[发明专利]识别进程的恶意运行

说明书

本文描述的特定实施例提供了一种电子装置，其能够配置成拦截进程；如果该进程涉及特权资源或特权操作，则存储该进程的运行剖析；以及分析每个栈帧中涉及的代码以确定恶意活动。如果进程不涉及特权资源或特权操作，则不分析该进程。

相关申请的交叉引用

本申请要求于2014年12月23日提交的题为“IDENTIFICATION OF MALICIOUSEXECUTION OF A PROCESS”的美国非临时专利申请No.14/581528的权益和优先权，其通过引用整体结合在本文中。

技术领域

本公开一般涉及信息安全领域，并且更具体地，涉及识别进程的恶意运行。

背景技术

网络安全领域在当今社会中已变得越来越重要。因特网已实现全世界的不同计算机网络的互连。具体而言，因特网提供用于在经由各种类型的客户端装置连接到不同计算机网络的不同用户之间交换数据的媒介。虽然因特网的使用已变换了商业和个人通信，但它也已被用作恶意操作者获得对计算机和计算机网络的未经授权访问和敏感信息的有意或无意公开的媒介（vehicle）。

感染主计算机的恶意软件（“malware”）可以能执行任何数量的恶意动作，例如从与主计算机关联的商业或个体窃取敏感信息，传播到其它主计算机和/或辅助分布式的拒绝服务攻击、从主计算机发送出垃圾邮件或恶意电子邮件等等。因此，对于保护计算机和计算机网络免于由恶意软件的恶意及无意利用，依然处于显著管理挑战。

附图说明

为提供本公开以及其特征和优点的更完整理解，参考结合附图进行的下面的描述，其中相似参考数字表示相似部分，其中；

图1是根据本公开的实施例的用于识别进程的恶意运行的通信系统的简化框图;

图2是根据实施例的图示可能与通信系统关联的潜在操作的简化流程图;

图3是根据实施例的图示可能与通信系统关联的潜在操作的简化流程图;

图4是根据实施例的图示可能与通信系统关联的潜在操作的简化流程图;

图5是根据实施例的图示以点对点配置布置的示例计算系统的框图;

图6是与本公开的示例ARM生态系统片上系统（SOC）关联的简化框图;以及

图7是根据实施例的图示示例处理器核的框图。

附图的图形不必按比例绘制，因为其尺寸能够大幅变化而不脱离本公开的范围。

具体实施方式

示例实施例

图1是根据本公开的实施例的用于识别进程的恶意运行的通信系统的简化框图。通信系统100能够包含电子装置102、服务器104和云106。电子装置102能够包括处理器110a、运行剖析模块112、存储器114a和安全模块128。存储器114a能够包含栈帧116 （例如，调用栈）、特权资源和操作118、可信的可运行进程的散列120、白名单122、黑名单124、运行剖析130、进程的存储器映像132以及进程的磁盘映像134。栈帧116能够包含帧128a、128b和128c。服务器104能够包含处理器110b、存储器114b和网络安全模块126a。存储器114b能够包含可信的可运行进程的散列120、白名单122、黑名单124和进程的磁盘映像134。云106能够包含处理器110c、存储器114c以及网络安全模块126b。存储器114c能够包含可信的可运行进程的散列120、白名单122、黑名单124和进程的磁盘映像134。电子装置102、服务器104和云106能够使用网络108彼此通信。