Способ антивирусной защиты и устройство для его реализации

Авторы патента:

Кабак Илья Самуилович (RU)

Шептунов Сергей Александрович (RU)

Соломенцев Юрий Михайлович (RU)

Суханова Наталия Вячеславовна (RU)

G06F21/56 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

G06F11/1004 - Обнаружение ошибок, исправление ошибок; контроль (способы или устройства для контроля правильности записи на носителе информации G06K 5/00; при накоплении информации, основанном на относительном перемещении носителя записи и преобразователя G11B, например G11B 20/18; в статических запоминающих устройствах G11C; кодирование, декодирование, или преобразование кода для обнаружения или исправления ошибок вообще H03M 13/00 )

G06F11/10 - добавлением специальных двоичных разрядов или знаков к кодированной информации, например путем контроля по четности, с отбрасыванием девятых или одиннадцатых членов ряда

Владельцы патента RU 2664401:

Федеральное государственное автономное учреждение науки Институт конструкторско-технологической информатики Российской академии наук (ИКТИ РАН) (RU)

Изобретение относится к области антивирусной защиты компьютеров. Техническим результатом является повышение эффективности защиты компьютеров от вредоносных программ. Способ антивирусной защиты заключается в том, что коды программы разделяют на фрагменты, затем начало и конец фрагмента задают как адреса контрольных точек и для каждого фрагмента на основе последовательности команд рассчитывают сигнатуру, после этого в контрольной точке в последовательность команд добавляют команду сравнения с сигнатурой с указанием значения сигнатуры, при выполнении кодов программы рассчитывается сигнатура и в контрольной точке сравнивается с указанным значением, если сигнатура совпала с указанным значением, то программа продолжает выполняться, в противном случае, если сигнатура не совпала с указанным значением, то выполнение программы прекращается, выводят сообщение об обнаруженном вирусе. 2 н.п. ф-лы, 3 ил.

Изобретение относится к области вычислительной техники, к цифровым вычислительным машинам.

Технический результат - защита от вредоносного программного обеспечения.

Известны способы защиты от вредоносного программного обеспечения, где для поиска вирусов используются базы сигнатур. Эти базы постоянно обновляются. Сканирование компьютера и удаление вирусов занимает существенное время. Антивирусы работают только с уже известными и выявленными вирусами, для которых эти сигнатуры были выявлены. (Троянские программы Лаборатория Касперского [Электронный ресурс]. - Режим доступа: www.securelist.com/ru/threats/detect/trojan-programs).

Известны эвристические антивирусы, которые анализируют файловую систему и оценивают размер траффика в сети. У эвристического подхода есть свои недостатки, например наличие ложных срабатываний. (Пихтулов А.А., Михайлов Д. Эвристические признаки Bluetooth-вирусов для мобильных устройств / Наука и современность - М. - 2011. - с. 233-237).

В заявленном способе антивирусной защиты предлагается рассчитывать сигнатуры, но не для вирусов, а для полезных прикладных и системных программ, чтобы защититься от вредоносного программного обеспечения. В исполняемые коды прикладных и системных программ встраиваются значения сигнатур, которые отличают их от вредоносных программ. Отсутствие сигнатур или неправильное значение сигнатуры указывает на наличие вируса.

Заявленный способ антивирусной защиты поясняется графическими материалами, см. фиг. 1-2.

На фиг. 1 показано устройство компьютера с Гарвардской архитектурой, на фиг. 2 показана схема заявленного устройства.

Заявленный способ антивирусной защиты реализован следующей последовательностью действий, см. фиг. 1-2.

1. Коды программы разделяют на фрагменты, затем начало и конец фрагмента задают как адреса контрольных точек (КТ) и для каждого фрагмента на основе последовательности команд рассчитывают сигнатуру.

2. В контрольной точке в последовательность команд добавляют команду сравнения с сигнатурой с указанием значения сигнатуры.

3. При выполнении кодов программы рассчитывается сигнатура и в контрольной точке сравнивается с указанным значением.

4. Если сигнатура совпала с указанным значением, то программа продолжает выполняться, в противном случае, если сигнатура не совпала с указанным значением, то выполнение программы прекращается, выводят сообщение об обнаруженном вирусе.

Заявленный способ реализован в устройстве для антивирусной защиты, см. фиг. 3. Устройство включает процессор, память программ, память данных, дешифратор команд. К входам процессора подсоединены выходы дешифратора команд и памяти данных. В устройстве имеется дополнительный контроллер команд, выполненный с функциональной возможностью расчета значения сигнатуры и сравнения ее с заданным в коде программы значением. Входы контроллера команд подключаются к памяти программ, а выходы - к дешифратору команд.

Устройство для антивирусной защиты работает следующим образом.

Из памяти программ в контроллер команд поступают коды команд. Выходы контроллера команд подключены к дешифратору команд. Дешифратор обрабатывает код команды и передает ее в процессор для выполнения.

Контроллер команд выполнен с функциональной возможностью расчета значения сигнатуры кодов команд и последующего сравнения ее с заданным значением.

В исполняемые коды программы в контрольных точках добавлены команды сравнения сигнатуры с заданным значением, которое записано в коды программы, см. фиг. 2. При выполнении этой команды вычисленное значение сигнатуры сравнивается с заданным значением.

Если сигнатура совпала с указанным значением, то программа продолжает выполняться. В противном случае, если сигнатура не совпала с указанным значением, то выполнение программы прекращается, выводят сообщение об обнаруженном вирусе.

Технический результат заявленного способа антивирусной защиты получен за счет того, что согласно изобретению коды программы разделяют на фрагменты, затем начало и конец фрагмента задают как адреса контрольных точек и для каждого фрагмента на основе последовательности команд рассчитывают сигнатуру, после этого в контрольной точке в последовательность команд добавляют команду сравнения с сигнатурой с указанием значения сигнатуры, при выполнении кодов программы рассчитывается сигнатура и в контрольной точке сравнивается с указанным значением, если сигнатура совпала с указанным значением, то программа продолжает выполняться, в противном случае, если сигнатура не совпала с указанным значением, то выполнение программы прекращается, выводят сообщение об обнаруженном вирусе.

Технический результат заявленного устройства для реализации способа получен за счет того, что устройство включает процессор, память программ, память данных, дешифратор команд, где к входам процессора подсоединены выходы дешифратора команд и памяти данных, согласно изобретению в нем имеется дополнительный контроллер команд, выполненный с функциональной возможностью расчета значения сигнатуры и сравнения ее с заданным в коде программы значением, причем входы контроллера команд подключаются к памяти программ, а выходы - к дешифратору команд.

Заявленные в изобретении способ и устройство для антивирусной защиты могут быть реализованы аппаратными, программными или аппаратно-программными средствами на базе микропроцессоров, микроконтроллеров.

Указанные в независимом пункте формулы признаки являются существенными и взаимосвязаны между собой с образованием устойчивой совокупности необходимых признаков, достаточной для получения требуемого технического результата.

Свойства, регламентированные в заявленном способе отдельными признаками, общеизвестны из уровня техники и не требуют дополнительных пояснений.

Следует отметить, что заявленная совокупность существенных признаков обеспечивает в соединении синергетический (сверхсуммарный результат).

Таким образом, вышеизложенные сведения свидетельствуют о выполнении при использовании заявленного способа следующей совокупности условий:

- заявленный способ имеет практическое применение, предназначен для защиты компьютеров от вредоносного программного обеспечения;

- для заявленного способа в том виде, как он охарактеризован в независимом пункте нижеизложенной формулы, подтверждена возможность его осуществления с помощью известных из уровня техники на дату приоритета средств и методов;

- при осуществлении способа достигается усматриваемый заявителем технический результат.

На основании изложенного заявленный способ антивирусной защиты и устройство для его реализации соответствуют требованию условий патентоспособности «новизна» и «изобретательский уровень».

1. Способ антивирусной защиты, при котором коды программы разделяют на фрагменты, затем начало и конец фрагмента задают как адреса контрольных точек и для каждого фрагмента на основе последовательности команд рассчитывают сигнатуру, после этого в контрольной точке в последовательность команд добавляют команду сравнения с сигнатурой с указанием значения сигнатуры, при выполнении кодов программы рассчитывается сигнатура и в контрольной точке сравнивается с указанным значением, если сигнатура совпала с указанным значением, то программа продолжает выполняться, в противном случае, если сигнатура не совпала с указанным значением, то выполнение программы прекращается, выводят сообщение об обнаруженном вирусе.

2. Устройство для реализации заявленного способа по п. 1, которое включает процессор, память программ, память данных, дешифратор команд, где к входам процессора подсоединены выходы дешифратора команд и памяти данных, отличающееся тем, что в нем имеется дополнительный контроллер команд, выполненный с функциональной возможностью расчета значения сигнатуры и сравнения ее с заданным в коде программы значением, причем входы контроллера команд подключаются к памяти программ, а выходы - к дешифратору команд.

Изобретение относится к системам обеспечения информационной безопасности. Техническим результатом является повышение эффективности автоматического расследования инцидентов безопасности и, как следствие, уменьшение времени реагирования на инциденты безопасности в автоматизированной системе.

Обеспечение безопасности при связи между устройством связи и сетевым устройством // 2663972

Изобретение относится к беспроводной связи. Первое сетевое устройство (ММЕ) первой сети связи получает запрос (RAND), вырабатывает первый PFS параметр (PFS1), получает первый проверочный код (VC1A) для первого PFS параметра (PFS1) и направляет запрос (RAND), первый PFS параметр (PFS1) и первый проверочный код (VC1A) на устройство (МЕ) связи, которое, в свою очередь, принимает запрос (RAND), первый PFS параметр (PFS1) и первый проверочный код (VC1A), перенаправляет запрос или производный от него элемент в модуль (USIM) идентификации, принимает от модуля (USIM) идентификации в качестве ответа по меньшей мере один результирующий параметр (CK/IK, RES), определяет, на основе результирующего параметра (CK/IK, RES), является ли подлинным первый PFS параметр (PFS1), и если определение успешно, вырабатывает и направляет второй PFS параметр (PFS2) на первое сетевое устройство, которое, в свою очередь, проверяет второй PFS параметр (PFS2).

Способ активирования функций в радиоприемнике // 2663817

Изобретение относится к технике связи и может использоваться для активирования функций в радиоприемнике (RX). Технический результат состоит в повышении точности приема информации.

Способ и устройство для проверки разрешения // 2663710

Изобретение относится к области технологии связи. Технический результат заключается в повышении эффективности проверки разрешения на управление терминалом.

Самонастраивающаяся интерактивная система, способ и считываемый компьютером носитель данных оценки доверия контенту // 2663706

Группа изобретений относится к технологиям оценки контента в сети Интернет. Техническим результатом является создание самонастраивающейся интерактивной системы оценки доверия контенту, который предоставляется пользователем, которая обеспечивает возможность регулировки проставления оценки тематическому контенту в зависимости от установленного порога доверия для пользователя, который связан с рейтингом этого пользователя и/или профессиональным рейтингом пользователя, причем проставление оценок осуществляется также в зависимости от силы нажатия и/или продолжительности нажатия пользователем на, по меньшей мере, кнопку устройства ввода/вывода информации, и/или сенсорную кнопку, и/или сенсорный экран вычислительного устройства.

Способ и устройство для установки подключаемого модуля интеллектуального устройства // 2663481

Изобретение относится к способу и устройству для установки подключаемого модуля интеллектуального устройства. Техническим результатом является повышение скорости работы терминала за счет установки подключаемого модуля интеллектуального устройства.

Способ идентификации пользователя компьютера "человек или интернет-робот" // 2663475

Изобретение относится к безопасности компьютерных сетей, а именно к формированию изображений при прохождении пользователем полностью автоматизированного теста Тьюринга.

Область управления для администрирования множественными потоками в компьютере // 2662695

Изобретение относится к администрированию множественными потоками в компьютере. Технический результат заключается в сокращении издержек по координации ресурсов между рабочими потоками гипервизора в многопоточном окружении.

Автоматическое формирование сертификационных документов // 2662405

Изобретение относится к средствам для автоматического формирования сертификационных документов. Техническим результатом является расширение арсенала технических средств для автоматического формирования сертификационных документов, а также автоматическая персонализация и генерирование сертификационных документов в соответствии с настройками потребителей, включая языковые настройки.

Инструкция и логика для доступа к памяти в кластерной машине широкого исполнения // 2662394

Группа изобретений относится к области логики обработки информации. Техническим результатом является повышение производительности.

Способ контроля датчиков системы ориентации подвижного объекта и устройство для его реализации // 2664128

Группа изобретений относится к способу и устройству контроля датчиков системы ориентации подвижного объекта. Для контроля датчиков системы ориентации измеряют величины и направления углов рыскания, тангажа и крена подвижного объекта, преобразуют в тригонометрические функции синуса и косинуса углов поворота на выходах датчиков, сравнивают суммы сигналов с допустимыми значениями, инвертируют направления и последовательность изменения крена, тангажа, рыскания и суммируют с измеренными значениями, сравнивают результирующее положение подвижного объекта с исходным, делают вывод об отказе датчиков при несовпадении измеренных величин с их инвертированными значениями.

Способ, устройство и система обработки передаваемых данных // 2661680

Изобретение относится к средствам обработки передаваемых данных. Технический результат заключается в повышении отказоустойчивости обработки передаваемых данных.

Способ мутационного тестирования электронной аппаратуры и ее управляющего программного обеспечения с определением локализации мутаций // 2661535

Изобретение относится к компьютерным системам, основанным на специфических вычислительных моделях. Техническим результатом изобретения является увеличение вероятности обнаружения неисправностей электронной аппаратуры.

Имитатор ракет // 2661414

Изобретение относится к информационно-измерительным устройствам и может быть использовано для имитации предполетных функций ракеты, проверки электрического и информационного взаимодействия ракеты с аппаратурой носителя при помощи имитатора ракет.

Интуитивно-понятный индикатор готовности с перекрыванием для дефибрилляторов // 2661023

Группа изобретений относится к медицине. Способ отображения рабочего состояния дефибриллятора осуществляют с помощью дефибриллятора, содержащего визуальный индикатор готовности для медицинского устройства.

Способ выполнения отказоустойчивых вычислений // 2659732

Изобретение относится к области компьютерных технологий. Технический результат заключается в расширении арсенала технических средств для отказоустойчивого вычисления.

Устройство хранения и передачи данных с обнаружением одиночных и двойных ошибок // 2659479

Заявленное изобретение относится к вычислительной технике. Технический результат заключается в повышении достоверности функционирования устройств хранения и передачи информации путем обнаружения одиночных и двойных ошибок при сокращении аппаратурных затрат.

Система и способ измерения частоты появления ошибок в беспроводной локальной вычислительной сети // 2657865

Изобретение относится к области обработки данных, в частности к связи между администратором элементов и точкой доступа (AP) беспроводной локальной вычислительной сети (WLAN).

Самодиагностируемая бортовая вычислительная система с резервированием замещением // 2657166

Изобретение относится к вычислительной технике и может быть использовано в системах различного назначения, где требуется высокая надежность и радиационная стойкость.

Устройство хранения и передачи данных с обнаружением одиночных и двойных ошибок // 2659479