[发明专利]安全进程模仿检测

权利要求书

1.一种用于安全进程模仿检测的方法(200)，其包括：

识别命令以供在与操作系统OS的会话期间执行(步骤210)；

从基于所述会话的位置检索用于所述操作系统OS命令启动程序的可执行文件(步骤220)；

在处理所述可执行文件以启动所述命令以供在所述操作系统OS内执行之前验证所述可执行文件(步骤230)；

用随机产生的密钥来散列所述可执行文件，从而产生散列值(步骤240)；

用所述随机产生的密钥来加密与所述会话相关联的凭证及到所述位置的路径，从而产生第一经加密数据(步骤240)；

用所述操作系统OS提供的密钥加密密钥KEK来加密所述随机产生的密钥，从而产生第二经加密数据(步骤240)；以及

存储所述散列值、所述第一经加密数据及所述第二经加密数据(步骤240)。

2.根据权利要求1所述的方法(200)，其进一步包括针对经识别以供在所述会话期间执行的第二命令再次重复所述方法，以及处理所述散列值、所述第一经加密数据及所述第二经加密数据以用于检索及验证所述可执行文件，从而启动所述第二命令以供在所述操作系统OS内执行(步骤241)。

3.一种用于安全进程模仿检测的方法(200)，其包括：

识别命令以供在与操作系统OS的会话期间执行(步骤210)；

从基于所述会话的位置检索用于所述操作系统OS命令启动程序的可执行文件(步骤220)；

在处理所述可执行文件以启动所述命令以供在所述操作系统OS内执行之前验证所述可执行文件(步骤230)；

用所述操作系统OS提供的密钥加密密钥KEK来解密所存储的经加密密钥，从而获得密钥(步骤221)；

用所述密钥来解密所存储的经加密数据，从而获得与所述会话相关联的凭证及到所述位置的路径(步骤221)；

其中验证进一步包含认证所述凭证，从而确保在所述操作系统OS内发起所述会话时处理所述凭证(步骤231)；

其中认证进一步包含用所述密钥来散列在所述路径上从所述位置检索的所述可执行文件从而获得散列值，以及确保所述散列值等于所存储的散列值(步骤232)；以及

用新的随机产生的密钥来为所述可执行文件产生新散列值；使用所述新的随机产生的密钥来为所述凭证及所述路径产生新经加密数据；使用所述密钥加密密钥KEK来为所述新的随机产生的密钥产生新经加密密钥；以及存储所述新散列值、所述新经加密数据及所述新经加密密钥，以用于对在所述会话内执行的第二命令进行所述方法的后续重复(步骤233)。

4.根据权利要求3所述的方法(200)，其进一步包括在所述凭证被认证且所述散列值等于所述所存储的散列值时，处理所述可执行文件以在所述会话内启动所述命令(步骤234)。

5.根据权利要求3所述的方法(200)，其进一步包括当所述凭证对于所述会话无效时或当所述散列值不等于所述所存储的散列值时忽略所述命令且防止所述操作系统OS处理所述命令(步骤235)。

6.根据权利要求3所述的方法(200)，其中验证进一步包含以将所述命令特定且唯一地呈现在所述操作系统OS内以供执行的方式来验证所述可执行文件(步骤236)。

7.一种自助服务终端SST(400)，其包括：

处理器(401)，其被配置成执行权利要求1所述的方法(200)；以及

安全启动程序(404)，其经配置以：i)在所述处理器上执行；ii)每当呈现任何命令以供在所述自助服务终端SST的操作系统OS的会话内处理时就确定用于所述操作系统OS命令启动程序的可执行文件的位置；iii)每当呈现任何命令以供在所述会话内处理时就验证用于所述会话的帐户凭证；以及iv)每当呈现任何命令以供在所述会话内处理时就验证从所述位置拉取的所述可执行文件。

8.根据权利要求7所述的自助服务终端(400)，其中所述安全启动程序(404)被进一步配置为：v)每当由所述操作系统OS命令启动程序成功地处理任何命令时就唯一地隐藏用于所述位置的标识符及用于验证所述可执行文件的机制。