RU2013125468A

RU2013125468A - Использование технологии слежения за мощностью для контроля целостности и повышения безопасности компьютерных систем

Info

Publication number: RU2013125468A
Application number: RU2013125468/08A
Authority: RU
Inventors: Джефри Х. РИД; ГОНСАЛЕС Карлос Р. АГВАЙО
Original assignee: Вирджиния Тек Интеллекчуал Пропертиз, Инк.
Priority date: 2010-11-03
Filing date: 2011-11-03
Publication date: 2014-12-10
Also published as: MX2013005074A; US20160117502A1; PL2635992T4; WO2012061663A3; EP2635992B1; SG190090A1; EP2635992A2; US20160117503A1; CA2816970A1; EP2635992A4; IL226078A0; US9558350B2; KR20130118335A; US10423207B2; PL2635992T3; WO2012061663A2; CN103370716B; JP2014501957A; AU2011323210A1; US20200103949A1

Abstract

1. Способ выполнения в реальном времени оценки целостности исполнения подпрограммы в компьютерной обрабатывающей платформе, содержащий этапы, на которых:контролируют исполнение подпрограммы путем трассировки энергопотребления процессора посредством взятия выборок во время исполнения подпрограммы;используют методику характеризации платформы, дополнительно содержащую этапы, на которыхобнаруживают участки трасс, которые проявляют наибольшую зависимость от переходов между состояниями в процессоре;используют упомянутые участки для выбора признаков, несущих наибольшую информацию;получают из характеризации выбранных признаков подпрограммы, содержащихся на упомянутых участках, набор доверенных образов мощности для подпрограммы;устанавливают порог для конкретной частоты ложных тревог, основываясь на вероятностном распределении расстояния от сигнатуры, составленной из упомянутых доверенных образов;сравнивают библиотеку упомянутых доверенных образов с признаками, извлеченными из трасс, полученных при исполнении недоверенного кода;определяют расстояние между упомянутыми образами и извлеченными признаками; исообщают об исключительной ситуации, если расстояние превышает порог.2. Способ по п.1, дополнительно содержащий этап, на котором синхронизируют упомянутую трассировку с исполнением подпрограммы посредством встраивания информации идентификации модулей в подпрограмму.3. Способ по п.2, в котором информация идентификации модулей является двоичным идентификационным кодом, записывает в регистре ввода-вывода перед исполнением подпрограммы.4. Способ по п.2, в котором информация идентификации модул

Claims

1. Способ выполнения в реальном времени оценки целостности исполнения подпрограммы в компьютерной обрабатывающей платформе, содержащий этапы, на которых:

контролируют исполнение подпрограммы путем трассировки энергопотребления процессора посредством взятия выборок во время исполнения подпрограммы;

используют методику характеризации платформы, дополнительно содержащую этапы, на которых

обнаруживают участки трасс, которые проявляют наибольшую зависимость от переходов между состояниями в процессоре;

используют упомянутые участки для выбора признаков, несущих наибольшую информацию;

получают из характеризации выбранных признаков подпрограммы, содержащихся на упомянутых участках, набор доверенных образов мощности для подпрограммы;

устанавливают порог для конкретной частоты ложных тревог, основываясь на вероятностном распределении расстояния от сигнатуры, составленной из упомянутых доверенных образов;

сравнивают библиотеку упомянутых доверенных образов с признаками, извлеченными из трасс, полученных при исполнении недоверенного кода;

определяют расстояние между упомянутыми образами и извлеченными признаками; и

сообщают об исключительной ситуации, если расстояние превышает порог.

2. Способ по п.1, дополнительно содержащий этап, на котором синхронизируют упомянутую трассировку с исполнением подпрограммы посредством встраивания информации идентификации модулей в подпрограмму.

3. Способ по п.2, в котором информация идентификации модулей является двоичным идентификационным кодом, записывает в регистре ввода-вывода перед исполнением подпрограммы.

4. Способ по п.2, в котором информация идентификации модулей является последовательностью команд, приводящих к отличительной модели энергопотребления.

5. Способ по п.1, в котором при отслеживании энергопотребления объединяют сигналы от множества процессорных схем.

6. Способ по п.1, дополнительно содержащий этап, на котором улучшают качество упомянутого сообщения об исключительной ситуации путем добавления к упомянутой библиотеке образов сигнатур известного вредоносного программного обеспечения.

7. Система выполнения в реальном времени оценки целостности исполнения подпрограммы в компьютерной обрабатывающей платформе, содержащая:

средство для контроля исполнения подпрограммы путем трассировки энергопотребления процессора посредством взятия выборок во время исполнения подпрограммы;

средство для использования методики характеризации платформы, которое дополнительно содержит

средство для обнаружения участков трасс, проявляющих наибольшую зависимость от переходов между состояниями в процессоре;

средство для использования упомянутых участков для выбора признаков, несущих наибольшую информацию;

средство для получения из результатов характеризации выбранных признаков, содержащихся на упомянутых участках, набора доверенных образов мощности подпрограммы;

средство для установления порога для конкретной частоты ложных тревог, основываясь на вероятностном распределении расстояния от сигнатуры, составленной из упомянутых доверенных образов;

средство для сравнения библиотеки упомянутых доверенных образов с признаками, извлеченными из трасс, полученных при исполнении недоверенного кода;

средство для определения расстояния между упомянутыми образами и извлеченными признаками; и

средство сообщения об исключительной ситуации, если расстояние превышает порог.

8. Система по п.7, дополнительно содержащая информацию идентификации модулей, встроенную в подпрограмму.

9. Система по п.8, в которой информация идентификации модулей является двоичным идентификационным кодом, записанным в регистре ввода-вывода перед исполнением подпрограммы.

10. Система по п.8, в которой информация идентификации модулей является последовательностью команд, приводящих к получению отличительной модели энергопотребления.

11. Система по п.7, в которой средство для трассировки энергопотребления объединяет сигналы от множества процессорных схем.

12. Система по п.7, дополнительно содержащая средство для улучшения качества упомянутого сообщения об исключительной ситуации путем добавления к упомянутой библиотеке образов сигнатур известного вредоносного программного обеспечения.

13. Способ обнаружения отклонений от авторизованного исполнения программного обеспечения в цифровом процессоре, содержащий этапы, на которых:

наблюдают энергопотребление процессора во время исполнения по меньшей мере одной подпрограммы программного обеспечения в известной конфигурации;

определяют последовательность битовых переключений, характеризующих энергопотребление упомянутой по меньшей мере одной подпрограммы; и

используют характеризацию энергопотребления как образ для сравнения с наблюдаемым исполнением программного обеспечения, чтобы определить отклонение.