Патенты автора Кусков Владимир Анатольевич (RU)
Изобретение относится к области вычислительной техники. Техническим результатом является обеспечение категоризации приложения, созданного с использованием платформы .NET. Раскрыт способ категоризации приложения, созданного с использованием платформы .NET (далее - приложение), реализуемый при помощи компьютерной системы, в котором: запускают при помощи средства безопасности CLR профилировщик путем загрузки средой исполнения CLR в оперативную память при запуске приложения с целью обработки событий, возникающих во время исполнения приложения, при этом средство безопасности задает необходимые значения переменных окружения для загрузки CLR профилировщика в адресное пространство процесса приложения; формируют журнал исполнения приложения при помощи запущенного CLR профилировщика на основании собираемой информации; при этом в журнал исполнения добавляется информация о возникающих во время исполнения приложения событиях, которые обрабатываются CLR профилировщиком, при этом событиями, по крайней мере, являются вызовы функций, осуществляемые процессом, запущенным из приложения, где функциями являются методы программной платформы .NET, вызовы которых осуществляются из программного кода приложения во время его исполнения; относят при помощи средства безопасности приложение к одной из предопределенных категорий приложений на основании анализа сформированного журнала исполнения приложения, применяя эвристические правила, при этом предопределенными категориями приложений являются: категория доверенных приложений, категория недоверенных приложений, категория вредоносных приложений, при этом, если средство безопасности относит приложение к категории вредоносных приложений, то признает вредоносными также и все сборки, загруженные в оперативную память во время исполнения приложения и не являющиеся доверенными. 9 з.п. ф-лы, 3 ил.
Изобретение относится к области вычислительной техники для обнаружения вредоносных приложений на вычислительных устройствах с использованием удаленного сервера. Технический результат заключается в снижении количества ошибок первого и второго рода при определении категории приложения. Технический результат достигается за счет способа категоризации приложения на вычислительном устройстве, согласно которому: собирают при помощи средства защиты, функционирующего на вычислительном устройстве, набор признаков приложения, присутствующего на вычислительном устройстве, для последующей передачи серверу безопасности; классифицируют приложение при помощи сервиса классификации, функционирующего на сервере безопасности, на основании собранного набора признаков, где результат классификации получают с помощью заранее обученной классифицирующей экспертной системы в виде вероятности принадлежности приложения к категориям приложений; определяют актуальность результатов классификации при помощи репутационного сервиса, предоставляющего результаты классификации ранее классифицированных приложений, и правил актуальности на основании результатов классификации; определяют категорию приложения при помощи средства защиты с использованием эвристических правил для определения категории приложения на основании актуальных результатов классификации. 5 з.п. ф-лы, 4 ил.
Изобретение относится к области обнаружения вредоносных приложений на вычислительных устройствах с использованием удаленного сервера. Техническим результатом является обеспечение категоризации приложения на вычислительном устройстве с использованием репутационного сервиса. Раскрыт способ категоризации приложения на вычислительном устройстве с использованием репутационного сервиса, согласно которому: a. осуществляют при помощи средства защиты, функционирующего на вычислительном устройстве, запрос к репутационному сервису с целью получения результатов классификации приложения; при этом результатом классификации является вероятность принадлежности приложения к категориям приложений; при этом репутационный сервис функционирует на сервере безопасности и хранит результаты классификации ранее классифицированных приложений, проведенной сервисом классификации на основании собранных средством защиты наборов признаков ранее классифицированных приложений; b. признают при помощи средства защиты полученные результаты классификации приложения актуальными, если результаты классификации удовлетворяют правилам актуальности; c. определяют категорию приложения при помощи средства защиты на основании актуальных результатов классификации. 2 н. и 12 з.п. ф-лы, 4 ил.
Изобретение относится к вычислительной технике. Технический результат заключается в снижении расхода ресурсов мобильного устройства при проведении повторных антивирусных проверок файлов. Способ проведения повторной антивирусной проверки файла, реализуемый при помощи мобильного устройства, согласно которому хранят локальную базу данных для файлов, где каждая запись добавляется в базу данных, когда соответствующий файл признается не вредоносным в результате антивирусной проверки, и содержит первую хеш-сумму файла, вторую хеш-сумму файла и информацию о проведенной антивирусной проверке, которая включает в себя по меньшей мере дату проведения антивирусной проверки файла и вердикт от облачных сервисов; вычисляют первую хеш-сумму файла и находят в упомянутой базе вторую хеш-сумму файла и информацию о проведенной антивирусной проверке, соответствующие первой хеш-сумме файла; используя вторую хеш-сумму файла, запрашивают вердикт для файла от облачных сервисов; проводят антивирусное сканирование файла всегда, кроме случая, если полученный вердикт не изменился и с даты проведения антивирусной проверки не произошло ни одного обновления антивирусных баз. 1 з.п. ф-лы, 3 ил.
Изобретение относится к вычислительной технике. Технический результат заключается в снижении расхода ресурсов мобильного устройства при проведении повторных антивирусных проверок файлов. Предложен способ частичного сброса результатов предыдущей антивирусной проверки файлов, реализуемый при помощи мобильного устройства, согласно которому хранят локальную базу данных для файлов, где каждая запись добавляется в базу данных, когда соответствующий файл признается не вредоносным в результате антивирусной проверки, и содержит информацию, идентифицирующую файл, и информацию о проведенной антивирусной проверке, которая включает в себя по меньшей мере дату проведения антивирусной проверки файла; устанавливают порог сброса записей; после обновления антивирусных баз проводят оценку вероятности сброса результатов предыдущей антивирусной проверки для каждой записи из базы данных; при этом оценка тем выше, чем больше времени прошло с упомянутой даты проведения антивирусной проверки соответствующего файла и чем большее количество обновлений антивирусных баз произошло с упомянутой даты проведения антивирусной проверки соответствующего файла; удаляют из базы данных те записи, для которых упомянутая оценка вероятности сброса превышает установленный порог сброса записей. 3 ил.
Способы обнаружения аномальных элементов веб-страниц на основании статистической значимости // 2659741
Изобретение относится к обнаружению аномальных элементов веб-страницы, возникших на клиентской стороне, без установки дополнительного программного обеспечения на стороне клиента. Технический результат – повышение эффективности обнаружения аномальных элементов веб-страницы. Способ обнаружения аномальных элементов веб-страниц, в котором путем определения статистической значимости кластеров, содержащих N-мерные векторы элементов веб-страниц, обнаруживают аномальные элементы веб-страниц. При этом сведения о содержимом элементов, преобразуемые в N-мерные векторы, которые впоследствии кластеризуются, также собираются скриптом на стороне веб-клиента, содержащимся непосредственно на веб-странице, сведения о содержимом элементов которой собираются. 15 з.п. ф-лы, 5 ил.
Изобретение относится к области обнаружения аномальных элементов веб-страницы. Технический результат заключается в обеспечении обнаружения аномальных элементов веб-страницы, возникших на стороне пользователя, без установки дополнительного программного обеспечения. Технический результат достигается путем использования кластерных статистических моделей веб-страниц, при этом сведения о содержимом элементов, используемые для обнаружения аномальных элементов и построения кластерной статистической модели, собираются скриптом на стороне веб-клиента, содержащимся непосредственно на веб-странице, сведения о содержимом элементов которой собираются. 16 з.п. ф-лы, 7 ил.
Изобретение относится к способам обнаружения вредоносных элементов веб-страниц. Технический результат заключается в обеспечении обнаружения вредоносных элементов веб-страницы, возникших на стороне пользователя, без установки дополнительного программного обеспечения. Другой технический результат заключается в снижении количества ошибок первого рода при обнаружении вредоносных элементов веб-страниц. В первом способе для обнаружения вредоносных элементов веб-страницы используют кластерные статистические модели вредоносных элементов веб-страниц. Во втором способе сравнивают хеш, вычисленный по сведениям о содержимом элемента, полученным от компьютерного устройства пользователя, с хешем, вычисленным по сведениям о содержимом заведомо вредоносного элемента веб-страницы. При этом как в первом, так и во втором способах сведения о содержимом элементов, используемые для обнаружения вредоносных элементов, собираются скриптом на стороне веб-клиента, содержащимся непосредственно на веб-странице, сведения о содержимом элементов которой собираются. 2 н. и 20 з.п. ф-лы, 7 ил.
Изобретение относится к области защиты данных при их передаче по сети. Технический результат - повышение уровня защиты информации, содержащейся на веб-странице, путем шифрования упомянутой информации во время передачи упомянутой веб-страницы приложению пользователя. Способ шифрования при передаче веб-страницы приложению пользователя, в котором: с помощью прокси-сервера получают веб-страницу сайта, расположенного на удаленном сервере; с помощью прокси-сервера передают веб-страницу средству шифрования; с помощью средства шифрования определяют содержащиеся на веб-странице элементы, где элементами являются, по крайней мере: текстовое поле, поле «кнопка», поле ввода данных, ссылка на файл и гиперссылка; с помощью средства шифрования выполняют шифрование программного кода по меньшей мере одного определенного элемента веб-страницы; с помощью модуля JavaScript создают сценарий JavaScript, содержащий зашифрованный программный код элементов веб-страницы, полученный от средства шифрования; с помощью модуля JavaScript изменяют веб-страницу путем добавления созданного сценария JavaScript и удаления кода элементов веб-страницы, который был зашифрован; с помощью прокси-сервера передают измененную веб-страницу приложению пользователя. 2 н. и 6 з.п. ф-лы, 5 ил.
Изобретение относится к компьютерной безопасности. Технический результат заключается в обеспечении безопасности работы пользователя в сети. Система определения измененных веб-страниц содержит средство создания проверочной веб-страницы для создания проверочной веб-страницы, содержащей по меньшей мере один фрагмент для выявления вредоносного ПО, содержащий html-код и добавленный с учетом критерия создания проверочной веб-страницы, и передачи созданной веб-страницы средству обработки проверочной веб-страницы и средству анализа проверочной веб-страницы; средство обработки для открытия на вычислительном устройстве пользователя проверочной веб-страницы, сохранения состояния проверочной веб-страницы после открытия и отправки кода ее сохраненного состояния средству анализа; средство анализа для обнаружения измененных фрагментов на проверочной веб-странице путем сравнения кода страницы, полученной от средства создания проверочной веб-страницы, и кода страницы, полученной от средства обработки проверочной веб-страницы, и в случае обнаружения по меньшей мере одного измененного фрагмента отправки страницы средству выявления вредоносного программного обеспечения. 2 н. и 8 з.п. ф-лы, 4 ил.
