RU2012156443A - Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной - Google Patents

Abstract

1. Способ обнаружения угроз в коде, исполняемом виртуальной машиной, в котором:а) модифицируют код виртуальной машины для:- отслеживания исключений внутри виртуальной машины;- управления виртуальной машиной;б) отслеживают исключения внутри виртуальной машины;в) останавливают виртуальную машину, при наступлении исключения;г) получают информацию о контексте исключения, содержащего данные о событиях виртуальной машины, приведших к этому исключению;д) анализируют контекст исключения на наличие поведения характерного для угрозы;е) обнаруживают угрозу на основании анализа;2. Способ по п.1, в котором к исключениям внутри виртуальной машины относятся критические события, которые могут вызвать нарушение правил, установленных политикой безопасности3. Способ по п.1, в котором модификацию кода используют для сбора статистической информации о выявленных угрозах.4. Способ по п.1, в котором модификация кода виртуальной машины осуществляется путем перегрузки методов класса.5. Система обнаружения угроз в коде, исполняемом виртуальной машиной, содержит:а) виртуальную машину, модифицированную модулем контроля, предназначенную для исполнения анализируемого кода;б) модуль контроля, предназначенный для:- модификации кода виртуальной машины;- отслеживания исключений в виртуальной машине;- сбора информации о контексте исключения;- отправки информации о контексте исключения модулю анализа;- остановки работы виртуальной машины по указанию модуля анализа;в) модуль анализа, предназначенный для:- анализа информации о контексте исключения, полученной от модуля контроля на наличие угрозы;- обнаружения угроза по результатам анализа;6.

Claims (9)

1. Способ обнаружения угроз в коде, исполняемом виртуальной машиной, в котором:

а) модифицируют код виртуальной машины для:

- отслеживания исключений внутри виртуальной машины;

- управления виртуальной машиной;

б) отслеживают исключения внутри виртуальной машины;

в) останавливают виртуальную машину, при наступлении исключения;

г) получают информацию о контексте исключения, содержащего данные о событиях виртуальной машины, приведших к этому исключению;

д) анализируют контекст исключения на наличие поведения характерного для угрозы;

е) обнаруживают угрозу на основании анализа;

2. Способ по п.1, в котором к исключениям внутри виртуальной машины относятся критические события, которые могут вызвать нарушение правил, установленных политикой безопасности

3. Способ по п.1, в котором модификацию кода используют для сбора статистической информации о выявленных угрозах.

4. Способ по п.1, в котором модификация кода виртуальной машины осуществляется путем перегрузки методов класса.

5. Система обнаружения угроз в коде, исполняемом виртуальной машиной, содержит:

а) виртуальную машину, модифицированную модулем контроля, предназначенную для исполнения анализируемого кода;

б) модуль контроля, предназначенный для:

- модификации кода виртуальной машины;

- отслеживания исключений в виртуальной машине;

- сбора информации о контексте исключения;

- отправки информации о контексте исключения модулю анализа;

- остановки работы виртуальной машины по указанию модуля анализа;

в) модуль анализа, предназначенный для:

- анализа информации о контексте исключения, полученной от модуля контроля на наличие угрозы;

- обнаружения угроза по результатам анализа;

6. Система по п.5, в которой модуль контроля дополнительно используется для сбора статистической информации о выявленных угрозах.

7. Система по п.6, в которой наполнение баз осуществляется на основании собранной статистической информации о выявленных угрозах.

8. Система по п.5, в которой анализ информации о контексте исключения осуществляется путем сравнения информации о контексте с внешней обновляемой базой шаблонов;

9. Система по п.5, в которой модификация виртуальной машины осуществляется путем перегрузки методов класса.