Способ сканирования файлов, клиентский компьютер и сервер

Изобретение относится к области технологий обработки данных. Технический результат заключается в повышении эффективности сканирования подозрительных файлов. Такой результат достигается тем, что способ сканирования файлов включает в себя: нумерацию несканированных файлов; поочередное получение атрибутов несканированных файлов из нумерованных файлов и передачу атрибутов на сервер; сравнение атрибутов с признаками, хранящимися на сервере, получение признаков, согласующихся с атрибутами и типами, к которым относятся признаки; генерация схемы данных, представленных в виде карты, связывающие несканированные файлы, атрибуты и типы в соответствии с признаками, согласующимися с атрибутами и типами признаков, запись схемы данных, представленных в виде карты, в первый результат сканирования. Выполняется загрузка файлов на сервер и производится анализ степени риска и безопасности файла посредством сравнения с признаками и соответствующими типами. 4 н. и 21 з.п. ф-лы, 11 ил.

 

ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ

Настоящее раскрытие предмета изобретения относится к области технологий обработки данных, и, в частности, к рассматриваемому способу сканирования файлов, клиентскому компьютеру и серверу.

ПРЕДПОСЫЛКИ СОЗДАНИЯ ИЗОБРЕТЕНИЯ

С развитием компьютерных технологий появилась возможность работать и развлекаться с самыми разными файлами. Эти файлы можно загружать из Интернета, получать при помощи переносных носителей информации или от других людей. Соответственно, у пользователя имеется высокая степень подозрительности в отношении полученных файлов, а также конечных устройств типа компьютеров и мобильных телефонов. Кроме того, уже использующиеся файлы могут значительно повредиться вследствие заражения вирусными или троянскими программами, которые содержатся в вызывающих сомнение файлах.

Однако при сканировании подозрительных файлов используются только движки локальных клиентских компьютеров или вирусных библиотек. Движки клиентских компьютеров представляют собой антивирусные движки, в то время как базы данных сигнатур вирусов с локальными библиотеками вирусов ограничены по сравнению с признаками, которые имеют вирусные и троянские программы. Число вирусных и троянских программ растет намного быстрее по сравнению со скоростью обновления локальной библиотеки вирусов. По этой причине локальная библиотека вирусов может только пассивно улучшать частоту обновления.

Вследствие неполноты базы данных сигнатур вирусов локальной библиотеки, не представляется возможным охватить все характеристики вирусных и троянских программ, сканирование подозрительных файлов на клиентском компьютере имеет невысокую эффективность.

КРАТКОЕ ИЗЛОЖЕНИЕ СУЩНОСТИ ИЗОБРЕТЕНИЯ

Соответственно, необходимо описать способ сканирования файлов, который способен повысить эффективность сканирования.

Кроме того, необходимо обеспечить систему сканирования файлов, которая повышает эффективность сканирования.

Кроме того, необходимо обеспечить клиентский компьютер для сканирования файлов, который повышает эффективность сканирования.

Кроме того, необходимо обеспечить сервер для сканирования файлов, который повышает эффективность сканирования.

Способ сканирования файлов включает в себя:

нумерацию несканированных файлов;

поочередное получение атрибутов из несканированных файлов и передачу атрибутов на сервер;

сравнение атрибутов с признаками, сохраненными на сервере, получение признаков, согласующихся с этими атрибутами, и типов, к которым относятся данные признаки; генерация схемы данных, представленной в виде карты, которая связывает несканированные файлы, атрибуты и типы, в соответствии с признаками, с которыми они согласуются; запись схемы данных, представленной в виде карты, в первый результат сканирования.

Способ сканирования файлов включает в себя:

нумерацию несканированных файлов;

поочередное получение атрибутов из несканированных файлов и передачу атрибутов на сервер;

Способ сканирования файлов включает в себя:

сравнение атрибутов с признаками, сохраненными на сервере, получение признаков, согласующихся с этими атрибутами, и типами, к которым относятся данные признаки/генерацию схемы данных, представленной в виде карты, связывающей несканированные файлы, атрибуты и типы, в соответствии с признаками, с которыми они согласуются; запись схемы данных, представленной в виде карты, в первый результат сканирования.

Система для сканирования файлов включает в себя клиентский компьютер и сервер;

клиентский компьютер включает в себя:

блок нумерации для нумерации файлов;

блок поочередного получения атрибутов несканированных файлов и передачи атрибутов на сервер;

сервер включает в себя:

базу данных для хранения признаков и типов признаков;

блок сравнения атрибута с сохраненными признаками, и получения этих признаков, согласующихся с атрибутами и типами, к которым относятся данные признаки;

блок схемы данных, представленных в виде карты для генерации связи между несканированными файлами, атрибутами и типами, в соответствии с признаками, согласующимися с атрибутами и типами признаков, и записи схемы данных, представленных в виде карты, в первом результате сканирования.

Клиентский компьютер для сканирования файлов включает в себя:

блок нумерации для нумерации файлов;

блок поочередного получения атрибутов несканированных файлов и передачи атрибутов на сервер.

Сервер для сканирования файлов включает в себя:

базу данных для хранения признаков и типов признаков;

блок сравнения атрибута с сохраненными признаками, и получения этих признаков, согласующихся с атрибутами и типами, к которым относятся данные признаки;

блок схемы данных, представленных в виде карты для генерации связи между несканированными файлами, атрибутами и типами, в соответствии с признаками, согласующимися с атрибутами и типами признаков, и записи схемы данных, представленных в виде карты, в первом результате сканирования.

При помощи описанного выше способа сканирования файлов, клиентского компьютера и сервера выполняется загрузка атрибутов файлов на сервер; и осуществляется распознавание уровня безопасности и риска посредством сравнения с признаками и соответствующими типами признаков. Так как сервер выходит за пределы объема памяти при хранении большого объема признаков, и вследствие того, что сервер может быстро и своевременно обновлять признаки, то признаки, хранимые на сервере, являются относительно полными; следовательно, эффективность сканирования повышается.

КРАТКОЕ ОПИСАНИЕ ФИГУР

Фиг.1 представляет собой структурную схему способа сканирования файлов в соответствии с вариантом реализации;

Фиг.2 представляет собой структурную схему способа сканирования файлов в соответствии с другим вариантом реализации;

Фиг.3 представляет собой структурную схему способа сканирования файлов в соответствии с другим вариантом реализации;

Фиг.4 представляет собой структурную схему способа сканирования файлов в соответствии с другим вариантом реализации;

Фиг.5 представляет собой структурную схему способа локального сканирования несканированных файлов в соответствии с результатом первого сканирования, Фиг.4;

Фиг.6 представляет собой блок-схему системы для сканирования файлов в соответствии с вариантом реализации;

Фиг.7 представляет собой блок-схему клиентского компьютера в соответствии с вариантом реализации;

Фиг.8 представляет собой блок-схему блока определения файлов, Фиг.7;

Фиг.9 представляет собой блок-схему клиентского компьютера в соответствии с другим вариантом реализации;

Фиг.10 представляет собой блок-схему клиентского компьютера в

соответствии с другим вариантом реализации;

Фиг.11 представляет собой блок-схему клиентского компьютера в соответствии с другим вариантом реализации.

ОПИСАНИЕ ПРЕДПОЧТИТЕЛЬНЫХ ВАРИАНТОВ РЕАЛИЗАЦИИ

Фиг.1 представляет собой структурную схему способа сканирования файлов в соответствии с типовым вариантом реализации, который включает в себя следующее.

Шаг S110, нумерация несканированных файлов.

В соответствии с текущим вариантом реализации, при запуске сканирующего движка антивирусной программы или анти-троянской программы, пользователь создает запрос на сканирование при помощи страницы сканирования движка, и отправляет созданный запрос на сканирование на оборудование нижнего уровня системы при помощи блока IPC (Inter-process Communication - обмен информацией между процессами). Далее отправляется запрос на сканирование на сервер через оборудование нижнего уровня системы. Сканирующий движок и сервер получают несканированные файлы по полученному запросу на сканирование, и выполняют целенаправленное сканирование файлов в соответствии с запросом на сканирование. Блок IPC устанавливается между страницей сканирования сканирующего движка и оборудованием нижнего уровня, что необходимо для обеспечения обмена информацией между страницей сканирования и оборудованием нижнего уровня, и дальнейшего подключения сканирующего движка и сервера.

Более подробно, запрос на сканирование включает в себя задачу ID, слой сканирования и способ нумерации папок файлов; где слой сканирования связан с опциями, выбранными пользователем для выполнения быстрого сканирования, полного сканирования или сканирования, заданного пользователем. Например, как в режиме быстрого сканирования, скорость сканирования довольно высокая, в то время как слой сканирования является относительно неглубоким.

Для выполнения сканирования файлов несканированные файлы необходимо получать в соответствии с работой страницы сканирования, заданной пользователем. Назначенные файлы будут являться несканированными файлами, они будут нумероваться в соответствии с заданной длиной очереди, распределенные по длине очереди с конкретной длиной для сканирования. В предпочтительном варианте реализации длина файлов составляет 20000.

Шаг S130, поочередное получение атрибутов несканированных файлов и передача атрибутов на сервер.

В соответствии с текущим вариантом реализации, атрибуты несканированных файлов получаются с целью определения уникальности несканированных файлов, и их можно использовать для обеспечения целостности данных файлов. В предпочтительном варианте реализации атрибуты несканированных файлов могут иметь значение MD5.

Атрибут каждого несканированного файла в нумерованных множественных несканированных файлах получается поочередно, что необходимо для генерации запроса, в котором содержится информация, например, атрибут, имя несканированного файла; сгенерированный запрос отправляется затем на сервер. Сервер может представлять собой облачную платформу, построенную на нескольких серверах, в каждую из этих облачных платформ можно добавлять или убирать серверы, в зависимости от потребности, или формировать масштабные группы серверов.

После включения сервера на сканирование файлов, если в нумерованных несканированных файлах, подлежащих сканированию на сервере, несканированные файлы не обнаружены, устанавливается заданное время, которое выдерживается перед повторной попыткой. Это заданное время может составлять 100 мс.

Шаг S150, сравнение атрибутов с признаками, сохраненными на сервере, получение признаков, согласующихся с этими атрибутами, и типами, к которым относятся данные признаки.

В текущем варианте реализации атрибуты могут иметь значение MD5 или хеш-значения после выполнения расчетов по несканированным файлам, где каждый атрибут уникально соответствует одному несканированному файлу. Если целостность несканированного файла нарушена, то соответствующий атрибут будет отличаться от атрибута, имеющегося у целостного несканированного файла. В сервере хранится большое число признаков и типов принадлежности. Хранимые признаки и типы согласованы друг с другом, а это значит, что каждый признак имеет соответствующий тип. На сервере происходит поиск по атрибутам несканированных файлов, что необходимо для поиска признаков, согласующихся с атрибутами, и, кроме того, для поиска типа, к которому относится признак в соответствии с взаимосвязью признаков и соответствующих типов. В этом случае найденные типы являются типами атрибутов несканированных файлов, которые указывают на то, что данные несканированные файлы относятся к нормальным файлам, файлам вирусов или троянским программам. Например, типы, характеризующие файлы-вирусы, находятся в черных списках, те файлы, типы которых находятся в черных списках, являются файлами-вирусами или троянскими файлами. В то время как типы, характеризующие нормальные файлы, находятся в белых списках, те файлы, типы которых находятся в белых списках, определяются как безопасные файлы, не содержащие вирусов или троянских программ, и заслуживающие доверие. Для подозрительных файлов, типы которых находятся в сером списке/несмотря на то, что эти файлы, тип которых находится в сером списке, не определяются как файлы-вирусы или троянские файлы, но оказывают влияние на части системы, чувствительные к вирусам.

Признаки, которые согласуются с атрибутами несканированных файлов, находятся в результатах сравнения атрибутов с признаками, хранящимися на сервере, и соответствующие типы определяются при помощи признаков, согласующихся с атрибутами. Эти типы указывают на то, что файлы, соответствующие атрибуту, являются файлами-вирусами, троянскими, нормальными или подозрительными файлами. Если на сервере не сохранены согласованные признаки, в соответствии с атрибутами, это означает, что большое количество признаков, сохраненных на сервере, не обнаружено, и файлы с такими атрибутами относятся к списку не идентифицированных файлов.

Шаг S170, генерация схемы данных, представленной в виде карты, связывающей несканированные файлы, атрибуты и типы, в соответствии с признаками, с которыми они согласуются, и запись схемы данных, представленной в виде карты, в первый результат сканирования.

В соответствии с текущим вариантом реализации, тип файла можно определить при помощи сравнения атрибута и признака. Далее завершается первый результат сканирования, который отправляется пользователю.

Перечисленные выше шаги S150 и S170 запускаются на сервере, на котором выполняется сканирование файла.

В соответствии с другим вариантом реализации, как показано на Фиг.2, после шага S170 имеют место следующие шаги.

Шаг S210, локальное определение несканированных файлов для локального сканирования в соответствии с результатами первого сканирования.

В соответствии с текущим вариантом реализации, на основе результатов сканирования на сервере, файлы можно также сканировать локально при помощи движка сканирования. Для улучшения эффективности и точности, локальное сканирование должно выполняться в правильной комбинации со сканированием файлов на сервере.

Более подробно, по результатам первого сканирования, полученным с сервера, можно определить подозрительные файлы и файлы с атрибутами, соответствующие признакам, которые не были обнаружены на сервере, где для обеспечения точности результатов сканирования необходимо определить подозрительные файлы и файлы, относящиеся к списку неопределенных файлов, подлежащие локальному сканированию.

Далее, необходимо выполнить локальное сканирование тех файлов, которые не прошли сканирование на сервере, обеспечив тем самым сканирование всех файлов и получение результатов сканирования.

После включения локального сканирования, если несканированные файлы не обнаружены, устанавливается заданное время, которое выдерживается перед повторной попыткой. Это заданное время может составлять 100 мс.

Шаг S230, выполнение локального сканирования несканированных файлов, и получение второго результата сканирования.

В соответствии с текущим вариантом реализации, атрибуты получаются из несканированных файлов, и локальная библиотека вирусов ищет признаки, согласующиеся с атрибутами, и которые соответствуют типу согласно полученным атрибутам, и далее выполняется определение, к какому обнаруженному типу относится файл; нормальный файл, файл-вирус или троянский файл.

Шаг S250, объединение первого и второго результата сканирования, генерация третьего результата сканирования.

В соответствии с текущим вариантом реализации, после завершения сканирования на сервере и локального сканирования можно найти третий результат сканирования при помощи объединения первого и второго результата посредством правильной комбинации.

Результат первого сканирования Результат второго сканирования Результат третьего сканирования
Черный список Черный список Черный список
Черный список Белый список Черный список
Черный список Список неопределенных файлов Черный список
Белый список Черный список Белый список
Белый список Белый список Белый список
Белый список Список неопределенных файлов Белый список
Серый список Черный список Черный список
Серый список Белый список Белый список
Серый список Серый список Серый список
Список Черный список Черный список
неопределенных файлов
Список неопределенных файлов Белый список Белый список
Список неопределенных файлов Серый список Серый список

Более подробно, как видно из таблицы, для заданного файла, если из первого результата сканирования видно, что тип файла относится к черному списку, то третий результат сканирования будет определяться по первому результату; если из первого результата сканирования видно, что тип файла относится к серому списку или списку неопределенных файлов, то необходимо получить второй результат, выполнив локальное сканирование, и третий результат сканирования будет определяться по второму результату.

В соответствии с описанным выше способом сканирования, третий результат сканирования можно предоставить пользователю после его генерации; в зависимости от третьего результата сканирования, необходимо предложить средства оповещения пользователя с учетом риска, который несут файлы черного списка, и далее может выполняться операция очистки этих файлов, находящихся в черном списке.

В соответствии с другим вариантом реализации, см. Фиг.3, можно включить следующие шаги после шага S250.

Шаг 3310, удаление из нумерованной очереди несканированных файлов, соответствующих файлам третьего результата сканирования.

В настоящем варианте реализации, после сканирования файлов на сервере и локальном компьютере, необходимо удалить файлы, которые прошли сканирование, из нумерованной очереди; это означает, что к файлам происходит адресация в соответствии с вариантами из третьего результата сканирования, с последующим удалением из нескольких нумерованных сканированных файлов.

Шаг 3330, определение наличия свободного места в нумерованной очереди. В случае наличия свободного места выполняется шаг S350, при отсутствии свободного места, выполняется до конца.

В соответствии с настоящим вариантом реализации, не все несканированные файлы находятся в нумерованной очереди, так как несколько нумерованных файлов образуют нумерованную очередь определенной длины, поэтому, необходимо найти свободное место в нумерованной очереди, так чтобы можно было добавить в нумерованную очередь файлы, не включенные в нумерованную очередь.

Более подробно, после удаления сканированных файлов, несканированные файлы в нумерованной очереди остаются в исходной позиции, не перемещаются и не корректируются, несмотря на то, что определенные файлы удалены. Например, если файл в первой позиции в нумерованной очереди удаляется из нее после сканирования, то файл во второй позиции не будет перемещен вперед для заполнения освободившегося места в первой позиции. Соответственно, указатель нумерации в нумерованной очереди начнет поиск свободного места с первой позиции, и при обнаружении свободного места, несканированный файл, который не включен в нумерованную очередь, и ожидает сканирования, будет добавлен в эту очередь. В случае если свободное место не обнаружено, будет выполняться непрерывный поиск для добавления несканированного файла в нумерованную очередь.

Шаг S350, добавление в нумерованную очередь несканированных файлов, не включенных в нумерованную очередь.

В соответствии с другим вариантом реализации, по Фиг.4, способ сканирования файлов включает в себя следующие шаги.

Шаг 3401, нумерация несканированных файлов.

Шаг S402, определение достижения длины нумерованным несканированным файлом значения первого порога; при достижении порога выполняется шаг S403, или повторяется шаг S401.

В соответствии с настоящим вариантом реализации, во время процесса нумерации несканированных файлов для генерации нумерованной очереди, определяется длина генерируемой нумерованной очереди в целях определения достижения первого порога; сервер включается на сканирование файлов, если он достигнут. В настоящем варианте реализации, первый порог может иметь значение 50, что означает, что сервер начинает сканировать файлы, когда выполняется нумерация 50 несканированных файлов.

Шаг S403, поиск в нумерованных несканированных файлах тех файлов, которые соответствуют заданным условиям.

В настоящем варианте реализации, после включения сервера на сканирование файлов, в нумерованных файлах производится поиск тех несканированных файлов, которые могут проходить сканирование на сервере. В предпочтительном варианте реализации, заданным условием могут быть РЕ-файлы (Portable Execute - формат загружаемого кода), размер которых менее 3 Мб. Заданные условия могут изменяться в соответствии с фактической производительностью обработки и требованиями пользователя.

Шаг S405, поочередное получение атрибутов из нумерованных несканированных файлов и отправка данных атрибутов на сервер.

Шаг S406, сравнение атрибутов с признаками, сохраненными на сервере и получение признаков, согласующихся с атрибутами и типами признаков.

Шаг S407, генерация схемы данных, представленных в виде карты, связывающей несканированные файлы, атрибуты и типы, в соответствии с признаками, согласующимися с атрибутами и типами признаков, и запись указанной схемы данных в первый результат сканирования.

Шаг S408, определение достижения длины нумерованным несканированным файлом значения второго порога; при достижении порога выполняется шаг S409, или повторяется шаг S401;

В соответствии с настоящим вариантом реализации, во время процесса нумерации несканированных файлов, необходимого для генерации нумерованной очереди, определяется длина генерируемой нумерованной очереди в целях определения достижения второго порога; включается локальное сканирование файлов, если он достигнут. В соответствии с предпочтительным вариантом реализации, второй порог может иметь значение 5000, что означает, что локальное сканирование файлов начинается, когда длина нумерованной очереди достигает 5000.

В предпочтительном варианте реализации, значение второго порога будет больше, чему первого вследствие того, что сканирование файлов на сервере требует сетевого соединения, а передача данных потребляет относительно много времени по сравнению с локальным сканированием. Кроме того, признаки, хранящиеся на сервере, являются более адекватными, и точность сканирования улучшается, если конечный результат сканирования выводится на основании первого результата, который генерируется при помощи сканирования сервером, и таким образом, экономится общее время сканирования.

Шаг S409, определение файлов для локального сканирования в соответствии с первым результатом сканирования.

В более подробном варианте реализации, после шага S405 включено присвоение тегов несканированным файлам, которые отправили атрибуты.

В варианте реализации, после отправки атрибутов на сервер, выполняется присвоение тегов файлам, сканированным на сервере.

По Фиг.5, детали шага S409 включают в себя следующее.

Шаг S501, определение файлов, подлежащих сканированию во второй раз, среди нумерованных файлов, в соответствии с первым результатом сканирования.

В соответствии с текущим вариантом реализации, файлы и соответствующие типы файлов определяются на основании первого результата сканирования. Если тип файла, записанного в первом результате, относится к серому списку или списку неопределенных файлов, это указывает на то, что данные файлы могут быть подозрительными, или атрибуты файлов не найдены по соответствующим признакам, хранящимся на сервере, с которыми они согласуются, и поэтому, их нельзя определить, почему и требуется второе сканирование.

Шаг S503, выбор несканированных файлов без тегов из нумерованных несканированных файлов, определение файлов, подлежащих второму сканированию и несканированных файлов без тегов, предназначенных для локального сканирования.

В настоящем варианте реализации, файлы, находящиеся в нумерованных несканированных файлах, которые не прошли сканирование на сервере, также подлежат сканированию при помощи локального сканирующего движка.

Шаг S410, сканирование заданных файлов на локальном уровне при помощи локального сканирующего движка и получение второго результата сканирования.

В настоящем варианте реализации, подробный процесс локального сканирования заданных несканированных файлов и генерация второго результата сканирования имеет следующий вид: последовательное сканирование файлов, предназначенных для второго сканирования и сканирование файлов без тегов, в соответствии с заданным приоритетом.

Во время последовательного сканирования файлов в соответствии с заданным приоритетом, файлы, предназначенные для второго сканирования, сначала сканируются локально, после завершения сканирования файлов, предназначенных для второго сканирования. Далее сканируются файлы, не являющиеся РЕ-файлами, и, наконец, сканируются РЕ-файлы, которые не согласуются с заданными условиями. Приоритет сканирования можно задавать соответственно.

Шаг S411, объединение второго и первого результатов сканирования для генерации третьего результата сканирования.

Шаг S412, получение типа файлов для второго сканирования по второму результату сканирования.

В соответствии с настоящим вариантом реализации, как это зарегистрировано во втором результате сканирования, связь между именами, атрибутами и типами файлов можно найти, исходя из второго результата сканирования. Таким образом, тип файлов, прошедших второе сканирование, и соответственно, сами файлы, предназначенные для второго сканирования, могут показать свою принадлежность к файлам-вирусам и троянским файлам, в зависимости от типа.

Шаг S413, определение риска, который представляет файл, предназначенный для второго сканирования в зависимости от типа, если имеется риск, то выполняется шаг S414, или в случае отсутствия риска выполняется шаг S415.

В настоящем варианте реализации, можно определить, несут ли в себе риск файлы, предназначенные для второго сканирования, в зависимости от их типа. Например, если тип файла находится в черном списке, это указывает на то, что файл, предназначенный для второго сканирования, содержит вирус или троянскую программу, и, следовательно, представляет опасность. Так как тип опасного файла определяется при помощи локального сканирования, это указывает на то, что признак, хранящийся на сервере, не удовлетворяет требований, его необходимо обновить; принимая во внимание, что атрибут файла и его тип, определенный при втором сканировании, сохранен как признак.

Шаг S414, загрузка атрибута файла для второго сканирования.

Шаг S415, сканирование файла, предназначенного для второго сканирования с целью определения соответствующего индекса, указывающего на подозрение.

В соответствии с настоящим вариантом реализации, когда выясняется, что тип файла, предназначенного для второго сканирования, не является опасным, файл для второго сканирования может оказаться подозрительным, и его необходимо просканировать с целью определения соответствующего индекса, указывающего на подозрительность.

Шаг S416, определение превышения индекса, указывающего на подозрительность, порогового значения. В случае превышения выполняется шаг S414, если индекс не превышен, происходит выполнение до конца.

В соответствии с настоящим вариантом реализации, можно определить вероятность безопасности подозрительного файла в соответствии с заданным порогом уровня подозрительности. Например, уровень порога подозрительности установлен на 30%; если индекс подозрительности превышает 30%, подозрительный файл классифицируется как файл-вирус или троянский файл; до тех пор, пока признак подозрительного файла не сохранен на сервере, необходимо обновить данный признак подозрительного файла на сервере, и занести его в черный список.

Фиг.6 представляет собой блок-схему системы для сканирования файлов в соответствии с вариантом реализации. Система включает в себя клиентский компьютер 10 и сервер 30.

Клиентский компьютер 10 включает в себя блок нумерации 110 и блок получения атрибутов 120.

Блок нумерации 110 используется для нумерации файлов.

В соответствии с текущим вариантом реализации, при запуске сканирующего движка антивирусной или анти-троянской программы пользователь создает запрос на сканирование при помощи страницы сканирования сканирующего движка и отправляет созданный запрос на оборудование нижнего уровня системы через блок IPC (обмен информацией между процессами). Далее отправляется запрос на сканирование на сервер через оборудование нижнего уровня системы. Сканирующий движок и сервер получают несканированные файлы по полученному запросу на сканирование, и выполняют целенаправленное сканирование файлов в соответствии с запросом на сканирование. Блок IPC устанавливается между страницей сканирования сканирующего движка и оборудованием нижнего уровня, что необходимо для обеспечения обмена информацией между страницей сканирования и оборудованием нижнего уровня и дальнейшего подключения сканирующего движка и сервера.

Более подробно, запрос на сканирование включает в себя задачу ID, слой сканирования и способ нумерации папок файлов; где слой сканирования связан с опциями, выбранными пользователем для выполнения быстрого сканирования, полного сканирования или сканирования, заданного пользователем. Например, как в режиме быстрого сканирования, скорость сканирования довольно высокая, в то время как слой сканирования является относительно неглубоким.

Для выполнения сканирования файлов несканированные файлы необходимо получать в соответствии с работой страницы сканирования, заданной пользователем. Назначенные файлы будут являться несканированными файлами, они будут нумероваться в соответствии с заданной длиной очереди, распределенные по длине очереди с конкретной длиной для сканирования. В предпочтительном варианте реализации длина файлов составляет 20000.

Блок получения атрибутов 120 используется для поочередного получения атрибутов несканированных файлов и передачи атрибутов на сервер.

В соответствии с текущим вариантом реализации, блок получения атрибутов выделяет 120 атрибутов несканированных файлов с целью определения уникальности несканированных файлов, и эти атрибуты можно использовать для обеспечения целостности данных файлов. В предпочтительном варианте реализации атрибуты несканированных файлов могут иметь значение MD5.

Блок получения атрибутов 120 формирует атрибуты каждого несканированного файла нумерованных несканированных файлов поочередно, что необходимо для генерации запроса, в котором содержится информация, например, атрибут, имя несканированного файла; сгенерированный запрос отправляется затем на сервер. Сервер может представлять собой облачную платформу, построенную на нескольких серверах, в каждую из этих облачных платформ можно добавлять или убирать серверы, в зависимости от потребности, или формировать масштабные группы серверов.

После включения сервера на сканирование файлов, если в нумерованных несканированных файлах, подлежащих сканированию на сервере, несканированные файлы не обнаружены, устанавливается заданное время, которое выдерживается перед повторной попыткой. Это заданное время может составлять 100 мс.

Сервер 30 включает в себя базу данных 310, блок сравнения 320, и блок схемы данных представления в виде карты 330.

База данных 310 используется для хранения признаков и типов признаков.

Блок сравнения 320 используется для сравнения атрибутов с сохраненными признаками и получения признаков, которые согласуются с атрибутами и типом, к которому относятся признаки.

В текущем варианте реализации атрибуты могут иметь значение MD5 или хеш-значения после выполнения расчетов по несканированным файлам, где каждый атрибут уникально соответствует одному несканированному файлу. Если целостность несканированного файла нарушена, то соответствующий атрибут будет отличаться от атрибута, имеющегося у целостного несканированного файла. В сервере хранится большое число признаков и типов принадлежности. Блок сравнения 320 выполняет на сервере поиск по атрибутам несканированных файлов, что необходимо для поиска признаков, согласующихся с атрибутами, и, кроме того, для поиска типа, к которому относится признак в соответствии с взаимосвязью признаков и соответствующих типов. В этом случае найденные типы являются типами атрибутов несканированных файлов, которые указывают на то, что данные несканированные файлы относятся к нормальным файлам, файлам вирусов или троянским программам. Например, типы, характеризующие файлы-вирусы находятся в черных списках, те файлы, типы которых находятся в черных списках, являются файлами-вирусами или троянскими файлами. В то время как типы, характеризующие нормальные файлы, находятся в белых списках, те файлы, типы которых находятся в белых списках, определяются как безопасные файлы, не содержащие вирусов или троянских программ, и заслуживающие доверия. Для подозрительных файлов, типы которых находятся в сером списке; несмотря на то, что эти файлы, тип которых находится в сером списке, не определяются как файлы-вирусы или троянские файлы, но оказывают влияние на части системы, чувствительные к вирусам.

Блок сравнения 320 производит поиск признаков, которые согласуются с атрибутами несканированных файлов, среди атрибутов сравнения, хранящимися на сервере, и далее соответствующие типы определяются при помощи признаков, согласующихся с атрибутами. Эти типы указывают на то, что файлы, соответствующие атрибуту, являются файлами-вирусами, троянскими, нормальными или подозрительными файлами. Если на сервере не сохранены согласованные признаки, в соответствии с атрибутами, это означает, что большое количество признаков, сохраненных на сервере, не обнаружено, и файлы с такими атрибутами относятся к списку не идентифицированных файлов.

Блок 330 схемы данных, представленных в виде карты, используется для генерации схемы данных, связывающей несканированные файлы, атрибуты и типы, в соответствии с атрибутами и типами признаков, с которыми они согласуются, и записи схемы данных, представленной в виде карты, в первый результат сканирования.

В соответствии с текущим вариантом реализации, блок 330 схемы данных, представленных в виде карты, определяет тип файла посредством сравнения атрибута и признака. Далее завершается первый результат сканирования, который отправляется пользователю.

В соответствии с другим вариантом реализации, как показано на Фиг.7, клиентский компьютер 10 включает в себя кроме блока нумерации 110 и блок получения атрибутов 120, блок определения файлов 130, блок сканирования 140 и блок объединения результатов 150.

Блок определения файлов 130 используется для определения несканированных локально файлов, в соответствии с первым результатом сканирования.

В соответствии с текущим вариантом реализации, на основе результатов сканирования на сервере, файлы можно также сканировать локально при помощи движка сканирования. Для улучшения эффективности и точности, локальное сканирование должно выполняться в правильной комбинации со сканированием файлов на сервере.

Более подробно, блок определения файлов 130 может определять файлы по результатам первого сканирования полученных с сервера, как подозрительные файлы, и файлы с атрибутами, соответствующие признакам, которые не были обнаружены на сервере, где для обеспечения точности результатов сканирования необходимо определить подозрительные файлы и файлы, относящиеся к неопределенному списку, подлежащие локальному сканированию.

Далее, для блока определения файлов 130 необходимо выполнить локальное сканирование тех файлов, которые не прошли сканирование на сервере, обеспечив тем самым сканирование всех файлов и получение соответствующих результатов сканирования.

После включения локального сканирования, если несканированные файлы, предназначенные для локального сканирования, не обнаружены, устанавливается заданное время, которое выдерживается перед повторной попыткой. Это заданное время может составлять 100 мс.

В подробном варианте реализации, клиентский компьютер включает в себя блок присвоения тегов; блок присвоения тегов используется для присвоения тегов файлам, которые отправили свои атрибуты.

В настоящем варианте реализации блок присваивания тегов помечает тегом файлы, прошедшие сканирование на сервере после передачи на сервер атрибутов.

На Фиг.8 блок определения файлов 130 включает в себя второй блок сканирования 131 и блок выбора 133.

Второй блок сканирования 131 используется для определения файлов, подлежащим сканированию во второй раз, находящимся среди нумерованных файлов, в соответствии с первым результатом сканирования.

В текущем варианте реализации второй блок сканирования 131 определяет файлы и соответствующие типы файлов по первому результату сканирования, относится ли тип файла к зарегистрированному в первом результате сканирования к серому списку или списку неопределенных файлов, что указывает на то, что файл может оказаться подозрительным, или атрибуты этого файла не имеют согласованных признаков, сохраненных на сервере. Вследствие этого, их нельзя определить, поэтому для них необходимо второе сканирование.

Блок выбора 133 используется для выбора несканированных файлов, не имеющих тега в нумерованных несканированных файлах, для определения файлов, подлежащих второму сканированию, и несканированных файлов, не имеющих тега, которые подлежат локальному сканированию.

В настоящем варианте реализации, файлы, находящиеся в несканированных файлах, не прошедшие сканирование на сервере, должны также проходить сканирование на локальном сканирующем движке.

Блок сканирования 140 используется для сканирования определенных файлов, предназначенных для локального сканирования при помощи локального сканирующего движка, и генерации второго результата сканирования.

В соответствии с текущим вариантом реализации, блок сканирования 140 получает атрибуты из несканированных файлов, и ищет локальную библиотеку вирусов для нахождения признаков, согласующихся с атрибутами и соответствующими типами, согласно полученным атрибутам. И далее, он определяет, по найденному типу, к какой категории относится файл: нормальный файл, файл-вирус или троянский файл.

Более подробно, блок сканирования 140 используется также для последовательного сканирования файлов, предназначенных для второго сканирования, и файлов, не имеющих тега, в соответствии с заданным приоритетом.

Во время последовательного сканирования файлов в соответствии с заданным приоритетом, блок сканирования 140 сначала локально сканирует файлы, предназначенные для второго сканирования, после завершения сканирования файлов, предназначенных для второго сканирования. Далее сканируются файлы, не являющиеся РЕ-файлами, и, наконец, сканируются РЕ-файлы, которые не согласуются с заданными условиями. Приоритет сканирования можно задавать соответственно.

Блок объединения результатов 150 используется для объединения второго и первого результатов сканирования в целях генерации третьего результата сканирования.

В соответствии с текущим вариантом реализации, после окончания сканирования на сервере и локального сканирования, третий результат сканирования можно найти при помощи объединения первого и второго результатов в правильной комбинации по результатам блока объединения 150.

В соответствии с другим вариантом реализации, см. Фиг.9, клиентский компьютер 10 включает в себя также блок удаления 160 и блок добавления 170.

Блок удаления 160 используется для удаления несканированных файлов, соответствующих файлам третьего результата сканирования из нумерованной очереди.

В настоящем варианте реализации, после сканирования файлов на сервере и локального сканирования, блок удаления 160 удаляет файлы, которые прошли сканирование, из нумерованной очереди. Это означает, что к файлам происходит адресация в соответствии с вариантами из третьего результата сканирования, с последующим удалением из нескольких нумерованных сканированных файлов.

Блок добавления 170 используется для определения наличия свободного места в нумерованной очереди, добавления несканированных файлов, не включенных в эту очередь, если имеется свободное место.

В соответствии с настоящим вариантом реализации, не все несканированные файлы находятся в нумерованной очереди, так как несколько нумерованных файлов образуют нумерованную очередь определенной длины, поэтому, блок добавления 170 должен найти свободное место в нумерованной очереди, так чтобы можно было добавить в нее файлы, не включенные в нумерованную очередь.

Более подробно, после удаления сканированных файлов, несканированные файлы в нумерованной очереди остаются в исходной позиции, не перемещаются и не корректируются, несмотря на то, что определенные файлы удалены. Например, если файл в первой позиции в нумерованной очереди удаляется из нее после сканирования, то файл во второй позиции не будет перемещен вперед для заполнения освободившегося места в первой позиции. Соответственно, указатель нумерации в нумерованной очереди начнет поиск свободного места с первой позиции, и при обнаружении свободного места блок добавления 170 добавит в эту очередь несканированный файл, который не включен в нумерованную очередь, и ожидает сканирования. В случае если свободное место не обнаружено, будет выполняться непрерывный поиск для добавления несканированного файла в нумерованную очередь.

В соответствии с другим вариантом реализации, см. Фиг.10, клиентский компьютер 10 включает в себя также блок нумерации и определения 180 и блок поиска 190.

Блок нумерации и определения 180 используется для определения того, достигла ли длина нумерованного несканированного файла значения первого порога; и оповещения блока поиска 190 при достижении указанного порога.

В соответствии с настоящим вариантом реализации, во время процесса нумерации несканированный файлов для генерации нумерованной очереди, блок нумерации и определения 170 определяет длину генерируемой нумерованной очереди в целях определения достижения первого порога; сервер включается на сканирование файлов, если он достигнут. В предпочтительном варианте реализации, первый порог может иметь значение 50, что означает, что сервер начинает сканировать файлы, когда выполняется нумерация 50 несканированных файлов.

Блок поиска 190 используется для поиска в нумерованных несканированных файлах тех файлов, которые соответствуют заданным условиям.

В настоящем варианте реализации, после включения сервера на сканирование файлов, блок поиска 190 производит поиск в нумерованных файлах, тех несканированных файлов, которые могут проходить сканирование на сервере. В предпочтительном варианте реализации, заданным условием могут быть РЕ-файлы (portable execute - формат загружаемого кода), размер которых менее 3 Мб. Заданные условия могут изменяться в соответствии с фактической производительностью обработки и требованиями пользователя.

Блок нумерации и определения 180 также используется для определения того, достигла ли длина нумерованного несканированного файла значения второго порога; при достижении порога происходит оповещение блока определения файла 130.

В соответствии с настоящим вариантом реализации во время процесса нумерации несканированных файлов для генерации нумерованной очереди, блок нумерации и определения 180 определяет длину нумерованной очереди в целях определения достижения заданного значения второго порога; если он достигнут, включается локальное сканирование. В соответствии с предпочтительным вариантом реализации второй порог может иметь значение 5000, что означает, что локальное сканирование файлов начинается, когда длина нумерованной очереди достигает 5000.

В предпочтительном варианте реализации, значение второго порога будет больше, чем у первого вследствие того, что сканирование файлов на сервере требует сетевого соединения, а передача данных потребляет относительно много времени по сравнению с локальным сканированием. Кроме того, признаки, хранящиеся на сервере, являются более адекватными, и точность сканирования улучшается, если конечный результат сканирования выводится на основании первого результата, который генерируется при помощи сканирования сервером, и таким образом, экономится общее время сканирования.

В соответствии с другим вариантом реализации, см. Фиг.11, клиентский компьютер 10 включает в себя блок получения типа 200, блок определения риска 210, блок загрузки 230 и блок определения индекса уровня подозрительности 240.

Блок получения типа 200 используется для получения типа файлов, предназначенных для второго сканирования во втором результате сканирования.

В соответствии с настоящим вариантом реализации, как зарегистрировано во втором результате сканирования, блок получения типов 200 может найти связь между именами, атрибутами и типами файлов, исходя из второго результата сканирования. Таким образом, тип файлов, прошедших второе сканирование, и, соответственно, сами файлы, предназначенные для второго сканирования, могут показать свою принадлежность к файлам-вирусам и троянским файлам, в зависимости от типа.

Блок определения степени риска 210 используется для определения степени риска, который представляет файл, предназначенный для второго сканирования в зависимости от типа; в случае наличия опасности происходит оповещение блока загрузки 230, или в случае отсутствия риска происходит оповещение блока сканирования 140.

В настоящем варианте реализации блок определения степени риска 210 может определить, несут ли в себе риск файлы, предназначенные для второго сканирования, в зависимости от их типа. Например, если тип файла находится в черном списке, это указывает на то, что файл, предназначенный для второго сканирования, содержит вирус или троянскую программу, и, следовательно, несет с собой опасность. Так как тип опасного файла определяется при помощи локального сканирования, это указывает на то, что признаки, хранящиеся на сервере, не удовлетворяют требований, их необходимо обновить; принимая во внимание, что атрибут файла и его тип, определенный при втором сканировании, сохранен как признак.

Блок загрузки 230 используется для загрузки атрибутов файла, предназначенного для второго сканирования.

Блок сканирования 140 используется также для сканирования файла, предназначенного для второго сканирования с целью определения соответствующего индекса, указывающего на подозрение.

В соответствии с настоящим вариантом реализации, когда выясняется, что тип файла, предназначенного для второго сканирования, не является опасным, файл для второго сканирования может оказаться подозрительным, и его необходимо просканировать при помощи блока 140 с целью определения соответствующего индекса, указывающего на уровень подозрительности.

Блок определения индекса подозрительности 240 используется для определения того, не превысил ли индекс, указывающий на подозрительность, пороговое значение; и оповещения блока загрузки 230 в случае превышения.

В соответствии с настоящим вариантом реализации можно определить вероятность безопасности подозрительного файла в соответствии с заданным порогом уровня подозрительности. Например, уровень порога подозрительности установлен на 30%; если блок определения индекса подозрительности 240 определил, что индекс подозрительности превышает 30%, подозрительный файл классифицируется как файл-вирус или троянский файл. Пока признак подозрительного файла не сохранен на сервере, необходимо обновить данный признак подозрительного файла на сервере, и занести его в черный список.

Описанный выше способ и система сканирования файлов, клиентский компьютер и сервер позволяют загрузить атрибуты файлов на сервер и выполнить анализ степени риска или безопасности файла посредством сравнения с признаками и соответствующими типами. Так как сервер выходит за пределы объема памяти при хранении большого объема признаков, и вследствие того, что сервер может быстро и своевременно обновлять признаки, то признаки, хранимые на сервере, являются относительно полными; следовательно, эффективность сканирования повышается.

Описанный выше способ, система, клиентский компьютер и сервер, предназначенные для сканирования файлов, позволяют выполнять сканирование на локальном уровне или на сервере, и сравнивать признаки, повышая, таким образом, точность сканирования.

Описанный выше способ, система, клиентский компьютер и сервер, предназначенные для сканирования файлов, загрузки подозрительных файлов или вторичного сканирования с определением превышения порога индекса подозрительности, непрерывного обновления и дополнения хранимых признаков на сервере, повышают, таким образом, эффективность сканирования.

В описанных выше вариантах реализации даются пояснения только к нескольким примерам осуществления настоящего раскрытия предмета изобретения. Необходимо отметить, что для специалистов в данной области возможно выполнение альтернативных вариантов реализации, к которым относится настоящее раскрытие предмета изобретения без отклонения от духа и сферы действия, где эти альтернативные варианты реализации будут находиться в рамках пункта формулы изобретения настоящего раскрытия предмета изобретения.

1. Способ сканирования файлов, включающий в себя следующие этапы:
нумерацию несканированных файлов;
поочередное получение атрибутов из несканированных файлов и передачу атрибутов на сервер;
сравнение атрибутов с признаками, сохраненными на сервере, получение признаков, согласующихся с этими атрибутами, и типами, к которым относятся данные признаки; и
генерацию схемы данных, представленной в виде карты, связывающей несканированные файлы, атрибуты и типы, в соответствии с признаками, с которыми они согласуются, и запись схемы данных, представленной в виде карты, в первый результат сканирования;
определение локальных несканированных файлов для локального сканирования в соответствии с первым результатом сканирования;
локальное сканирование несканированных файлов и получение второго результата сканирования; и объединение второго и первого результатов сканирования, для получения третьего результата сканирования.

2. Способ сканирования файлов по п. 1, в котором после записи схемы данных, представленной в виде карты, в первый результат сканирования, способ также включает в себя следующие этапы:
удаление из нумерованной очереди несканированных файлов, соответствующих файлам третьего результата сканирования.

3. Способ сканирования файлов по п. 2, в котором после удаления из нумерованной очереди несканированных файлов, соответствующих файлам третьего результата сканирования, способ также включает в себя следующие этапы:
определение наличия свободного места в нумерованной очереди, и при наличии свободного места добавление в нумерованную очередь файлов, не включенных в нумерованную очередь.

4. Способ сканирования файлов по п. 1, в котором до поочередного получения атрибутов из несканированных файлов из нумерованных файлов способ также включает в себя следующие этапы:
определение того, достигла ли первого порога длина нумерованных несканированных файлов;
поиск в нумерованных несканированных файлах тех файлов, которые соответствуют заданным условиям, если длина достигла первого порога; и поочередное получение атрибутов из несканированных файлов;
причем перед определением локальных несканированных файлов для локального сканирования в соответствии с первым результатом сканирования, способ далее включает в себя:
определение того, достигла ли второго порога длина нумерованных, несканированных файлов; и определение локальных несканированных файлов для локального сканирования в соответствии с первым результатом сканирования, если длина достигла второго порога.

5. Способ сканирования файлов по п. 1, в котором после передачи атрибутов на сервер способ также включает в себя следующие этапы:
присвоение тегов несканированным файлам, которые отправили атрибуты;
причем определение локальных несканированных файлов для локального сканирования в соответствии с первым результатом сканирования включает:
определение файлов, подлежащих сканированию во второй раз, среди нумерованных файлов, в соответствии с первым результатом сканирования;
выбор несканированных файлов без тегов из нумерованных несканированных файлов, определение файлов, подлежащих второму сканированию, и несканированных файлов без тегов, предназначенных для локального сканирования.

6. Способ сканирования файлов по п. 5, в котором сканирование несканированных файлов на локальном уровне и получение второго результата сканирования, способ также включает в себя следующие этапы:
последовательное сканирование файлов, предназначенных для второго сканирования, и сканирование файлов без тегов, в соответствии с заданным приоритетом.

7. Способ сканирования файлов по п. 1, в котором после объединения второго и первого результатов сканирования, для получения третьего результата сканирования, способ также включает в себя следующие этапы:
получение типа файлов для второго сканирования во втором результате сканирования;
определение риска, который представляет файл, предназначенный для второго сканирования в зависимости от типа; и
загрузка атрибута файла для второго сканирования, если имеется риск;
сканирование файла, предназначенного для второго сканирования с целью определения соответствующего индекса, указывающего на подозрение;
определение превышения индекса, указывающего на подозрительность, порогового значения; загрузка атрибута файла для второго сканирования, в случае превышения индекса, указывающего на подозрительность, уровня порога подозрительности.

8. Способ сканирования файлов, включающий в себя следующие этапы:
нумерацию несканированных файлов;
поочередное получение атрибутов из несканированных файлов и передачу атрибутов на сервер;
определение файлов для локального сканирования в соответствии с первым результатом сканирования, полученным от сервера;
локальное сканирование файлов, выбранных для локального сканирования, и получение второго результата сканирования;
объединение второго и первого результатов сканирования, для получения третьего результата сканирования;
удаление из нумерованной очереди несканированных файлов, соответствующих файлам третьего результата сканирования.

9. Способ сканирования файлов по п. 8, в котором после удаления из нумерованной очереди несканированных файлов, соответствующих файлам третьего результата сканирования, способ также включает в себя следующие этапы:
определение наличия свободного места в нумерованной очереди;
в случае наличия свободного места добавление в нумерованную очередь несканированных файлов, не включенных в нумерованную очередь.

10. Способ сканирования файлов по п. 8, в котором до поочередного получения атрибутов несканированных файлов из ненумерованных файлов способ также включает в себя следующие этапы:
определение того, достигла ли первого порога длина нумерованных несканированных файлов;
поиск в нумерованных несканированных файлах тех файлов, которые соответствуют заданным условиям, если длина достигла первого порога; и поочередное получение атрибутов из несканированных файлов;
причем перед определением локальных несканированных файлов для локального сканирования в соответствии с первым результатом сканирования, способ далее включает в себя:
определение того, достигла ли второго порога длина нумерованных несканированных файлов; и определение локальных несканированных файлов для локального сканирования в соответствии с первым результатом сканирования, если длина достигла второго порога.

11. Способ сканирования файлов по п. 8, в котором после передачи атрибутов на сервер способ также включает в себя следующие этапы:
присвоение тегов несканированным файлам, которые отправили атрибуты;
причем определение локальных несканированных файлов для локального сканирования в соответствии с первым результатом сканирования включает:
определение файлов, подлежащих сканированию во второй раз, среди нумерованных файлов, в соответствии с первым результатом сканирования;
выбор несканированных файлов без тегов из нумерованных несканированных файлов, определение файлов, подлежащих второму сканированию, и несканированных файлов без тегов, предназначенных для локального сканирования.

12. Способ сканирования файлов по п. 11, в котором локальное сканирование несканированных файлов и получение второго результата сканирования, способ также включает в себя следующие этапы:
последовательное сканирование файлов, предназначенных для второго сканирования, и сканирование файлов без тегов, в соответствии с заданным приоритетом.

13. Способ сканирования файлов по п. 8, в котором после объединения второго и первого результатов сканирования, для получения третьего результата сканирования, способ, также включающий в себя следующие этапы:
получение типа файлов для второго сканирования во втором результате сканирования;
определение риска, который представляет файл, предназначенный для второго сканирования в зависимости от типа; и
загрузка атрибута файла для второго сканирования, если имеется риск;
сканирование файла, предназначенного для второго сканирования с целью определения соответствующего индекса, указывающего на подозрение;
определение превышения индекса, указывающего на подозрительность, порогового значения; и загрузка атрибута файла для второго сканирования, в случае превышения индекса, указывающего на подозрительность, уровня порога подозрительности.

14. Система для сканирования файлов, содержащая клиентский компьютер и сервер;
клиентский компьютер включает в себя:
блок нумерации для нумерации файлов;
блок поочередного получения атрибутов несканированных файлов и передачи атрибутов на сервер;
сервер включает в себя:
базу данных для хранения признаков и типов признаков;
блок сравнения атрибута с сохраненными признаками, и получения этих признаков, согласующихся с атрибутами и типами, к которым относятся данные признаки;
блок схемы данных, представленных в виде карты для генерации связи между несканированными файлами, атрибутами и типами, в соответствии с признаками, согласующимися с атрибутами и типами признаков, и записи схемы данных, представленных в виде карты, в первом результате сканирования;
блок определения файлов, предназначенный для определения несканированных локально файлов, в соответствии с первым результатом сканирования;
блок сканирования, предназначенный для локального сканирования при помощи локального сканирующего движка, и генерации второго результата сканирования;
блок объединения результатов, предназначенный для объединения второго и первого результатов сканирования в целях генерации третьего результата сканирования;
блок удаления, предназначенный для удаления несканированных файлов, соответствующих файлам третьего результата сканирования из нумерованной очереди.

15. Система для сканирования фалов по п. 14, в которой клиентский компьютер также содержит:
блок добавления, предназначенный для определения наличия свободного места в нумерованной очереди, добавления несканированных файлов, не включенных в эту очередь, если имеется свободное место.

16. Система для сканирования фалов по п. 14, в которой клиентский компьютер также содержит:
блок нумерации и определения, предназначенный для определения того, достигла ли длина нумерованного несканированного файла значения первого порога; и оповещения блока поиска при достижении указанного порога;
блок поиска, предназначенный для поиска в нумерованных несканированных файлах тех файлов, которые соответствуют заданным условиям;
причем блок нумерации и определения далее предназначен для определения того, достигла ли длина нумерованного несканированного файла значения второго порога; и оповещения блока поиска при достижении указанного порога.

17. Система для сканирования файлов по п. 14, в которой клиентский компьютер также содержит:
блок присвоения тегов файлам, которые отправили атрибуты;
причем блок определения файлов далее включает:
второй блок сканирования для определения файлов, подлежащих сканированию во второй раз, находящихся среди нумерованных файлов, в соответствии с первым результатом сканирования;
блок выбора для выбора несканированных файлов, не имеющих тега в нумерованных несканированных файлах, предназначенный для определения файлов, подлежащих второму сканированию, и несканированных файлов, не имеющих тега, которые подлежат локальному сканированию.

18. Система для сканирования файлов по п. 17, в которой блок сканирования далее используется для последовательного сканирование файлов, предназначенных для второго сканирования, и сканирование файлов без тегов, в соответствии с заданным приоритетом.

19. Система для сканирования файлов по п. 14, в которой клиентский компьютер также содержит:
блок получения типа файлов для второго сканирования во втором результате сканирования;
блок определения степени риска, который представляет файл, предназначенный для второго сканирования в зависимости от типа; и
блок загрузки атрибута файла для второго сканирования, если имеется риск;
блок сканирования файла, предназначенного для второго сканирования с целью определения соответствующего индекса, указывающего на подозрение;
блок определения индекса подозрительности, предназначенный для определения того, не превысил ли индекс, указывающий на подозрительность, пороговое значение; и оповещения блока загрузки в случае превышения.

20. Клиентский компьютер для сканирования файлов содержит:
блок нумерации для нумерации файлов;
блок поочередного получения атрибутов несканированных файлов и передачи атрибутов на сервер;
блок определения файлов, предназначенный для определения несканированных локально файлов, в соответствии с первым результатом сканирования;
блок сканирования, предназначенный для локального сканирования при помощи локального сканирующего движка, и генерации второго результата сканирования;
блок объединения результатов, предназначенный для объединения второго и первого результатов сканирования в целях генерации третьего результата сканирования;
блок удаления, предназначенный для удаления несканированных файлов, соответствующих файлам третьего результата сканирования из нумерованной очереди.

21. Клиентский компьютер для сканирования файлов по п. 20, в котором клиентский компьютер также содержит:
блок добавления, предназначенный для определения наличия свободного места в нумерованной очереди, добавления несканированных файлов, не включенных в эту очередь, если имеется свободное место.

22. Клиентский компьютер для сканирования файлов по п. 20, в котором клиентский компьютер также содержит:
блок нумерации и определения, предназначенный для определения того, достигла ли длина нумерованного несканированного файла значения первого порога; и оповещения блока поиска при достижении указанного порога;
блок поиска, предназначенный для поиска в нумерованных несканированных файлах тех файлов, которые соответствуют заданным условиям;
причем блок нумерации и определения далее предназначен для определения того, достигла ли длина нумерованного несканированного файла значения второго порога; и оповещения блока поиска при достижении указанного порога.

23. Клиентский компьютер для сканирования файлов по п. 20, в котором клиентский компьютер также содержит:
блок присвоения тегов файлам, которые отправили атрибуты;
причем блок определения файлов далее включает:
второй блок сканирования для определения файлов, подлежащих сканированию во второй раз, находящихся среди нумерованных файлов, в соответствии с первым результатом сканирования;
блок выбора для выбора несканированных файлов, не имеющих тега в нумерованных несканированных файлах, предназначенный для определения файлов, подлежащих второму сканированию, и несканированных файлов, не имеющих тега, которые подлежат локальному сканированию.

24. Клиентский компьютер для сканирования файлов по п. 23, в котором блок сканирования также используется для последовательного сканирование файлов, предназначенных для второго сканирования, и сканирование файлов без тегов, в соответствии с заданным приоритетом.

25. Клиентский компьютер для сканирования файлов по п. 20, в котором клиентский компьютер также содержит:
блок получения типа файлов для второго сканирования во втором результате сканирования;
блок определения степени риска, который представляет файл, предназначенный для второго сканирования в зависимости от типа; и
блок загрузки атрибута файла для второго сканирования, если имеется риск;
блок сканирования файла, предназначенного для второго сканирования с целью определения соответствующего индекса, указывающего на подозрение;
блок определения индекса подозрительности, предназначенный для определения того, не превысил ли индекс, указывающий на подозрительность, пороговое значение; и оповещения блока загрузки в случае превышения.



 

Похожие патенты:

Изобретение относится к системам и способам управления доступом к накопителю в сети. Технический результат заключается в повышении безопасности корпоративных данных путем управления доступом к накопителю с использованием системы и способа применения политик безопасности к накопителю в сети, которые определяют политики безопасности, основываясь на истории использования накопителя.

Изобретение относится к способам предоставления доступа к ресурсам виртуализированной среды. Технический результат заключается в повышении защищенности виртуализированных сред от несанкционированного доступа за счет обеспечения доверенной загрузки виртуальных машин в виртуализированных средах.

Изобретение относится к информационной безопасности. Технический результат заключается в повышении защищенности активного сетевого оборудования.

Изобретение относится к контролю информационной безопасности. Технический результат - обеспечение безопасности сети транспортного средства.

Изобретение относится к средствам обработки запроса от потенциально несанкционированного пользователя на доступ к ресурсу. Технический результат заключается в уменьшении вероятности взлома учетных записей пользователя.

Изобретение относится к области аутентификации пользователей. Технический результат - прощение процесса аутентификации пользователя в периферийном устройстве.

Изобретение относится к информационной безопасности. Технический результат заключается в сокращении количества приложений, статус опасности которых неизвестен, путем определения статуса таких приложений.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении безопасности компьютера.

Изобретение относится к информационной безопасности. Технический результат заключается в обеспечении определения категории доверия приложения, осуществившего перекрытие защищенного приложения.

Изобретение относится к информационной безопасности. Технический результат заключается в балансировке нагрузки на виртуальных машинах во время антивирусной проверки.

Изобретение относится к средствам автоматизированного анализа текстовых документов. Технический результат заключается в повышении точности определения наличия в документах конфиденциальной информации. Преобразуют в заранее заданный формат все информационно-значимые поля эталонных форм документа с указанием их позиций в каждой форме. Выявляют поля эталонных форм документа в электронном файле анализируемого документа. Выявляют количество полей эталонных форм документа в анализируемом документе. Осуществляют поиск эталонных форм в анализируемом документе. Формируют список найденных эталонных форм документа в анализируемом документе. Проверяют порядок следования полей из каждой найденной эталонной формы документа в анализируемом документе, если в конкретной эталонной форме порядок не совпадает, ее удаляют из списка найденных. Определяют позицию полей эталонных форм документа из отобранного списка в анализируемом документе. Выявляют текст в анализируемом документе, находящийся между найденными полями. Определяют наличие данной эталонной формы документа в заполненном виде в анализируемом тексте, если между любыми соседними полями выявлен текст. Помещают имя текущей формы в список эталонных форм документа, найденных в анализируемом тексте. 2 з.п. ф-лы, 1 ил.

Изобретение относится к области обеспечения безопасности для внешнего кода, предоставляемого веб-сервером приложений. Техническим результатом является эффективное получение ключа начальной загрузки для внешнего кода. Способ реализации механизма обеспечения безопасности для внешнего кода содержит прием внешнего кода, содержащего запрос специфического для сервера ключа начальной загрузки (Ks_NAF); определение идентификатора сервера (NAF-Id) и генерацию специфического для сервера ключа начальной загрузки (Ks_NAF) на основе идентификатора сервера (NAF-Id); определение маркера доступа; генерацию специфического для внешнего кода ключа начальной загрузки (Ks_js_NAF) с использованием специфического для сервера ключа начальной загрузки (Ks_NAF) и маркера доступа и использование специфического для внешнего кода ключа начальной загрузки (Ks_js_NAF) для механизма обеспечения безопасности внешнего кода. 6 н. и 14 з.п. ф-лы, 7 ил.

Изобретение относится к информационной безопасности. Технический результат заключается в обеспечении безопасности виртуальной машины (ВМ). Способ устранения последствий заражения виртуальных машин, в котором формируют при помощи средства обеспечения безопасности второй ВМ набор инструкций для устранения последствий заражения объектом интереса первой ВМ; для формирования набора инструкций используют информацию из базы данных, содержащей данные о соответствии признаков вредоносных объектов действиям, которые необходимо выполнить, чтобы устранить последствия заражения; анализируют при помощи средства обеспечения безопасности функциональные возможности средства защиты первой ВМ с целью определения набора недостающих компонентов, необходимых средству защиты для выполнения ранее сформированного набора инструкций для устранения последствий заражения первой ВМ; набор недостающих компонентов включает исполняемые файлы, при помощи которых средство выполнения инструкций, входящее в состав средства защиты, устраняет последствия заражения первой ВМ; передают средству защиты первой ВМ при помощи средства обеспечения безопасности копии файлов операционной системы, необходимые для устранения последствий заражения. 2 н. и 6 з.п. ф-лы, 5 ил.

Изобретение относится к системам и способам обеспечения конфиденциальности информации, используемой во время операций аутентификации и авторизации, при использовании доверенного устройства. Техническим результатом является повышение защищенности конфиденциальности информации, передаваемой для целей контроля операций. Согласно одному из вариантов реализации предлагается способ обеспечения конфиденциальности информации, передаваемой для выполнения процедуры контроля операций, используя доверенное устройство, который включает этапы на которых: идентифицируют пользователя сервиса; выбирают доверенное устройство, ассоциированное с идентифицированным пользователем сервиса; передают запрос конфиденциальной информации, необходимой для выполнения процедуры контроля операции, на ассоциированное с пользователем сервиса доверенное устройство; получают конфиденциальную информацию, необходимую для выполнения процедуры контроля операции, введенную пользователем сервиса на доверенном устройстве; выполняют процедуру контроля операции, используя полученную конфиденциальную информацию. 2 н. и 18 з.п. ф-лы, 3 ил.

Изобретение относится к антивирусным технологиям, а более конкретно к системам и способам отложенного устранения вредоносного кода. Технический результат настоящего изобретения заключается в обеспечении лечения вредоносных программ, которые препятствуют лечению. Настоящий технический результат достигается путем использования способа лечения обнаруженных вредоносных объектов, при котором обнаруживают вредоносные объекты на компьютере, формируют, по меньшей мере, одну задачу лечения обнаруженных вредоносных объектов, при этом задача формируется с использованием языка сценариев. Сформированную задачу лечения обнаруженных вредоносных объектов записывают в заданную ветку реестра перед перезагрузкой компьютера, проверяют целостность задачи лечения обнаруженных вредоносных объектов, перезагружают компьютер. Загружают драйвер для выполнения, по меньшей мере, одной задачи лечения обнаруженных вредоносных объектов, и драйвер операционной системы, позволяющий выполнить задачу лечения обнаруженных вредоносных объектов, выполняют, по меньшей мере, одну задачу лечения обнаруженных вредоносных объектов, при этом используют системные нотификации для начала выполнения задачи лечения обнаруженных вредоносных объектов. 3 з.п. ф-лы, 4 ил.

Изобретение относится к антивирусным технологиям, а более конкретно к системам обнаружения вредоносных файлов определенного типа. Технический результат заключается в обеспечении возможности обнаружения вредоносного кода в файлах определенного типа с помощью соответствующих сигнатур. Настоящий результат достигается за счет использования способа создания сигнатуры для обнаружения вредоносных файлов определенного формата, который содержит этапы, на которых обнаруживают подозрительный файл и распознают его формат, с учетом которого проверяют упомянутый файл с помощью антивируса и коллекции безопасных файлов. При этом проверяют подозрительный файл с помощью виртуальной машины в том случае, если подозрительный файл не является безопасным на основании сравнения с коллекцией безопасных файлов или вредоносным после его проверки антивирусом. После анализа результатов проверки подозрительного файла с помощью виртуальной машины создают древовидную структуру сигнатур для обнаруженных вредоносных файлов, которая используется для хранения сигнатур. Создают сигнатуру для обнаруженного подозрительного файла, если анализ результатов показал, что подозрительный файл является вредоносным и сохраняют сигнатуру в упомянутой древовидной структуре сигнатур. 2 н.п. ф-лы, 5 ил.

Изобретение относится к системам и способам исключения шинглов от частей сообщения, которые встречались только в сообщениях, не содержащих спам, при фильтрации спама. Технический результат настоящего изобретения заключается в сокращении размера сообщения при фильтрации спама. Система исключения шинглов, которые встречались только в сообщениях, не содержащих спам, содержит: а) средство обработки текста, предназначенное для: получения сообщения, по крайней мере одна часть текста которого является незначимой, при этом незначимой является часть текста сообщения, которая не имеет значения при определении спама и содержит слова, символы, по которым выделяют по меньшей мере почтовый адрес, телефон, постскриптум, автоподпись, и которая встречается в сообщениях, не содержащих спам, поиска в упомянутом сообщении тех частей текста, которые совпадают с известными частями текста из базы данных образцов текста, сокращения текста упомянутого сообщения путем исключения из текста упомянутого сообщения найденных частей текста, которые совпадают с известными частями текста из базы данных образцов текста, передачи сокращенного текста упомянутого сообщения средству обработки шинглов; б) базу данных образцов текста, предназначенную для хранения известных частей текста сообщения, которые встречались только в сообщениях, не содержащих спам, и характерны для незначимых частей сообщения; в) средство обработки шинглов, предназначенное для: вычисления набора шинглов на основе сокращенного текста упомянутого сообщения, сравнения вычисленного набора шинглов с известными шинглами из базы данных шинглов, сокращения вычисленного набора шинглов путем исключения шинглов, которые совпадают с известными шинглами из базы данных шинглов; г) базу данных шинглов, предназначенную для хранения известных шинглов, которые встречались только в сообщениях, не содержащих спам. 2 н. и 11 з.п. ф-лы, 4 ил., 2 табл.

Настоящее изобретение относится к системам и способам обеспечения безопасности и, более конкретно, к системам и способам обеспечения безопасности, работающим независимо от операционной системы, но выполненным с поддержкой приложения безопасности, работающего на уровне операционной системы. Технический результат настоящего изобретения заключается в повышении уровня безопасности компьютерной системы путем обеспечения безопасности компьютерной системы на этапе до запуска операционной системы. Способ обеспечения безопасности компьютерной системы на этапе до запуска операционной системы включает: а) осуществление запуска UEFI из постоянного запоминающего устройства перед запуском операционной системы; б) запуск из UEFI агента безопасности, работающего независимо от операционной системы; в) осуществление посредством агента безопасности сканирования и последующего удаления или помещения на карантин вредоносного программного обеспечения; где сканирование на наличие вредоносного программного обеспечения проводится лишь среди объектов, относящихся к запуску операционной системы и связанных с приложением безопасности, установленным в операционной системе; и где для осуществления сканирования агентом безопасности используется регулярно обновляемая база данных определений вредоносного программного обеспечения, хранящаяся на уровне упомянутого UEFI; г) выявление посредством агента безопасности состояний, связанных с событиями, имевшими место до последнего завершения работы операционной системы, по меньшей мере, одного из следующих типов: определение неспособности приложением безопасности, установленным в операционной системе, выполнять свои функции; выявление изменения в компьютерной системе, влияющего на процесс запуска операционной системы; д) определение агентом безопасности, по меньшей мере, одного действия, соответствующего, по меньшей мере, одному из выявленных состояний указанных типов, где действия включают в себя, по меньшей мере, одно из: управление объектами, сохраненными в файловой системе компьютерной системы; осуществление взаимодействия с удаленными серверами; откат до более ранних версий приложений, установленных в операционную систему; отправка посредством агента безопасности запроса на выполнение после запуска операционной системы действия со стороны приложения безопасности, установленного в операционную систему; е) выполнение посредством агента безопасности упомянутого определенного в пункте д), по меньшей мере, одного действия, соответствующего, по меньшей мере, одному из выявленных состояний указанных типов. 8 з.п. ф-лы, 10 ил.

Изобретение относится к системам аутентификации с использованием аутентификационной информации из веб-обозревателя. Технический результат заключается в обеспечении устройством обработки информации уведомления сервера относительно завершения операции управления без дополнительной обработки по аутентификации. Указанный резудьтат достигается за счет формирования сервером идентификатора сеанса и передачи в веб-обозреватель экранной информации, дополненной идентификатором сеанса. Веб-обозреватель принимает операцию через функциональный экран, отображаемый на основе экранной информации, принимаемой из сервера, и передает содержимое операции на сервер. Сервер передает поставщику услуг MFP запрос на выполнение задания, соответствующего содержимому операции, в котором указывается идентификатор сеанса. При завершении выполнения задания поставщик услуг передает, на сервер без участия веб-обозревателя, информацию завершения, указывающую результат выполнения и дополненную идентификатором сеанса. 5 н. и 4 з.п. ф-лы, 15 ил.

Изобретение относится к средствам защиты от несанкционированного доступа к информации. Технический результат заключается в обеспечении сессионного контроля доступа к файлам. Система сессионного контроля доступа к создаваемым файлам содержит решающий блок, блок автоматической разметки файлов, блок хранения правил доступа к файлам, блок выбора сессии пользователями, блок хранения атрибутов файлов, причем первый вход решающего блока соединен с первым входом системы, с первым входом блока автоматической разметки файлов, второй вход которого соединен третьим входом системы, первый выход - с первым входом блока хранения атрибутов файлов, выход которого соединен с третьим входом блока автоматической разметки файлов, второй выход которого - со вторым входом блока хранения атрибутов файлов, третий выход блока автоматической разметки файлов соединен с первым входом блока хранения правил доступа к файлам, второй вход которого - со вторым входом системы, третий вход - с первым выходом решающего блока, второй вход которого - с выходом блока хранения правил доступа к файлам, второй выход решающего блока - с выходом системы, вход/выход блока выбора сессии пользователями соединен со входом/выходом системы, вход - с четвертым входом системы, выход - с третьим входом решающего блока, с четвертым входом блока автоматической разметки файлов. 2 ил., 1 табл.

Изобретение относится к области технологий обработки данных. Технический результат заключается в повышении эффективности сканирования подозрительных файлов. Такой результат достигается тем, что способ сканирования файлов включает в себя: нумерацию несканированных файлов; поочередное получение атрибутов несканированных файлов из нумерованных файлов и передачу атрибутов на сервер; сравнение атрибутов с признаками, хранящимися на сервере, получение признаков, согласующихся с атрибутами и типами, к которым относятся признаки; генерация схемы данных, представленных в виде карты, связывающие несканированные файлы, атрибуты и типы в соответствии с признаками, согласующимися с атрибутами и типами признаков, запись схемы данных, представленных в виде карты, в первый результат сканирования. Выполняется загрузка файлов на сервер и производится анализ степени риска и безопасности файла посредством сравнения с признаками и соответствующими типами. 4 н. и 21 з.п. ф-лы, 11 ил.

Наверх