Патенты автора Романенко Алексей Михайлович (RU)

Изобретение относится к области информационной безопасности, в частности к системе и способу выявления вредоносных скриптов. Технический результат заключается в повышения эффективности выявления вредоносных скриптов. Технический результат достигается путем обнаружения вредоносных скриптов или их частей, написанных на определенном языке программирования, путем выявления файла, содержащего скрипт, распознавания языка скрипта при помощи правил распознавания языка, формирования набора хэш-кодов выявленного скрипта и сравнения набора хэш-кодов скрипта с известными наборами хэш-кодов вредоносных скриптов. 2 н. и 10 з.п. ф-лы, 4 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении точности определения параметров устройств компьютерной сети за счет использования правил инвентаризации с учетом весовых параметров. Способ определения устройств компьютерной сети с использованием правил инвентаризации, в котором с помощью сетевого фильтра перехватывают сетевой трафик, при этом сетевой трафик включает сетевые пакеты протоколов транспортного, сетевого, канального уровней; с помощью средства проверки правил в перехваченном сетевом трафике проверяют выполнение по меньшей мере одного правила инвентаризации, в частности проверяют выполнение правил инвентаризации для сетевых пакетов протоколов транспортного, сетевого, канального уровней, при этом каждое правило инвентаризации содержит условия, выполнение которых означает наличие в компьютерной сети устройства с определенными параметрами и, кроме того, правилу инвентаризации соответствует весовой параметр, определяющий приоритет применения упомянутого правила; с помощью средства определения устройства сети определяют по меньшей мере одно устройство компьютерной сети и параметры упомянутого устройства согласно по меньшей мере одному выполненному правилу инвентаризации и с учетом весового параметра упомянутого правила. 2 н. и 8 з.п. ф-лы, 5 ил.

Изобретение относится к антивирусным технологиям, а более конкретно к системам и способам обнаружения вредоносных файлов. Технический результат заключается в оптимизации использования вычислительных ресурсов при проверке файла на вредоносность. Технический результат достигается за счет определения характеристики файла и признаков поведения файла, определения совокупности параметров, описывающих поверхность, помещённую в вероятностное пространство, на основании определённых характеристик файла и признаков поведения файла, формирования отображения файла путем построения поверхности в указанном пространстве на основании определенной совокупности параметров, выполнения поиска в базе отображений семейства вредоносных файлов на основании сформированного отображения файла, выбора из базы средств обнаружения вредоносных файлов средства обнаружения вредоносных файлов, соответствующего семейству вредоносных файлов, найденному в базе отображений. 8 з.п. ф-лы, 9 ил.

Изобретение относится к антивирусным технологиям. Технический результат настоящего изобретения заключается в увеличении качества проверки файла на вредоносность. Система обнаружения вредоносного файла содержит: средство сбора данных, предназначенное для формирования на основании собранных данных о поведении выполнения файла, вектора признаков, характеризующих упомянутое поведение, при этом вектор признаков представляет собой свертку собранных данных, сформированную в виде совокупности чисел; средство вычисления параметров, предназначенное для вычисления на основании сформированного средством сбора данных вектора признаков с использованием обученной модели вычисления параметров степени вредоносности; средство анализа, предназначенное для вынесения решения об обнаружении вредоносного файла, в случае, когда собранные данные о поведении выполнения файла удовлетворяют заранее заданному критерию определения вредоносности, сформированному на основании вычисленных средством вычисления параметров степени вредоносности и предельной степени безопасности. 2 н. и 18 з.п. ф-лы, 10 ил.

Изобретение относится к области вычислительной техники. Технический результат заключается в увеличении точности классификации объектов вычислительной системы за счет использования двух степеней оценки принадлежности объектов вычислительной системы к классам. Раскрыта система классификации объектов вычислительной системы, которая содержит а) средство сбора, предназначенное для сбора данных, описывающих объект вычислительной системы (далее, объект); б) средство формирования сверток, предназначенное для формирования на основании собранных средством сбора данных о состоянии объекта вектора признаков, характеризующего состояние объекта; в) средство вычисления степеней схожести, предназначенное для вычисления на основании сформированного средством формирования сверток вектора признаков с использованием обученной модели вычисления параметров степени схожести, представляющей численное значение, характеризующее вероятность того, что классифицируемый объект может принадлежать к заданному классу, и предельной степени отличия, представляющей собой численное значение, характеризующее вероятность того, что классифицируемый объект гарантированно окажется принадлежащим к другому заданному классу; г) средство анализа, предназначенное для вынесения решения о принадлежности объекта к заданному классу, в случае, когда собранные до срабатывания заданного правила сбора данные о состоянии объекта удовлетворяют заданному критерию определения класса, сформированному на основании вычисленных средством вычисления степеней схожести степени схожести и предельной степени отличия, при этом в качестве упомянутого критерия выступает правило классификации объекта по установленной взаимосвязи между степенью схожести и предельной степенью отличия. 2 н. и 24 з.п. ф-лы, 12 ил., 1 табл.

Изобретение относится к области обнаружения вредоносных файлов. Техническим результатом является снижение количества ошибок первого и второго родов при обнаружении вредоносных файлов. Способ обнаружения вредоносных файлов содержит этапы: выделяют набор признаков файла, который содержит по меньшей мере простые признаки файла; простым признаком является признак, выделение которого не требует существенных вычислительных затрат; вычисляют гибкий хеш файла на основании выделенного набора признаков файла; гибкий хеш устойчив к изменениям признаков из выделенного набора признаков; выбирают классификатор, соответствующий вычисленному значению гибкого хеша файла, из набора классификаторов, состоящего из по меньшей мере одного классификатора; классификатор соответствует гибкому хешу, когда для обучения классификатора использовались по меньшей мере файлы, значения гибких хешей которых совпадают со значением упомянутого гибкого хеша; относят файл к одной из категорий файлов при помощи классификатора, выбранного на этапе ранее; признают файл вредоносным, если он был отнесен к категории вредоносных файлов. 2 н. и 12 з.п. ф-лы, 5 ил.

Изобретение относится к средствам выявления вредоносных файлов с использованием модели обучения, обученной на одном вредоносном файле. Технический результат настоящего изобретения заключается в повышении вероятности выявления вредоносных файлов. Выбирают вредоносный файл из коллекции вредоносных файлов. Выделяют вектор признаков. Обучают нейронную сеть. Выделяют правила для выявления вредоносного файла. Проверяют неизвестные файлы с целью выявления вредоносных файлов. Выявляют вредоносный файл. 2 н. и 12 з.п. ф-лы, 4 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в снижении количества ложных срабатываний методов, обладающих обобщающей способностью, в отношении файлов, в отношении которых еще не проводилась проверка с целью отнесения их к некоторой категории файлов. Способ снижения количества ложных срабатываний содержит этапы, на которых признают при помощи средства обнаружения вредоносных файлов файл относящимся к некоторой категории файлов; обнаруживают при помощи средства оценки ложное срабатывание средства обнаружения вредоносных файлов; вычисляют при помощи средства исправления ложных срабатываний гибкий хеш файла; добавляют при помощи средства исправления ложных срабатываний вычисленный гибкий хеш в базу данных исключений; применяют средство обнаружения вредоносных файлов для анализа файлов с целью признания файлов относящимися к некоторой категории файлов, при этом средство обнаружения вредоносных файлов исключает из анализа, производимого с целью признания файл относящимся к некоторой категории файлов, файл, если значение гибкого хеша упомянутого файла хранится в базе данных исключений. 2 н. и 2 з.п. ф-лы, 3 ил.

Изобретение относится к средствам выявления и противодействия атаке на вычислительные устройства пользователей. Технический результат заключается в повышении защищенности при атаке на вычислительное устройство пользователя. Технический результат достигается путем использования системы и способа, в которых: собирают данные о сервисах, с которыми взаимодействуют пользователи посредством вычислительных устройств, и данные об устройствах; собирают данные для выявления атаки. Формируют кластеры вычислительных устройств. Выявляют вектор атаки на основании характеристик вектора атаки. Выбирают действие для противодействия атаке. Выполняют действие для противодействия атаке. 2 н. и 10 з.п. ф-лы, 4 ил.

Изобретение относится к области обнаружения вредоносных файлов. Технический результат заключается в классификации объектов с использованием модели обнаружения вредоносных объектов. Раскрыта система классификации анализируемых объектов, которая содержит: а) средство выборки блока данных, предназначенное для: выборки по меньшей мере одного блока данных, содержащегося в анализируемом объекте, с помощью модели анализа, при этом модель анализа представляет собой совокупность правил поиска блоков данных, таким образом, чтобы каждый найденный блок данных увеличивал вероятность классифицировать анализируемый объект как вредоносный; передачи выбранных блоков данных средству статического анализа; б) средство статического анализа объекта, предназначенное для: формирования для каждого полученного блока данных набора признаков, описывающих упомянутый блок данных; вычисления свертки от сформированных наборов признаков; передачи сформированной свертки средству вычисления степени вредоносности; в) средство вычисления степени вредоносности, предназначенное для: вычисления степени вредоносности анализируемого объекта на основании анализа полученной свертки с помощью модели обнаружения вредоносных объектов; передачи вычисленной степени вредоносности средству классификации; г) средство классификации, предназначенное для: признания анализируемого объекта безопасным, в случае, когда полученная степень вредоносности не превышает заранее заданного порогового значения и при этом упомянутая степень вредоносности была вычислена на основании всех блоков данных, содержащихся в анализируемом объекте; признания анализируемого объекта вредоносным, в случае, когда полученная степень вредоносности превышает заранее заданное пороговое значение. 2 н. и 22 з.п. ф-лы, 7 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении формирования сверток безопасных событий. Способ формирования набора сверток безопасных событий, в котором запускают в операционной системе по меньшей мере одного заведомо безопасного компьютерного устройства агент, регистрирующий события по меньшей мере одного вида, возникающие в операционной системе компьютерного устройства, где видами событий по меньшей мере являются: запуск процессов; загрузка модулей; файловые операции; реестровые операции; обнаруживают перехватчиками, установленными в операционной системе, возникшее в операционной системе событие; регистрируют агентом обнаруженное событие и получают от компьютерного устройства агентом контекст указанного события; выделяют из полученного контекста события признаки события и формируют на основе выделенных признаков свертку обнаруженного события; добавляют свертку в набор сверток безопасных событий. 2 н. и 43 з.п. ф-лы, 5 ил.

Изобретение относится к антивирусным технологиям, а именно к обнаружению вредоносных файлов. Технический результат – обеспечение обучения модели обнаружения вредоносных файлов. Способ машинного обучения модели обнаружения вредоносных файлов за счет использования при машинном обучении модели обнаружения вредоносного файла метода обучения модели обнаружения, обеспечивающего монотонность изменения степени вредоносности файла в зависимости от изменения количества шаблонов поведения вредоносного файла, сформированных на основании анализа журнала поведения. 2 н. и 8 з.п. ф-лы, 5 ил.

Изобретение относится к области антивирусных технологий. Техническим результатом является управление вычислительными ресурсами для обнаружения вредоносных файлов. Раскрыта система управления вычислительными ресурсами для обнаружения вредоносных файлов, которая содержит: а) средство анализа журнала поведения, предназначенное для: формирования по меньшей мере одного шаблона поведения на основании команд и параметров, выбранных из созданного журнала поведения, исполняемых на вычислительном устройстве (далее - приложения), при этом шаблон поведения представляет собой набор из по меньшей мере одной команды и такого параметра, который описывает все команды из упомянутого набора; вычисления свертки от сформированного шаблона поведения; передачи вычисленной свертки средству вычисления степени вредоносности; б) средство вычисления степени вредоносности, предназначенное для: вычисления степени вредоносности приложений на основании анализа полученной свертки с помощью модели обнаружения вредоносных файлов, при этом степень вредоносности приложений представляет собой численное значение, характеризующее вероятность того, что ко времени вычисления упомянутой степени вредоносности приложений осуществляется вредоносная активность; передачи вычисленной степени вредоносности приложений средству управления ресурсами; в) средство управления ресурсами, предназначенное для управления вычислительными ресурсами, которые используются для обеспечения безопасности упомянутого вычислительного устройства (далее - ресурсы), в зависимости от полученной степени вредоносности приложений, таким образом, чтобы степень вредоносности приложений, вычисленная после упомянутого управления ресурсами, находилась в заранее заданном диапазоне значений, при этом в случае превышения полученной степени вредоносности приложений заранее заданного порогового значения передачи запроса на выделение дополнительных ресурсов вычислительного устройства, в случае снижения полученной степени вредоносности ниже заранее заданного порогового значения передачи запроса на освобождение выделенных ранее ресурсов вычислительного устройства. 2 н. и 22 з.п. ф-лы, 7 ил., 1 табл.

Изобретение предназначено для антивирусной проверки файлов. Технический результат заключается в обнаружении вредоносных файлов с использованием обученной модели обнаружения вредоносных файлов. Система обнаружения вредоносных файлов содержит средство анализа журнала поведения, предназначенное для формирования шаблона поведения на основании команд и параметров, выбранных из журнала; вычисления свертки от всех сформированных шаблонов поведения; средство выбора моделей обнаружения, предназначенное для выборки из базы моделей обнаружения по меньшей мере двух моделей обнаружения вредоносных файлов на основании команд и параметров, выбранных из журнала поведения; средство вычисления степени вредоносности, предназначенное для вычисления степени вредоносности исполняемого файла на основании анализа полученной свертки с помощью каждой полученной модели обнаружения; средство анализа, предназначенное для формирования на основании полученной степени вредоносности шаблона решения; признания исполняемого файла вредоносным, в случае, когда степень схожести между сформированным шаблоном решения и по меньшей мере одним из заранее заданных шаблонов решения из базы шаблонов решения превышает заранее заданное пороговое значение. 2 н. и 18 з.п. ф-лы, 7 ил.

Изобретение относится к способам обнаружения аномальных событий, возникающих в операционной системе. Технический результат заключается в обеспечении обнаружения аномальных событий, возникающих в операционной системе клиента в процессе исполнения программного обеспечения. Запускают агент, регистрирующий события, возникающие в операционной системе. Обнаруживают при помощи по крайней мере одного перехватчика, установленного в операционной системе, возникшее в операционной системе событие. Регистрируют событие, обнаруженное перехватчиком, и получают от компьютерного устройства контекст указанного события при помощи агента. Выделяют средством формирования свертки из полученного контекста признаки события и формируют на основании выделенных признаков свертку события. Определяют средством сравнения популярность сформированной свертки события. Признают средством сравнения обнаруженное событие аномальным, если популярность свертки указанного события ниже порогового значения. 21 з.п. ф-лы, 5 ил.

Изобретение относится к области обнаружения вредоносных компьютерных систем. Техническим результатом является выявление вредоносных компьютерных систем за счет использования системы признания компьютерной системы вредоносной, при этом вредоносной компьютерной системой является компьютерная система, на которой работают вредоносные приложения. Раскрыта система признания компьютерной системы вредоносной, где вредоносная компьютерная система - компьютерная система, на которой осуществляется вредоносная активность, то есть действия, выполняемые вредоносными приложениями, которая содержит: а) средство сбора характеристик, предназначенное для: сбора характеристик компьютерной системы; передачи собранных характеристик средству построения пространства связей; б) средство построения пространства связей, предназначенное для: определения связей между полученными характеристиками компьютерной системы; определения временной зависимости состояния компьютерной системы на основании анализа определенных связей; передачи определенной временной зависимости состояния компьютерной системы средству идентификации; в) средство идентификации, предназначенное для: определения состояния компьютерной системы на основании анализа полученной временной зависимости состояния компьютерной системы; сравнения определенного состояния компьютерной системы с по меньшей мере одним заранее определенным шаблоном состояния компьютерной системы; передачи результата сравнения средству анализа; г) средство анализа, предназначенное для: определения степени вредоносности компьютерной системы на основании анализа полученного результата сравнения состояния компьютерной системы с заранее определенным шаблоном состояния компьютерной системы; вынесения вердикта о признании компьютерной системы вредоносной по результатам сравнения определенной степени вредоносности компьютерной системы с установленным пороговым значением. 2 н. и 6 з.п. ф-лы, 3 ил.

Группа изобретений относится к технологиям антивирусной защиты компьютерных систем. Техническим результатом является обеспечение противодействия несанкционированному администрированию компьютерной системы за счет обнаружения приложений удаленного администрирования. Предложена система блокировки приложения удаленного администрирования. Система содержит средство анализа активности, средство выявления зависимостей, средство поиска, средство анализа. Средство анализа активности предназначено для перехвата событий, произошедших в компьютерной системе, при этом событие компьютерной системы представляет совокупность действий, выполненных приложением в компьютерной системе. Средство анализа также предназначено для определения параметров каждого перехваченного события, при этом параметры события компьютерной системы представляют собой совокупность разных свойств события компьютерной системы, время, прошедшее между регистрацией выделенного события и последующей регистрацией перехваченного события, и передачи определенных параметров перехваченных событий средству выявления зависимостей. 2 н.п. ф-лы, 3 ил.

Изобретение относится к области компьютерной безопасности. Технический результат заключается в снижении потребляемых антивирусным приложением ресурсов компьютера пользователя, а именно памяти на жестком диске для хранения антивирусных записей. Предложен способ передачи антивирусных записей, используемых для обнаружения вредоносных файлов, в котором собирают статистику использования антивирусных записей, используемых для обнаружения вредоносных файлов, при этом одна часть антивирусных записей располагается на компьютере пользователя, а другая - на удаленном сервере; вычисляют коэффициенты перспективности антивирусных записей на основании статистики использования антивирусных записей; при этом коэффициент перспективности антивирусной записи представляет собой числовое значение, чем больше которое, тем больше вредоносных файлов было обнаружено антивирусным приложением с использованием упомянутой антивирусной записи; передают по меньшей мере одну антивирусную запись, располагающуюся на компьютере пользователя, удаленному серверу для использования антивирусным приложением, если коэффициент перспективности упомянутой антивирусной записи не попадает в число наибольших коэффициентов перспективности антивирусных записей, где это число не превышает пороговое значение. 3 з.п. ф-лы, 3 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в определении похожих файлов. Способ определения похожести файлов, в котором определяют множества изменяемых и неизменяемых признаков файлов; при этом признак файла считают изменяемым, если для множества похожих файлов признак принимает различные значения; при этом признак файла считают неизменяемым, если для множества похожих файлов признак принимает одинаковое значение; выделяют множество признаков по меньшей мере из одного файла; разделяют множество выделенных признаков файла по меньшей мере на два подмножества: подмножество изменяемых признаков и подмножество неизменяемых признаков; формируют свертку каждого из вышеописанных подмножеств признаков файла; формируют свертку файла как комбинацию сверток каждого из вышеописанных подмножеств признаков файла; сравнивают свертку по меньшей мере одного файла с набором заранее созданных сверток файлов; признают файл похожим на файлы из множества похожих файлов, имеющих одинаковую свертку, если при сравнении свертка указанного файла совпадает со сверткой файла из указанного множества. 2 н.п. ф-лы, 5 ил.

Изобретение относится к области защиты от компьютерных угроз, а именно к системам и способам оценки надежности правила категоризации. Технический результат настоящего изобретения заключается в автоматизации анализа надежности правила категоризации на основании сравнения комбинации степеней надежности правила категоризации с установленным числовым порогом. Способ признания правила категоризации надежным содержит этапы, на которых: а) создают при помощи средства создания правила категоризации по меньшей мере одно правило категоризации, которое используется для обучения по меньшей мере одного алгоритма интеллектуального анализа данных; при этом для создания правил категоризации используются файлы из базы данных для обучения; при этом правило категоризации позволяет определить принадлежность файла, к которому оно применяется, к одной из определенных в рамках правила категорий файлов; б) фильтруют при помощи средства обучения алгоритмов по меньшей мере одно созданное на этапе ранее правило категоризации, которое используется для обучения по меньшей мере одного алгоритма интеллектуального анализа данных; при этом результатом фильтрации является выделение набора правил категоризации, каждое из которых разбивает множество файлов для обучения на подмножества файлов, соответствующие определенным в рамках правила категориям файлов, таким образом, что хотя бы одно такое подмножество, соответствующее категории файлов, представляет собой однородное множество файлов; при этом однородное множество файлов содержит только похожие файлы; в) обучают при помощи средства обучения алгоритмов по меньшей мере один алгоритм интеллектуального анализа данных для последующего определения степени надежности правила категоризации с использованием выделенного на этапе ранее набора правил категоризации и множества файлов для обучения, в состав которого входит по меньшей мере одно множество похожих файлов; г) создают при помощи средства создания правила категоризации по меньшей мере одно правило категоризации; д) собирают при помощи средства сбора статистики статистку использования по меньшей мере одного созданного правила категоризации; при этом статистика использования правила категоризации представляет собой информацию о множестве файлов, принадлежащих к каждой из категорий, которые определены в рамках упомянутого правила категоризации; е) определяют при помощи средства определения надежности по меньшей мере одну степень надежности правила категоризации на основании статистики использования правила категоризации с использованием одного из алгоритмов интеллектуального анализа данных; ж) признают при помощи средства определения надежности правило категоризации надежным, если комбинация степеней надежности правила, определенных на этапе г), превышает установленный числовой порог. 2 н. и 10 з.п. ф-лы, 5 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении безопасности компьютера. Способ обнаружения вредоносных файлов, в котором определяют множество изменяемых и неизменяемых признаков файлов из базы данных файлов для обучения; выделяют множество признаков по меньшей мере из одного файла; разделяют множество выделенных признаков файла по меньшей мере на два подмножества, в одном из которых есть как минимум один изменяемый признак, в другом есть как минимум один неизменяемый признак; получают свертку каждого из вышеописанных подмножеств признаков файла; создают свертку файла как комбинацию сверток каждого из вышеописанных подмножеств признаков файла; сравнивают свертку по меньшей мере одного файла с набором заранее созданных сверток файлов; признают файл похожим на файлы из множества похожих файлов, имеющих одинаковую свертку, если при сравнении свертка указанного файла совпадает со сверткой файла из указанного множества; признают файл вредоносным, если файл похож на файлы из множества похожих файлов, причем упомянутое множество похожих файлов является множеством вредоносных файлов. 2 н. и 14 з.п. ф-лы, 5 ил.

Изобретение относится к информационной безопасности. Технический результат заключается в снижении числа ложных срабатываний правил обнаружения файлов. Способ признания надежности правила обнаружения файлов, в котором выделяют из множества существующих файлов подмножество известных файлов, разделяют выделенное подмножество известных файлов на подмножества безопасных и вредоносных файлов; создают правило обнаружения файлов на основании, по меньшей мере, одного известного файла из подмножества вредоносных файлов; проверяют неизвестные файлы из множества существующих файлов; признают правило обнаружения надежным, когда степень сходства ни одного из отобранных неизвестных файлов с известными файлами из подмножества безопасных файлов не превышает установленный порог сходства и степень сходства отобранных неизвестных файлов с, по меньшей мере, одним файлом из подмножества вредоносных файлов превышает установленный порог сходства. 2 н.п. ф-лы, 5 ил.

 


© Патентный поиск, поиск патентов на изобретения - FindPatent.RU 2012-2024
Политика конфиденциальности
Наверх