用于保护计算机免受未经授权的远程管理的系统和方法技术方案

公开了用于保护计算机免受未经授权的远程管理的系统和方法。一种示例性方法包括：拦截发生在计算机系统中的事件；确定每个所拦截事件的参数，用以识别关于通过应用程序在计算机网络中的第一数据传递或从计算机系统的外围数据输入设备到应用程序的第二数据传递的每个所拦截事件；确定彼此依赖的两个所拦截事件；确定定义所述两个所拦截事件的参数的依赖性的规则；确定该规则与先前创建的规则的相似度；如果该相似度超过所选阈值，则至少基于该规则和先前创建的规则识别至少一个应用程序；以及分析该至少一个应用程序以检测远程管理应用程序。

【技术实现步骤摘要】
用于保护计算机免受未经授权的远程管理的系统和方法
本专利技术总体涉及网络安全领域，更具体地涉及用于保护计算机免受未经授权的远程管理的系统和方法。
技术介绍
计算机技术在过去十年中的快速发展以及多种多样的计算设备(个人计算机、笔记本、平板电脑、智能手机等)的广泛使用，对于这些设备在人类活动的每个可能范围中的使用以及对于巨大数量的任务(从因特网冲浪到银行汇款和电子文件交流)而言已充当强大的刺激。在计算设备和在这些设备上运行的软件的数量增长的同时，恶意软件的量也以飞快的速度增长。目前，存在巨大数量的恶意程序变种，对应于各个种类的恶意程序。一些恶意程序从用户的设备窃取个人机密数据(诸如登录名和密码、银行资料、电子文件)。其它恶意程序从用户的设备形成所谓的僵尸网络，以使用暴力破解法推测密码或对其它计算机或计算机网络发起进攻，诸如拒绝服务(分布式拒绝服务，DDOS)。另外其它恶意程序通过侵略性广告、付费订阅、向付费手机号发送文本消息等将付费内容强加给用户。例如，一组恶意程序可以对用户的感染的计算机执行远程管理。在将这类程序安装在用户的计算机上之后，该程序通常可以获得管理员权限，这可以允许该程序访本文档来自技高网...

【技术保护点】
一种检测计算机系统的远程管理的计算机实现方法，所述方法包括：经由所述计算机系统的处理器拦截发生在所述计算机系统中的一个或多个事件；确定每个所拦截事件的参数；至少基于确定的所述参数识别关于通过应用程序在计算机网络中的第一数据传递或从所述计算机系统的外围数据输入设备到应用程序的第二数据传递的每个所拦截事件；至少基于所识别的关于所述第一数据传递和所述第二数据传递的所拦截事件，确定彼此依赖的两个所拦截事件；确定定义所述两个所拦截事件的所述参数的依赖性的规则；确定所述规则与先前创建的规则的相似度；响应于检测到所述相似度超过所选阈值，至少基于所述规则和所述先前创建的规则识别至少一个应用程序；以及分析所述至...

【技术特征摘要】
2016.06.24 RU 2016125280;2016.12.21 US 15/386,4231.一种检测计算机系统的远程管理的计算机实现方法，所述方法包括：经由所述计算机系统的处理器拦截发生在所述计算机系统中的一个或多个事件；确定每个所拦截事件的参数；至少基于确定的所述参数识别关于通过应用程序在计算机网络中的第一数据传递或从所述计算机系统的外围数据输入设备到应用程序的第二数据传递的每个所拦截事件；至少基于所识别的关于所述第一数据传递和所述第二数据传递的所拦截事件，确定彼此依赖的两个所拦截事件；确定定义所述两个所拦截事件的所述参数的依赖性的规则；确定所述规则与先前创建的规则的相似度；响应于检测到所述相似度超过所选阈值，至少基于所述规则和所述先前创建的规则识别至少一个应用程序；以及分析所述至少一个应用程序以检测远程管理应用程序。2.如权利要求1所述的方法，其中，所述一个或多个事件包括如下项中的至少一者：通过应用程序调用安装在所述计算机系统上的操作系统的API函数；经由进程间通信技术在应用程序的进程之间传递数据；在所述计算机系统的软件部件和硬件部件之间传递数据；通过应用程序在所述计算机网络中传递数据；以及将数据从至少一个外围数据输入设备传递到应用程序。3.如权利要求1所述的方法，其中，所述外围数据输入设备包括如下项中的至少一者：键盘；计算机鼠标；触摸屏；以及非接触式触摸屏控制器。4.如权利要求1所述的方法，其中，确定每个所拦截事件的所述参数包括确定如下项中的一者或多者：每个所拦截事件的类型；在所述计算机系统的操作系统中创建每个所拦截事件的应用程序或进程的标识符；在所述操作系统中创建每个所拦截事件的应用程序或服务的标识符；每个所拦截事件之前的至少一个事件；对于被传递的数据：数据发送的源和数据接收的源的标识符；被传递的数据的类型；被传递的数据的量；以及直接被传递的数据。5.如权利要求1所述的方法，其中，至少基于所识别的关于所述第一数据传递和所述第二数据传递的所拦截事件确定彼此依赖的所述两个所拦截事件，包括确定如下项中的至少一者：在所识别的第一所拦截事件的第一登记与第二所拦截事件的随后的第二登记之间流逝的时间段小于先前确立的时间阈值；以及所述两个所拦截事件的参数与比当前所拦截事件更早登记的所识别的所拦截事件的参数相关。6.如权利要求1所述的方法，其中，确定定义所述两个所拦截事件的所述参数的所述依赖性的所述规则包括：选择矩阵形式和向量形式中的至少一者来表示所述规则；以及基于所述两个所拦截事件中的一者的所述参数，计算用于所述规则的所选表示的系数。7.如权利要求1所述的方法，其中，分析所述至少一个应用程序以检测所述远程管理应用程序基于如下项中的至少一者来执行：在确定如下项中的至少一者时对所述至少一个应用程序的启发式分析：在数据传递期间从所述外围数据输入设备传递哪些数据、哪些活动在所述数据传递之后发生在所述计算机系统中、在所述活动之后在所述计算机网络中发送或接收哪些数据、以及所述数据和所述活动之间的依赖性；或对所述至少一个应用程序的结构和代码的分析，所述代码负责在所述计算机网络中传递数据、在所述计算机系统中执行活动、以及在所述计算机网络中发送或接收数据。8.如权利要求1所述的方法，还包括响应于检测到所述远程管理应用程序而至少通过如下方式来阻断所述至少一个应用程序：阻断在所述计算机网络中与所述至少一个应用程序的数据交换；从所述计算机系统的RAM移除所述至少一个应用程序；或从所述计算...

【专利技术属性】
技术研发人员：马克西姆·Y·戈洛夫金，阿列克谢·M·罗曼恩科，阿列克谢·V·莫纳斯蒂尔斯基，
申请(专利权)人：卡巴斯基实验室股份制公司，
类型：发明
国别省市：俄罗斯,RU