Патенты автора Гордейчик Сергей Владимирович (RU)
Изобретение относится к области компьютерной безопасности, а именно к созданию антивирусных записей. Технический результат – расширение арсенала технических средств для создания антивирусной записи. Способ создания антивирусной записи с использованием журнала вызовов, содержащего зарегистрированные во время выполнения файла на виртуальной машине записи о вызовах API-функций, в котором при выявлении поведенческого правила, соответствующего записи из журнала вызовов, определяют файл как вредоносный, затем извлекают из выявленного поведенческого правила записи о вызовах API-функций и создают антивирусную запись для средства защиты вычислительного устройства, состоящую из извлеченных записей о вызовах API-функций, при этом упомянутое средство защиты вычислительного устройства предназначено для выполнения антивирусной проверки файла. 2 н. и 12 з.п. ф-лы, 6 ил.
Изобретение относится к области компьютерной безопасности. Технический результат – повышение качества определения вредоносного файла с использованием поведенческих правил. Способ определения вредоносного файла, в котором регистрируют в локальный журнал вызовов каждого вычислительного устройства по меньшей мере вызовы API-функций во время выполнения одинаковых файлов, во время выполнения файла осуществляют поиск в локальном журнале вызовов соответствия зарегистрированных по меньшей мере вызовов API-функций поведенческим правилам из локальной базы данных угроз, при этом в случае, когда не найдено ни одного соответствия поведенческим правилам, то передают локальный журнал вызовов средству обнаружения, с помощью средства обнаружения объединяют локальные журналы вызовов одинаковых файлов в объединенный журнал вызовов, таким образом, что для каждого локального журнала вызовов, в объединенном журнале вызовов содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов, осуществляют поиск соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, при нахождении соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, определяют файл как вредоносный согласно найденному поведенческому правилу. 3 н. и 12 з.п. ф-лы, 5 ил.
Изобретение относится к области компьютерной безопасности. Технический результат – повышение качества определения признаков компьютерных атак на информационную систему. В способе обнаружения признаков компьютерной атаки собирают информацию об объекте на компьютере, передают средству обнаружения уведомление безопасности, включающее информацию о средстве защиты и собранную информацию об объекте, при этом сохраняют полученное уведомление безопасности в базу данных объектов, находят объект, содержащийся в полученном уведомлении безопасности, в базе данных угроз, и добавляют в базе данных объектов к упомянутому объекту метку, соответствующую упомянутому объекту в базе данных угроз, выполняют поиск признаков подозрительной активности, содержащихся в базе данных подозрительной активности, на основании полученного уведомления безопасности и добавленных меток объекта, содержащегося в упомянутом уведомлении безопасности, при нахождении признака подозрительной активности добавляют в базе данных объектов к уведомлению безопасности метку, содержащуюся в базе данных подозрительной активности, выполняют обнаружение признаков компьютерной атаки путем выявления по крайней мере одной сигнатуры компьютерных атак из базы данных компьютерных атак среди полученных объектов, и уведомлений безопасности, и меток упомянутых объектов, и меток уведомлений безопасности из базы данных объектов. 2 н. и 30 з.п. ф-лы, 8 ил., 1 табл.
Изобретение относится к системам и способам защиты объектов критической инфраструктуры путем контроля состояния такого объекта критической инфраструктуры, как технологическая система, посредством кибернетической системы контроля. Изобретение предназначено для тестирования кибернетической системы контроля на наличие ошибок моделирования. Тестирование кибернетической системы контроля, определяющей идеальные состояния технологической системы, осуществляют путем признания идеального состояния технологической системы, определенного кибернетической системой для момента времени и отклоняющегося от реального состояния технологической системы, ошибкой моделирования на основании подтвержденного сохранения функциональной взаимосвязи элементов технологической системы. В результате повышается качество тестирования кибернетической системы контроля, определяющей идеальные состояния технологической системы. 2 н. и 17 з.п. ф-лы, 8 ил.
Изобретение относится к системе и способу обнаружения аномалии в технологической системе. Технический результат заключается в обеспечении обнаружения аномалии системой контроля в технологической системе на основании обнаруженного отсутствия функциональной взаимосвязи элементов технологической системы. Система содержит технологическую систему, реализующую через изменение состояний субъектов управления изменение состояния объекта управления, кибернетическую систему контроля, моделирующую изменение состояния технологической системы, состоящую из взаимосвязанных кибернетических блоков, где каждый кибернетический блок в отдельности моделирует изменение состояния отдельного элемента технологической системы, при этом взаимосвязь кибернетических блоков в кибернетической системе повторяет взаимосвязь элементов технологической системы, изменение состояния которых блоки моделируют, модуль контроля, связанный с технологической системой и с кибернетической системой контроля. 2 н. и 17 з.п. ф-лы, 8 ил.
