Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением posix-совместимой операционной системы

Изобретение относится к области обнаружения скрытого программного обеспечения в вычислительных системах, работающих под управлением POSIX-совместимых операционных систем, например Solaris, Android и др. Техническим результатом является повышение защищенности вычислительной системы. Раскрыт способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы, причем операционная система, помимо ядра, включает следующие программные средства: 1-е средство, выполненное с возможностью определять количество инсталлированных приложений в вычислительной системе, 2-е средство, выполненное с возможностью определять количество запущенных процессов в вычислительной системе, 3-е средство, выполненное с возможностью определять для процессов статусы pid, name, uid, groups, state, 4-е средство, выполненное с возможностью сравнивать результаты работы 1-го, 2-го и 3-го средств; при этом способ заключается в том, что получают с помощью 1-го средства количество инсталлированных приложений в вычислительной системе; получают с помощью 2-го средства количество запущенных процессов в вычислительной системе; получают с помощью 3-го средства значения статусов pid, name, uid, groups, state каждого процесса; выполняют с помощью 4-го средства для каждого процесса, список которых получен с помощью 3-го средства, следующие действия: сравнивают значение статуса groups, полученное из 3-го средства, с нулем; если значение статуса groups равно нулю - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов; сравнивают значения статусов uid и name, полученные из 3-го средства, с соответствующими значениями uid и name, полученными из 1-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов; сравнивают значения статусов pid, name и state, полученные из 3-го средства, с соответствующими значениями pid, name и state, полученными из 2-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - процесс считается скрытым и сведения о процессе заносятся в отчет о наличии скрытых приложений и процессов; предоставляют отчет о наличии скрытых приложений и процессов; удаляют из вычислительной системы выявленные скрытые приложения.

 

Область техники, к которой относится изобретение

Предлагаемое изобретение относится к вычислительной технике и, в частности, к способам обнаружения скрытого программного обеспечения в вычислительных системах, работающих под управлением POSIX-совместимых операционных систем, например Solaris, Android и др.

Уровень техники

В современных вычислительных системах, работающих под управлением POSIX-совместимых операционных систем (ОС), возможно появление программ, предназначенных для сокрытия в системе определенных объектов либо активностей (руткитов). Чаще всего такая активность связана с работой вредоносного программного обеспечения (ПО). Сокрытию, как правило, подвергаются ключи реестра (например, отвечающие за автозапуск объектов), файлы, процессы в памяти зараженного компьютера, сетевая активность.

Существуют решения, направленные на обнаружение процессов или активностей в вычислительной системе и способные выявлять скрытые процессы, но не уведомлять об этом пользователя.

Так, например, в составе ОС Android имеются штатные программные средства Activity Manager, Package Manager и Procfs [1, 2, 3].

Activity Manager является системным вызовом, обрабатывающим все активности, запущенные в системе. Простые приложения состоят из одной активности. Более сложные приложения могут иметь несколько окон, т.е. они состоят из нескольких активностей, которыми надо уметь управлять и которые могут взаимодействовать между собой. Работает Activity Manager следующим образом: после запроса пользователя на запуск приложения, например, нажатием на соответствующую иконку в меню, срабатывает onClick() событие, вызывающее метод startActivity() у объекта Activity Manager. Поскольку приложение не может напрямую вызвать обработчик, оно формирует и отправляет запрос на Binder, который, в свою очередь, перенаправляет запрос на Service Manager и отправляет обработчик приложению. Таким образом, использование Activity Manager дает возможность контролировать список запущенных приложений, их имена и идентификаторы процессов.

Недостатком Activity Manager является возможность использование фоновых процессов, не имеющих активностей, что позволяет обойти контроль.

Package Manager работает следующим образом: информация об установленном приложении записывается в XML файл [4], затем Package Manager контролирует этот файл, добавляя и удаляя строки по мере установки и удаления пакетов. Получение списка процессов происходит путем чтения файла. Таким образом, использование Package Manager дает возможность контролировать список установленных приложений, а также просмотреть имя приложения, состояние и набор предоставленных приложению разрешений.

Недостатком Package Manager является возможность модификация XML файла, что также позволяет обойти контроль.

Программа Proсfs позволяет получить доступ к информации о системных процессах, обрабатываемых в ядре ОС. При запуске Procfs создает двухуровневое представление пространств процессов. На верхнем уровне процессы представляют собой директории, именованные в соответствии с их идентификатором - pid. Также на верхнем уровне располагается ссылка на директорию, соответствующую процессу, выполняющему запрос; ссылка может иметь различное имя в различных ОС.

Недостатком Procfs является возможность модификация прошивки с целью внесения приложения в список системных, что позволяет обеспечить сокрытие приложения.

Описанные способы приняты за прототип.

Раскрытие изобретения

Техническим результатом является повышение защищенности вычислительной системы.

Для этого предлагается способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы, причем операционная система, помимо ядра, включает следующие программные средства:

- 1-е средство, выполненное с возможностью определять количество инсталлированных приложений в вычислительной системе,

- 2-е средство, выполненное с возможностью определять количество запущенных процессов в вычислительной системе,

- 3-е средство, выполненное с возможностью определять для процессов статусы pid, name, uid, groups, state,

- 4-е средство, выполненное с возможностью сравнивать результаты работы 1-го, 2-го и 3-го средств;

способ, заключающийся в том, что

- получают с помощью 1-го средства количество инсталлированных приложений в вычислительной системе;

- получают с помощью 2-го средства количество запущенных процессов в вычислительной системе;

- получают с помощью 3-го средства значения статусов pid, name, uid, groups, state каждого процесса;

- выполняют с помощью 4-го средства для каждого процесса, список которых получен с помощью 3-го средства, следующие действия:

○ сравнивают значение статуса groups, полученное из 3-го средства, с нулем; если значение статуса groups равно нулю - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;

○ сравнивают значения статусов uid и name, полученные из 3-го средства, с соответствующими значениями uid и name, полученными из 1-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;

○ сравнивают значения статусов pid, name и state, полученные из 3-го средства, с соответствующими значениями pid, name и state, полученными из 2-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - процесс считается скрытым и сведения о процессе заносятся в отчет о наличии скрытых приложений и процессов;

- предоставляют отчет о наличии скрытых приложений и процессов.

Для работы способа необходимо обеспечить наличие в системе четырех средств:

- 1-е средство, выполненное с возможностью определять количество инсталлированных приложений в вычислительной системе,

- 2-е средство, выполненное с возможностью определять количество запущенных процессов в вычислительной системе,

- 3-е средство, выполненное с возможностью определять для процессов статусы pid, name, uid, groups, state,

- 4-е средство, выполненное с возможностью сравнивать результаты работы 1-го, 2-го и 3-го средств.

В основе способа лежит последовательный анализ полей каждого из приложений, список которых получен при помощи механизма, используемого в штатном программном средстве типа Proсfs.

Опытным путем установлено, что приложения, которые были установлены неофициальным путем (в обход официальных центров дистрибуции), имеют нулевое значение статуса groups. Механизм Procfs позволяет определить значение этого статуса. В случае, если значение статуса groups равно нулю - приложение считается скрытым, а факт сокрытия заносится в отчет.

Механизм Package Manager отслеживает установленные приложения. Если приложение было удалено - то есть отсутствует в списках Package Manager - оно не должно встретиться в Procfs. Для определения необходимо сравнить значения статусов name и uid.

В случае, если значения статусов name и uid существуют и совпали - приложение считается скрытым, а факт сокрытия заносится в отчет.

Activity Manager отслеживает запущенные активности. На этом этапе происходит две проверки:

- во-первых, запущенное приложение должно быть установлено, следовательно, имеет uid, что может быть проверено путем сравнения пары name-uid, полученной с помощью механизма Activity Manager, с парой name-uid, полученной с помощью механизма procfs;

- во-вторых, запущенное приложение должно иметь активность, следовательно, имеет pid и состояние «Running», что может быть проверено путем сравнения группы name-pid-state, полученной с помощью механизма Activity Manager с группой name-pid-state, полученной с помощью механизма Procfs.

В случае если хотя бы одна из проверок неуспешна (т.е. соответствующие поля не совпали или хотя бы одно из них не определено), то приложение считается скрытым, а факт сокрытия заносится в отчет.

Таким образом, предложенный способ позволяет выявить скрытые приложения, которые известными способами не могут быть выявлены, и, при необходимости, предпринять меры по удалению (нейтрализации) этих приложений, что повышает защищенность вычислительной системы.

Осуществление изобретения

Реализация предложенного способа может быть осуществлена в вычислительной системе, работающей под управлением любой POSIX-совместимой ОС, например Solaris, Android и др.

Рассмотрим осуществление способа на примере ОС Android 4.2.

В качестве 1-го средства, способного определять количество инсталлированных приложений в вычислительной системе, может быть использована штатная программа Activity Manager.

В качестве 2-го средства, способного определять количество запущенных процессов в вычислительной системе, может быть использована штатная программа Package Manager.

В качестве 3-го средства, способного определять для процессов статусы pid, name, uid, groups, state, может быть использована штатная программа Procfs.

Для подготовки к использованию предлагаемого способа необходимо сформировать 4-е средство, позволяющее сравнивать результаты работы 1-го, 2-го и 3-го средств. Это средство представляет собой программу, которую, зная ее назначение и выполняемые функции, может сформировать специалист в области программирования (программист). Подготовленное 4-е средство после сформирования устанавливается (инсталлируется) в вычислительную систему.

Затем вычислительная система начинает работу в обычном режиме. В ходе ее работы

- получают с помощью 1-го средства количество инсталлированных приложений в вычислительной системе,

- получают с помощью 2-го средства количество запущенных процессов в вычислительной системе,

- получают с помощью 3-го средства значения статусов pid, name, uid, groups, state каждого процесса.

Получение сведений осуществляется 4-м средством путем выполнения запросов ко всем остальным средствам. Все полученные сведения передаются в 4-е средство и образуют текущий список (таблицу).

После этого выполняют с помощью 4-го средства для каждого процесса из текущего списка следующие действия:

○ сравнивают значение статуса groups, полученное из 3-го средства, с нулем; если значение статуса groups равно нулю - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;

○ сравнивают значения статусов uid и name, полученные из 3-го средства, с соответствующими значениями uid и name, полученными из 1-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;

○ сравнивают значения статусов pid, name и state, полученные из 3-го средства, с соответствующими значениями pid, name и state, полученными из 2-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - процесс считается скрытым и сведения о процессе заносятся в отчет о наличии скрытых приложений и процессов.

В результате формируется отчет (например, в виде текстового файла), в котором будут содержаться сведения о скрытых приложениях и процессах в вычислительной системе. Этот отчет может предоставляться администратору вычислительной системы и/или пользователям по выбору.

Реализацию способа можно производить в ходе работы вычислительной системы однократно, в заданные моменты времени или, что более предпочтительно, периодически.

В общем случае, отчет может содержать перечень скрытых приложений и процессов. В этом случае администратор вычислительной системы и/или пользователь, имеющий достаточную квалификацию, будет осведомлен о наличии потенциально вредоносных программ в системе и может, при необходимости, предпринять меры по удалению (нейтрализации) этих приложений и процессов одним из известных методов. Если же отчет пустой, то работа вычислительной системы может продолжаться в обычном режиме.

Источники информации

1. Google Inc. Activity [Электронный ресурс] - Режим доступа к ресурсу: http://developer.android.com/reference/android/app/Activity.html (дата обращения: 27.04.2016).

2. Google Inc. PackageManager [Электронный ресурс] - Режим доступа к ресурсу: http://developer.android.com/reference/android/content/pm/PackageManager.html (дата обращения: 27.04.2016).

3. Devyn С. Johnson. Procfs and the Proc Directory [Электронный ресурс] - Режим доступа к ресурсу: http://www.linux.org/threads/procfs-and-the-proc-directory.4928 (дата обращения: 27.04.2016).

4. Ketan Parmar. In Depth: Android Package Manager and Package Installer. [Электронный ресурс] - Режим доступа к ресурсу: https://dzone.com/articles/depth-android-package-manager (дата обращения: 27.04.2016).

Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы, причем операционная система, помимо ядра, включает следующие программные средства:

1-е средство, выполненное с возможностью определять количество инсталлированных приложений в вычислительной системе,

2-е средство, выполненное с возможностью определять количество запущенных процессов в вычислительной системе,

3-е средство, выполненное с возможностью определять для процессов статусы pid, name, uid, groups, state,

4-е средство, выполненное с возможностью сравнивать результаты работы 1-го, 2-го и 3-го средств;

способ, заключающийся в том, что

получают с помощью 1-го средства количество инсталлированных приложений в вычислительной системе;

получают с помощью 2-го средства количество запущенных процессов в вычислительной системе;

получают с помощью 3-го средства значения статусов pid, name, uid, groups, state каждого процесса;

выполняют с помощью 4-го средства для каждого процесса, список которых получен с помощью 3-го средства, следующие действия:

сравнивают значение статуса groups, полученное из 3-го средства, с нулем; если значение статуса groups равно нулю - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;

сравнивают значения статусов uid и name, полученные из 3-го средства, с соответствующими значениями uid и name, полученными из 1-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;

сравнивают значения статусов pid, name и state, полученные из 3-го средства, с соответствующими значениями pid, name и state, полученными из 2-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - процесс считается скрытым и сведения о процессе заносятся в отчет о наличии скрытых приложений и процессов;

предоставляют отчет о наличии скрытых приложений и процессов;

удаляют из вычислительной системы выявленные скрытые приложения.



 

Похожие патенты:

Изобретение предназначено для обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины. Технический результат настоящего изобретения заключается в обнаружении вредоносных файлов, исполняемых с помощью стековой виртуальной машины, работающей на компьютерной системе, за счет создания и использования кластеров данных анализируемых файлов с использованием данных из кластеров, найденных в базе кластеров безопасных файлов, для обеспечения безопасности компьютерной системы.
Изобретение относится к области обнаружения вредоносных программ для ЭВМ на электронных устройствах. Техническим результатом является повышение эффективности защиты ЭВМ от воздействия вредоносных программ для ЭВМ.

Изобретение относится к защите от несанкционированного доступа к информации. Технический результат - обеспечение одновременной обработки информации с разными уровнями конфиденциальности в двух соответствующих ЭВМ с использованием одного набора устройств для взаимодействия с пользователем и для доступа к разделяемым внешним носителям.

Изобретение относится к области защиты информации в автоматизированных системах, а именно к защите информации в системах электронного документооборота, и может найти применение при организации защищенного юридически значимого информационного обмена документированной информацией.

Изобретение относится к мобильным терминалам. Технический результат заключается в повышении защищенности терминала от несанкционированной разблокировки.

Изобретение относится к компьютерной безопасности. Технический результат заключается в обеспечении совместимости загрузочного диска с новой версией модуля полнодискового шифрования.

Изобретение относится к способу обеспечения безопасности вычислительного устройства. Технический результат заключается в обеспечении безопасности вычислительного устройства, которое достигается путем применения политик безопасности на указанном устройстве в зависимости от текущего уровня знаний пользователя.

Изобретение относится к способу построения системы защиты автоматизированных систем управления критически важными объектами от разрушающих программных воздействий.

Изобретение относится к компьютерной безопасности. Технический результат заключается в обеспечении автоматизированного управления персональными данными пользователя путем изменения параметров доступа к персональным данным в зависимости от выявленных рисков.

Изобретение относится к безопасному подключению мобильных устройств к компьютерам. Технический результат - защита данных пользователя при подключении мобильного устройства к компьютеру.

Изобретение относится к защите от несанкционированного доступа к информации при ее передаче по каналам связи. Технический результат – повышение пропускной способности средств защиты информации. Для этого в способе многопоточной защиты сетевого трафика дополнительно выполняется в зависимости от параметров, указанных в заголовках сетевых пакетов, распределение поступающих сетевых пакетов между блоками-вычислителями, выполняющими кодирование информационной части в сетевых пакетах, и адаптивное управление множеством блоков-вычислителей, количество которых динамически изменяется в зависимости от текущей загрузки вычислительных ресурсов (процессора и памяти) компьютерной системы. 2 н.п. ф-лы, 1 ил.

Изобретение относится к способу признания транзакций доверенными. Технический результат заключается в уменьшении вероятности совершения ошибки первого рода при проверке транзакции на доверенность, а также в упрощении процедуры проверки безопасности транзакций. Предложен способ, в котором получают с помощью средства анализа по компьютерной сети от банка-эмитента параметры по меньшей мере одной транзакции пользователя; получают с помощью средства анализа от банка-эмитента атрибуты пользователя; сохраняют с помощью средства анализа полученные параметры по меньшей мере одной транзакции пользователя и атрибуты пользователя в базу данных транзакций; проверяют с помощью средства проверки выполнение по меньшей мере одного условия доверия из базы данных условий доверия; повторяют этапы до момента, пока не наступит по меньшей мере следующее условие проверки: в базе данных транзакций пользователя подряд сохранено заданное количество доверенных транзакций пользователя, для которых в базе данных транзакций определен флаг доверия; признают последующую транзакцию пользователя доверенной. 2 н. и 12 з.п. ф-лы, 3 ил.

Изобретение относится к системе и способу обнаружения аномалии в технологической системе. Технический результат заключается в обеспечении обнаружения аномалии системой контроля в технологической системе на основании обнаруженного отсутствия функциональной взаимосвязи элементов технологической системы. Система содержит технологическую систему, реализующую через изменение состояний субъектов управления изменение состояния объекта управления, кибернетическую систему контроля, моделирующую изменение состояния технологической системы, состоящую из взаимосвязанных кибернетических блоков, где каждый кибернетический блок в отдельности моделирует изменение состояния отдельного элемента технологической системы, при этом взаимосвязь кибернетических блоков в кибернетической системе повторяет взаимосвязь элементов технологической системы, изменение состояния которых блоки моделируют, модуль контроля, связанный с технологической системой и с кибернетической системой контроля. 2 н. и 17 з.п. ф-лы, 8 ил.

Изобретение относится к области категоризации образов сборок. Техническим результатом является повышение безопасности устройства путем ограничения доступа образа машинного кода, имеющего категорию доверия недоверенный, к ресурсам, предоставляемым операционной системой. Способ ограничения доступа образа машинного кода к ресурсам, предоставляемым операционной системой, в котором: а) ограничивают доступ на запись к по меньшей мере одному образу машинного кода; б) определяют родительскую сборку, где родительской сборкой является сборка, на основании которой создан образ, доступ на запись к которому ограничен; в) заменяют образ, доступ к которому ограничен, образом, созданным на основании определенной родительской сборки; г) определяют категорию доверия определенной родительской сборки; д) назначают категорию доверия, определенную для родительской сборки обновленному образу машинного кода; е) ограничивают доступ образа машинного кода, имеющего категорию доверия недоверенный, к ресурсам, предоставляемым операционной системой. 3 з.п. ф-лы, 9 ил.

Изобретение относится к компьютерной безопасности. Технический результат заключается в сокращении количества антивирусных записей на компьютерах пользователей, использование которых антивирусным приложением вызывает ложные срабатывания. Предложен способ управления антивирусными записями на множестве компьютеров пользователей, в котором в течение заданного времени собирают параметры антивирусной записи со статусом «рабочая» при ее срабатывании на компьютерах пользователей; собирают статистику срабатывания антивирусной записи и определяют общее количество компьютеров пользователей, на которых сработала антивирусная запись; с использованием параметров антивирусной записи и статистики срабатывания антивирусной записи определяют принадлежность антивирусной записи к классу антивирусных записей, использование которых вызывает ложное срабатывание, если определенное общее количество компьютеров пользователей превышает заданное пороговое значение; изменяют статус антивирусной записи с «рабочей» на «тестовую» и отправляют антивирусному приложению, установленному на компьютерах пользователей, измененный статус антивирусной записи. 2 н. и 28 з.п. ф-лы, 9 ил.

Изобретение относится к области управления полномочиями. Технический результат – снижение вычислительной нагрузки, связанной с предотвращением модификации конфигураций терминала неавторизованным пользователем. Способ управления полномочиями, включающий: получение информации об отпечатке пальца пользователя на основе операции касания пользователем области заранее заданного интерфейса терминала; определение, является ли пользователь авторизованным пользователем, в соответствии с полученной информацией об отпечатке пальца; и, если пользователь является неавторизованным пользователем, запрет предоставления полномочий для модификации конфигураций терминала пользователем; при этом операция касания включает операцию длительного нажатия; процедура получения информации об отпечатке пальца пользователя на основе операции касания экрана пользователем области заранее заданного интерфейса терминала включает: контроль событий касания пользователем области заранее заданного интерфейса терминала; определение, является ли контролируемое событие касания событием длительного нажатия; и, если контролируемое событие касания является событием длительного нажатия, получение информации о координате касания в процессе события длительного нажатия и информации об отпечатке пальца пользователя в позиции координаты касания. 3 н. и 10 з.п. ф-лы, 10 ил.

Изобретение относится к системе и устройству обработки информации. Технический результат заключается в повышении безопасности при использовании системы обработки информации из терминала. Устройство обработки информации накапливает задания, принятые от оконечного устройства; получает информацию о пользователе, которая идентифицирует пользователя оконечного устройства, и первую идентификационную информацию, сохраненную в устройстве хранения идентификационной информации оконечного устройства, которая идентифицирует оконечное устройство; определяет, соответствует ли первая идентификационная информация второй идентификационной информации, причем вторая идентификационная информация включена в первое задание, принятое и накопленное посредством устройства обработки информации, при этом вторая идентификационная информация идентифицирует оконечное устройство, которое отправило первое задание на устройство обработки информации, а первое задание включает в себя другую информацию о пользователе, которая соответствует полученной информации о пользователе; и исполняет первое задание, если первая идентификационная информация соответствует второй идентификационной информации. 4 н. и 7 з.п. ф-лы, 25 ил.

Настоящее изобретение относится к устройству управления доступом к компьютерной системе, устройство содержит по меньшей мере один многофункциональный порт (Ui), который может быть соединен с различными категориями периферийных устройств, и интерфейс доступа (INT), который может быть соединен с компьютерной системой, при этом устройство содержит средство управления доступом (Масс), соединенное между многофункциональным портом (Ui) и интерфейсом (INT), указанное средство управления доступом физически выполнено с возможностью авторизации доступа к интерфейсу со стороны периферийного устройства (Р), соединенного с многофункциональным портом (Ui), только если указанное периферийное устройство принадлежит к категории периферийных устройств, индивидуально и постоянно ассоциированной с многофункциональным портом (Ui), соединенным с периферийным устройством. Настоящее устройство относится к соответствующему способу управления доступом. 3 н. и 10 з.п. ф-лы, 5 ил.

Изобретение относится к устройству обработки информации преимущественно в игровом автомате. Технический результат – обеспечение возможности регистрации нескольких пользователей с возможностью получения каждым из них награды. Изобретение содержит секцию 102 связи, устройство 10 обработки информации, секцию 150 хранения информации о зарегистрированных пользователях для хранения биометрической информации пользователя, зарегистрированную в устройстве 10 обработки информации, участок 140 биометрической аутентификации, секцию 150 хранения информации зарегистрированных пользователей для определения, является ли пользователь, изображение которого получено, пользователем, зарегистрированным в устройстве 10 обработки информации. После определения, что пользователь, изображение которого получено, является пользователем, зарегистрированным в устройстве 10 обработки информации, контроллер 120 входа в систему выполняет процесс входа пользователя в систему или, более конкретно, сохраняет информацию для идентификации устройства, содержащегося в полученном изображении, и информацию для идентификации пользователя в участок 142 хранения информации для входа пользователей в систему, связывая эти элементы информации друг с другом. 4 н. и 4 з.п. ф-лы, 11 ил.

Изобретение относится к области защиты от компьютерных угроз, а именно к способам обнаружения мошеннической активности на устройстве пользователя. Технический результат настоящего изобретения заключается в защите удаленного банковского сервера от мошеннической активности, которая достигается путем блокирования взаимодействия устройства пользователя с удаленным банковским сервером, если была обнаружена мошенническая активность во время взаимодействия устройства пользователя с удаленным банковским сервером. Способ обнаружения мошеннической активности на устройстве пользователя при взаимодействии вычислительного устройства пользователя с удаленным банковским сервером содержит этапы, на которых: a) собирают при помощи средства определения поведения данные о поведении пользователя во время взаимодействия пользователя с по меньшей мере одной группой элементов графического интерфейса приложения, которые используются для взаимодействия с удаленным банковским сервером; при этом целью взаимодействия с удаленным банковским сервером является осуществление транзакции с участием удаленного банковского сервера; при этом данными о поведении пользователя является информация, которую получают при помощи по меньшей мере устройств ввода вычислительного устройства; b) вычисляют при помощи средства классификации поведения коэффициент аномальности поведения пользователя для каждой группы элементов графического интерфейса, данные о поведении пользователя во время взаимодействия с которой были собраны на этапе ранее; при этом коэффициент аномальности поведения пользователя представляет собой численное значение, чем больше которое, тем менее характерно поведение, данные о котором были собраны на этапе ранее, упомянутому пользователю; с) обнаруживают при помощи средства принятия решения мошенническую активность при взаимодействии устройства пользователя с удаленным банковским сервером, если комбинация коэффициентов аномальности поведения пользователя, вычисленных на этапе ранее, не превышает установленное пороговое значение; d) блокируют при помощи средства принятия решения взаимодействие устройства пользователя с удаленным банковским сервером, если была обнаружена мошенническая активность при взаимодействии устройства пользователя с удаленным банковским сервером. 1 з.п. ф-лы, 4 ил.

Изобретение относится к области обнаружения скрытого программного обеспечения в вычислительных системах, работающих под управлением POSIX-совместимых операционных систем, например Solaris, Android и др. Техническим результатом является повышение защищенности вычислительной системы. Раскрыт способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы, причем операционная система, помимо ядра, включает следующие программные средства: 1-е средство, выполненное с возможностью определять количество инсталлированных приложений в вычислительной системе, 2-е средство, выполненное с возможностью определять количество запущенных процессов в вычислительной системе, 3-е средство, выполненное с возможностью определять для процессов статусы pid, name, uid, groups, state, 4-е средство, выполненное с возможностью сравнивать результаты работы 1-го, 2-го и 3-го средств; при этом способ заключается в том, что получают с помощью 1-го средства количество инсталлированных приложений в вычислительной системе; получают с помощью 2-го средства количество запущенных процессов в вычислительной системе; получают с помощью 3-го средства значения статусов pid, name, uid, groups, state каждого процесса; выполняют с помощью 4-го средства для каждого процесса, список которых получен с помощью 3-го средства, следующие действия: сравнивают значение статуса groups, полученное из 3-го средства, с нулем; если значение статуса groups равно нулю - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов; сравнивают значения статусов uid и name, полученные из 3-го средства, с соответствующими значениями uid и name, полученными из 1-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов; сравнивают значения статусов pid, name и state, полученные из 3-го средства, с соответствующими значениями pid, name и state, полученными из 2-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - процесс считается скрытым и сведения о процессе заносятся в отчет о наличии скрытых приложений и процессов; предоставляют отчет о наличии скрытых приложений и процессов; удаляют из вычислительной системы выявленные скрытые приложения.

Наверх