CN105912927A - 用于生成应用控制规则的系统和方法 - Google Patents

用于生成应用控制规则的系统和方法 Download PDF

Info

Publication number
CN105912927A
CN105912927A CN201510524590.2A CN201510524590A CN105912927A CN 105912927 A CN105912927 A CN 105912927A CN 201510524590 A CN201510524590 A CN 201510524590A CN 105912927 A CN105912927 A CN 105912927A
Authority
CN
China
Prior art keywords
application
classification
computer
user
score
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510524590.2A
Other languages
English (en)
Other versions
CN105912927B (zh
Inventor
安德烈·V·拉迪科夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of CN105912927A publication Critical patent/CN105912927A/zh
Application granted granted Critical
Publication of CN105912927B publication Critical patent/CN105912927B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computing Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请公开了用于配置针对可在计算机上执行的应用的控制规则的系统和方法。一个示例性方法包括:将计算机应用分类到多个类别组中的至少一个类别组,所述多个类别组包括未知类别组和至少一个预定的类别组。该方法还包括:当所述应用被分类在所述未知类别组中时,配置控制规则,其中,配置所述控制规则是由硬件处理器通过进行以下操作来进行的:确定计算机的用户的计算机能力得分;将所述应用分类到一个或多个预定义的类别中;以及基于所确定的所述用户的计算机能力得分以及至少一个应用的一个或多个预定义的类别,定义针对所述应用的控制规则。

Description

用于生成应用控制规则的系统和方法
技术领域
概括而言,本发明涉及计算机安全领域,更具体地说,涉及生成应用控制规则的系统和方法。
背景技术
可设想的能够在计算设备(包括个人计算机)上使用的应用(软件)的数目现今如雪崩一般地增长。在众多应用之中,存在能够对计算机或计算机用户造成损害的许多恶意程序,诸如因特网蠕虫、键盘记录器和/或计算机病毒。
对于计算机网络的管理员而言,对一组计算设备进行保护的问题尤为迫切,其中大量的应用可以被安装在网络中的每个计算机上,而其中一些应用可能是有害的。为了解决该问题,一种常用的方法是使用应用控制系统,在该应用控制系统中,网络管理员通过使用集中式控制模块和企业网络的计算机侧的客户端组的组合,而有权访问正在网络中的计算机上执行的应用,其中该客户端组可以执行从集中式控制模块接收的命令。通过使用这种系统,网络管理员能够创建用于允许/禁止应用在网络中的计算机上执行的规则,并且控制这些应用对网络中的计算机的资源的访问。
使用应用控制系统的一种常见方式是默认拒绝,其允许在计算机上仅使用一示例组软件。这种组可以例如包含存在于可信应用的列表(即,白名单)上的软件。这种方法可以通过限制计算机执行恶意软件来保护计算机。
对于在其上仅能够安装和使用来自可信应用的列表中的软件的计算机而言,前述方法的使用是合理的并且不会存在任何困难。然而,该方法具有缺点:在其上存在未出现于可信应用的列表上但不是有害的软件的计算机上,该软件(可能是大量的软件)将被阻止。
针对该问题的已知解决方案涉及修改应用控制规则。然而,这些方法未解决从计算设备的安全的角度来形成应用控制规则的问题或者未充分高效地解决该问题。因此,在计算机安全领域,存在对生成应用控制规则的更高效方法的需求。
发明内容
本发明能够使得针对前述的应用控制的问题的有效解决方案可行。公开了用于配置针对可在计算机上执行的应用的控制规则的示例性系统、方法以及计算机程序产品。
在一个方面,公开了用于配置针对可在计算机上执行的应用的控制规则的示例性方法,该方法包括:由硬件处理器将至少一个计算机应用分类到多个类别组中的至少一个类别组,所述多个类别组包括未知类别组和至少一个预定的类别组;以及当所述至少一个应用被分类在所述未知类别组中时,配置至少一个控制规则;其中,配置所述至少一个控制规则包括:由所述硬件处理器确定所述计算机的用户的计算机能力得分;将所述至少一个应用分类到一个或多个预定义的类别中,以及基于所确定的所述用户的计算机能力得分以及所述至少一个应用的所述一个或多个预定义的类别,定义针对所述至少一个应用的控制规则。
在另一方面,所述至少一个预定的类别组包括可信应用组和非可信应用组。
在另一方面,所述示例方法中的所述分类包括使用下列各项中的一项或多项:与由所述至少一个应用使用的所述计算机的函数有关的信息、所述至少一个应用的目的、以及所述至少一个应用的临界性得分。
在另一方面,确定所述用户的所述计算机能力得分至少基于用户信息和计算机信息。
在另一方面,所述用户信息包括下列各项中的一项或多项:所述用户的安全访问水平、所述用户的社交网络简档信息、以及所述用户的个人信息。
在另一方面,所述用户的所述社交网络简档信息和/或所述用户的所述个人信息包括以下各项中的至少一项:工作职位、公司名称、以及所述用户的职业领域。
在另一方面,所述计算机信息包括以下各项中的至少一项:计算机安全事件记录、网络资源访问记录、以及所述至少一个应用的所述一个或多个预定义的类别。
在另一方面,所述至少一个应用的所述临界性得分包括根据下列等式来计算所述临界性得分:
C = Σa i C i b i ,
其中,C为所述临界性得分,ai是针对第i类别的加权,Ci是第i类别的临界性得分,并且bi是第i类别的幂系数。
在另一方面,公开了一种用于配置针对可在计算机上执行的应用的控制规则的系统,该系统包括硬件处理器,其配置为:将至少一个计算机应用分类到多个类别组中的至少一个类别组,所述多个类别组包括未知类别组和至少一个预定的类别组;以及当所述至少一个应用被分类在所述未知类别组中时,通过以下操作来配置至少一个控制规则:确定所述计算机的用户的计算机能力得分;将所述至少一个应用分类到一个或多个预定义的类别中,以及基于所确定的所述用户的计算机能力得分以及所述至少一个应用的所述一个或多个预定义的类别,定义针对所述至少一个应用的控制规则。
上面示例性方面的简单概要是用来提供对本公开内容的基本理解。该概要并非所有预期方面的广泛概述,并且其意图既不是要确定所有方面的关键或重要元素,也不是要划定本公开内容的任何或所有方面的范围。其唯一目的是以简化的形式给出一个或多个方面,作为下面本公开内容的更详细描述的前奏。为了实现上述目的,本公开内容的所述一个或多个方面包括在权利要求中描述并示例性地指出的特征。
附图说明
被合并入说明书并且构成说明书的一部分的附图示出了本公开内容的一个或多个示例性方面,并且与具体实施方式一起用来解释本公开内容的原理和实现。
图1示出了用于配置针对可在计算机上执行的应用的控制规则的示例系统的示意图。
图2示出了用于配置针对可在计算机上执行的应用的控制规则的流程图。
图3示出了所公开的系统和方法能够在其上实现的通用计算机系统的示例。
具体实施方式
本文在用于控制在计算机上执行的应用的系统、方法和计算机程序产品的背景下,描述了若干示例性方面。本领域的普通技术人员应意识到的是,下面的描述仅是说明性的,并非旨在以任何方式进行限定。其它方面将使本领域的技术人员很容易得出本公开内容的益处的启示。现在将详细地参照如图所示出的示例性方面的实施。贯穿附图以及下面的描述,将尽量使用相同的附图标记来指代相同或相似的项目。
图1示出了用于配置针对可在计算机上执行的应用的控制规则的示例系统的示意图。计算机系统100(将在图3中示出其额外的细节)可以是任意给定的计算设备,诸如移动计算设备。根据该示例方面,各种软件可以在计算机系统100发挥功能(诸如安全模块130),以保护计算机系统抵抗有害对象(即,能够对计算机或计算机用户造成损害的对象,诸如因特网蠕虫、键盘记录器和/或计算机病毒,以及对这些对象的引用,例如URL)。如进一步示出的,计算机系统100包括:应用控制模块120,其监测应用的运行和执行;操作系统(“OS”)140,其控制对例如由应用所使用的计算机100的资源(例如,处理器、随机访问存储器、数据存储设备)的访问。在一个示例方面,安全模块130可以是杀毒软件。同样地,一个或多个软件应用110可以在计算机100上运行,诸如用于进行以下操作的应用:与银行一起运作/进行交易、在对等网络中进行运作、交换消息、管理文件流以及网页浏览(例如,因特网浏览器)。
如进一步示出的,计算机系统100可以包括应用执行记录115,其为指定用来保存由应用110在其操作和/或安装的过程中创建的数据的一组资源。在一个方面,应用执行记录115可以包括系统注册表(未示出),其保存由应用110使用的计算机系统100的软件和硬件的各种设置。在另一方面,应用执行记录115可以包括易失性和非易失性存储设备以及由应用110所使用的其一部分或分区。在一般情况下,应用执行记录115保存应用110的设置、在执行期间发生的事件的记录(诸如,对于安全模块130而言,对包含关于检测有害对象的信息的文件和记录进行检查的结果以及针对应用110而言,消息的交换(即,发送和接收消息的历史))、以及可以在应用110的操作期间创建的文件。
如前面提到的,应用控制模块120被设计成监测应用的运行和执行。在该示例方面,应用控制模块120生成或定义并使用在各种状况下调整其行为的规则(即,对所述软件(诸如该软件的动作)进行监测)。在一个示例方面,这种规则定义了应用控制模块120在各种应用110以及来自不同组的应用的运行和执行期间的工作。根据一个示例方面,针对各种应用110的组可以是:(i)可信软件、(ii)恶意软件、以及(iii)未分类(例如,未知)软件。可信软件的组可以包括例如不对计算机系统100造成损害或其来源或作者已知为可信的应用110。根据一个示例方面,如果例如依据X.509标准通过可信的数字标签对应用110进行了标记,则应用110可以被分类在可信软件的组中。在另一方面,可信软件组可以包含关于其的信息(诸如校验和)被存储在可信应用的数据库中的应用,该数据库可以存在于计算机系统100或远程服务器中。在另一方面,可信软件的组还可以包含从可信的源(诸如具有可信数字证书的站点)下载的应用110。
根据另一示例方面,恶意软件的组可以包括对计算机100造成损害的应用110。根据一个示例方面,如果相应的信息从安全模块130到达应用控制模块120,例如,由安全模块130作出的监测到恶意对象的结论,则应用110可以被分类在恶意软件的组中。在另一示例方面,这种组可以包含关于其的信息(诸如校验和)被存储在恶意应用的数据库中的应用,该数据库可以存在于计算机100或远程服务器中。
根据一个示例方面,未分类(未知)软件的组可以包含未被包含在可信软件或恶意软件的组中的应用110。在一个示例方面,由可信软件创建的未分类软件同样被认为是可信的(例如,由可信的开发环境创建的可执行文件)。在一个示例方面,相应的信息(包括进行创建的应用和被创建的应用之间的“父子”关系)可以保存在前述的可信应用的数据库中,该数据库可以存在于计算机100或远程服务器中。
在另一示例方面,借助于恶意软件而创建的未分类软件也被视为恶意的。
在一个示例方面,一个应用创建另一个应用的事实是借助于安全模块130来查明的。
在一个示例方面,控制模块120使用应用控制规则来监测应用110(或一个软件组)的启动和执行。根据一个方面,该控制规则可以具有以下形式:(i)阻止恶意软件运行;(ii)允许仅可信软件运行(默认拒绝模式);以及(iii)允许不是来自恶意软件的组的软件运行。
在一个示例方面,该控制规则还可以定义应用110对以下各项的访问能力的类别:局域网的资源、远程资源、第三方进程的地址空间、服务和驱动程序的控制、操作系统的注册表、操作系统的安全策略、操作系统的安全策略以及进程的调试。上述中的每个类别是通过定义应用所使用的、由标准系统库(诸如应用编程接口(“API”),其可以从正在被执行的文件的入口表中确定)提供的函数,以及上述函数的使用的条件(诸如其参数)和对它们应用的规则集合来确定的。下面给出了允许将应用110分配到一个类别或另一类别的规则的示例。表1中的列“临界性评估”的含义将在下面解释。
表1
在另一示例方面,关于控制规则,可以针对应用110额外定义下列目的类别:用于与银行一起运作/进行交易(诸如用于在银行或远程银行服务对账户的远程控制的客户端);用于在对等网络中工作(例如,用于凭借BitTorrent协议进行文件交换的应用);用于消息交换;用于实现语音通信(VoIP-IP语音);用于与文档一起运作(诸如Microsoft或Microsoft);用于与电子邮箱一起运作(诸如Microsoft);用于软件开发(诸如Microsoft Visual);用于网页浏览(诸如Microsoft Internet)。在一个示例方面,通过对来自资源段的信息的分析,可以将应用110分配到一个类别或另一类别,其中该信息包含关于文件版本的信息(FileVersionInfo)。在另一示例方面,可以从文件记录中获取关于应用110的信息。通过前述方法之一获得的应用110的名称(或名称的一部分)可以此后与目的类别中的一个进行匹配。在一个示例方面,如果应用110被分类为可信软件,则可以使用如此获得的信息来确定目的类别。下面针对根据应用110的名称来确定应用110的目的类别给出了一个示例。表1中的列“临界性评估”的含义将在下面解释。
表2
在另一示例方面,可以通过将应用110在其执行期间被提供访问的远程资源(诸如更新服务器)的地址(诸如IP地址或URL-统一资源定位符)进行比较,来建立应用110的目的类别。对目的类别的确定可以类似于上面描述的方法来进行,其中,在应用110的名称和某特定类别之间对匹配进行分析,但考虑提供要访问的远程资源的地址。
对于本领域的技术人员应当理解的是,任何给定的分类的应用110可以被分类在上述类别中的一个以上的类别中。
在一个示例方面,上面描述的通过目的类别进行的分类的方法还可以针对依次使用以创建其它软件的软件来执行(上面描述了检测一个软件创建了另一个软件的方法)。如果用于创建另外软件的软件被分类在一个或多个示例类别中,则无法根据示例方面使用上面描述的“父/子”关系来改变所创建的软件的组(例如,前述的可信、恶意和未分类软件的组)。在另一示例方面,这种类别针对于在对等网络中工作、消息交换、以及网页浏览。因而,例如,由分类为可信软件的应用所创建的未分类软件无法被视为可信的。
应当意识到的是,预防计算机系统100的用户执行恶意软件是重要的。因此,执行对计算机系统100上存在的全部软件的分析。在一个示例方面,这种分析检测未知软件。在一个示例方面,如果一个软件是未分类软件,也就是说,其既不是可信软件也不是恶意软件,则将该软件确定为未知的。因此,为了检测未知软件,将计算机100上存在的每个应用110确定为可信的、恶意的或未分类的软件。根据上面描述的方法来执行对应用是否属于这些组的确定。在一个方面,如果在用户的计算机100上未存在未分类软件,则可以在默认拒绝模式中使用应用控制模块(即,仅允许可信软件运行)。在另一方面,如果在用户的计算机100上仅存在可信软件,则也可以在默认拒绝模式中使用应用控制模块。
与之相比,如果计算机系统100上的应用110无法被分类(未分类的或未知软件),则所公开的系统和方法可以根据示例方面为应用控制模块120形成针对这种应用的控制规则。为了形成控制规则,可以针对先前未被认为是可信的或恶意的软件(即,针对未分类/未知软件)来执行分类。在一个示例方面,执行对应用110的分类,以将未分类软件分配到上面描述的访问选项的类别中的一个。在另一方面,可以执行对应用110的分类,以将软件分配到上面描述的目的类别中的一个。
在针对未知应用形成应用控制模块120的应用控制规则时,除了对前述应用的分类的结果之外,所述系统和方法还考虑对计算设备的用户的评估的因素。在一个方面,为用户评估分配该用户的计算机能力水平的数值评估(例如,在0和100或没有上界的数字之间的数值)。在一个示例方面,所述系统和方法可以假定:与计算机能力水平较低的用户相比,具有较高计算机能力水平的用户有较少的可能会受到恶意对象的损害。因此,用户的计算机能力水平越高,被应用控制模块120针对未分类软件所允许的操作(例如包括调用特定的应用功能(function)以及执行这种应用)则越多。计算机能力是关于计算设备的运行、它们之间的关系的知识的总和,其中包括消除恶意对象的方法。将每个未知应用110的分类的结果进行比较,对计算机100上存在的应用110的组的分类的整体评估,以及用户计算机能力的数值评估使得所公开的系统和方法能够定义针对应用110的应用控制规则。
在一个示例方面,对于前述的用户评估,系统收集表征计算机100上的软件(例如包括操作系统140)的各种信息。在一个示例方面,这种信息可以包括来自安全模块130的执行记录中的恶意对象的感染和检测的历史。在另一方面,这种信息可以包括计算机用户的权限等级(例如,用户是否具有针对计算机100的管理员权限)。在另一方面,这种信息可以是来自对软件110针对网络访问(特别是针对网页浏览)的执行记录的信息,诸如访问页面的历史。在另一方面,该信息可以被确定为通过上面讨论的目的类别对应用110的分类的结果。在另一方面,这种信息可以是社交网络(诸如)上用户的个人页面的数据(例如,关于工作或职业的领域和职务的数据)。在所有前述信息的形成中,使用规则来形成最终的用户评估。下面给出了基于前述信息来形成计算机100的用户的评估的规则的一个示例。在一个示例方面,假定初始用户评估是固定的数值,例如0。
表3
在一个示例方面,非可信资源是被安全模块130由于例如在下载的页面中存在恶意代码而阻止访问的因特网资源。在另一方面,用于进行银行操作的资源是来自统一资源定位符(URL)的其第一级域名可以至少是以下各项的资源:“tcsbank.ru”、“bm.ru”、“sbrf.ru”。在另一方面,与信息技术有关的工作是其标题可以至少包含以下各项的组织:“卡巴斯基(Kaspersky)”、以及
应当理解的是,上面给出的规则仅是如何将收集到的信息转换成用户评估的示例,其中包括如何使用所提到的信息源。因此,使用这种规则的目的是从用户的计算机能力水平方面对用户进行评估,即,能力水平的评估越高,计算机100的用户在其使用计算机100和应用110期间不会成为恶意对象的受害者的可能性越高。
还应注意的是,在一个示例方面,通过表1、表2和表3例示的所有规则(包括这些规则所使用的数值)可以由人来定义(制定)。在另一方面,这些规则可以是自动制定的。
当针对未分类/未知软件定义应用控制模块120的应用控制规则时,考虑用户评估和计算机100上存在的应用110的类别(访问和目的)之间的关系。为此,如果软件已被认为是未分类的,则可以使用对该软件的临界性的评估,其中,软件的临界性可以示出使用软件或其单个组件的危险程度。在一个示例方面,该评估是数值评估,诸如在0和100或没有上界的数字之间的数值。针对每个应用110的临界性评估是基于对应用110出现在其中的类别的临界性评估的,并且可以通过对(在表1和表2中示出的)上述类别的临界性评估的组合的方法来进行计算。在一个方面,应用110的临界性评估是应用110的类别的临界性评估的幂级数:
其中,C为临界性评估,Ci是第i类别的临界性评估,ai是针对第i类别的加权因子(在一个示例方面,在0到1的区间中),并且bi是第i类别的指数(在一个示例方面,大于0.5的数值)。
在另一示例方面,应用110的临界性评估可以被定义为应用110的类别的临界性评估之和除以所有已知类别的临界性评估之和再乘以校正因子(诸如100)。
在一个示例方面,当针对未知软件制定应用控制模块120的控制规则时,可以将应用的临界性评估和用户评估进行比较。例如,如果系数(诸如1.5)与应用110的临界性评估的乘积再提升一个幂(诸如1.1)大于用户评估,则制定应用控制模块120拒绝未知应用110的使用的规则。否则,可以制定允许应用110的使用的规则。
在另一示例方面,应用的临界性评估不用于针对未知应用110来定义应用控制模块120的控制规则,而只使用访问类别的临界性评估:控制规则不控制将示例应用110作为整体来运行的可能性,但控制该应用使用来自每个特定访问类别的函数的可能性,如表1(列2)中示出的。因此,在一个示例中,如果
4>aiCi
则制定应用控制模块120拒绝来自该第i访问类别的函数被应用110使用的规则,其中,A是用户评估,Ci是第i访问类别的临界性评估,并且ai是针对第i类别的系数(例如,10)。否则,制定应用控制模块120允许应用110使用来自前述类别(第i类别)的函数的规则。
然后,将通过上面描述的方法针对未知软件为应用控制模块120制定的控制规则提供给应用控制模块120。然后,根据先前制定的控制规则来使用应用控制模块120。
应当意识到的是,例如,如果用于制定用户评估或应用110的临界性评估(以及应用类别的临界性评估)的信息改变了,则可以改变控制规则。在一个方面,新的控制规则的制定可以通过重复上面描述的方法的步骤以针对未知软件来制定应用控制模块120的控制规则来进行。
图2示出了根据一个方面,用于配置针对可在计算机上执行的应用的控制规则的流程图。如图所示,在步骤201,对应用110进行分类,以便识别每个应用110的相应的组,即,可信软件、恶意软件或未分类软件。在步骤202,对未知软件进行检测。在该步骤中,未知软件被认为是来自未分类软件的组中的软件。如果没有发现这种应用,则在步骤203,根据默认拒绝规则来使用应用控制模块120(即,允许仅可信软件的运行)。相反地,如果发现了未知应用,则在步骤204中,(通过访问以及通过目的)对这些应用进行分类。接下来,在步骤205,针对此后在步骤206中使用的用户评估收集信息,以形成在计算机能力方面的用户评估。该评估允许信任具有较高计算机能力水平的用户来运行未知应用(或其组件)。接下来,在步骤207,根据所获得的用户评估以及未知应用的临界性评估,针对未知应用为应用控制模块120定义/形成控制规则。最终,在步骤208,根据先前针对未知软件制定的应用控制规则来使用应用控制模块120。如图2所示,该操作流程可以重复进行。
图3示出了根据示例方面,可以在其上实现所公开的系统和方法的通用计算机系统(其可以是个人计算机或服务器)的示例。计算机系统20包括中央处理单元21、系统存储器22以及将各种系统组件(包括与中央处理单元21相关联的存储器)相连的系统总线23。系统总线23是以现有技术所已知的、能够与任何其它总线架构进行交互的任何总线结构实现的,其中依次包括总线存储器或总线存储控制器、外围设备总线以及本地总线。系统存储器包括只读存储器(ROM)24以及随机访问存储器(RAM)25。基本输入/输出系统(BIOS)26包括确保信息在个人计算机20的元件之间的转移(诸如借助ROM 24加载操作系统时)的基本过程。
计算机20依次包括:用于读写数据的硬盘27、用于在可移动磁盘29上进行读写的磁盘驱动器28、以及用于在可移动光盘31(诸如CD-ROM、DVD-ROM以及其它光信息介质)上进行读写的光驱30。硬盘27、磁盘驱动器28以及光驱30分别通过硬盘接口32、磁盘接口33和光驱接口34连接到系统总线23。这些驱动器和相应的计算机信息介质是用于存储计算机指令、数据结构、程序模块以及个人计算机20的其它数据的电源独立的模块。
本公开内容提供了一种使用硬盘驱动器27、可移动磁盘29以及可移动光盘31的系统的实现,但应当理解的是,可以采用能够存储以可被计算机读取的形式的数据的其它类型的计算机信息介质56(固态硬盘、闪存卡、数字盘、随机访问存储器(RAM)等),其中上述组件经由控制器55连接到系统总线23。
计算机20具有文件系统36(其中存储有所记录的操作系统35),并且还具有附加的程序应用37、其它程序模块38和程序数据39。用户能够通过使用输入设备(键盘40、鼠标42)向个人计算机20输入命令和信息。可以使用其它输入设备(未示出):麦克风、操纵杆、游戏控制器、扫描仪等。这些输入设备通常通过串行端口46插入到计算机系统20,进而连接到系统总线,但其也可以以其它方式进行连接,例如,借助于并行端口、游戏端口或通用串行总线(USB)。显示器47或其它类型的显示设备也通过接口(诸如视频适配器48)连接到系统总线23。除了显示器47之外,个人计算机还可以装备有其它外围输出设备(未示出),诸如扬声器、打印机等。
个人计算机20能够使用到一个或多个远程计算机49的网络连接,在网络环境下进行操作。远程计算机(或多个计算机)49也可以是具有在先前描述计算机20的属性时所提到的大部分或所有元件的个人计算机或服务器,如图3所示。在计算机网络中还可以存在其它设备,诸如路由器、网络站、对等设备或其它网络节点。
网络连接可以形成局域计算机网络(LAN)50(诸如有线和/或无线网络)和广域计算机网络(WAN)。这些网络被用于企业计算机网络以及公司内部网络,并且它们通常具有到因特网的接入。在LAN或WAN网络中,个人计算机20通过网络适配器或网络接口51连接到局域网50。当使用网络时,个人计算机20可以使用调制解调器54或其它模块来提供与广域计算机网络(诸如因特网)的通信。调制解调器54(其为内部或外部设备)通过串行端口46连接到系统总线23。应当注意的是,这些网络连接仅是示例性的,并不需要描绘网络的实际配置,即,实际上存在通过技术通信模块(诸如蓝牙)来建立一个计算机到另一个计算机的连接的其它方式。
在各个方面,本文中描述的系统和方法可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则该方法可以作为一个或多个指令或代码存储在非暂时性计算机可读介质上。计算机可读介质包括数据存储。通过举例而非限定的方式,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪存或其它类型的电、磁或光存储介质,或能够用于以指令或数据结构的形式携带或存储期望的程序代码并且能够被通用计算机的处理器访问的任何其它介质。
在各个方面,在本公开内容中在模块方面描述了系统和方法。如本文中使用的术语“模块”指的是现实的设备、组件、或使用硬件实现的组件的排列,诸如通过专用集成电路(ASIC)或现场可编程门阵列(FPGA);或者作为硬件和软件的组合,诸如通过微处理器系统以及用于实现该模块的功能的指令集,其中该指令集(在被执行时)将该微处理器系统转换成专用设备。模块还可以实现为以下二者的组合:单独由硬件协助的特定功能,以及由硬件和软件的组合协助的其它功能。在某些实现中至少部分的以及在一些情况下所有的模块能够在通用计算机的处理器上执行(诸如上面在图3中详细描述的)。因此,每个模块可以以各种适当的配置实现,并且不应当限于本文中所举例说明的任何示例性实现。
为了清楚起见,本文并未公开各个方面的所有常规特征。应当意识到的是,在本公开内容的任何实际实现的开发中,必须做出若干特定于实现的决策以便达到开发者的具体目标,并且对于不同的实现和不同的开发者,这些具体目标会不同。应当意识到的是,这种开发工作会是复杂的和耗时的,但是对于具有了本公开内容的益处的本领域普通技术人员而言,这将只不过是工程的例行工作任务。
此外,应当理解的是,本文中使用的措辞或术语是出于描述而非限制的目的,因此本说明书中的术语或措辞应被本领域技术人员根据本文中给出的教导和指导,结合相关领域的技术知识来进行解释。此外,除非明确地指出,对于说明书或权利要求书中的任何术语,并非旨在归于非常用的或特殊的释义。
本文中公开的各个方面涵盖本文中以解释说明的方式提及的已知模块的目前以及未来已知的等同物。此外,虽然已示出并描述了多个方面和应用,但具有本公开内容的益处的本领域技术人员应当意识到的是,在不背离本文公开的发明构思的情况下,可能有比上面所提及的更多的修改。

Claims (16)

1.一种用于配置针对可在计算机上执行的应用的控制规则的方法,所述方法包括:
由硬件处理器将至少一个计算机应用分类到多个类别组中的至少一个类别组,所述多个类别组包括未知类别组和至少一个预定的类别组;以及
当所述至少一个应用被分类在所述未知类别组中时,配置至少一个控制规则;
其中,配置所述至少一个控制规则包括:
由所述硬件处理器确定所述计算机的用户的计算机能力得分;
将所述至少一个应用分类到一个或多个预定义的类别中,以及
基于所确定的所述用户的计算机能力得分以及所述至少一个应用的所述一个或多个预定义的类别,定义针对所述至少一个应用的控制规则。
2.根据权利要求1所述的方法,其中,所述至少一个预定的类别组包括可信应用组和非可信应用组。
3.根据权利要求1所述的方法,其中,对所述至少一个应用进行分类包括使用下列各项中的一项或多项:与由所述至少一个应用使用的所述计算机的函数有关的信息、所述至少一个应用的目的、以及所述至少一个应用的临界性得分。
4.根据权利要求1所述的方法,其中,确定所述用户的所述计算机能力得分至少基于用户信息和计算机信息。
5.根据权利要求4所述的方法,其中,所述用户信息包括下列各项中的一项或多项:所述用户的安全访问水平、所述用户的社交网络简档信息、以及所述用户的个人信息。
6.根据权利要求5所述的方法,其中,所述用户的所述社交网络简档信息或所述用户的所述个人信息包括以下各项中的至少一项:工作职位、公司名称、以及所述用户的职业领域。
7.根据权利要求4所述的方法,其中,所述计算机信息包括以下各项中的至少一项:计算机安全事件记录、网络资源访问记录、以及所述至少一个应用的所述一个或多个预定义的类别。
8.根据权利要求3所述的方法,其中,所述至少一个应用的所述临界性得分包括根据下列等式来计算所述临界性得分:
C = Σa i C i b i ,
其中,C为所述临界性得分,ai是针对第i类别的加权,Ci是第i类别的临界性得分,并且bi是第i类别的幂系数。
9.一种用于配置针对可在计算机上执行的应用的控制规则的系统,所述系统包括:
硬件处理器,其配置为:
将至少一个计算机应用分类到多个类别组中的至少一个类别组,所述多个类别组包括未知类别组和至少一个预定的类别组;以及
当所述至少一个应用被分类在所述未知类别组中时,通过以下操作来配置至少一个控制规则:
确定所述计算机的用户的计算机能力得分;
将所述至少一个应用分类到一个或多个预定义的类别中,以及
基于所确定的所述用户的计算机能力得分以及所述至少一个应用的所述一个或多个预定义的类别,定义针对所述至少一个应用的控制规则。
10.根据权利要求9所述的系统,其中,所述至少一个预定的类别组包括可信应用组和非可信应用组。
11.根据权利要求9所述的系统,其中,所述硬件处理器配置为通过使用下列各项中的一项或多项来对所述至少一个应用进行分类:与由所述至少一个应用使用的所述计算机的函数有关的信息、所述至少一个应用的目的、以及所述至少一个应用的临界性得分。
12.根据权利要求9所述的系统,其中,所述硬件处理器至少基于用户信息和计算机信息来确定所述用户的所述计算机能力得分。
13.根据权利要求12所述的系统,其中,所述用户信息包括下列各项中的一项或多项:所述用户的安全访问水平、所述用户的社交网络简档信息、以及所述用户的个人信息。
14.根据权利要求13所述的系统,其中,所述用户的所述社交网络简档信息或所述用户的所述个人信息包括以下各项中的至少一项:工作职位、公司名称、以及所述用户的职业领域。
15.根据权利要求12所述的系统,其中,所述计算机信息包括以下各项中的至少一项:计算机安全事件记录、网络资源访问记录、以及所述至少一个应用的所述一个或多个预定义的类别。
16.根据权利要求11所述的系统,其中,其中,所述至少一个应用的所述临界性得分包括根据下列等式来计算所述临界性得分:
C = Σa i C i b i ,
其中,C为所述临界性得分,ai是针对第i类别的加权,Ci是第i类别的临界性得分,并且bi是第i类别的幂系数。
CN201510524590.2A 2015-02-20 2015-08-24 用于生成应用控制规则的系统和方法 Active CN105912927B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2015105808 2015-02-20
RU2015105808/08A RU2587424C1 (ru) 2015-02-20 2015-02-20 Способ контроля приложений
US14/701,636 2015-05-01
US14/701,636 US10019587B2 (en) 2015-02-20 2015-05-01 System and method for generating application control rules

Publications (2)

Publication Number Publication Date
CN105912927A true CN105912927A (zh) 2016-08-31
CN105912927B CN105912927B (zh) 2019-03-08

Family

ID=56132169

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510524590.2A Active CN105912927B (zh) 2015-02-20 2015-08-24 用于生成应用控制规则的系统和方法

Country Status (3)

Country Link
US (1) US10019587B2 (zh)
CN (1) CN105912927B (zh)
RU (1) RU2587424C1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2747514C2 (ru) * 2019-06-28 2021-05-06 Акционерное общество "Лаборатория Касперского" Система и способ категоризации приложения на вычислительном устройстве
US11699434B2 (en) * 2020-12-04 2023-07-11 Arria Data2Text Limited Systems, computer-implemented methods, and computer program products for data sequence validity processing
US11928218B2 (en) * 2022-04-21 2024-03-12 Dell Products, L.P. (BIOS) enforced application blocklist system and method

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100083376A1 (en) * 2008-09-26 2010-04-01 Symantec Corporation Method and apparatus for reducing false positive detection of malware
CN101971591A (zh) * 2006-12-01 2011-02-09 网圣公司 分析网址的系统及方法
US8001606B1 (en) * 2009-06-30 2011-08-16 Symantec Corporation Malware detection using a white list
CN102710589A (zh) * 2011-10-26 2012-10-03 苏州闻道网络科技有限公司 基于局域网多核节点的音频转换方法
CN102999560A (zh) * 2011-10-26 2013-03-27 微软公司 用社交网络特征提高姓名和其它搜索查询的搜索引擎结果页面的相关性
CN103065088A (zh) * 2011-09-20 2013-04-24 卡巴斯基实验室封闭式股份公司 基于计算机用户的裁决检测计算机安全威胁的系统和方法
US20130159826A1 (en) * 2011-12-20 2013-06-20 Hilary Mason Systems and methods for recommending a list of urls
WO2014012106A2 (en) * 2012-07-13 2014-01-16 Sourcefire, Inc. Method and apparatus for retroactively detecting malicious or otherwise undesirable software as well as clean software through intelligent rescanning

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6341369B1 (en) 1998-12-03 2002-01-22 International Business Machines Corporation Method and data processing system for specifying and applying rules to classification-based decision points in an application system
US7350204B2 (en) * 2000-07-24 2008-03-25 Microsoft Corporation Policies for secure software execution
RU2202122C2 (ru) * 2001-01-03 2003-04-10 Щеглов Андрей Юрьевич Система контроля доступа к запускаемым процессам (программам)
US7062649B2 (en) * 2001-01-12 2006-06-13 Hewlett-Packard Development Company, L.P. System and method for categorizing security profile rules within a computer system
WO2004034229A2 (en) 2002-10-10 2004-04-22 Rocksteady Networks, Inc. System and method for providing access control
US7296288B1 (en) * 2002-11-15 2007-11-13 Packeteer, Inc. Methods, apparatuses, and systems allowing for bandwidth management schemes responsive to utilization characteristics associated with individual users
DE102004011201B4 (de) 2004-03-04 2006-10-12 Siemens Ag Verfahren zum Management und zur Überwachung des Betriebs mehrerer in wenigstens ein Kommunikationsnetz eingebundener verteilter Hard- und/oder Softwaresysteme sowie System zur Durchführung des Verfahrens
US7401083B2 (en) * 2005-05-23 2008-07-15 Goldman Sachs & Co. Methods and systems for managing user access to computer software application programs
US8621549B2 (en) 2005-12-29 2013-12-31 Nextlabs, Inc. Enforcing control policies in an information management system
EP2134531B1 (en) * 2007-04-18 2013-10-16 DSM IP Assets B.V. Method of producing a curved product comprising drawn polymer reinforcing elements and product obtained thereby
US7392544B1 (en) 2007-12-18 2008-06-24 Kaspersky Lab, Zao Method and system for anti-malware scanning with variable scan settings
US8296255B1 (en) * 2008-06-19 2012-10-23 Symantec Corporation Method and apparatus for automatically classifying an unknown site to improve internet browsing control
US8364776B1 (en) * 2009-09-15 2013-01-29 Symantec Corporation Method and system for employing user input for website classification
US8826444B1 (en) * 2010-07-09 2014-09-02 Symantec Corporation Systems and methods for using client reputation data to classify web domains
US8997233B2 (en) 2011-04-13 2015-03-31 Microsoft Technology Licensing, Llc Detecting script-based malware using emulation and heuristics
RU2477929C2 (ru) 2011-04-19 2013-03-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ предотвращения инцидентов безопасности на основании рейтингов опасности пользователей
US8813060B2 (en) 2011-06-17 2014-08-19 Microsoft Corporation Context aware application model for connected devices
US9111211B2 (en) * 2011-12-20 2015-08-18 Bitly, Inc. Systems and methods for relevance scoring of a digital resource
US9203860B1 (en) * 2012-03-20 2015-12-01 United Services Automobile Association (Usaa) Dynamic risk engine
US8918387B1 (en) * 2012-04-04 2014-12-23 Symantec Corporation Systems and methods for classifying applications configured for cloud-based platforms
US9467465B2 (en) * 2013-02-25 2016-10-11 Beyondtrust Software, Inc. Systems and methods of risk based rules for application control
RU2589852C2 (ru) 2013-06-28 2016-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ автоматической регулировки правил контроля приложений
US9324022B2 (en) * 2014-03-04 2016-04-26 Signal/Sense, Inc. Classifying data with deep learning neural records incrementally refined through expert input
US9721212B2 (en) * 2014-06-04 2017-08-01 Qualcomm Incorporated Efficient on-device binary analysis for auto-generated behavioral models

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101971591A (zh) * 2006-12-01 2011-02-09 网圣公司 分析网址的系统及方法
US20100083376A1 (en) * 2008-09-26 2010-04-01 Symantec Corporation Method and apparatus for reducing false positive detection of malware
US8001606B1 (en) * 2009-06-30 2011-08-16 Symantec Corporation Malware detection using a white list
CN103065088A (zh) * 2011-09-20 2013-04-24 卡巴斯基实验室封闭式股份公司 基于计算机用户的裁决检测计算机安全威胁的系统和方法
CN102710589A (zh) * 2011-10-26 2012-10-03 苏州闻道网络科技有限公司 基于局域网多核节点的音频转换方法
CN102999560A (zh) * 2011-10-26 2013-03-27 微软公司 用社交网络特征提高姓名和其它搜索查询的搜索引擎结果页面的相关性
US20130159826A1 (en) * 2011-12-20 2013-06-20 Hilary Mason Systems and methods for recommending a list of urls
WO2014012106A2 (en) * 2012-07-13 2014-01-16 Sourcefire, Inc. Method and apparatus for retroactively detecting malicious or otherwise undesirable software as well as clean software through intelligent rescanning

Also Published As

Publication number Publication date
US10019587B2 (en) 2018-07-10
CN105912927B (zh) 2019-03-08
US20160246973A1 (en) 2016-08-25
RU2587424C1 (ru) 2016-06-20

Similar Documents

Publication Publication Date Title
Amini et al. A game theory method to cyber-threat information sharing in cloud computing technology
JP6621940B2 (ja) ネットワーク化コンピュータシステムアーキテクチャにおけるセキュリティリスクを低減させるための方法および装置
US9607155B2 (en) Method and system for analyzing an environment
US10630713B2 (en) Method and tool to quantify the enterprise consequences of cyber risk
US11611590B1 (en) System and methods for reducing the cybersecurity risk of an organization by verifying compliance status of vendors, products and services
US11636213B1 (en) System and methods for reducing an organization's cybersecurity risk based on modeling and segmentation of employees
US11640470B1 (en) System and methods for reducing an organization's cybersecurity risk by determining the function and seniority of employees
Goel et al. PRISM: a strategic decision framework for cybersecurity risk assessment
Baz et al. Impact of COVID-19 Pandemic: A Cybersecurity Perspective.
US20240106847A1 (en) Methods and systems for detecting reconnaissance and infiltration in data lakes and cloud warehouses
JP7213626B2 (ja) セキュリティ対策検討ツール
Berdibayev et al. A concept of the architecture and creation for siem system in critical infrastructure
CN105912927A (zh) 用于生成应用控制规则的系统和方法
CN106257482B (zh) 数据分析结果的管控放置
JP2022537124A (ja) サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション
Bhusal et al. Sok: Modeling explainability in security analytics for interpretability, trustworthiness, and usability
Aziz Analysing potential data security losses in organisations based on subsequent users logins
Alohali et al. The design and evaluation of a user-centric information security risk assessment and response framework
Trad Enterprise Transformation Projects-Cloud Transformation Concept–Holistic Security Integration (CTC-HSI)
Alayo et al. Cybersecurity maturity model for providing services in the financial sector in Peru
De Faveri et al. Visual modeling of cyber deception
Laracy et al. Systems Theory and Information Security: Foundations for a New Educational Approach
Rohini et al. MAGIC: Malware behaviour analysis and impact quantification through signature co-occurrence and regression
Stewart The Community Defense Approach: A Human Approach to Cybersecurity for Industrial and Manufacturing Systems
CN114816964B (zh) 风险模型构建方法、风险检测方法、装置、计算机设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant