Патенты автора Солдатов Сергей Владимирович (RU)

Изобретение относится к вычислительной технике. Технический результат заключается в снижении количества ложных срабатываний. Реализуемый на сервере способ корректировки параметров модели машинного обучения для определения ложных срабатываний и инцидентов информационной безопасности (далее - инцидентов), в котором изменяют вердикты для определенной части событий информационной безопасности (далее - первого множества событий) с вердиктом «ложное срабатывание» на вердикты «инцидент», где вердикты для событий определяют с использованием модели машинного обучения для определения ложных срабатываний и/или инцидентов, при этом первое множество событий выбирают, в частности, случайным образом среди событий с вердиктом «ложное срабатывание», при этом выбирают такое количество событий первого множества, которое не превышает второй порог, являющийся параметром модели машинного обучения; отправляют по меньшей мере часть событий первого множества событий на анализ в аналитический центр; используя результаты анализа, содержащие вердикты, вынесенные отправленным на анализ событиям, корректируют параметры модели машинного обучения для определения ложных срабатываний и/или инцидентов. 18 з.п. ф-лы, 7 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в снижении количества событий, отправляемых на анализ. Реализуемый на сервере способ обработки событий информационной безопасности (далее - событий) перед передачей на анализ, в котором получают события, при этом каждое событие содержит по меньшей мере одно уведомление безопасности, полученное от средства защиты, установленного на компьютерном устройстве пользователя; выносят вердикт для каждого события, применяя обученную модель машинного обучения для определения вероятности ложного срабатывания, при этом выносят вердикт «ложное срабатывание», если вероятность ложного срабатывания для соответствующего события превышает заданный первый порог, а в ином случае выносят вердикт «инцидент информационной безопасности» (далее - «инцидент»); изменяют вердикт «ложное срабатывание» для определенной части событий (далее - первое множество событий) на вердикт «инцидент», при этом первое множество событий выбирают, в частности, случайным образом среди событий с вердиктом «ложное срабатывание»; выбирают и отправляют на анализ в аналитический центр события с наименьшим значением вероятности ложного срабатывания таким образом, чтобы количество отправляемых событий не превышало заданный пятый порог. 14 з.п. ф-лы, 7 ил.

Изобретение относится к области компьютерной безопасности, а именно к созданию антивирусных записей. Технический результат – расширение арсенала технических средств для создания антивирусной записи. Способ создания антивирусной записи с использованием журнала вызовов, содержащего зарегистрированные во время выполнения файла на виртуальной машине записи о вызовах API-функций, в котором при выявлении поведенческого правила, соответствующего записи из журнала вызовов, определяют файл как вредоносный, затем извлекают из выявленного поведенческого правила записи о вызовах API-функций и создают антивирусную запись для средства защиты вычислительного устройства, состоящую из извлеченных записей о вызовах API-функций, при этом упомянутое средство защиты вычислительного устройства предназначено для выполнения антивирусной проверки файла. 2 н. и 12 з.п. ф-лы, 6 ил.

Изобретение относится к области компьютерной безопасности. Технический результат – повышение качества определения вредоносного файла с использованием поведенческих правил. Способ определения вредоносного файла, в котором регистрируют в локальный журнал вызовов каждого вычислительного устройства по меньшей мере вызовы API-функций во время выполнения одинаковых файлов, во время выполнения файла осуществляют поиск в локальном журнале вызовов соответствия зарегистрированных по меньшей мере вызовов API-функций поведенческим правилам из локальной базы данных угроз, при этом в случае, когда не найдено ни одного соответствия поведенческим правилам, то передают локальный журнал вызовов средству обнаружения, с помощью средства обнаружения объединяют локальные журналы вызовов одинаковых файлов в объединенный журнал вызовов, таким образом, что для каждого локального журнала вызовов, в объединенном журнале вызовов содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов, осуществляют поиск соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, при нахождении соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, определяют файл как вредоносный согласно найденному поведенческому правилу. 3 н. и 12 з.п. ф-лы, 5 ил.

Изобретение относится к области компьютерной безопасности. Технический результат – повышение качества определения признаков компьютерных атак на информационную систему. В способе обнаружения признаков компьютерной атаки собирают информацию об объекте на компьютере, передают средству обнаружения уведомление безопасности, включающее информацию о средстве защиты и собранную информацию об объекте, при этом сохраняют полученное уведомление безопасности в базу данных объектов, находят объект, содержащийся в полученном уведомлении безопасности, в базе данных угроз, и добавляют в базе данных объектов к упомянутому объекту метку, соответствующую упомянутому объекту в базе данных угроз, выполняют поиск признаков подозрительной активности, содержащихся в базе данных подозрительной активности, на основании полученного уведомления безопасности и добавленных меток объекта, содержащегося в упомянутом уведомлении безопасности, при нахождении признака подозрительной активности добавляют в базе данных объектов к уведомлению безопасности метку, содержащуюся в базе данных подозрительной активности, выполняют обнаружение признаков компьютерной атаки путем выявления по крайней мере одной сигнатуры компьютерных атак из базы данных компьютерных атак среди полученных объектов, и уведомлений безопасности, и меток упомянутых объектов, и меток уведомлений безопасности из базы данных объектов. 2 н. и 30 з.п. ф-лы, 8 ил., 1 табл.

Изобретение относится к области металлургии и может быть использовано для получения пресс-изделий из цветных металлов и сплавов, преимущественно из алюминиевых сплавов

 


Наверх