Система и способ обнаружения вредоносных файлов на распределённой системе виртуальных машин

Изобретение предназначено для антивирусной проверки файлов. Технический результат настоящего изобретения заключается в повышении скорости выполнения антивирусной проверки файлов за счет распределения файлов, предназначенных для выполнения антивирусной проверки, по виртуальным машинам. Данный результат достигается с помощью использования системы проведения антивирусной проверки файлов на виртуальных машинах, при этом упомянутая система содержит: «защищаемую виртуальную машину», которая взаимодействует с двумя «виртуальными машинами защиты». Для «виртуальных машин защиты» определяется аппроксимационная зависимость эффективности антивирусной проверки, на основании которой выбирается конкретная «виртуальная машина защиты», для которой определяется время начала выполнения антивирусной проверки файлов, полученных от «виртуальной машины защиты». 2 н. и 12 з.п. ф-лы, 3 ил.

 

Область техники

Изобретение относится к антивирусным технологиям, а более конкретно к системам и способам обнаружения вредоносных файлов на распределенной системе «защищаемых виртуальных машин».

Уровень техники

Бурное развитие в последнее десятилетие компьютерных, в том числе и облачных, технологий, а также широкое распространение разнообразных вычислительных устройств (персональных компьютеров, ноутбуков, планшетов, смартфонов и т.д.), послужило мощным стимулом для использования упомянутых устройств во всевозможных сферах человеческой деятельности и для решения огромного количества задач (от интернет-серфинга и общения через интернет до банковских переводов и ведения электронного документооборота). Параллельно с ростом количества вычислительных устройств быстрыми темпами росли и объемы программного обеспечения, работающего на этих устройствах, в том числе и нелегального, включающего в себя вредоносные программы.

В настоящий момент существует огромное количество разновидностей вредоносных программ. Одни крадут с устройств пользователей их персональные и конфиденциальные данные (такие как логины и пароли, банковские реквизиты, электронные документы). Другие формируют из устройств пользователей так называемые бот-сети (англ. botnet) для подбора паролей методом грубой силы (англ. bruteforce) или атак, таких как отказ в обслуживании (англ. DDOS - Denial of Service), на другие компьютеры или компьютерные сети. Третьи навязывают пользователям платные сервисы через рекламу, демонстрируемую с высокой периодичностью, платные подписки, отправку CMC на платные номера и т.д.

Для борьбы с вредоносными программами используются программы - антивирусы. Эффективная борьба с вредоносными программами в первую очередь требует своевременного обнаружения файлов, содержащих код вредоносных программ, для чего антивирусные программы применяют разнообразные технологии, такие как сигнатурный, эвристический и проактивный анализ, белые и черные списки и т.д. При этом каждая упомянутая выше технология обладает собственной эффективностью обнаружения вредоносных файлов, заключающейся в потенциальной возможности обнаружить те или иные вредоносные файлы, используя заранее предоставленные для этой цели вычислительные ресурсы компьютерной системы, на которой она работает.

В настоящее время объемы данных (в том числе и файлы), обрабатываемые компьютерными системами, настолько огромны, что их антивирусная проверка может занимать ощутимое время и требовать значительных вычислительных ресурсов, что особенно критично для пользователей персональных компьютеров. Поэтому для повышения эффективности обнаружения вредоносных файлов применяются в частности методы, повышающие эффективность использования вычислительных ресурсов компьютерных систем, на которых происходит поиск вредоносных файлов. С этой целью используются распределенные системы поиска вредоносных файлов, состоящие из нескольких серверов, на каждом из которых выполняется проверка лишь части файлов, требующих проверки.

Например, в публикации US 20050149749 A1 описана технология распределенной антивирусной проверки файлов с использованием нескольких вычислительных систем (клиентов). Задачи антивирусной проверки распределяются среди клиентов специальным централизованным балансировщиком задач. В качестве клиентов могут выступать виртуальные машины, что позволяет работать нескольким клиентам на одном физическом компьютере. Такой подход решает задачу повышения эффективности обнаружения вредоносных файлов, но при этом не повышает, и даже снижает надежность осуществляемого обнаружения вредоносных файлов, поскольку вся технология опирается на централизованный балансировщик задач, от работы которого целиком зависит и задача поиска вредоносных файлов.

В другой публикации US 8875294 B2 описана технология использования облачных технологий для поиска вредоносных файлов. Для анализа файлов используется сеть распределенных серверов (облако). Задачи антивирусной проверки распределяются по серверам в зависимости от нагрузки упомянутых серверов, для чего используется единый распределительный сервер. Такой подход при некоторых условиях (устойчивое соединение, отсутствие загрузки серверов и т.д.) решает задачу повышения эффективности обнаружения вредоносных файлов, но при этом довольно требователен к компьютерным ресурсам, упомянутым выше, и зависит от работы единого распределительного сервера, что негативно сказывается на надежность проводимой антивирусной проверки файлов.

Хотя описанные выше способы работы хорошо справляются с задачами распределенной антивирусной проверки файлов (особенно, когда средства антивирусной проверки работаю на отдельных компьютерных системах), их эффективность зачастую оказывается слишком низкой в случае большого количества файлов, требующих антивирусной проверки (из-за ограничений, накладываемых на количество файлов, которые может обработать балансировщик задач), средств проверки, выполняющих упомянутую антивирусную проверку (из-за ограничений, накладываемых на вычислительные ресурсы, предоставляемые каждому средству проверки). Кроме того, в случае работы в виртуальном окружении, страдает отказоустойчивость распределенной системы антивирусной проверки файлов, поскольку в виртуальном окружении не реализуется независимость и заменимость средств, осуществляющих антивирусную проверку файлов.

Настоящее изобретение позволяет решать задачу обнаружения вредоносных файлов на распределенной системе «защищаемых виртуальных машин».

Раскрытие изобретения

Изобретение предназначено для антивирусной проверки файлов.

Технический результат настоящего изобретения заключается в повышении скорости выполнения антивирусной проверки файлов за счет распределения файлов, предназначенных для антивирусной проверки, по виртуальным машинам, на которых выполняется антивирусная проверка.

Еще один технический результат настоящего изобретения заключается в гарантированности выполнения антивирусной проверки файлов, размещенных на виртуальных машинах, на которых выполняется антивирусная проверка.

Данный результат достигается с помощью использования системы обнаружения вредоносных файлов на виртуальных машинах, при этом упомянутая система содержит: по крайней мере два средства «тонкий клиент», установленные на виртуальных машинах, именуемых далее «защищаемыми виртуальными машинами», при этом каждое средство «тонкий клиент» взаимодействует по крайней мере с двумя средствами «сервер защиты» и в свою очередь содержит: средство сбора, предназначенное для: перехвата информации, содержащей характеристики вычислительных ресурсов по меньшей мере двух «виртуальных машин защиты», на которой работает средство «сервер защиты», при этом упомянутая информация распространяется по компьютерной сети средством передачи, передачи перехваченной информации средству выбора; упомянутое средство выбора, предназначенное для: вычисления значения скорости выполнения антивирусной проверки для каждого средства проверки, содержащегося на средстве «сервер защиты», на основании полученной информации, выбора средства «сервера защиты» на основании сравнения вычисленных значений скоростей выполнения антивирусной проверки для средств проверки, передачи информации о выбранном средстве «сервера защиты» средству формирования задач; упомянутое средство формирования задач, предназначенное для: определения по меньшей мере одного файла, содержащегося на «защищаемой виртуальной машине», для выполнения антивирусной проверки; передачи определенных файлов выбранному средству «сервер защиты»; по крайней мере два средства «сервер защиты», установленные на виртуальных машинах, именуемых далее «виртуальными машинами защиты», и предназначенные для выполнения антивирусной проверки файлов, при этом каждое средство «сервер защиты» содержит: упомянутое средство передачи, предназначенное для: определения характеристик вычислительных ресурсов «виртуальной машины защиты», на которой установлено средство «сервер защиты»; распространения по компьютерной сети информации, содержащей определенные характеристики; средство управления задачами, предназначенное для: определения для каждого полученного файла доступности средства проверки для выполнения антивирусной проверки упомянутого файла в момент передачи упомянутого файла средству проверки; передачи упомянутого файла в случае недоступности средства проверки текущей «виртуальной машины защиты» средству управления задачами другой «виртуальной машины защиты» для проведения антивирусной проверки; передачи упомянутого файла в случае доступности средства проверки текущей «виртуальной машины защиты» упомянутому средству проверки; средство проверки, предназначенное для: выполнение антивирусной проверки полученных файлов; вынесения вердикта об обнаружении вредоносного файла по результатам выполненной антивирусной проверки.

В другом частном случае реализации системы передача файлов от средства формирования задач средству проверки осуществляется посредством очереди задач «сервера защиты», где для каждого файла, полученного от средства формирования задач, вычисляется порядковый номер, зависящий от характеристик вычислительных ресурсов «виртуальной машины защиты», в соответствии с которым впоследствии файлы передаются средству проверки.

Еще в одном частном случае реализации системы в качестве характеристик вычислительных ресурсов «виртуальной машины защиты» выступает по меньшей мере: время нахождения по меньшей мере одного файл в очереди задач «сервера защиты»; время, прошедшее между определением по меньшей мере одного файла средством формирования задач до вынесения вердикта средством проверки; размер очереди задач «сервера защиты»; вычислительная мощность «виртуальной машины защиты».

В другом частном случае реализации системы качестве вычислительной мощности «виртуальной машины защиты» выступает по меньшей мере: объем оперативной памяти, предоставляемый операционной системой «виртуальной машиной защиты» «серверу защиты»; производительность компьютерной системой, на которой работает «виртуальная машина защиты».

Еще в одном частном случае реализации в качестве скорости выполнения антивирусной проверки «сервера защиты» выступает по меньшей мере мера центральной тенденции (measure of central tendency): времени нахождения файла в очереди задач «сервера защиты»; времени, прошедшего между определением файла средством формирования задач до вынесения вердикта средством проверки; скорости заполнения очереди задач «сервера защиты».

В другом частном случае реализации системы выбирают по меньшей мере один «сервер защиты» на основании сравнения вычисленных скоростей выполнения антивирусной проверки, удовлетворяющий по меньшей мере одному критерию, по которому: вычисленная средняя скорость антивирусной проверки выбранных «серверов защиты» больше средней скорости антивирусной проверки всех оставшихся «серверов защиты», участвующих в выборе; вычисленная скорость выполнения антивирусной проверки выбранного «сервера защиты» является наибольшей; вычисленная скорость выполнения антивирусной проверки выбранного «сервера защиты» выше установленного порогового значения; размер очереди задач выбранного «сервера защиты» является наименьшим; размер очереди задач выбранного «сервера защиты» ниже установленного порогового значения.

Еще в одном частном случае реализации распространение средством передачи по компьютерной сети информации, содержащей определенные средством передачи характеристики вычислительных ресурсов «виртуальной машины защиты», осуществляется с использованием по меньшей мере: маршрутизации по широковещательному каналу (broadcasting); многоадресного вещания (multicasting); непосредственной передачи средству сбора по меньшей мере одному «тонкому клиенту».

Данный результат достигается с помощью использования способа обнаружения вредоносных файлов на виртуальных машинах, при этом способ содержит этапы, которые реализуются с помощью средств из системы обнаружения вредоносных файлов на виртуальных машинах, и на которых: определяют по меньшей мере один файл по меньшей мере одной виртуальной машины, именуемой далее «защищаемая виртуальная машина», на которой работает средство «тонкий клиент», предназначенное для защиты упомянутой «защищаемой виртуальных машин» от вредоносных файлов; определяют характеристики вычислительных ресурсов по меньшей мере одной виртуальной машины, именуемой далее «виртуальной машиной защиты», на которой работает средство «сервер защиты», предназначенное для выполнения антивирусной проверки по меньшей мере одного файла, полученного от средства «тонкий клиент»; распространяют по компьютерной сети информацию, содержащую определенные на предыдущем этапе характеристики вычислительных ресурсов; перехватывают информацию, содержащую определенные на предыдущем этапе характеристики вычислительных ресурсов по меньшей мере одной «виртуальной машины защиты»; вычисляют скорости выполнения антивирусной проверки каждого «сервера защиты», работающего на «виртуальной машине защиты», чьи характеристики вычислительных ресурсов содержатся в информации, перехваченной на предыдущем этапе; выбирают по меньшей мере один «сервер защиты» на основании сравнения вычисленных на предыдущем этапе скоростей выполнения антивирусной проверки; определяют для каждого полученного на предыдущем этапе файла доступность средства проверки выбранного на предыдущем этапе «сервера защиты» для выполнения антивирусной проверки упомянутого файла в момент передачи упомянутого файла средству проверки; передают полученный на предыдущем этапе файл в случае определенной на предыдущем этапе недоступности средства проверки текущей «виртуальной машины защиты» средству управления задачами другой «виртуальной машины защиты» для проведения антивирусной проверки; выполняют антивирусную проверку полученного на предыдущем этапе файла в случае определенной на предыдущем этапе доступности средства проверки текущей «виртуальной машины защиты»; выносят вердикт об обнаружении вредоносного файла.

В другом частном случае реализации способа передача файлов от средства формирования задач средству проверки осуществляется посредством очереди задач «сервера защиты», где для каждого файла, полученного от средства формирования задач, вычисляется порядковый номер, зависящий от характеристик вычислительных ресурсов «виртуальной машины защиты», в соответствии с которым впоследствии файлы передаются средству проверки.

Еще в одном частном случае реализации способа в качестве характеристик вычислительных ресурсов «виртуальной машины защиты» выступает по меньшей мере время нахождения по меньшей мере одного файл в очереди задач «сервера защиты»; время, прошедшее между определением по меньшей мере одного файла средством формирования задач до вынесения вердикта средством проверки; размер очереди задач «сервера защиты»; вычислительная мощность «виртуальной машины защиты».

В другом частном случае реализации способа в качестве вычислительной мощности «виртуальной машины защиты» выступает по меньшей мере: объем оперативной памяти, предоставляемый операционной системой «виртуальной машиной защиты» «серверу защиты»; производительность компьютерной системой, на которой работает «виртуальная машина защиты».

Еще в одном частном случае реализации способа в качестве скорости выполнения антивирусной проверки «сервера защиты» выступает по меньшей мере мера центральной тенденции (measure of central tendency): времени нахождения файла в очереди задач «сервера защиты»; времени, прошедшего между определением файла средством формирования задач до вынесения вердикта средством проверки; скорости заполнения очереди задач «сервера защиты».

В другом частном случае реализации способа выбирают по меньшей мере один «сервер защиты» на основании сравнения вычисленных скоростей выполнения антивирусной проверки, удовлетворяющий по меньшей мере одному критерию, по которому: вычисленная средняя скорость антивирусной проверки выбранных «серверов защиты» больше средней скорости антивирусной проверки всех оставшихся «серверов защиты», участвующих в выборе; вычисленная скорость выполнения антивирусной проверки выбранного «сервера защиты» является наибольшей; вычисленная скорость выполнения антивирусной проверки выбранного «сервера защиты» выше установленного порогового значения; размер очереди задач выбранного «сервера защиты» является наименьшим; размер очереди задач выбранного «сервера защиты» ниже установленного порогового значения.

Еще в одном частном случае реализации способа распространение средством передачи по компьютерной сети информации, содержащей определенные средством передачи характеристики вычислительных ресурсов «виртуальной машины защиты», осуществляется с использованием по меньшей мере: маршрутизации по широковещательному каналу (broadcasting); многоадресного вещания (multicasting); непосредственной передачи средству сбора по меньшей мере одному «тонкому клиенту».

Краткое описание чертежей

Фиг. 1 представляет структурную схему системы обнаружения вредоносных файлов на распределенной системе виртуальных машин.

Фиг. 2 представляет структурную схему способа обнаружения вредоносных файлов на распределенной системе виртуальных машин.

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер.

Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

Введем ряд определений и понятий, которые будут использоваться при описании вариантов осуществления изобретения.

«Защищаемая виртуальная машина» - виртуальная машина (англ. virtual machine), работающая под управлением гипервизора (англ. hypervisor), с установленной гостевой операционной системой (англ. guest operating system), под управлением которой работает приложение «тонкий клиент» (англ. thin client).

«Виртуальная машина защиты» - виртуальная машина, работающая под управлением гипервизора, с установленной операционной системой, под управлением которой работает приложение «сервер защиты» (англ. protection server).

«Тонкий клиент» - программное обеспечение, предназначенное для защиты «защищаемой виртуальной машины» от вредоносных программ и компьютерных угроз, и передачи по сети «виртуальным машинам защиты» файлов для антивирусной проверки.

«Сервер защиты» - программное обеспечение, предназначенное для выполнения антивирусной проверки файлов, полученных от «защищаемых виртуальных машин».

Фиг. 1 представляет структурную схему системы обнаружения вредоносных файлов на распределенной системе виртуальных машин.

Структурная схема системы обнаружения вредоносных файлов на распределенной системе виртуальных машин состоит из «тонкого клиента» 110, средства сбора 111, средства выбора 112, средства формирования задач 113, «сервера защиты» 120, средства передачи 121, средства управления задачами 122 и средства проверки 123.

Средство «тонкий клиент» 110, содержащееся на каждой «защищаемой виртуальной машине» предназначено для защиты «защищаемой виртуальной машины» от вредоносных файлов и содержит средство сбора 111, средство выбора 112, и средство формирования задач 113.

Средство «сервер защиты» 120, содержащееся на каждой «виртуальной машине защиты», предназначено для выполнения антивирусной проверки файлов, полученных от «тонких клиентов» 110 «защищаемых виртуальных машины» и содержит средство передачи 121, средство управления задачами 122, и средство проверки 123.

При этом передача файлов от средства формирования задач 113 средству проверки 123 может осуществляться посредством очереди задач «сервера защиты» 120, где для каждого файла, полученного от средства формирования задач 113, вычисляется порядковый номер, зависящий от характеристик вычислительных ресурсов «виртуальной машины защиты», в соответствии с которым впоследствии файлы передаются средству проверки 123.

В одном из вариантов реализации очереди задач каждому файлу ставится в соответствие уникальный номер, на основании которого средством проверки 123 осуществляется выборка упомянутого файла из очереди задач для проведения антивирусной проверки, при этом уникальный номер выборки файла из очереди вычисляется на основании анализа характеристик состояния работы средства проверки 123, где в качестве состояния работы средства проверки 123 выступает по меньшей мере один из критериев:

- средство проверки 123 не осуществляет на момент выборки файла из очереди задач антивирусную проверку файлов, переданных средству проверки 123 ранее;

- средство проверки 123 обладает вычислительными ресурсами, достаточными для обработки выбранного файла.

Например, в самом простом случае очередь задач может быть организована по принципу «первый пришел - первый ушел» (англ First In First Out, FIFO). В этом случае каждому переданному средством управления задачами 122 файлу назначается уникальный номер, больший чем у файла, переданного средству управления задачами 122 ранее (1, 2, 5, 17, 123 и т.д.), и выборка файлов средством проверки 123 также будет происходить в порядке возрастания уникального номера, назначенного файлу (сначала 1, потом 2, 5, 17, 123 и т.д.). В другом случае изначально назначенные уникальные номера могут перераспределяться в зависимости характеристик работы средства проверки 123. Например, средство проверки 123 обработало файл с номером №15, после чего «сервер защиты» стал располагать 50МБ свободной оперативной памяти «виртуальной машины защиты», которую может использовать при выполнении проверки последующих файлов, но для выполнения антивирусной проверки файла №16 потребуется 100МБ свободной оперативной памяти, и 10МБ - для файла №17, 35МБ для файла №18, поэтому вместо того, чтобы ожидать, когда же будет доступно 100МБ оперативной памяти средство проверки 123 выбирает из очереди задач файлы №17 и №18.

Средство сбора 111 предназначено для:

- перехвата с помощью установленного на «защищаемой виртуальной машине» драйвера компьютерной сети информации, содержащей характеристики вычислительных ресурсов «виртуальных машин защиты», распространенной средством передачи 121 по компьютерной сети;

- передачи перехваченной информации средству выбора 112.

При этом в качестве характеристик вычислительных ресурсов «виртуальной машины защиты» может выступать:

- время нахождения файлов в очереди задач «сервера защиты» 120;

- время, прошедшее между получением файла от средства формирования задач 113 до вынесения вердикта средством проверки 123;

- размер очереди задач «сервера защиты» 120;

- вычислительная мощность «виртуальной машины защиты», на которой работает «сервер защиты» 120.

При этом в качестве вычислительной мощности «виртуальной машины защиты» может выступать:

- объем оперативной памяти, предоставляемый операционной системой «виртуальной машиной защиты» «серверу защиты»;

- производительность компьютерной системы, выраженная в количестве операций в секунду (FLOPS), способное выполняться компьютерной системой, на которой работает «виртуальная машина защиты»;

- приоритет, и как следствие скорость выполнения антивирусной проверки, с которым работает «сервер защиты» 120 под управлением операционной системы «виртуальной машины защиты».

При этом средство сбора 111, работающее на одной «защищаемой виртуальной машине», может перехватывать информацию, передаваемую средством передачи 121, средству сбора 111, работающему на другой «защищаемой виртуальной машине».

Например, средство сбора 111 может перехватывать все сетевые пакеты, передающиеся по компьютерной сети. Сетевые пакеты, переданные «сервером защиты» 120 будут обрабатываться, остальные - игнорироваться. Если сетевые пакеты содержат информацию, передаваемую какому-либо «тонкому клиенту» 110, то считается, что они содержат информацию, содержащую характеристики вычислительных ресурсов «виртуальной машины защиты», на которой работает упомянутый «сервер защиты» 120. Далее из перехваченных сетевых пакетов формируется упомянутая информация (например, в виде структурированных данных, где каждому типу вычислительных ресурсов соответствует численная характеристика, к примеру [1] доступная оперативная память «виртуальной машины защиты» - 100МБ, [2] размер очереди задач - 25 файлов и т.д.) и передается средству выбора 112.

Средство выбора 112 предназначено для:

- вычисления скорости выполнения антивирусной проверки для каждого «сервера защиты» 120, на основании характеристик вычислительных ресурсов содержащихся в информации, полученной от средства сбора 111,

- выбора «серверов защиты» 120 на основании анализа вычисленной скорости выполнения антивирусной проверки для последующей передачи выбранным «серверам защиты» 120 файлов для выполнения антивирусной проверки,

- передачи информации о каждом выбранном «сервере защиты» 120 средству формирования задач 113, где передаваемая информация может содержать уникальные идентификаторы «серверов защиты» 120 (для возможности передачи файлов для выполнения антивирусной проверки только выбранному «серверу защиты» 120).

При этом в качестве скорости выполнения антивирусной проверки «сервера защиты» 120 может выступать мера центральной тенденции (англ. measure of central tendency):

- времени нахождения файлов в очереди задач «сервера защиты»;

- времени, прошедшего между получением файлов от средства формирования задач 113 до вынесения вердикта средством проверки 123;

- скорости заполнения очереди задач «сервера защиты» 120;

- используемых для выполнения антивирусной проверки характеристик вычислительных ресурсов «виртуальной машины защиты», на которой работает «сервер защиты» 120.

Например, средство выбора 112 может в качестве скорости выполнения антивирусной проверки «сервером защиты» использовать среднее время от определения средством формирования задачи 113 файла на «защищаемой виртуальной машине», для которого необходимо выполнить антивирусную проверку, до вынесения вердикта проверки от средства проверки 123.

Например, в качестве меры центральной тенденции используемых для выполнения антивирусной проверки характеристик вычислительных ресурсов «виртуальной машины защиты», на которой работает «сервер защиты» 120 может выступать среднее гармоническое объема оперативной памяти, выделяемой операционной системой «виртуальной машины защиты» «серверу защиты» 120 для проведения антивирусной проверки полученных файлов.

При этом скорость выполнения антивирусной проверки «сервера защиты» 120 может быть вычислена всеми описанными выше способами с использованием вероятностных методов, реализующих предсказание того, какой скоростью выполнения антивирусной проверки «сервера защиты» 120 будет обладать «сервер защиты» 120 каждой «виртуальной машины защиты» в выбранной период времени, путем вычисления временных аппроксимационных зависимостей скорости выполнения антивирусной проверки от времени осуществления упомянутой антивирусной проверки.

При этом для передачи средству формирования задач 113 могут выбирать «сервера защиты» 120 одним или несколькими приведенными ниже критериями, по которым:

- вычисленная средняя скорость антивирусной проверки выбранных «серверов защиты» 120 больше средней скорости антивирусной проверки всех оставшихся «серверов защиты», работающих на «виртуальных машин защиты»;

- вычисленная скорость выполнения антивирусной проверки выбранных «серверов защиты» 120 является наибольшей среди всех «сервером защиты» 120, работающих на «виртуальных машин защиты»;

- вычисленная скорость выполнения антивирусной проверки выбранных «серверов защиты» выше установленного порогового значения;

- размер очереди задач выбранных «серверов защиты» 120 является наименьшим среди всех очередей задач «серверов защиты» 120, работающих на «виртуальных машин защиты»;

- размер очереди задач выбранных «серверов защиты» 120 ниже установленного порогового значения.

Средство формирования задач 113 предназначено для:

- определения файлов виртуальной машины, на которой установлен упомянутый «тонкий клиент» 110, для выполнения антивирусной проверки;

- передачи определенных файлов средству управления задачами 122 «сервера защиты» 120, информация о котором была получена от средства выбора 112.

Средство передачи 121 предназначено для:

- определения характеристик вычислительных ресурсов «виртуальных машин защиты», на которой содержатся «сервера защиты» 120;

- распространения по компьютерной сети информации, содержащей определенные характеристики.

При этом распространение средством передачи 121 по компьютерной сети информации, содержащей определенные средством передачи 121 характеристики вычислительных ресурсов «виртуальной машины защиты», на которой работает «сервер защиты» 120, может осуществляться с использованием:

- маршрутизации по широковещательному каналу (англ. broadcasting);

- многоадресного вещания (англ. multicasting);

- непосредственной передачи определенной информации средству сбора 111.

Например, информация, содержащая характеристики вычислительных ресурсов «виртуальной машины защиты», на которой работает «сервер защиты» 120, может быть передана непосредственно средству сбора 111 любого «тонкого клиента» 110. Такой способ передачи информации возможен, например, когда «тонкий клиент» 110 уже передавал файлы для выполнения антивирусной проверки «серверу защиты» 120. Кроме того, «сервер защиты» 120 может осуществить широковещательную передачу информации, рассчитанную на то, что любой «тонкий клиент» 110 может получить передаваемые данные и, следовательно, после ее обработки сможет передать свои файлы упомянутому «серверу защиты» 120 для выполнения антивирусной проверки.

Средство управления задачами 122 предназначено для:

- определения для каждого полученного файла доступность средства проверки 123 для выполнения антивирусной проверки упомянутого файла в момент передачи упомянутого файла средству проверки 123;

- передачи упомянутого файла в случае недоступности средства проверки 123 текущей «виртуальной машины защиты» средству управления задачами 122 другой «виртуальной машины защиты» для проведения антивирусной проверки;

- передачи упомянутого файла в случае доступности средства проверки 123 текущей «виртуальной машины защиты» упомянутому средству проверки 123;

Средство проверки 123 предназначено для:

- выполнение антивирусной проверки полученных файлов;

- вынесения вердикта об обнаружении вредоносного файла по результатам выполненной антивирусной проверки.

Рассмотрим работу системы обнаружения вредоносных файлов на «защищаемых виртуальных машинах» на примере антивирусной проверки 1000 файлов, хранящихся на 10 «защищаемых виртуальных машинах» (по 100 на каждой из «защищаемой виртуальной машине») средствами 2 «виртуальных машин защиты».

На каждой из 10 «защищаемых виртуальных машин» свой «тонкий клиент» 110 выбирает файлы из группы из 100 файлов, для которых необходимо выполнить антивирусную проверку. Средство сбора 111 каждой «защищаемой виртуальной машины», перехватывает с помощью установленного на «защищаемой виртуальной машине» драйвера компьютерной сети характеристики вычислительных ресурсов «виртуальных машин защиты», переданные ранее средством передачи 121 «сервера защиты» каждого из двух доступных «виртуальных машин защиты», после чего передает их средству выбора 112. В качестве характеристик вычислительных ресурсов «виртуальной машины защиты» #1 и «виртуальной машины защиты» #2 могут выступать разные характеристики (что зависит как от самих «виртуальных машин защиты», так и от настроек «серверов защиты») - время нахождения файлов в очереди задач антивирусной проверки «сервера защиты» #1 120, вычислительная мощность «виртуальной машины защиты» #1, на которой работает «сервер защиты» #1 120 (т.е. доступная оперативная память, производительность центрального процессора и т.д.), и размер очереди задач антивирусной проверки «сервера защиты» #2 120 соответственно.

На основании перехваченных характеристик вычислительных ресурсов «виртуальной машины защиты» #1 и «виртуальной машины защиты» #2 средство выбора 112, входящее в состав «тонкого клиента» каждой «защищаемой виртуальной машины», независимо от других средств выбора 112 вычисляет (как один из случаев меры центральной тенденции, демонстрирующий статистическое распределение измеряемой величины) среднее арифметическое времени, прошедшего между получением файлов от средства формирования задач 113 до вынесения вердикта средством проверки 123, что является скоростью выполнения антивирусной проверки «серверов защиты» #1 и #2 120. Из двух «серверов защиты» выбирается «сервер защиты» с наивысшей вычисленной скоростью выполнения антивирусной проверки (#2), после чего результат передается средству формирования задач 113, поскольку минимальная вычисленная скорость выполнения антивирусной проверки (#1) означает, что «сервер защиты» #1 120 на текущий момент является загруженным другими задачами проверки, или же «виртуальная машина защиты» не обладает нужными вычислительными ресурсами для осуществления антивирусной проверки файлов.

Средство формирования задач 113, входящее в состав «тонкого клиента» 110 запрашивает у «тонкого клиента» 110 очередной файл для выполнения антивирусной проверки запрашиваемого файла, и передает полученный файл средству управления задачами 122 выбранного «сервера защиты» (#2) 120.

Средство управления задачами 122 определяет для полученного файла доступность средства проверки 123 для выполнения антивирусной проверки полученного файла в момент передачи упомянутого файла средству проверки 123. В случае, если средство проверки 123 не доступно, полученный файл передается средству управления задачами 122 одного из оставшихся «средств защиты» 120. В противном случае полученный файл передается средству проверки 123 текущего «сервера защиты» 120.

Средство проверки 123 осуществляет антивирусную проверку полученных от средства управления задачами 122 файлов и выносит вердикт о том, являются ли полученные файлы вредоносными или нет. После завершения проверки средство проверки передает информацию о завершении обработки полученных файлов, а также результаты проверки средству управления задачами 122.

При такой работе «сервера защиты» #2 120 «тонкие клиенты» 110 «защищаемых виртуальных машин» не простаивают. Во время работы «сервера защиты» #2 120 может освободиться «сервер защиты» #1 120. В этом случае при очередном вычислении выполнения антивирусной проверки она станет большей у «сервера защиты» #1 120, чем у «сервера защиты» #2 120 и следующая порция от оставшихся для проверки 990 файлов (99 на каждой «защищаемой виртуальной машине») будет передана средству управления задачами 122 «сервера защиты» #2 120.

Поскольку для выполнения антивирусной проверки файлы с «защищаемых виртуальных машин» передавались разным «виртуальным машинам защиты» так, чтобы вычислительные ресурсы системы «виртуальных машин защиты» были использованы максимально, это в свою очередь способствовало тому, что простой «серверов защиты» 120 был минимальным («серверы защиты» 120 загружены задачами антивирусной проверки файлов, файлы по возможности не скапливаются в ожидании, а сразу поступают на освободившийся «сервер защиты» 120), что привело к возрастанию скорости проверки файлов на вредоносность (за счет избегания простоя в работе «серверов защиты»).

Кроме того, поскольку «сервера защиты» 120 работают независимо друг от друга, а файлы для антивирусной проверки, в случае, когда какое-либо средство проверки 123 не готово выполнить антивирусную проверку передаются средству проверки 123 одному из оставшихся «серверов проверки» 120, это повышает отказоустойчивость распределенной системы «виртуальных машин защиты», поскольку такой способ работы гарантирует проведения антивирусной проверки файла даже в случае, когда некоторые средства проверки 123 не способны выполнить упомянутую антивирусную проверку файлов.

Фиг. 2 представляет пример структурной схемы способа обнаружения вредоносных файлов на распределенной системе виртуальных машин.

Структурная схема способа обнаружения вредоносных файлов на распределенной системе виртуальных машин состоит из этапа 201, на котором запрашивают файлы для выполнения антивирусной проверки, этапа 202, на котором перехватывают характеристики вычислительных ресурсов «виртуальных машин защиты», этапа 203, на котором вычисляют скорость выполнения антивирусной проверки «серверами защиты» 120, этапа 204, на котором выбирают «сервера защиты» 120, этапа 211, на котором определяют характеристики вычислительных ресурсов, этапа 221, на котором определяют доступность средства проверки, этапа 224, на котором проводят антивирусную проверку и этапа 225, на котором выносят вердикт об обнаружении вредоносных файлов.

На этапе 201 определяют файлы виртуальной машины, на которой работает упомянутый «тонкий клиент» 110, для выполнения антивирусной проверки.

На этапе 211 определяют характеристики вычислительных ресурсов «виртуальных машин защиты», на которых содержатся «серверы защиты» 120 и распространяют по компьютерной сети информацию, содержащую определенные характеристики вычислительных ресурсов.

При этом распространение средством передачи 121 по компьютерной сети информации, содержащей определенные средством передачи 121 характеристики вычислительных ресурсов «виртуальной машины защиты», может осуществляться с использованием:

- маршрутизации по широковещательному каналу;

- многоадресного вещания;

- непосредственной передачи определенной информации средству сбора 111.

При этом в качестве характеристик вычислительных ресурсов «виртуальной машины защиты» может выступать:

- время нахождения файлов в очереди задач «сервера защиты» 120;

- время, прошедшее между получением файлов от средства формирования задач 113 на этапе 201 до вынесения вердикта средством проверки 123 на этапе 225;

- размер очереди задач «сервера защиты» 120;

- вычислительная мощность «виртуальной машины защиты», на которой работает «сервер защиты» 120.

При этом в качестве вычислительной мощности «виртуальной машины защиты» может выступать:

- объем оперативной памяти, предоставляемый операционной системой «виртуальной машиной защиты» «серверу защиты»;

- производительность компьютерной системы, выраженная в количестве операций в секунду (FLOPS), способное выполняться компьютерной системой, на которой работает «виртуальная машина защиты»;

- приоритет, и как следствие скорость выполнения антивирусной проверки, с которым работает «сервер защиты» 120 под управлением операционной системы «виртуальной машины защиты».

На этапе 202 перехватывают с помощью установленного на «защищаемой виртуальной машине» драйвера компьютерной сети информацию, содержащую определенные на этапе 211 характеристики вычислительных ресурсов «виртуальных машин защиты».

При этом средство сбора 111, входящее в состав «тонкого клиента» 110, работающего на одной «защищаемой виртуальной машины» может перехватывать информацию, содержащую характеристики вычислительных ресурсов «виртуальной машины защиты», передаваемую на этапе 211 средством передачи 121, входящего в состав «сервера защиты» средству сбора 111, входящему в состав «тонкого клиента» 110, работающего на другой «защищаемой виртуальной машине».

На этапе 203 вычисляют скорости выполнения антивирусной проверки каждого «сервера защиты» 120, работающего на «виртуальной машине защиты», чьи характеристики вычислительных ресурсов содержатся в информации, перехваченной на этапе 202.

При этом в качестве скорости выполнения антивирусной проверки «сервера защиты» 120 может выступать мера центральной тенденции (measure of central tendency):

- времени нахождения файлов в очереди задач «сервера защиты»;

- времени, прошедшего между получением файлов от средства формирования задач 113 на этапе 201 до вынесения вердикта средством проверки 123 на этапе 225;

- скорости заполнения очереди задач «сервера защиты» 120;

- используемых для выполнения антивирусной проверки характеристик вычислительных ресурсов «виртуальной машины защиты», на которой работает «сервер защиты» 120.

При этом скорость выполнения антивирусной проверки «сервера защиты» 120 может быть вычислена всеми описанными выше способами с использованием вероятностных методов, реализующих предсказание того, какой скоростью выполнения антивирусной проверки «сервера защиты» 120 будет обладать «сервер защиты» каждой «виртуальной машины защиты» в выбранной период времени, путем вычисления временных аппроксимационных зависимостей скорости выполнения антивирусной проверки.

На этапе 204 выбирают «сервера защиты» 120 на основании анализа вычисленной на этапе 203 скорости выполнения антивирусной проверки.

При этом для передачи средству формирования задач 113 могут выбирать «сервера защиты» 120 одним или несколькими приведенными ниже критериями, по которым:

- вычисленная на этапе 203 средняя скорость антивирусной проверки выбранных «серверов защиты» 120 больше средней скорости антивирусной проверки всех оставшихся «серверов защиты», работающих на «виртуальных машин защиты»;

- вычисленная на этапе 203 скорость выполнения антивирусной проверки выбранных «серверов защиты» 120 является наибольшей среди всех «сервером защиты» 120, работающих на «виртуальных машин защиты»;

- вычисленная на этапе 203 скорость выполнения антивирусной проверки выбранных «серверов защиты» выше установленного порогового значения;

- размер очереди задач выбранных «серверов защиты» 120 является наименьшим среди всех очередей задач «серверов защиты» 120, работающих на «виртуальных машин защиты»;

- размер очереди задач выбранных «серверов защиты» 120 ниже установленного порогового значения.

На этапе 221 определяют для каждого полученного на этапе 201 файла доступность средства проверки 123 выбранного на этапе 204 «сервера защиты» для выполнения антивирусной проверки упомянутого файла в момент передачи упомянутого файла средству проверки 123. Передают полученный на этапе 201 файл в случае определенной на этапе 221 недоступности средства проверки текущей «виртуальной машины защиты» средству управления задачами 113 другой «виртуальной машины защиты» для проведения антивирусной проверки, передают упомянутый файл в случае доступности средства проверки 123 текущей «виртуальной машины защиты» упомянутому средству проверки 123;

В одном из вариантов реализации этапа 221, формируют из файлов, выбранных на этапе 201, очередь задач, где каждому файлу ставится в соответствие уникальный номер, на основании которого средством проверки 123 осуществляется на этапе 223 выборка упомянутого файла из очереди задач для проведения антивирусной проверки, при этом уникальный номер выборки файла из очереди вычисляется на основании анализа характеристик состояния работы средства проверки 123, где в качестве состояния работы средства проверки выступает по меньшей мере:

- средство проверки не осуществляет на момент выборки файла из очереди задач антивирусную проверку файлов, переданных средству проверки 123 ранее;

- средство проверки 123 обладает вычислительными ресурсами достаточными для обработки выбранного файла.

Кроме того выбирают из очереди задач файлы в соответствии с их уникальными номерами выборки, определенными на этапе 221.

На этапе 224 выполняют антивирусную проверку полученных на этапе 221 файлов.

На этапе 225 выносят вердикт об обнаружении вредоносных файлов.

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

1. Система обнаружения вредоносных файлов на виртуальных машинах, при этом упомянутая система содержит:

а) по крайней мере два средства «тонкий клиент», установленные на виртуальных машинах, именуемых далее «защищаемыми виртуальными машинами», при этом каждое средство «тонкий клиент» взаимодействует по крайней мере с двумя средствами «сервер защиты» и в свою очередь содержит:

средство сбора, предназначенное для:

перехвата информации, содержащей характеристики вычислительных ресурсов по меньшей мере двух «виртуальных машин защиты», на которой работает средство «сервер защиты», при этом упомянутая информация распространяется по компьютерной сети средством передачи,

передачи перехваченной информации средству выбора;

упомянутое средство выбора, предназначенное для:

вычисления значения скорости выполнения антивирусной проверки для каждого средства проверки, содержащегося на средстве «сервер защиты», на основании полученной информации,

выбора средства «сервера защиты» на основании сравнения вычисленных значений скоростей выполнения антивирусной проверки для средств проверки,

передачи информации о выбранном средстве «сервера защиты» средству формирования задач;

упомянутое средство формирования задач, предназначенное для:

определения по меньшей мере одного файла, содержащегося на «защищаемой виртуальной машине», для выполнения антивирусной проверки;

передачи определенных файлов выбранному средству «сервер защиты»;

б) по крайней мере два средства «сервер защиты», установленные на виртуальных машинах, именуемых далее «виртуальными машинами защиты», и предназначенные для выполнения антивирусной проверки файлов, при этом каждое средство «сервер защиты» содержит:

упомянутое средство передачи, предназначенное для:

определения характеристик вычислительных ресурсов «виртуальной машины защиты», на которой установлено средство «сервер защиты»;

распространения по компьютерной сети информации, содержащей определенные характеристики;

средство управления задачами, предназначенное для:

определения для каждого полученного файла доступности средства проверки для выполнения антивирусной проверки упомянутого файла в момент передачи упомянутого файла средству проверки;

передачи упомянутого файла в случае недоступности средства проверки текущей «виртуальной машины защиты» средству управления задачами другой «виртуальной машины защиты» для проведения антивирусной проверки;

передачи упомянутого файла в случае доступности средства проверки текущей «виртуальной машины защиты» упомянутому средству проверки;

средство проверки, предназначенное для:

выполнение антивирусной проверки полученных файлов;

вынесения вердикта об обнаружении вредоносного файла по результатам выполненной антивирусной проверки.

2. Система по п. 1, в которой передача файлов от средства формирования задач средству проверки осуществляется посредством очереди задач «сервера защиты», где для каждого файла, полученного от средства формирования задач, вычисляется порядковый номер, зависящий от характеристик вычислительных ресурсов «виртуальной машины защиты», в соответствии с которым впоследствии файлы передаются средству проверки.

3. Система по п. 1, в которой в качестве характеристик вычислительных ресурсов «виртуальной машины защиты» выступает по меньшей мере:

время нахождения по меньшей мере одного файл в очереди задач «сервера защиты»;

время, прошедшее между определением по меньшей мере одного файла средством формирования задач до вынесения вердикта средством проверки;

размер очереди задач «сервера защиты»;

вычислительная мощность «виртуальной машины защиты».

4. Система по п. 2, в которой в качестве вычислительной мощности «виртуальной машины защиты» выступает по меньшей мере:

а) объем оперативной памяти, предоставляемый операционной системой «виртуальной машиной защиты» «серверу защиты»;

б) производительность компьютерной системой, на которой работает «виртуальная машина защиты».

5. Система по п. 1, в которой в качестве скорости выполнения антивирусной проверки «сервера защиты» выступает по меньшей мере мера центральной тенденции (measure of central tendency):

времени нахождения файла в очереди задач «сервера защиты»;

времени, прошедшего между определением файла средством формирования задач до вынесения вердикта средством проверки;

скорости заполнения очереди задач «сервера защиты».

6. Система по п. 1, в которой выбирают по меньшей мере один «сервер защиты» на основании сравнения вычисленных скоростей выполнения антивирусной проверки, удовлетворяющий по меньшей мере одному критерию, по которому:

вычисленная средняя скорость антивирусной проверки выбранных «серверов защиты» больше средней скорости антивирусной проверки всех оставшихся «серверов защиты», участвующих в выборе;

вычисленная скорость выполнения антивирусной проверки выбранного «сервера защиты» является наибольшей;

вычисленная скорость выполнения антивирусной проверки выбранного «сервера защиты» выше установленного порогового значения;

размер очереди задач выбранного «сервера защиты» является наименьшим;

размер очереди задач выбранного «сервера защиты» ниже установленного порогового значения.

7. Система по п. 1, в которой распространение средством передачи по компьютерной сети информации, содержащей определенные средством передачи характеристики вычислительных ресурсов «виртуальной машины защиты», осуществляется с использованием по меньшей мере:

маршрутизации по широковещательному каналу (broadcasting);

многоадресного вещания (multicasting);

непосредственной передачи средству сбора по меньшей мере одному «тонкому клиенту».

8. Способ обнаружения вредоносных файлов на виртуальных машинах, при этом способ содержит этапы, которые реализуются с помощью средств из системы по п. 1, и на которых:

а) определяют по меньшей мере один файл по меньшей мере одной виртуальной машины, именуемой далее «защищаемая виртуальная машина», на которой работает средство «тонкий клиент», предназначенное для защиты упомянутой «защищаемой виртуальных машин» от вредоносных файлов;

б) определяют характеристики вычислительных ресурсов по меньшей мере одной виртуальной машины, именуемой далее «виртуальной машиной защиты», на которой работает средство «сервер защиты», предназначенное для выполнения антивирусной проверки по меньшей мере одного файла, полученного от средства «тонкий клиент»;

в) распространяют по компьютерной сети информацию, содержащую определенные на предыдущем этапе характеристики вычислительных ресурсов;

г) перехватывают информацию, содержащую определенные на предыдущем этапе характеристики вычислительных ресурсов по меньшей мере одной «виртуальной машины защиты»;

д) вычисляют скорости выполнения антивирусной проверки каждого «сервера защиты», работающего на «виртуальной машине защиты», чьи характеристики вычислительных ресурсов содержатся в информации, перехваченной на предыдущем этапе;

е) выбирают по меньшей мере один «сервер защиты» на основании сравнения вычисленных на предыдущем этапе скоростей выполнения антивирусной проверки;

ж) определяют для каждого полученного на этапе а) файла доступность средства проверки выбранного на этапе е) «сервера защиты» для выполнения антивирусной проверки упомянутого файла в момент передачи упомянутого файла средству проверки;

з) передают полученный на этапе а) файл в случае определенной на этапе ж) недоступности средства проверки текущей «виртуальной машины защиты» средству управления задачами другой «виртуальной машины защиты» для проведения антивирусной проверки;

и) выполняют антивирусную проверку полученного на этапе а) файла в случае определенной на этапе ж) доступности средства проверки текущей «виртуальной машины защиты»;

к) выносят вердикт об обнаружении вредоносного файла.

9. Способ по п. 8, по которому передача файлов от средства формирования задач средству проверки осуществляется посредством очереди задач «сервера защиты», где для каждого файла, полученного от средства формирования задач, вычисляется порядковый номер, зависящий от характеристик вычислительных ресурсов «виртуальной машины защиты», в соответствии с которым впоследствии файлы передаются средству проверки.

10. Способ по п. 8, по которому в качестве характеристик вычислительных ресурсов «виртуальной машины защиты» выступает по меньшей мере:

время нахождения по меньшей мере одного файл в очереди задач «сервера защиты»;

время, прошедшее между определением по меньшей мере одного файла средством формирования задач до вынесения вердикта средством проверки;

размер очереди задач «сервера защиты»;

вычислительная мощность «виртуальной машины защиты».

11. Способ по п. 10, по которому в качестве вычислительной мощности «виртуальной машины защиты» выступает по меньшей мере:

а) объем оперативной памяти, предоставляемый операционной системой «виртуальной машиной защиты» «серверу защиты»;

б) производительность компьютерной системой, на которой работает «виртуальная машина защиты».

12. Способ по п. 8, по которому в качестве скорости выполнения антивирусной проверки «сервера защиты» выступает по меньшей мере мера центральной тенденции (measure of central tendency):

времени нахождения файла в очереди задач «сервера защиты»;

времени, прошедшего между определением файла средством формирования задач до вынесения вердикта средством проверки;

скорости заполнения очереди задач «сервера защиты».

13. Способ по п. 8, по которому выбирают по меньшей мере один «сервер защиты» на основании сравнения вычисленных скоростей выполнения антивирусной проверки, удовлетворяющий по меньшей мере одному критерию, по которому:

вычисленная средняя скорость антивирусной проверки выбранных «серверов защиты» больше средней скорости антивирусной проверки всех оставшихся «серверов защиты», участвующих в выборе;

вычисленная скорость выполнения антивирусной проверки выбранного «сервера защиты» является наибольшей;

вычисленная скорость выполнения антивирусной проверки выбранного «сервера защиты» выше установленного порогового значения;

размер очереди задач выбранного «сервера защиты» является наименьшим;

размер очереди задач выбранного «сервера защиты» ниже установленного порогового значения.

14. Способ по п. 8, по которому распространение средством передачи по компьютерной сети информации, содержащей определенные средством передачи характеристики вычислительных ресурсов «виртуальной машины защиты», осуществляется с использованием по меньшей мере:

маршрутизации по широковещательному каналу (broadcasting);

многоадресного вещания (multicasting);

непосредственной передачи средству сбора по меньшей мере одному «тонкому клиенту».



 

Похожие патенты:

Изобретение относится к антивирусным программным средствам (АВПС), предназначенным для защиты информационно-вычислительных систем от компьютерных вирусов и вредоносных программ.

Изобретение относится к области контроля целостности данных в информационно-вычислительных системах. Технический результат изобретения заключается в снижении ресурсоемкости контроля целостности данных в информационно-вычислительных системах за счет того, что в процессе функционирования информационно-вычислительной системы осуществляется контроль целостности только тех объектов файловой системы, которые могут быть потенциально изменены и только в те моменты, когда эти объекты открываются для совершения с ними каких-либо действий, которые могут нарушить целостность этих объектов.

Изобретение относится к способу и устройству управления доступом на сервере альянса цифровых сетей для дома (DLNA). Технический результат заключается в предотвращении возникновения злонамеренного доступа и потенциальных угроз безопасности.

Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении эффективности защиты компьютера от несанкционированных действий.

Изобретение относится к компьютерной технике. Технический результат – улучшение безопасности процесса начальной загрузки оперативной памяти.

Изобретение относится к способу и устройству для обработки детского режима, относящимся к области интернет-технологий. Технический результат заключается в обеспечении возможности обычного использования приложений без негативного влияния со стороны детского режима.

Изобретение относится к способу, устройству и терминалу для защиты прикладной программы. Технический результат заключается в повышении защиты прикладной программы.

Изобретение относится к способу и системе лицензирования приложения с использованием поставщиков синхронизации. Технический результат заключается в создании усовершенствованной службы лицензирования.

Изобретение относится к области распространения контента в сети. Технический результат – защищенное распространение файла одному или нескольким пользовательским устройствам.

Группа изобретений относится к компьютерной технике и может быть использована для проверки адреса возврата процедуры. Техническим результатом является предотвращение несанкционированной модификации стека.

Изобретение относится к области обнаружения вредоносных образов машинных кодов на устройстве. Технический результат настоящего изобретения заключается в повышении безопасности устройства путем обнаружения вредоносного образа машинного кода. Способ обнаружения вредоносного образа машинного кода, где вредоносным считается образ машинного кода, логика исполнения машинного кода которого отличается от логики исполнения CIL кода родительской сборки, содержит этапы, на которых: а) получают образ машинного кода; б) определяют родительскую сборку, где родительской сборкой является сборка, на основании которой создан полученный образ; в) устанавливают несоответствие между логикой исполнения машинного кода полученного образа машинного кода и логикой исполнения CIL кода определенной родительской сборки; г) признают образ машинного кода вредоносным на основании установленного несоответствия между логикой исполнения машинного кода полученного образа машинного кода и логикой исполнения CIL кода определенной родительской сборки. 5 з.п. ф-лы, 9 ил.

Изобретение относится к выполнению антивирусной проверки файла на виртуальной машине. Технический результат заключается в обнаружении вредоносного файла, содержащего программный код, который затрудняет обнаружение данного вредоносного файла при исполнении файла на виртуальной машине. Реализуемый компьютером способ выполнения антивирусной проверки файла на виртуальной машине, в котором: исполняют файл на виртуальной машине с последовательным внесением записей о вызовах API-функций и внесением записей о внутренних событиях в первый журнал, выявляют в первом журнале сигнатуру первого типа из базы данных сигнатур первого типа, производят повторное исполнение файла на виртуальной машине с внесением записей о внутренних событиях во второй журнал, после чего выявляют во втором журнале сигнатуру второго типа из базы данных сигнатур второго типа и определяют критерий внесения записей о вызовах API-функций на основании второго и первого журналов, производят третье исполнение файла на виртуальной машине с внесением в третий журнал записей только о внутренних событиях до тех пор, пока не будет выполнен критерий внесения записей о вызовах API-функций, после которого производится внесение записей о вызовах API-функций, выполняют антивирусную проверку файла путем выявления в третьем журнале вредоносной сигнатуры с использованием базы данных вредоносных сигнатур, файл будет признан вредоносным, когда вредоносная сигнатура будет выявлена в третьем журнале. 2 н. и 38 з.п. ф-лы, 3 табл., 6 ил.

Изобретение относится к области компьютерной безопасности. Технический результат заключается в снижении использования суммарных вычислительных ресурсов виртуальных машин при проведении антивирусной проверки. Система содержит «защищаемую виртуальную машину», которая взаимодействует с двумя «виртуальными машинами защиты», при этом «защищаемая виртуальная машина» содержит средство формирования задач; средство сбора; средство вычисления динамики; средство выбора для выбора «виртуальной машины защиты» на основании полученной зависимости эффективности антивирусной проверки; определения времени начала выполнения антивирусной проверки таким образом, чтобы антивирусная проверка была закончена не позднее установленного времени и выполнялся по меньшей мере один из критериев - антивирусная проверка занимает наименьшее время; антивирусная проверка занимает время меньше установленного; для выполнения антивирусной проверки требуется минимальное количество вычислительных ресурсов; для выполнения антивирусной проверки требуется вычислительных ресурсов меньше установленного; передачи информации о выбранной «виртуальной машине защиты», которая содержит наиболее эффективное время начала выполнения антивирусной проверки. 2 н. и 6 з.п. ф-лы, 5 ил.

Изобретение относится к области защиты данных при взаимодействии мобильного устройства с компьютером. Технический результат настоящего изобретения заключается в защите данных пользователя при подключении мобильного устройства к компьютеру за счет проверки компьютера на безопасность подключения мобильного устройства с последующим формированием режима передачи данных. Раскрыт способ проверки компьютера на безопасность подключения мобильного устройства с последующим формированием режима передачи данных между устройствами, в котором: подключают мобильное устройство к компьютеру с помощью адаптера безопасности; определяют наличие или отсутствие запроса от компьютера на установление соединения с мобильным устройством для обмена данными; отправляют мобильному устройству запрос на определение уровня безопасности; собирают параметры окружения; определяют уровень безопасности на основании собранных параметров окружения; определяют количество новых запросов на установление соединения с мобильным устройством во время ожидания уровня безопасности от мобильного устройства; выбирают правило формирования режима передачи данных между мобильным устройством и компьютером; формируют режим передачи данных согласно выбранному правилу. 3 н. и 16 з.п. ф-лы, 5 ил.

Изобретение относится к области защищенной передачи аудиоданных от микрофона к процессам посредством шифрования. Технический результат изобретения заключается в защите аудиоданных, передаваемых от микрофона к процессам, от перехвата. Система защищенной передачи аудиоданных от микрофона к процессам содержит: вычислительное устройство, содержащее: по меньшей мере, один процессор; средства ввода и вывода, взаимодействующие, по меньшей мере, с одним процессором; и носитель информации, содержащий операционную систему, множество инструкций, исполняемых, по меньшей мере, на одном процессоре, и подсистему защищенной передачи аудиоданных; при этом операционная система включает в себя аудиоподсистему, содержащую: средство управления аудиопотоками, с которым при помощи API-функций взаимодействуют процессы для создания и управления аудиопотоками, связанное со средством микширования и обработки аудиопотоков; средство микширования и обработки аудиопотоков, предназначенное для обработки аудиопотоков при помощи средств обработки аудио (Audio Processing Objects, APOs), а также маршрутизации аудиопотоков между процессами и конечным устройством, являющимся микрофоном, во время которой осуществляется передача аудиоданных от упомянутого микрофона к процессам посредством отдельных буферов, в которые упомянутое средство микширования и обработки аудиопотоков записывает аудиоданные, а процессы считывают упомянутые аудиоданные при помощи вызова API-функции; при этом подсистема защищенной передачи аудиоданных содержит: средство фильтрации RPC-трафика, осуществляющее мониторинг RPC-трафика между средством управления аудиопотоками и средством микширования и обработки аудиопотоков, предназначенное для обнаружения RPC-запросов создания аудиопотоков, связанных с конечным аудиоустройством, являющимся микрофоном, и для определения идентификаторов процессов, для которых запрашивается создание аудиопотоков, связанное со средством криптографической защиты аудиопотоков; средство криптографической защиты аудиопотоков, предназначенное для шифрования аудиоданных в рамках средства микширования и обработки аудиопотоков при помощи средств обработки аудио (Audio Processing Objects, APOs), также предназначенное для установки перехватчиков вызова API-функции, посредством которой процессы считывают аудиоданные из отдельных буферов, используемых средством микширования и обработки аудиопотоков для осуществления передачи аудиоданных от конечного устройства, являющегося микрофоном, к процессам, где упомянутые перехватчики устанавливаются для процессов, идентификаторы которых были определены средством фильтрации RPC-трафика, и также предназначенное для выполнения процедуры расшифрования аудиоданных и передачи расшифрованных аудиоданных процессам. 2 н. и 12 з.п. ф-лы, 7 ил.

Изобретение относится к облачному сетевому сервису. Технический результат заключается в определении спам-активности в облачном сервисе. Предложен способ определения спам-активности в облачном сервисе, который расположен на сервере, сервер обладает цифровым объектом, который хранится на нем, сервер доступен по сети передачи данных множеству пользователей облачного сервиса, в котором получают от первого пользователя из множества пользователей сервиса облачного хранения указание на первое действие по предоставлению совместного доступа к цифровому объекту; в ответ на первое указание увеличивают значение счетчика действий по предоставлению совместного доступа, связанного с цифровым объектом; получают от второго пользователя из множества пользователей указание на второе действие по предоставлению совместного доступа к цифровому объекту; в ответ на второе указание осуществляют дальнейшее увеличение значения счетчика действий по предоставлению совместного доступа, связанного с цифровым объектом; в ответ на то, что значение счетчика действий по предоставлению совместного доступа достигает заранее определенного порогового значения, выполняют действия по прекращению спам-активности, связанные с цифровым объектом. 2 н. и 35 з.п. ф-лы, 6 ил.
Изобретение относится к защите персональных данных. Технический результат – эффективная защита персональных данных. Способ гарантированного обезличивания электронных документов пользователя, в котором: создают пару ключей, считывают несколько примеров биометрического образа пользователя, из каждого примера биометрического образа извлекают контролируемые биометрические параметры, осуществляют обучение на этих параметрах искусственной нейронной сети с целью последующего преобразования биометрических параметров в личный ключ пользователя, далее примеры биометрического образа пользователя уничтожают, сохраняя параметры обученной искусственной нейронной сети в базе данных или в обезличенном электронном документе, получают цифровую фотографию пользователя, формируют производную от личного ключа, уничтожают личный ключ пользователя, шифруют цифровую фотографию пользователя на производной от его личного ключа, размещают шифрованную цифровую фотографию в базе данных или в обезличенном электронном документе, при проведении обезличенной проверки пользователя проверяемый предъявляет свой биометрический образ, далее этот образ преобразуют искусственной нейронной сетью в личный ключ пользователя, получают производную личного ключа и расшифровывают на производном ключе цифровую фотографию, далее расшифрованную фотографию предъявляют проверяющему, а также проводят автоматическую биометрическую аутентификацию на личном ключе и сообщают результат проверяющему, дополнительно проверяющий сравнивает органолептически лицо проверяемого с расшифрованной фотографией, далее расшифрованную цифровую фотографию пользователя уничтожают, если проверяющий принял решение о полном соответствии черт лица проверяемого и черт лица на расшифрованной фотографии, если проверяющий принял решение о несоответствии проверяемого лица и черт лица на расшифрованной фотографии, то лицо проверяемого повторно фотографируют и запоминают вместе с расшифрованной ранее фотографией, перед запоминанием пары фотографий их шифруют на открытом ключе проверяющего и открытом ключе лица, которое позднее будет проводить разбор инцидента, после запоминания двух шифрованных фотографий исходную пару фотографий уничтожают. 1 з.п. ф-лы.

Изобретение раскрывает способ и устройство для передачи ресурсов, которое относится к области компьютерных технологий. Технический результат заключается в уменьшении сложности потоковой передачи ресурсов с одновременным обеспечением безопасности. Способ передачи ресурсов включает в себя прием запроса на передачу ресурсов, запрашивающий передачу ресурсов, отправленный по номеру счета передачи; определение, принята ли физиологическая характеристика, собранная мобильным устройством, привязанным к номеру счета передачи; и, если определено, что принята физиологическая характеристика, собранная мобильным устройством, привязанным к номеру счета передачи, передачи ресурсов, если физиологическая характеристика соответствует сохраненной модели физиологической характеристики для номера счета передачи. 3 н. и 8 з.п. ф-лы, 9 ил.

Изобретение относится к вычислительной технике, а именно к защите от несанкционированного доступа к информации, обрабатываемой и хранимой в информационно-вычислительных системах различного назначения. Технический результат – снижение времени обращения к файлам при контроле прав доступа к ним и соответственно повышение быстродействия информационно-вычислительной системы в целом. Способ контроля доступа к файлам заключается в предварительном (на этапе получения доступа к операционной системе пользователем, после его идентификации) формировании списков файлов, с которыми пользователю разрешено проводить различные действия. При этом для каждого действия формируются свои списки, которые после входа пользователя помещаются в оперативную память, в область, недоступную для несанкционированного доступа. 1 ил.

Изобретение относится к способам и средствам криптографического преобразования информации. Технический результат - повышение криптостойкости информации, получаемой в результате преобразования. Способ криптографического преобразования входной информации в выходную производят за S последовательно выполняемых раундов с использованием криптографических преобразователей и соответствующих раундовых ключей в каждом из раундов, причем криптографическое преобразование информации производят на N параллельно работающих преобразователях с разными раундовыми ключами для каждого преобразователя, которые меняют через каждые R раундов (0<R<=S), при этом, получаемые промежуточные данные в каждом раунде на выходах каждого из N параллельно работающих криптографических преобразователей разбивают на N частей произвольного размера и используют их в качестве входных данных для последующего раунда криптографических преобразований в N параллельно работающих криптографических преобразователях, причем части выходных промежуточных данных в каждом раунде на выходах каждого из N параллельно работающих криптографических преобразователей подают во все N параллельно работающие криптографические преобразователи. 1 ил.

Изобретение предназначено для антивирусной проверки файлов. Технический результат настоящего изобретения заключается в повышении скорости выполнения антивирусной проверки файлов за счет распределения файлов, предназначенных для выполнения антивирусной проверки, по виртуальным машинам. Данный результат достигается с помощью использования системы проведения антивирусной проверки файлов на виртуальных машинах, при этом упомянутая система содержит: «защищаемую виртуальную машину», которая взаимодействует с двумя «виртуальными машинами защиты». Для «виртуальных машин защиты» определяется аппроксимационная зависимость эффективности антивирусной проверки, на основании которой выбирается конкретная «виртуальная машина защиты», для которой определяется время начала выполнения антивирусной проверки файлов, полученных от «виртуальной машины защиты». 2 н. и 12 з.п. ф-лы, 3 ил.

Наверх