Способ обеспечения безопасного выполнения файла сценария

Изобретение относится к информационной безопасности. Технический результат заключается в повышении безопасности компьютерной системы при выполнении файлов сценария интерпретаторами. Способ выполнения файлов сценария в системах обеспечения безопасности, работающих в режиме «запрет по умолчанию», в котором создают контейнер безопасности, используя который, приложение безопасности ограничивает действия интерпретатора согласно определенным политикам ограничения действий интерпретатора; адаптируют приложением безопасности контейнер безопасности под среду выполнения файлов сценария, изменяя политики ограничения действий интерпретатора; проверяют доверенность файла сценария; запускают выполнение файла сценария интерпретатором по результатам положительной проверки на доверенность, при этом выполнение ограничивается контейнером безопасности; перехватывают по меньшей мере одно действие интерпретатора при выполнении файла сценария; анализируют соответствие перехваченного действия интерпретатора по меньшей мере одной определенной для контейнера безопасности политике ограничения действия интерпретатора; на основании анализа выполняют действие интерпретатора согласно по меньшей мере одной политике ограничения, определенной для контейнера безопасности. 2 з.п. ф-лы, 4 ил.

 

Область техники

Изобретение относится к решениям для обеспечения информационной безопасности, а более конкретно к способам выполнения файла сценария.

Уровень техники

В настоящее время существует несколько подходов для защиты компьютера от вредоносного программного обеспечения. В одном из них на компьютере разрешается запуск любых программ, но при этом, например, антивирусное программное обеспечение определяет и блокирует вредоносные программы. Определение может выполняться с помощью поиска сигнатуры программного обеспечения в одной из антивирусных баз, эвристического детектирования, проактивной защиты, шаблонов поведения. Другой подход - запуск только тех программ, которые имеют статус доверенных, при этом недоверенное программное обеспечение блокируется (например, ограничивается его запуск), а также контролируется выполнение программ. Такой подход к обеспечению безопасности часто называют режимом «запрет по умолчанию».

Кроме вредоносных программ вред компьютеру могут причинять и всевозможные файлы, содержащие небезопасные сценарии выполняемых компьютером действий. Сценарии выполняются специальными программами - интерпретаторами, которые понимают формат и синтаксис файла сценария и выполняют определенные действия в системе. При этом программа-интерпретатор, которая и выполняет сценарий, может являться доверенной и выполняться даже в режиме «запрет по умолчанию».

Сама идея обеспечения безопасности при выполнении файла сценария не нова. Так, заявка US 7707634 описывает метод определения наличия вредоносного кода в файле сценария. Производится нормализация содержимого файла сценария, для файла сценария генерируются сигнатуры. Сгенерированные сигнатуры сравниваются с сигнатурами вредоносного программного обеспечения, находящимися в хранилище сигнатур.

Заявка US 8839428 описывает способ определения вредоносного кода в файле сценария, использующего последовательности NOP (англ. no-operation). Последовательность NOP в коде, как известно, является популярным способом атаки на компьютер, связанной с переполнением буфера.

Заявка US 8838992 описывает обучающуюся систему для определения вредоносных файлов сценария. Используются лексические и семантические образцы из вредоносных файлов сценария, в неизвестном файле сценария на основании образцов выделяются атрибуты признаков безопасности, выделенные атрибуты используются для определения безопасности файла сценария.

Существующие системы и способы позволяют лишь частично снизить угрозу безопасности компьютера, создаваемую выполняемыми файлами сценария.

Предлагаемый способ позволяет повысить безопасность компьютера в режиме «запрет по умолчанию» путем контроля выполнения интерпретатором файла сценария.

Сущность изобретения

Технический результат настоящего изобретения заключается в повышении безопасности компьютерной системы при выполнении файлов сценария интерпретаторами. Технический результат достигается с помощью способа выполнения файла сценария, в котором контролируют выполнение интерпретатором действий, согласно определенным политикам ограничений.

Согласно одному из вариантов реализации предоставляется способ выполнения файлов сценария, в котором: определяют по меньшей мере одну политику ограничения для по меньшей мере одного действия, разрешенного в системе по меньшей мере для одного интерпретатора; проверяют доверенность файла сценария и запускают выполнение доверенного файла сценария интерпретатором по результатам положительной проверки; перехватывают по меньшей мере одно действие интерпретатора; анализируют соответствие перехваченного действия по меньшей мере одной политике ограничения действия интерпретатора; на основании анализа выполняют действие согласно по меньшей мере одной политике ограничения.

Согласно одному из частных вариантов реализации доверенность файла сценария проверяется на основании наличия электронной цифровой подписи.

Согласно другому частному варианту реализации политика ограничения действия интерпретатора содержится в контейнере безопасности, при этом контейнер безопасности позволяет контролировать действия интерпретатора в компьютерной системе.

Согласно еще одному частному варианту реализации контейнер безопасности контролирует действия интерпретатора в компьютерной системе путем перехвата API-функций.

Согласно еще одному частному варианту реализации контейнер безопасности интерпретатора содержит информацию о доверенных файлах сценария.

Согласно еще одному частному варианту реализации выполнение файла сценария блокируется в случае отрицательного результата проверки файла сценария на доверенность.

Согласно еще одному частному варианту реализации контейнер безопасности интерпретатора содержит список дисковых операций, разрешенных интерпретатору.

Согласно еще одному частному варианту реализации контейнер безопасности интерпретатора содержит список сетевых операций, разрешенных интерпретатору.

Согласно еще одному частному варианту реализации контейнер безопасности интерпретатора содержит сетевые политики безопасности.

Согласно еще одному частному варианту реализации контейнер безопасности интерпретатора содержит запрещенное действие.

Согласно еще одному частному варианту реализации выполнение файла сценария блокируется при выполнении запрещенного действия.

Согласно еще одному частному варианту реализации контейнер безопасности интерпретатора содержит виртуальное действие, соответствующее разрешенному действию.

Согласно еще одному частному варианту реализации выполняют виртуальное действие вместо разрешенного действия.

Согласно еще одному частному варианту реализации одному интерпретатору может соответствовать несколько контейнеров безопасности.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1 изображает пример работы интерпретатора с файлом сценария.

Фиг. 2 изображает пример работы интерпретатора с файлом сценария в системе, содержащей приложение безопасности, работающее в режиме «запрет по умолчанию».

Фиг. 3 отображает способ блокировки выполнения интерпретатором файла сценария при выполнении интерпретатором действий, не разрешенных контейнером безопасности интерпретатора.

Фиг. 4 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.

Стоит отметить, что существуют интерпретаторы по меньшей мере двух типов. Простой интерпретатор анализирует и тут же выполняет (интерпретирует) файл сценария покомандно (или построчно), по мере поступления его исходного кода на вход интерпретатора. Интерпретатор компилирующего типа - это система из компилятора, переводящего исходный код программы в промежуточное представление, например в байт-код, и интерпретатора, который выполняет полученный промежуточный код.

Для обеспечения безопасности компьютера, на котором выполняется файл сценария, с одной стороны необходимо анализировать синтаксис файла сценария, последовательность команд, результат их выполнения, промежуточное представление кода. С другой стороны, вне зависимости от типа и предназначения интерпретатора, интерпретатор - это программа, действия которой можно ограничивать. В системах обеспечения безопасности, работающих в режиме «запрет по умолчанию», для интерпретаторов можно задать допустимые действия и условия их выполнения, после чего контролировать выполнение файла сценария интерпретатором и блокировать (запрещать) все неразрешенные действия. Именно вторая задача решается с помощью настоящего изобретения.

Фиг. 1 изображает пример работы интерпретатора с файлом сценария.

Каждый файл сценария 120 на компьютере исполняется после загрузки операционной системы 110 какой-либо программой-интерпретатором 130.

После запуска файла сценария 120 операционной системой 110 (например, Windows) определяется формат файла сценария 120. Формат файла сценария 120 может быть определен операционной системой 110, например, по расширению файла.

Далее операционная система 110 производит выбор обработчика сценариев или, другими словами, программы-интерпретатора 130. Это может быть сделано, например, с помощью реестра операционной системы 110, в котором хранятся все соответствия и связи форматов файлов с исполняющими их программами. Далее происходит запуск выбранного интерпретатора (обработчика сценариев) 130.

Начинается выполнение сценария. Во время выполнения файла сценария 120 интерпретатор 130 может выполнять операции с локальными ресурсами 150 (например, дисковые операции, запуск приложений), обращаться к внешним ресурсам 160, (например, создавать соединения с сетью интернет, взаимодействовать с серверами баз данных), взаимодействовать с компонентами операционной системы 140 (например, со службами операционной системы) в случае необходимости, выполнять операции над реестром операционной системы, запускать различные процессы и контролировать их выполнение. В частном случае интерпретатор 130 взаимодействует с инструментарием управления операционной системой (например, при помощи Windows Management Instrumentation, WMI). В свою очередь инструментарий управления операционной системой позволяет взаимодействовать с:

- операционной системой;

- приложениями;

- оборудованием;

- сетями;

- другими управляемыми компонентами.

Из вышеописанного можно сделать вывод, что интерпретатор 130 при выполнении файла сценария 120 обладает широкими возможностями взаимодействия с операционной системой 110. Вредоносные сценарии могут причинять вред компьютеру и наносить ущерб данным, находящимся на компьютере. Например, может происходить повреждение данных или утрата их конфиденциальности.

Фиг. 2 изображает пример работы интерпретатора с файлом сценария в системе, содержащей приложение безопасности, работающее в режиме «запрет по умолчанию».

При наличии установленного в операционной системе 110 приложения безопасности 205 (например, антивирусного приложения), которое умеет работать в режиме «запрет по умолчанию», приложением безопасности 205 создается контейнер безопасности 210. Контейнер безопасности 210 позволяет контролировать действия интерпретатора 130 в компьютерной системе согласно политикам ограничения действий 230 для интерпретатора 130, например, путем контроля вызова API-функций (англ. application programming interface, API) или путем замены этих вызовов при их исполнении интерпретатором. Все действия интерпретатора 130, не разрешенные контейнером безопасности, блокируются приложением безопасности 205. Контейнер безопасности 210 содержит политики ограничения действий 230 для интерпретатора 130. В общем случае контейнер безопасности 210 адаптируется приложением безопасности 205 под среду выполнения. Политики ограничения действий 230 зависят от версии операционной системы 110, от типа учетной записи, от аппаратного обеспечения компьютера, от сегмента сети, в котором находится компьютер.

В одном из вариантов реализации контейнер безопасности 210 содержит политики ограничения действий 230, которые определяют ограничения как для действий интерпретатора 130, так и для действий запускаемых им программ. Например, может быть разрешен запуск приложений определенной категории (например, браузеров) или запуск любых дочерних процессов.

В одном из вариантов реализации контейнер безопасности 210 содержит список разрешенных дисковых операций чтения/записи 240. Например, разрешено чтение определенных форматов файлов или любая запись на диск.

В еще одном варианте реализации контейнер безопасности 210 содержит набор разрешенных операций 250 с операционной системой 110 и/или с ее компонентами. Например, правила могут разрешать обращение к реестру операционной системы 110 и его изменение, взаимодействие с сервисами и службами операционной системы 110 (например, определен список разрешенных для взаимодействия с интерпретатором 130 служб), разрешения работы с драйверами, с сервером сценариев операционной системы 110 и с инструментарием управления операционной системой 110.

В еще одном варианте реализации контейнер безопасности 210 определяет разрешенные сетевые операции, регулирующие доступ в сеть 260, для интерпретатора 130. Например, доступ в интернет, разрешенные для доступа сегменты локальной сети, разрешения доступа в зависимости от учетной записи, из-под которой запущен интерпретатор 130.

В одном из вариантов реализации информация о доверенных файлах сценария находится в хранилище доверенных файлов сценария 220. При этом хранилище доверенных файлов сценария 220 может находиться как на компьютере пользователя, так и на сетевом сервере. В одном из вариантов реализации доверенным считается файл сценария 120, который был признан безопасным в результате антивирусной проверки. В другом варианте реализации информация о файле сценария 120 добавляется в хранилище доверенных файлов сценария 220 администратором сети. В еще одном варианте реализации файл сценария 120 считается доверенным, если на других компьютерах сети он был признан доверенным, то есть с использованием технологии «мудрость толпы» (англ. wisdom of the crowd). В еще одном варианте реализации файл сценария 120 считается доверенным, если он был получен от доверенного источника.

В одном из вариантов реализации в хранилище доверенных файлов сценария 220 сохраняется уникальная информация, характеризующая файл сценария 120, например цифровая подпись или хэш-сумма файла. В одном из вариантов реализации в хранилище доверенных файлов сценария 220 вносится информация о пути (расположение на диске или сетевой путь к файлу) и формате доверенного файла сценария.

В частном варианте реализации, если файл сценария 120 в процессе работы в системе изменяется, то информация о нем может храниться в неявном виде. Например, если файл сценария 120 представляет собой текстовый файл (данные внутри файла представлены в текстовом виде построчно), в новой версии сгенерированного файла изменяется несколько строк, то в хранилище доверенных файлов сценария 220 сохраняется хеш-сумма от неизменяемой части файла и номера изменяемых строк.

Контейнер безопасности 210 в частном случае реализации содержит информацию из хранилища доверенных файлов сценария 220, а приложение безопасности 205, используя эту информацию, блокирует запуск недоверенных файлов сценария 120.

В одном из вариантов реализации контейнер безопасности 210 содержит запрещенные действия 280 для интерпретатора 130. В случае выполнения запрещенного действия 280 интерпретатором 130 выполнения всего файла сценария 120 блокируется приложением безопасности 205.

В одном из вариантов реализации контейнер безопасности 210 содержит виртуальные действия 290 для интерпретатора 130. Виртуальное действие соответствует разрешенному действию. В одном из вариантов реализации виртуальное действие 290 представляет собой действие, которое выполняется операционной системой 110 вместо разрешенного действия. Приложение безопасности 205 в данном случае перехватывает выполняемое разрешенное действие интерпретатора 130 и подменяет его виртуальным действием 290. Например, получение данных из сети заменяется чтением данных из файла. В одном из вариантов реализации одному разрешенному действию может соответствовать более одного виртуального действия 290. В другом варианте реализации виртуальное действие определяется как действие, которое не выполняется в операционной системе 110, но результат выполнения генерируется приложением безопасности 205 и возвращается интерпретатору 130. Например, интерпретатор 130 запрашивает запись в реестр, приложение безопасности 205 перехватывает запрос, запись в реестр не выполняется, но интерпретатору 130 возвращается результат, отражающий успешную запись в реестр.

В одном из вариантов реализации для одного интерпретатора 130 создается один контейнер безопасности 210. В другом варианте реализации один контейнер безопасности 210 создается для нескольких интерпретаторов 130. В другом варианте реализации одному интерпретатору 130 может соответствовать несколько контейнеров безопасности 210. При этом, если один контейнер безопасности 210 содержит разрешение, например, на доступ в сеть, а другой контейнер его не содержит, то доступ в сеть блокируется приложением безопасности 205 при работе интерпретатора 130.

В одном из вариантов реализации контейнер безопасности 210 содержит определение разрешений для форматов, неконтролируемых интерпретатором 130. Контролируемым в контексте настоящего изобретения является формат, который может исполняться интерпретатором 130. Например, контейнер безопасности определяет, что интерпретатору 130 разрешено обращаться к файлам неконтролируемых форматов для чтения и записи.

Стоит отметить, что контейнер безопасности 210 может быть изменен, например, администратором сети.

Пример контроля и ограничения выполнения файла сценария 120 в операционной системе 110 представлен ниже.

Операционная система 110 производит попытку запуска файла. Операционная система 110 определяет соответствующий файлу сценариев 120 интерпретатор 130 и выполняет запуск интерпретатора 130. Далее приложение безопасности 205 перехватывает попытку запуска. Приложение безопасности 205 ищет информацию о файле сценария 120 в хранилище доверенных файлов сценария 220. В случае если файл сценария 120 отмечен в хранилище 220 как доверенный, приложение безопасности 205 определяет все контейнеры безопасности, соответствующие интерпретатору 130. Далее приложение безопасности 205 разрешает (не блокирует) начало выполнения файла сценария 120. Во время выполнения файла сценария 120 приложение безопасности 205 перехватывает операции, выполняемые интерпретатором 130. Действия интерпретатора 130, не разрешенные контейнерами безопасности 210, блокируются.

Фиг. 3 отображает способ блокировки выполнения интерпретатором файла сценария при выполнении интерпретатором действий, не разрешенных контейнером безопасности интерпретатора.

На начальном этапе 310 создают контейнер безопасности, содержащий набор политик ограничения действий 230 для интерпретатора 130. В одном из вариантов реализации контейнер безопасности может быть создан с помощью приложения безопасности 205. В частном варианте реализации контейнер безопасности содержит информацию о доверенных файлах сценария 120. В одном из вариантов реализации контейнер безопасности интерпретатора содержит список дисковых операций чтения записи 240, разрешенных интерпретатору 130. В одном из вариантов реализации контейнер безопасности интерпретатора содержит разрешенных операций с операционной системой 250. В еще одном варианте реализации контейнер безопасности интерпретатора содержит список сетевых операций 260. В еще одном варианте реализации контейнер безопасности интерпретатора содержит список запрещенных действий 280. В еще одном варианте реализации контейнер безопасности интерпретатора определяет список виртуальных действий 290 для интерпретатора 130. При этом одному интерпретатору 130 может соответствовать несколько контейнеров безопасности 210.

Далее на этапе 320 проверяют доверенность файла сценария 120. Доверенным файл сценария 120 считается, если уникальная информация, характеризующая файл файла сценария (например, цифровая подпись или хеш-сумма), соответствует информации, хранящейся в контейнере безопасности. Выполнение доверенного файла сценария 120 разрешается. Если файл сценария 120 недоверенный, то его выполнение блокируется 365.

Далее на этапе 330 перехватываются действия интерпретатора с файлом сценария 120. Перехват может осуществляться, например, приложением безопасности 205, которое в частном случае может являться антивирусным программным обеспечением.

Далее на этапе 340 анализируют соответствие перехваченного действия контейнеру безопасности интерпретатора 210. На этапе 345, если перехваченное действие запрещено контейнером безопасности 210, то выполнение файла сценария 210 интерпретатором 130 блокируется 365. На этапе 350, если перехваченное действие не ограничено контейнером безопасности 210, оно выполняется 360. В ином случае выполняют действие 355, применяя ограничения, определенные контейнером безопасности 210. В одном из вариантов реализации выполнение действия блокируется. В другом варианте реализации выполняется виртуальное действие (если действие). Далее происходит возврат к этапу 330, где продолжается перехват действий интерпретатора 130.

Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Способ выполнения файлов сценария в системах обеспечения безопасности, работающих в режиме «запрет по умолчанию», в котором:
- создают контейнер безопасности, используя который, приложение безопасности ограничивает действия интерпретатора согласно определенным политикам ограничения действий интерпретатора, при этом ограничение действий интерпретатора осуществляется по меньшей мере одним из:
блокируют приложением безопасности действие интерпретатора, не разрешенное контейнером безопасности;
перехватывают с использованием приложения безопасности действие, разрешенное контейнером безопасности, и подменяют перехваченное действие соответствующим виртуальным действием, которое выполняется операционной системой вместо разрешенного действия;
не выполняют действие в операционной системе и генерируют с помощью приложения безопасности результат выполнения действия, который возвращают интерпретатору;
- определяют для контейнера безопасности:
по меньшей мере одну политику ограничения для по меньшей мере одного действия, разрешенного в системе по меньшей мере для одного формата файла сценария, контролируемого интерпретатором;
по меньшей мере одну политику ограничения для по меньшей мере одного действия, разрешенного в системе по меньшей мере для одного формата файла сценария, не контролируемого интерпретатором;
- адаптируют приложением безопасности контейнер безопасности под среду выполнения файлов сценария, изменяя политики ограничения действий интерпретатора, при этом изменения политик ограничения действий интерпретатора зависят от:
версии операционной системы, под управлением которой файл сценария выполняется интерпретатором;
типа учетной записи, от имени которой файл сценария выполняется интерпретатором;
- проверяют доверенность файла сценария, при этом для изменяемых в процессе работы системы обеспечения безопасности файлов сценария доверенность проверяется с использованием хеш-суммы от неизменяемой части файла и номеров изменяемых строк;
- запускают выполнение файла сценария интерпретатором по результатам положительной проверки на доверенность, при этом выполнение ограничивается контейнером безопасности;
- перехватывают по меньшей мере одно действие интерпретатора при выполнении файла сценария, при этом действие интерпретатора перехватывается:
при выполнении файла сценария, имеющего формат, контролируемый интерпретатором;
при обращении к файлу сценария, имеющему формат, не контролируемый интерпретатором;
- анализируют соответствие перехваченного действия интерпретатора по меньшей мере одной определенной для контейнера безопасности политике ограничения действия интерпретатора;
- на основании анализа выполняют действие интерпретатора согласно по меньшей мере одной политике ограничения, определенной для контейнера безопасности.

2. Способ по п. 1, в котором формат файла сценария является контролируемым интерпретатором, если файл данного формата исполняется интерпретатором.

3. Способ по п. 1, в котором доверенным считается файл сценария, признанный безопасным в результате антивирусной проверки.



 

Похожие патенты:

Изобретение относится к способам защиты процесса работы с электронными деньгами. Технический результат заключается в обеспечении безопасности процесса работы с электронными деньгами.

Изобретение относится к области защиты информации от несанкционированного изменения содержания фонограммы, а именно к технологии защиты фонограмм от фальсификаций и восстановления их первоначального содержания.

Изобретение относится к области стеганографии и шифрованию информации. Технический результат - эффективное шифрование и передача этой зашифрованной информации при невозможности ее расшифровки.

Изобретение относится к средствам защиты от несанкционированного доступа к информации. Технический результат заключается в обеспечении сессионного контроля доступа к файлам.

Изобретение относится к системам аутентификации с использованием аутентификационной информации из веб-обозревателя. Технический результат заключается в обеспечении устройством обработки информации уведомления сервера относительно завершения операции управления без дополнительной обработки по аутентификации.

Настоящее изобретение относится к системам и способам обеспечения безопасности и, более конкретно, к системам и способам обеспечения безопасности, работающим независимо от операционной системы, но выполненным с поддержкой приложения безопасности, работающего на уровне операционной системы.

Изобретение относится к системам и способам исключения шинглов от частей сообщения, которые встречались только в сообщениях, не содержащих спам, при фильтрации спама.

Изобретение относится к антивирусным технологиям, а более конкретно к системам обнаружения вредоносных файлов определенного типа. Технический результат заключается в обеспечении возможности обнаружения вредоносного кода в файлах определенного типа с помощью соответствующих сигнатур.

Изобретение относится к антивирусным технологиям, а более конкретно к системам и способам отложенного устранения вредоносного кода. Технический результат настоящего изобретения заключается в обеспечении лечения вредоносных программ, которые препятствуют лечению.

Изобретение относится к системам и способам обеспечения конфиденциальности информации, используемой во время операций аутентификации и авторизации, при использовании доверенного устройства.

Изобретение относится к области сканирования файлов на вирусы. Техническим результатом является эффективное использование множества антивирусных ядер с целью определения результатов сканирования файла. Способ определения результатов сканирования файла, применяющий множество антивирусных ядер, используемых в системе, содержащей множество блоков приложений, включает этапы, на которых получают запросы, отправленные каждым из множества блоков приложений через разные каналы связи, подключенные к каждому из множества блоков приложений; соответственно направляют информацию файла в антивирусные ядра, соответственно, для сканирования файла антивирусными ядрами; соответственно, получают информацию сканирования, возвращаемую антивирусными ядрами; определяют опорный уровень каждого из антивирусных ядер относительно файла согласно информации файла, приоритетной информации, соответствующей антивирусным ядрам и стратегии уровня локальной безопасности; компонуют информацию сканирования, возвращаемую антивирусным ядрам, согласно опорному уровню каждого антивирусного ядра и информации сканирования для определения результата сканирования файла; и отправляют результат сканирования в каждый из множества блоков приложений через разные каналы связи. 5 н. и 10 з.п. ф-лы, 4 ил.

Изобретение относится к способу конфигурирования ветроэнергетической установки, к ветроэнергетической установке, которая подготовлена для такого конфигурирования и к системе ветроэнергетической установки с ветроэнергетической установкой и банком данных управления. Способ конфигурирования ветроэнергетической установки (100) содержит следующие этапы: выбор предопределенных параметров, соотнесенных с ветроэнергетической установкой, из банка (6) данных управления для конфигурирования ветроэнергетической установки (100), сохранение выбранных параметров на мобильном носителе данных (8), передача выбранных параметров с мобильного носителя данных (6) на ветроэнергетическую установку (100), реализация выбранных параметров в ветроэнергетической установке (100), считывание параметров, реализованных в ветроэнергетической установке (100), из устройства (11) контроля, объединенного в сеть с ветроэнергетической установкой (100) и банком (6) данных управления, и сравнение считанных параметров с предопределенными параметрами, соотнесенными с ветроэнергетической установкой (100) и сохраненными в банке (6) данных управления. Изобретение направлено на минимизацию риска неверного программирования ветроэнергетической установки при вводе ее в эксплуатацию. 4 н. и 16 з.п. ф-лы, 4 ил.

Группа изобретений относится к области защиты данных, записанных в хранилище с долговременной памятью, и может быть использована для защиты доступности и конфиденциальности данных. Техническим результатом является повышение защищенности данных. В способе защиты доступности и конфиденциальности хранимых данных для каждого информационного блока из множества обратимых случайных преобразований выбирается случайным или псевдослучайным образом номер r одного кодирующего правила, которое затем применяется к кодовому блоку; полученное кодовое слово разбивается на t частей, к каждой из которых дописывается часть секрета, полученная по числу r с помощью подходящей схемы разделения секрета, после чего полученные части объединяются. 4 н. и 5 з.п. ф-лы, 20 ил.

Изобретение относится к области шифрования потоков данных. Технический результат - повышение быстродействия процессов криптопреобразования данных. Устройство шифрования данных согласно ГОСТ 28147-89 характеризуется тем, что включает в себя контроллер прямого доступа к памяти, обеспечивающий загрузку массива данных из памяти для шифрования устройством шифрования данных и сохранение криптопреобразованных данных обратно в память, вычислительный блок с возможностью реализации шифрования данных в соответствии с выбранным алгоритмом, регистры данных для хранения таблиц подстановки, регистры данных для хранения ключей для шифрования, регистры для хранения векторов синхропосылки и имитовставки, а также блок управления. 6 н. и 6 з.п. ф-лы, 6 ил.

Изобретение относится к области анализа и верификации целевой программы с использованием средства анализа/верификации программы. Техническим результатом является эффективная верификация программ на основе выбора для использования одного из нескольких подходящих средств верификации программ. Раскрыта система предоставления услуги верификации программ для верификации целевой программы с использованием одного или нескольких средств верификации программ, причем система предоставления услуги верификации программ включает: средство получения целевой программы для получения целевой программы; секцию хранения средств, в которой хранятся несколько средств верификации программ; средство извлечения средств для извлечения из нескольких средств верификации программ, хранящихся в секции хранения средств, одного или нескольких средств верификации программ для использования в верификации целевой программы, которую получило средство получения целевой программы; средство получения средств для получения из секции хранения средств одного или нескольких средств верификации программ, которые извлекло средство извлечения средств; и средство исполнения средств для верификации с использованием каждого из одного или нескольких средств верификации программ, которые получило средство получения средств, целевой программы, которую получило средство получения целевой программы, причем средство исполнения средств осуществляет верификацию целевой программы, полученной от каждого из нескольких пользователей. 6 н. и 13 з.п. ф-лы, 11 ил.

Изобретение относится к принятию контрмер против атак по сторонним каналам. Технический результат - эффективное обеспечение защиты против атак по сторонним каналам за счет использования функции сопоставления по месту. Способ принятия контрмер против атак по сторонним каналам, при этом способ содержит исполнение алгоритма блочного шифра, чтобы маскировать промежуточные переменные, при этом алгоритм блочного шифра содержит одну или более нелинейных функций по меньшей мере одна из нелинейных функций реализуется с использованием функции сопоставления по месту. 2 н. и 7 з.п. ф-лы, 4 ил.

Изобретение относится к области обеспечения безопасности программного обеспечения, а именно к способам выполнения обращения к процедурам загрузочного драйвера. Технический результат заключается в обеспечении доступа к исходным процедурам загрузочных драйверов в случае перехвата процедур руткитами путем выполнения обращения к процедурам по крайней мере одного загрузочного драйвера по ранее сохраненным адресам. Способ выполнения обращения к процедурам загрузочного драйвера, в котором: а) в процессе загрузки операционной системы с помощью драйвера-перехватчика считывают список неинициализированных загрузочных драйверов, которые были загружены в память, но еще не инициализированы; б) с помощью драйвера-перехватчика устанавливают обработчик для перехвата вызова процедуры инициализации по крайней мере одного загрузочного драйвера из списка неинициализированных загрузочных драйверов; в) при установке обработчиком перехвата процедуры инициализации загрузочного драйвера, с помощью упомянутого обработчика заменяют ранее считанный адрес точки входа загрузочного драйвера адресом точки входа упомянутого обработчика; г) с помощью установленного обработчика перехватывают вызов процедуры инициализации по крайней мере одного загрузочного драйвера из списка неинициализированных загрузочных драйверов; д) с помощью обработчика сохраняют информацию по крайней мере об одном загрузочном драйвере, заполненную по крайней мере одним упомянутым загрузочным драйвером в процессе инициализации, при этом упомянутая информация об упомянутом загрузочном драйвере содержит по крайней мере адрес точки входа по крайней мере одной процедуры загрузочного драйвера; е) с помощью по крайней мере одного из: драйвера-перехватчика, драйвера антируткит выполняют обращение к процедурам по крайней мере одного загрузочного драйвера по ранее сохраненным адресам точек входа. 3 з.п. ф-лы, 3 ил.

Изобретение относится к средствам защиты информации в компьютерных системах и сетях. Техническим результатом является повышение защищенности от несанкционированного доступа при обмене данными в сети. В способе формируют множество доверенных узлов на правах индивидуальных клиентов оператора связи, которое разбивают на r подмножеств, в списке адресов запоминают: состав подмножеств для каждой из корреспондирующих пар в направлении передачи, перечень разрешенных IP-адресов для каждого из доверенных узлов и абонентов корреспондирующих пар. На доверенных узлах генерируют трафик, после выделения в сформированной дейтаграмме адреса отправителя SA и получателя SB из списка адресов выбирают один из номеров доверенных узлов, выделенных для данной пары, один из разрешенных IP-адресов отправителя и один из разрешенных IP-адресов выбранного доверенного узла, определяют количество Т промежуточных доверенных узлов на маршруте передачи дейтаграммы, записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса отправителя и выбранного доверенного узла, записывают в поле «Опции» сетевой дейтаграммы количество промежуточных доверенных узлов на маршруте передачи дейтаграммы, после приема сетевой дейтаграммы на доверенном узле проверяют указанное значение Т в поле «Опции», если T=0, то из списка адресов выбирают один из разрешенных IP-адресов получателя и доверенного узла, записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса доверенного узла и получателя и передают по каналу связи сформированную дейтаграмму. 2 з.п. ф-лы, 4 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в улучшении характеристики маскирования перехода к концу срока службы электронного устройства при поддержании уровня безопасности. Способ маскирования перехода к концу срока службы электронного устройства, в котором перед исполнением текущей команды микропроцессором проверяют значение переменной состояния конца срока службы, загруженной в оперативное запоминающее устройство из энергонезависимого запоминающего устройства; в случае пустого значения исполняют операцию перехода к концу срока службы; в случае непустого значения продолжают инициализацию текущей команды; после обнаружения атаки вторжения записывают упомянутую переменную состояния конца срока службы в единственное оперативное запоминающее устройство и продолжают инициализацию текущей команды; выполняют операцию только удаления переменной состояния конца срока службы в энергонезависимом запоминающем устройстве с отсрочкой таким образом, что операцию выполняют вместо следующей операции обновления, причем операция только удаления заключается в установке пустого значения для переменной состояния конца срока службы, причем операция только удаления является фазой удаления, за которой не следует фаза записи. 3 н. и 6 з.п. ф-лы, 7 ил.

Изобретение относится к системам и способам администрирования и управления лицензиями на программное обеспечение устройств, а более конкретно к системам и способам автоматического определения порядка применения политик безопасности к устройствам в сети исходя из доступного числа лицензий. Технический результат настоящего изобретения заключается в повышении защищенности устройств компьютерной сети с ограниченным набором лицензий на программное обеспечение. Способ применения политик безопасности к устройствам содержит этапы, на которых: а. выбирают критерии для устройств, которые, по меньшей мере, характеризуют местоположение устройств, пользователей устройств, программное обеспечение устройств и аппаратную часть устройств, где критерии выбирают в зависимости от целей сортировки устройств; б. получают значения критериев для каждого из устройств; в. вычисляют значение коэффициента устройства на основании полученных значений критериев для сортировки устройств, где коэффициент устройства числовое значение, вычисленное из полученных значений критериев для устройств; г. определяют приоритет применения политики безопасности к устройству сортировкой устройств в соответствии с определенным значением коэффициента устройства; д. получают политику безопасности для каждого из устройств и доступные лицензии на программное обеспечение, которое используют для применения на устройстве политики безопасности; е. определяют набор функционала программного обеспечения, способный обеспечить требования полученной политики безопасности; ж. применяют полученную политику безопасности к устройству на основании приоритета определенного в пункте г., программным обеспечением для которого получены доступные лицензии, где выбирают ту лицензию на программное обеспечение для применения полученных политик безопасности из полученных доступных лицензий, которая позволяет использовать набор функционала программного обеспечения, способный применить полученную политику безопасности к устройству, при этом при недоступности лицензии, позволяющей применить политику полностью, выбирают такую из доступных лицензий, которая разрешает использование того объема функционала, который позволит применить полученную политику максимально полно. 7 з.п. ф-лы, 3 ил.

Изобретение относится к информационной безопасности. Технический результат заключается в повышении безопасности компьютерной системы при выполнении файлов сценария интерпретаторами. Способ выполнения файлов сценария в системах обеспечения безопасности, работающих в режиме «запрет по умолчанию», в котором создают контейнер безопасности, используя который, приложение безопасности ограничивает действия интерпретатора согласно определенным политикам ограничения действий интерпретатора; адаптируют приложением безопасности контейнер безопасности под среду выполнения файлов сценария, изменяя политики ограничения действий интерпретатора; проверяют доверенность файла сценария; запускают выполнение файла сценария интерпретатором по результатам положительной проверки на доверенность, при этом выполнение ограничивается контейнером безопасности; перехватывают по меньшей мере одно действие интерпретатора при выполнении файла сценария; анализируют соответствие перехваченного действия интерпретатора по меньшей мере одной определенной для контейнера безопасности политике ограничения действия интерпретатора; на основании анализа выполняют действие интерпретатора согласно по меньшей мере одной политике ограничения, определенной для контейнера безопасности. 2 з.п. ф-лы, 4 ил.

Наверх