CN101978376A - 用于抵御信息窃取软件的方法及系统 - Google Patents
用于抵御信息窃取软件的方法及系统 Download PDFInfo
- Publication number
- CN101978376A CN101978376A CN2009801094588A CN200980109458A CN101978376A CN 101978376 A CN101978376 A CN 101978376A CN 2009801094588 A CN2009801094588 A CN 2009801094588A CN 200980109458 A CN200980109458 A CN 200980109458A CN 101978376 A CN101978376 A CN 101978376A
- Authority
- CN
- China
- Prior art keywords
- electronic installation
- bait
- sensitive information
- information
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明揭示一种用于识别有害软件在电子装置上的感染的系统及方法。软件代理经配置以产生诱饵并安装在所述电子装置上。所述诱饵可模拟用户执行登录会话并提交个人信息的情形,或者其可仅含有人工敏感信息。可将例如安装有所述诱饵的所述电子装置的身份等参数插入到所述诱饵中。监控并分析所述电子装置的输出以寻找发射所述诱饵的企图。通过使所述输出与所述诱饵相关来分析所述输出,且其可通过将关于所述诱饵的信息与计算机网络上的业务进行比较来进行,以便关于有害软件的存在及位置作出决策。此外,有可能将关于所述诱饵的信息存储在数据库中,且接着将关于用户的信息与所述数据库中的所述信息进行比较,以便确定发射所述诱饵的电子装置是否含有有害软件。
Description
技术领域
本发明大体上涉及防止信息泄漏的领域。更具体但不排除性地来说,本发明涉及用于有效地识别使用信息窃取软件及钓鱼来窃取私人的保密信息的企图的方法。
背景技术
组织及企业创造和积累的信息及知识是他们最宝贵的资产之一。因此,对于几乎任何组织、政府机构或企业来说,将信息及知识保持在组织内部并限制其在组织以外的散布都非常重要,而且提供了对其价值的重要影响。对知识产权、财务信息及其它保密或敏感信息的未经授权的散布可能会严重损害公司的声誉及竞争优势。此外,组织内部的个人的私人信息以及客户、顾客及商业合作伙伴的私人信息包含可能会被带有犯罪意图的用户滥用的敏感资料。
问题的另一方面是对于关于信息的法令的依从。美国国内的法令,例如《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act,HIPAA)、《格雷姆-里奇-比利雷法案》(Gramm-Leach-Bliley act,GLBA)及《萨班斯-奥克斯利法案》(Sarbanes Oxley act,SOX),规定监控组织内的信息资产并遵守信息管理政策,以便保护客户隐私并减少可能的误用及欺诈的风险。因此,信息及数据泄漏在商业及法律两方面都造成严重风险。
关于数字信息的隐私及保密的一个正在出现的威胁是信息窃取软件,例如特洛伊木马(Trojan Horses)及“间谍软件(Spyware)”。获得了对用户计算机的存取权的恶意用户可将此软件安装在计算机上,或者可通过例如从网站、电子邮件或文件共享网络中的共享文件进行“感染”而将此软件安装在计算机上。随后,信息窃取软件可例如通过以下方式来检测敏感或保密信息:使用记录键盘敲击的“键盘记录器(keylogger)”,或在用户计算机内搜索保密信息并将其发送到预定义的目的地。
当前对付信息窃取软件的尝试主要是基于例如通过查看其签名来检测其在主机中的存在。然而,由于这些类型的软件经过仔细的设计而避免此检测,所以这种方法的有效性有限。
信息窃取的另一方面称为“钓鱼及域欺骗(phishing&pharming)”。在钓鱼企图中,用户通常受看起来正式的电子邮件诱使而将其敏感资料发布到经过设计来窃取此信息的网站上。已存在许多减少钓鱼风险的尝试,例如帮助用户识别非法站点、提醒用户注意欺诈性网站、加强密码登录及消除钓鱼邮件。但是有效的钓鱼攻击仍然非常普遍。
域欺骗攻击的目的是将网站的业务重新导向到另一伪造网站。可通过改变受害者计算机上的主机文件或通过利用DNS服务器软件中的弱点来进行域欺骗。当前减少域欺骗的风险的尝试(例如DNS保护及网络浏览器插件,如工具栏)的意义有限。
发明内容
揭示一种用于识别有害软件在电子装置上的感染的系统及方法。软件代理经配置以产生诱饵并安装在所述电子装置上。所述诱饵可模拟用户执行登录会话并提交个人信息的情形,或者其可仅含有人工敏感信息。此外,可将例如安装有所述诱饵的电子装置的身份等参数插入到诱饵中。随后监控并分析电子装置的电子输出以寻找发射诱饵的企图。通过使输出与诱饵相关来分析所述输出,且其可通过将关于诱饵的信息与计算机网络上的业务进行比较来进行,以便关于有害软件的存在及位置作出决策。此外,有可能将关于诱饵的信息存储在数据库中,且接着将关于用户的信息与数据库中的信息进行比较,以便确定发射诱饵的电子装置是否含有有害软件。
还有可能在目标站点的情形下模拟诱饵内的敏感信息,且接着对所述模拟的敏感信息进行配置以识别电子装置。接着监控目标站点以检测所述模拟的敏感信息以确定有害软件在电子装置上的存在。
一种用于识别至少一个电子装置上的有害软件的系统具有管理单元,其与电子装置通信。所述管理单元经配置以在电子装置上安装软件代理,所述软件代理产生待由电子装置作为输出经由计算机网络发射的诱饵。管理单元可经配置以将参数插入到诱饵中,以便识别电子装置。与计算机网络通信的业务分析器分析电子装置的输出。业务分析器可安装在与计算机网络通信的网络网关上。与所述业务分析器通信的决策系统将来自电子装置的诱饵与电子装置的输出相关,以便确定有害软件的存在。
除了前述内容外,还有可能使用两个电子装置群组来确定有害软件的存在。在此场景中,在第一电子装置群组的电子装置中的至少一者上安装诱饵。监控并分析第一及第二电子装置群组的输出,其中将第二电子装置群组用作用于分析第一电子装置群组的输出的基准。可将第一及第二电子装置群组的输出相关,以便确定有害软件的存在。
揭示一种用于控制经由电子网络散布敏感信息的方法。所述方法包含分析网络的业务并检测敏感信息。接下来,评价离开电子网络的信息的敏感级别及风险级别。依据所述敏感级别及所述风险级别来确定所需的行动。
通过分析信息的内容来评价信息的敏感级别。所述信息可包含密码,且可通过分析密码的强度来分析敏感度信息。举例来说,强密码将指示信息是非常敏感的。可使用包含以下中的至少一者的试探法来评价信息离开网络的风险级别:地理定位、接收方URL的分析、事先对目的地的了解,及站点内容的分析。
附图说明
为了更好地理解本发明且为了展示本发明的实施方式,现在将仅以举例方式参看附图,其中:
图1是说明对信息窃取软件的有效检测的方法的流程图。
图2是对用于根据图1减少信息窃取软件的危险的系统的说明。
图3是说明对信息窃取软件的有效检测的另一方法的流程图。
图4是对用于根据图3减少信息窃取软件的危险的系统的说明。
图5是对利用来自目标站点的法人以便检测信息窃取软件的系统的说明。
图6是说明对信息窃取软件的有效检测的另一方法的流程图。
图7是对用于根据图6减少信息窃取软件的危险的系统的说明。
具体实施方式
本申请案中描述的系统及方法的发明人已认识到需要且将非常有利的是,具有一种允许有效地检测信息窃取软件散布的信息并减少钓鱼及域欺骗攻击同时克服上述缺点的方法及系统。
当前优选的实施例描述一种用于有效地减少根源于信息窃取的危险的方法及系统。在详细解释至少一个实施例之前,应了解,本发明在其应用中不限于以下描述中阐述或图式中说明的组件的构造及布置的细节。本发明能够具有其它实施例,或者能够以各种方式实践或实行。此外,应了解,本文中使用的措辞及术语是为了描述的目的,且不应被认为是限制性的。此外,将认识到,所描述的组件可仅以软件、硬件或两者的组合来实施。
通过模拟将可能触发信息窃取软件企图散布“人工敏感信息诱饵”的情形来实现对信息窃取软件在可能受到感染的计算机化装置或软件中的行为检测,且随后分析可能受到感染的计算机化装置或软件的业务及其它行为模式。因为所述情形受到控制且系统已知信息诱饵,所以存在此分析将能够检测到信息窃取软件的存在的许多感染情况。
举例来说,一些恶意软件类型(例如某些键盘记录器)企图定位敏感或个人信息(例如,用户名、密码、财务信息等)。当在主机计算机上本地发现此信息或当用户使用此信息来登录到网站或应用时,恶意软件企图捕获此信息并将其以明码文本形式或加密形式发送出去。通过产生伪造证书及人工敏感信息诱饵并将其存储及/或将其周期性地发送到网站来利用此行为。
如果用户系统上存在此恶意软件,则恶意软件会捕获伪造信息并企图将其发送出去。因为系统早先提供了此信息,所以系统能非常准确地估计恶意软件发送的消息将是什么样子。因此,系统检查从用户传出的所有业务以认出这些可疑消息,并推断出机器上存在恶意软件。系统可模拟用户尝试接入金融机构的网站并提交其用户名及密码的情形。如果信息窃取软件安装在用户计算机上或沿着连接而安装,那么系统可通过截获并分析传出的业务来检测窃取信息的企图。
现在参看图1,其说明用于检测信息窃取软件的方法。在阶段A,110,将软件代理安装在计算机化装置上。所述软件代理优选经设计及实施,从而使得其能以从信息窃取软件角度将看起来像常规用户输入的方式模拟各种人工输入(例如,键盘敲击仿真序列、接入电子银行站点、插置将看起来敏感的文档等)。在阶段B,120,为了对软件代理的操作进行细微的调整,优选选择一组参数,例如调度诱饵任务或提供在此情形下产生具吸引力的诱饵的关键词。在阶段C,130,根据插入的参数实施各种计算机化装置中的各种诱饵。具体来说,创建诱饵并将其发送到预定义的目标。在阶段D,140,从计算机网络分析计算机化装置的输出及行为模式,且在阶段E,150,系统根据在阶段D分析的输出及行为模式来估计装置被信息窃取软件感染的概率。
现在转向图2,提供对用于检测信息窃取软件的系统的说明。远程安装与管理单元210借助于此项技术中一般使用的方式在与之连接的各种计算机化装置230上安装软件代理220。安装可包含由操作员240插入的任选参数。软件代理产生人工敏感信息诱饵,且由软件代理220并优选由网络网关260上的业务分析器250分析各种计算机化装置的输出及其它行为参数。如此项技术中普遍已知,业务分析器250可为安装在网关上的用于监控计算机装置230与WAN之间的电子业务流的软件。将结果发送到决策系统270以进行分析,决策系统270将业务中的信息与人工敏感信息诱饵相关,以便关于可能受到感染的计算机化装置或软件的存在及位置作出决策。决策系统270可为与业务分析器250进行电子通信的软件或硬件模块。
人工敏感信息诱饵通常包括伪造个人数据,其用于登录到电子银行、支付服务等,且系统可操作以模拟用户执行对此服务的登录会话并提交个人信息的情形。在不同装置或软件组件上实施的诱饵可具有独特的特性,其使得能够识别受到感染的机器。软件代理产生仿真的键盘敲击(例如,利用键盘及/或鼠标驱动器),其以可变速率产生反映自然键入的字符序列。
此外,系统可产生人工敏感文档,其将看起来像是真实的,例如待公开发表的财务报告、设计文档、密码文件、网络图等。
此外,系统可以随机方式产生诱饵,从而使得每一人工敏感信息或文档不同,以便进一步阻碍信息窃取软件。
在各种装置中实施的软件代理经过伪装,以便避免被信息窃取软件检测到。软件代理也可借助于此项技术中一般使用的方式例如以通常称为病毒编写技术(rootkits)的方式隐藏。
为了防止在模拟过程中到达目标站点(例如,电子银行站点)的不受欢迎的业务,可由网关260对目标站点进行仿真。因此,实际上不会将任何信息发送到目标站点。
复杂的信息窃取软件可利用特殊的方式来避免检测,且可对所散布的信息进行加密及/或隐藏。在一个实施例中,系统寻找经过加密的内容并以统计方式将传出传输中的经过加密的数据的量与人工敏感信息诱饵的数目及大小相关。此相关可为比较,或者其可为某种其它类型的相关。对经过加密的内容的检测可基于内容的熵。一般来说,表示经过加密的内容的位序列看起来是随机的(例如,具有最大熵)。然而,应注意,在充分压缩的内容中,也存在具有最大熵的位序列,且因此在确认内容未通过此项技术中一般使用的标准压缩方式压缩之后,系统优选利用熵测试来进行加密。
为了进一步提高检测概率,在有组织的环境中,可在一些机器上安装软件代理,且系统执行统计测试(如下文所解释)以便关于组织中存在受到感染的计算机化装置及软件的概率作出决策。
图3说明用于检测信息窃取软件的方法,其大致类似于图1的方法,但利用两组方法:在阶段A,310,在一些计算机化装置(标示为组S)上安装软件代理。在阶段B,320,为了对软件代理的操作进行细微的调整,优选选择一组参数,例如调度诱饵任务及提供将在此情形下产生具吸引力的诱饵的关键词。在阶段C,330,根据插入的参数实施各种计算机化装置中的各种诱饵。在阶段D,340,对计算机化装置的输出及行为模式进行分析,并将其与计算机化装置的输出及行为模式进行比较,且在阶段E,350,系统估计装置受到信息窃取软件感染的概率。
图4说明用于检测信息窃取软件的系统,其大致类似于图2的系统,但利用所述两组方法来改善图3中描述的对信息窃取软件的检测。远程安装与管理单元410在组S 430中(根据由操作员任选地插入的参数)的各种计算机化装置上而不在组455上安装软件代理420。软件代理接着在组S 430的计算机化装置上产生人工敏感信息诱饵,且通过网关460上的业务分析器450对组S及互补的组中的各种计算机化装置的输出及其它行为参数进行分析。将结果发送到决策系统470以进行分析,决策系统470对组S与之间的输出的此类特性进行比较,以便关于可能受到感染的计算机化装置或软件的存在作出决策。此类特性可包含例如业务量、TCP会话数目、接收方的地理分布、业务的熵、会话时间等。此后,将对组
的分析结果用作基准,以便确定在组S中存在对人工敏感信息诱饵的存在作出反应的受到感染的计算机化装置或软件的假设的统计上的重要性。组S及可随机选择且动态变化,以便提供关于受到感染的机器的身份的更多信息。S及
两者中的计算机化装置均配备有软件代理,其分析并存储传出业务,但只有组S的代理产生人工敏感信息诱饵。
在一些实施例中,可将所述计算机化装置的输出与未受感染的概率较高的计算机化装置(例如,新机器(真实的或虚拟的)的输出进行比较。为了进一步提高检测概率,所述方法还可包含与伪造登录资料将被提交到的站点的协作,以便检测使用伪造用户名、密码及其它敏感信息元素的企图。现在转向图5,其中说明了利用此协作的系统。远程安装与管理单元510根据操作员540插入的任选参数在各种计算机化装置上安装软件代理520。软件代理520接着产生人工敏感信息诱饵,使得每一计算机化装置接收不同的伪造资料。接着,经由网关560将伪造资料发送到站点580处的数据库582。如果攻击方590试图使用用户名及密码以便登录到站点580,则站点将核对数据库582以确定这些是不是软件代理520所创建的伪造资料,且将把事件的资料发送到决策系统570。决策系统570基于伪造个人信息的独特性来确定受到感染的机器。
系统可检测对应于由系统插置的信息的模式,其可能经过编码以便避免检测:例如,系统将所监控的业务与所插置的内容进行比较,且尝试决定两个内容之间是否存在变换。举例来说,系统可核对是否颠倒了字符顺序、取代了字符(例如,S->$)、使用数字变换对字符进行了编码等。系统还可决定某些模式有企图避免检测的嫌疑。
此外,系统可查看行为模式并将其与插置事件相关,以便实现更好的准确度。
根据另一方面,系统识别并阻挡信息窃取恶意代码,其经设计而通常未经用户同意或知道而威胁主机的安全、收集数据并将数据上载到远程位置。这些通常作为攻击方的工具包(toolkit)(其正被越来越普遍地使用)的一部分而安装,但其也可为目标性攻击方案的一部分。
系统还可抵御使用通称为“钓鱼”及“域欺骗”的方法来窃取个人信息的企图。所述方法是基于:
识别何时正经由不安全的连接以明文传递私人或敏感信息(例如,用户名、电子邮件地址及密码);
评价此场景中涉及的风险;以及
根据信息的敏感度及风险级别来决定阻挡或隔离此企图。
为了提供充分水平的安全性,同时保持对用户工作的最小程度的干扰,系统确定目的地站点是否可疑,并相应地对用户将信息发送到可疑站点的情况及信息被发送到良性站点的情况进行辨别。此后,系统可相应地使用不同策略,使得对于“可疑”目的地,阻挡对可能敏感的信息的散布。
可使用各种试探法来确定可疑站点,包含:
a.进行地理定位以确定所关注的站点的位置是否与正尝试接入其的用户的位置不同。举例来说,北美的某个人接入位于白俄罗斯的金融站点的可能性不太大,因此这使得交易更加可疑。
b.在URL字符串的结尾的某个位置寻找例如www.<常用站点>.com的字符串。“常用站点”的实例可为paypal、ebay等,其取自常用的被欺骗的站点的预定义的列表。
系统还可识别经由不安全的连接以明文发布敏感私人信息的情况,这种情况本身就是一个存在问题的情形,且因此可能有充分理由进行阻挡或隔离。私人敏感信息可包含信用卡号、社会保障号、ATM PIN、信用卡号的有效日期等。
系统可利用对网站的归类及分类,且接着基于此归类(例如使用黑名单及白名单)来评价站点有危险或有恶意的概率,或者使用目的地站点的内容的实时分类以便评价其完整性及站点有恶意的概率。
系统还可评价密码强度以便评价敏感级别:较强的密码“需要”较高程度的保护,而使用基本的“词典式攻击(dictionary attack)”可容易地猜中的一般密码可被认为敏感度较低。请注意,需要较强密码的站点一般更加敏感(例如,金融机构),而在许多情况下用户对于“娱乐站点”选择一般密码。在一个实施例中,根据以下参数中的至少一者来确定密码强度:
密码长度;
与一般密码的相似度,例如“密码破解工具(password cracking too1)”使用的密码;或
密码的熵。
在本发明的优选实施例中,使用美国国家标准局(National Institute of Standards,NIST)特刊800-63附录A《电子验证准则》(Electronic Authentication Guideline)中描述的方法来评估密码的强度及熵,所述文献的内容的全文以引用的方式并入本文中。
现在参看图6,其说明用于抵御钓鱼及域欺骗企图的方法。具体来说,在阶段A,610可能使用也用于其它应用(例如,监控及阻止对信息的未经授权的散布)的系统(如例如标题为“用于监控对数字内容的未经授权的传输的系统及方法(″A System and aMethod for Monitoring Unauthorized Transport of Digital Content)”的第2002/0129140号美国专利申请公开案及标题为“用于管理保密信息的方法及系统(A method and systemfor managing confidential information)”的第2005/0288939号美国专利申请公开案中所描述,所述专利申请公开案的内容的全文以引用的方式并入本文中)来监控及分析电子业务。
在阶段B,620,敏感信息检测器检测例如密码、用户名、母亲的婚前姓氏等敏感信息。在阶段C,630,例如通过如上文解释分析密码强度、通过对个人资料的数目计数等来评价敏感信息的敏感级别。在阶段D,640,使用各种试探法(包含地理定位、URL的分析、事先对站点的了解、站点内容的分析等)来评价风险级别。在阶段E,650,系统基于敏感级别及风险两者关于所需要的行动(例如,阻挡、隔离、警报等)作出决策,且在阶段F,660,系统相应地实施所需要的行动。
在分析敏感度及风险时,可存在两个明确的情况:低风险及低敏感度情况(例如,将密码1234发送到与兴趣有关的站点),及高风险高敏感度情况(将许多个人资料及较强的密码以明文发送到可疑的站点)。然而,“灰色区域”(例如,“中等敏感度-低风险”或“中等风险-低敏感度”)中的情况的处理可能取决于有组织的偏好。通常,系统操作员可设置将反映在风险-敏感度二维平面中的有组织的折衷的参数。
现在转向图7,其中说明用于抵御钓鱼及域欺骗企图的系统,所述系统是根据图6中描述的方法构造的。使用管理单元710来任选地根据操作员740插入的参数(例如,如上文所解释,将反映在风险-敏感度二维平面中的有组织的折衷的参数)设置用于保护有组织的周界730内的计算机化装置720的策略。网关760上的业务分析器750监控从至少一个计算机化装置720到站点780的传入及传出业务,并分析所述场景中所涉及的敏感度及风险。将结果发送到决策系统770以进行分析,决策系统770关于所需要的行动作出决策,并相应地将指令(例如,“阻挡”、“隔离”或“警报”)发送到网关760。
图7的系统可执行弱确认以核对所散布的密码是否有较高概率是用户用来接入其在组织内部的帐号(或其它敏感资源)的密码,而不会将重要信息暴露给获得对弱确认文件的存取权的攻击方。这与允许使用密码的散列值对密码的“强确认”的文件(已知此类文件非常容易受到通称为“词典式攻击”的攻击)形成对照。
弱确认方法可基于H···布隆·伯顿(H Bloom Burton)所著的“具有可允许的误 差的散列编码中的空间/时间折衷(Space/Time Trade-offs in Hash Coding with Allowable Errors)”(《美国计算机协会通讯》(Communications of the ACM),13(7).422-426,1970)中描述的布隆过滤器(Bloom filter),该文献的内容的全文以引用的方式并入本文中。布隆过滤器可向来自组织密码文件的密码的存在指派一可调整的概率。当系统测试文件中的密码的存在时,其查询布隆过滤器。如果布隆过滤器传回“否”,那么文件中不存在所述密码。如果布隆过滤器传回“是”,那么文件中(且因此组织中)可能存在所述密码。布隆过滤器因此提供对于组织中存在一密码的概率指示,且此概率指示p可通过过滤器的设计来调整。如果p等于例如0.9,那么存在0.1的假阳性率。由于此确认是在密码散布的情形下出现(密码散布本身就带有可能的风险),所以在监控正常业务时此假阳性水平是可接受的。
然而,如果攻击方尝试在文件上进行“词典式攻击”(攻击方系统地测试可能的密码的攻击,其从被使用的概率较高的密码开始,例如姓名、数字序列及地点),则对于预期的10%的候选密码,布隆过滤器将传回“是”,即使文件中并不存在所述候选密码也是如此。这将在词典式攻击的结果中添加噪声,从而导致无法辨别少数几个真阳性与许多假阳性。
可应用相同方法以便安全地识别来自数据库的其它低熵项,而不会使所述项本身受到词典式攻击的威胁。举例来说,假设数据库包括10,000个美国社会保障号(SSN)。由于SSN是9位数字,所以即使用较强的密码散列值来表示SSN,也可容易地对所有有效的社会保障号进行有效的词典式攻击。通过利用上述弱确认方法,可评价所散布的9位数字是否有较高概率是来自数据库的SSN。
结合本文中揭示的实施例描述的各种说明性逻辑块、模块及电路可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件或其任何经设计以执行本文中描述的功能的组合来实施或执行。通用处理器可为微处理器,但在替代方案中,处理器可为任何常规处理器、控制器、微控制器或状态机。处理器也可实施为计算装置的组合,例如DSP与微处理器的组合,多个微处理器,一个或一个以上微处理器结合DSP核心,或任何其它此类配置。
结合本文中揭示的实施例描述的方法或算法的步骤可直接以硬件、以由处理器执行的软件模块或以所述两者的组合实施。软件模块可驻存在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可装卸盘、CD-ROM或此项技术中已知的任何其它形式的存储媒体中。示范性存储媒体耦合到处理器,使得所述处理器可从存储媒体读取信息及向存储媒体写入信息。在替代方案中,存储媒体可与处理器成一体式。处理器及存储媒体可驻存在ASIC中。ASIC可驻存在用户终端中。在替代方案中,处理器及存储媒体可作为离散组件驻存在用户终端中。
Claims (48)
1.一种用于识别有害软件在电子装置上的感染的方法,所述方法包括:
在所述电子装置上安装软件代理,所述软件代理经配置以产生诱饵;
监控所述电子装置的电子输出以寻找发射所述诱饵的企图;以及
响应于所述诱饵来分析所述电子装置的所述输出以确定有害软件的存在。
2.根据权利要求1所述的方法,其中所述诱饵包括模拟用户执行登录会话并提交个人信息的情形。
3.根据权利要求1所述的方法,其中所述诱饵包括模拟人工敏感信息。
4.根据权利要求1所述的方法,其中在至少两个电子装置上执行所述安装所述软件代理的步骤,且针对所述电子装置中的至少两者执行所述分析所述输出的步骤。
5.根据权利要求1所述的方法,其进一步包括在经由计算机网络发射所述输出之前将参数插入到所述诱饵中的步骤。
6.根据权利要求1所述的方法,其中通过将所述输出与所述诱饵相关来分析所述输出。
7.根据权利要求6所述的方法,其中通过将所述诱饵的信息与计算机网络上的业务进行比较来执行所述相关,以便关于有害软件的存在及位置作出决策。
8.根据权利要求1所述的方法,其进一步包括以下步骤:
在数据库中存储关于所述诱饵的信息;以及
将来自用户的信息与所述数据库中的所述信息进行比较,以便确定发射所述诱饵的电子装置是否含有有害软件。
9.根据权利要求1所述的方法,其进一步包括:
在目标站点的情形下用所述诱饵模拟敏感信息;
对所述模拟的敏感信息进行配置以识别所述电子装置;以及
监控所述目标站点以检测所述模拟的敏感信息,以确定所述电子装置上的有害软件的存在。
10.一种用于识别至少一个电子装置上的有害软件的系统,所述系统包括:
管理单元,其与所述电子装置通信,所述管理单元经配置以在所述电子装置上安装软件代理,其中所述软件代理经配置以产生待由所述电子装置作为输出而经由计算机网络发射的诱饵;
业务分析器,其与所述计算机网络通信,所述业务分析器经配置以分析所述电子装置的所述输出;以及
决策系统,其与所述业务分析器通信,所述决策系统经配置以将来自所述电子装置的所述诱饵与所述电子装置的所述输出相关,以便确定有害软件的存在。
11.根据权利要求10所述的系统,其中所述管理单元经配置以将参数插入到所述诱饵中,以便识别计算机。
12.根据权利要求10所述的系统,其进一步包括与所述计算机网络通信的网络网关,其中所述业务分析器安装在所述网络网关上。
13.一种用于识别有害软件在第一及第二电子装置群组上的感染的方法,所述方法包括:
在所述第一群组的所述电子装置中的每一者上安装软件代理,所述软件代理经配置以针对所述第一群组的所述电子装置中的每一者产生诱饵;
监控来自所述第一群组的所述电子装置中的至少一者的电子输出以寻找发射所述诱饵的企图;
监控来自所述第二群组的所述电子装置中的至少一者的电子输出以寻找发射所述诱饵的企图;以及
分析来自所述第一及第二电子装置群组的所述输出以确定有害软件的存在。
14.根据权利要求13所述的方法,其中将所述第二电子装置群组视为用于分析来自所述第一电子装置群组的所述输出的基准,以便确定有害软件的存在。
15.根据权利要求14所述的方法,其进一步包括将参数插入到所述第一电子装置群组的所述诱饵中的步骤。
16.根据权利要求15所述的方法,其进一步包括将所述第一电子装置群组的所述输出与所述第二电子装置群组的所述输出相关以便确定有害软件的存在的步骤。
17.一种用于识别有害软件在第一及第二电子装置群组上的感染的系统,所述系统包括:
管理单元,其用于在所述第一群组的所述电子装置中的每一者上安装软件代理,所述软件代理经配置以在所述第一群组的所述电子装置中的每一者上产生诱饵;
业务分析器,其经由计算机网络与所述第一及第二电子装置群组通信,所述业务分析器经配置以分析来自所述第一及第二电子装置群组两者的输出;以及
决策系统,其与所述业务分析器通信,所述决策系统经配置以将所述第一电子装置群组的所述输出与来自所述第二电子装置群组的所述输出进行比较,以便确定有害软件的存在。
18.根据权利要求17所述的系统,其中每一软件代理经配置以将参数插入到所述第一群组的每一电子装置的所述诱饵中,以便识别计算机。
19.根据权利要求17所述的系统,其进一步包括网关,其中所述业务分析器安装在所述网关上。
20.一种控制经由电子网络散布敏感信息的计算机实施的方法,所述方法包括:
分析所述网络的业务;
检测敏感信息;
评价敏感级别;
评价所述敏感信息离开所述电子网络的风险级别;以及
基于所述敏感级别及所述风险级别来确定所需要的行动。
21.根据权利要求20所述的方法,其中通过分析所述敏感信息的内容来评价所述敏感级别。
22.根据权利要求20所述的方法,其中所述敏感信息包含密码,且通过分析密码强度来分析所述敏感信息。
23.根据权利要求21所述的方法,其中所述敏感信息包含个人信息,且分析所述个人信息。
24.根据权利要求20所述的方法,其中使用试探法评价所述风险级别。
25.根据权利要求20所述的方法,其中所述试探法包含以下中的至少一者:地理定位、接收方URL的分析、事先对目的地的了解,及站点内容的分析。
26.一种用于控制经由电子网络散布敏感信息的系统,所述系统包括:
业务分析器,其与所述电子网络通信,且经配置以检测敏感信息并评价所述信息的敏感级别,所述业务分析器经配置以评价所述敏感信息离开所述电子网络的风险级别,并响应于所述敏感级别及所述风险级别来确定需要对所述敏感信息采取的行动。
27.根据权利要求26所述的系统,其中所述业务分析器经配置以通过分析所述敏感信息的内容来评价所述敏感级别。
28.根据权利要求26所述的系统,其中所述敏感信息包含密码,且业务分析器通过分析密码强度来分析所述敏感信息。
29.根据权利要求27所述的系统,其中所述敏感信息包含个人信息,且所述业务分析器经配置以分析所述个人信息以便确定需要采取的行动。
30.根据权利要求26所述的系统,其中所述业务分析器经配置以使用试探法来评价所述风险级别。
31.根据权利要求30所述的系统,其中所述试探法包含以下中的至少一者:地理定位、接收方URL的分析、事先对目的地的了解,及站点内容的分析。
32.根据权利要求26所述的系统,其中所述业务分析器经配置以响应于所述敏感级别及所述风险级别而阻挡所述敏感信息经由所述网络的发射。
33.一种用于控制经由电子网络散布敏感信息的系统,所述系统包括:
业务分析器构件,其与所述电子网络通信,所述业务分析器构件经配置以检测敏感信息,评价所述敏感信息的敏感级别并评价所述敏感信息离开所述电子网络的风险级别,所述业务分析器构件操作以响应于所述敏感级别及所述风险级别而确定所需的行动。
34.根据权利要求33所述的系统,其中所述业务分析器构件经配置以作为所述所需的行动而阻挡所述敏感信息离开所述电子网络。
35.根据权利要求34所述的系统,其中所述业务分析器构件经配置以作为所述所需的行动而允许所述敏感信息通过所述电子网络。
36.根据权利要求33所述的系统,其中所述业务分析器构件通过分析所述敏感信息的内容来确定所述敏感级别。
37.根据权利要求33所述的系统,其中所述业务分析器构件使用试探法来评价所述风险级别。
38.根据权利要求37所述的系统,其中所述试探法包含以下中的至少一者:地理定位、接收方URL的分析、事先对目的地的了解,及站点内容的分析。
39.一种用于核对经由计算机网络发射的数据是否为密码的计算机实施的方法,所述方法包括用弱确认文件来分析所述数据以识别密码的步骤。
40.根据权利要求39所述的方法,其中所述弱确认文件是布隆过滤器。
41.根据权利要求39所述的方法,其中由与所述计算机网络通信的业务分析器执行所述分析所述数据的步骤。
42.根据权利要求41所述的方法,其中所述业务分析器经配置以在所述数据是密码的情况下阻挡经由所述网络发射所述数据。
43.一种用于核对经由计算机网络发射的数据是否为密码的系统,所述系统包括:
业务分析器,其与所述计算机网络通信,所述业务分析器经配置以用弱确认文件分析所述数据以便识别密码。
44.根据权利要求43所述的系统,其中所述弱确认文件是布隆过滤器。
45.根据权利要求44所述的系统,其中所述业务分析器经配置以在所述数据是密码的情况下阻挡经由所述网络发射所述数据。
46.一种用于核对经由计算机网络发射的数据是否为密码的系统,所述系统包括:
数据分析器构件,其与所述计算机网络通信,所述数据分析器构件使用弱确认文件来分析所述数据并确定所述数据是否为密码。
47.根据权利要求46所述的系统,其中所述数据分析器构件的所述弱确认文件是布隆过滤器。
48.根据权利要求46所述的系统,其中所述业务分析器构件在所述数据是密码的情况下阻挡经由所述网络发射所述数据。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/051,579 US9015842B2 (en) | 2008-03-19 | 2008-03-19 | Method and system for protection against information stealing software |
| US12/051,616 | 2008-03-19 | ||
| US12/051,670 US8407784B2 (en) | 2008-03-19 | 2008-03-19 | Method and system for protection against information stealing software |
| US12/051,579 | 2008-03-19 | ||
| US12/051,670 | 2008-03-19 | ||
| US12/051,616 US9130986B2 (en) | 2008-03-19 | 2008-03-19 | Method and system for protection against information stealing software |
| PCT/US2009/037435 WO2009117445A2 (en) | 2008-03-19 | 2009-03-17 | Method and system for protection against information stealing software |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101978376A true CN101978376A (zh) | 2011-02-16 |
Family
ID=40736626
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801094588A Pending CN101978376A (zh) | 2008-03-19 | 2009-03-17 | 用于抵御信息窃取软件的方法及系统 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP2272024A2 (zh) |
| CN (1) | CN101978376A (zh) |
| AU (1) | AU2009225671A1 (zh) |
| CA (1) | CA2718594A1 (zh) |
| WO (1) | WO2009117445A2 (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102779370A (zh) * | 2011-05-13 | 2012-11-14 | 日立欧姆龙金融系统有限公司 | 自动交易装置及自动交易系统 |
| CN102801688A (zh) * | 2011-05-23 | 2012-11-28 | 联想(北京)有限公司 | 一种数据访问的方法、装置及支持数据访问的终端 |
| CN103155487A (zh) * | 2010-10-26 | 2013-06-12 | 惠普发展公司,有限责任合伙企业 | 用于使用业务样本来检测可疑数据泄漏的方法和系统 |
| CN103177204A (zh) * | 2013-03-29 | 2013-06-26 | 北京奇虎科技有限公司 | 密码信息提示方法及装置 |
| CN103294950A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 |
| WO2017036043A1 (zh) * | 2015-08-28 | 2017-03-09 | 百度在线网络技术(北京)有限公司 | 钓鱼页面检测方法及系统 |
| CN106549960A (zh) * | 2016-10-27 | 2017-03-29 | 北京安天电子设备有限公司 | 一种基于网络监控追踪攻击者的方法及系统 |
| CN106663172A (zh) * | 2014-07-23 | 2017-05-10 | 高通股份有限公司 | 用于检测以移动设备的行为安全机制为目标的恶意软件和攻击的方法和系统 |
| CN105447385B (zh) * | 2014-12-08 | 2018-04-24 | 哈尔滨安天科技股份有限公司 | 一种多层次检测的应用型数据库蜜罐实现系统及方法 |
| CN108256323A (zh) * | 2016-12-29 | 2018-07-06 | 武汉安天信息技术有限责任公司 | 一种针对钓鱼应用的检测方法及装置 |
| CN108830089A (zh) * | 2018-05-16 | 2018-11-16 | 哈尔滨工业大学 | 高频数据传输中电磁辐射信息泄漏的主动防护系统 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607392A (zh) * | 2010-12-14 | 2014-02-26 | 华为数字技术(成都)有限公司 | 一种防范钓鱼攻击的方法及装置 |
| CN102098285B (zh) * | 2010-12-14 | 2013-12-04 | 华为数字技术(成都)有限公司 | 一种防范钓鱼攻击的方法及装置 |
| MY184389A (en) * | 2013-05-17 | 2021-04-01 | Mimos Berhad | Method and system for detecting keylogger |
| CN105512020B (zh) * | 2014-09-24 | 2018-05-04 | 阿里巴巴集团控股有限公司 | 测试方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1314638A (zh) * | 2001-04-29 | 2001-09-26 | 北京瑞星科技股份有限公司 | 检测和清除已知及未知计算机病毒的方法、系统和介质 |
| US20060282890A1 (en) * | 2005-06-13 | 2006-12-14 | Shimon Gruper | Method and system for detecting blocking and removing spyware |
| WO2007106609A2 (en) * | 2006-01-18 | 2007-09-20 | Webroot Software, Inc. | Method and system for detecting a keylogger on a computer |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009032379A1 (en) * | 2007-06-12 | 2009-03-12 | The Trustees Of Columbia University In The City Of New York | Methods and systems for providing trap-based defenses |
-
2009
- 2009-03-17 AU AU2009225671A patent/AU2009225671A1/en not_active Abandoned
- 2009-03-17 EP EP09721776A patent/EP2272024A2/en not_active Withdrawn
- 2009-03-17 CN CN2009801094588A patent/CN101978376A/zh active Pending
- 2009-03-17 CA CA2718594A patent/CA2718594A1/en not_active Abandoned
- 2009-03-17 WO PCT/US2009/037435 patent/WO2009117445A2/en active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1314638A (zh) * | 2001-04-29 | 2001-09-26 | 北京瑞星科技股份有限公司 | 检测和清除已知及未知计算机病毒的方法、系统和介质 |
| US20060282890A1 (en) * | 2005-06-13 | 2006-12-14 | Shimon Gruper | Method and system for detecting blocking and removing spyware |
| WO2007106609A2 (en) * | 2006-01-18 | 2007-09-20 | Webroot Software, Inc. | Method and system for detecting a keylogger on a computer |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103155487A (zh) * | 2010-10-26 | 2013-06-12 | 惠普发展公司,有限责任合伙企业 | 用于使用业务样本来检测可疑数据泄漏的方法和系统 |
| CN102779370A (zh) * | 2011-05-13 | 2012-11-14 | 日立欧姆龙金融系统有限公司 | 自动交易装置及自动交易系统 |
| CN102779370B (zh) * | 2011-05-13 | 2014-12-03 | 日立欧姆龙金融系统有限公司 | 自动交易装置及自动交易系统 |
| CN102801688A (zh) * | 2011-05-23 | 2012-11-28 | 联想(北京)有限公司 | 一种数据访问的方法、装置及支持数据访问的终端 |
| CN102801688B (zh) * | 2011-05-23 | 2015-11-25 | 联想(北京)有限公司 | 一种数据访问的方法、装置及支持数据访问的终端 |
| CN103294950B (zh) * | 2012-11-29 | 2016-07-06 | 北京安天电子设备有限公司 | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 |
| CN103294950A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 |
| CN103177204B (zh) * | 2013-03-29 | 2016-09-28 | 北京奇虎科技有限公司 | 密码信息提示方法及装置 |
| CN103177204A (zh) * | 2013-03-29 | 2013-06-26 | 北京奇虎科技有限公司 | 密码信息提示方法及装置 |
| CN106663172A (zh) * | 2014-07-23 | 2017-05-10 | 高通股份有限公司 | 用于检测以移动设备的行为安全机制为目标的恶意软件和攻击的方法和系统 |
| CN105447385B (zh) * | 2014-12-08 | 2018-04-24 | 哈尔滨安天科技股份有限公司 | 一种多层次检测的应用型数据库蜜罐实现系统及方法 |
| WO2017036043A1 (zh) * | 2015-08-28 | 2017-03-09 | 百度在线网络技术(北京)有限公司 | 钓鱼页面检测方法及系统 |
| US10367849B2 (en) | 2015-08-28 | 2019-07-30 | Baidu Online Network Technology (Beijing) Co., Ltd. | Method and system for detecting phishing page |
| CN106549960A (zh) * | 2016-10-27 | 2017-03-29 | 北京安天电子设备有限公司 | 一种基于网络监控追踪攻击者的方法及系统 |
| CN108256323A (zh) * | 2016-12-29 | 2018-07-06 | 武汉安天信息技术有限责任公司 | 一种针对钓鱼应用的检测方法及装置 |
| CN108830089A (zh) * | 2018-05-16 | 2018-11-16 | 哈尔滨工业大学 | 高频数据传输中电磁辐射信息泄漏的主动防护系统 |
| CN108830089B (zh) * | 2018-05-16 | 2022-04-08 | 哈尔滨工业大学 | 高频数据传输中电磁辐射信息泄漏的主动防护系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2009225671A1 (en) | 2009-09-24 |
| CA2718594A1 (en) | 2009-09-24 |
| EP2272024A2 (en) | 2011-01-12 |
| WO2009117445A3 (en) | 2009-11-12 |
| WO2009117445A2 (en) | 2009-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9455981B2 (en) | Method and system for protection against information stealing software | |
| US8959634B2 (en) | Method and system for protection against information stealing software | |
| US9495539B2 (en) | Method and system for protection against information stealing software | |
| CN101978376A (zh) | 用于抵御信息窃取软件的方法及系统 | |
| Gupta et al. | A literature survey on social engineering attacks: Phishing attack | |
| Stolfo et al. | Fog computing: Mitigating insider data theft attacks in the cloud | |
| Altwairqi et al. | Four most famous cyber attacks for financial gains | |
| Kalla et al. | Phishing detection implementation using databricks and artificial Intelligence | |
| Singh et al. | Detection and prevention of phishing attack using dynamic watermarking | |
| Azam et al. | Cybercrime Unmasked: Investigating cases and digital evidence. | |
| Verma et al. | An exploration analysis of social media security | |
| Minnaar | 'Crackers', cyberattacks and cybersecurity vulnerabilities: the difficulties in combatting the'new'cybercriminals | |
| Shah et al. | Investigating Various Approaches and Ways to Detect Cybercrime | |
| Waziri | Website forgery: Understanding phishing attacks and nontechnical Countermeasures | |
| Police | Cybercrime: an overview of incidents and issues in Canada | |
| Abbas et al. | A comprehensive approach to designing internet security taxonomy | |
| Oseni et al. | E-service security: taking proactive measures to guide against theft, case study of developing countries | |
| Virmani et al. | M, Mathur V, Saxena S (2020) Analysis of cyber attacks and security intelligence: Identity theft | |
| Reddy et al. | Prevalent Cyber Attacks and Defense | |
| Vakil et al. | Cyber Attacks: Detection and Prevention | |
| McGee et al. | How to counter cybercrime intrusions | |
| Blancaflor et al. | Social Media Content Compilation of Online Banking Scams in the Philippines: A Literature Review | |
| Divya et al. | Preventing web Application to avoid Illegal Entry of Hackers-a Review | |
| Kumari et al. | Investigating Supervised Machine Learning Methodologies for Preventing Phishing Attacks on SCADA Server | |
| Khanday et al. | Intrusion Detection Systems for Trending Cyberattacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110216 |