RU2014148962A

RU2014148962A - Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений

Info

Publication number: RU2014148962A
Application number: RU2014148962A
Authority: RU
Inventors: Виктор Владимирович Яблоков; Константин Михайлович Филатов; Евгений Юрьевич Елисеев; Роман Сергеевич Унучек
Original assignee: Закрытое акционерное общество "Лаборатория Касперского"
Priority date: 2014-12-05
Filing date: 2014-12-05
Publication date: 2016-06-27
Also published as: EP3029593A1; US9183383B1; EP3029593B1; RU2595511C2

Abstract

1. Система ограничения работы доверенных приложений при наличии подозрительных приложений, которая содержит:а) средство анализа, предназначенное для:- определения среди установленных приложений доверенного приложения, в результате работы которого формируется защищаемая информация,- сбора данных об установленных приложениях,- передачи данных о доверенном приложении и установленных приложениях средству определения;б) средство определения, предназначенное для обнаружения по крайней мере одного подозрительного приложения, которое имеет возможность несанкционированно обработать защищаемую информацию, на основании данных о доверенном приложении и установленных приложениях с применением правил обнаружения подозрительных приложений, передачи результата обнаружения средству ограничения;в) базу данных правил, предназначенную для хранения правил обнаружения подозрительных приложений;г) средство блокирования, предназначенное для ограничения работы доверенного приложения, в результате работы которого формируется защищаемая информация, при обнаружении по крайней мере одного подозрительного приложения, которое имеет возможность несанкционированно обработать защищаемую информацию.2. Система по п. 1, в которой используют базу данных доверенных приложений, предназначенную для хранения информации об известных доверенных приложениях, в результате работы которых формируется защищаемая информация.3. Система по п. 2, в которой средство анализа определяет доверенное приложение, в результате работы которого формируется защищаемаяинформация, с помощью поиска среди установленных приложений известного доверенного п

Claims

1. Система ограничения работы доверенных приложений при наличии подозрительных приложений, которая содержит:

а) средство анализа, предназначенное для:

- определения среди установленных приложений доверенного приложения, в результате работы которого формируется защищаемая информация,

- сбора данных об установленных приложениях,

- передачи данных о доверенном приложении и установленных приложениях средству определения;

б) средство определения, предназначенное для обнаружения по крайней мере одного подозрительного приложения, которое имеет возможность несанкционированно обработать защищаемую информацию, на основании данных о доверенном приложении и установленных приложениях с применением правил обнаружения подозрительных приложений, передачи результата обнаружения средству ограничения;

в) базу данных правил, предназначенную для хранения правил обнаружения подозрительных приложений;

г) средство блокирования, предназначенное для ограничения работы доверенного приложения, в результате работы которого формируется защищаемая информация, при обнаружении по крайней мере одного подозрительного приложения, которое имеет возможность несанкционированно обработать защищаемую информацию.

2. Система по п. 1, в которой используют базу данных доверенных приложений, предназначенную для хранения информации об известных доверенных приложениях, в результате работы которых формируется защищаемая информация.

3. Система по п. 2, в которой средство анализа определяет доверенное приложение, в результате работы которого формируется защищаемая

информация, с помощью поиска среди установленных приложений известного доверенного приложения из базы данных доверенных приложений.

4. Система по п. 1, в которой в базе данных правил дополнительно хранят правила анализа приложений, необходимые для определения доверенного приложения.

5. Система по п. 4, в которой средство анализа определяет доверенное приложение, в результате работы которого формируется защищаемая информация, путем анализа установленных приложений с использованием правил анализа приложений.

6. Способ ограничения работы доверенных приложений при наличии подозрительных приложений, в котором:

а) при помощи средства анализа определяют среди установленных приложений доверенное приложение, в результате работы которого формируется защищаемая информация;

б) при помощи средства анализа собирают данные об установленных приложениях;

в) при помощи средства определения обнаруживают по крайней мере одно подозрительное приложение, которое имеет возможность несанкционированно обработать защищаемую информацию, на основе данных о доверенном приложении и установленных приложениях с применением правил обнаружения подозрительных приложений;

г) при обнаружении по крайней мере одного подозрительного приложения, которое имеет возможность несанкционированно обработать защищаемую информацию, при помощи средства блокирования ограничивают работу доверенного приложения, в результате работы которого формируется защищаемая информация.

7. Способ по п. 6, в котором хранят информацию об известных доверенных приложениях, в результате работы которых формируется защищаемая информация.

8. Способ по п. 7, в котором определяют доверенное приложение, в результате работы которого формируется защищаемая информация, с помощью поиска среди установленных приложений известного доверенного приложения.

9. Способ по п. 6, в котором дополнительно хранят правила анализа приложений, необходимые для определения доверенного приложения.

10. Способ по п. 9, в котором на этапе а) определяют доверенное приложение, в результате работы которого формируется защищаемая информация, путем анализа установленных приложений с использованием правил обнаружения подозрительных приложений.