(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号(10)申请公布号CNCN103842971103842971A(43)申请公布日2014.06.04(21)申请号201280042354.1G06F21/56(2013.01)(22)申请日2012.07.26(30)优先权数据13/2119992011.08.17US(85)PCT国际申请进入国家阶段日2014.02.28(86)PCT国际申请的申请数据PCT/US2012/0484152012.07.26(87)PCT国际申请的公布数据WO2013/025323EN2013.02.21(71)申请人迈可菲公司地址美国加利福尼亚州(72)发明人G.W.达彻尔(74)专利代理机构中国专利代理(香港)有限公司72001代理人张金金马永利(51)Int.Cl.G06F11/30(2006.01)权权利要求书1页利要求书1页说明书17页说明书17页附图11页附图11页(54)发明名称用于间接接口监视和垂线探测的系统和方法(57)摘要在一个示例实施例中提供方法，其包括监视第一接口、监视第二接口以及如果该第二接口未在该第一接口之前被执行则采取策略动作。在更特定的实施例中，监视第二接口可包括沿与第一接口关联的调用栈步进。此外，可识别对于与第二接口关联的调用代码的程序上下文并且对其起作用。CN103842971ACN10384297ACN103842971A权利要求书1/1页1.一种方法，其包括：监视第一接口；监视第二接口；以及如果所述第二接口未在所述第一接口之前被执行则采取策略动作。2.如权利要求1所述的方法，其中监视所述第二接口包括间接监视所述第二接口。3.如权利要求1所述的方法，其中监视所述第二接口包括沿与所述第一接口关联的调用栈步进。4.如权利要求1所述的方法，其中：所述第一接口与调用栈的帧关联；监视所述第一接口包括直接监视所述第一接口；以及监视所述第二接口包括在所述帧中的一个中识别与所述第二接口关联的调用代码。5.如权利要求4所述的方法，其进一步包括：确定所述调用代码是否是合法的；以及如果所述调用代码不合法则采取所述策略动作。6.如权利要求1所述的方法，其中：所述第一接口与调用栈的帧关联；监视所述第一接口包括直接监视所述第一接口；以及监视所述第二接口包括在所述帧中的一个中识别与所述第二接口关联的调用代码并且识别与所述调用代码关联的程序上下文。7.如权利要求1所述的方法，其中所述第一接口由执行元素追踪并且如果所述第二接口未被所述执行元素执行则采取所述策略动作。8.如权利要求1所述的方法，其中监视所述第一接口包括：直接监视所述第一接口；以及存储使执行元素与所述第一接口关联的数据。9.如权利要求1所述的方法，其中：所述第一接口是核模式接口；并且监视所述第二接口包括沿与所述核模式接口关联的调用栈步进。10.如权利要求1所述的方法，其中：所述第一接口与调用栈的帧关联；监视所述第一接口包括在执行所述第一接口时接收回调并且存储使执行元素与所述第一接口的执行关联的数据；并且监视所述第二接口包括在所述帧中的一个中识别与所述第二接口关联的调用代码并且识别与所述调用代码关联的程序上下文。2CN103842971A说明书1/17页用于间接接口监视和垂线探测的系统和方法技术领域[0001]本说明大体涉及信息系统安全的领域，并且更具体地，涉及用于间接接口监视和垂线探测（plumb-lining）的系统和方法。背景技术[0002]信息系统已经在全球范围内融入人们的日常生活和商业，并且信息安全的领域在现今的社会同样变得日益重要。然而，这样的广泛融合还对恶意操作者呈现利用这些系统的许多机会。一旦恶意软件已经传染主机计算机，它可以执行任何数量的恶意动作，例如从主机计算机发出垃圾邮件或恶意email、从与主机计算机关联的企业或个人窃取敏感信息、传播到其他主机计算机和/或帮助分布式拒绝服务攻击。另外，对于一些类型的malware，恶意操作者可以出售或用别的方式获得对其他恶意操作者的访问，由此扩大主机计算机的利用。从而，有效保护并且维持稳定的计算机和系统的能力对于部件制造商、系统设计师和网络运营商仍然提出重大挑战。发明内容[0003]综览在一个示例实施例中提供方法，其包括监视第一接口、监视第二接口并且如果该第二接口未在该第一接口之前被执行则采取策略动作。在更特定的实施例中，监视第二接口可包括沿与第一接口关联的调用栈步进。此外，可识别与第二接口关联的调用代码的程序上下文并且对其起作用。附图说明[0004]为了提供对本公开及其特征和优势的更完整理解，结合附图参考下面的描述，其中类似的标号代表类似的部件，其中：图1是图示根据该说明的主机环境的示例实施例的简化示意图；图2是图示可与主机环境的一个潜在实施