Способ избирательного использования шаблонов опасного поведения программ

Изобретение относится к использованию шаблонов опасного поведения программ с высоким уровнем ложных обнаружений. Технический результат – уменьшение количества ложных обнаружений угроз при использовании шаблона опасного поведения программ. Способ избирательного использования шаблона опасного поведения программ на компьютерных системах, по которому запускают на множестве компьютерных систем шаблон опасного поведения программ в первом режиме, при котором антивирусное приложение обнаруживает угрозы, соответствующие упомянутому шаблону, но не выполняет действия для их устранения, накапливают статистику обнаружений угроз в течение установленного периода времени, для каждой компьютерной системы, для которой количество ложных обнаружений угроз не превышает установленного порогового значения, осуществляют внесение в шаблон опасного поведения программ всех ложно обнаруженных угроз, соответствующих конкретной компьютерной системе, в качестве исключений и переводят шаблон опасного поведения программ во второй режим, при котором обнаруживаются угрозы, соответствующие упомянутому шаблону, и выполняются действия для их устранения. 5 з.п. ф-лы, 3 ил.

 

Область техники

Настоящее изобретение относится к эвристическим способам защиты компьютерных систем от вредоносных программ и более конкретно к способам использования шаблонов опасного поведения программ с высоким уровнем ложных обнаружений.

Уровень техники

В современном решении для антивирусной защиты компьютерных систем должно быть предусмотрено несколько слоев защиты. Помимо классической сигнатурной проверки, то есть поиска опасной уже известной программы по антивирусным базам, антивирусное приложение должно также обладать возможностями поведенческого детектирования - то есть уметь распознавать угрозу по поведению программы. Такой подход позволяет эффективно обнаруживать новые и еще неизвестные угрозы.

Модули мониторинга активности являются частью современных антивирусных продуктов и обеспечивают проактивную защиту компьютерных систем. Они следят за всеми программными процессами, сравнивая их поведение с моделями, характерными для вредоносных программ. Обнаруженная подозрительная программа может, к примеру, быть автоматически помещена на карантин. На основе информации, собранной модулем мониторинга, при лечении вредоносных программ может выполняться откат произведенных ими в операционной системе действий. Кроме того, модуль мониторинга активности постоянно контролирует доступ к файлам, а при запросе доступа к ним сохраняет их временные резервные копии. Поэтому, если антивирусный продукт обнаружит попытку зашифровать какие-либо файлы, то наличие временных резервных копий позволит вернуть данные в первоначальный вид.

Подобные системы безопасности для обнаружения угроз используют шаблоны опасного поведения программ. Шаблоны зачастую разрабатываются вручную специалистами антивирусных компаний и содержат последовательности действий программ, которые антивирусный продукт классифицирует как опасные. Среди разрабатываемых шаблонов опасного поведения программ есть категория шаблонов, которые в ряде сценариев позволяют эффективно обнаруживать вредоносное поведение, однако при использовании таких шаблонов есть существенный риск появления ложных обнаружений (от англ. False detection или сокращенно FD) в некотором окружении. Однако, несмотря на высокий уровень ложных обнаружений, использование таких шаблонов может существенно повысить качество поведенческого обнаружения антивирусным продуктом вредоносных программ.

Для решения проблемы использования такого рода шаблонов опасного поведения программ был разработан способизбирательного использования шаблонов опасного поведения программ.

Раскрытие изобретения

Настоящее изобретение предназначено для избирательного использования шаблона опасного поведения программ на множестве компьютерных систем.

Технический результат настоящего изобретения заключается в уменьшении количества ложных обнаружений угроз при использовании шаблона опасного поведения программ.

В одном из вариантов осуществления данного изобретения реализуется способ избирательного использования шаблона опасного поведения программ на компьютерных системах, по которому: (а) запускают на множестве компьютерных систем при помощи удаленного модуля управления безопасностью шаблон опасного поведения программ в первом режиме, при котором антивирусное приложение, запущенное на компьютерной системе, обнаруживает угрозы, соответствующие упомянутому шаблону, но не выполняет действий для их устранения; (б) накапливают на удаленном модуле управления безопасностью статистику обнаружений угроз, соответствующих упомянутому шаблону, для каждой компьютерной системы из упомянутого множества в течение установленного периода времени; (в) для каждой компьютерной системы, для которой количество ложных обнаружений угроз в накопленной для данной компьютерной системы статистике обнаружения угроз не превышает установленного порогового значения, при помощи удаленного модуля управления безопасности осуществляют: внесение в шаблон опасного поведения программ всех ложно обнаруженных угроз, соответствующих конкретной компьютерной системе, в качестве исключений и перевод шаблона опасного поведения программ во второй режим, при котором антивирусное приложение, запущенное на компьютерной системе, обнаруживает угрозы, соответствующие упомянутому шаблону, и выполняет действия для их устранения.

При этом угрозами являются вредоносные программы. А ложно обнаруженными угрозами являются доверенные программы.

В одном из вариантов осуществления данного изобретения определение того, что обнаруженная угроза является ложно обнаруженной угрозой, осуществляется при помощи удаленного модуля управления безопасностью, проверкой программ, соответствующих выявленным угрозам, по базам доверенных программ после истечения упомянутого установленного периода времени. При этом базы доверенных программ, по которым осуществляется упомянутая проверка, расположены локально по отношению к каждой компьютерной системе и/или удаленно.

Еще в одном варианте осуществления данного изобретения действиями для устранения угроз являются: удаление вредоносной программы; восстановление компьютерной системы; запрос действий у пользователя; помещение вредоносной программы на карантин.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых изображено следующее.

Фиг. 1 показывает систему избирательного использования параметров шаблона опасного поведения программ на множестве компьютерных систем.

Фиг. 2 показывает способ избирательного использования шаблона опасного поведения программ на множестве компьютерных систем.

Фиг. 3 показывает пример компьютерной системы общего назначения.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

Модуль мониторинга активности является частью большинства антивирусных приложений, запущенных на компьютерных системах пользователей. Данный компонент отслеживает активность запущенных программ (процессов) и позволяет в режиме реального времени анализировать их действия. Например, изменился системный реестр, загрузочный сектор или файл был изменен - информация о произошедших событиях записывается в специальную базу данных. Впоследствии эти данные могут быть использованы для восстановления компьютерной системы до исходного состояния. Вместе с тем в состав модуля мониторинга активности входит набор шаблонов опасного поведения программ - моделей поведения, по которым можно вычислить неизвестное вредоносное программное обеспечение. Кроме того, модуль мониторинга активности обменивается информацией с другими компонентами антивирусного программного обеспечения и, запоминая цепочки событий, формирует целостную картину поведения и фиксирует следы каждой отдельной программы и групп программ, а также отслеживает действия программ не только в текущей сессии, но и на протяжении всего жизненного цикла программы. Это значительно повышает точность обнаружения вредоносных программ.

Шаблон опасного поведения программ (BSS, от англ. Behavior Stream Signature) содержит набор событий, наступление которых в рамках компьютерной системы обуславливает обнаружение угрозы, соответствующей данному шаблону. Выполнение шаблона предписывает модулю мониторинга активности обнаружить угрозу. Далее по тексту для упрощения шаблон опасного поведения программ будем называть шаблоном. События, перечисленные в шаблоне, могут быть связаны с системными вызовами, посредством которых процессы взаимодействуют с любыми объектами в рамках операционной системы, например файлами, данными, загруженными в оперативную память, или другими процессами. События могут быть связаны с сетевым трафиком, а именно с выявлением в нем определенных последовательностей данных или с определением его текущих характеристик. Также события могут быть связаны с анализом кода, загруженного в оперативную память, - модуль мониторинга активности может считывать данные из любых участков оперативной памяти и осуществлять их анализ.

События, перечисленные в шаблоне, могут быть уточнены посредством указания параметров, которым данное событие должно соответствовать. Этими параметрами могут быть, например, идентификаторы процессов, адреса и диапазоны адресов памяти, файлы, их идентификаторы и директории. Помимо событий в шаблонах также могут быть использованы условные и логические операторы, например, с их помощью в шаблоне могут быть определены временные рамки и очередность наступления событий. Более того, в шаблон могут включаться запросы экспертизы и вердиктов от других систем безопасности, так как модуль мониторинга активности может обмениваться информацией с другими компонентами антивирусного программного обеспечения, как локальными, так и удаленными. Например, шаблон может содержать в себе запрос к списку доверенных программ с целью определения является ли процесс выполняющий действия на компьютерной системе известным и доверенным или же нет.

Обнаружение угрозы, соответствующей шаблону, осуществляется тогда, когда модулем мониторинга активности были выявлены все события из данного шаблона. Другими словами, в рамках компьютерной системы произошли все события, перечисленные в шаблоне, и факты того, что данные события наступили, были зафиксированы модулем мониторинга активности. Набор событий, перечисленных в шаблоне, характеризует определенный вектор атаки, который позволяет локализовать вредоносный объект на компьютерной системе, при помощи которого реализуются кибератаки, а так же целевые кибератаки. Модуль мониторинга активности отслеживает события в рамках компьютерной системы любым известным из уровня техники способом, например в частном случае реализации для операционных систем семейства Windows отслеживание событий может осуществляться путем установки соответствующих драйвер-фильтров.

Угрозами, соответствующими шаблонам, в рамках заявленного изобретения являются вредоносные программы. Вредоносные программы, выявленные при помощи шаблона, идентифицируются по файлам, относящимся к данной вредоносной программе, например по исполняемому файлу, и/или по процессу, то есть активно исполняемой вредоносной программе, загруженной в оперативную память компьютерной системы. К примеру, простейший шаблон для выявления такой угрозы, как программы-шифровальщики - разновидность вредоносных программ-вымогателей, которые осуществляют шифрование важных для пользователя данных на компьютерной системе с целью вымогательства денег, - в исходном виде содержит событие «внесения изменения в файл» и срабатывает на изменение любого файла, инициированного любым процессом. Такой шаблон не может использоваться без адаптирования его к конкретной компьютерной системе в силу того, что данный шаблон слишком широко сформулирован, а событие «внесения изменения в файл» само по себе не является вредоносным. В следствии чего использование данного шаблона приводит к большому количеству ложных обнаружений. Естественно, данный пример приведен лишь для наглядности, и реальный шаблон не описывается настолько широко, а содержит в себе массу параметров, условий и исключений, позволяющих существенно снизить количество ложных обнаружений.

Ложно обнаруженными угрозами являются доверенные программы, которые идентифицируются как вредоносные соответствующим шаблоном, однако не являются таковыми [вредоносными]. Определение того, является ли обнаруженная при помощи шаблона угроза ложно обнаруженной, осуществляется дополнительными проверками, например по базам доверенных программ.

Как упоминалось выше, шаблоны разрабатываются вручную специалистами антивирусных компаний. Сразу после создания шаблон необходимо протестировать и определить эффективность его работы, для этого шаблон загружается на все компьютерные системы пользователей и запускается в режиме молчания (от англ. Silent mode). Режим молчания (или первый режим) - это такой режим использования шаблона, при котором модуль мониторинга активности обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, но не выполняет действий для их устранения. Соответственно, режимом применения шаблонов (или вторым режимом) называется такой режим использования шаблонов, при котором модуль мониторинга активности обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, и выполняет действия для их устранения. В течение определенного периода времени шаблон работает на компьютерных системах пользователей в режиме молчания, при этом на удаленном сервере собирается статистика обнаруженных на компьютерных системах угроз с использованием данного шаблона. Статистика может включать в себя по меньшей мере следующие данные: идентификатор угрозы, идентификатор шаблона, имена и хеш суммы файлов и процессов, относящихся к обнаруженной угрозе. Данная статистика впоследствии анализируется специалистами антивирусной компании, и в шаблон вносятся изменения, повышающие эффективность использования данного шаблона, то есть позволяющие снизить количество ложных обнаружений. В процессе анализа собранной статистики все обнаруженные при помощи шаблона угрозы проверяются на предмет того, являются ли они ложно обнаруженными угрозами. Данная проверка может осуществляться проверкой файлов и процессов, относящихся к обнаруженной угрозе, по спискам доверенных файлов и программ. Обновленный шаблон повторно загружается на компьютерные системы пользователей и запускается опять же в режиме молчания. Описанный цикл ручного обновления шаблона повторяется до тех пор, пока количество ложных обнаружений угроз, соответствующих шаблону, в собранной статистике использования не станет равным нулю или не превысит заданного значения. После чего такие шаблоны переводятся в режим применения. Однако уровень ложных обнаружений угроз для некоторых шаблонов невозможно свести к нулю, как, например, в случае с шаблоном, позволяющим выявлять вредоносные программы, шифрующие данные пользователя. Для таких шаблонов уровень ложных обнаружений может быть лишь доведен до определенного уровня (например, < 3%). При таком уровне ложных обнаружений использование шаблона на неопределенном множестве компьютерных систем все еще невозможно, однако такой шаблон можно адаптировать при помощи заявленного изобретения к использованию на каждой конкретной компьютерной системе.

В рамках заявленного изобретения реализован способ избирательного использования шаблона на компьютерных системах, при котором в течение заданного периода времени (периода обучения) шаблон используется в режиме молчания на множестве компьютерных систем, например в корпоративной подсети. Статистика обнаружения угроз, соответствующих шаблону, с каждой компьютерной системы из упомянутого множества передается на удаленный центр управления безопасностью. Каждая программа, отнесенная к угрозам с использованием шаблона, по истечении периода обучения перепроверяется при помощи других систем безопасности, в частности осуществляется проверка программ по «белым» спискам. «Белые» списки (от англ. whitelist) - это списки доверенных программ и соответствующих им файлов, процессов. Различные «белые» списки хранятся и обновляются локально на каждой компьютерной системе, на удаленном центре управления безопасностью, а также есть глобальный «белый» список, обновляемый на стороне антивирусной компании. Соответственно программа, отнесенная к угрозам с использованием шаблона, считается ложно обнаруженной угрозой, если по истечении периода обучения данная программа содержится в «белом» списке. Для каждой компьютерной системы, для которой количество ложных обнаружений угроз в накопленной для данной компьютерной системы статистике обнаружения угроз не превышает установленного порогового значения, при помощи удаленного центра управления безопасностью осуществляют внесение в шаблон всех ложно обнаруженных угроз, соответствующих конкретной компьютерной системе, в качестве исключений, и переводят шаблон в режим применения.

На Фиг. 1 изображена система избирательного использования шаблонов опасного поведения программ. В рамках заявленной системы на стороне пользователей представлено множество компьютерных систем {КС 1, КС 2, … КС N}. На каждой компьютерной системе из упомянутого множества запущено антивирусное приложение, которое включает в себя различные модули {Модули 1, Модуль 2, Модуль N}, в том числе и модуль мониторинга активности. Каждое антивирусное приложение, запущенное на множестве компьютерных систем, связано с удаленным модулем управления безопасностью 100, который предназначен для централизованного управления безопасностью множества компьютерных систем. Удаленный модуль управления безопасностью 100 связан с такими элементами инфраструктуры антивирусной компании, как база «нечетких шаблонов» 103 и сервисами 102. База «нечетких шаблонов» 103 содержит те самые упомянутые выше шаблоны, уровень ложного обнаружения которых доведен специалистами антивирусной компании до определенного уровня, но не равен нулю. Под сервисами 102 понимают любые элементы инфраструктуры антивирусной компании, которые используются антивирусными приложениями и удаленным модулем управления безопасностью 100 удаленно, то есть находятся на удаленных серверах антивирусной компании. Модуль мониторинга активности, являющийся частью антивирусного приложения, запущенного на каждой компьютерной системе из множества компьютерных систем, предназначен для обнаружения угроз на компьютерной системе пользователя, соответствующих шаблону опасного поведения программ, а также для отправки статистики обнаружения угроз. Как упоминалось выше, статистика может включать в себя по меньшей мере следующие данные: идентификатор угрозы, идентификатор шаблона, имена и хеш суммы файлов и процессов, относящихся к обнаруженной угрозе. Более того, статистика может содержать идентификатор компьютерной системы из множества компьютерных систем, а также перечень событий, произошедших на компьютерной системе, и их параметров, которые привели [события+параметры] к обнаружению угрозы при помощи шаблона. Если в шаблоне события могут быть описаны широко при помощи масок (от англ. wildcard) и регулярных выражений (от англ. regular expressions), то в статистике содержатся детали о произошедшем на компьютерной системе событии. Например процесс "program.exe" осуществил запись в файл "c:\windows\file" со следующими характеристиками {А1, А2,…, Am}, которые могут включать в себя, к примеру, значения переменных среды (от англ. environment variable), права доступа, вердикты от других систем безопасности из локального множества {Модуль 1, Модуль N} или от удаленных сервисов 102 и многие другие характеристики. Имя процесса, имя файла, системный вызов и его аргументы, а также характеристики {A1, А2, … Am} - все это параметры события.

Удаленный модуль управления безопасностью 100 в рамках заявленного изобретения предназначен для работы с шаблонами из базы «нечетких» шаблонов 103. При помощи удаленного модуля управления безопасностью шаблон загружается в модуль мониторинга активности для каждой компьютерной системы из множества компьютерных систем и для него устанавливается первый режим использования, при котором модуль мониторинга активности обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, но не выполняет действий для их устранения. Также удаленный модуль управления безопасностью 100 позволяет накапливать статистику обнаружения угроз (или просто статистику), соответствующую шаблону. Статистика накапливается для каждой компьютерной системы из множества компьютерных систем в течение установленного периода времени. Период времени подбирается эмпирическим путем. По истечении данного периода времени удаленным модулем управления безопасностью 100 для каждой компьютерной системы из множества компьютерных систем осуществляется анализ накопленной при использовании шаблона статистики обнаружения угроз. Для каждой компьютерной системы осуществляется анализ лишь той части статистики, которая была накоплена при использовании шаблона на данной компьютерной системе. Статистика обнаружения угроз, полученная при использовании шаблона на других компьютерных системах из множества компьютерных систем, не берется в расчет при упомянутом анализе. В ходе анализа накопленной статистики осуществляется подсчет количества ложных обнаружений угроз для каждой компьютерной системы. Угрозами являются вредоносные программы (файлы, процессы), а ложно обнаруженными угрозами являются доверенные программы (файлы, процессы). Определение того, что обнаруженная угроза является ложно обнаруженной угрозой, осуществляется при помощи удаленного модуля управления безопасностью 100, проверкой программ (файлов, процессов), соответствующих выявленным угрозам, по базам доверенных программ после истечения упомянутого установленного периода времени. По результатам анализа для каждой компьютерной системы, для которой количество ложных обнаружений угроз в накопленной для данной компьютерной системы статистике обнаружения угроз не превышает установленного порогового значения, при помощи удаленного модуля управления безопасностью 100 осуществляется: внесение в шаблон опасного поведения программ всех ложно обнаруженных угроз, соответствующих конкретной компьютерной системе, в качестве исключений и перевод шаблона опасного поведения программ во второй режим, при котором антивирусное приложение, запущенное на компьютерной системе, обнаруживает угрозы, соответствующие упомянутому шаблону, и выполняет действия для их устранения.

Упомянутое выше внесение в шаблон опасного поведения программ всех ложно обнаруженных угроз, соответствующих конкретной компьютерной системе, в качестве исключений, может быть осуществлено разными способами. В одном из вариантов осуществления данного изобретения для того, чтобы исключить из последующего обнаружения при помощи шаблона ложно обнаруженную угрозу (доверенную программу), в шаблон при помощи удаленного модуля управления безопасностью 100 (или модулем мониторинга активности) вносятся изменения. В частности, в шаблон частично или полностью добавляются параметры событий (из статистики), произошедших на компьютерной системе, которые привели к ложному обнаружению угрозы, и фильтры или условные операторы - процедуры проверки параметров событий, позволяющие исключить из шаблона действия с соответствующими параметрами. Например шаблон будет рассматривать все действия «внесения процессом изменений в файл», кроме случая, когда имя процесса «programl.exe» и имя файла «c:\program files\file_1».

В другом варианте осуществления для того, чтобы исключить из последующего обнаружения программу, признанную при помощи шаблона ложно обнаруженной угрозой, программу при помощи удаленного модуля управления безопасностью 100 (или модулем мониторинга активности) вносят в список доверенных программ, например расположенный локально на компьютерной системе, а в шаблон добавляют процедуру проверки по данному списку. Если программа содержится в списке, то действия, связанные с ней, не попадают под шаблон.

На Фиг. 2 приведена блок-схема способа избирательного использования шаблонов опасного поведения программ. Согласно данному способу на этапе 201 запускают на множестве компьютерных систем при помощи удаленного модуля управления безопасностью шаблон опасного поведения программ в первом режиме, при котором антивирусное приложение, запущенное на компьютерной системе, обнаруживает угрозы, соответствующие упомянутому шаблону, но не выполняет действий для их устранения. Под запуском подразумевается загрузка при помощи удаленного модуля управления безопасностью 100 шаблона опасного поведения программ в модули мониторинга активности множества компьютерных систем и установка для данного шаблона упомянутого режима использования. Действиями для устранения угроз являются: удаление вредоносной программы; восстановление компьютерной системы; запрос действий у пользователя; помещение вредоносной программы на карантин. На этапе 202 накапливают на удаленном модуле управления безопасностью статистику обнаружений угроз, соответствующих упомянутому шаблону, для каждой компьютерной системы из упомянутого множества в течение установленного периода времени. Далее на этапе 203 для каждой компьютерной системы из множества компьютерных систем (цикл 203-207) при помощи удаленного модуля управления безопасностью определяют количество ложных обнаружений (любым известным из уровня техники способом). Для каждой компьютерной системы, для которой количество ложных обнаружений угроз в накопленной для данной компьютерной системы статистике обнаружения угроз не превышает установленного порогового значения, при помощи удаленного модуля управления безопасности осуществляют: внесение на этапе 205 в шаблон опасного поведения программ всех ложно обнаруженных угроз, соответствующих конкретной компьютерной системе, в качестве исключений и перевод шаблона опасного поведения программ на этапе 206 во второй режим, при котором антивирусное приложение, запущенное на компьютерной системе, обнаруживает угрозы, соответствующие упомянутому шаблону, и выполняет действия для их устранения.

На Фиг. 3 представлен пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п.Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

1. Способ избирательного использования шаблона опасного поведения программ на компьютерных системах, по которому:

а) запускают на множестве компьютерных систем при помощи удаленного модуля управления безопасностью шаблон опасного поведения программ в первом режиме, при котором антивирусное приложение, запущенное на компьютерной системе, обнаруживает угрозы, соответствующие упомянутому шаблону, но не выполняет действий для их устранения;

б) накапливают на удаленном модуле управления безопасностью статистику обнаружений угроз, соответствующих упомянутому шаблону, для каждой компьютерной системы из упомянутого множества в течение установленного периода времени;

в) для каждой компьютерной системы, для которой количество ложных обнаружений угроз в накопленной для данной компьютерной системы статистике обнаружения угроз не превышает установленного порогового значения, при помощи удаленного модуля управления безопасности осуществляют:

внесение в шаблон опасного поведения программ всех ложно обнаруженных угроз, соответствующих конкретной компьютерной системе, в качестве исключений и

перевод шаблона опасного поведения программ во второй режим, при котором антивирусное приложение, запущенное на компьютерной системе, обнаруживает угрозы, соответствующие упомянутому шаблону, и выполняет действия для их устранения.

2. Способ по п. 1, где угрозами являются вредоносные программы.

3. Способ по п. 1, где ложно обнаруженными угрозами являются доверенные программы.

4. Способ по п. 1, где определение того, что обнаруженная угроза является ложно обнаруженной угрозой, осуществляется при помощи удаленного модуля управления безопасностью, проверкой программ, соответствующих выявленным угрозам, по базам доверенных программ после истечения упомянутого установленного периода времени.

5. Способ по п. 4, где базы доверенных программ, по которым осуществляется упомянутая проверка, расположены локально по отношению к каждой компьютерной системе и/или удаленно.

6. Способ по п. 1, где действиями для устранения угроз являются:

- удаление вредоносной программы;

- восстановление компьютерной системы;

- запрос действий у пользователя;

- помещение вредоносной программы на карантин.



 

Похожие патенты:

Изобретение относится к области вычислительной техники. Техническим результатом является повышение уровня безопасности информационной системы персональных данных.

Изобретение относится к области информационной безопасности. Технический результат заключается в защите чувствительного кода от попыток исполнения с ненадлежащей точкой входа API без излишних издержек.

Изобретение относится к хранению и передачи данных, содержащихся на магнитной полосе. Техническим результатом является повышение безопасности при привязке устройства к определенному счету пользователя.

Изобретение относится к системам и способам автоматического резервного копирования и восстановления цифровых данных. Раскрыта самовосстанавливающаяся система видеонаблюдения.

Изобретение относится к области обработки данных, а именно к моделирующим устройствам, и может быть использовано при моделировании фазоповоротного устройства и его конструктивных элементов в составе энергетических систем.

Изобретение относится к области телекоммуникаций. Техническим результатом является обеспечение скрытности и повышение помехоустойчивости передаваемой информации.

Изобретение относится к области квантовой криптографии. Технический результат – исключение прерывания передачи ключей в режиме квазиоднофотонных состояний для управления интерференционной картиной.

Изобретение относится к области компьютерной техники. Техническим результатом является расширение арсенала технических средств для реализации назначения, заключающегося в администрировании обработки в пределах вычислительного окружения.

Изобретение относится к технологии обеспечения электронной защиты, в частности, к устройству и способу установления подлинности пароля, введенного пользователем. Технический результат заключается в повышении безопасности установления подлинности пароля, введенного пользователем.

Изобретение относится к системам моделирования. Технический результат заключается в обеспечении проведения имитационных экспериментов, связанных с моделированием взаимодействия крупномасштабных социально-технических систем с оценкой ресурсных потенциалов и условий конкурентного взаимодействия, анализа, выделения наиболее рационального сценария.

Изобретение относится к области информационной безопасности. Техническим результатом является обнаружение вредоносного кода в адресном пространстве процесса. Раскрыт способ обнаружения вредоносного кода в адресном пространстве процесса, выполняемый при помощи компьютерной системы, в котором: a) обнаруживают при помощи средства перехвата запуск процесса из доверенного исполняемого файла, при этом в адресном пространстве процесса находится образ упомянутого исполняемого файла; b) обнаруживают при помощи средства перехвата обращение, осуществляемое при исполнении процесса, к подозрительному адресу памяти, при этом адрес памяти является подозрительным, если этот адрес памяти принадлежит подозрительной области памяти в адресном пространстве процесса; подозрительной областью памяти в адресном пространстве процесса, запущенного из исполняемого файла, является область памяти, которая находится за пределами образа исполняемого файла в упомянутом адресном пространстве и в то же время является исполняемой областью памяти; c) осуществляют при помощи средства безопасности анализ области памяти в адресном пространстве процесса в окрестности подозрительного адреса памяти, при этом во время анализа обнаруживают в адресном пространстве процесса образ исполняемого файла, загруженного из другого файла; d) обнаруживают при помощи средства безопасности вредоносный код в адресном пространстве процесса путем анализа обнаруженного образа исполняемого файла, загруженного из другого файла, при этом анализ осуществляется при помощи сигнатур вредоносного кода. 5 з.п. ф-лы, 3 ил.

Изобретение относится к решениям для выявления вредоносных файлов. Технический результат – повышение безопасности компьютерной системы. Система анализа на вредоносность файла, открываемого в виртуальной машине в виде среды для безопасного исполнения файлов, в которой перехватывают событие, которое возникает в процессе исполнения потока процесса, созданного при открытии файла в виртуальной машине в виде среды для безопасного исполнения, и приостанавливают исполнение потока; считывают контекст процессора, на котором исполняется поток; сохраняют перехваченное событие и контекст в журнал; сравнивают данные, сохраненные в журнале, с шаблонами, при этом на основании сравнения принимают по меньшей мере одно из решений: решение о признании файла вредоносным, решение об остановке исполнения файла, решение об изменении контекста процессора, решение об ожидании следующего события; исполняют действия, соответствующие принятым решениям. 2 н. и 16 з.п. ф-лы, 4 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в определении DDoS-атаки на сервер при некорректной работе сервисов сервера. Система определения DDoS-атаки на сервер включает сервер, который содержит один или несколько сервисов, которые отвечают за обработку запросов пользователей, получаемых от устройств пользователей; приложение, отвечающее за безопасность, которое предназначено для определения некорректной работы сервисов сервера и передачи данной информации средству защиты от DDoS-атак, а также предназначенное для настройки средства защиты от DDoS-атак путем изменения типов данных, используемых для построения вектора пользователя; средство защиты от DDoS-атак, которое предназначено для определения DDoS-атаки на сервер на основании перехваченных запросов со стороны пользователей и информации от упомянутого приложения, отвечающего за безопасность. 2 н.п. ф-лы, 8 ил., 1 табл.

Представлен и описан проточный расходомер (1), прежде всего для эксплуатации с обеспечением единства измерений, имеющий корпус (2), по меньшей мере одно расположенное в корпусе устройство (3) обработки данных и расположенный в корпусе интерфейс (4) для коммуникации с внешним устройством (5) управления, причем устройство (3) обработки данных выполнено с возможностью записи данных через интерфейс (4). Незаконное воздействие на устройство (3) обработки данных предотвращается за счет того, что в корпусе (2) расположены по меньшей мере два чувствительных элемента (7а, 7b) защиты от записи, что внешняя сторона корпуса имеет гнездо (8) по меньшей мере для одного воздействующего элемента (9) защиты от записи, что воздействующий элемент (9) защиты от записи во вставленном в гнездо (8) состоянии переводит чувствительные элементы (7а, 7b) защиты от записи в состояние защиты от записи, что состояние защиты от записи чувствительных элементов (7а, 7b) защиты от записи обнаруживается устройством (3) обработки данных, причем при обнаружении состояния защиты от записи по меньшей мере одного из чувствительных элементов (7а, 7b) защиты от записи устройством (3) обработки данных запись данных через интерфейс (4) в устройство (3) обработки данных по меньшей мере частично предотвращается. Технический результат - обеспечение защищающего от воздействия механизма для располагающих встроенным интерфейсом проточных расходомеров, посредством которого может быть произведено воздействие на устройство обработки данных проточного расходомера и при использовании которого тем самым реализован отличный от чисто механического контроль доступа. 13 з.п. ф-лы, 4 ил.

Изобретение относится к компьютерно-реализуемому способу, машиночитаемому носителю и вычислительной системе для обеспечения неизменяемости экземпляров типа объекта. Технический результат заключается в автоматическом управлении экземпляром типа объекта. Способ содержит этапы, на которых осуществляют доступ в исходном коде программного обеспечения к содержащему явную аннотацию к типу объекта объявлению, которым задается то, что данный тип объекта является неизменяемым, в ответ на осуществление доступа к объявлению, выполняют этапы, на которых автоматически формулируют машиноисполняемые команды, которые реализуют то, что каждый экземпляр упомянутого типа объекта классифицируется как неизменяемый после его создания, включая команды, которые игнорируют любое заданное пользователем разрешение для данного типа объекта, так что все экземпляры этого типа объекта являются неизменяемыми, даже если присвоено разрешение изменяемый, также то, что все прямо или косвенно доступные элементы экземпляра упомянутого типа объекта классифицируются как неизменяемые, а также то, что существование любой ссылки, позволяющей выполнять присвоение полей экземпляра упомянутого типа объекта, не допускается после момента, в который данный экземпляр становится доступным создателю этого экземпляра. 3 н. и 18 з.п. ф-лы, 4 ил.

Изобретение относится к сетевой безопасности. Технический результат заключается в расширении арсенала средств того же назначения. Устройство выполнено с возможностью приема ненадежных входных данных в анклаве в электронном устройстве, изоляции ненадежных данных по меньшей мере от участка анклава, передачи по меньшей мере части ненадежных данных в модуль проверки целостности с использованием канала аттестации и приема проверки целостности данных для ненадежных данных от модуля проверки целостности. Модуль проверки целостности может выполнять функции аттестации целостности данных для проверки ненадежных данных, причем функции аттестации целостности данных включают в себя политику аттестации данных и белый список. 4 н. и 21 з.п. ф-лы, 9 ил.

Группа изобретений относится к системе и способу для ограничения запросов доступа. Технический результат – обеспечение защиты доступа сети. Для этого в системе балансировщик нагрузки принимает запрос доступа, интерпретирует принятый запрос доступа в UDP-сообщение и передает UDP-сообщение в агрегатор; агрегатор накапливает принятое UDP-сообщение в соответствии с предопределенной комбинацией полей данных и предопределенной длительностью таким образом, чтобы сформировать статистические данные, и отправляет статистические данные в сумматор в ответ на запрос от сумматора; сумматор запрашивает статистические данные от агрегатора в соответствии с предопределенным временным интервалом запроса, принимает статистические данные от агрегатора, формирует черный список для запросов доступа в соответствии с принимаемыми статистическими данными и предопределенным правилом и отправляет черный список в балансировщик нагрузки в ответ на запрос от балансировщика нагрузки. Балансировщик нагрузки определяет действие обработки по каждому из принимаемых запросов доступа в соответствии с текущим черным списком. 2 н. и 10 з.п. ф-лы, 3 ил.

Изобретение относится к компьютерной технике. Техническим результатом является повышение защиты конфиденциальной информации пользователя. Способ управления электронным устройством, работающим в одном из множества режимов, содержит этапы: отображения экрана блокировки на сенсорном дисплее электронного устройства, экран блокировки включает в себя множество элементов пользовательского интерфейса для приема управляющего ввода для разблокировки, приема управляющего ввода для разблокировки посредством сенсорного дисплея, в ответ на прием первого управляющего ввода для разблокировки, соответствующего первому режиму, отображения по меньшей мере одной пиктограммы приложений, связанных с первым режимом, и в ответ на прием второго управляющего ввода для разблокировки, соответствующего второму режиму, отображения по меньшей мере одной пиктограммы приложений, связанных со вторым режимом, отображения упомянутой по меньшей мере одной пиктограммы приложений, связанных с первым режимом, и пиктограммы для смены режима, когда электронное устройство работает в первом режиме, и в ответ на выбор пиктограммы для смены режима удаления упомянутой по меньшей мере одной пиктограммы приложений, связанных с первым режимом, и пиктограммы для смены режима и отображения экрана блокировки для смены режима. 2 н. и 13 з.п. ф-лы, 24 ил.

Изобретение относится к устройствам и способам шифрования и передачи данных. Технический результат заключается в обеспечении безопасности данных. Устройство содержит модуль обработки, выполненный с возможностью равномерного разделения исходных данных на N пакетов первых данных, причем N является положительным целым числом, шифрования пакета первых данных в N пакетах первых данных, для получения N пакетов шифрованных первых данных, где номер первого пакета данных имеет максимум N-1, и кодирования, с использованием фонтанного кода, N пакетов шифрованных первых данных для получения M пакетов вторых данных, где М представляет собой целое положительное число, причем M > N, и модуль передачи, выполненный с возможностью передачи М пакетов вторых данных, полученных модулем обработки, на сторону приема. 4 н. и 11 з.п. ф-лы, 8 ил.
Изобретение относится к области компьютерной техники и информационных технологий. Технический результат заключается в повышении уровня защищенности компьютера. Раскрыт компьютер для работы в доверенной вычислительной среде, содержащий встроенное аппаратное средство защиты информации - резидентный компонент безопасности (РКБ), связанный по меньшей мере с шиной компьютера, при этом РКБ - по меньшей мере одним из своих выходов и/или входов - дополнительно связан по меньшей мере с одним из функциональных блоков компьютера физически выделенной линией (ФВЛ), по которой обеспечивается привилегированное - по отношению к командам, приходящим по шине, - исполнение команд управления состоянием этого блока(этих блоков) со стороны РКБ, и/или достоверное определение последним состояния такового(таковых). 2 з.п. ф-лы.

Изобретение относится к использованию шаблонов опасного поведения программ с высоким уровнем ложных обнаружений. Технический результат – уменьшение количества ложных обнаружений угроз при использовании шаблона опасного поведения программ. Способ избирательного использования шаблона опасного поведения программ на компьютерных системах, по которому запускают на множестве компьютерных систем шаблон опасного поведения программ в первом режиме, при котором антивирусное приложение обнаруживает угрозы, соответствующие упомянутому шаблону, но не выполняет действия для их устранения, накапливают статистику обнаружений угроз в течение установленного периода времени, для каждой компьютерной системы, для которой количество ложных обнаружений угроз не превышает установленного порогового значения, осуществляют внесение в шаблон опасного поведения программ всех ложно обнаруженных угроз, соответствующих конкретной компьютерной системе, в качестве исключений и переводят шаблон опасного поведения программ во второй режим, при котором обнаруживаются угрозы, соответствующие упомянутому шаблону, и выполняются действия для их устранения. 5 з.п. ф-лы, 3 ил.

Наверх