Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью

Авторы патента:

G06F21/55 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2634209:

Общество с ограниченной ответственностью "Группа АйБи ТДС" (RU)

Изобретение относится к области обнаружения компьютерных атак. Техническим результатом является повышение эффективности выявления компьютерных атак. Способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью, выполняемый на сервере, включает, по крайней мере, следующие шаги: получают, по крайней мере, одно событие из базы данных событий, сформированной данными, полученными от, по крайней мере, одного сенсора; анализируют полученное, по крайней мере, одно событие на принадлежность к классу взаимодействия с центрами управления вредоносных программ; извлекают из, по крайней мере, одного вышеупомянутого события, относящегося к классу взаимодействия с центрами управления вредоносных программ, по крайней мере, один признак, используемый для формирования решающих правил; формируют решающие правила с использованием, по крайней мере, одного вышеупомянутого извлеченного признака; сохраняют сформированные решающие правила и предоставляют возможность получения обновления решающих правил для, по крайней мере, одного сенсора; сенсоры циклично проверяют доступность обновлений на центральном узле и при наличии обновлений получают их для использования, при этом в случае получения обновлений на сенсорах срабатывает триггер, осуществляющий перезагрузку решающих правил. 2 н. и 6 з.п. ф-лы, 3 ил.

ОБЛАСТЬ ТЕХНИКИ

[0001] Техническое решение относится к компьютерным системам и более конкретно к системам и способам обнаружения компьютерных атак.

УРОВЕНЬ ТЕХНИКИ

[0002] В связи с бурным развитием компьютерной техники и компьютерных сетей все большую актуальность обретает задача детектирования компьютерных атак и своевременного обнаружения случаев заражения вредоносным ПО рабочих станций, мобильных устройств и серверов.

[0003] Важную роль в решении этой задачи играют Системы Обнаружения Вторжений (СОВ) сетевого уровня. Данные системы осуществляют анализ сетевого трафика с целью выявления сетевых сессий, связанных со взаимодействием зараженных устройств с командными центрами, распространением вредоносного ПО и несанкционированным удаленным управлением зараженными устройствами.

[0004] СОВ сетевого уровня используют базы решающих правил. Решающие правила содержат в себе ряд критериев, по которым осуществляется анализ сессий связи и регистрация событий ИБ. Критерии описывают, в рамках установленного синтаксиса, требования к содержимому и атрибутам сетевых соединений, считаемых системой вредоносными.

[0005] В практическом применении сетевых СОВ важными задачами являются:

- Своевременное обновление базы решающих правил для более эффективного детектирования новых угроз

- Снижения числа ошибок первого рода (ложно-положительных событий)

СУЩНОСТЬ ТЕХНИЧЕСКОГО РЕШЕНИЯ

[0006] Данное техническое решение направлено на устранение недостатков, присущих существующим решениям в известном уровне техники.

[0007] Технической задачей, решаемой в данном техническом решении, является создание способа и системы автогенерации решающих правил для систем обнаружения вторжений с обратной связью.

[0008] Техническим результатом данного технического решения является повышение эффективности выявления компьютерных атак.

[0009] Способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью выполняемый на сервере, включает, по крайней мере, следующие шаги: получают, по крайней мере, одно событие из базы данных событий, сформированной данными полученными от, по крайней мере, одного сенсора; анализируют полученное, по крайней мере, одно событие на принадлежность к классу взаимодействия с центрами управления вредоносных программ; извлекают из, по крайней мере, одного вышеупомянутого события относящегося к классу взаимодействия с центрами управления вредоносных программ, по крайней мере, один признак, используемый для формирования решающих правил; формируют решающие правила с использованием, по крайней мере, одного вышеупомянутого извлеченного признака; сохраняют сформированные решающие правила и предоставляют возможность получения обновления решающих правил для, по крайней мере, одного сенсора.

[00010] В некоторых вариантах реализации извлекаемым из события признаком является ip-адрес получателя данных или доменное имя, извлеченное из служебных заголовков передаваемых данных;

[00011] В некоторых вариантах реализации сформированные решающие правила включают комбинацию из, по крайней мере, двух следующих правил:

- отслеживание DNS запросов,

- отслеживание HTTP запросов,

- отслеживание сессий связи,

- отслеживание TLS-рукопожатий и сертификатов;

[00012] В некоторых вариантах реализации сохраняют сформированные решающие правила с использованием системы контроля версий;

[00013] В некоторых вариантах реализации в качестве системы контроля версий используют GIT или SVN или CVS или Mercurial;

[00014] В некоторых вариантах реализации дополнительно получают от, по крайней мере, одного сенсора пассивно собираемый список DNS-запросов с ответами;

[00015] В некоторых вариантах реализации при формировании решающих правил, включающих отслеживание HTTP запросов, используют полученный от, по крайней мере, одного сенсора пассивно собираемый список DNS-запросов с ответами;

[00016] В некоторых вариантах реализации данное техническое решение представляет собой систему автогенерации решающих правил для систем обнаружения вторжений с обратной связью, включающая следующие модули, выполняемые на сервере:

[00017] Модуль базы данных, выполненный с возможностью хранения данных включающих, по крайней мере:

- список идентификаторов правил (сигнатур), детектирующих взаимодействие с центрами управления вредоносных программ;

- список доверенных доменных имен;

- passiveDNS - пассивно собираемый сенсорами список DNS-запросов с ответами;

[00018] Модуль репозитория правил, выполненный с возможностью получения и хранения базы решающих правил с поддержкой версионности данных;

[00019] Модуль генерации правил, выполненный с возможностью:

получения событий из базы данных событий, сформированной данными,

полученными от, по крайней мере, одного сенсора;

анализа событий на принадлежность к классу взаимодействия с центрами управления вредоносных программ на основе списка идентификаторов правил, полученного от модуля базы данных;

извлечения признаков из событий, используемых для формирования решающих правил;

проверки наличия извлеченных признаков в списке доверенных имен полученном от модуля базы данных;

формирования решающих правил, включающих отслеживание всех DNS, HTTP запросов, сессий связи, TLS-рукопожатий и сертификатов, связанных с извлеченными признаками;

отправления сформированных решающих правил в модуль репозитория правил для сохранения;

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

[00020] Признаки и преимущества настоящего технического решения станут очевидными из приводимого ниже подробного описания и прилагаемых чертежей, на которых:

[00021] на Фиг. 1 показан пример возможной конфигурации сети;

[00022] на Фиг. 2 показана блок-схема способа автогенерации решающих правил для систем обнаружения вторжений с обратной связью;

[00023] на Фиг. 3 показан пример осуществления варианта технического решения согласно системе автогенерации решающих правил для систем обнаружения вторжений с обратной связью.

[00024] На всех фигурах линии со стрелками означают наличие и направление взаимодействия между объектами.

ПОДРОБНОЕ ОПИСАНИЕ

[00025] Данное техническое решение может быть реализовано на сервере или в виде машиночитаемого носителя, содержащего инструкции для выполнения вышеупомянутого способа или содержащего вышеупомянутую систему.

[00026] Техническое решение может быть реализовано в виде распределенной компьютерной системы, включающей два или более сервера, соединенных каналами связи. В данном техническом решении под сервером подразумевается компьютерная система, ЭВМ (электронно-вычислительная машина), ЧПУ (числовое программное управление), ПЛК (программируемый логический контроллер), компьютеризированные системы управления и любые другие устройства, способные выполнять заданную, четко определенную последовательность операций (действий, инструкций), имеющие возможность получать данные, отправлять запросы и принимать ответы на других серверов или устройств через каналы связи.

[00027] Под устройством обработки команд подразумевается электронный блок либо интегральная схема (микропроцессор), исполняющая машинные инструкции (программы).

[00028] Устройство обработки команд считывает и выполняет машинные инструкции (программы) с одного или более устройства хранения данных. В роли устройства хранения данных могут выступать, но не ограничиваясь, жесткие диски (HDD), флеш-память, ПЗУ (постоянное запоминающее устройство), твердотельные накопители (SSD), оптические приводы.

[00029] Программа - последовательность инструкций, предназначенных для исполнения устройством управления вычислительной машины или устройством обработки команд.

[00030] Ниже будут описаны понятия и определения, необходимые для подробного раскрытия осуществляемого технического решения.

[00031] Вредоносная программа - любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам самой ЭВМ или к информации, хранимой на ЭВМ, с целью несанкционированного использования ресурсов ЭВМ или причинения вреда (нанесения ущерба) владельцу информации, и/или владельцу ЭВМ, и/или владельцу сети ЭВМ, путем копирования, искажения, удаления или подмены информации.

[00032] RFC (Request for Comments) - документ из серии пронумерованных информационных документов Интернета, охватывающих технические спецификации и Стандарты, широко используемые во Всемирной сети.

[00033] Центр управления - в области компьютерной безопасности, включает в себя серверы и другие технические инфраструктуры, используемые для контроля вредоносных программ в целом и, в частности, ботнетов.

[00034] Системы обнаружения вторжения (СОВ) - это системы, собирающие информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующие эту информацию для выявления как попыток нарушения, так и реальных нарушений защиты (вторжений).

[00035] Ниже рассмотренный пример реализации является иллюстративным и не ограничивает сущность технического решения.

[00036] Способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью.

[00037] Рассмотрим принципиальную схему сети с установленной системой обнаружения вторжений.

[00038] Пусть имеется несколько подсетей (100 и 110), в каждой из которых располагается одно или более устройств (101, 111), имеющих доступ к сети. В качестве таких устройств могут выступать смартфоны, ноутбуки, планшеты, стационарные компьютеры, серверы или любые другие устройства, выполненные с возможностью подключения к сети и обмена данными. Также к сети могут быть подключены маршрутизаторы (105, 115). Для анализа сетевого трафика сетевое оборудование настраивается таким образом, чтобы осуществлять зеркалирование передаваемых пакетов данных сегментов на определенный порт, к которому и подключается устройство анализа трафика (далее сенсор). Сенсор (102, 112) производит мониторинг сетевого трафика и анализирует содержимое сессий связи на наличие вредоносных признаков. В качестве сенсора используется компьютер или любое другое устройство имеющее, по крайней мере, 2 сетевые карты (NIC), при этом одна сетевая карта сенсора используется для захвата сетевого трафика, а вторая используется для управления, настройки и коммуникаций с сервером, выполняющим функционал центрального узла (130).

[00039] Центральный узел (ЦУ) в такой системе реализует следующую функциональность:

- Защищенная частная виртуальную сеть для безопасного взаимодействия между Центром и множеством сенсоров анализа трафика.

- Горизонтально-распределенное хранение и обработку поступающих событий, в том числе автогенерацию новых правил на основе извлекаемой метаинформации о вредоносных соединениях. Таким образом, получаемая даже с одного сенсора информация агрегируется и централизованно учитывается при формировании новых сигнатур, доставляемых на все сенсоры сети анализа трафика.

[00040] В некоторых вариантах реализации сенсоры пассивно собирают информацию о происходящих события в сети и отправляют ее на центральный узел (ЦУ). В качестве такой информации может быть информация о DNS-запросах с ответами (PassiveDNS).

[00041] Пусть на некотором сенсоре sensor_1 срабатывает правило rule_1. Под правилом понимают набор признаков, характерных вредоносному сетевому трафику. Признаки, используемые в правиле, могут быть отнесены к любому из протоколов модели OSI, поддерживаемому СОВ. В данном техническом решении используются правила, работающие со следующими уровнями и протоколами (согласно модели OSI):

[00042] Сетевой уровень - IP, ICMP, но не ограничиваясь;

[00043] Транспортный уровень - TCP, UDP, SCTP, но не ограничиваясь;

[00044] Прикладной - HTTP, DNS, FTP, SMTP, IRC и другие прикладные протоколы.

[00045] Правила имеют собственную классификацию. В зависимости от СОВ может использоваться различная классификация правил (сигнатур). В качестве иллюстративного примера частично приведем классификацию правил (сигнатур) COB Bot-Trek TDS:

- banking-trojan - правила обнаруживающие вредоносное ПО, атакующее системы дистанционного банковского обслуживания;

- mobile-trojan - детектируют заражения мобильных устройств и коммуникацию с используемыми командными центрами;

- backdoor - правила срабатывают при обнаружение характерных сетевых соединений инициированными известными программами для удаленного доступа к компьютеру или серверу;

- apt-trojan - срабатывают на сетевое взаимодействие с командными центрами троянов, отнесенных к используемым в целевых атаках;

- ek-activity - фиксируют взаимодействия с узлами, на которых размещены так называемые «Связки эксплоитов», т.е. Наборы вредонсоного ПО для удаленной эксплуатации уязвимостей в браузерах и их плагинах;

- botnet-cnc - срабатывает на трафик, схожий с тем, который генерирует С&С (Command&Control Centre) - центр управления ботнетом;

- dos, ddos - оповещают о трафике, генерируемом известными методами, вызывающими отказ в обслуживание (например, Trin00);

[00046] Затем после срабатывания правила rule_1 на сенсоре sensor_1 создается событие event_1, содержащее, по крайней мере, следующие свойства:

- Время регистрации события (event_1);

- Уникальный идентификатор сенсора, на котором произошло событие (sensor_1);

- Уникальный идентификатор сработавшего правила (rule_1);

- IP-адрес источника пакета;

- IP-адрес получателя пакета;

- Используемый протокол передачи данных;

- Служебные заголовки пакетов данных;

- Фрагмент полезной нагрузки вредоносного пакета, на котором произошло срабатывание правила.

[00047] Согласно модели OSI, протоколы более высокого уровня реализуются на базе протоколов более низкого уровня. Например, протокол HTTP может быть реализован поверх протокола TCP, который в свою очередь реализуется поверх протокола IP. Некоторые из протоколов высокого уровня могут быть реализованы поверх протокола UDP или других протоколов. Таким образом, IP адрес получателя и источника пакета, служебные заголовки пакетов данных, фрагмент полезной нагрузки вредоносного пакета извлекаются на уровне протоколов TCP/UDP и IP или других протоколов, которые располагают такой информацией или поверх которых реализован текущий протокол, на котором произошло срабатывание правила. Служебные заголовки пакетов данных представляют собой данные, хранящиеся в заголовке пакета, в соответствии с RFC данного протокола.

[00048] Затем данное событие event_1 сенсор sensor_1 отправляет на Центральный узел (ЦУ), который получает данное событие, производит его анализ и сохраняет в базе событий.

[00049] Далее, система автогенерации решающих правил получает событие из базы данных событий (201) и анализирует его на принадлежность к классу взаимодействия с центрами управления вредоносных программ (202). Если событие относится к такому классу, то из события извлекают признаки, используемые для формирования решающих правил (203). Проверка наличия новых событий может осуществляться периодически или при помощи механизма оповещений.

[00050] В качестве признаков могут использоваться любые идентификаторы, указывающие на сетевой адрес центра управления вредоносных программ или атакуемого узла. В качестве таких идентификаторов могут выступать ip-адрес получателя данных (пакета) или доменное имя, извлеченное из служебных заголовков, передаваемых данных (пакета). Так, например, для протокола HTTP доменное имя извлекается из служебного поля Host. Для DNS доменное имя извлекается из бинарной структуры передачи данных в соответствии с RFC 1035. В случае TLS, доменное имя извлекается из расширенного «client hello» сообщения (SNI, RFC3546). В общем случае извлечение признаков происходит из структур данных согласно RFC протоколу.

[00051] После извлечения признаков система автогенерации решающих правил проверяет наличие извлеченных признаков в списке доверенных имен. Если признаки присутствуют в данном списке, то их дальнейшая обработка отменяется.

[00052] Затем система автогенерации решающих правил формирует решающие правила (204), включающие отслеживание всех DNS, HTTP запросов, сессий связи, TLS-рукопожатий и сертификатов, связанных с извлеченными признаками. Сформированные решающие правила могут включать, но не ограничиваясь, следующие правила:

- фиксировать все DNS-запросы о зоне, связанной с извлеченным доменным именем (если извлеченные признаки содержат домен). Такие правила позволяют детектировать зараженные узлы даже в случае неактивности командного центра (сервера в сети связи, используемого для управления сетью зараженных устройств и сбора информации). В этом случае детектирование заражения осуществляется по трафику службы DNS: разрешение доменного имени осуществляется даже в случае неактивности командного центра или снятого с делегирования доменного имени;

- фиксировать все HTTP-запросы к извлеченному доменному имени (если извлеченные признаки содержат домен);

- фиксировать все TLS-рукопожатия и сертификаты, связанные с извлеченным доменным именем (если извлеченные признаки содержат домен). При этом производится поиск данного доменного имени в трафике установления TLS-соединений (TLS Handshake) и сертификате сервера. Позволяет детектировать угрозы, использующие TLS для шифрования сетевого взаимодействия с командными центрами. В некоторых вариантах реализации используется Server Name Indication (SNI) - расширение компьютерного протокола TLS, которое позволяет клиентам сообщать имя хоста, с которым он желает соединиться, во время процесса рукопожатия. Обычно задается в виде поля server_name в запросе;

- фиксировать все сессии связи, связанные с извлеченным IP-адресом;

- фиксировать все HTTP-запросы к доменным именам, имеющим А-/АААА-запись с извлеченным IP-адресом. Запись A (address record) или запись адреса связывает имя хоста с адресом протокола IPv4. Например, запрос А-записи на имя referrals.icann.org вернет его IPv4-адрес- 192.0.34.164. Запись AAAA (IPv6 address record) связывает имя хоста с адресом протокола IPv6. Например, запрос АААА-записи на имя К.ROOT-SERVERS.NET вернет его IPv6-адрес - 2001:7fd::1.

[00053] В некоторых вариантах реализации при формировании правила фиксирующего все HTTP-запросы к доменным именам, имеющим А-/АААА-запись с извлеченным IP-адресом, может использоваться пассивно собираемая сенсорами информация о DNS-запросах с ответами (PassiveDNS). При этом список DNS-запросов с ответами анализируется на наличие записей, содержащих А-/АААА-запись с извлеченным IP-адресом, что позволяет отследить трафик направленны к разделегированным или недоступным на данный момент доменным именам.

[00054] Далее система автогенерации решающих правил сохраняет сформированные решающие правила (205). Решающие правила могут сохраняться в файлах, базе данных. В некоторых вариантах реализации, для сохранения версионности изменений и возможности отката к предыдущим версиям при хранении сформированных правил используют системы контроля версий. В некоторых вариантах реализации используют распределенные системы контроля версий. В качестве существующих реализаций систем контроля версий могут использоваться, но не ограничиваясь, SVN, Mercurial, GIT, CVS.

[00055] После этого система автогенерации решающих правил предоставляет возможность получения обновления решающих правил для сенсоров.

[00056] Сенсоры анализа трафика циклично проверяют доступность обновлений на центральном узле и при наличии обновлений получают их для использования. В случае получения обновлений на сенсоре срабатывает триггер, осуществляющий перезагрузку решающих правил, для чего в некоторых вариантах реализации используется сигнал USR2 (пользовательский сигнал, используемый для межпроцессной синхронизации и управления).

[00057] В результате формирования и применения новых решающих правил системы обнаружения вторжений начинают регистрировать большее число событий, относящееся к задетектированным зловредным индикаторам. Это позволяет раскрыть новые вредоносные пути и используемые доменные имена, а также детектировать работу другого вредоносного ПО (либо модулей), не детектируемых по изначальным правилам.

[00058] Система автогенерации решающих правил включает следующие модули, выполняемые на сервере.

[00059] Модуль базы данных (310), выполненный с возможностью: хранения данных, используемых для формирования обратной связи, корректирующей набор решающих правил на основе срабатываний правил анализа трафика. База данных, включает по крайней мере, следующие данные:

- список идентификаторов правил (311) (сигнатур), детектирующих взаимодействие с центрами управления вредоносных программ. Данный список является подмножеством всех идентификаторов правил и управляется администратором системы:

- список доверенных доменных имен (312). Список может пополняться оператором системы, а изначальный перечень может быть загружен из публичных источников, в частности рейтинга ALEXA;

- Passivedns (313) - пассивно собираемый сенсорами список DNS-запросов с ответами, позволяющий по IP-адресу восстанавливать список доменных имен, имеющих (либо имевших в прошлом) соответствующую А-/АААА/МХ-запись, связанную с данным IP-адресом.

[00060] Модуль репозитория правил (320), выполненный с возможностью хранения базы решающих правил с поддержкой версионности данных. Решающие правила могут сохраняться в файлах, базе данных. В некоторых вариантах реализации для сохранения версионности изменений и возможности отката к предыдущим версиям при хранении сформированных правил используют системы контроля версий. В некоторых вариантах реализации используют распределенные системы контроля версий. В качестве существующих реализаций систем контроля версий могут использоваться, но не ограничиваясь, SVN, Mercurial, GIT.

[00061] Модуль генерации правил (330), выполненный с возможностью анализа полученных от сенсоров событий, генерации новых решающих правил. Модуль генерации правил (330) получает, по крайней мере, одно событие из базы данных событий (341) центрального узла (340), полученных от, по крайней мере, одного сенсора, и анализирует его на принадлежность к классу взаимодействия с центрами управления вредоносных программ на основе списка идентификаторов правил модуля базы данных (311). Если событие относится к такому классу, то модуль (330) из события извлекает, по крайней мере, один признак, используемый для формирования решающих правил. В качестве признаков могут использоваться любые идентификаторы, указывающие на сетевой адрес центра управления вредоносных программ или атакуемого узла. В качестве таких идентификаторов могут выступать ip-адрес получателя данных (пакета) или доменное имя, извлеченное из служебных заголовков, передаваемых данных (пакета). Так, например, для протокола HTTP доменное имя извлекается из служебного поля Host. Для DNS доменное имя извлекается из бинарной структуры передачи данных в соответствии с RFC 1035. В случае TDS домен извлекается из «client hello» сообщения, содержащего расширение SNI.

[00062] После извлечения признаков модуль генерации правил проверяет наличие извлеченных признаков в списке доверенных имен (312). Если признаки присутствуют в данном списке, то их дальнейшая обработка прекращается.

[00063] Затем модуль генерации правил формирует решающие правила, включающие отслеживание всех DNS, HTTP запросов, сессий связи, TLS-рукопожатий и сертификатов, связанных с извлеченными признаками. Сформированные решающие правила могут включать, но не ограничиваясь, следующие правила:

- фиксировать все DNS-запросы о зоне, связанной с извлеченным доменным именем (если извлеченные признаки содержат домен). В этом случае детектирование заражения осуществляется по трафику службы DNS: разрешение доменного имени осуществляется даже в случае неактивности командного центра или снятого с делегирования доменного имени;

- фиксировать все HTTP-запросы к извлеченному доменному имени (если извлеченные признаки содержат домен);

- фиксировать все сессии связи, связанные с извлеченным IP-адресом;

- фиксировать все HTTP-запросы к доменным именам, имеющим А-/АААА-запись с извлеченным IP-адресом.

[00064] Далее модуль генерации правил (330) отправляет сформированные решающие правила модулю репозитория правил (330) для сохранения (фиксации), после чего они становятся доступными для получения обновления на сенсорах.

[00065] Специалист в данной области техники может легко понять различные варианты реализации настоящего технического решения из рассмотренного описания и уровня техники, раскрытого технического решения. Предполагается, что описание и примеры рассматриваются только как примерные, с сущностью и объемом настоящего технического решения, обозначенных формулой.

[00066] Следует принимать во внимание, что настоящее техническое решение не ограничивается точными конструкциями, которые были описаны выше и проиллюстрированы на прилагаемых чертежах, и что различные модификации и изменения могут быть сделаны без отхода от области его применения.

1. Способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью, выполняемый на сервере, включает, по крайней мере, следующие шаги:

получают, по крайней мере, одно событие из базы данных событий, сформированной данными, полученными от, по крайней мере, одного сенсора;

анализируют полученное, по крайней мере, одно событие на принадлежность к классу взаимодействия с центрами управления вредоносных программ;

извлекают из, по крайней мере, одного вышеупомянутого события, относящегося к классу взаимодействия с центрами управления вредоносных программ, по крайней мере, один признак, используемый для формирования решающих правил;

формируют решающие правила с использованием, по крайней мере, одного вышеупомянутого извлеченного признака;

сохраняют сформированные решающие правила и предоставляют возможность получения обновления решающих правил для, по крайней мере, одного сенсора;

сенсоры циклично проверяют доступность обновлений на центральном узле и при наличии обновлений получают их для использования, при этом в случае получения обновлений на сенсорах срабатывает триггер, осуществляющий перезагрузку решающих правил.

2. Способ по п. 1, в котором извлекаемым из события признаком является ip-адрес получателя данных или доменное имя, извлеченное из служебных заголовков, передаваемых данных.

3. Способ по п. 1, в котором сформированные решающие правила включают комбинацию из, по крайней мере, двух следующих правил:

- отслеживание DNS запросов,

- отслеживание HTTP запросов,

- отслеживание сессий связи,

- отслеживание TLS-рукопожатий и сертификатов.

4. Способ по п. 1, в котором сохраняют сформированные решающие правила с использованием системы контроля версий.

5. Способ по п. 4, в котором в качестве системы контроля версий используют GIT, или SVN, или CVS, или Mercurial.

6. Способ по п. 3, в котором дополнительно получают от, по крайней мере, одного сенсора пассивно собираемый список DNS-запросов с ответами.

7. Способ по п. 6, в котором при формировании решающих правил, включающих отслеживание HTTP запросов, используют полученный от, по крайней мере, одного сенсора пассивно собираемый список DNS-запросов с ответами.

8. Система автогенерации решающих правил для систем обнаружения вторжений с обратной связью, включающая следующие модули, выполняемые на сервере:

модуль базы данных, выполненный с возможностью хранения данных, включающих, по крайней мере:

список идентификаторов правил, детектирующих взаимодействие с центрами управления вредоносных программ;

список доверенных доменных имен;

PassiveDNS - пассивно собираемый сенсорами список DNS-запросов с ответами;

модуль репозитория правил, выполненный с возможностью получения и хранения базы решающих правил с поддержкой версионности данных;

модуль генерации правил, выполненный с возможностью:

получения событий из базы данных событий, сформированной данными, полученными от, по крайней мере, одного сенсора;

извлечения признаков из событий, используемых для формирования решающих правил;

проверки наличия извлеченных признаков в списке доверенных имен, полученном от модуля базы данных;

отправления сформированных решающих правил в модуль репозитория правил для сохранения;

сенсор, выполненный с возможностью:

мониторинга сетевого трафика и анализа содержимого сессий связи на наличие вредоносных признаков, причем при наличии вредоносных признаков срабатывают решающие правила и формируется событие, содержащее информацию о вредоносных признаках;

отправки сформированных событий на центральный узел;

отправки в модуль базы данных пассивно собираемого списка DNS-запросов с ответами;

цикличной проверки доступности обновлений на центральном узле, получения обновлений для использования, при этом в случае получения обновления на сенсоре срабатывает триггер, осуществляющий перезагрузку решающих правил.

Изобретение относится к области защиты компьютерных систем от вредоносных программ. Техническим результатом является помещение компонента, обнаруживающего запуски процесса, за пределами соответствующей виртуальной машины на более высокий уровень привилегий процессора, чем уровень привилегий операционной системы, что обеспечивает возможность предотвращать сокрытие вредоносного программного обеспечения от компонентов защиты от вредоносных программ.

Устройство программно-аппаратного комплекса формирования ключевой информации и радиоданных для радиостанции // 2634202

Изобретение относится к радиотехнике и вычислительной технике. Технический результат заключается в повышение надежности защиты ключевой информации и радиоданных.

Способ верификации безопасного распределения пользовательских задач по узлам грид-системы // 2634184

Изобретение относится к вычислительной технике и может быть использовано в распределенных вычислительных сетях. Техническим результатом является повышение защищенности грид-системы и сокращение временных затрат на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем.

Способ противодействия несправедливым оценкам приложений // 2634182

Изобретение относится к области контроля выставления оценок приложений, а именно к способам противодействия несправедливым оценкам приложений. Техническим результатом является обеспечение защиты от неавторизированной оценки приложения в магазине приложений при помощи вычислительного устройства, которое достигается путем предоставления доступа к элементам интерфейса на странице приложения в магазине приложений, если данные для авторизации удовлетворяют условию разблокирования.

Система и способ обнаружения вредоносных компьютерных систем // 2634181

Изобретение относится к области обнаружения вредоносных компьютерных систем. Техническим результатом является выявление вредоносных компьютерных систем за счет использования системы признания компьютерной системы вредоносной, при этом вредоносной компьютерной системой является компьютерная система, на которой работают вредоносные приложения.

Способ и система для доверенного доведения информации до пользователя // 2634179

Изобретение относится к средствам защиты от подмены электронных документов на вычислительных устройствах. Технический результат – уменьшение возможности подмены информации, отображаемой на экране компьютера, за счет корреляции указанной информации с информацией, фиксируемой на внешнем портативном устройстве в реальном времени.

Способ обнаружения вредоносных составных файлов // 2634178

Изобретение относится к области защиты вычислительных устройств, а именно к способам обнаружения вредоносных составных файлов. Технический результат заключается в обеспечении защиты вычислительного устройства от вредоносных программ за счет обнаружения составного вредоносного файла.

Система и способ обнаружения вредоносного приложения путем перехвата доступа к отображаемой пользователю информации // 2634176

Изобретение относится к области защиты данных приложений, а именно к системам и способам обнаружения вредоносного приложения путем перехвата доступа к отображаемой пользователю информации.

Способ выполнения антивирусных проверок // 2634175

Изобретение относится к защите от вредоносного программного обеспечения, а именно к выполнению антивирусных проверок. Технический результат – уменьшение количества антивирусных проверок файлов во время записи упомянутых файлов на диск.

Система и способ выполнения банковской транзакции // 2634174

Изобретение относится к системе и способу выполнения банковской транзакции. Технический результат заключается в повышении безопасности выполнения банковских транзакций.

Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак // 2634211

Изобретение относится к системам и способам обнаружения компьютерных атак. Технический результат заключается в повышении эффективности выявления компьютерных атак. Способ характеризуется тем, что запускают вредоносную программу в виртуальной среде; собирают запросы, отправляемые вредоносной программой в центр управления вредоносными программами; определяют в собранных запросах параметры и их порядок; группируют запросы с одинаковыми наборами параметров; для каждой группы запросов формируют регулярное выражение, описывающее параметры данной группы запросов; формируют и отправляют запрос, описываемый полученным на предыдущем шаге регулярным выражением, центру управления вредоносных программ; получают ответ от центра управления, при этом, если ответ закодирован и/или зашифрован, то производят его декодирование и/или расшифровку; анализируют ответ на наличие сведений, характерных для проведения сетевых атак; сохраняют полученные результаты; выявляют компьютерные атаки с использованием полученных результатов анализа. 2 н. и 15 з.п. ф-лы, 3 ил.

Система и способ обнаружения ошибок моделирования // 2634455

Изобретение относится к системам и способам защиты объектов критической инфраструктуры путем контроля состояния такого объекта критической инфраструктуры, как технологическая система, посредством кибернетической системы контроля. Изобретение предназначено для тестирования кибернетической системы контроля на наличие ошибок моделирования. Тестирование кибернетической системы контроля, определяющей идеальные состояния технологической системы, осуществляют путем признания идеального состояния технологической системы, определенного кибернетической системой для момента времени и отклоняющегося от реального состояния технологической системы, ошибкой моделирования на основании подтвержденного сохранения функциональной взаимосвязи элементов технологической системы. В результате повышается качество тестирования кибернетической системы контроля, определяющей идеальные состояния технологической системы. 2 н. и 17 з.п. ф-лы, 8 ил.

Устройство обработки информации и способ обработки информации // 2634837

Изобретение относится к устройствам обработки информации, которые применимы в случае, когда прикладную программу выполняют в соответствии с воспроизведением содержания, такого как телевизионная программа. Технический результат заключается в реализации автоматического распознавания содержания (ACR) сервиса без каких-либо нарушений прав соответствующих владельцев авторских прав на содержание и связанное приложение. Предложено устройство обработки информации, содержащее: блок управления содержанием для управления первым содержанием, просматриваемым на стороне устройства воспроизведения содержания; блок базы данных для генерирования контрольных данных и помещения сгенерированных контрольных данных в базу данных, посредством связывания первых характерных данных первого содержания с информацией управления правами для первых характерных данных и идентификатором содержания, представляющим первое содержание, из которого извлечены первые характерные данные; и блок идентификации для идентификации содержания и возврата ответа, указывающего результат идентификации, посредством обращения к контрольным данным блока базы данных в ответ на запрос, содержащий вторые характерные данные второго содержания, просматриваемого пользователем устройства воспроизведения содержания, при этом запрос передают от стороны устройства воспроизведения содержания. 4 н. и 7 з.п. ф-лы, 12 ил.

Компактный аппаратный электронный носитель информации с многоуровневым регулированием доступа к отдельным разделам памяти // 2635027

Изобретение относится к защите информации, хранящейся на электронных носителях. Технический результат заключается в повышении уровня безопасности управления доступом. Носитель содержит энергонезависимую память (ЭНП), разделенную на несколько отдельных областей, в которых находится информация с различной степенью защиты. Доступ к каждой из этих областей памяти регулируется процессором ЭН отдельно. Процессор, управляющий доступом к ЭНП, управляет доступом к каждой из областей ЭНП по одновременному положительному результату по меньшей мере одной аутентификации каждой из сторон - пользователя ЭН и пользовательского вычислительного устройства, к которому подсоединен электронный носитель. Причем ЭН содержит средство для проведения дополнительной аутентификации пользователя при доступе к отдельным областям памяти устройства и процессор средств криптографической защиты информации, реализующий криптографические преобразования, для управления доступом к функциям которого предназначен процессор, управляющий доступом к ЭНП. Процессор, управляющий доступом к ЭНП, выполнен с возможностью получения результатов дополнительной аутентификации пользователя от средства дополнительной идентификации и обеспечения доступа только к части областей ЭНП, внешне неотличимо имитируя работу со всей памятью ЭН, при отрицательном результате дополнительной аутентификации, показывающей, что пользователь работает под внешним принуждением или контролем. 6 з.п. ф-лы, 5 табл., 4 ил.

Способ и аппарат для безопасного сенсорного ввода // 2635224

Изобретение относится к обеспечению защиты информации, вводимой через сенсорный экран. Технический результат – предотвращение утечки информации, вводимой через сенсорный экран. Способ безопасного сенсорного ввода, содержащий этапы, на которых визуализируют первый экран в рабочей области, имеющей первый уровень защиты, используя безопасный основной процессор, визуализируют второй экран в рабочей области, имеющей второй уровень защиты, используя небезопасный основной процессор, причем первый уровень защиты выше, чем второй уровень защиты, и выводят экран безопасного ввода с помощью отображения первого экрана в качестве наложения сверху второго экрана посредством модуля безопасности сенсорного ввода, хранимого в безопасной области блока хранения, конфигурируют часть блока хранения как безопасную область, запрещают доступ небезопасного основного процессора к безопасной области блока хранения и поддерживают доступ безопасного основного процессора к безопасной области блока хранения. 3 н. и 24 з.п. ф-лы, 8 ил.

Комплекс аппаратно-программных средств, создающий защищенную облачную среду с автономной полнофункциональной инфраструктурой логического управления с биометрико-нейросетевой идентификацией пользователей и с аудитом подключаемых технических средств // 2635269

Изобретение относится к области информационной безопасности. Технический результат направлен на повышение информационной безопасности облачных сервисов. Комплекс аппаратно-программных средств, создающий защищенную облачную среду с автономной полнофункциональной инфраструктурой логического управления с биометрико-нейросетевой идентификацией пользователей и с аудитом используемых технических средств, содержит серверное и сетевое оборудование, рабочее место администратора, хранилище информации большого объема, защищенную точку доступа, дополнительно оснащен модулем безопасности, модулем доверия, модулем биометрико-нейросетевых вычислений и мобильной ПЭВМ, обеспечивающей защиту данных от хищения и несанкционированного доступа. 7 з.п. ф-лы, 2 ил.

Способ категоризации сборок и зависимых образов // 2635271

Изобретение относится к области категоризации неизвестных образов сборок, созданных на устройстве. Техническим результатом является повышение безопасности устройства, путем ограничения доступа образа машинного кода, имеющего категорию доверия недоверенный, к ресурсам, предоставляемым операционной системой. Раскрыт способ ограничения доступа образа машинного кода к ресурсам, предоставляемым операционной системой, в котором: а) получают образ машинного кода; б) определяют родительскую сборку, где родительской сборкой является сборка, на основании которой создан полученный образ; в) устанавливают соответствие между полученным образом машинного кода и определенной родительской сборкой, где соответствие гарантирует неизменность образа машинного кода после создания; г) определяют категорию доверия определенной на этапе ранее родительской сборки; д) определяют категорию доверия полученного образа машинного кода на основании категории доверия родительской сборки, где полученному образу машинного кода, для которого на шаге в) установлено соответствие, назначают категорию доверия родительской сборки; е) ограничивают доступ полученного образа машинного кода, имеющего категорию доверия недоверенный, к ресурсам, предоставляемым операционной системой. 1 з.п. ф-лы, 9 ил., 2 табл.

Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами // 2635275

Изобретение относится к системам и способам выявления подозрительной активности пользователя при взаимодействии с банковскими сервисами. Технический результат заключается в повышении безопасности взаимодействия пользователя с банковскими сервисами посредством аккаунта пользователя при помощи устройства, которое предоставляет банковские сервисы. Система содержит средство сбора данных, работающее на устройстве, которое предоставляет банковские сервисы, и предназначенное для сбора информации о прошедших активностях, определения устройства, которое используется при взаимодействии через аккаунт пользователя с банковским сервисом; средство построения модели, предназначенное для создания модели поведения пользователя на основании собранной информации, вычисления вероятности мошенничества для прошедшей активности пользователя, аккаунта пользователя и устройства; средство анализа, предназначенное для формирования шаблонов подозрительного поведения пользователя, выявления подозрительной активности пользователя на основании сформированных шаблонов подозрительного поведения; средство блокировки, предназначенное для выполнения действия по предотвращению мошенничества в случае выявления подозрительной активности. 2 н. и 4 з.п. ф-лы, 4 ил.

Безопасная аутентификация по логину и паролю в сети интернет с использованием дополнительной двухфакторной аутентификации // 2635276

Изобретение относится к области защиты данных от несанкционированного доступа, а более конкретно, к системам безопасной аутентификации. Техническим результатом является обеспечение защищенной передачи данных пользователя на сайт в сети Интернет. Система для защищенной передачи аутентификационных данных пользователя на сайт в сети Интернет содержит следующие средства: плагин в браузере, установленный на компьютере пользователя, при этом плагин предназначен для определения, что пользователь с помощью упомянутого браузера произвел соединение с сайтом, при взаимодействии с которым требуется защищать получаемые и передаваемые аутентификационные данные (далее - защищаемый сайт), и передачи информации о том, что произошло соединение с защищаемым сайтом, антивирусному приложению; антивирусное приложение, установленное на упомянутом компьютере, предназначенное для проверки операционной системы, установленной на упомянутом компьютере, на наличие уязвимостей и вредоносных приложений после получения упомянутой информации от плагина и передачи информации о проведенной проверке, а также информации, полученной от плагина, на устройство для безопасной передачи данных, и применения настроек безопасного канала передачи данных; устройство для безопасной передачи данных, предназначенное для: выбора настроек безопасного канала передачи данных между устройством для безопасной передачи данных и защищаемым сайтом на основании информации о проведенной антивирусным приложением проверке, передачи по безопасному каналу передачи данных между устройством для безопасной передачи данных и защищаемым сайтом аутентификационных данных пользователя на защищаемый сайт для аутентификации на данном сайте, при этом передача происходит на основании информации о том, что пользователь с помощью браузера произвел соединение с защищаемым сайтом, при этом аутентификационные данные хранятся на устройстве для безопасной передачи данных в зашифрованном виде. 2 н. и 6 з.п. ф-лы, 5 ил.

Система аутентификации аппарата обработки изображения и аппарат обработки изображения // 2635869

Изобретение относится к системе аутентификации аппарата обработки изображения. Технический результат заключается в обеспечении централизованного управления аутентификацией пользователей аппаратов обработки изображения без использования выделенного сервера аутентификации. Система содержит множество соединенных друг с другом аппаратов обработки изображения, каждый из которых содержит блок ввода информации идентификации пользователя, блок хранения информации аутентификации и блок аутентификации, при этом один из аппаратов служит в качестве главного устройства, а другие - в качестве локальных; главное устройство содержит блок редактирования информации аутентификации и блок передачи информации аутентификации; каждое из локальных устройств содержит блок приема информации аутентификации, блок обновления информации аутентификации, блок настройки доступности аутентификации, который, когда информация аутентификации не принята от главного устройства, выбирает и устанавливает, разрешить ли блоку аутентификации локального устройства выполнить аутентификацию, и блок хранения настройки доступности аутентификации. 3 н. и 7 з.п. ф-лы, 9 ил.