BEHAVIORAL MALWARE DETECTION USING AN INTERPRETER VIRTUAL MACHINE

BEHAVIORAL MALWARE DETECTION USING AN INTERPRETER VIRTUAL MACHINE

Described systems and methods allow protecting a computer system from computer security threats such as malware and spyware. In some embodiments, a security application executes a set of detection routines to determine whether a set of monitored entities (processes, threads, etc.) executing on the c...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: FULOP, BOTOND, LUKACS, SANDOR, HAJMASAN, GHEORGHE-FLORIN
Format: Patent
Sprache:eng ; fre
Schlagworte:
CALCULATING
COMPUTING
COUNTING
ELECTRIC DIGITAL DATA PROCESSING
PHYSICS
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:Described systems and methods allow protecting a computer system from computer security threats such as malware and spyware. In some embodiments, a security application executes a set of detection routines to determine whether a set of monitored entities (processes, threads, etc.) executing on the computer system comprise malicious software. The detection routines are formulated in bytecode and executed within a bytecode translation virtual machine. Execution of a detection routine comprises translating bytecode instructions of the respective routine into native processor instructions, for instance via interpretation or just-in-time compilation. Execution of the respective routines is triggered selectively, due to the occurrence of specific events within the protected client system. Detection routines may output a set of scores, which may be further used by the security application to determine whether a monitored entity is malicious. La présente invention concerne des systèmes et des procédés permettant de protéger un système informatique contre des menaces de sécurité informatique telles qu'un logiciel malveillant et un logiciel espion. Selon certains modes de réalisation, une application de sécurité exécute un ensemble de routines de détection pour déterminer si un ensemble d'entités surveillées (des traitements, des menaces, etc.) en cours d'exécution sur le système informatique comprennent un logiciel malveillant. Les routines de détection sont formulées par un code à octets et exécutées à l'intérieur d'une machine virtuelle de traduction de code à octets. L'exécution d'une routine de détection consiste à traduire des instructions de code à octets de la routine respective en instructions de processeur natif, par exemple, par le biais d'une interprétation ou d'une compilation à la volée. L'exécution des routines respectives est déclenchée sélectivement, en raison de la survenue d'événements spécifiques dans le système client protégé. Des routines de détection peuvent délivrer en sortie un ensemble de scores, qui peuvent en outre être utilisés par l'application de sécurité pour déterminer si une entité surveillée est malveillante.