[发明专利]用于保护计算机免受未经授权的远程管理的系统和方法

说明书

公开了用于保护计算机免受未经授权的远程管理的系统和方法。一种示例性方法包括：拦截发生在计算机系统中的事件；确定每个所拦截事件的参数，用以识别关于通过应用程序在计算机网络中的第一数据传递或从计算机系统的外围数据输入设备到应用程序的第二数据传递的每个所拦截事件；确定彼此依赖的两个所拦截事件；确定定义所述两个所拦截事件的参数的依赖性的规则；确定该规则与先前创建的规则的相似度；如果该相似度超过所选阈值，则至少基于该规则和先前创建的规则识别至少一个应用程序；以及分析该至少一个应用程序以检测远程管理应用程序。

技术领域

本发明总体涉及网络安全领域，更具体地涉及用于保护计算机免受未经授权的远程管理的系统和方法。

背景技术

计算机技术在过去十年中的快速发展以及多种多样的计算设备(个人计算机、笔记本、平板电脑、智能手机等)的广泛使用，对于这些设备在人类活动的每个可能范围中的使用以及对于巨大数量的任务(从因特网冲浪到银行汇款和电子文件交流)而言已充当强大的刺激。在计算设备和在这些设备上运行的软件的数量增长的同时，恶意软件的量也以飞快的速度增长。

目前，存在巨大数量的恶意程序变种，对应于各个种类的恶意程序。一些恶意程序从用户的设备窃取个人机密数据(诸如登录名和密码、银行资料、电子文件)。其它恶意程序从用户的设备形成所谓的僵尸网络，以使用暴力破解法推测密码或对其它计算机或计算机网络发起进攻，诸如拒绝服务(分布式拒绝服务，DDOS)。另外其它恶意程序通过侵略性广告、付费订阅、向付费手机号发送文本消息等将付费内容强加给用户。

例如，一组恶意程序可以对用户的感染的计算机执行远程管理。在将这类程序安装在用户的计算机上之后，该程序通常可以获得管理员权限，这可以允许该程序访问用户的任何机密信息、而且还令该程序对用户的计算机执行任何活动以及通过计算机网络向黑客传递关于其工作结果的信息。例如，上述程序的变种之一可以在受害者的计算机上复制黑客的活动，该活动由该黑客在其自身计算机上执行。

检测上述程序的复杂度可源于如下事实：时常地，这些程序不以显式执行恶意活动(例如，这些程序不破坏数据，反而组织DDOS攻击等等)；这些程序偶发地且不定期地进行主动操作；这些程序将自身呈现为可被管理员用于控制客户端计算机的合法应用程序。

因此，现今的抗病毒程序可能未看到上述程序的活动中的恶意功能。而且，已知的抗病毒程序可能不处理检测如下项的任务：具有先前未知的用于进行远程管理的行为的应用程序；或仅结合在一起才实现远程管理的多组应用程序，每个应用程序具有其自身完全合法的功能；以及当在用户的允可下执行远程管理时，上述方法还可能在检测恶意程序时产生假警报。

本发明解决保护计算机免受未经授权的远程管理的问题。

发明内容

公开了用于保护计算机免受未经授权的远程管理的系统和方法。根据一个示例性方面，一种用于检测计算机系统的远程管理的计算机实现方法包括：经由所述计算机系统的处理器拦截发生在所述计算机系统中的一个或多个事件；确定每个所拦截事件的参数；至少基于确定的所述参数识别关于通过应用程序在计算机网络中的第一数据传递或从所述计算机系统的外围数据输入设备到应用程序的第二数据传递的每个所拦截事件；至少基于所识别的关于所述第一数据传递和所述第二数据传递的所拦截事件确定彼此依赖的两个所拦截事件；确定定义所述两个所拦截事件的所述参数的依赖性的规则；确定所述规则与先前创建的规则的相似度；响应于检测到所述相似度超过所选阈值，至少基于所述规则和所述先前创建的规则识别至少一个应用程序；以及分析所述至少一个应用程序以检测远程管理应用程序。

在另一示例性方面中，所述一个或多个事件包括如下项中的至少一者：通过应用程序调用安装在所述计算机系统上的操作系统的API函数；经由进程间通信技术在应用程序的进程之间传递数据；在所述计算机系统的软件部件和硬件部件之间传递数据；通过应用程序在所述计算机网络中传递数据；以及将数据从至少一个外围数据输入设备传递到应用程序。