Система и способ обнаружения вредоносного программного обеспечения путем создания изолированной среды

Авторы патента:

Яблоков Виктор Владимирович (RU)

Елисеев Евгений Юрьевич (RU)

G06F21/56 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2535175:

Закрытое акционерное общество "Лаборатория Касперского" (RU)

Изобретение относится к средствам обнаружения вредоносного программного обеспечения Технический результат заключается в повышении безопасности мобильных устройств. Модифицируют код исследуемого приложения путем замены вызова критических функций вызовом функций-обработчиков. Собирают информацию о вызываемых исследуемым модифицированным приложением критических функциях через функции-обработчики. Анализируют информацию на наличие поведения, характерного для вредоносного программного обеспечения. Обнаруживают вредоносное программное обеспечение на основании анализа. 2 н. и 5 з.п. ф-лы, 7 ил.

Изобретение относится к системам и способам обнаружения вредоносного программного обеспечения путем помещения приложений в изолированную среду.

Уровень техники

В настоящее время число мобильных устройств растет, они проникли во все сферы жизни человека. Наиболее популярными из них являются: телефоны, смартфоны, ноутбуки, коммуникаторы, системы навигации. Мобильные устройства используются в качестве средств коммуникации, связи, для развлечений. Параллельно с развитием этих устройств развиваются и беспроводные средства связи, которые неотделимы от них. Передача данных от одного устройства к другому, обмен информацией - задачи, которые не вызывают затруднений даже у неопытного пользователя данных устройств.

Но развитие технологий несет с собой не только благо, но и создает ряд проблем. С одной стороны, развитие мобильных устройств и беспроводных средств связи упрощает общение людей, облегчает обмен информацией, стирает границы городов, государств, континентов. С другой стороны, такая свобода ставит перед специалистами в области информационной безопасности все новые и новые задачи, т.к. зачастую информация, которой обмениваются пользователи мобильных устройств, конфиденциальна и является государственной или коммерческой тайной. При простоте копирования, передачи и обмена вероятность утечки информации за пределы организации (умышленной или нет) велика, поэтому от подразделений, отвечающих за обеспечение информационной безопасности, все активнее требуется построение системы отслеживания и блокирования несанкционированных утечек информации. Также рост популярности мобильных платформ, на которых работают мобильные устройства, привлекает к ним внимание злоумышленников, которые преследуют различные цели - от желания пошутить или проявить себя до кражи конфиденциальной информации с целью последующего вымогательства и шантажа. Следствием этого является появление угроз (в том числе вредоносного программного обеспечения любого рода) для мобильных платформ, которые были характерны раньше исключительно для стационарных вычислительных машин. Также появляются новые угрозы исключительно для мобильных устройств, например, троянские программы, которые после установки на устройство скрытно отправляют CMC на платные номера или, используя службы геолокации, следят за передвижением пользователя.

Необходимо предпринимать меры, способные защитить пользователей мобильных устройств и организации от действий злоумышленников и своевременно обнаружить вредоносное программное обеспечение. И эти меры обнаружения перенесены со стационарных вычислительных машин на мобильные устройства. Самыми распространенными решениями для обнаружения вредоносного ПО на мобильных устройствах являются: обнаружение с использованием эвристических правил; обнаружение с использованием сигнатурного анализа (анализа на идентичность анализируемого кода образцам кода известных компьютерных угроз); обнаружение по хеш-сумме файла. Применение сигнатур хорошо подходит для обнаружения уже известных вредоносных программ, как и обнаружение по хеш-сумме файла, но в случае, если атакующий код будет модифицирован, данные решения окажутся бесполезными. Указанного недостатка лишен эвристический метод, но и он неэффективен при более глубокой модификации кода (например, путем обфускации), изменении алгоритма работы вредоносного кода, применении методов, препятствующих автоматическому анализу кода. Также возможно активно противодействовать вредоносному ПО (например, разграничивать права доступа приложений к ресурсам операционной системы). Так патентная заявка US 20100175104 описывает систему защиты на основе контроля групповых политик. После того как система осуществляет установку перехватчиков вызовов на системные вызовы API-функций, осуществляется контроль и проверка выполняемых приложением действий в соответствии с правилами политики.

Таким образом, используемые в настоящее время способы обнаружения вредоносного программного обеспечения на мобильных устройствах либо имеют ограниченную область применения, либо имеют недостатки, которые создают угрозу безопасности и в целом не обеспечивают надлежащей защиты.

Раскрытие изобретения

Изобретение относится к системам и способам обнаружения вредоносного программного обеспечения путем помещения приложений в изолированную среду (контейнеры).

Технический результат заключается в повышении безопасности мобильных устройств за счет обнаружении вредоносного программного обеспечения на устройствах путем анализа поведения кода приложений.

Способ обнаружения вредоносного программного обеспечения путем создания изолированной среды, в котором: модифицируют код приложения путем замены вызова критических функций вызовом функций-обработчиков; собирают информацию о вызываемых модифицированным приложением критических функциях через функции-обработчики; анализируют информацию, собранную через функции-обработчики на наличие поведения, характерного для вредоносного программного обеспечения; обнаруживают вредоносное программное обеспечение на основании анализа.

В частном случае к критическим функциям, вызываемым приложениями, относятся функции, вызов которых позволяет выявить поведение, характерное для вредоносного ПО.

В другом частном случае приложение, код которого модифицируют, является .dex файл приложения.

Система обнаружения вредоносного программного обеспечения путем создания изолированной среды содержит: приложение, которое предназначено для модификации исследуемого приложения; исследуемое приложение; библиотеку функций-обработчиков, предназначенную для сбора информации о вызываемых модифицированным приложением критических функциях; модуль анализа, предназначенный для анализа информации о вызываемых критических функциях, собранной библиотекой функций-обработчиков и обнаружения вредоносного ПО на основании анализа;

В частном случае реализации системы библиотека функций-обработчиков может выполнять функции модуля анализа.

В другом частном случае модуль анализа располагают на удаленном устройстве.

Краткое описание чертежей

Сопровождающие чертежи включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.

Заявленное изобретение поясняется следующими чертежами, на которых:

Фиг.1 показывает взаимодействие приложения с операционной системой и оборудованием.

Фиг.2 показывает структуру мобильной операционной системы.

Фиг.3 показывает модифицированный вариант структуры мобильной операционной системы.

Фиг.4 показывает архитектуру мобильной операционной системы Android OS.

Фиг.5 показывает пример реализации частного случая системы обнаружения вредоносного программного обеспечения в коде приложений.

Фиг.6 показывает пример компьютерной системы общего назначения.

Описание изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Приведенное описание предназначено для помощи специалисту в области техники для исчерпывающего понимания изобретения, которое определяется только в объеме приложенной формулы.

Для обеспечения безопасности устройства необходимо осуществлять контроль над всеми данными, передающимися с устройства, отслеживать данные, попадающие на устройство, отслеживать события на устройствах и данные, с которыми эти устройства работают. Любое мобильное устройство, как правило, находится под управлением мобильной операционной системой (далее ОС), самыми популярными мобильными ОС являются: Google Android, Apple iOS, Symbian, BlackBerryOS, WindowsPhone и т.д. Приложения, устанавливаемые на устройства, осуществляют доступ к ресурсам мобильного устройства и к коммуникационным портам через интерфейсы, предоставляемые операционной системой. К ресурсам мобильного устройства относят такие средства вычислительной системы устройства, которые могут быть выделены процессу обработки данных на определенный квант времени. Основными ресурсами вычислительной системы являются процессоры, области оперативной памяти, наборы данных, периферийные устройства. Интерфейс, предоставляемый операционной системой для взаимодействия с ресурсами устройства, реализован в виде API (application programming interface) функций. С их помощью приложение может взаимодействовать с сетью, выполнять операции с файлами, с памятью и т.д. Один из способов, позволяющий контролировать и управлять доступом приложений к критическим ресурсам мобильного устройства, заключается в модификации кода приложения, вызывающего критические API-функции. Здесь и далее под понятие «критические» попадают функции, характерные для вредоносного кода (доступ к файловой системе, работа с сетью и т.д.). На Фиг.1а изображена схема, отражающая взаимодействие приложения с ОС и оборудованием. Пользовательское приложение 101а посредством API-функций обращается к операционной системе 102, а та осуществляет непосредственный доступ к оборудованию 103. На Фиг.1б изображен модифицированный вариант, в котором вызов оригинальных API-функций в приложении 101а заменяется вызовом API-функций модифицированных, при этом модифицированные API-функции экспортируются библиотекой функций-обработчиков 104, а библиотека 104 уже вызывает оригинальные API-функции, экспортируемые ОС.

В общем случае функция-обработчик - это любая функция, которая включает в себя функциональность другой функции. Данное понятие также применимо к методам и классам.

На Фиг.2 изображена упрощенная схема, отражающая типичную структуру мобильной ОС. Она включает в себя: пользовательские приложения 101а, работающие в окружении, где под окружением понимаются программные компоненты операционной системы, предназначенные для поддержки исполнения приложений, примером окружения является виртуальная машина Java; окружение 201, через которое осуществляется взаимодействие приложений 101а с ресурсами операционной системы 202; операционную систему 102, которая предоставляет интерфейс для взаимодействия с физическими компонентами мобильного устройства.

Описанный способ, позволяющий контролировать доступ к ресурсам мобильного устройства, встраивается в систему, изображенную на Фиг.2. Один из способов модифицировать данную систему и получить контроль над исполняемым приложением - встроиться между приложениями 101а и окружением 201. Для этого модифицируется приложение 101а и добавляется еще один уровень абстракции в систему, изображенную на Фиг.2, это контейнер 301, включающий в себя библиотеку функций-обработчиков 104 для приложения 101б и само модифицированное приложение 101б. На Фиг.3 изображена система с модифицированным приложением 101б. Данная система содержит все те же элементы, что и система на Фиг.2, отличие заключается в том, что добавлены новые элементы - контейнеры 301. Приложение 101б модифицировано и лишено возможности взаимодействовать с операционной системой 102 через окружение 201. С окружением 201 теперь взаимодействует контейнер 301, который является окружением для приложения 101б. Таким образом, все приложения 101б, помещенные в контейнер 301, контролируются. Для выполнения каких-либо действий приложение 101б обращается к библиотеке функций-обработчиков 104, библиотека 104 в соответствии с установленными для нее настройкой контролирует доступ приложения 101б к ресурсам операционной системы 202. Таким образом, возможно контролировать как входящий, так и исходящий сетевой трафик, доступ к файловой системе, взаимодействие защищенного приложения 101б с другими приложениями в системе, как помещенными в контейнер, так и нет.

В частном случае в один контейнер 301 может помещаться группа приложений. Такими приложениями могут быть приложения с похожей функциональностью, которые должны работать под одной политикой безопасности.

Частным случаем применения изобретения является его использование на одной из самых распространенных мобильных платформ Android OS, архитектура данной операционной системы представлена на Фиг.4. Архитектура Android построена на основе ядра Linux 401. Ядро 401 отвечает за такие системные службы, как управление безопасностью, памятью, процессами, включает сетевой стек и модель драйверов. Следующий уровень в иерархической структуре - библиотеки 402, написанные на C/C++, используемые различными компонентами ОС. Важнейшей частью архитектуры является Android Runtime (среда исполнения приложения) 403. Среда исполнения состоит из виртуальной Java-машины Dalvik и набора базовых библиотек. Dalvik выполняет файлы в специальном формате .dex, оптимизированном для устройств с малым количеством памяти. Базовые библиотеки написаны на языке Java и включают большой набор классов, которые поддерживают широкий диапазон функциональных возможностей. Следующий уровень - Application Framework (каркас приложений) 404. Этот уровень представляет собой инструментарий, которым пользуются все приложения. На вершине иерархии - Applications (уровень приложений) 401.

Android не делает разницы между основными приложениями телефона и сторонним программным обеспечением. Таким образом, ключевые компоненты, такие как набор номера, рабочий стол, почтовый клиент GMail и т.д. можно заменить альтернативными аналогами или модифицировать их, что позволяет использовать описываемое изобретение на данной платформе. Но платформа имеет особенность, которая заключается в том, что приложения выполняются в песочнице (жестко контролируемый набор ресурсов для исполнения гостевой программы) и не имеют прав для модификации компонентов, находящихся на одном уровне и на уровнях ниже. Для контроля над приложениями в Android OS приложение помещается в контейнер 301, где модифицируется .dex файл приложения 101 а путем замены критических классов на имена классов, которые описаны в библиотеке 104. Примерами критических классов могут являться приведенные ниже классы и методы:

java.io.*

java.lang.Runtime.loadLibrary()

java.lang.Runtime.exec()

android.app.ActivityManager.getRunmngServices()

javax.crypto.Cipher

java.lang.System.loadLibrary()

java.lang.ClassLoader.getResourceAsStream()

android.webkit.WebView

android.telephony.SmsMessage

android.content.BroadcastReceiver.abortBroadcast()

android.app.Activity.startActivity()

android.content.Context.getClassLoader()

android.content.Context.startActivity()

android.content.Context.getSystemService()

java.net.*

java.lang.Class.getClassLoader()

java.lang.Class.getClasses()

java.lang.Class.getResourceAsStream()

android.telephony.SmsManager.*

Модификация дает контроль над критической активностью приложения. Модификация может осуществляться на этапе загрузки приложения, может модифицироваться копия уже установленного приложения. При попытке совершить критическое действие приложение 101б этого не сможет сделать, так как оригинальный класс заменен на класс, описанный в библиотеке 104. Поэтому сначала будет вызван соответствующий метод из библиотеки 104 и произведена проверка на соответствие совершаемого действия политике безопасности, если критическое действие не нарушает установленных политикой правил, будет вызван оригинальный метод.

Частным случаем применения описанной системы является обнаружение вредоносного программного обеспечения на устройстве пользователя. На Фиг.5 изображена возможная реализация системы обнаружения вредоносного ПО на мобильном устройстве. Для обнаружения вредоносного программного обеспечения, по меньшей мере, одно приложение 101а помещается в контейнер 301. Приложения 101а могут быть помещены в контейнер пользователем либо автоматически на этапе загрузки, заранее установленным инструментарием. Например, в качестве такого инструментария может выступать антивирусное приложение, которое будет помещать в контейнер недоверенные и подозрительные приложения. Таким инструментарием также может быть инсталлятор 506, помещающий в контейнер все приложения, загружаемые из сети. В приложениях 101а модифицируются критические функции (отправка CMC, доступ в сеть, работа с файловой системой и т.д.), которые могут использоваться во вредоносных приложениях. Критические функции заменяются функциями-обработчиками, которые описаны в библиотеке функций-обработчиков 104. Система также включает в себя модуль анализа 501, предназначенный для обнаружения вредоносного программного обеспечения, локальную базу шаблонов 502, содержащую информацию о поведении, характерном для вредоносного программного обеспечения. База шаблонов может содержать, к примеру, определенную последовательность вызовов критических функций с недопустимыми параметрами (отправка CMC на короткие номера, загрузка файла с не доверенного сетевого ресурса). Данная система осуществляет контроль над исполнением пользовательских приложений 101б, помещенных в контейнер 301. Система отслеживает активность приложений 101б. Приложение 101б не может осуществить вызов критических функций напрямую, осуществляется вызов функций из библиотеки функций-обработчиков 104. Библиотека 104 передает модулю анализа 501 информацию о вызываемых функциях (например, имена функций и параметры вызова), модуль анализа 501 сравнивает информацию, полученную от библиотеки 104 с правилами из локальной базы 502. Если на основании анализа модулем анализа 501 обнаружено поведение, характерное для вредоносного программного обеспечения, в соответствии с настройкой системой будут предприняты адекватные действия. Например, библиотекой функций-обработчиков 104 будет заблокирован вызов критической функции (библиотека не вызовет оригинальную функцию), приложение будет остановлено или завершено, пользователь получит предупреждение и т.д. Модуль анализа 501, библиотека 104, локальная база 502 обновляются с сервера безопасности 503, это позволяет оперативно реагировать на новые угрозы (расширять список критических функций, добавлять новые правила в локальную базу 502).

В частном случае модуль анализа 501 может использовать не локальную базу 502, а обращаться к удаленной базе данных 505. Также и сам модуль анализа 501 может быть размещен удаленно на сервере безопасности 503. В данном случае на локальном устройстве библиотекой 104 будет собираться информация о работе анализируемого приложения и пересылаться на удаленный сервер безопасности, где будет осуществляться анализ полученной информации.

Модуль безопасности 501, локальная база 502 могут быть интегрированы с библиотекой функций-обработчиков 104.

Применением описанной системы в частном случае может быть обнаружение вредоносных программ, которые отправляют короткие текстовые сообщения CMC на платные номера или используют CMC для похищения данных с устройства пользователя. В данном случае критическими будут следующие методы:

android.telephony.gsm.SmsManager.sendTextMessage()

android.telephony.gsm.SmsManager.sendMultipartTextMessage()

android.telephony.gsm SmsManager.sendDataMessage()

android.telephony.SmsManager.sendTextMessage()

android.telephony.SmsManager.sendMultipartTextMessage()

android.telephony.SmsManager.sendDataMessage()

java.lang.reflect.Method invoke()

В контролируемых приложениях модифицируются вызовы именно этих методы. После помещения приложения в контейнер критические методы в нем заменяются, например, метод

android.telephony.SmsManager.getDefault().sendTextMessage("<phone_number>", null, "<message_text>", null, null);

будет заменен на

com.kaspersky.container.hooks.android_telephony_SmsManager.sendTextMessage (android.telephony.SmsManager.getDefault(), "<phone_number>", null, "<message_text>", null, null);

Описание данных методов находится в библиотеке 104, которая извлекает параметры вызываемого метода и передает их для анализа, пример кода библиотеки для ряда критических методов может выглядеть так:

package com.kaspersky.container.hooks;

public class android_telephony_SmsManager {

public static void sendTextMessage(Object impl, java.lang.String arg1, java.lang.String arg2, java.lang.String arg3, android.app Pendinglntent arg4, android.app.Pendinglntent arg5) {

if (!SecurityManager.get("sms").allow(String.valueOf(arg1),String.valueOf(arg3))) {return;}

((android.telephony.SmsManager)impl).sendTextMessage(arg1, arg2, arg3, arg4, arg5),

}

public static void sendMultipartTextMessage(Object impl, java.lang.String arg1, java.lang.String arg2, java.util.ArrayList arg3, java util.ArrayList arg4, java.util.ArrayList arg5) {

if (!SecurityManager.get("sms").allow(String valueOf(arg1),String.valueOf(arg3))) {return;}

((android.telephony.SmsManager)impl).sendMultipartTextMessage(arg1, arg2, arg3, arg4, arg5),

}

public static void sendDataMessage(Object impl, java.lang.String arg1, java.lang.String arg2, short arg3, byte[] arg4, android.app.Pendinglntent arg5, android.app.Pendinglntent arg6) {

if (!SecurityManager.get("sms").allow(String.valueOf(arg1),String.valueOf(arg4))) {return;}

((android.telephony.SmsManager)impl).sendDataMessage(arg1, arg2, arg3, arg4, arg5, arg6),

}

Приведенный пример кода содержит описание трех методов, на которые заменяются оригинальные критические методы. Библиотека 104 пересылает модулю анализа 501 параметры вызываемых методов, который на основе шаблонов, содержащихся в базе 502, проверяет параметры на наличие угрозы. В случае если угроза не обнаружена, выполняется вызов оригинальных методов. Если аргументы не прошли проверку, то в данном примере отправка текстового сообщения останавливается. Также возможно не только приостановить отправку, а предупредить пользователя, закрыть приложение и т.д.

Фиг.6 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47 персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.6. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Способ обнаружения вредоносного программного обеспечения путем создания изолированной среды, в котором:
а) модифицируют код исследуемого приложения путем замены вызова критических функций вызовом функций-обработчиков;
б) собирают информацию о вызываемых исследуемым модифицированным приложением критических функциях через функции-обработчики;
в) анализируют информацию, собранную на этапе б), на наличие поведения, характерного для вредоносного программного обеспечения;
г) обнаруживают вредоносное программное обеспечение на основании анализа.

2. Способ по п.1, в котором к критическим функциям, вызываемым приложениями, относятся функции, вызов которых позволяет выявить поведение, характерное для вредоносного программного обеспечения.

3. Способ по п.1, в котором приложение, код которого модифицируют на этапе а), является .dex файл приложения.

4. Система обнаружения вредоносного программного обеспечения путем создания изолированной среды содержит:
а) приложение, которое предназначено для модификации исследуемого приложения;
б) библиотеку функций-обработчиков, предназначенную для сбора информации о вызываемых исследуемым модифицированным приложением критических функциях;
в) модуль анализа, связанный с библиотекой функций-обработчиков и предназначенный для:
- анализа информации о вызываемых критических функциях, собранной библиотекой функций-обработчиков;
- обнаружения вредоносного ПО на основании анализа.

5. Система по п.4, в которой библиотека функций-обработчиков может выполнять функции модуля анализа.

6. Система по п.4, в которой приложение, код которого модифицируется в пункте а), модифицируют удаленно и устанавливают на устройство пользователя уже модифицированным.

7. Система по п.4, в которой модуль анализа располагают на удаленном устройстве.

Изобретение относится к способу интеграции с автоматизированной системой управления данными об изделии (АСУДИ). Техническим результатом является предотвращение возможности для пользователя вносить изменения в формируемые в автоматизированной системе и размещаемые в АСУДИ электронные документы.

Система и способ адаптивного управления и контроля действий пользователя на основе поведения пользователя // 2534935

Изобретение относится к системам контроля и ограничения действий, совершаемых пользователем на персональном компьютере. Техническим результатом является повышение эффективности контроля за доступом к сетевым ресурсам.

Система контроля доступа к ресурсам компьютерной системы с субъектом "исходный пользователь, эффективный пользователь, процесс" // 2534488

Изобретение относится к вычислительной технике. Технический результат заключается в расширение функциональных возможностей контроля доступа к ресурсам, за счет использования субъекта доступа «Исходный пользователь, Эффективный пользователь, Процесс».

Методики управления доступом к организационной информации субъекта // 2534369

Изобретение относится к способу, устройству и машиночитаемому носителю для управления доступом к организационной информации посредством организационной схемы. Технический результат заключается в повышении безопасности управления доступом к организационным схемам.

Устройство формирования изображения, способ управления для него и носитель информации // 2534007

Изобретение относится к функции повторного выполнения задания в устройстве формирования изображения, имеющем функцию аутентификации пользователя. Техническим результатом является обеспечение возможности управления сохранением обработанного и манипулирования сохраненным заданием на основе установок и информации пользователя в устройстве.

Устройство защиты информации // 2533640

Техническое решение относится к области электротехники и радиотехники и может быть использовано для защиты информации, обрабатываемой техническими средствами (ТС), средствами вычислительной техники (СВТ), компьютерными системами (КС).

Устройство управления, система обработки информации, способ управления и носитель хранения // 2533498

Изобретение относится к средствам управления приложением устройств формирования изображения. Технический результат заключаются в возможности использования приложения устройства формирования изображения при изменении конфигурации устройства.

Антивирусная вычислительная система // 2533303

Изобретение относится к антивирусной системе. Технический результат заключается в предотвращении неавторизированного обновления антивирусной программы.

Устройство и способ для динамического назначения служб обеспечения живучести мобильным устройствам // 2533059

Изобретение относится к системам связи и более конкретно к устройствам связи и к приложениям для подобных устройств, позволяющим назначение служб обеспечения живучести упомянутому устройству после регистрации в службе.

Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса // 2531861

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса.

Система и способ лечения содержимого сайта // 2535504

Изобретение относится к вычислительной технике. Технический результат заключается в повышении защищенности сайта. Система лечения содержимого сайта содержит систему управления содержимым сайта, предназначенную для предоставления данных о состоянии объектов содержимого сайта и самих объектов содержимого сайта из базы данных содержимого сайта средству анализа, внесения изменений в объекты содержимого сайта при выполнении процедур лечения средством анализа; базу данных содержимого сайта, предназначенную для хранения объектов содержимого сайта; средство анализа, предназначенное для обнаружения подозрительных объектов содержимого сайта в ходе анализа представленных данных о состоянии объектов содержимого сайта и самих объектов содержимого сайта, передаче подозрительных объектов содержимого сайта средству проверки, лечения вредоносных объектов содержимого сайта путем выполнения процедур лечения вредоносных объектов содержимого сайта при помощи системы управления содержимым сайта; по крайней мере, одно средство проверки, предназначенное для обнаружения вредоносных объектов содержимого сайта в ходе проверки подозрительных объектов содержимого сайта, выработки процедур лечения обнаруженных вредоносных объектов содержимого сайта, передачи процедур лечения обнаруженных вредоносных объектов содержимого сайта средству анализа. 2 н. и 23 з.п. ф-лы, 4 ил.

Система и способ формирования сценариев модели поведения приложений // 2535506

Изобретение относится к области систем обнаружения вредоносного программного обеспечения. Техническим результатом является создание сценариев модели поведения на основании правил рейтинга опасности. Cпособ создания сценариев модели поведения на основе правил рейтинга безопасности состоит из этапов, на которых: определяют проблемные правила, которые срабатывают одновременно как на вредоносных, так и на безопасных приложениях; для проблемного правила выделяют группу приложений, для которых это правило срабатывает; находят, по крайней мере, одно отличное от проблемного правило, срабатывание которого вместе со срабатыванием проблемного правила позволяет выделить из выделенной группы приложений только вредоносные либо только безопасные приложения; формируют сценарий модели поведения на основе проблемного правила и, по крайней мере, одного найденного правила, отличного от проблемного правила, срабатывание которого вместе со срабатыванием проблемного правила позволяет выделить из выделенной группы приложений только вредоносные либо только безопасные приложения, при этом сценарий модели поведения используется для корректировки рейтинга опасности выделенной группы приложений. 2 н. и 9 з.п. ф-лы, 3 ил., 4 табл.

Система и способ защиты от нелегального использования облачных инфраструктур // 2536663

Изобретение относится к средствам обнаружения подложной информации. Технический результат заключается в уменьшении количества запросов, поступающих с компьютерного устройства на удаленный сервер. Отправляют запросы от средства защиты к средству обработки запросов. Анализируют запросы, поступающие к средству обработки запросов с помощью средства проверки системы в зависимости от текущего уровня доверия упомянутого средства защиты, при этом анализ запросов включает по крайней мере проверку порядка следования запросов к одному или более сервисам. Обновляют уровень доверия в зависимости от анализа упомянутых запросов. Принимают решение об обработке запросов в зависимости от обновленного уровня доверия. Предоставляют ответы по крайней мере одному средству защиты в зависимости от принятого решения об обработке запросов. 2 н. и 23 з.п. ф-лы, 5 ил., 5 табл.

Система и способ автоматической модификации антивирусной базы данных // 2536664

Изобретение относится к области оптимизации антивирусной проверки. Техническим результатом является увеличение скорости антивирусной проверки. Способ обновления информации в антивирусной базе данных путем формирования антивирусного списка в антивирусной базе данных, и при этом антивирусный список соответствует новому типу объекта, содержит этапы, в которых: хранят список типов объектов, содержащий отличительные признаки для определения типов объектов, и антивирусные списки, разделенные по типу объектов и содержащие антивирусные записи для соответствующих типов объектов; определяют тип полученного объекта с целью последующего выбора антивирусного списка для антивирусной проверки объекта; проводят антивирусную проверку полученного объекта на содержание вредоносного кода с помощью антивирусного списка, соответствующего определенному типу объекта, и формируют результаты проверки; проводят анализ результатов проверки с целью выявления объектов, у которых тип объекта был определен как неизвестный тип объекта; обновляют антивирусную базу данных путем добавления отличительных признаков выявленного типа, по крайней мере, одного объекта в список типов объектов и создания антивирусного списка, соответствующего выявленному типу объекта, при этом указанные списки не содержат антивирусные записи. 2 н. и 20 з.п. ф-лы, 7 ил.

Способ проверки прав доступа для учетных записей пользователей в грид-системах и система для его осуществления // 2536678

Изобретение относится к вычислительной технике. Технический результат заключается в защите информационных и вычислительных ресурсов грид-систем от несанкционированного доступа. Способ проверки прав доступа для учетных записей пользователей в грид-системах, заключающийся в том, что определяют доступные узлы грид-системы, формируют список узлов грид-системы, на которых допускается запустить вычислительный процесс, фиксируют множество учетных записей пользователей грид-системы, а также множество предоставленных им прав доступа в текущий момент времени, сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, формируя множество легитимных узлов грид-системы, выполняют фильтрацию запроса на доступ к ресурсам грид-системы, поступившего от учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая выполнение вычислительного процесса только на легитимных узлах грид-системы. 2 н.п. ф-лы, 3 ил.

Комплексная система аудита и мониторинга информационной безопасности локальной вычислительной сети предприятия // 2537274

Изобретение относится к комплексной системе аудита и мониторинга информационной безопасности локальной вычислительной сети предприятия. Технический результат заключается в повышении точности обнаружения несанкционированного доступа к информации предприятия за счет введения дополнительных модулей аудита. Система содержит сервер с центральной базой данных, один коммутатор локальной вычислительной сети, соединенный с двумя персональными компьютерами, коммутатор с беспроводным подключением и маршрутизатор сети интернет, а также один модуль комплекса аудита, модуль комплекса аудита с беспроводным подключением и модуль комплекса аудита с подключением из внешней сети интернет. 1 ил.

Профиль средств обеспечения безопасности смарт-карт в домашнем абонентском сервере // 2537275

Изобретение относится к беспроводной связи. Технический результат - обеспечение безопасности пользовательского оборудования. Способ информирования о доступных средствах обеспечения безопасности в пользовательском оборудовании, включающий: определение в функции сетевого приложения предпочтительного упорядоченного списка желаемых для использования средств обеспечения безопасности пользовательского оборудования; отправку упомянутого предпочтительного упорядоченного списка в базу данных настроек безопасности пользователя посредством функции сервера начальной загрузки, причем база данных включает базу данных настроек безопасности пользователя общей архитектуры начальной загрузки, при этом упомянутый предпочтительный упорядоченный список отправляют в сообщении запроса о средствах обеспечения безопасности, отправляемом с использованием сообщения протокола Diameter в виде пар атрибут-значение, и упомянутый запрос о средствах обеспечения безопасности включает element name="securityFeaturesRequest" type="xsd:string" minOccurs="0"; и прием функцией сетевого приложения, посредством функции сервера начальной загрузки, ответа о средствах обеспечения безопасности, включающего ключ безопасности, извлеченный из информации, хранящейся в базе данных, и соответствующий желаемому средству обеспечения безопасности, имеющемуся в списке, что обеспечивает информирование функции сетевого приложения о доступности по меньшей мере желаемых средств обеспечения безопасности в пользовательском оборудовании. 3 н. и 17 з.п. ф-лы, 6 ил.

Аутентификация устройства и пользователя // 2538283

Изобретение относится к способу и системе для аутентификации воспринимающего устройства и пользователя. Техническим результатом является повышение надежности аутентификации воспринимающего устройства и пользователя, удостоверяющей, что данные, происходящие из устройства, происходят от конкретного устройства и от конкретного пользователя. Способ аутентификации воспринимающего устройства и пользователя содержит получение ID устройства для воспринимающего устройства, выполнение биометрического измерения пользователя, получение вспомогательных данных для пользователя и генерирование ключа из биометрического измерения и вспомогательных данных. Затем генерируется сообщение, содержащее ключ или компонент, выведенный из ключа, которое передается к удаленной службе, и в службе затем выполняется этап аутентификации устройства и пользователя с помощью сообщения. 2 н. и 12 з.п. ф-лы, 11 ил.

Способ обнаружения компьютерных атак на сетевую компьютерную систему // 2538292

Изобретение относится к вычислительной технике. Технический результат заключается в обнаружении компьютерных атак разных видов, комбинированных одновременных атак разных видов и определении видов атак. Способ обнаружения компьютерных атак на сетевую компьютерную систему, включающую, по крайней мере, один компьютер, подключенный к сети и имеющий установленную операционную систему и установленное прикладное программное обеспечение, включающее систему анализа трафика, в котором для анализа получаемых из сети пакетов выбираются определенные параметры и вычисляются их значения, которые затем сравниваются с эталонными значениями, а факт наличия одиночной или комбинированной одновременной атаки и определение видов атак определяется по сочетанию установленных условий для параметров. Для обработки получаемых из сети пакетов данных используется система анализа трафика, позволяющая вычислять параметры трафика в реальном масштабе времени. 13 ил., 3 табл.

Устройство создания доверенной среды для компьютеров информационно-вычислительных систем // 2538329

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности защиты компьютера от несанкционированных действий на всех этапах его работы. Устройство создания доверенной среды и защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем, в состав которого введены накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, который подключается к шине SPI чипсета материнской платы компьютера и содержит в своей защищенной от записи области BIOS компьютера с дополнительно встроенными командами, обеспечивающими взаимодействие с управляющим микроконтроллером и проверку целостности загружаемого программного обеспечения, и управляемый быстродействующий электронный ключ, установленный на шину SPI материнской платы между чипсетом компьютера и накопителем, при этом микроконтроллер снабжен каналом управления электронным ключом, соединяющим управляющий выход порта ввода-вывода микроконтроллера с управляющим входом электронного ключа, а также контроллером интерфейса SPI, обеспечивающим подключение микроконтроллера к шине SPI и работу его в режиме прямого доступа к памяти накопителя и в режиме контроля команд от чипсета к накопителю по шине SPI. 1 з.п. ф-лы, 3 ил.