Система и способ распределения файлов между виртуальными машинами, входящими в распределённую систему виртуальных машин, для выполнения антивирусной проверки

Авторы патента:

Влазнев Денис Олегович (RU)

Онищенко Александр Юрьевич (RU)

Войтов Никита Михайлович (RU)

Наумов Максим Евгеньевич (RU)

Васильев Максим Александрович (RU)

Семенов Евгений Сергеевич (RU)

G06F21/56 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2628923:

Акционерное общество "Лаборатория Касперского" (RU)

Изобретение относится к области компьютерной безопасности. Технический результат заключается в снижении использования суммарных вычислительных ресурсов виртуальных машин при проведении антивирусной проверки. Система содержит «защищаемую виртуальную машину», которая взаимодействует с двумя «виртуальными машинами защиты», при этом «защищаемая виртуальная машина» содержит средство формирования задач; средство сбора; средство вычисления динамики; средство выбора для выбора «виртуальной машины защиты» на основании полученной зависимости эффективности антивирусной проверки; определения времени начала выполнения антивирусной проверки таким образом, чтобы антивирусная проверка была закончена не позднее установленного времени и выполнялся по меньшей мере один из критериев - антивирусная проверка занимает наименьшее время; антивирусная проверка занимает время меньше установленного; для выполнения антивирусной проверки требуется минимальное количество вычислительных ресурсов; для выполнения антивирусной проверки требуется вычислительных ресурсов меньше установленного; передачи информации о выбранной «виртуальной машине защиты», которая содержит наиболее эффективное время начала выполнения антивирусной проверки. 2 н. и 6 з.п. ф-лы, 5 ил.

Область техники

Изобретение относится к антивирусным технологиям, а более конкретно к системам и способам обнаружения вредоносных файлов на распределенной системе виртуальных машин.

Уровень техники

Бурное развитие в последнее десятилетие компьютерных, в том числе и облачных технологий, а также широкое распространение разнообразных вычислительных устройств (персональных компьютеров, ноутбуков, планшетов, смартфонов и т.д.), послужило мощным стимулом для использования упомянутых устройств во всевозможных сферах человеческой деятельности и для огромного количества задач (от интернет-серфинга и общения через интернет до банковских переводов и ведения электронного документооборота). Параллельно с ростом количества вычислительных устройств быстрыми темпами росли и объемы программного обеспечения, работающего на этих устройствах, в том числе и вредоносного.

В настоящий момент существует огромное количество разновидностей вредоносных программ. Одни крадут с устройств пользователей их персональные и конфиденциальные данные (такие, как логины и пароли, банковские реквизиты, электронные документы). Другие формируют из устройств пользователей так называемые бот-сети (англ. botnet) для подбора паролей методом грубой силы (англ. bruteforce) или атак, таких как отказ в обслуживании (англ. Distributed Denial of Service, DDOS), на другие компьютеры или компьютерные сети. Третьи навязывают пользователям платный контент через агрессивную рекламу, платные подписки, отправку CMC на платные номера и т.д.

Для борьбы с вредоносными программами используются программы - антивирусы. Эффективная борьба с вредоносными программами в первую очередь требует своевременного обнаружения файлов, содержащих код вредоносных программ, для чего антивирусные программы применяют разнообразные технологии такие, как сигнатурный, эвристический и проактивный анализ, белые и черные списки и т.д. При этом каждая упомянутая выше технология обладает собственной эффективностью обнаружения вредоносных файлов, складывающейся из потенциальной возможности обнаружить те или иные вредоносные файлы и требований к вычислительным ресурсам компьютерной системы, на которой она работает.

На текущий момент объемы данных (в том числе и файлов), обрабатываемых компьютерными системами настолько огромны, что их антивирусная проверка антивирусными программами может занимать длительное время и требовать значительных вычислительных ресурсов, что особенно критично для пользователей персональных компьютеров. Поэтому для повышения эффективности обнаружения вредоносных файлов применяются, в частности, методы увеличения вычислительных ресурсов компьютерных систем, на которых происходит поиск вредоносных файлов. С этой целью используются распределенные системы поиска вредоносных файлов, состоящие из нескольких серверов, на каждом из которых выполняется проверка лишь части файлов, требующих проверки.

Например, в публикации US 20050149749 A1 описана технология распределенной антивирусной проверки файлов с использованием нескольких вычислительных систем (клиентов). Задачи антивирусной проверки распределяются среди клиентов специальным централизованным балансировщиком задач. В качестве клиентов могут выступать виртуальные машины, что позволяет работать нескольким клиентам на одном физическом компьютере. Такой подход решает задачу повышения эффективности обнаружения вредоносных файлов, но при этом не повышает и даже снижает надежность осуществляемого обнаружения вредоносных файлов, поскольку вся технология опирается на централизованный балансировщик задач, от работы которого целиком зависит и задача поиска вредоносных файлов.

В другой публикации US9152789B2 описана технология использования облачных технологий для поиска вредоносных файлов. Для анализа файлов используется сеть распределенных серверов (облако). Задачи антивирусной проверки распределяются по серверам в зависимости от нагрузки упомянутых серверов, для чего используется единый распределительный сервер. Такой подход при некоторых условиях (устойчивое соединение, отсутствие загрузки серверов и т.д.) решает задачу повышения эффективности обнаружения вредоносных файлов, но при этом довольно требователен к компьютерным ресурсам, упомянутым выше, и зависит от работы единого распределительного сервера, что негативно сказывается на надежности проводимой антивирусной проверки файлов.

Хотя описанные выше способы работы хорошо справляются с задачами распределенной антивирусной проверки файлов, они зачастую не помогают при большой загрузке компьютерных систем, осуществляющих антивирусную проверку файлов, или при отказе работы некоторых компьютерных систем, участвующих в антивирусной проверке файлов.

Настоящее изобретение позволяет решать задачу обнаружения вредоносных файлов на распределенной системе «защищаемых виртуальных машин».

Раскрытие изобретения

Изобретение предназначено для антивирусной проверки файлов.

Технический результат настоящего изобретения заключается в снижении использования суммарных вычислительных ресурсов виртуальных машин, предназначенных для выполнения антивирусной проверки файлов, за счет распределения файлов, предназначенных для выполнения антивирусной проверки, между упомянутыми виртуальными машинами.

Данный результат достигается с помощью использования системы проведения антивирусной проверки файлов на виртуальных машинах, при этом упомянутая система содержит: «защищаемую виртуальную машину», которая взаимодействует по меньшей мере с двумя «виртуальными машинами защиты», при этом «защищаемая виртуальная машина» содержит: средство формирования задач, предназначенное для: определения по меньшей мере одного файла «защищаемой виртуальной машины» для выполнения антивирусной проверки; передачи средству сбора команды для проведения сбора информации; передачи определенного файла «виртуальной машине защиты», информация о которой предоставляется средством выбора, согласно определенному средством выбора времени проверки; средство сбора, предназначенное для: сбора характеристик вычислительных ресурсов по меньшей мере двух «виртуальных машин защиты»; сбора параметров антивирусной проверки по меньшей мере двух «виртуальных машин защиты», при этом упомянутые параметры определяют правила использования «виртуальными машинами защиты» вычислительных ресурсов соответствующих «виртуальных машин защиты»; передачи собранных характеристик вычислительных ресурсов и параметров антивирусной проверки средству вычисления динамики; средство вычисления динамики, предназначенное для: определения временной аппроксимационной зависимости характеристик вычислительных ресурсов для каждой «виртуальной машине защиты», на основании анализа собранных характеристик вычислительных ресурсов; определения аппроксимационной зависимости параметров антивирусной проверки каждой «виртуальной машины защиты» от характеристик вычислительных ресурсов соответствующей «виртуальной машины защиты», на основании анализа собранных параметров антивирусной проверки; определения временной аппроксимационной зависимости эффективности антивирусной проверки на каждой «виртуальной машине защиты» как композиции (function composition) определенных зависимостей, где композиция зависимостей представляет собой зависимость, полученную применением одной зависимости к результатам другой зависимости, при этом эффективность антивирусной проверки характеризует объем вычислительных ресурсов, требуемый «виртуальной машине защиты» для достижения установленного результата антивирусной проверки; передачи временной аппроксимационной зависимости эффективности антивирусной проверки на каждой «виртуальной машины защиты» средству выбора; упомянутое средство выбора, предназначенное для: выбора «виртуальной машины защиты» на основании полученной зависимости эффективности антивирусной проверки; определения для выбранной «виртуальной машины защиты» времени начала выполнения антивирусной проверки таким образом, чтобы выполнялся по меньшей мере один из следующих критериев: антивирусная проверка занимает наименьшее время; антивирусная проверка занимает время меньше установленного; антивирусная проверка будет закончена не позднее установленного времени; для выполнения антивирусной проверки требуется минимальное количество вычислительных ресурсов; для выполнения антивирусной проверки требуется вычислительных ресурсов меньше установленного; передачи средству формирования задач информации о выбранной «виртуальной машине защиты», которая содержит наиболее эффективное время начала выполнения антивирусной проверки выбранной «виртуальной машины защиты»; по меньшей мере две «виртуальные машины защиты», предназначенные для: выполнения антивирусной проверки файла, полученного от средства формирования задачами в определенное время, при этом выполнение антивирусной проверки файла выполняется на выбранной средством выбора «виртуальной машине защиты».

В другом частном случае реализации системы в качестве параметров антивирусной проверки выступают по меньшей мере: методы обнаружения вредоносных файлов, используемые «виртуальной машиной защиты» для выполнения антивирусной проверки; характеристики вычислительных ресурсов, используемые «виртуальной машиной защиты» для выполнения антивирусной проверки.

Еще в одном частном случае реализации системы аппроксимационная зависимость определяется методом регрессионного анализа (regression analysis).

В другом частном случае реализации системы в качестве выбранной «виртуальной машины защиты» выступает «виртуальная машина защиты», способная по меньшей мере выполнить антивирусную проверку определенного файла с помощью вычислительных ресурсов, доступных в установленный диапазон времени.

Данный результат достигается с помощью использования способа проведения антивирусной проверки файлов на виртуальных машинах, при этом способ содержит этапы, которые реализуются с помощью средств из системы проведения антивирусной проверки файлов на виртуальных машинах, и на которых: определяют по меньшей мере один файл «защищаемой виртуальной машины» для выполнения антивирусной проверки; собирают характеристики вычислительных ресурсов по меньшей мере двух «виртуальных машин защиты»; определяют временную аппроксимационную зависимость характеристик вычислительных ресурсов для каждой «виртуальной машине защиты» на основании анализа собранных на предыдущем этапе характеристик вычислительных ресурсов; собирают параметры антивирусной проверки по меньшей мере двух «виртуальных машин защиты», при этом упомянутые параметры определяют правила использования «виртуальными машинами защиты» вычислительных ресурсов соответствующих «виртуальных машин защиты»; определяют аппроксимационную зависимость параметров антивирусной проверки каждой «виртуальной машины защиты» от характеристик вычислительных ресурсов соответствующей «виртуальной машины защиты», на основании анализа собранных на предыдущем этапе параметров антивирусной проверки; определяют временную аппроксимационную зависимость эффективности антивирусной проверки на каждой «виртуальной машине защиты» как композицию (function composition) определенных на предыдущих этапах зависимостей, где композиция зависимостей представляет собой зависимость, полученную применением одной зависимости к результатам другой зависимости, при этом эффективность антивирусной проверки характеризует объем вычислительных ресурсов, требуемый «виртуальной машине защиты» для достижения установленного результата антивирусной проверки; выбирают «виртуальную машину защиты» на основании определенной на предыдущем этапе зависимости эффективности антивирусной проверки; определяют для выбранной на предыдущем этапе «виртуальной машины защиты» время начала выполнения антивирусной проверки таким образом, чтобы выполнялся по меньшей мере один из следующих критериев: антивирусная проверка занимает наименьшее время; антивирусная проверка занимает время меньше установленного; антивирусная проверка будет закончена не позднее установленного времени; для выполнения антивирусной проверки требуется минимальное количество вычислительных ресурсов; для выполнения антивирусной проверки требуется вычислительных ресурсов меньше установленного; передают определенный на первом этапе файл выбранной на предыдущем этапе «виртуальной машины защиты» согласно определенному на предыдущем этапе времени проверки.

В другом частном случае реализации способа в качестве параметров антивирусной проверки выступает по меньшей мере: методы обнаружения вредоносных файлов, используемые «виртуальной машиной защиты» для выполнения антивирусной проверки; характеристики вычислительных ресурсов, используемые «виртуальной машиной защиты» для выполнения антивирусной проверки.

Еще в одном частном случае реализации способа аппроксимационная зависимость определяется методом регрессионного анализа (regression analysis).

В другом частном случае реализации способа в качестве выбранной «виртуальной машины защиты» выступает «виртуальная машина защиты», способная по меньшей мере выполнить антивирусную проверку определенного файла с помощью вычислительных ресурсов, доступных в установленный диапазон времени.

Краткое описание чертежей

Фиг. 1 иллюстрирует систему обнаружения вредоносных файлов на виртуальной машине.

Фиг. 2 иллюстрирует способ обнаружения вредоносных файлов на виртуальной машине.

Фиг. 3 иллюстрирует временную аппроксимационную зависимость характеристик вычислительных ресурсов «виртуальных машин защиты».

Фиг. 4 иллюстрирует временные аппроксимационные зависимости характеристик вычислительных ресурсов нескольких «виртуальных машин защиты».

Фиг. 5 иллюстрирует компьютерную систему общего назначения, персональный компьютер или сервер.

Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

Введем ряд определений и понятий, которые будут использоваться при описании вариантов осуществления изобретения.

«Защищаемая виртуальная машина» - виртуальная машина (англ. virtual machine), работающая под управлением гипервизора (англ. hypervisor), с установленной гостевой операционной системой (англ. guest operating system), в окружении (англ. computational environment) которой работает компонент «тонкий клиент» (англ. thin client).

«Виртуальная машина защиты» - виртуальная машина, работающая под управлением гипервизора, с установленной операционной системой, в окружении которой работает компонент «сервер защиты» (англ. protection server).

«Тонкий клиент» - программное обеспечение, предназначенное для защиты «защищаемой виртуальной машины» от вредоносных программ и компьютерных угроз и передачи по сети «виртуальным машинам защиты» файлов для антивирусной проверки.

«Сервер защиты» - программное обеспечение, предназначенное для выполнения антивирусной проверки файлов, полученных от «защищаемых виртуальных машин».

Фиг. 1 иллюстрирует систему обнаружения вредоносных файлов на виртуальной машине.

Структурная схема системы обнаружения вредоносных файлов на виртуальной машине состоит из «защищаемой виртуальной машины» 100, хранилища требующих антивирусной проверки файлов 101, средства «тонкий клиент» 110, средства сбора 111, средства вычисления динамики 112, средства выбора 113, средства формирования задач 114, «виртуальной машины защиты» 120 и средства проверки 121.

Система обнаружения вредоносных файлов на виртуальной машине содержит «защищаемую виртуальную машину» 100, работающую под управлением гипервизора, с установленной гостевой операционной системой, в окружении которой работает «тонкий клиент» 110, «виртуальные машины защиты» 120, работающие под управлением гипервизора и с установленной операционной системой, в окружении каждой из которых работает средство проверки 121.

«Виртуальная машина защиты» 120 предназначена для выполнения антивирусной проверки файлов, полученных от «тонкого клиента» 110, и содержит средство проверки 121.

Средство проверки 121 предназначено для:

- выполнения антивирусной проверки файлов, полученных от средства формирования задач 114;

- вынесения вердикта об обнаружении вредоносных файлов.

«Защищаемая виртуальная машина» 100 предназначена для обнаружения требующих антивирусной проверки файлов в хранилище файлов 101 и передачи их средству «тонкий клиент» 110 для проведения антивирусной проверки.

Средство «тонкий клиент» 110 предназначено для защиты «защищаемой виртуальной машины» 100 от вредоносных файлов и содержит средство сбора 111, средство вычисления динамики 112, средство выбора 113 и средство формирования задач 114.

Средство сбора 111 предназначено для:

- сбора характеристик вычислительных ресурсов «виртуальных машин защиты» 120;

- сбора параметров антивирусной проверки средств проверки 121, где упомянутые средства проверки 121 установлены на соответствующих «виртуальных машинах защиты» 120, при этом упомянутые параметры определяют правила использования средствами проверки 121 вычислительных ресурсов соответствующих «виртуальных машин защиты» 120, при этом упомянутые правила использования определяют, какие вычислительные ресурсы «виртуальной машины защиты» 120 будут предоставлены средству проверки 121 для выполнения тех или иных действий, составляющих антивирусную проверку;

- передачи собранных характеристик вычислительных ресурсов и параметров антивирусной проверки средству вычисления динамики 112.

При этом в качестве характеристик вычислительных ресурсов «виртуальной машины защиты» 120 могут выступать:

- время, прошедшее между получением файлов от средства формирования задач 114 до вынесения вердикта средством проверки 121;

- количество файлов, переданных средству проверки 121 для антивирусной проверки;

- вычислительная мощность «виртуальной машины защиты» 120, на которой работает средство проверки 121.

Например, в одном из вариантов реализации собранные характеристики вычислительных ресурсов «виртуальной машины защиты» 120, на которой работает средство проверки 121, могут быть обобщены в единую характеристику вычислительных ресурсов «виртуальной машины защиты» 120, которая будет представлять собой совокупность чисел:

{Δ, N, {М, B}}_i

для каждого установленного момента времени передачи собранных данных средству вычисления динамики 112 t_i

где:

Δ - время, прошедшее между получением файлов средством формирования задач 114 из хранилища файлов 101 до вынесения вердикта средством проверки 121;

N - количество файлов, переданных средству проверки 121 для выполнения антивирусной проверки на момент времени t_i;

М - объем свободной памяти «виртуальной машины защиты» 120 на момент времени t_i;

В - загрузка процессора «виртуальной машины защиты» 120 на момент времени t_i.

Описанная совокупность чисел является достаточной для вычисления многомерной аппроксимационной зависимости (одним из коэффициентов которой является время), способной описать поведение средства проверки 121.

При этом в качестве параметров антивирусной проверки, осуществляемой средством проверки 121, могут выступать:

- методы обнаружения вредоносных файлов, используемые средством проверки 121 для выполнения антивирусной проверки, где в качестве методов обнаружения вредоносных файлов могут выступать:

сигнатурный анализ,

эвристический анализ,

анализ результатов эмуляции,

анализ черных и белых списков;

- характеристики вычислительных ресурсов, используемые средством проверки 121 для выполнения антивирусной проверки.

При этом качестве параметров, описывающих методы обнаружения вредоносных файлов, могут выступать:

- максимальное время, в течение которого осуществляется антивирусная проверка;

- глубина эмуляции проверяемых файлов.

При этом в качестве вычислительной мощности «виртуальной машины защиты» 120, на которой работает средство проверки 121, может выступать:

- оперативная память «виртуальной машины защиты» 120, в которой работает средство проверки 121;

- производительность процессора «виртуальной машины защиты» 120.

От того, какие параметры средства проверки 121 используются при осуществлении антивирусной проверки файлов зависит точность вердикта, выносимого средством проверки 121, т.е. шанс не обнаружить вредоносный файл среди вредоносных файлов или наоборот - шанс обнаружить вредоносный файл среди легитимных файлов при выполнении антивирусной проверки. Например, средство проверки 121 «виртуальной машины защиты» #1 120.1 осуществляет проверку каждого полученного от средства формирования задач 114 файла с помощью сигнатурного анализа в течение не более 0.01 сек, средство проверки 121 «виртуальной машины защиты» #2 120.2 - с помощью эвристического анализа с глубиной эмуляции проверяемых файлов (максимальное количество вложенных вызовов) равной 10 в течение не более 0.1 сек, а средство проверки 121 «виртуальной машины защиты» #3 120.3 - с помощью эвристического анализа с глубиной эмуляции проверяемых файлов равной 1000 в течение не более 0.04 сек. В результате оказывается, что самое эффективное средство проверки, т.е. средство проверки, использующее наибольший объем вычислительных ресурсов «виртуальной машины защиты» - средство проверки 121, работающее на «виртуальной машине защиты» #3 120.3, хотя при этом самое быстрое - средство проверки 121, работающее на «виртуальной машине защиты» #1 120.1.

Средство вычисления динамики 112 предназначено для:

- определения временной аппроксимационной зависимости характеристик вычислительных ресурсов для каждой «виртуальной машине защиты» 120 на основании анализа собранных средством сбора 111 характеристик вычислительных ресурсов, при этом описываемая аппроксимационная зависимость имеет вид:

где: F_char - временная аппроксимационная функция,

- собранные средством сбора 111 характеристики вычислительных ресурсов «виртуальной машины защиты» 120,

- характеристики вычислительных ресурсов «виртуальной машины защиты» 120, доступные на момент времени t_k,

t_i, t_j - время определения характеристик вычислительных ресурсов «виртуальной машины защиты» 120,

t_k - время, для которого необходимо определить характеристики вычислительных ресурсов «виртуальной машины защиты» 120;

и описывается параметрами a₁, a₂, …a_i, так, что описываемая аппроксимационная зависимость может быть представлена в виде:

- определения аппроксимационной зависимости параметров антивирусной проверки каждого средства проверки 121 от характеристик вычислительных ресурсов соответствующей «виртуальной машины защиты» 120 на основании анализа собранных средством сбора 111 параметров антивирусной проверки, при этом описываемая аппроксимационная зависимость имеет вид:

где F_params - аппроксимационная функция,

- собранные средством сбора 111 параметры антивирусной проверки, зависящие от характеристик вычислительных ресурсов C_i,

- предполагаемые для характеристик вычислительных ресурсов C_k параметры антивирусной проверки,

C_i,j - характеристики вычислительных ресурсов «виртуальной машины защиты» 120, используемые средством проверки 121 при выполнении антивирусной проверки;

и описывается параметрами b₁, b₂, …b_i, так, что описываемая аппроксимационная зависимость может быть представлена в виде:

- определения временной аппроксимационной зависимости эффективности антивирусной проверки на каждой «виртуальной машине защиты» 120 как композиции (англ. function composition) определенных зависимостей, где композиция зависимостей представляет собой зависимость, полученную применением одной зависимости к результатам другой зависимости, при этом эффективность антивирусной проверки характеризует объем вычислительных ресурсов, требуемый «виртуальной машине защиты» 120 для достижения установленного результата антивирусной проверки, при этом описываемая аппроксимационная зависимость имеет вид:

E=F_efficiency({F}, {C}, {P}),

где: F_efficiency - аппроксимационная зависимость,

{F} - параметры, характеризующие полученные средством формирования задач 114 файлы, где в качестве параметров могут выступать:

- тип файла,

- размер файла,

{C} - параметры, описывающие временную аппроксимационную зависимость характеристик вычислительных ресурсов «виртуальной машины защиты» 120,

{P} - параметры, описывающие аппроксимационную зависимость параметров антивирусной проверки, выполняемой средством проверки 121, от характеристик вычислительных ресурсов «виртуальной машины защиты» 120;

и описывается параметрами e₁, e₂, …e_i, так, что описываемая аппроксимационная зависимость может быть представлена в виде:

- и передачи определенной временной аппроксимационной зависимости эффективности антивирусной проверки на каждой «виртуальной машины защиты» 120 средству выбора 113.

При этом в качестве параметров, описывающих временную аппроксимационную зависимость характеристик вычислительных ресурсов «виртуальной машины защиты» 120 могут выступать числовые коэффициенты для функции аппроксимации вида:

где - собранные средством сбора 111 характеристики вычислительных ресурсов «виртуальной машины защиты» 120,

t_i - время сбора характеристик вычислительных ресурсов «виртуальной машины защиты» 120,

a _i - числовые коэффициенты, описывающие аппроксимационную зависимость.

При этом в качестве параметров, описывающих аппроксимационную зависимость параметров антивирусной проверки, выполняемой средством проверки 121, от характеристик вычислительных ресурсов «виртуальной машины защиты» 120 могут выступать числовые коэффициенты для функции аппроксимации вида:

где - собранные средством сбора 111 параметры антивирусной проверки, выполняемой средством проверки 121,

C_i - характеристики вычислительных ресурсов «виртуальной машины защиты» 120,

b_i - числовые коэффициенты, описывающие аппроксимационную зависимость.

При этом в качестве эффективности антивирусной проверки на «виртуальной машине защиты» 120 может выступать уровень загрузки средства проверки 121 «виртуальных машин защиты» 120.

При этом уровень загрузки средства проверки 121 «виртуальной машины защиты» 120 может вычисляться как суперпозиция совокупности параметров, описывающих временную аппроксимационную зависимость характеристик вычислительных ресурсов «виртуальной машины защиты» 120, и совокупности параметров, описывающих аппроксимационную зависимость параметров антивирусной проверки, выполняемой средством проверки 121, от характеристик вычислительных ресурсов «виртуальной машины защиты» 120, имеющая вид:

F_BUSY({F}, {C}, {P})=C({F})×P({F}),

где: {F} - параметры, характеризующие полученные средством формирования задач 114 файлы,

{P} - параметры, описывающие аппроксимационную зависимость параметров антивирусной проверки, выполняемой средства проверки 121, от характеристик вычислительных ресурсов «виртуальной машины защиты» 120.

При этом для вычисления параметров, описывающих временные аппроксимационные зависимости, могут применяться методы регрессионного анализа (англ. regression analysis).

Например, в случае, когда в качестве характеристики вычислительных ресурсов «виртуальной машины защиты» 120 выступает объем оперативной памяти, используемой для выполнения антивирусной проверки файлов, в качестве аппроксимационной зависимости может быть использована линейная зависимость, описываемая формулой

F(X)=а₁×X+а₂

В этом случае параметры a₁, а₂ вычисляются как

где: n - количество временных меток, во время которых были получены значения объема оперативной памяти, используемого при выполнении антивирусной проверки,

t_i - временная метка получения значения объема оперативной памяти X_i, используемого при выполнении антивирусной проверки,

X_i - значение объема оперативной памяти X_i, используемого при выполнении антивирусной проверки, на момент времени t_i.

Средство выбора 113 предназначено для:

- выбора средства проверки 121 на основании полученной от средства вычисления динамики 112 зависимости эффективности антивирусной проверки;

- определения для выбранного средства проверки 121 времени начала выполнения антивирусной проверки таким образом, чтобы выполнялся по меньшей мере один из следующих критериев:

антивирусная проверка занимает наименьшее время;

антивирусная проверка занимает время меньше установленного;

антивирусная проверка будет закончена не позднее установленного времени;

для выполнения антивирусной проверки требуется минимальное количество вычислительных ресурсов «виртуальной машины защиты» 120;

для выполнения антивирусной проверки требуется вычислительных ресурсов «виртуальной машины защиты» 120 меньше установленного;

- передачи средству формирования задач 114 информации о выбранном средстве проверки 121, которая содержит наиболее эффективное время начала выполнения антивирусной проверки выбранным средством проверки 121.

При этом в качестве выбранного средства проверки 121 может выступать:

- средство проверки, способное по меньшей мере выполнить антивирусную проверку файлов, определенных средством формирования задач 114, с помощью вычислительных ресурсов, доступных в установленный диапазон времени;

- средство проверки 121 с наинизшим вычисленным уровнем загрузки;

- средство проверки 121 с вычисленным уровнем загрузки ниже установленного порогового значения;

- в случае необходимости антивирусной проверки не менее двух файлов - из совокупности средств проверки 121, не менее двух средств проверки 121, чей суммарный вычисленный уровень загрузки ниже суммарного уровня загрузки оставшихся средств проверки 121.

Например, уровень загрузки средства проверки 121 может быть вычислен следующим способом: имеются 3 файла размером 10 МБ, 20 МБ и 50 МБ соответственно, для которых необходимо выполнить антивирусную проверку, средство проверки 121 предоставило параметры, которые описывают антивирусную проверку как сигнатурный анализ, занимаемый максимум 0.01 сек, а в качестве характеристики «виртуальной машины защиты» 120, на которой работает средство проверки 121, выступает объем доступной оперативной памяти, равный 60 МБ. Сигнатурный анализ означает, что файл будет размещен в оперативной памяти как есть, т.е. будет занимать такой же объем, как и его размер. Чтобы загрузка средства проверки 121 была максимальной, ему необходимо передать упомянутые 3 файла в два этапа: на первом - файл #1 и файл #3, на втором - файл #2. В результате антивирусная проверка всех трех файлов займет 0.02 сек, уровень загрузки средства проверки 121 составит 1 и 0.3(3) соответственно, а итоговая загрузка для упомянутых трех файлов - 0.6(6), что является наиболее оптимальным результатом, учитывая, что во время проверки файла #2 средство проверки 121 будет располагать вычислительными ресурсами, достаточными для обработки новых файлов. В данном случае уровень загрузки вычислялся как

F_BUSY({F}, {C}, {P})=FILE_SIZE×SERVER_TIME×MEMORY_FREE.

Средство формирования задач 114 предназначено для:

- определения файлов «защищаемой виртуальной машины» 100, на которой работает средство «тонкий клиент» 110, для выполнения антивирусной проверки;

- передачи средству сбора 111 команды для проведения сбора характеристик вычислительных ресурсов «виртуальных машин защиты» 120 и параметров антивирусной проверки средств проверки 121;

- передачи определенных файлов средству проверки 121, информация о котором предоставляется средством выбора 113, согласно определенному средством выбора 113 времени проверки.

Например, в случае, когда выбрано средство проверки 121 «виртуальной машины защиты» 120, антивирусная проверка файла может быть выполнена сразу или через некоторое время. В случае, когда средство проверки 121 уже выполняет антивирусную проверку файлов, полученных от средства формирования задач 113 ранее, антивирусная проверка нового файла не будет выполняться, файл будет сохранен (например, на жестком диске «виртуальной машине защиты» 120) до тех пор, пока не будет закончена выполняемая антивирусная проверка, после чего файл будет загружен с жесткого диска в память, и средство проверки 121 выполнит антивирусную проверку. При описанной логике работы средства проверки 121 будет выполнено две времязатратные, но не обязательные (при правильной организации работы) операции - запись файла на диск и считывание файла с диска. Если же упомянутый файл отправить средству проверки 121 не сразу после выбора средства проверки 121, а несколько позже, когда средство проверки 121 выполнит предыдущие задачи, то антивирусная проверка файла будет выполнена быстрее.

Рассмотрим систему обнаружения вредоносных файлов на примере распределения 1000 файлов, общего объема 1 ГБ, «тонким клиентом» 110 «защищаемой виртуальной машины» 100 по трем «виртуальным машинам защиты» 120 (120.1, 120.2 и 120.3), чьи средства проверки 121 для выполнения антивирусной проверки используют сигнатурный анализ, эвристический анализ и анализ по белым и черным спискам соответственно. Каждый тип упомянутых выше способов анализа обладает своей эффективностью (0.6, 0.95 и 0.1 соответственно) и требует свои вычислительные ресурсы (200 МБ свободной оперативной памяти, процессора со скоростью работы не ниже 100 MFLOPS плюс 50 МБ свободной оперативной памяти и процессора со скоростью работы не ниже 10 MFLOPS плюс 10 МБ свободной оперативной памяти соответственно), что приводит к тому, что в среднем файл каждое средство проверки 121 обрабатывает за 0.01, 0.1 и 0.002 сек соответственно.

Изначально, пока нет никакой статистики по работе «виртуальной машины защиты» 120, средством формирования задач 114 файлы распределяются равномерно в соответствии с тем, как быстро та или иная «виртуальная машина защиты» 120 выполняет антивирусную проверку. Со временем средство вычисления динамики 112 накапливает статистику характеристик вычислительных ресурсов и параметров антивирусной проверки всех «виртуальных машин защиты» 120 в разные моменты времени, что позволяет рассчитать аппроксимационные зависимости характеристик и параметров.

Для «виртуальной машины защиты» #1 120.1 важен только объем свободной оперативной памяти, изменение которого подчиняется линейному временному закону M(t)=a₁×t+а₂. На основании собранных данных {M_i, t_i} методом наименьших квадратов вычисляются параметры a₁ и a₂, что дает возможность предсказывать сколько доступной оперативной память будет у «виртуальной машины защиты» #1 120.1 на момент t_i передачи средства проверки 121 «виртуальной машины защиты» #1 120.1 файла для выполнения антивирусной проверки. Зная, сколько доступной оперативной памяти будет доступно в любой выбранный момент времени, средство формирования задач 114 оценивает, какие файлы можно передать средству проверки 121, чтобы переданные файлы были обработаны за минимальное время.

Аналогично выполняются действия и для «виртуальной машины защиты» #2 120.2 и #3 120.3, где кроме оперативной памяти используется еще и скорость работы процессора. Оценивая загрузку процессора «виртуальной машины защиты» 120, подчиняющегося закону B(t)=a₁×t³+а₂×t²+а₃×t+а₄, вычисляются параметры а₁, а₂, а₃, а₄. После чего предсказывается загрузка процессора «виртуальной машины защиты» 120 на момент t_i передачи средству проверки 121 «виртуальной машины защиты» #2 120.2 (или #3 120.3) файла для выполнения антивирусной проверки. Таким образом, достигается эффект того, что процессор «виртуальной машины защиты» 120 загружен максимально эффективно.

В результате распределения задач по средствам проверки 121 разных «виртуальных машин защиты» 120 достигается увеличение скорости выполнения антивирусной проверки файлов «защищаемой виртуальной машины» 100, поскольку «виртуальные машины защиты» 120 используются с более высокой эффективностью, чем в случае равномерного или случайного распределения файлов по «виртуальным машинам защиты» 120.

Фиг. 2 иллюстрирует способ обнаружения вредоносных файлов на виртуальной машине.

Структурная схема способа обнаружения вредоносных файлов на виртуальной машине состоит из этапа 211, на котором определяют файлы для выполнения антивирусной проверки, этапа 212, на котором собирают характеристики вычислительных ресурсов, этапа 213, на котором определяют временную аппроксимационную зависимость характеристик вычислительных ресурсов, этапа 214, на котором собирают параметры антивирусной проверки, этапа 215, на котором определяют аппроксимационную зависимость параметров антивирусной проверки от характеристик вычислительных ресурсов, этапа 216, на котором определяют временную аппроксимационную зависимость эффективности антивирусной проверки, этапа 217, на котором выбирают средство проверки 121, этапа 218 на котором определяют наиболее эффективное время начала выполнения антивирусной проверки, этапа 221, на котором выполняют антивирусную проверку и этапа 222, на котором выносят вердикт об обнаружении вредоносного файла.

На этапе 211 определяют файлы, хранящиеся в хранилище файлов 101 «защищаемой виртуальной машины» 100, на которой работает упомянутый «тонкий клиент» 110, над которыми будет выполнена антивирусная проверка.

На этапе 212 собирают характеристики вычислительных ресурсов «виртуальной машины защиты» 120, на которой работает упомянутое средство проверки 121.

При этом в одном из вариантов реализации этап 212 может выполняться одновременно с этапом 214.

При этом в качестве характеристик вычислительных ресурсов «виртуальной машины защиты» 120 могут выступать:

- количество файлов, переданных средству проверки 121 для антивирусной проверки;

- вычислительная мощность «виртуальной машины защиты» 120, на которой работает средство проверки 121.

- оперативная память «виртуальной машины защиты» 120, в которой работает средство проверки 121;

- производительность процессора «виртуальной машины защиты» 120.

На этапе 213 определяют временную аппроксимационную зависимость характеристик вычислительных ресурсов для каждой «виртуальной машины защиты» 120, на основании анализа собранных на этапе 212 характеристик вычислительных ресурсов, при этом описываемая аппроксимационная зависимость имеет вид:

где: F_char - временная аппроксимационная функция,

- собранные на этапе 212 характеристики вычислительных ресурсов «виртуальной машины защиты» 120,

- характеристики вычислительных ресурсов «виртуальной машины защиты» 120, доступные на момент времени t_k,

t_i, t_j - время определения характеристик вычислительных ресурсов «виртуальной машины защиты» 120,

и описывается параметрами а₁, а₂, …a_i, так, что описываемая аппроксимационная зависимость может быть представлена в виде:

где: - собранные средством сбора 111 характеристики вычислительных ресурсов «виртуальной машины защиты» 120,

t_i - время сбора характеристик вычислительных ресурсов «виртуальной машины защиты» 120,

a _i - числовые коэффициенты, описывающие аппроксимационную зависимость.

При этом для вычисления параметров, описывающих временные аппроксимационные зависимости, могут применяться методы регрессионного анализа.

На этапе 214 собирают параметры антивирусной проверки средств проверки 121, которые установлены на соответствующих «виртуальных машинах защиты» 120, при этом упомянутые параметры определяют правила использования средствами проверки 121 вычислительных ресурсов соответствующих «виртуальных машин защиты» 120.

При этом в одном из вариантов реализации этап 214 может выполняться одновременно с этапом 212.

При этом в качестве параметров антивирусной проверки, выполняемой средством проверки 121, могут выступать:

сигнатурный анализ,

эвристический анализ,

анализ результатов эмуляции,

анализ черных и белых списков;

При этом в качестве параметров, описывающих методы обнаружения вредоносных файлов, могут выступать:

- максимальное время, в течение которого осуществляется антивирусная проверка;

- глубина эмуляции проверяемых файлов.

На этапе 215 определяют аппроксимационную зависимость параметров антивирусной проверки каждого средства проверки 121 от характеристик вычислительных ресурсов соответствующей «виртуальной машины защиты» 120 на основании анализа собранных на этапе 214 параметров антивирусной проверки, при этом описываемая аппроксимационная зависимость имеет вид:

где: F_params аппроксимационная функция,

- предполагаемые для характеристик вычислительных ресурсов C_k параметры антивирусной проверки,

где: - собранные средством сбора 111 параметры антивирусной проверки, выполняемой средством проверки 121,

C_i - характеристики вычислительных ресурсов «виртуальной машины защиты» 120,

b_i - числовые коэффициенты, описывающие аппроксимационную зависимость.

На этапе 216 определяют временную аппроксимационную зависимость эффективности антивирусной проверки на каждой «виртуальной машине защиты» 120 как композицию определенных на этапах 213 и 215 зависимостей, где композиция зависимостей представляет собой зависимость, полученную применением одной зависимости к результатам другой зависимости, при этом эффективность антивирусной проверки характеризует объем вычислительных ресурсов, требуемый «виртуальной машине защиты» 120 для достижения установленного результата антивирусной проверки, при этом описываемая аппроксимационная зависимость имеет вид:

E=F_efficiency({F}, {C}, {P}),

где:

F_efficiency аппроксимационная зависимость,

- тип файла,

- размер файла,

F_BUSY({F}, {C}, {P})=C({F})×P({F}),

где: {F} - параметры, характеризующие полученные средством формирования задач 114 файлы,

На этапе 217 выбирают средство проверки 121 на основании полученной на этапе 216 зависимости эффективности антивирусной проверки.

При этом в качестве выбранного средства проверки 121 может выступать:

- средство проверки 121 с наинизшим вычисленным уровнем загрузки;

- одно средство проверки 121 с вычисленным уровнем загрузки ниже установленного порогового значения;

- не менее двух средств проверки 121 из совокупности средств проверки 121, чей суммарный вычисленный уровень загрузки ниже суммарного уровня загрузки оставшихся средств проверки 121 из совокупности средств проверки 121.

На этапе 218 определяют для выбранного на этапе 217 средства проверки 121 время начала выполнения антивирусной проверки таким образом, чтобы выполнялся по меньшей мере один из следующих критериев:

- антивирусная проверка занимает наименьшее время;

- антивирусная проверка занимает время меньше установленного;

- антивирусная проверка будет закончена не позднее установленного времени;

- для выполнения антивирусной проверки требуется минимальное количество вычислительных ресурсов «виртуальной машины защиты» 120;

- для выполнения антивирусной проверки требуется вычислительных ресурсов «виртуальной машины защиты» 120 меньше установленного;

На этапе 221 выполняют антивирусную проверку файлов, определенных на этапе 211.

На этапе 222 выносят вердикт об обнаружении вредоносных файлов.

График временной аппроксимационной зависимости характеристик вычислительных ресурсов «виртуальных машин защиты» 301 содержит временные характеристики вычислительных ресурсов «виртуальной машины защиты» 302 и построенную аппроксимационную зависимость 303.

Временная аппроксимационная зависимость 301 характеристик вычислительных ресурсов «виртуальной машины защиты» 120 определяется средством вычисления динамики 112, работающим в составе средства «тонкий клиент» 110 на «защищаемой виртуальной машине» 100, на основании данных, характеризующих «виртуальную машину защиты» 120, полученных от средства сбора 111, работающего в составе упомянутого средства «тонкий клиент» 110.

В качестве временных характеристик вычислительных ресурсов «виртуальной машины защиты» 302 выступает уровень загрузки процессора «виртуальной машины защиты» (выраженной в процентах, от 0% до 100%) в зависимости от времени (выраженного в секундах, от 0 до 50).

Доступны характеристики вычислительных ресурсов «виртуальной машины защиты» 302 для 49 временных меток Ставится задача построить аппроксимационную зависимость 303, с помощью которой можно вычислить предполагаемую загрузку «виртуальной машины защиты» во время t₅₀. С этой целью может применяться один из нескольких методов регрессионного анализа, например «метод наименьших квадратов» (англ. least squares).

На первом этапе выбирается одна из функций, которая должна описывать аппроксимационную зависимость, например полиноминальное функция 6 степени:

F_CHAR(X)=а₁×Х¹+а₂×X²+…+а₆×X⁶.

На следующем этапе решается система уравнений для вычисления коэффициентов уравнения F_CHAR(X) a₁…a₆, таким образом, чтобы выполнялось условие:

После того, как коэффициенты a₁…a₆ вычислены, зная значение времени t₅₀, вычисляется значение предполагаемой загрузки процессора «виртуальной машины защиты». Для данных, отображенных на графике 301 для времени t₅₀=50 сек, оно составляет X₅₀=85%.

График временных аппроксимационных зависимостей характеристик вычислительных ресурсов нескольких «виртуальных машин защиты» 400 содержит временные характеристики вычислительных ресурсов «виртуальных машин защиты» 401, 411 и 421, построенные на основании анализа временных характеристик вычислительных ресурсов «виртуальных машин защиты» аппроксимационные зависимости 402, 412 и 422 соответственно и итоговую суммарную аппроксимационную зависимость 430.

Временные аппроксимационные зависимости 402, 412 и 422 характеристик вычислительных ресурсов «виртуальных машин защиты» 120.1, 120.2 и 120.3 соответственно определяется средством вычисления динамики 112, работающим в составе средства «тонкий клиент» 110 на «защищаемой виртуальной машине» 100 на основании данных, характеризующих «виртуальные машины защиты» 120.1, 120.2 и 120.3 и полученных от средства сбора 111, работающего в составе упомянутого средства «тонкий клиент» 110.

Временные аппроксимационные зависимости характеристик вычислительных ресурсов «виртуальных машин защиты» 401, 411 и 421 были получены методами, рассмотренными при описании Фиг. 3.

В качестве временных характеристик вычислительных ресурсов «виртуальной машин защит» 401, 411 и 421 выступает уровень загрузки процессора каждой из «виртуальных машин защиты» (выраженной в процентах, от 0% до 100%) в зависимости от времени (выраженного в секундах, от 0 до 25).

После вычисления временных аппроксимационных зависимостей загрузки процессора каждой «виртуальной машины защиты» вычисляется аппроксимационная зависимость суммарной загрузки процессоров системы всех «виртуальных машин защиты» 430:

Для выбора времени передачи файла на проверку «серверу защиты» 120 одной из «виртуальных машин защиты» требуется определить, когда суммарная загрузка процессоров всех «виртуальных машин защиты» будет минимальна. Зная время минимальной суммарной загрузки процессоров «виртуальных машин защиты», выбирается «виртуальная машина защиты» с минимальной среди всех доступных «виртуальных машин защиты» загрузкой процессора, и именно ее «серверу защиты» 120 передается файл для проведения антивирусной проверки.

Фиг. 5 иллюстрирует компьютерную систему общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 5. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

1. Система проведения антивирусной проверки файлов на виртуальных машинах, при этом упомянутая система содержит:

а) «защищаемую виртуальную машину», которая взаимодействует по меньшей мере с двумя «виртуальными машинами защиты», при этом «защищаемая виртуальная машина» содержит:

средство формирования задач, предназначенное для:

- определения по меньшей мере одного файла «защищаемой виртуальной машины» для выполнения антивирусной проверки;

- передачи средству сбора команды для проведения сбора информации;

- передачи определенного файла «виртуальной машине защиты», информация о которой предоставляется средством выбора, согласно определенному средством выбора времени проверки;

средство сбора, предназначенное для:

- сбора характеристик вычислительных ресурсов по меньшей мере двух «виртуальных машин защиты»;

- сбора параметров антивирусной проверки по меньшей мере двух «виртуальных машин защиты», при этом упомянутые параметры определяют правила использования «виртуальными машинами защиты» вычислительных ресурсов, соответствующих «виртуальных машин защиты»;

- передачи собранных характеристик вычислительных ресурсов и параметров антивирусной проверки средству вычисления динамики;

средство вычисления динамики, предназначенное для:

- определения временной аппроксимационной зависимости характеристик вычислительных ресурсов для каждой «виртуальной машины защиты», на основании анализа собранных характеристик вычислительных ресурсов;

- определения аппроксимационной зависимости параметров антивирусной проверки каждой «виртуальной машины защиты» от характеристик вычислительных ресурсов соответствующей «виртуальной машины защиты», на основании анализа собранных параметров антивирусной проверки;

- определения временной аппроксимационной зависимости эффективности антивирусной проверки на каждой «виртуальной машине защиты» как композиции определенных зависимостей, где композиция зависимостей представляет собой зависимость, полученную применением одной зависимости к результатам другой зависимости, при этом эффективность антивирусной проверки характеризует объем вычислительных ресурсов, требуемый «виртуальной машине защиты» для достижения установленного результата антивирусной проверки;

- передачи временной аппроксимационной зависимости эффективности антивирусной проверки на каждой «виртуальной машины защиты» средству выбора;

упомянутое средство выбора, предназначенное для:

- выбора «виртуальной машины защиты» на основании полученной зависимости эффективности антивирусной проверки;

- определения для выбранной «виртуальной машины защиты» времени начала выполнения антивирусной проверки таким образом, чтобы антивирусная проверка была закончена не позднее установленного времени и выполнялся по меньшей мере один из следующих критериев:

антивирусная проверка занимает наименьшее время;

антивирусная проверка занимает время меньше установленного;

для выполнения антивирусной проверки требуется минимальное количество вычислительных ресурсов;

для выполнения антивирусной проверки требуется вычислительных ресурсов меньше установленного;

- передачи средству формирования задач информации о выбранной «виртуальной машине защиты», которая содержит наиболее эффективное время начала выполнения антивирусной проверки, выбранной «виртуальной машины защиты»;

б) по меньшей мере две «виртуальные машины защиты», предназначенные для:

выполнения антивирусной проверки файла, полученного от средства формирования задачами в определенное время, при этом выполнение антивирусной проверки файла выполняется на выбранной средством выбора «виртуальной машине защиты».

2. Система по п. 1, в которой в качестве параметров антивирусной проверки выступают по меньшей мере:

методы обнаружения вредоносных файлов, используемые «виртуальной машиной защиты» для выполнения антивирусной проверки;

характеристики вычислительных ресурсов, используемые «виртуальной машиной защиты» для выполнения антивирусной проверки.

3. Система по п. 1, в которой аппроксимационная зависимость определяется методом регрессионного анализа.

4. Система по п. 1, в которой в качестве выбранной «виртуальной машины защиты» выступает «виртуальная машина защиты», способная по меньшей мере выполнить антивирусную проверку определенного файла с помощью вычислительных ресурсов, доступных в установленный диапазон времени.

5. Способ проведения антивирусной проверки файлов на виртуальных машинах, при этом способ содержит этапы, которые реализуются с помощью средств из системы по п. 1 и на которых:

а) определяют по меньшей мере один файл «защищаемой виртуальной машины» для выполнения антивирусной проверки;

б) собирают характеристики вычислительных ресурсов по меньшей мере двух «виртуальных машин защиты»;

в) определяют временную аппроксимационную зависимость характеристик вычислительных ресурсов для каждой «виртуальной машины защиты» на основании анализа собранных на предыдущем этапе характеристик вычислительных ресурсов;

г) собирают параметры антивирусной проверки по меньшей мере двух «виртуальных машин защиты», при этом упомянутые параметры определяют правила использования «виртуальными машинами защиты» вычислительных ресурсов, соответствующих «виртуальных машин защиты»;

д) определяют аппроксимационную зависимость параметров антивирусной проверки каждой «виртуальной машины защиты» от характеристик вычислительных ресурсов соответствующей «виртуальной машины защиты», на основании анализа собранных на предыдущем этапе параметров антивирусной проверки;

е) определяют временную аппроксимационную зависимость эффективности антивирусной проверки на каждой «виртуальной машине защиты» как композицию определенных на этапах в) и д) зависимостей, где композиция зависимостей представляет собой зависимость, полученную применением одной зависимости к результатам другой зависимости, при этом эффективность антивирусной проверки характеризует объем вычислительных ресурсов, требуемый «виртуальной машине защиты» для достижения установленного результата антивирусной проверки;

ж) выбирают «виртуальную машину защиты» на основании определенной на предыдущем этапе зависимости эффективности антивирусной проверки;

з) определяют для выбранной на предыдущем этапе «виртуальной машины защиты» время начала выполнения антивирусной проверки таким образом, чтобы антивирусная проверка была закончена не позднее установленного времени и выполнялся по меньшей мере один из следующих критериев:

антивирусная проверка занимает наименьшее время;

антивирусная проверка занимает время меньше установленного;

для выполнения антивирусной проверки требуется минимальное количество вычислительных ресурсов;

для выполнения антивирусной проверки требуется вычислительных ресурсов меньше установленного;

и) передают определенный на этапе а) файл выбранной на этапе ж) «виртуальной машины защиты» согласно определенному на этапе з) времени проверки.

6. Способ по п. 5, по которому в качестве параметров антивирусной проверки выступают по меньшей мере:

7. Способ по п. 5, по которому аппроксимационная зависимость определяется методом регрессионного анализа.

8. Способ по п. 5, по которому в качестве выбранной «виртуальной машины защиты» выступает «виртуальная машина защиты», способная по меньшей мере выполнить антивирусную проверку определенного файла с помощью вычислительных ресурсов, доступных в установленный диапазон времени.

Изобретение относится к выполнению антивирусной проверки файла на виртуальной машине. Технический результат заключается в обнаружении вредоносного файла, содержащего программный код, который затрудняет обнаружение данного вредоносного файла при исполнении файла на виртуальной машине.

Способ обнаружения вредоносных сборок // 2628920

Изобретение относится к области обнаружения вредоносных образов машинных кодов на устройстве. Технический результат настоящего изобретения заключается в повышении безопасности устройства путем обнаружения вредоносного образа машинного кода.

Система и способ обнаружения вредоносных файлов на распределённой системе виртуальных машин // 2628919

Изобретение предназначено для антивирусной проверки файлов. Технический результат настоящего изобретения заключается в повышении скорости выполнения антивирусной проверки файлов за счет распределения файлов, предназначенных для выполнения антивирусной проверки, по виртуальным машинам.

Способ оценки степени влияния антивирусных программных средств на качество функционирования информационно-вычислительных систем // 2628899

Изобретение относится к антивирусным программным средствам (АВПС), предназначенным для защиты информационно-вычислительных систем от компьютерных вирусов и вредоносных программ.

Способ контроля целостности данных в информационно-вычислительных системах // 2628894

Изобретение относится к области контроля целостности данных в информационно-вычислительных системах. Технический результат изобретения заключается в снижении ресурсоемкости контроля целостности данных в информационно-вычислительных системах за счет того, что в процессе функционирования информационно-вычислительной системы осуществляется контроль целостности только тех объектов файловой системы, которые могут быть потенциально изменены и только в те моменты, когда эти объекты открываются для совершения с ними каких-либо действий, которые могут нарушить целостность этих объектов.

Способ и устройство для управления доступом // 2628483

Изобретение относится к способу и устройству управления доступом на сервере альянса цифровых сетей для дома (DLNA). Технический результат заключается в предотвращении возникновения злонамеренного доступа и потенциальных угроз безопасности.

Система мониторинга безопасности компьютеров специального назначения // 2628458

Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении эффективности защиты компьютера от несанкционированных действий.

Система на кристалле для выполнения безопасной начальной загрузки, использующее ее устройство формирования изображения и способ ее использования // 2628325

Изобретение относится к компьютерной технике. Технический результат – улучшение безопасности процесса начальной загрузки оперативной памяти.

Способ и устройство для обработки детского режима // 2628258

Изобретение относится к способу и устройству для обработки детского режима, относящимся к области интернет-технологий. Технический результат заключается в обеспечении возможности обычного использования приложений без негативного влияния со стороны детского режима.

Способ, устройство и терминал для защиты прикладной программы // 2628214

Изобретение относится к способу, устройству и терминалу для защиты прикладной программы. Технический результат заключается в повышении защиты прикладной программы.

Система и способ защиты данных при взаимодействии мобильного устройства с компьютером // 2628924

Изобретение относится к области защиты данных при взаимодействии мобильного устройства с компьютером. Технический результат настоящего изобретения заключается в защите данных пользователя при подключении мобильного устройства к компьютеру за счет проверки компьютера на безопасность подключения мобильного устройства с последующим формированием режима передачи данных. Раскрыт способ проверки компьютера на безопасность подключения мобильного устройства с последующим формированием режима передачи данных между устройствами, в котором: подключают мобильное устройство к компьютеру с помощью адаптера безопасности; определяют наличие или отсутствие запроса от компьютера на установление соединения с мобильным устройством для обмена данными; отправляют мобильному устройству запрос на определение уровня безопасности; собирают параметры окружения; определяют уровень безопасности на основании собранных параметров окружения; определяют количество новых запросов на установление соединения с мобильным устройством во время ожидания уровня безопасности от мобильного устройства; выбирают правило формирования режима передачи данных между мобильным устройством и компьютером; формируют режим передачи данных согласно выбранному правилу. 3 н. и 16 з.п. ф-лы, 5 ил.

Система и способ защищенной передачи аудиоданных от микрофона к процессам // 2628925

Изобретение относится к области защищенной передачи аудиоданных от микрофона к процессам посредством шифрования. Технический результат изобретения заключается в защите аудиоданных, передаваемых от микрофона к процессам, от перехвата. Система защищенной передачи аудиоданных от микрофона к процессам содержит: вычислительное устройство, содержащее: по меньшей мере, один процессор; средства ввода и вывода, взаимодействующие, по меньшей мере, с одним процессором; и носитель информации, содержащий операционную систему, множество инструкций, исполняемых, по меньшей мере, на одном процессоре, и подсистему защищенной передачи аудиоданных; при этом операционная система включает в себя аудиоподсистему, содержащую: средство управления аудиопотоками, с которым при помощи API-функций взаимодействуют процессы для создания и управления аудиопотоками, связанное со средством микширования и обработки аудиопотоков; средство микширования и обработки аудиопотоков, предназначенное для обработки аудиопотоков при помощи средств обработки аудио (Audio Processing Objects, APOs), а также маршрутизации аудиопотоков между процессами и конечным устройством, являющимся микрофоном, во время которой осуществляется передача аудиоданных от упомянутого микрофона к процессам посредством отдельных буферов, в которые упомянутое средство микширования и обработки аудиопотоков записывает аудиоданные, а процессы считывают упомянутые аудиоданные при помощи вызова API-функции; при этом подсистема защищенной передачи аудиоданных содержит: средство фильтрации RPC-трафика, осуществляющее мониторинг RPC-трафика между средством управления аудиопотоками и средством микширования и обработки аудиопотоков, предназначенное для обнаружения RPC-запросов создания аудиопотоков, связанных с конечным аудиоустройством, являющимся микрофоном, и для определения идентификаторов процессов, для которых запрашивается создание аудиопотоков, связанное со средством криптографической защиты аудиопотоков; средство криптографической защиты аудиопотоков, предназначенное для шифрования аудиоданных в рамках средства микширования и обработки аудиопотоков при помощи средств обработки аудио (Audio Processing Objects, APOs), также предназначенное для установки перехватчиков вызова API-функции, посредством которой процессы считывают аудиоданные из отдельных буферов, используемых средством микширования и обработки аудиопотоков для осуществления передачи аудиоданных от конечного устройства, являющегося микрофоном, к процессам, где упомянутые перехватчики устанавливаются для процессов, идентификаторы которых были определены средством фильтрации RPC-трафика, и также предназначенное для выполнения процедуры расшифрования аудиоданных и передачи расшифрованных аудиоданных процессам. 2 н. и 12 з.п. ф-лы, 7 ил.

Способ и сервер определения спам активности в облачной системе // 2629444

Изобретение относится к облачному сетевому сервису. Технический результат заключается в определении спам-активности в облачном сервисе. Предложен способ определения спам-активности в облачном сервисе, который расположен на сервере, сервер обладает цифровым объектом, который хранится на нем, сервер доступен по сети передачи данных множеству пользователей облачного сервиса, в котором получают от первого пользователя из множества пользователей сервиса облачного хранения указание на первое действие по предоставлению совместного доступа к цифровому объекту; в ответ на первое указание увеличивают значение счетчика действий по предоставлению совместного доступа, связанного с цифровым объектом; получают от второго пользователя из множества пользователей указание на второе действие по предоставлению совместного доступа к цифровому объекту; в ответ на второе указание осуществляют дальнейшее увеличение значения счетчика действий по предоставлению совместного доступа, связанного с цифровым объектом; в ответ на то, что значение счетчика действий по предоставлению совместного доступа достигает заранее определенного порогового значения, выполняют действия по прекращению спам-активности, связанные с цифровым объектом. 2 н. и 35 з.п. ф-лы, 6 ил.

Способ гарантированного обезличивания электронных документов // 2629445

Изобретение относится к защите персональных данных. Технический результат – эффективная защита персональных данных. Способ гарантированного обезличивания электронных документов пользователя, в котором: создают пару ключей, считывают несколько примеров биометрического образа пользователя, из каждого примера биометрического образа извлекают контролируемые биометрические параметры, осуществляют обучение на этих параметрах искусственной нейронной сети с целью последующего преобразования биометрических параметров в личный ключ пользователя, далее примеры биометрического образа пользователя уничтожают, сохраняя параметры обученной искусственной нейронной сети в базе данных или в обезличенном электронном документе, получают цифровую фотографию пользователя, формируют производную от личного ключа, уничтожают личный ключ пользователя, шифруют цифровую фотографию пользователя на производной от его личного ключа, размещают шифрованную цифровую фотографию в базе данных или в обезличенном электронном документе, при проведении обезличенной проверки пользователя проверяемый предъявляет свой биометрический образ, далее этот образ преобразуют искусственной нейронной сетью в личный ключ пользователя, получают производную личного ключа и расшифровывают на производном ключе цифровую фотографию, далее расшифрованную фотографию предъявляют проверяющему, а также проводят автоматическую биометрическую аутентификацию на личном ключе и сообщают результат проверяющему, дополнительно проверяющий сравнивает органолептически лицо проверяемого с расшифрованной фотографией, далее расшифрованную цифровую фотографию пользователя уничтожают, если проверяющий принял решение о полном соответствии черт лица проверяемого и черт лица на расшифрованной фотографии, если проверяющий принял решение о несоответствии проверяемого лица и черт лица на расшифрованной фотографии, то лицо проверяемого повторно фотографируют и запоминают вместе с расшифрованной ранее фотографией, перед запоминанием пары фотографий их шифруют на открытом ключе проверяющего и открытом ключе лица, которое позднее будет проводить разбор инцидента, после запоминания двух шифрованных фотографий исходную пару фотографий уничтожают. 1 з.п. ф-лы.

Способ и устройство для передачи ресурсов // 2629447

Изобретение раскрывает способ и устройство для передачи ресурсов, которое относится к области компьютерных технологий. Технический результат заключается в уменьшении сложности потоковой передачи ресурсов с одновременным обеспечением безопасности. Способ передачи ресурсов включает в себя прием запроса на передачу ресурсов, запрашивающий передачу ресурсов, отправленный по номеру счета передачи; определение, принята ли физиологическая характеристика, собранная мобильным устройством, привязанным к номеру счета передачи; и, если определено, что принята физиологическая характеристика, собранная мобильным устройством, привязанным к номеру счета передачи, передачи ресурсов, если физиологическая характеристика соответствует сохраненной модели физиологической характеристики для номера счета передачи. 3 н. и 8 з.п. ф-лы, 9 ил.

Способ контроля доступа к файлам // 2630163

Изобретение относится к вычислительной технике, а именно к защите от несанкционированного доступа к информации, обрабатываемой и хранимой в информационно-вычислительных системах различного назначения. Технический результат – снижение времени обращения к файлам при контроле прав доступа к ним и соответственно повышение быстродействия информационно-вычислительной системы в целом. Способ контроля доступа к файлам заключается в предварительном (на этапе получения доступа к операционной системе пользователем, после его идентификации) формировании списков файлов, с которыми пользователю разрешено проводить различные действия. При этом для каждого действия формируются свои списки, которые после входа пользователя помещаются в оперативную память, в область, недоступную для несанкционированного доступа. 1 ил.

Способ криптографического преобразования информации // 2630423

Изобретение относится к способам и средствам криптографического преобразования информации. Технический результат - повышение криптостойкости информации, получаемой в результате преобразования. Способ криптографического преобразования входной информации в выходную производят за S последовательно выполняемых раундов с использованием криптографических преобразователей и соответствующих раундовых ключей в каждом из раундов, причем криптографическое преобразование информации производят на N параллельно работающих преобразователях с разными раундовыми ключами для каждого преобразователя, которые меняют через каждые R раундов (0<R<=S), при этом, получаемые промежуточные данные в каждом раунде на выходах каждого из N параллельно работающих криптографических преобразователей разбивают на N частей произвольного размера и используют их в качестве входных данных для последующего раунда криптографических преобразований в N параллельно работающих криптографических преобразователях, причем части выходных промежуточных данных в каждом раунде на выходах каждого из N параллельно работающих криптографических преобразователей подают во все N параллельно работающие криптографические преобразователи. 1 ил.

Средство экстренного уничтожения носителей информации // 2630487

Изобретение относится к средствам защиты информации. Средство экстренного уничтожения носителей информации состоит из прочного металлического корпуса, пластин из пиротехнического состава, подпружиненной пружиной кнопки-бойка, размещенной во вворачиваемой в корпус втулке, капсюля воспламенителя, кумулятивного заряда, расположенного вдоль закрытых мембранами отверстий, предназначенных для истекания кумулятивных струй внутрь камеры. Изобретение позволяет уничтожить носителя защищаемой информации под воздействием высокой температуры, создаваемой кумулятивной струей в замкнутом объеме. 2 ил.

Самонастраивающаяся интерактивная система, способ и считываемый компьютером носитель данных обмена комментариями между пользователями // 2630741

Группа изобретений относится к технологиям обмена данными в социальных сетях с помощью технологии клиент-сервер. Техническим результатом является создание самонастраивающейся интерактивной системы обмена комментариями между пользователями на веб-страницах с использованием технологии клиент-сервер, которая позволила бы осуществлять оценку доверия комментариям пользователей посредством рейтинга пользователя и автоматическую блокировку пользователя с низким рейтингом. Предложена самонастраивающаяся интерактивная система обмена комментариями между пользователями, по меньшей мере, в одной социальной сети, с использованием технологии клиент-сервер. Система содержит модуль доступа, модуль создания профиля пользователя, пользовательское устройство, модуль оценки надежности профиля пользователя, модуль анализа интересов пользователя, базу данных. Модуль оценки надежности профиля пользователя предназначен для вычисления рейтинга пользователя, который показывает уровень доверия комментариям этого пользователя, оценки тематического контента комментариев и постов пользователей, в зависимости от рейтинга пользователей и/или личных предпочтений пользователей. 3 н. и 33 з.п. ф-лы, 16 ил.

Способ, система и устройство для биометрического распознавания радужной оболочки глаза // 2630742

Группа изобретений относится к технологиям биометрической идентификации пользователей. Техническим результатом является расширение арсенала технических средств по биометрическому распознаванию радужной оболочки глаза пользователя. Предложен способ для биометрического распознавания радужной оболочки глаза пользователя. Способ содержит этап, на котором получают последовательность изображений, получают изображения глаза из последовательности. Далее согласно способу собирают набор из n изображений глаза посредством этапов, на которых: отбрасывают изображения глаза ненадлежащего качества; определяют значение качества изображения глаза для каждого из изображений глаза, оставшихся после отбрасывания. Далее компонуют набор из n изображений глаза посредством замены одного или более изображений глаза, имеющих более низкое значение качества изображения глаза, на одно или более изображений глаза, имеющих более высокое значение качества изображения глаза. 3 н. и 10 з.п. ф-лы, 31 ил.