本发明专利技术揭示一种用于识别有害软件在电子装置上的感染的系统及方法。软件代理经配置以产生诱饵并安装在所述电子装置上。所述诱饵可模拟用户执行登录会话并提交个人信息的情形,或者其可仅含有人工敏感信息。可将例如安装有所述诱饵的所述电子装置的身份等参数插入到所述诱饵中。监控并分析所述电子装置的输出以寻找发射所述诱饵的企图。通过使所述输出与所述诱饵相关来分析所述输出,且其可通过将关于所述诱饵的信息与计算机网络上的业务进行比较来进行,以便关于有害软件的存在及位置作出决策。此外,有可能将关于所述诱饵的信息存储在数据库中,且接着将关于用户的信息与所述数据库中的所述信息进行比较,以便确定发射所述诱饵的电子装置是否含有有害软件。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术大体上涉及防止信息泄漏的领域。更具体但不排除性地来说,本专利技术涉及 用于有效地识别使用信息窃取软件及钓鱼来窃取私人的保密信息的企图的方法。
技术介绍
组织及企业创造和积累的信息及知识是他们最宝贵的资产之一。因此,对于几乎 任何组织、政府机构或企业来说,将信息及知识保持在组织内部并限制其在组织以外的散 布都非常重要,而且提供了对其价值的重要影响。对知识产权、财务信息及其它保密或敏感 信息的未经授权的散布可能会严重损害公司的声誉及竞争优势。此外,组织内部的个人的 私人信息以及客户、顾客及商业合作伙伴的私人信息包含可能会被带有犯罪意图的用户滥 用的敏感资料。问题的另一方面是对于关于信息的法令的依从。美国国内的法令,例如《健康保 险携带和责任法案》(Health Insurance Portability and Accountability Act,HIPAA)、 《格雷姆-里奇-比利雷法案》(Gramm-Leach-Bliley act, GLBA)及《萨班斯-奥克斯利法 案》(Sarbanes Oxley act,S0X),规定监控组织内的信息资产并遵守信息管理政策,以便保 护客户隐私并减少可能的误用及欺诈的风险。因此,信息及数据泄漏在商业及法律两方面 都造成严重风险。关于数字信息的隐私及保密的一个正在出现的威胁是信息窃取软件,例如特洛伊 木马(Trojan Horses)及“间谍软件(Spyware) ”。获得了对用户计算机的存取权的恶意用 户可将此软件安装在计算机上,或者可通过例如从网站、电子邮件或文件共享网络中的共 享文件进行“感染”而将此软件安装在计算机上。随后,信息窃取软件可例如通过以下方式 来检测敏感或保密信息使用记录键盘敲击的“键盘记录器(keylogger)”,或在用户计算 机内搜索保密信息并将其发送到预定义的目的地。当前对付信息窃取软件的尝试主要是基于例如通过查看其签名来检测其在主机 中的存在。然而,由于这些类型的软件经过仔细的设计而避免此检测,所以这种方法的有效 性有限。信息窃取的另一方面称为“钓鱼及域欺骗(phishing&pharming) ”。在钓鱼企图 中,用户通常受看起来正式的电子邮件诱使而将其敏感资料发布到经过设计来窃取此信息 的网站上。已存在许多减少钓鱼风险的尝试,例如帮助用户识别非法站点、提醒用户注意欺 诈性网站、加强密码登录及消除钓鱼邮件。但是有效的钓鱼攻击仍然非常普遍。域欺骗攻击的目的是将网站的业务重新导向到另一伪造网站。可通过改变受害者 计算机上的主机文件或通过利用DNS服务器软件中的弱点来进行域欺骗。当前减少域欺骗 的风险的尝试(例如DNS保护及网络浏览器插件,如工具栏)的意义有限。
技术实现思路
揭示一种用于识别有害软件在电子装置上的感染的系统及方法。软件代理经配置6以产生诱饵并安装在所述电子装置上。所述诱饵可模拟用户执行登录会话并提交个人信息 的情形,或者其可仅含有人工敏感信息。此外,可将例如安装有所述诱饵的电子装置的身份 等参数插入到诱饵中。随后监控并分析电子装置的电子输出以寻找发射诱饵的企图。通过 使输出与诱饵相关来分析所述输出,且其可通过将关于诱饵的信息与计算机网络上的业务 进行比较来进行,以便关于有害软件的存在及位置作出决策。此外,有可能将关于诱饵的信 息存储在数据库中,且接着将关于用户的信息与数据库中的信息进行比较,以便确定发射 诱饵的电子装置是否含有有害软件。还有可能在目标站点的情形下模拟诱饵内的敏感信息,且接着对所述模拟的敏感 信息进行配置以识别电子装置。接着监控目标站点以检测所述模拟的敏感信息以确定有害 软件在电子装置上的存在。一种用于识别至少一个电子装置上的有害软件的系统具有管理单元,其与电子装 置通信。所述管理单元经配置以在电子装置上安装软件代理,所述软件代理产生待由电子 装置作为输出经由计算机网络发射的诱饵。管理单元可经配置以将参数插入到诱饵中,以 便识别电子装置。与计算机网络通信的业务分析器分析电子装置的输出。业务分析器可安 装在与计算机网络通信的网络网关上。与所述业务分析器通信的决策系统将来自电子装置 的诱饵与电子装置的输出相关,以便确定有害软件的存在。除了前述内容外,还有可能使用两个电子装置群组来确定有害软件的存在。在此 场景中,在第一电子装置群组的电子装置中的至少一者上安装诱饵。监控并分析第一及第 二电子装置群组的输出,其中将第二电子装置群组用作用于分析第一电子装置群组的输出 的基准。可将第一及第二电子装置群组的输出相关,以便确定有害软件的存在。揭示一种用于控制经由电子网络散布敏感信息的方法。所述方法包含分析网络的 业务并检测敏感信息。接下来,评价离开电子网络的信息的敏感级别及风险级别。依据所 述敏感级别及所述风险级别来确定所需的行动。通过分析信息的内容来评价信息的敏感级别。所述信息可包含密码,且可通过分 析密码的强度来分析敏感度信息。举例来说,强密码将指示信息是非常敏感的。可使用包 含以下中的至少一者的试探法来评价信息离开网络的风险级别地理定位、接收方URL的 分析、事先对目的地的了解,及站点内容的分析。附图说明为了更好地理解本专利技术且为了展示本专利技术的实施方式,现在将仅以举例方式参看 附图,其中图1是说明对信息窃取软件的有效检测的方法的流程图。图2是对用于根据图1减少信息窃取软件的危险的系统的说明。图3是说明对信息窃取软件的有效检测的另一方法的流程图。图4是对用于根据图3减少信息窃取软件的危险的系统的说明。图5是对利用来自目标站点的法人以便检测信息窃取软件的系统的说明。图6是说明对信息窃取软件的有效检测的另一方法的流程图。图7是对用于根据图6减少信息窃取软件的危险的系统的说明。具体实施例方式本申请案中描述的系统及方法的专利技术人已认识到需要且将非常有利的是,具有一 种允许有效地检测信息窃取软件散布的信息并减少钓鱼及域欺骗攻击同时克服上述缺点 的方法及系统。当前优选的实施例描述一种用于有效地减少根源于信息窃取的危险的方法及系 统。在详细解释至少一个实施例之前,应了解,本专利技术在其应用中不限于以下描述中阐述或 图式中说明的组件的构造及布置的细节。本专利技术能够具有其它实施例,或者能够以各种方 式实践或实行。此外,应了解,本文中使用的措辞及术语是为了描述的目的,且不应被认为 是限制性的。此外,将认识到,所描述的组件可仅以软件、硬件或两者的组合来实施。通过模拟将可能触发信息窃取软件企图散布“人工敏感信息诱饵”的情形来实现 对信息窃取软件在可能受到感染的计算机化装置或软件中的行为检测,且随后分析可能受 到感染的计算机化装置或软件的业务及其它行为模式。因为所述情形受到控制且系统已知 信息诱饵,所以存在此分析将能够检测到信息窃取软件的存在的许多感染情况。举例来说,一些恶意软件类型(例如某些键盘记录器)企图定位敏感或个人信息 (例如,用户名、密码、财务信息等)。当在主机计算机上本地发现此信息或当用户使用此信 息来登录到网站或应用时,恶意软件企图捕获此信息并将其以明码文本形式或加密形式发 送出去。通过产生伪造证书及人工敏感信息诱饵并将其存储及/或将其周期性地发送到网 站来利用此行为。如果用户系统上存在此恶意软件,则恶意软件会捕获伪本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:利德罗尔特罗扬斯基,沙龙布鲁克纳,丹尼尔莱尔哈伯德,
申请(专利权)人:网圣公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。