Система и способ настройки антивирусной проверки

Изобретение относится к области компьютерной безопасности, а именно к системам и способам настройки антивирусной проверки. Технический результат настоящего изобретения заключается в обеспечении настройки антивирусной проверки. Указанный технический результат достигается за счет определения даты и времени начала антивирусной проверки и выбора метода антивирусной проверки на основании собранных данных для настройки антивирусной проверки. 2 н. и 6 з.п. ф-лы, 8 ил.

 

Область техники

Изобретение относится к области компьютерной безопасности, а именно к системам и способам настройки антивирусной проверки.

Уровень техники

В последнее время количество вредоносных приложений увеличилось. Сетевые черви, троянские программы, компьютерные вирусы и прочие вредоносные приложения наносят большой урон пользователям и компаниям. Одним из самых эффективных способов противодействия вредоносным приложениям является использование антивирусного программного обеспечения. Антивирус (антивирусная программа) - программа, предназначенная для обнаружения и удаления с компьютера вредоносных приложений. Для обнаружения вредоносных приложений антивирусная программа производит полную или выборочную проверку файлов, присутствующих на жестких и сетевых дисках.

Для проверки при попытке доступа пользователя к файлу антивирусная программа может использовать технологии синхронной и асинхронной проверки файлов. В синхронном режиме при попытке доступа к файлу все действия со стороны других программ над файлом, который проверяется, заблокированы на уровне драйвера антивирусной программой до тех пор, пока проверка не закончится. Блокирование файлов также позволяет предупредить выполнение вредоносного кода из файла и вовремя изолировать вредоносное приложение. Асинхронная проверка файлов целесообразна в тех случаях, когда при обращении к файлу угроза выполнения вредоносного кода минимальна, а в блокировании файлов нет необходимости. В асинхронном режиме при доступе к файлу блокирования не происходит, а сам файл проверяется параллельно с другими действиями над файлом.

Более подробно различия между синхронным и асинхронным режимами показаны на Фиг. 1А и Фиг. 1Б.

На Фиг. 1А показан порядок взаимодействия с файлом процессов, запрашивающих доступ к файлу, и антивирусной программы при синхронной проверке. В момент времени 101 антивирусная программа получает команду на проверку какого-либо файла. Такая команда может быть инициирована, например, попыткой пользователя открыть указанный файл. В случае синхронного режима проверки любые процессы доступа к файлу приостанавливаются на период времени 102, в течение которого антивирусная программа производит проверку файла на вредоносность. В качестве примера процесса доступа можно привести процесс текстового редактора Microsoft Word, который ожидает окончания антивирусной проверки файла документа, прежде чем произвести его открытие. Доступ к файлу процесс, запрашивающий доступ, сможет получить только на этапе 104, после того, как антивирусная программа в момент времени 103 завершит его проверку.

На Фиг. 1Б показан порядок взаимодействия с файлом процессов доступа и антивирусной программы при асинхронной проверке. В момент времени 101 антивирусная программа получает команду на проверку какого-либо файла. В случае асинхронного режима любые процессы доступа на этапе 104 продолжают работу с файлом. Антивирусная программа параллельно начинает проверку файла 102 независимо от действий других приложений над файлом.

Периодически возникают ситуации, когда требуются повторные проверки файлов, например, когда на компьютер пользователя попадает ранее неизвестное вредоносное приложение. При первой проверке, которую для неизвестных приложений антивирусная программа всегда выполняет в синхронном режиме, вредоносность может быть не подтверждена. В этом случае вредоносное приложение получает разрешение на запуск. Спустя некоторое время происходит обновление антивирусных баз, в которых содержится информация об этом вредоносном приложении. Чтобы выявить такой случай, который в последнее время встречается все чаще, все недавно обнаруженные файлы следует проверять каждый раз при обновлении антивирусных баз.

После обновления антивирусных баз проверенные приложения можно считать неизвестными. Но в этом случае при выполнении повторной проверки синхронный режим ее выполнения не оправдан, так как может снижать быстродействие/производительность устройства. Поэтому имеет смысл осуществлять проверку асинхронно.

В настоящее время существуют различные решения по организации синхронных и асинхронных антивирусных проверок и оценке их влияния на производительность системы.

Так, в публикации US 8122507 B1 описывается возможность выбора типа проверки объекта (выборочная или последовательная). В ходе работы создаются списки файлов для обоих типов проверки. Для выборочной проверки ведется история изменений антивирусных сигнатур, для инкрементальной проверки ведется история изменения файлов.

В заявке US 20090094698 A1 описана система, в которой анализируют перечень проверенных файлов после обновления антивирусных баз. Некоторые файлы, которые были ранее проверены и от которых были рассчитаны контрольные суммы, могут снова попасть в список файлов для проверки, но при условии, что не было внесено изменений в файлы, контрольную сумму от них уже не вычисляют. Аналогично поступают и с цифровыми подписями к файлам.

В публикации US 8443445 B1 описана система, в которой после проведения антивирусной проверки наступает период избирательной проверки. В ходе периода избирательной проверки файл, который претерпел изменения, может быть проверен. По окончании периода выполняют обновление антивирусных баз.

Поэтому, хотя изобретения, перечисленные в указанных выше патентах и заявках, направлены на решение определенных задач в области организации различных видов проверки и их влияния на систему, они имеют один общий недостаток, связанный с отсутствием возможности определения размера и состава антивирусных баз, которые будут использованы при антивирусной проверке.

Раскрытие изобретения

Изобретение относится к области компьютерной безопасности, а именно к системам и способам настройки антивирусной проверки. Технический результат настоящего изобретения заключается в обеспечении настройки антивирусной проверки. Указанный технический результат достигается за счет определения даты и времени начала антивирусной проверки и выбора метода антивирусной проверки на основании собранных данных для настройки антивирусной проверки.

Система настройки антивирусной проверки, которая содержит средство сбора, предназначенное для выявления по крайней мере одного файла, в отношении которого необходимо выполнить антивирусную проверку, сбора данных для настройки антивирусной проверки, при этом данные включают по меньшей мере данные о выявленном файле, передачи собранных данных для настройки антивирусной проверки средству определения и средству настройки; базу данных правил, для хранения правил определения даты и времени начала проведения антивирусной проверки и правил выбора метода антивирусной проверки; средство определения, предназначенное для определения даты и времени начала антивирусной проверки по крайней мере одного выявленного файла на основании собранных данных для настройки антивирусной проверки и с помощью применения правил определения даты и времени начала антивирусной проверки из базы данных правил, передачи определенных даты и времени начала антивирусной проверки средству настройки; средство настройки, предназначенное для настройки антивирусной проверки путем выбора по крайней мере одного метода антивирусной проверки, который будет использован при антивирусной проверке по крайней мере одного выявленного файла, на основании собранных данных для настройки антивирусной проверки, определенных даты и времени начала антивирусной проверки и правил выбора метода антивирусной проверки из базы данных правил.

В частном случае реализации системы файлом, в отношении которого необходимо выполнить антивирусную проверку, является по меньшей мере один из файлов: файл, к которому осуществлена попытка доступа; файл, который был создан или изменен; файл, в отношении которого уже была выполнена антивирусная проверка; файл, с которым связан ряд системных событий, характерных для вредоносных приложений; файл, с которым связано обновление баз данных антивирусной программы; файл, который связан с известными уязвимостями; файл, который был выбран пользователем.

В другом частном случае реализации системы собранными данными для настройки антивирусной проверки является по меньшей мере одно из: формат упомянутого файла; контрольная сумма упомянутого файла; дата и время создания упомянутого файла; дата и время изменения упомянутого файла; вид вредоносного приложения, связанного с форматом упомянутого файла; наличие уязвимости, связанной с форматом упомянутого файла; количество заражений файлов упомянутого формата; наличие цифровой подписи у упомянутого файла; дата и время компиляции упомянутого файла; дата и время выполненной антивирусной проверки упомянутого файла; дата и время последнего обновления базы данных антивирусной программы, с помощью которой была выполнена антивирусная поверка упомянутого файла; содержимое базы данных антивирусной программы после обновления.

Еще в одном частном случае реализации системы дополнительно используют средство проверки, предназначенное для выполнения настроенной антивирусной проверки выявленного объекта.

Способ настройки антивирусной проверки, реализуемый средствами вышеописанной системы, в котором при помощи средства сбора выявляют по меньшей мере один файл, в отношении которого необходимо выполнить антивирусную проверку; при помощи средства сбора собирают данные для настройки антивирусной проверки, при этом данные включают по меньшей мере данные о выявленном файле; при помощи базы данных правил хранят правила определения даты и времени начала антивирусной проверки и правила выбора метода антивирусной проверки; при помощи средства определения определяют дату и временя начала антивирусной проверки по крайней мере для одного выявленного файла на основании собранных данных для настройки антивирусной проверки и правил определения даты и времени начала антивирусной проверки; при помощи средства настройки настраивают антивирусную проверку путем выбора по крайней мере одного метода антивирусной проверки, который будет использован при антивирусной проверке по крайней мере одного выявленного файла, на основании собранных данных для настройки антивирусной проверки, определенных на этапе ранее даты и времени начала проведения антивирусной проверки и правил выбора метода антивирусной проверки из базы данных правил.

В частном случае реализации способа файлом, в отношении которого необходимо выполнить антивирусную проверку, является по меньшей мере один из файлов: файл, к которому осуществлена попытка доступа; файл, который был создан или изменен; файл, в отношении которого уже была выполнена антивирусная проверка; файл, с которым связан ряд системных событий, характерных для вредоносных приложений; файл, с которым связано обновление баз данных антивирусной программы; файл, который связан с известными уязвимостями; файл, который был выбран пользователем.

В другом частном случае реализации способа собранными данными для настройки антивирусной проверки является по меньшей мере одно из: формат упомянутого файла; контрольная сумма упомянутого файла; дата и время создания упомянутого файла; дата и время изменения упомянутого файла; вид вредоносного приложения, связанного с форматом упомянутого файла; наличие уязвимости, связанной с форматом упомянутого файла; количество заражений файлов упомянутого формата; наличие цифровой подписи у упомянутого файла; дата и время компиляции упомянутого файла; дата и время выполненной антивирусной проверки упомянутого файла; дата и время последнего обновления базы данных антивирусной программы, с помощью которой была выполнена антивирусная поверка упомянутого файла; содержимое базы данных антивирусной программы после обновления.

Еще в одном частном случае реализации способа при помощи средства проверки выполняют настроенную антивирусную проверку выявленного файла.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1А, Фиг. 1Б показывают порядок взаимодействия с файлом процессов доступа и антивирусной программы при синхронной проверке.

Фиг. 2А, Фиг. 2Б, Фиг. 2В представляют три примера определения даты и времени начала антивирусной проверки.

Фиг. 3 отображает систему настройки антивирусной проверки.

Фиг. 4 отображает способ настройки антивирусной проверки.

Фиг. 5 представляет пример компьютерной системы общего назначения.

Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

На наличие вредоносного кода проверяют объект. В качестве объекта может выступать файл, URL, поток данных и т.д. Далее по тексту в качестве объекта подразумевается файл.

Антивирусная проверка - совокупность действий, выполняемая антивирусной программой, направленная на обнаружение вредоносной активности или вредоносного кода в проверяемом объекте.

Метод антивирусной проверки - упорядоченный алгоритм действий над проверяемым объектом, его атрибутами, действиями и данными, при выполнении которого возможно проявление или обнаружение активности, реализуемой вредоносным кодом. Наиболее известными методами антивирусной проверки являются: сигнатурный метод, эвристический метод, метод обнаружения изменений и т.д. Согласно государственному стандарту РФ ГОСТ Р 51188-98 “Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство” (введен в действие постановлением Госстандарта РФ от 14 июля 1998 г. № 295), под методом антивирусной проверки понимают метод испытания программных средств на наличие компьютерных вирусов.

Метод антивирусной проверки на основе вирусных сигнатур - метод, при котором антивирусная программа в ходе анализа объекта обращается к базе данных описаний вирусов, которая может содержать сигнатуры известных вредоносных приложений (malware signature). В случае соответствия какого-либо участка кода анализируемого объекта известному вредоносному коду (сигнатуре) антивирусная программа может начать выполнение одного из следующих действий: удалить обнаруженный вредоносный объект; отправить объект в «карантин», предпринять попытку восстановить объект, удалив вредоносный код из объекта. Для достижения успеха при использовании этого метода необходимо периодически пополнять базу данных антивирусной программы новыми сигнатурами.

База данных антивирусной программы - совокупность вспомогательных данных, используемая антивирусной программой для выполнения антивирусной проверки. База данных антивирусной программы может содержать описания вредоносных приложений, данные о работе подпрограмм антивирусной программы, данные о проверенных файлах, данные об обновлениях, данные об уязвимостях, данные, используемые в ходе антивирусной проверки при использовании методов антивирусной проверки, и т.д.

Для антивирусной проверки при попытке доступа (англ. On-Access Scan, OAS), в частности асинхронной и синхронной антивирусной проверки, и антивирусной проверки по требованию (англ. On-Demand Scan, ODS) можно определить изменение даты и времени начала антивирусной проверки.

Фиг. 2А, Фиг. 2Б, Фиг. 2В представляют три примера определения даты и времени начала антивирусной проверки. Каждая упомянутая антивирусная проверка может иметь дату и время (time stamp) начала 202. Дата и время начала антивирусной проверки напрямую зависит от момента возникновения необходимости проверить объект 201.

На Фиг. 2А представлен случай, когда выполняют антивирусную проверку при доступе к объекту незамедлительно. В этом случае при обнаружении объекта, в отношении которого необходимо выполнить антивирусную проверку, дата и время начала антивирусной проверки 202 будет максимально приближены к моменту возникновения необходимости проверить объект 201.

На Фиг. 2Б представлен другой случай, когда выполняют отложенную антивирусную проверку при доступе к объекту. В этом случае дата и время начала антивирусной проверки 202 наступает через определенный период времени с момента возникновения необходимости проверить объект 201. В большинстве случаев этот период не может превышать период времени до запланированной антивирусной проверки, но должен отличаться от нулевого значения. Например, пользователь в настройках установил ежедневную проверку 203 в 23 часа. Соответственно, упомянутый период времени будет отличным от нуля, но менее 23 часов текущего дня.

На Фиг. 2В представлен третий случай, когда выполняют запланированную антивирусную проверку по требованию (ODS) 203. В этом случае дата и время начала антивирусной проверки 202 не зависят от момента возникновения необходимости проверить объект 201 и совпадают с моментом начала запланированной антивирусной проверки по требованию (ODS).

Возникают ситуации, когда дату и время начала антивирусной проверки 202 необходимо изменить. Например, согласно третьему случаю, используют загруженный сервер с установленной антивирусной программой, на котором администратором был установлен приоритет на перенос выполнения антивирусной проверки любых объектов на определенное время, например на 23 часа. В 19 часов был выявлен объект, в отношении которого необходимо выполнить антивирусную проверку. Согласно установленному приоритету, дата и время начала антивирусной проверки 202 наступит через 4 часа. Например, в 20 часов антивирусная программ выполняет автоматическое обновление базы данных антивирусной программы, которая содержит обновление базы описаний вредоносных приложений, в частности обновление связано с файлами, которые имеют формат выявленного указанного объекта. Так же стало известно, что активность вредоносных приложений, которые воздействуют на файлы того же формата, что и указанный объект, возросла. В этом случае возникает необходимость назначить более раннюю дату и время начала антивирусной проверки 202, чтобы выполнить антивирусную проверку выявленного объекта.

Другим примером может быть ситуация, в которой объектом, в отношении которого необходимо выполнить антивирусную проверку, является уже проверенный файл. Упомянутая ситуация так же может быть рассмотрена на основе третьего случая из Фиг. 2В. Пользователь смартфона, на котором установлена антивирусная программа, может запланировать еженедельное проведение антивирусной проверки на определенное время, например по воскресеньям в 2 часа. Например, во вторник в 19 часов был выявлен объект, в отношении которого необходимо выполнить антивирусную проверку. Незамедлительная проверка объекта не выявила наличия вредоносного кода, объектом оказался файл формата «.vbs». Также были собраны дополнительные данные об объекте после выполнения антивирусной проверки. В 22 часа в субботу антивирусная программа выполняет автоматическое обновление базы данных антивирусной программы, которая содержит обновление базы описаний вредоносных приложений, в частности обновление не связано с файлами, которые имеют формат «.vbs». В этом случае необходимость выполнения запланированной проверки отсутствует, а дату и время начала антивирусной проверки 202 можно назначить на более поздний срок.

Определение даты и времени начала антивирусной проверки 202 и выбор метода антивирусной проверки являются одними из основных этапов настройки антивирусной проверки. Настройка антивирусной проверки направлена на оптимизацию процесса антивирусной проверки с целью экономии ресурсов компьютерной системы, на которой установлена антивирусная программа, которая выполняет упомянутую антивирусную проверку. Для настройки антивирусной проверки используют систему настройки антивирусной проверки.

Фиг. 3 отображает систему настройки антивирусной проверки. Система настройки антивирусной проверки состоит из средства сбора 320, средства определения 330, средства настройки 340 средства проверки 350, базы данных правил 360.

Средство сбора 320 предназначено для выявления объекта, в отношении которого необходимо выполнить антивирусную проверку 310.

Объектом, в отношении которого необходимо выполнить антивирусную проверку, 310 может быть по меньшей мере один объект из перечисленных:

- объект, к которому осуществлена попытка доступа;

- объект, который был создан или изменен;

- объект, в отношении которого уже была выполнена антивирусная проверка;

- объект, с которым связан ряд системных событий, характерных для вредоносных приложений;

- объект, с которым связано обновление баз данных антивирусной программы;

- объект, который связан с использованием известных уязвимостей в программном обеспечении;

- объект, который был выбран пользователем.

Средство сбора 320 может иметь доступ к базе данных уязвимостей в программном обеспечении, https://web.nvd.nist.gov/. Согласно информации об уязвимости CVE-2013-1325 опасность представляют объекты формата «.wdp». Информация об уязвимости появилась 12.11.2013. Таким образом после 12.11.2013 в отношении всех объектов формата «.wdp» необходимо выполнить антивирусную проверку. А в отношении уже проверенных объектов формата «.wdp» рекомендуется определить более раннюю дату и время начала следующей антивирусной проверки 202.

В целях выявления объекта, в отношении которого необходимо выполнить антивирусную проверку, средство сбора 320 может анализировать журнал системных событий, журнал проверенных объектов, активность пользователя, изменения базы данных антивирусной программы, изменения файловой системы, информацию из сайтов и баз данных, связанных с защитой и безопасностью информации и т.д.

Средство сбора 320 предназначено для сбора данных для настройки антивирусной проверки, передачи данных для настройки антивирусной проверки средству определения 330.

Данные для настройки антивирусной проверки включают по меньшей мере данные о выявленном файле и могут быть по крайней мере одним из:

- формат упомянутого объекта,

- контрольная сумма упомянутого объекта,

- дата и время последней записи в упомянутый объект,

- вид вирусных угроз, связанных с форматом упомянутого объекта,

- наличие критической уязвимости, связанной с форматом упомянутого объект,

- количество заражений файлов упомянутого формата,

- наличие цифровой подписи у упомянутого объекта,

- дата и время компиляции упомянутого объекта.

В случае, когда объектом, в отношении которого необходимо выполнить антивирусную проверку 310, является объект, в отношении которого уже была выполнена антивирусная проверка, данными для настройки антивирусной проверки дополнительно может быть по крайней мере одно из:

- дата и время выполненной антивирусной проверки упомянутого объекта,

- дата и время последнего обновления базы данных антивирусной программы, с помощью которой была выполнена антивирусная поверка упомянутого объекта,

- содержимое базы данных антивирусной программы после обновления.

Дополнительно данные для настройки антивирусной проверки могут быть собраны из базы данных объектов или получены от антивирусного сервера при их наличии.

Средство определения 330 предназначено для определения даты и времени начала антивирусной проверки на основании собранных данных для настройки антивирусной проверки и правил определения даты и времени начала антивирусной проверки из базы данных правил 360, передачи собранных данных для настройки антивирусной проверки и определенных даты и времени начала антивирусной проверки средству настройки 340.

База данных правил 360 предназначена для хранения правил определения даты и времени начала антивирусной проверки и правил выбора метода антивирусной проверки. В качестве базы данных правил 360 могут использоваться различные виды баз данных, а именно: иерархические (IMS, TDMS, System 2000), сетевые (Cerebrum, Cronospro, DBVist), реляционные (DB2, Informix, Microsoft SQL Server), объектно-ориентированные (Jasmine, Versant, POET), объектно-реляционные (Oracle Database, PostgreSQL, FirstSQL/J), функциональные и т.д. Обновление баз данных также может быть осуществлено при помощи антивирусного сервера при его наличии.

Правило определения даты и времени начала антивирусной проверки - это набор условий, при выполнении которых определяют дату и время начала антивирусной проверки 202. Условия, которые учитывают при определении, могут быть сформированы на основе данных для настройки антивирусной проверки. Примером правила для определения даты и времени начала антивирусной проверки может быть выполнение следующего условия: дата и время записи в объект имеют более позднюю дату и время, чем дата и время последней антивирусной проверки объекта.

Примером правила определения даты и времени начала антивирусной проверки может быть следующий набор условий: во-первых, формат объекта, который необходимо проверить - «.txt»; во-вторых, за последний месяц не было обновлений или изменений базы данных антивирусной программы и не зафиксировано угроз, связанных с «.txt» объектами.

Еще одним примером правила определения даты и времени начала антивирусной проверки может быть следующий набор условий: во-первых, формат объекта, который необходимо проверить - «.docx»; во-вторых, обновление базы данных антивирусной программы содержит обновление описаний вредоносных приложений для обнаружения вредоносного кода в «.docx» объектах; в-третьих, зафиксировано резкое возрастание количества заражений «.docx» объектов. В этом примере дата и время начала антивирусной проверки должны быть максимально приближены к моменту возникновения необходимости проверить объект. В случае, если не выполнено какое-либо из условий, например: резкого возрастания количества заражений «.docx» объектов не зафиксировано, - дата и время могут быть более ранними, например на несколько часов или минут.

Еще одним примером правила определения даты и времени начала антивирусной проверки может быть следующий набор условий: во-первых, формат объекта, который необходимо проверить - «.xlsx», во-вторых, дата и время последней записи в объект превышает дату и время последнего обновления антивирусных баз, которые были использованы в предыдущей антивирусной проверке, в-третьих, обновление базы данных антивирусной программы не содержит описания вредоносных приложений, связанные с вредоносным кодом в «.xlsx» объектах.

Средство настройки 340 предназначено для настройки антивирусной проверки путем выбора по крайней мере одного метода антивирусной проверки на основании собранных данных для настройки антивирусной проверки, определенных даты и времени начала антивирусной проверки и правил выбора метода антивирусной проверки из базы данных правил 360.

Правило выбора метода антивирусной проверки - набор условий, при выполнении которых осуществляется выбор по крайней мере одного метода антивирусной проверки при выполнении антивирусной проверки. Одним примером правила выбора метода антивирусной проверки может быть следующий набор условий: во-первых, дата и время начала антивирусной проверки максимально приближены к моменту возникновения необходимости проверить объект; во-вторых, отсутствуют данные об антивирусной проверке, выполненной ранее. При выполнении этих условий средство настройки 340 выберет максимальное доступное количество методов антивирусной проверки.

Другим примером правила выбора метода антивирусной проверки может быть следующий набор условий: во-первых, дата и время начала антивирусной проверки максимально приближены к моменту возникновения необходимости проверить объект: во-вторых, в отношении объекта уже была выполнена антивирусная проверка: в-третьих, наличие изменений в базе данных антивирусной программы в виде обновления для метода антивирусной проверки. В этом случае средство определения 330 выберет метод антивирусной проверки, обновления для которого добавлены в базу данных антивирусной программы. При этом антивирусная проверка будет проведена с использованием исключительно выбранного метода антивирусной проверки и новых данных для этого метода.

Также средство настройки 340 предназначено для передачи данных о настроенной антивирусной проверке средству проверки 350.

Средство проверки 350 предназначено для выполнения настроенной антивирусной проверки. Настроенную антивирусную проверку выполняют при наступлении даты и времени начала антивирусной проверки с использованием выбранного метода антивирусной проверки.

Фиг. 4 отображает способ настройки антивирусной проверки. На этапе 410 средство сбора 320 выявляет объект, в отношении которого необходимо выполнить антивирусную проверку 310. Далее, на этапе 420, средство сбора 320 собирает данные для настройки антивирусной проверки и передает их средству определения 330. На этапе 430 средство определения 330 определяет дату и время начала антивирусной проверки на основе собранных данных для настройки антивирусной проверки и правил определения даты и времени начала антивирусной проверки из базы данных правил 360. На этапе 440 средство настройки 340 настраивает антивирусную проверку путем выбора метода антивирусной проверки на основе собранных данных для настройки антивирусной проверки, определенных дате и времени начала антивирусной проверки, правил выбора метода антивирусной проверки из базы данных правил 360. Затем средство настройки 340 передает данные о настроенной антивирусной проверке средству проверки 350. Далее, на этапе 450, средство проверки 350 выполняет настроенную антивирусную проверку при наступлении определенных даты и времени начала антивирусной проверки с использованием выбранного метода антивирусной проверки.

Фиг. 5 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 является таким же персональным компьютером или сервером, который имеет большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 5. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

1. Система настройки антивирусной проверки, которая содержит:

а) средство сбора, предназначенное для:

- выявления по крайней мере одного файла, в отношении которого необходимо выполнить антивирусную проверку,

- сбора данных для настройки антивирусной проверки, при этом данные включают по меньшей мере данные о выявленном файле,

- передачи собранных данных для настройки антивирусной проверки средству определения и средству настройки;

б) базу данных правил, для хранения правил определения даты и времени начала проведения антивирусной проверки и правил выбора метода антивирусной проверки;

в) средство определения, предназначенное для:

- определения даты и времени начала антивирусной проверки по крайней мере одного выявленного файла на основании собранных данных для настройки антивирусной проверки и с помощью применения правил определения даты и времени начала антивирусной проверки из базы данных правил,

- передачи определенных даты и времени начала антивирусной проверки средству настройки;

г) средство настройки, предназначенное для настройки антивирусной проверки путем выбора по крайней мере одного метода антивирусной проверки, который будет использован при антивирусной проверке по крайней мере одного выявленного файла, на основании собранных данных для настройки антивирусной проверки, определенных даты и времени начала антивирусной проверки и правил выбора метода антивирусной проверки из базы данных правил.

2. Система по п. 1, в которой файлом, в отношении которого необходимо выполнить антивирусную проверку, является по меньшей мере один из файлов:

- файл, к которому осуществлена попытка доступа;

- файл, который был создан или изменен;

- файл, в отношении которого уже была выполнена антивирусная проверка;

- файл, с которым связан ряд системных событий, характерных для вредоносных приложений;

- файл, с которым связано обновление баз данных антивирусной программы;

- файл, который связан с известными уязвимостями;

- файл, который был выбран пользователем.

3. Система по п. 1, в которой собранными данными для настройки антивирусной проверки является по меньшей мере одно из:

- формат упомянутого файла;

- контрольная сумма упомянутого файла;

- дата и время создания упомянутого файла;

- дата и время изменения упомянутого файла;

- вид вредоносного приложения, связанного с форматом упомянутого файла;

- наличие уязвимости, связанной с форматом упомянутого файла;

- количество заражений файлов упомянутого формата;

- наличие цифровой подписи у упомянутого файла;

- дата и время компиляции упомянутого файла;

- дата и время выполненной антивирусной проверки упомянутого файла;

- дата и время последнего обновления базы данных антивирусной программы, с помощью которой была выполнена антивирусная поверка упомянутого файла;

- содержимое базы данных антивирусной программы после обновления.

4. Система по п. 1, в которой дополнительно используют средство проверки, предназначенное для выполнения настроенной антивирусной проверки выявленного объекта.

5. Способ настройки антивирусной проверки, реализуемый средствами системы по п. 1, в котором:

а) при помощи средства сбора выявляют по меньшей мере один файл, в отношении которого необходимо выполнить антивирусную проверку;

б) при помощи средства сбора собирают данные для настройки антивирусной проверки, при этом данные включают по меньшей мере данные о выявленном файле;

в) при помощи базы данных правил хранят правила определения даты и времени начала антивирусной проверки и правила выбора метода антивирусной проверки;

г) при помощи средства определения определяют дату и время начала антивирусной проверки по крайней мере для одного выявленного файла на основании собранных данных для настройки антивирусной проверки и правил определения даты и времени начала антивирусной проверки;

д) при помощи средства настройки настраивают антивирусную проверку путем выбора по крайней мере одного метода антивирусной проверки, который будет использован при антивирусной проверке по крайней мере одного выявленного файла, на основании собранных данных для настройки антивирусной проверки, определенных на этапе ранее даты и времени начала проведения антивирусной проверки и правил выбора метода антивирусной проверки из базы данных правил.

6. Способ по п. 5, в котором файлом, в отношении которого необходимо выполнить антивирусную проверку является по меньшей мере один из файлов:

- файл, к которому осуществлена попытка доступа;

- файл, который был создан или изменен;

- файл, в отношении которого уже была выполнена антивирусная проверка;

- файл, с которым связан ряд системных событий, характерных для вредоносных приложений;

- файл, с которым связано обновление баз данных антивирусной программы;

- файл, который связан с известными уязвимостями;

- файл, который был выбран пользователем.

7. Способ по п. 5, в котором собранными данными для настройки антивирусной проверки является по меньшей мере одно из:

- формат упомянутого файла;

- контрольная сумма упомянутого файла;

- дата и время создания упомянутого файла;

- дата и время изменения упомянутого файла;

- вид вредоносного приложения, связанного с форматом упомянутого файла;

- наличие уязвимости, связанной с форматом упомянутого файла;

- количество заражений файлов упомянутого формата;

- наличие цифровой подписи у упомянутого файла;

- дата и время компиляции упомянутого файла;

- дата и время выполненной антивирусной проверки упомянутого файла,

- дата и время последнего обновления базы данных антивирусной программы, с помощью которой была выполнена антивирусная поверка упомянутого файла,

- содержимое базы данных антивирусной программы после обновления.

8. Способ по п. 5, в котором при помощи средства проверки выполняют настроенную антивирусную проверку выявленного файла.



 

Похожие патенты:

Изобретение относится к области защиты мобильных устройств связи от несанкционированной деятельности, а именно к обработке аномалии терминала. Технический результат заключается в расширении арсенала технических средств, обеспечивающих обнаружение или предохранение устройств от кражи или утери за счет возможности отличать авторизованных пользователей терминалов от неавторизованных и инициировать сигнальные операции.

Изобретение относится к способу и системе формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя. Технический результат заключается в снижении потребляемых антивирусным приложением ресурсов компьютера, а именно памяти на жестком диске, используемой для хранения антивирусных записей.

Изобретение относится к способу определения файловой операции, запущенной на сервере с компьютера пользователя, как работы вредоносной программы. Технический результат настоящего изобретения заключается в обеспечении определения файловой операции, запущенной на сервере с компьютера пользователя, как работы вредоносной программы.

Изобретение относится к области информационной безопасности. Технический результат заключается в повышении надежности при подписании документа аналого-цифровой подписью.

Раскрыты способы, системы и машиночитаемые носители для проверки целостности целевого устройства. Технический результат заключается в защите памяти и проверке целостности целевых устройств.

Изобретение относится к области беспроводной связи. Технический результат изобретения заключается в сокращении времени, требуемого до инициирования службы, в случае когда при использовании существующей среды связи имеется возможность осуществления связи с ответным устройством.

Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении полноты обнаружения вредоносных компьютерных программ, в том числе подвергнутых полиморфным преобразованиям.

Изобретение относится к области обеспечения безопасности программного обеспечения. Техническим результатом является реализация контроля исполнения приложений дополненной реальности, установленных на устройстве пользователя, в зависимости от состояния окружения.

Изобретение относится к области компьютерной безопасности. Технический результат заключается в снижении потребляемых антивирусным приложением ресурсов компьютера пользователя, а именно памяти на жестком диске для хранения антивирусных записей.

Изобретение относится к области защиты данных при их передаче по сети. Технический результат - повышение уровня защиты информации, содержащейся на веб-странице, путем шифрования упомянутой информации во время передачи упомянутой веб-страницы приложению пользователя.

Изобретение относится к области защиты от компьютерных угроз, а именно к способам обнаружения вредоносного приложения на устройстве пользователя. Технический результат заключается в обеспечении обнаружения вредоносных приложений на вычислительном устройстве, при взаимодействии пользователя с удаленным банковским сервером. В способе собирают при помощи средства обеспечения безопасности информации о том, какие приложения вычислительного устройства осуществляют доступ к данным о поведении пользователя при взаимодействии пользователя с каждой группой элементов графического интерфейса для взаимодействия с удаленным банковским сервером; вычисляют при помощи средства классификации поведения коэффициент аномальности поведения; обнаруживают при помощи средства принятия решения мошенническую активность при взаимодействии устройства пользователя с удаленным банковским сервером, признают при помощи средства обеспечения безопасности приложение на вычислительном устройстве вредоносным. 1 з.п. ф-лы, 4 ил.

Изобретение относится к способу антивирусной проверки образа машинного кода. Технический результат заключается в обеспечении антивирусной проверки образа машинного кода компьютерной системы. Предложен способ, в котором получают образ машинного кода для антивирусной проверки; собирают данные об образе машинного кода из образа, полученного для антивирусной проверки; обращаются к структурам данных операционной системы, хранящим информацию о создании образов машинных кодов, и собирают из структур данных операционной системы данные о создании образа машинного кода, полученного для антивирусной проверки; обнаруживают родительскую сборку, где родительской сборкой является сборка, на основании которой создан полученный образ, используя сличение данных собранных на этапах ранее; осуществляют антивирусную проверку обнаруженной родительской сборки; исключают образ машинного кода из антивирусной проверки, распространив результаты антивирусной проверки родительской сборки на образ машинного кода. 2 з.п. ф-лы, 9 ил.

Изобретение относится к системе и способу применения политик шифрования данных. Технический результат заключается в защите данных жестких дисков. Система содержит сервер администрирования, предназначенный для задания политик шифрования данных жестких дисков на компьютере, включающих опции шифровать/расшифровать жесткие диски с помощью ключей шифрования, автоматическое создание учетных записей РВА, критерии автоматического создания учетных записей РВА, при этом компьютер содержит средство защиты, связанное с сервером администрирования и предназначенное для получения политик шифрования данных от сервера администрирования, определения списка учетных записей пользователей в операционной системе, для которых необходимо создать учетные записи РВА в соответствии с полученными в политике критериями автоматического создания учетных записей РВА, создания учетных записей РВА для каждой обнаруженной учетной записи пользователя, создания ключей шифрования, передачи средству шифрования ключей шифрования и политик шифрования; средство шифрования, связанное со средством защиты, предназначенное для шифрования/расшифровки данных с помощью ключей шифрования в соответствии с политиками шифрования. 2 н. и 6 з.п. ф-лы, 1 табл., 6 ил.

Изобретение относится к области управления доступом к пользовательскому интерфейсу. Технический результат – обеспечение управления доступом к пользовательским интерфейсам, каждый из которых обеспечивает разный уровень управления окружающей средой. Система для управления доступом к пользовательскому интерфейсу для управления окружающей средой при помощи системы создания окружающей среды содержит: несколько пользовательских интерфейсов; несколько кодов управления доступом, при этом каждый код управления доступом назначен одному из нескольких пользовательских интерфейсов; средство управления доступом к пользовательскому интерфейсу, приспособленное для приема кода управления доступом из нескольких кодов управления доступом и осуществления доступа к пользовательскому интерфейсу, назначенному принятому коду управления доступом; при этом каждый пользовательский интерфейс приспособлен для обеспечения степени управляемости, связанной с принятым кодом управления доступом для системы создания окружающей среды, предлагая большее или меньшее количество выбираемых настроек окружающей среды и средств управления для создания и регулирования различных окружающих сред. 6 н. и 8 з.п. ф-лы, 2 ил.

Изобретение относится к области вычислительных устройств и, в частности, к способу, установке и устройству процесса разблокировки для терминала. Технический результат заключается в повышении безопасности доступа к электронному устройству. Технический результат достигается за счет определения, принадлежит ли текущий пользователь разблокировки к первой предварительно установленной группе пользователей в соответствии с инструкцией разблокировки, получения и сохранения информации о текущем пользователе разблокировки, если текущий пользователь разблокировки не принадлежит к первой предварительно установленной группе пользователей, разблокировке терминала, если текущий пользователь разблокировки принадлежит к первой предварительно установленной группе пользователей, отображения сохраненной информации о и/или записанной операции пользователя разблокировки, который не принадлежит к первой предварительно установленной группе пользователей, вывода информации приглашения, приглашающую отменить операцию, и после того, как информация приглашения подтверждается, полной или выборочной отмены операции. 3 н. и 10 з.п. ф-лы, 15 ил.

Изобретение относится к способу блокировки доступа к данным на мобильных устройствах с использованием интерфейса программирования приложений, который используется для создания приложений для пользователей с ограниченными возможностями (Accessibility API). Технический результат заключается в повышении безопасности работы пользователя на мобильном устройстве. Предложен способ, в котором регистрируют приложение безопасности в качестве системной службы операционной системы на мобильном устройстве для пользователей с ограниченными возможностями (Accessibility Service); перехватывают с использованием Accessibility API интерфейса данные, полученные приложением, выполняющимся в изолированной среде; определяют категорию перехваченных данных; перехватывают с использованием Accessibility API интерфейса события приложения, выполняющегося в изолированной среде и данные которого были перехвачены на этапе ранее, при этом информация о событии содержит тип события; определяют политику блокировки доступа к данным на основании определенной категории перехваченных данных и информации о перехваченном событии; блокируют доступ к данным с использованием Accessibility API интерфейса, если доступ к данным запрещен в соответствии с определенной ранее политикой блокировки доступа к данным. 1 з.п. ф-лы, 3 ил.

Изобретение относится к области предотвращения работы программ, которые содержат нежелательный для пользователей функционал. Техническим результатом является обеспечение отмены установки приложений, которые выполняют нежелательные действия приложения. Способ отмены установки приложений, которые выполняют нежелательные действия, заключается в следующем: а) обнаруживают попытку установки приложения; б) запускают установку обнаруженного приложения в защищенной среде, где защищенная среда включает эмулятор; в) определяют окна программы установки приложения и связанные с этими окнами элементы графического интерфейса; г) определяют нежелательные действия во время установки приложения в защищенной среде, при этом нежелательные действия приложения совершаются без ведома пользователя, перед выполнением нежелательного действия не происходит отображения каких-либо элементов графического интерфейса приложения, связанных с определенными на этапе ранее окнами программы установки приложения, и нежелательные действия включают по меньшей мере одно из: изменение стартовой страницы браузера; изменение браузера по умолчанию; изменение параметров прокси-сервера; добавление новой панели инструментов в браузере; создание ключа автозапуска в реестре; добавление иконок на рабочий стол; попытка доступа к файлам из личных папок пользователя; наличие в коде приложения ссылок на недоверенные сайты, где от пользователя требуют оплатить ключ для дальнейшей работы приложения или предоставить личную информацию; д) отменяют установку приложения, если определено по меньшей мере одно нежелательное действие. 2 з.п. ф-лы, 6 ил., 2 табл.
Изобретение относится к системам информационной безопасности. Технический результат – повышение уровня защищенности информационной системы за счет снижения вероятности ошибочной идентификации пользователей. Способ перманентной аутентификации личности и состояния пользователя компьютера на основании паттернов поведения, заключающийся в регистрации с заданным временным шагом по отдельности, совместно или в любой комбинации параметров клавиатурного почерка: частоты ошибок набора тех или иных символов, последовательности букв, микропауз между парами символов, скорости управления курсором на экране монитора, последовательности и пауз между кликами кнопками мышки или иного манипулятора управления с участием графического интерфейса, последовательности действий при запуске или работе с конкретными приложениями, а также параметров вариабельности сердечного ритма, кожно-гальванической реакции, частоты дыхательных движений; при отклонении любого из анализируемых показателей или нескольких из них в любой совокупности от базового подмножества совершается одно или несколько следующих действий в любой комбинации: блокируется доступ к задаче, с которой работал пользователь, блокируется доступ к приложению, с которым работал пользователь, блокируется доступ к компьютеру, с которым работал пользователь, сообщается в службу безопасности, при этом в ходе обучения аутентификационного алгоритма происходит фиксирование в течение не менее чем трех дней базовых параметров работы пользователя как с компьютером в целом, так и с отдельными приложениями при решении тех или иных задач, формируемых с заданной в рамках концепции безопасности вероятностью, подмножество состояний, при которых аутентификация пользователя как личности и аутентификация его психофизиологических состояний как условий, необходимых для конкретного рода деятельности, считается пройденной; в ходе работы пользователя происходит постоянный мониторинг с заданным в рамках концепции безопасности временным шагом всех изначально заданных базовых параметров работы.

Изобретение относится к области криптографии. Технический результат – эффективное шифрование данных. Способ шифрования данных, включающий шаги: реализации в памяти по меньшей мере одного вычислительного устройства распределителя ключей, сконфигурированного на создание и распределение по меньшей мере одного ключа шифрования, используемого для шифрования данных, реализации в памяти, по меньшей мере одного вычислительного устройства, по меньшей мере одного файла ключей, привязанного по меньшей мере к одному зарегистрированному пользователю и имеющего поле ключа, содержащее псевдослучайную строку байтов и уникальное значение хэш-функции, используемое для привязки файла ключей по меньшей мере к одному пользователю, формирования набора базовых символов, случайно выбранных из поля ключа, при этом набор базовых символов является поднабором поля ключа, генерирования ключа шифрования путем ввода базовых символов в алгоритм шифрования, приема данных, подлежащих шифрованию, и шифрования данных с использованием ключа шифрования. 3 н. и 17 з.п. ф-лы, 10 ил.
Наверх