[发明专利]用于保护计算机免受未经授权的远程管理的系统和方法

权利要求书

1.一种检测计算机系统的远程管理的计算机实现方法，所述方法包括：

经由所述计算机系统的处理器拦截正发生在所述计算机系统中的多个事件；

确定所拦截的所述多个事件中的每个所拦截事件的相应参数；

至少基于确定的所述参数识别关于通过应用程序在计算机网络中的第一数据传递或从所述计算机系统的外围数据输入设备到所述应用程序的第二数据传递的每个所拦截事件；

基于确定的所述参数，确定识别的所拦截事件中的第一所拦截事件依赖于识别的所拦截事件中的第二所拦截事件；

生成定义各个所拦截事件的所识别和确定的所述参数的依赖性的规则，所述规则识别所识别的所述第一所拦截事件的所识别的参数对于所识别的所述第二所拦截事件的所识别的参数的依赖性；

确定所述规则与先前创建的规则的相似度；

响应于检测到所述相似度超过所选阈值，至少基于所述规则和所述先前创建的规则识别至少一个应用程序；以及

分析所述至少一个应用程序以检测远程管理应用程序。

2.如权利要求1所述的方法，其中，所述多个事件包括如下项中的至少一者：

通过应用程序调用安装在所述计算机系统上的操作系统的API函数；

经由进程间通信技术在应用程序的进程之间传递数据；

在所述计算机系统的软件部件和硬件部件之间传递数据；

通过应用程序在所述计算机网络中传递数据；以及

将数据从至少一个外围数据输入设备传递到应用程序。

3.如权利要求1所述的方法，其中，所述外围数据输入设备包括如下项中的至少一者：键盘；计算机鼠标；触摸屏；以及非接触式触摸屏控制器。

4.如权利要求1所述的方法，其中，确定每个所拦截事件的所述参数包括确定如下项中的一者或多者：每个所拦截事件的类型；在所述计算机系统的操作系统中创建每个所拦截事件的应用程序或进程的标识符；在所述操作系统中创建每个所拦截事件的应用程序或服务的标识符；每个所拦截事件之前的至少一个事件；对于被传递的数据：数据发送的源和数据接收的源的标识符；被传递的数据的类型；被传递的数据的量；以及直接被传递的数据。

5.如权利要求1所述的方法，其中，所述确定所识别的所述第一所拦截事件依赖于所述第二所拦截事件至少基于所识别的关于所述第一数据传递和所述第二数据传递的所拦截事件，包括确定如下项中的至少一者：在所识别的所述第二所拦截事件的第一登记与所述第一所拦截事件的随后的第二登记之间流逝的时间段小于先前确立的时间阈值；以及所识别的所述第一所拦截事件的参数和所识别的所述第二所拦截事件的参数与比当前所拦截事件更早登记的所识别的所拦截事件的参数相关。

6.如权利要求1所述的方法，其中，生成定义所识别的所述第一所拦截事件的所述参数和所述第二所拦截事件的所述参数的所述依赖性的所述规则包括：

选择矩阵形式和向量形式中的至少一者来表示所述规则；以及

基于所识别的所述第一所拦截事件和所述第二所拦截事件中的一者的所述参数，计算用于所述规则的所选表示的系数。

7.如权利要求1所述的方法，其中，将所述至少一个应用程序识别为所述远程管理应用程序基于如下项中的至少一者来执行：

在确定如下项中的至少一者时对所述至少一个应用程序的启发式分析：在数据传递期间从所述外围数据输入设备传递哪些数据、哪些活动在所述数据传递之后发生在所述计算机系统中、在所述活动之后在所述计算机网络中发送或接收哪些数据、以及所述数据和所述活动之间的依赖性；或

对所述至少一个应用程序的结构和代码的分析，所述代码负责在所述计算机网络中传递数据、在所述计算机系统中执行活动、以及在所述计算机网络中发送或接收数据。

8.如权利要求1所述的方法，其中，阻断所识别的所述远程管理应用程序包括如下中的至少一者：

从所述计算机系统的RAM移除所识别的所述远程管理应用程序；以及

从所述计算机系统的信息媒介移除所识别的所述远程管理应用程序。