据的偏差的程度的确定，来确定恶意进程是否影响第一进程的性能。

相关申请的交叉引用

本申请要求标题为“UNSUPERVISED ANOMALY-BASED MALWARE DETECTION USINGHARDWARE FEATURES”的且于2014年3月14日提交的国际申请No.PCT/US2014/027375、标题为“UNSUPERVISED ANOMALY-BASED MALWARE DETECTION USING HARDWARE FEATURES”的且于2013年12月20日提交的美国临时专利申请号61/919,560、标题为“DETECTION OFANOMALOUS PROGRAM EXECUTION USING HARDWARE-BASED MICRO-ARCHITECTURAL DATA”的且于2013年11月5日提交的国际专利申请号PCT/US2013/068451以及标题为“SYSTEMS ANDMETHODS TO DETECT ANOMALOUS PROGRAM EXECUTION USING PROCESSORMICROARCHITECTURAL EVENTS”的且于2013年3月18日提交的美国临时专利申请序列号61/803,029的利益和优先权，这些专利申请通过引用被全部并入本文。

关于联邦资助的研究的声明

在由高级防御研究计划机构(DARPA)授予的FA 8750-10-2-0253下以政府支持做出本发明。政府在本发明中有某些权利。

背景

恶意进程，例如恶意软件感染，多年来折磨组织和用户，并更隐秘地增长并逐日在数量上增加。这些恶意进程最初被创建而得到恶名或开玩笑，但今天恶意软件部署主要受经济收益刺激。在美国等存在个人信息、信用卡、进入敏感机器内的登录的活跃地下市场的报告。此外，出于间谍目的(工业间谍或另外的情况)和/或为了蓄意破坏，恶意进程，例如恶意软件进程，被发展用于针对特定的计算机。

尽管有防病毒软件的存在，但是恶意软件威胁(以及来自其它类型的恶意进程的威胁)持续并增长。不幸的是，存在破坏商业防病毒软件的很多方式，包括简单地禁用防病毒系统。此外，恶意软件可变异成新的变体，这使恶意软件的静态检测变得很难。

概述

本文公开的设备、系统、装置、方法、产品、介质和其它实现包括一种方法，其包括：得到关于执行与表示第一进程的正常行为的预先记录的硬件性能数据相关的第一进程的硬件设备的当前硬件性能数据，包括硬件性能计数器数据，以及基于相应于第一进程的所得到的当前硬件性能数据与表示第一进程的正常行为的预先记录的硬件性能数据的偏差的程度的确定，来确定恶意进程是否影响第一进程的性能。

该方法的实施方式可包括在本公开中所述的至少一些特征，包括下列特征中的一个或多个。

得到硬件性能数据可包括在不同的时间实例得到硬件性能数据。在不同的时间实例得到硬件性能数据，可包括执行例如下列项中的一个或多个：由硬件设备发起以发送当前硬件性能数据的数据推送操作和/或由防病毒引擎发起以使当前硬件性能数据由硬件设备发送的数据拉出操作。

得到当前硬件性能数据可包括：基于相应的计算的一个或多个分数从多个硬件性能特征选择一个或多个特征，所述一个或多个分数表示一个或多个特征中的相应特征的硬件性能数据的相应子集可指示关于选定的一个或多个特征得到的硬件性能数据被恶意进程影响的有效性程度；以及只为选定的一个或多个特征从当前硬件性能数据得到性能数据。

计算一个或多个分数可包括计算一个或多个Fisher分数。