RU2514137C1 - Method for automatic adjustment of security means - Google Patents
Method for automatic adjustment of security means Download PDFInfo
- Publication number
- RU2514137C1 RU2514137C1 RU2012141464/08A RU2012141464A RU2514137C1 RU 2514137 C1 RU2514137 C1 RU 2514137C1 RU 2012141464/08 A RU2012141464/08 A RU 2012141464/08A RU 2012141464 A RU2012141464 A RU 2012141464A RU 2514137 C1 RU2514137 C1 RU 2514137C1
- Authority
- RU
- Russia
- Prior art keywords
- application
- security
- execution
- security tool
- operations
- Prior art date
Links
Images
Abstract
Description
Область техникиTechnical field
Настоящее изобретение относится к способам обеспечения безопасности компьютерных систем и более конкретно к способам автоматической настройки средств безопасности во время исполнения прикладных программ.The present invention relates to methods for ensuring the security of computer systems, and more particularly to methods for automatically configuring security tools during execution of application programs.
Уровень техникиState of the art
Для обеспечения максимального уровня защищенности компьютерных систем (КС) от постоянно растущего количества угроз компьютерной безопасности производители средств безопасности КС и сетей постоянно развивают и совершенствуют методы обнаружения вредоносных программ и их компонент. Вместе с этим повышается ресурсоемкость решений безопасности и количество их возможных настроек. Таким образом, формируется новая техническая задача в области обеспечения безопасности КС - оптимизировать работу средств безопасности в зависимости от конфигурации КС для каждого доверенного пользовательского приложения или группы приложений. Оптимизация позволяет исключить ошибки обнаружения, не производить дополнительные малоэффективные проверки с целью минимизации использования ресурсов, а также правильно настроить компоненты средства безопасности, чтобы пользовательское приложение работало без дополнительных ресурсных ограничений и конфликтов со средством безопасности. При этом оптимизация не должна понижать необходимый уровень безопасности, обеспечиваемый средствами безопасности КС. Процесс оптимизации должен быть полностью автоматизирован или проходить с минимальным участием пользователя (администратора). Это, в частности, не позволяет реализовать принцип минимально возможных привилегий, заключающийся в том, что доверенное приложение должно получать не полные привилегии, а ограниченный набор прав, необходимых для нормального функционирования.To ensure the maximum level of protection of computer systems (CS) from an ever-increasing number of threats to computer security, manufacturers of security tools for computers and networks are constantly developing and improving methods for detecting malicious programs and their components. Along with this, the resource consumption of security solutions and the number of possible settings are increased. Thus, a new technical task is being formed in the field of CS security - to optimize the operation of security tools depending on the configuration of the CS for each trusted user application or application group. Optimization eliminates detection errors, does not perform additional ineffective checks in order to minimize resource use, and also correctly configures security tool components so that the user application works without additional resource restrictions and conflicts with the security tool. At the same time, optimization should not lower the necessary level of security provided by the security equipment of the CS. The optimization process should be fully automated or take place with minimal involvement of the user (administrator). This, in particular, does not allow the principle of the least possible privileges to be realized, namely that a trusted application should not receive full privileges, but a limited set of rights necessary for normal functioning.
В большинстве существующих систем безопасности, осуществляющих контроль приложений, процесс оптимизации ограничен обновлением черных и белых списков приложений, который не позволяет дифференцировать настройки для двух доверенных приложений, находящихся в белом списке.In most existing security systems that control applications, the optimization process is limited to updating black and white lists of applications, which does not allow to differentiate settings for two trusted applications that are in the white list.
Из уровня техники известны системы, в которых для некоторых программ применяют отдельные политики безопасности. Примером таких приложений являются почтовые клиенты, для безопасности которых повышают уровень сетевой защиты за счет увеличения мощности сетевых фильтров и применяют детальную проверку вложенных в письма файлов на наличие вредоносных объектов. Другим примером оптимизации контроля приложений является работа антивируса в специальном режиме во время работы игрового приложения. При этом антивирусная служба потребляет минимально возможное количество вычислительных ресурсов, откладывает запуск запланированных задач и изменяет ряд других настроек, чтобы не создавать конфликтов с игровым приложением.Systems are known in the art in which separate security policies are applied for some programs. An example of such applications is mail clients, for the security of which they increase the level of network protection by increasing the power of network filters and apply a detailed check of files attached to letters for malicious objects. Another example of optimizing application control is the operation of the antivirus in a special mode while the game application is running. At the same time, the antivirus service consumes the least possible amount of computing resources, delays the launch of scheduled tasks and changes a number of other settings so as not to create conflicts with the game application.
Средство компьютерной безопасности, в частности, антивирус имеет ограниченное количество настроек. Формирование базы данных настроек и их применение в зависимости от конфигурации, пользователя, месторасположения КС и других факторов является тривиальной задачей, если соответствующая настройка формируется администратором КС вручную или задается прямым соответствием, например, с помощью таблицы или набора экспертных правил. Так, из уровня техники известны сервисы, позволяющие настраивать средства контроля доступа путем загрузки соответствующих профилей с удаленного сервера администрирования, описанные в публикациях US 7197550, US 20070209076. Предложенные в описаниях решения осуществляют настройку системы безопасности, в частности настройку системы контроля доступа, основываясь на информации о пользователе и работающем приложении. В отличие от существующей техники, описанное далее изобретение позволяет произвести более точную настройку безопасности компьютера пользователя за счет автоматизации процесса анализа пользовательского приложения и конфигурации системы, что позволяет сократить потребление вычислительных ресурсов компьютера пользователя и при этом применить эффективные меры защиты в отношении приложения и непосредственно хоста.The computer security tool, in particular, the antivirus has a limited number of settings. The formation of a database of settings and their application depending on the configuration, user, location of the CS and other factors is a trivial task if the corresponding configuration is manually created by the administrator of the CS or is set by direct correspondence, for example, using a table or a set of expert rules. Thus, services are known from the prior art that allow you to configure access control by downloading the appropriate profiles from a remote administration server described in publications US 7197550, US 20070209076. The solutions proposed in the descriptions configure the security system, in particular, configure the access control system based on the information About the user and the running application. In contrast to the existing technique, the invention described below allows for more precise security tuning of the user's computer by automating the process of analyzing the user application and system configuration, which reduces the consumption of computing resources of the user's computer and, at the same time, applies effective protection measures with respect to the application and the host itself.
В US 7979849 и US 20110314343 описаны средства тестирования программных продуктов, основанные на исследовании графических интерфейсов и программных процессов. Отличительной особенностью заявляемого изобретения является усовершенствованный способ исследования программы не только с помощью ведения журналов событий, но и с помощью эмуляции различных условий исполнения программ, сбора статистики и симуляции воздействий на интерфейс программы.US 7979849 and US 20110314343 describe software testing tools based on the study of graphical interfaces and software processes. A distinctive feature of the claimed invention is an improved method of researching a program not only by maintaining event logs, but also by emulating various conditions for program execution, collecting statistics and simulating effects on the program interface.
Анализ предшествующего уровня техники и возможностей, которые появляются при их комбинировании, позволяют получить новый результат, а именно способ автоматической настройки средства безопасности. Отличительные особенности и характерные признаки настоящего изобретения более подробно раскрываются в описании вариантов осуществления.An analysis of the prior art and the possibilities that arise when combining them allow you to get a new result, namely, a way to automatically configure security features. Distinctive features and characteristics of the present invention are disclosed in more detail in the description of the embodiments.
Сущность изобретенияSUMMARY OF THE INVENTION
Настоящее изобретение предназначено для автоматизации процесса настройки средства безопасности во время работы прикладной программы с учетом функциональных особенностей данной программы.The present invention is intended to automate the process of setting up a security tool during operation of an application program, taking into account the functional features of this program.
Технический результат настоящего изобретения заключается в модификации средства безопасности для приоритизации выполняемых средством безопасности операций во время исполнения прикладной программы.The technical result of the present invention is to modify the security tool to prioritize the operations performed by the security tool during execution of the application program.
Применение изобретения на практике позволяет автоматически изменять настройки средства безопасности в зависимости от конфигурации компьютерной системы и ее изменений. При запуске приложения автоматически применяются определенные настройки средства безопасности, которые к тому же варьируются в зависимости от факторов, характеризующих текущее состояние компьютерной системы.Putting the invention into practice allows you to automatically change the security settings depending on the configuration of the computer system and its changes. When the application starts, certain security settings are automatically applied, which also vary depending on factors characterizing the current state of the computer system.
Технический результат достигается за счет анализа процессов исполнения прикладной программы и средства безопасности, совместно исполняющихся на компьютерной системе при различных конфигурациях компьютерной системы.The technical result is achieved by analyzing the execution processes of the application program and security tools that are jointly executed on a computer system with various computer system configurations.
Способ автоматической модификации средства безопасности состоит из этапов, на которых: (а) проверяют приложение на соответствие критериям безопасности; (б) если приложение соответствует критериям безопасности, то приложение запускают на исполнение в тестовом режиме; (в) переключают сценарии исполнения приложения; (г) регистрируют операции, выполняемые средством безопасности во время исполнения сценариев приложения, при этом регистрируют операции, связанные с исполняемым приложением; (д) определяют приоритеты для зарегистрированных операций; (е) формируют набор инструкций, производящих модификацию средства безопасности, при этом модификация средства безопасности обеспечивает выполнение операций средством безопасности в зависимости от упомянутого приоритета; (ж) модифицируют средство безопасности путем исполнения сформированного набора инструкций.A method for automatically modifying a security tool consists of stages in which: (a) they check the application for compliance with security criteria; (b) if the application meets the security criteria, the application is launched for execution in test mode; (c) switch application execution scripts; (d) register operations performed by the security tool during the execution of application scripts, while registering operations associated with the executable application; (e) prioritize registered transactions; (e) form a set of instructions that modify the security tool, while the security tool modification ensures that the security tool performs operations depending on the priority mentioned; (g) modify the security tool by executing the generated set of instructions.
Способ исследования приложений для автоматической настройки средства безопасности состоит из этапов, на которых: (а) приложение запускают на исполнение в реальном режиме, по меньшей мере, на одной компьютерной системе; (б) определяют сценарий исполнения приложения в реальном режиме; (в) регистрируют операции, выполняемые средством безопасности во время исполнения сценария приложения, при этом регистрируют операции, связанные с исполняемым приложением; (г) проверяют приложение на соответствие критериям безопасности; (д) если приложение соответствует критериям безопасности, то для зарегистрированных операций определяют приоритеты; (е) формируют набор инструкций, производящих модификацию средства безопасности, при этом модификация средства безопасности обеспечивает выполнение операций средством безопасности в зависимости от упомянутого приоритета; (ж) модифицируют средство безопасности путем исполнения сформированного набора инструкций.A method for researching applications for automatically configuring a security tool consists of stages in which: (a) the application is launched for execution in real mode on at least one computer system; (b) determine the script for the application in real mode; (c) register operations performed by the security tool during execution of the application script, while registering operations associated with the executable application; (d) check the application for compliance with security criteria; (e) if the application meets the security criteria, then priorities are determined for registered operations; (e) form a set of instructions that modify the security tool, while the security tool modification ensures that the security tool performs operations depending on the priority mentioned; (g) modify the security tool by executing the generated set of instructions.
В различных вариантах реализации в качестве критериев безопасности используют каждое или совокупность следующих условий: наличие цифровой подписи приложения; отсутствие вредоносных объектов в приложении; отсутствие уязвимостей в приложении; соответствие рейтинга безопасности доверенному.In various implementations, each or a combination of the following conditions is used as security criteria: the presence of a digital signature of the application; lack of malicious objects in the application; lack of vulnerabilities in the application; compliance of the security rating with the trusted.
Тестовый режим исполнения приложения в одном из вариантов осуществления реализуют за счет исполнения приложения в эмулируемой среде. Другим вариантом реализации тестового режима является применение симулятора действий пользователя компьютерной системы при исполнении приложения. Тестовый режим исполнения приложения в частном варианте реализован с применением симулятора действий пользователя компьютерной системы при исполнении приложения в эмулируемой среде.A test execution mode of an application in one embodiment is implemented by executing the application in an emulated environment. Another embodiment of the test mode is the use of a simulator of the actions of a user of a computer system when executing an application. The test mode of application execution in a particular embodiment is implemented using a simulator of actions of a user of a computer system while executing an application in an emulated environment.
Реальный режим исполнения приложения в одном из вариантов реализации осуществляется за счет исполнения приложения на процессоре и в памяти компьютерной системы при взаимодействии пользователя компьютерной системы с приложением.The real mode of application execution in one of the implementation options is carried out by executing the application on the processor and in the memory of the computer system during the interaction of the user of the computer system with the application.
Переключение сценариев исполнения приложения в различных вариантах реализации осуществляется путем изменения настройки приложения и/или путем вызова, по меньшей мере, одной пользовательской функции приложения. Сценарий исполнения приложения в частном варианте реализации определяется настройкой приложения и/или вызовом, по меньшей мере, одной пользовательской функции приложения.Switching application execution scenarios in various implementations is carried out by changing the application settings and / or by calling at least one user function of the application. The application execution scenario in a particular embodiment is determined by setting up the application and / or calling at least one user function of the application.
Регистрация операций приложения и средства безопасности в одном из вариантов реализации включает перехват вызовов функций операционной системы.Registration of application and security operations in one implementation includes intercepting calls to operating system functions.
Приоритеты выполняемых средством безопасности операций в частном варианте реализации определяют таким образом, что минимальное значение приоритета соответствует исключению операции. Максимальное значение приоритета в частном варианте реализации соответствует проведению операции при первой технической возможности.The priorities of the operations performed by the security tool in a particular embodiment are determined in such a way that the minimum priority value corresponds to the exception of the operation. The maximum priority value in a particular embodiment corresponds to the operation at the first technical opportunity.
Способ автоматической модификации средства безопасности и способ исследования приложений для автоматической настройки средства безопасности в различных конфигурациях компьютерной системы и компьютерной сети реализуются на одной или нескольких компьютерных системах. В случае, когда способ реализован, по меньшей мере, на двух компьютерных системах, исполнение приложения осуществляется на компьютерной системе, отличной от той, где установлено средство безопасности.A method for automatically modifying a security tool and a method for researching applications for automatically configuring a security tool in various configurations of a computer system and a computer network are implemented on one or more computer systems. In the case where the method is implemented on at least two computer systems, the application is executed on a computer system other than the one where the security tool is installed.
Для применения сформированного набора инструкций на компьютерных системах, отличных от той, для которой применялся способ автоматической модификации средства безопасности, частный вариант реализации дополнительно включает этап, на котором сохраняют сформированный набор инструкций.To use the generated set of instructions on computer systems other than the one for which the automatic modification of the security tool was used, a particular embodiment further includes the step of storing the generated set of instructions.
Краткое описание прилагаемых чертежейBrief description of the attached drawings
Сопровождающие чертежи, которые включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.The accompanying drawings, which are included to provide an additional understanding of the invention and form part of this description, show embodiments of the invention and together with the description serve to explain the principles of the invention.
Заявленное изобретение поясняется следующими чертежами, на которых:The claimed invention is illustrated by the following drawings, in which:
Фиг.1 показывает функциональную схему системы анализа совместимости приложения и антивируса.Figure 1 shows a functional diagram of a system for analyzing application and antivirus compatibility.
Фиг.2 показывает схему управления автоматической настройкой в корпоративной сети.Figure 2 shows a control scheme for automatic configuration in a corporate network.
Фиг.3 показывает способ автоматической настройки средства безопасности.Figure 3 shows a method for automatically configuring a security tool.
Фиг.4 показывает алгоритм настройки средства безопасности в процессе работы КС.Figure 4 shows the security configuration algorithm in the process of operation of the COP.
Фиг.5 показывает пример компьютерной системы общего назначения.5 shows an example of a general purpose computer system.
Описание предпочтительных вариантов осуществленияDescription of Preferred Embodiments
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than specific details to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined only in the scope of the attached claims.
Прикладная программа или приложение - программа, предназначенная для выполнения определенных пользовательских задач и рассчитанная на непосредственное взаимодействие с пользователем. В большинстве операционных систем прикладные программы не могут обращаться к ресурсам КС напрямую, а взаимодействуют с оборудованием и системными ресурсами посредством операционной системы. Компьютерной программой называется совокупность последовательности команд, предназначенных для управления устройствами КС с целью реализации определенного алгоритма, и данных, используемых при выполнении этих команд. В контексте данного документа будут рассматриваться программы типа приложений, т.е. программы, имеющие, по меньшей мере, консольный интерфейс управления и решающие определенные пользовательские задачи. Примером прикладных программ являются офисные программы для работы с электронными документами, коммуникаторы, веб-браузеры, компьютерные игры и многие другие приложения.An application or application is a program designed to perform certain user tasks and designed for direct interaction with the user. In most operating systems, applications cannot access the resources of the CS directly, but interact with equipment and system resources through the operating system. A computer program is a combination of a sequence of commands designed to control the devices of the CS in order to implement a certain algorithm, and the data used to execute these commands. In the context of this document, programs such as applications, i.e. programs that have at least a console management interface and solve specific user tasks. Examples of applications are office programs for working with electronic documents, communicators, web browsers, computer games and many other applications.
Каждое приложение для решения пользовательских задач использует различные системные ресурсы, в том числе устройства, файлы, системные сервисы, доступ к которым осуществляется через API-функции (Application Programming Interface) операционной системы или среды исполнения. Каждое приложение имеет множество настроек, функциональных возможностей, доступных пользователю или администратору через некоторый интерфейс.Each application for solving user tasks uses various system resources, including devices, files, system services, which are accessed through the API functions (Application Programming Interface) of the operating system or runtime. Each application has many settings, functionalities available to the user or administrator through some interface.
Существует множество способов организации интерфейсов. Первым способом организации взаимодействия пользователя с ЭВМ является текстовый пользовательский интерфейс. Примером такого интерфейса является консоль управления, посредством которой осуществляется ввод информации и указание команд. При этом отображение информации осуществляется также в текстовом или псевдографическом формате. В текстовом интерфейсе реализованы все базовые элементы управления программой-меню, кнопки, переключатели, флажки, выпадающие списки, полосы прокрутки и так далее.There are many ways to organize interfaces. The first way to organize user interaction with a computer is a text user interface. An example of such an interface is the management console, through which information is entered and commands are indicated. Moreover, the display of information is also carried out in text or pseudographic format. The text interface implements all the basic controls of the menu program, buttons, switches, flags, drop-down lists, scroll bars, and so on.
Наиболее распространенным видом программного интерфейса является графический пользовательский интерфейс (ГПИ), в котором элементы приложения (меню, кнопки, значки, списки) исполнены в виде графических изображений. В отличие от интерфейса командной строки, в ГПИ пользователь имеет доступ ко всем видимым экранным объектам и осуществляет непосредственное манипулирование ими. Вариантов реализации ГПИ также существует несколько. Большой популярностью среди разработчиков пользуется технология оконного интерфейса, который реализован в рамках большинства операционных систем, в том числе, Windows, MacOS, Palm OS, GEM и других. Реализация подобного интерфейса заключается в проектировании управляющих элементов (включение стандартных форм или разработка оригинальных элементов) и обработке событий, вызываемых действиями пользователя и логикой работы программы. Другим вариантом реализации ГПИ, набирающим популярность, является веб-интерфейс - т.е. набор элементов управления и отображения, использующих возможности браузера. Как правило, веб-интерфейс используется для работы с удаленными сервисами, например, базами данных, в качестве клиентского приложения. В основе реализации веб-интерфейсов лежат такие технологии, как JavaScript, HTML, CSS, Adobe Flash, Silverlight, Ajax и другие.The most common type of program interface is a graphical user interface (GUI), in which application elements (menus, buttons, icons, lists) are made in the form of graphic images. Unlike the command line interface, in the GUI, the user has access to all visible display objects and directly manipulates them. There are also several options for implementing GUI. The window interface technology, which is implemented in most operating systems, including Windows, MacOS, Palm OS, GEM, and others, is very popular among developers. The implementation of such an interface consists in designing control elements (including standard forms or developing original elements) and processing events caused by user actions and program logic. Another popular GUI implementation is the web interface - i.e. A set of controls and displays that use browser capabilities. Typically, the web interface is used to work with remote services, such as databases, as a client application. The implementation of web interfaces is based on technologies such as JavaScript, HTML, CSS, Adobe Flash, Silverlight, Ajax and others.
Управление приложением может также осуществляться без использования пользовательского интерфейса. Для этого применяются средства администрирования или производится непосредственная модификация ресурсов приложения (файлов, ключей реестра, процесса, памяти и т.д.). Для внесения изменений в работу приложения может быть получена определенная команда как локальная, так и сетевая, изменены файлы приложения, например, файл конфигурации.Application management can also be done without using a user interface. For this, administrative tools are used or direct modification of application resources (files, registry keys, process, memory, etc.) is performed. To make changes to the application, a certain command can be received, both local and network, application files, for example, a configuration file, are changed.
Исполнение приложения с определенным набором настроек с момента воздействия на приложение управляющего сигнала и до момента завершения обработки приложением данного сигнала будет определяться как сценарий исполнения приложения в рамках данного описания. Функционал приложения может быть представлен как набор из конечного числа сценариев. Подобное логическое разделение приложения на функциональные блоки позволяет получить более явное представление о возможностях и функциях программы при тестировании неизвестного приложения. Информация о том, какие функции используются и какие ресурсы необходимы для корректной работы программы, позволяет настроить работу средства безопасности более точно. Далее в описании будет более подробно описана взаимосвязь функциональных возможностей приложения и настроек компонент защиты, входящих в состав средства безопасности.Execution of the application with a certain set of settings from the moment the control signal is applied to the application until the application completes processing of this signal will be determined as the application execution script within the framework of this description. The functionality of the application can be represented as a set of a finite number of scenarios. Such a logical division of the application into functional blocks allows you to get a more explicit idea of the capabilities and functions of the program when testing an unknown application. Information about what functions are used and what resources are needed for the program to work correctly allows you to configure the security tool more accurately. In the description below, the relationship between the application functionality and the settings of the security components that are part of the security tool will be described in more detail.
Для надежного обеспечения безопасности КС необходимо внедрение системы безопасности, состоящей из программно-аппаратных модулей, установленных как на КС, так и на внешних сетевых узлах. Под узлами сети понимаются компьютеры, серверы и сетевое оборудование, обеспечивающее связь компьютеров и серверов. Оптимизация работы системы безопасности для совместной работы с приложением предполагает проведение тонкой настройки всех составных модулей.To reliably ensure the security of the CS, it is necessary to implement a security system consisting of software and hardware modules installed both on the CS and on external network nodes. Network nodes are computers, servers, and network equipment that provides communication between computers and servers. Optimization of the security system for collaboration with the application involves fine-tuning all composite modules.
Средства безопасности в зависимости от их специализации предназначены для проверки файлов на наличие вредоносных объектов, фильтрации сетевого трафика, анализа программных процессов, фильтрации почтовых сообщений, защиты от несанкционированного доступа, предотвращения вторжений, обнаружения аномалий в сети и других. Такое разнообразие средств защиты объясняется постоянным ростом вредоносных программ, атак на корпоративные вычислительные сети и появлением новых видов угроз, направленных на новые ресурсы сети.Security tools, depending on their specialization, are designed to check files for malicious objects, filter network traffic, analyze software processes, filter email messages, protect against unauthorized access, prevent intrusions, detect network anomalies, and others. Such a variety of defenses is explained by the constant growth of malware, attacks on corporate computer networks and the emergence of new types of threats aimed at new network resources.
В качестве примера далее будет рассмотрена настройка средства безопасности, установленного на той же КС, на которой исполняется приложение. В других вариантах реализации функционал приложения может влиять также на оптимизацию параметров работы средства безопасности, установленного на другом сетевом узле, отличном от того, где исполняется данное приложение.As an example, the configuration of a security tool installed on the same CA on which the application is running will be considered below. In other implementations, the application functionality may also affect the optimization of the operating parameters of the security tool installed on a different network node, different from where the application is running.
Ключевым элементом защиты КС является антивирус. Современные антивирусные решения включают в себя функционал, выходящий за рамки проверки файлов на содержание вредоносного кода. В данном документе антивирус следует рассматривать как синоним средству безопасности для КС. В зависимости от версии антивирусного средства функциональные возможности включают защиту КС, защиту информации, родительский контроль, модули управления и синхронизации с другими средствами безопасности.A key element of protection for the COP is the antivirus. Modern anti-virus solutions include functionality that goes beyond scanning files for malicious code. In this document, the antivirus should be considered as a synonym for the security tool for the COP. Depending on the version of the anti-virus tool, the functionality includes CS protection, information protection, parental control, control and synchronization modules with other security tools.
Защита КС предназначена для борьбы против известных и новых угроз, сетевых атак, мошенничества, спама и нежелательной информации. Каждый тип угроз обрабатывается отдельным компонентом защиты. Независимо друг от друга можно включать и выключать компоненты защиты, а также настраивать их работу. В дополнение к постоянной защите, реализуемой компонентами защиты, формируются задачи периодической проверки КС, чтобы исключить возможность распространения вредоносных программ, которые не были обнаружены на первых этапах проверки.COP protection is designed to fight against known and new threats, network attacks, fraud, spam and unwanted information. Each type of threat is handled by a separate protection component. Independently of each other, you can turn protection components on and off, as well as configure their operation. In addition to the real-time protection provided by the protection components, tasks of periodic verification of the CS are formed to exclude the possibility of the spread of malicious programs that were not detected in the first stages of the scan.
Защиту КС в реальном времени осуществляют такие компоненты,Real-time protection of the CA is carried out by such components,
как:as:
файловый антивирус, который проверяет все открываемые, сохраняемые и запускаемые файлы на КС и на всех подключенных дисках;file antivirus, which scans all opened, saved and launched files on the CS and on all mapped drives;
почтовый антивирус, который проверяет входящие и исходящие почтовые сообщения;mail antivirus that scans incoming and outgoing mail messages;
веб-антивирус, который контролирует выполнение скриптов на вебсайтах, проверяет веб-трафик и блокирует доступ к опасным веб-сайтам;Web antivirus that monitors the execution of scripts on websites, scans web traffic and blocks access to dangerous websites;
IM-антивирус, который обеспечивает безопасность обмена быстрыми сообщениями;IM anti-virus, which provides security for instant messaging;
компонент проактивной защиты, который позволяет предотвратить выполнение вредоносной операции, основываясь на контроле и анализе поведения всех программ, установленных на КС.a proactive defense component that allows you to prevent the execution of a malicious operation based on monitoring and analyzing the behavior of all programs installed on the CS.
компонент контроля приложений, который регулирует деятельность программ, в том числе управляет доступом приложений к различным ресурсам, исходя из того, к какой группе компонент относит данную программу;an application control component that regulates the activities of programs, including controls the access of applications to various resources, based on which group the component relates to this program;
сетевой экран, который обеспечивает безопасность работы в локальных сетях и Интернете, фильтруя сетевой трафик и блокируя аномальную активность;a firewall that provides security in local networks and the Internet, filtering network traffic and blocking abnormal activity;
анти-спам, который проверяет все входящие почтовые сообщения на наличие спама.anti-spam, which checks all incoming mail messages for spam.
Защита информации подразумевает под собой соблюдение целостности, конфиденциальности и доступности данных и обеспечивается следующими функциями антивируса:Information protection implies respect for the integrity, confidentiality and accessibility of data and is ensured by the following anti-virus functions:
резервное копирование, позволяющее создавать резервные копии данных в специальном хранилище и в случае потери данных восстанавливать данные;backup, which allows you to back up data in a special storage and restore data in case of data loss;
шифрование данных, обеспечивающее дополнительную защиту конфиденциальным данным, помещая данные в зашифрованные контейнеры или производя полное шифрование дисков;data encryption, which provides additional protection for confidential data, placing data in encrypted containers or performing full disk encryption;
менеджер паролей, хранящий пароли от учетных записей в Интернете, программах и баз данных в специальном защищенном пространстве.password manager that stores passwords from Internet accounts, programs and databases in a special protected space.
Компонент родительского контроля дает возможность установить гибкие ограничения доступа к интернет-ресурсам и программам, а также вести отчетность активностей пользователей на КС.The parental control component makes it possible to establish flexible restrictions on access to Internet resources and programs, as well as to report user activities on the CS.
Центр управления используется в тех случаях, когда пользователь работает в домашней сети из нескольких КС, и необходим для обеспечения равновысокого уровня безопасности каждого устройства сети. Модули управления и синхронизации осуществляют обновление антивирусных баз и компонент, управляют задачами проверки и инцидентами безопасности, аккумулируют отчеты о работе антивирусных служб и обеспечивают удаленное управление ими.The control center is used in cases where the user works in a home network from several CSs, and is necessary to ensure an equally high level of security for each network device. Management and synchronization modules update anti-virus databases and components, manage scan tasks and security incidents, accumulate reports on the operation of anti-virus services and provide remote management of them.
Каждый из перечисленных компонент антивируса имеет определенные настройки, которые можно изменить. Помимо того, что компонент может быть включен или выключен, также существует возможность изменить параметры его работы. В основе большинства средств обнаружения лежат правила, основанные на четком и нечетком сравнении. Поэтому настройка компонент включает в себя, по меньшей мере, изменение списков сигнатур вредоносных объектов и угроз и/или изменение пороговых значений для анализаторов. Более тонкая настройка, заключающаяся в изменении алгоритмов обнаружения, осуществляется путем обновления компонент антивируса.Each of the listed anti-virus components has certain settings that can be changed. Besides the fact that the component can be turned on or off, there is also the opportunity to change the parameters of its operation. Most detection tools are based on rules based on clear and fuzzy comparisons. Therefore, setting up the components includes at least changing the lists of signatures of malicious objects and threats and / or changing thresholds for analyzers. More fine-tuning, consisting in changing the detection algorithms, is carried out by updating the anti-virus components.
Как правило, каждый компонент антивируса анализирует определенный тип объектов, таким образом, обновление сигнатур объектов соответствующего класса будет являться настройкой одного или нескольких компонент антивируса.As a rule, each component of the antivirus analyzes a certain type of objects, thus updating the signatures of objects of the corresponding class will be the setting of one or more components of the antivirus.
Можно выделить несколько основных типов объектов, которые обрабатываются анализаторами для выявления вредоносного функционала или угрозы: адрес ресурса, сетевой пакет, файл, сообщение (электронное письмо), устройство, программный процесс (поток, операция). Каждый из данных типов может быть охарактеризован набором параметров.There are several main types of objects that are processed by analyzers to identify malicious functionality or threats: resource address, network packet, file, message (email), device, software process (stream, operation). Each of these types can be characterized by a set of parameters.
Для файла данными параметрами являются: имя, размер, хеш-сумма, цифровая подпись, путь к файлу на диске, платформа для открытия или запуска файла и др. По набору параметров можно с большой вероятностью идентифицировать необходимый файл. Для идентификации исполняемого файла также используют эвристические анализаторы, которые основаны на поведенческих сигнатурах. Поведенческие сигнатуры могут быть различными, например, ими могут быть строки исходных кодов, трассы выполнения программ или графы вызовов.For a file, these parameters are: name, size, hash, digital signature, the path to the file on disk, the platform for opening or starting the file, etc. By the set of parameters, it is possible to identify the necessary file. Heuristic analyzers that are based on behavioral signatures are also used to identify the executable file. Behavioral signatures can be different, for example, they can be lines of source codes, program execution paths or call graphs.
Сетевой пакет характеризуется протоколом передачи данных, содержимым заголовков и телом пакета (содержимым поля данных). Третий тип объектов, адрес ресурса, который указывает расположение вредоносного или нежелательного объекта, задается почтовым адресом, сетевым адресом, доменным именем, именем хоста, физическим адресом, сетевым портом и др. Также отдельно стоит выделить такой тип, как учетная запись, под которой работает пользователь. Это может быть полезно для ограничения прав для данного пользователя.A network packet is characterized by a data transfer protocol, the contents of the headers and the body of the packet (contents of the data field). The third type of objects, the address of the resource, which indicates the location of the malicious or unwanted object, is set by the mailing address, network address, domain name, host name, physical address, network port, etc. It is also worth highlighting such a type as the account under which it works user. This may be useful for restricting privileges for a given user.
Под электронным письмом понимается почтовое сообщение, сообщение ICQ, Skype, Messenger и других сервисов быстрого обмена сообщениями. Данные объекты исследуются на предмет спама с помощью лексических и графических сигнатур и фильтруются по почтовым адресам отправителей (получателей).An e-mail is understood as an e-mail message, an ICQ message, Skype, Messenger and other quick messaging services. These objects are examined for spam using lexical and graphic signatures and filtered by the mail addresses of senders (recipients).
Еще одним типом объекта, который может быть занесен в черный или белый список, является устройство. Под устройством в данном контексте понимается внешнее запоминающее устройство, устройство ввода/вывода, мультимедийные средства, например, плеер или фотоаппарат. Их можно идентифицировать по серийному номеру, производителю и модели.Another type of object that can be blacklisted or whitelisted is a device. Under the device in this context refers to an external storage device, input / output device, multimedia, for example, a player or a camera. They can be identified by serial number, manufacturer and model.
Контроль приложений основывается на ведении и анализе истории операций, выполняемых приложением. Хоть данный метод защиты относится к эвристическим методам обнаружения, а не к сигнатурным, правила, используемые при оценке безопасности приложения, накладываются на операции и ресурсы приложения. Таким образом, стоит выделить еще один тип объектов, которые обрабатываются антивирусом - программные процессы. Под этим типом понимаются отдельные операции или наборы операций, составляющие одно или несколько системных событий компьютера, например, вызов функции операционной системы, прямое обращение к устройству, чтение памяти и другие действия.Application control is based on maintaining and analyzing the history of operations performed by the application. Although this protection method refers to heuristic detection methods, and not signature methods, the rules used in assessing the security of an application are superimposed on the operations and resources of the application. Thus, it is worth highlighting another type of objects that are processed by the antivirus - software processes. This type refers to individual operations or sets of operations that make up one or more system events of a computer, for example, calling an operating system function, directly accessing a device, reading memory, and other actions.
Вышеперечисленная классификация объектов, хранящихся в белых и черных списках антивирусной базы, служит примером и не ограничивает перечень хранящихся в базе объектов.The above classification of objects stored in the white and black lists of the anti-virus database is an example and does not limit the list of objects stored in the database.
В процессе работы приложения антивирус в зависимости от сценариев исполнения приложения будет обрабатывать различные типы объектов, перечисленные выше. Данное изобретение позволяет сократить количество действий, выполняемых антивирусом для проверки работы приложения, в том случае если приложение признано доверенным. При этом полное отключение компонент защиты в процессе работы доверенного приложения может привести к заражению, потере данных и нанесению другого ущерба для пользователя или компании, поэтому настройка должна быть произведена на основании исследования приложения и адаптирована под сценарий исполнения приложения. Решение этой нетривиальной задачи позволяет обеспечить эффективную защиту КС и информации, обрабатываемой на КС, сокращая при этом количество затрачиваемых вычислительных ресурсов.During the operation of the application, the antivirus, depending on the application execution scenarios, will process various types of objects listed above. This invention allows to reduce the number of actions performed by the antivirus to check the operation of the application, if the application is recognized as trusted. At the same time, a complete shutdown of the protection components during the operation of the trusted application can lead to infection, data loss and other harm to the user or company, therefore, the configuration should be made based on the study of the application and adapted to the application execution scenario. The solution to this non-trivial task allows us to provide effective protection for the CS and information processed on the CS, while reducing the amount of computing resources.
Для определения степени доверия приложения существует ряд критериев, каждому или части из которых приложение должно соответствовать. К критериям безопасности приложения относятся следующие факторы: наличие цифровой подписи; репутация правообладателя объекта; статистика по использованию данного объекта, собранная с множества КС; отсутствие признаков известных вредоносных или нежелательных объектов; отсутствие критических уязвимостей в текущей версии приложения; проведенная экспертиза приложения в антивирусной лаборатории. Данный список критериев приведен в качестве примера и не является исчерпывающем.To determine the degree of trust in the application, there are a number of criteria, each or part of which the application must meet. Application security criteria include the following factors: digital signature; reputation of the copyright holder of the facility; statistics on the use of this object, collected from many CS; lack of evidence of known malicious or unwanted objects; lack of critical vulnerabilities in the current version of the application; Examination of the application in the anti-virus laboratory. This list of criteria is provided as an example and is not exhaustive.
Пользователь или администратор может редактировать список доверенных приложений, добавляя или удаляя приложения из него, а также изменять критерии автоматического добавления приложения в список доверенных приложений. Пример правила, установленного пользователем или администратором, может выглядеть так: «Добавлять в список доверенных приложений все программы, выпущенные компанией Microsoft» или «Исключать из списка доверенных приложений все программы без цифровой подписи».The user or administrator can edit the list of trusted applications by adding or removing applications from it, as well as change the criteria for automatically adding an application to the list of trusted applications. An example of a rule set by a user or administrator can look like this: “Add all programs released by Microsoft to the list of trusted applications” or “Exclude all programs without a digital signature from the list of trusted applications."
Другим вариантом использования заявленного изобретения является настройка антивируса для обеспечения безопасности работы критически важных приложений. К подобным приложениям могут относиться клиентские программы для осуществления финансовых операций, программы, обрабатывающие конфиденциальную информацию или плохо защищенные программы. В этом случае приложение может являться доверенным, но требует постоянного контроля. Если включить все компоненты антивируса одновременно на максимальный уровень защиты (установить максимальную глубину проверок), нагрузка на процессор и память возрастут настолько, что это в различные промежутки времени будет создавать проблемы для реализации пользовательских задач. При этом часть функционала антивируса в зависимости от текущих сценариев исполнения приложения не будет приносить полезный вклад в повышение уровня безопасности КС и обрабатываемых данных. Обеспечение эффективного уровня защиты с минимальным потреблением вычислительных ресурсов для критически важных приложений является второй задачей, которую решает данное изобретение.Another use case of the claimed invention is to configure an antivirus to ensure the security of critical applications. Such applications may include client programs for financial transactions, programs that process confidential information or poorly protected programs. In this case, the application may be trusted, but requires constant monitoring. If you turn on all anti-virus components at the same time at the maximum level of protection (set the maximum scan depth), the load on the processor and memory will increase so much that it will create problems for the implementation of user tasks at various intervals. At the same time, some of the antivirus functionality, depending on the current application execution scenarios, will not bring a useful contribution to improving the security level of the CS and the processed data. Providing an effective level of protection with minimal consumption of computing resources for critical applications is the second task that this invention solves.
Рассмотрим более подробно процесс анализа совместимости приложения и антивируса на функциональной схеме одного из вариантов реализации, показанной на Фиг.1. Предложенный вариант реализации предполагает исполнение приложения 120 в реальной или эмулируемой компьютерной системе, но данный пример не ограничивает применение концепции тестирования совместимости приложения и средства безопасности в статическом режиме, например, с применением дизассемблирования и семантического анализа.Let us consider in more detail the process of analyzing the compatibility of the application and the antivirus on the functional diagram of one of the implementation options shown in Figure 1. The proposed implementation option implies the execution of
Взаимодействуя с приложением 120 через интерфейс 121 или внося непосредственные изменения в код приложения 120, пользователь 100 и администратор могут совершать управление приложением: производить настройку, вызывать функции приложения, устанавливать и обновлять компоненты приложения и т.д. Действия пользователя 100 могут быть воспроизведены искусственным путем с помощью симулятора 110. В процессе исполнения приложение взаимодействует с файловой системой 191 - читает и записывает, создает и удаляет файлы; с сетевыми интерфейсами 193 - принимает и отправляет данные по сети; с устройствами ввода-вывода 194 - обрабатывает введенные с клавиатуры или с помощью манипуляторов данные; с службами ОС 192 и с другими программными и аппаратными компонентами компьютера. Взаимодействие приложения с компонентами осуществляется через API-функции операционной системы 125. Именно вызываемые API-функции определяют функционал, реализованный в приложении, а также используются антивирусом для анализа безопасности приложения и обрабатываемых данных.Interacting with the
Большинство антивирусов перехватывают вызовы функций операционной системы, внедряя собственный обработчик 131. Это может быть реализовано различными способами: установкой драйвера, модификацией ядра операционной системы и другими известными способами. При этом антивирус может обрабатывать ограниченный набор вызовов функций, который включает критические функции, используемые злоумышленниками для совершения вредоносных действий. На схеме изображен регистратор 141, который также предназначен для отслеживания последовательности выполняемых действий приложением, однако не ограничивается определенным списком операций, а регистрирует все выполняемые действия приложения. В других вариантах реализации антивирусный обработчик 131 и регистратор 141 реализуются в одном модуле.Most antiviruses intercept calls to operating system functions by implementing their
Получив от обработчика 131 информацию о перехваченном вызове API-функции, антивирус 130 осуществляет проверку непосредственно самого действия и объектов, к которым данное действие адресуется. Например, приложение осуществляет операцию с файлом, тогда антивирус проверяет доступ приложения и пользователя к файлу, возможность чтения и модификации данного файла приложением, наличие в файле вредоносных или потенциально опасных объектов. В процессе работы антивируса 130 и приложения ведутся журналы операций антивируса и приложения. Журналы 150, 151 синхронизируются таким образом, что операции приложения и операции антивируса связаны причинно-следственным отношением. Это означает, что каждому действию антивируса можно сопоставить действие или набор действий приложения, которые явились основанием для проверки антивирусом. Ведение журналов 150, 151 позволяет определить обратную взаимосвязь, чтобы установить, какие действия с приложением приведут к срабатыванию антивируса, и, более конкретно, к срабатыванию определенного компонента антивируса.Having received information from the
Для доверенных приложений работу антивируса можно оптимизировать, добавив используемые приложением ресурсы в список доверенных объектов, которые будут исключаться из задач проверок. Задать возможные упрощения в работе антивируса во время обеспечения безопасности приложения можно с помощью экспертных правил, которые пополняются специалистами по информационной безопасности. При этом важно отметить, что специальная настройка антивируса не просто исключает доверенные объекты из проверок, а настраивает компоненты в зависимости от типа объекта и функциональной нагрузки (некоторыми компонентами проверка исключается, некоторыми усиливается, для остальных указывается глубина проверки).For trusted applications, the antivirus can be optimized by adding the resources used by the application to the list of trusted objects that will be excluded from scan tasks. You can set possible simplifications in the operation of the antivirus while ensuring application security using expert rules, which are replenished by information security specialists. It is important to note that a special anti-virus configuration does not just exclude trusted objects from scans, but sets up components depending on the type of object and functional load (some components exclude scanning, some increase, for others, the scan depth is indicated).
Как было отмечено ранее, настройка компонент антивируса не ограничивается обновлением сигнатурных баз. Также могут быть скорректированы правила работы отдельных модулей. Большой вклад в оптимизацию работы антивируса можно внести, изменяя правила и параметры средств контроля приложений. Например, технология, основанная на оценке репутационного рейтинга программного процесса, имеет большое количество настраиваемых параметров, которая в различных вариантах реализации применяется во многих современных антивирусах. Более подробное описание технологии имеется в публикации патента на полезную модель RU 101233.As noted earlier, the configuration of anti-virus components is not limited to updating signature databases. The rules of operation of individual modules can also be adjusted. A great contribution to the optimization of the antivirus can be made by changing the rules and parameters of application control tools. For example, a technology based on evaluating the reputation rating of a software process has a large number of configurable parameters, which are used in many modern antiviruses in various implementations. A more detailed description of the technology is available in the publication of the patent for utility model RU 101233.
Применение репутационных методов обнаружения угроз позволяет разделять программы, не только на доверенные и вредоносные, но и определять потенциально опасные программы, на которые накладываются ограничения в зависимости от значения рейтинга, который, как правило, выражается в относительных величинах и составляет от «0» до «100» процентов. Рейтинг имеет две составляющие: статическую и динамическую. Перед запуском файла модуль контроля приложений анализирует следующие параметры: имя файла, размер файла, местонахождение файла, параметры сжатия, источники файла. Эти критерии определяют статический рейтинг файла. Таким образом, применение данного изобретения позволит исключить полностью или существенно сократить процесс расчета статической составляющей рейтинга для доверенного приложения. В процессе исполнения приложения (на хосте или в эмуляторе) рассчитывается вторая составляющая рейтинга - динамическая. Для этого модуль контроля приложений отслеживает действия программы и оценивает риск опасности для каждой из них по предустановленным критериям оценки. Для доверенных приложений применение описываемого изобретения может заключаться в изменении критериев оценки, например, в сокращении размера риска, проставляемого каждому фиксированному действию или набору действий приложения. Попытка записи и чтения памяти другого процесса, создание исполняемых файлов, попытка модификации системных файлов и системного реестра, обработка конфиденциальной информации, удаление файлов за пределами каталога приложения, регистрация драйвера и службы и многие другие подозрительные с точки зрения компьютерной безопасности действия повышают динамическую составляющую рейтинга. При этом для доверенного приложения применение описываемой технологии тонкой настройки позволит сократить количество проверок, исключив некоторые операции из факторов оценки рейтинга. Получив суммарный рейтинг, антивирус ограничивает те процессы, рейтинг которых слишком велик (т.е. они потенциально опасны).The use of reputational threat detection methods allows you to separate programs, not only trusted and malicious, but also to identify potentially dangerous programs that are subject to restrictions depending on the rating value, which, as a rule, is expressed in relative values and ranges from "0" to " 100 percent. The rating has two components: static and dynamic. Before starting the file, the application control module analyzes the following parameters: file name, file size, file location, compression parameters, file sources. These criteria determine the static rating of a file. Thus, the use of this invention will eliminate completely or significantly reduce the process of calculating the static component of the rating for a trusted application. In the process of executing the application (on the host or in the emulator), the second component of the rating is calculated - dynamic. To do this, the application control module monitors the actions of the program and assesses the risk of danger for each of them according to the predefined evaluation criteria. For trusted applications, the application of the described invention may consist in changing the evaluation criteria, for example, in reducing the risk to each fixed action or set of application actions. Attempting to write and read the memory of another process, creating executable files, trying to modify system files and the system registry, processing confidential information, deleting files outside the application directory, registering drivers and services, and many other actions that are suspicious from the point of view of computer security increase the dynamic component of the rating. At the same time, for a trusted application, the application of the described fine-tuning technology will reduce the number of checks, excluding some operations from rating rating factors. Having received a total rating, the antivirus restricts those processes whose rating is too high (i.e. they are potentially dangerous).
Для ограничения использования ресурсов применяется система IPS (Intrusion Prevention System - система предотвращения вторжений, объединяющая функционал проактивной защиты и сетевого экрана, которая управляет разрешениями на доступ к файлу, реестру, системным правам и т.д.). Для опасных процессов можно запретить использовать сеть и доступ в Интернет, ограничить использование памяти и т.д. У каждого правила простановки рейтингов есть собственные параметры, такие как идентификатор, API-функция, условия для аргументов (которые задают промежуток значений для того или иного уровня опасности в процентном соотношении), оценка в процентах по количеству операций (1, 2-3, больше 3 операций), решение о возможности признать процесс вредоносным на основании этого правила. Тонкая настройка антивируса для доверенного приложения может указать перечень идентификаторов правил, по которым будут контролироваться работа приложения и накладываться ограничения, а также может изменять параметры правила, например, указать, что ни одно из правил не может признать файл вредоносным.To limit the use of resources, the IPS system is used (Intrusion Prevention System - an intrusion prevention system that combines proactive protection and a firewall, which controls file, registry, system permissions, etc.). For hazardous processes, you can prohibit the use of network and Internet access, restrict the use of memory, etc. Each rating rule has its own parameters, such as an identifier, an API function, conditions for arguments (which specify a range of values for a certain danger level in percentage terms), an estimate in percentage of the number of operations (1, 2-3, more 3 operations), a decision on the possibility of recognizing the process as malicious on the basis of this rule. Fine-tuning the antivirus for a trusted application can specify a list of rule identifiers by which the application will be controlled and restrictions are imposed, and it can also change the rule settings, for example, indicate that none of the rules can recognize a file as malicious.
Далее будут приведены примеры по тонкой настройке антивируса под приложения различных типов, с которыми антивирус чаще всего вступает в конфликт из-за функций приложения, близких к аномальным или вредоносным.The following are examples of fine-tuning the antivirus for applications of various types, with which the antivirus most often comes into conflict due to application functions that are close to abnormal or malicious.
Для сетевых утилит, типа сканер сети, антивирус часто выдает ошибки о ложном срабатывании, т.к. приложения данного типа производят действия, аналогичные программам вредоносного характера, которые собирают информацию о конфигурации сети, осуществляют поиск уязвимостей для заражения и эксплуатации компьютеров. При работе подобных приложений необходимо отключить компонент защиты от сетевых атак и проверку трафика веб-антивирусом.For network utilities, such as a network scanner, the antivirus often produces false positive errors, as applications of this type perform actions similar to malicious programs that collect information about the network configuration and search for vulnerabilities for infection and operation of computers. When using such applications, it is necessary to disable the protection component against network attacks and check the traffic with a web antivirus.
Особенность приложений для распределенного обмена файлами (Torrent-клиенты) заключается в генерации большого объема входящего и исходящего сетевого трафика, активном чтении и записи файлов с диска и на диск соответственно. Таким образом, оптимизация антивируса, проверяющего работу torrent-клиента, должна исключить проверку временных и загружаемых файлов. Для каждой КС параметры приложения, такие как каталог размещения на диске, конфигурационный файл приложения, версия и другие параметры могут различаться. Автоматизировать сбор информации о данном конкретном приложении и адаптировать настройку можно, например, с помощью сценария (скрипта). Сценарий сначала осуществляет поиск ключей реестра, каталогов и файлов, считывает необходимые для применения настройки данные, и затем на основании собранной информации применяет настройку антивируса с учетом особенностей данной КС. Для адаптации антивируса под функционал и настройку приложения распределенного обмена файлами скрипт выполняет следующие действия:A feature of applications for distributed file sharing (Torrent clients) is the generation of a large amount of incoming and outgoing network traffic, the active reading and writing of files from disk to disk, respectively. Thus, the optimization of the antivirus checking the operation of the torrent client should exclude the verification of temporary and downloaded files. For each CS, application parameters, such as the disk location directory, application configuration file, version, and other parameters may vary. Automate the collection of information about this particular application and adapt the setting, for example, using a script (script). The script first searches for registry keys, directories and files, reads the data necessary for applying the settings, and then, based on the collected information, applies the anti-virus settings taking into account the features of this CS. To adapt the antivirus to the functionality and configure the distributed file sharing application, the script performs the following actions:
- определяется, запущено ли приложение;- it is determined whether the application is running;
- сканируются каталоги приложения для поиска конфигурационных файлов;- scanned application directories to search for configuration files;
- определяются каталоги временных файлов и загружаемых файлов, после чего каталоги добавляются в список исключений при сканировании файлов антивирусом при обращении;- the directories of temporary files and downloaded files are determined, after which the directories are added to the list of exceptions when scanning files by the antivirus upon access;
- определяются открытые приложением порты соединений и добавляются исключения в сетевой экран;- Connection ports opened by the application are determined and exceptions are added to the firewall;
- устанавливается максимальный уровень (глубина) проверки загруженных файлов при открытии файлов другим приложением.- the maximum level (depth) of checking downloaded files when opening files by another application is set.
Возможность адаптировать настройки в автоматическом режиме является не единственным положительным эффектом использования сценариев автонастройки. Периодический запуск скриптов позволяет выявлять изменения в конфигурации приложений, например, при изменении каталогов хранимых файлов или версии приложения, и применять актуальные настройки для средства безопасности.The ability to adapt settings in automatic mode is not the only positive effect of using auto-tuning scripts. Periodic launching of scripts allows you to detect changes in the configuration of applications, for example, when changing directories of stored files or version of an application, and apply current settings for a security tool.
Еще одним показательным примером использования сценариев тонкой настройки является конфигурация антивируса на сервере базы данных для защиты от сетевых атак и несанкционированного доступа. Для построения эффективной и не ресурсоемкой защиты нужно определить: основные службы для работы базы данных, открытые порты и доступные для подключения сетевые адреса. Рассмотрим пример конфигурации антивируса для работы с сервером баз данных Oracle.Another illustrative example of the use of fine-tuning scripts is the configuration of the antivirus on the database server to protect against network attacks and unauthorized access. To build effective and non-resource-intensive protection, you need to determine: the main services for the database, open ports and network addresses available for connection. Consider an example of antivirus configuration for working with the Oracle database server.
На сервере базы данных Oracle, как правило, установлено несколько служебных компонент. Определить список установленных компонент Oracle можно путем анализа ключа реестраAs a rule, several utility components are installed on the Oracle database server. You can determine the list of installed Oracle components by analyzing the registry key.
HKEY_LOCAL_MACHINE\SOFTWARE\Oracle. Данный ключ также содержит информацию о путях к корневым каталогам сервера, хранящим конфигурационные файлы listener.ora и tnsnames.ora. В первом файле хранятся параметры настройки подключений (какие порты и на каких интерфейсах сервер прослушивает), во втором - параметры настройки для клиента (параметры подключения клиентов).HKEY_LOCAL_MACHINE \ SOFTWARE \ Oracle. This key also contains information about the paths to the server root directories that store the listener.ora and tnsnames.ora configuration files. The first file contains connection settings (which ports and which interfaces the server listens on), and the second file contains settings for the client (client connection settings).
По полученной информации из ключа реестра и конфигурационных файлов настраиваются компоненты антивируса, отвечающие за контроль приложений и веб-антивирус (фильтрация трафика). При этом фильтрация соединений может быть настроена таким образом, что настроенные соединения будут проходить свободно без проверки, а все остальные будут по умолчанию блокироваться веб-антивирусом.Based on the information received from the registry key and configuration files, the anti-virus components are configured that are responsible for monitoring applications and web anti-virus (traffic filtering). At the same time, connection filtering can be configured in such a way that the configured connections will pass freely without checking, and all others will be blocked by default by web antivirus.
На Фиг.2 показана схема управления автоматической настройкой в корпоративной сети, объединяющей КС (201, 202) и подключенной к серверу тонкой настройки 203. На КС (201, 202) установлены приложения (211-216) и средства безопасности 220. При этом приложения, установленные на различных КС, могут отличаться, по меньшей мере, версией или настройками. Компьютерная система 201 имеет установленные приложения А 211, В 212, С 213, а компьютерная система 202 - приложения X 214, Y 215, Z 216. Если на каждой КС применить одну и ту же политику безопасности, включающую настройку компонентов антивируса, обеспечиваемый уровень безопасности для двух КС с различными установленными приложениями будет отличаться при прочих равных обстоятельствах (аппаратной конфигурации). Различия между вычислительными ресурсами КС также должны учитываться при выборе политики безопасности. Обеспечение оптимальной с точки зрения ресурсоемкости, но эффективной с точки зрения безопасности настройки для средства безопасности осуществляет модуль тонкой настройки 230. Данный модуль может быть выполнен как отдельный сервер, являться частью сервера администрирования или может быть установлен на каждую КС. Модуль тонкой настройки осуществляет сбор информации о КС, после чего проводит поиск необходимых сценариев настройки в экспертной базе данных 232, создает соответствующую задачу изменения конфигурации КС и/или средства безопасности 220 (антивируса) с помощью средства формирования задач настройки 231. Когда задача начинает выполняться, сценарий настройки исполняется или передается на исполнение на КС в зависимости от того, установлен ли модуль тонкой настройки на КС или на удаленном сервере соответственно.Figure 2 shows the control circuit for automatic configuration in a corporate network that combines the KS (201, 202) and connected to the fine-
Экспертная база данных 232, используемая локально в рамках сети или отдельных устройств, хранит экспертные данные: сценарии настройки, правила, по которым осуществляется выбор необходимого сценария, и другие вспомогательные данные, необходимые для настройки КС и антивируса. В базу данных 232 выборочно загружается только необходимая информация из глобальной базы данных 244, поддерживаемой сервером тонкой настройки 203. Выбор загружаемых данных зависит от используемых в сети или на компьютере программ, географического положения, поддерживаемых версий средств безопасности.The expert database 232, used locally within the network or on individual devices, stores expert data: configuration scripts, the rules by which the required script is selected, and other supporting data needed to configure the CS and antivirus. Only the necessary information from the
Экспертные данные формируются на сервере тонкой настройки 203. Экспертиза приложения осуществляется с учетом статистической информации и системных журналов, загружаемых в средство сбора журналов 241. Другим вариантом анализа приложения является изучение совместимости приложения и антивируса в тестовой среде исполнения 242, реализуемой, например, с помощью симулятора ПО. Применение различных методов анализа совместимости приложения и антивируса в совокупности позволяет определить весь функционал приложения, выделить те функции приложения, которые вызывают срабатывания антивируса, и адаптировать средство безопасности под данный тип приложений или под каждое определенное приложение (версию приложения). Результаты обработки журналов и исполнения приложения в тестовой среде исполнения используются для обновления антивирусной базы данных сигнатурами белых (безопасных) и черных (вредоносных) объектов и для тонкой настройки доверенных и критических приложений. Сценарии (наборы инструкций настройки), примеры которых описаны выше, создает генератор сценариев настроек 160. Сценарии могут быть применены на компьютерах различной конфигурации. Входными параметрами для сценария являются: объем оперативной памяти, мощность процессора, версия приложения, расположение приложения на диске, модель средства безопасности (версия антивируса), параметры текущей настройки средства безопасности. Определив соответствующие параметры для КС, на которой проводится автоматическая настройка, сценарий обновляет списки белых и черных объектов (которые обрабатываются данной версией антивируса), устанавливает регуляторы модулей антивируса в соответствующие входным параметрам значения. Например, для компьютера с большой производительностью и для приложения с функцией загрузки файлов с удаленных источников глубина файловой проверки будет установлена максимальная, а для компьютера с небольшим объемом оперативной памяти и доверенного приложения с функцией проигрывания медиа-файлов с удаленного ресурса фильтрация трафика с проверенных сетевых адресов может быть отключена. Полученные сценарии настройки и метаданные к ним заносятся в глобальную базу данных, откуда загружаются в экспертные базы данных. Метаданные сценариев содержат: идентификатор, приложение или тип приложений, для которых сценарий осуществляет настройку, платформу, для которой написан скрипт, время выпуска сценария, показатели эффективности применения сценария, описание выполняемых модификаций и другую информацию, характеризующую данный сценарий.Expert data is generated on the fine-
На Фиг.3 изображен алгоритм способа автоматической настройки средства безопасности. Способ начинает работу при обнаружении нового неизвестного приложения, например, при загрузке приложения на компьютер пользователя 300. Инициировать начало работы способа можно также сканированием хранилищ для программ, оповещением от производителя ПО о выходе нового приложения, ручным запуском. После этого приложение должно быть проверено на соответствие критериями безопасности 305, чтобы определить является ли приложение доверенным. В случае несоответствия приложения критериями безопасности оно признается вредоносным, после чего процесс оптимизации настроек завершается на шаге 345. Если приложение прошло проверку и признано доверенным на шаге 310 начинается процесс исследования совместимости приложения и антивируса с различными настройками. При исполнении сценария приложения на этапе 315 регистрируются операции средства безопасности, связанные с операцией или набором операций, выполняемых приложением. Параллельно ведется журнал исполнения приложения. После того, как сценарий приложения отработан, исследование проводится для другого сценария исполнения приложения 325. Переключение сценария исполнения, как было отмечено ранее, осуществляется изменением настроек приложения, запуском пользовательской функции приложения и другими операциями. После того, как параллельная работа антивируса и приложения проанализированы (полностью или частично), для зарегистрированных операций антивируса определяются приоритеты 330. Приоритет операции фактически означает насколько необходимо оставить данную операцию и соответствующую функцию антивируса для обеспечения высокого уровня безопасности. Максимальный приоритет соответствует тем операциям антивируса, которые нельзя будет отключить даже при минимальных ресурсных возможностях компьютера и при полном соответствии приложения критериям безопасности. Минимальный приоритет операции означает, что соответствующая функция практически не вносит полезного вклада в обеспечение безопасности компьютерной системы при проверке работы доверенного приложения. Функции, состоящие из операций с минимальным приоритетом, исключают из функционала антивируса при проверке объектов данного приложения, но они могут быть вновь подключены, в случае, если на это будет хватать вычислительных ресурсов. Приоритет, отличный от минимального и максимального значения, означает зависимость операции и параметров соответствующего модуля антивируса от параметров компьютерной системы, которые сценарий настройки в дальнейшем будет определять и использовать в качестве входных параметров. Определение приоритета операции может быть реализовано применением экспертных систем (применение правил прямого соответствия значения приоритета и операции или типа операции); применением систем нечеткой логики, когда значение приоритета определяется множеством факторов с различными весовыми коэффициентами и другими методами функциональной зависимости.Figure 3 shows the algorithm of a method for automatically configuring a security tool. The method begins to work when a new unknown application is detected, for example, when the application is downloaded to the user's computer 300. You can also initiate the start of the method by scanning storage for programs, notifying the software manufacturer about the release of a new application, and manually starting it. After that, the application should be checked for compliance with security criteria 305 to determine if the application is trusted. If the application does not meet the security criteria, it is recognized as malicious, after which the optimization process of the settings ends at step 345. If the application is verified and trusted in step 310, the process of studying the compatibility of the application and the antivirus with various settings begins. When the application script is executed, at step 315, security operations associated with the operation or set of operations performed by the application are logged. In parallel, an application execution log is maintained. After the application script has been completed, the study is conducted for another application execution script 325. Switching the execution script, as noted earlier, is carried out by changing the application settings, launching the application user function and other operations. After the parallel operation of the antivirus and the application is analyzed (in whole or in part), priorities are determined for registered antivirus operations 330. The priority of the operation actually means how much it is necessary to leave this operation and the corresponding antivirus function to ensure a high level of security. The maximum priority corresponds to those antivirus operations that cannot be disabled even with the minimum resource capabilities of the computer and with the application fully meeting the security criteria. The minimum priority of the operation means that the corresponding function practically does not make a useful contribution to ensuring the security of the computer system when checking the operation of a trusted application. Functions consisting of operations with the lowest priority are excluded from the antivirus functionality when scanning objects of this application, but they can be reconnected if there are enough computing resources to do this. Priority other than the minimum and maximum values means the dependence of the operation and parameters of the corresponding antivirus module on the parameters of the computer system, which the configuration script will determine and use as input parameters in the future. Determining the priority of an operation can be implemented using expert systems (applying rules that directly correspond to the priority value and the operation or type of operation); the use of fuzzy logic systems, when the priority value is determined by many factors with different weighting factors and other methods of functional dependence.
Зарегистрированные операции и соответствующие им рассчитанные приоритеты транслируются в настройки средства безопасности на этапе 335. Настройки во множестве вариантов реализации могут представлять файлы или записи различных форматов: конфигурационный файл, файл разметки, набор управляющих команд. В предложенном примере реализации, настройки представляют собой набор инструкций (скрипт, сценарий). Данный формат позволяет хранить большое множество настроек и динамически определять необходимую настройку в зависимости от значений входных параметров.The registered operations and the calculated priorities corresponding to them are translated into the settings of the security tool at step 335. Settings in many implementation options can represent files or records of various formats: configuration file, markup file, set of control commands. In the proposed implementation example, the settings are a set of instructions (script, script). This format allows you to store a large number of settings and dynamically determine the necessary setting depending on the values of the input parameters.
После того, как сценарий настройки создан на этапе 335, он передается сначала в глобальную базу данных 224, затем в экспертную базу данных 232, и после этого инструкции сценария применяются 340 на КС. На этом этапе процесс оптимизации настроек антивируса для доверенных приложений завершается 345.After the setup script was created at step 335, it is transferred first to the global database 224, then to the expert database 232, and after this script instruction, 340 are applied to the CS. At this stage, the process of optimizing antivirus settings for trusted applications ends with 345.
На Фиг.4 показан алгоритм настройки средства безопасности в процессе работы КС в зависимости от различных факторов. Устанавливаемые пользователем или администратором настройки и применяемые к КС политики безопасности в существующих системах статичны (не изменяются и не подстраиваются по работу КС) или имеют ограниченный перечень вариаций и большое время обновления (по отношению к скорости изменения состояний компьютера). Создание точных (тонких) настроек и применение сценариев настройки позволяет реагировать на изменения в КС и изменять параметры настройки, чтобы не создавать большую вычислительную нагрузку и постоянно поддерживать высокий уровень безопасности компьютера, данных, приложения и сети, к которой подключена КС. После того, как определены необходимые для данного компьютера настройки, на него загружаются наборы инструкций (сценарии) для настройки средства безопасности под каждое доверенное и критичное приложение, установленное на компьютер на шаге 400. Далее производится оценка вычислительных ресурсов КС на шаге 410, доступных в текущем промежутке времени, и определяются текущие сценарии исполнения приложений (настройки, режим работы, пользовательская функция) 420. Этапы 410 и 420 могут произвести сценарий настройки или другой компонент, например служба операционной системы, который передаст информацию инструкциям настройки в виде входного параметра. Далее в зависимости от определенных на предыдущих этапах значений параметров применяются на шаге 430 максимально подходящие для текущей ситуации настройки. Режим работы приложения, нагрузка на компьютерную систему могут поменяться независимо от системы безопасности. При обнаружении изменений сценария исполнения приложения 440 или при изменении количества доступных средству безопасности вычислительных ресурсов 450 сценарий настройки пересматривает и в случае необходимости изменяет настройки средства безопасности (параметры политики безопасности) в соответствии с логикой, которая заложена в сценарий настройки в процессе его генерации. При этом подстройка средства безопасности в зависимости от приведенных атрибутов показана для примера. Сценарий настройки может также варьировать параметры настройки в зависимости от следующих факторов: авторизованный пользователь компьютера, список запущенных программ, географическое расположение компьютера, зафиксированные эпидемии, срабатывание средства безопасности (возможно, даже в отношении другого приложения) и т.д.Figure 4 shows the security settings algorithm during the operation of the COP, depending on various factors. The security policies set by the user or administrator and applied to the CS in the existing systems are static (they do not change and do not adapt to the operation of the CS) or have a limited list of variations and a long update time (relative to the rate of change of computer status). Creating accurate (thin) settings and applying configuration scripts allows you to respond to changes in the CS and change the settings so as not to create a large computational load and constantly maintain a high level of security of the computer, data, application and network to which the CS is connected. After the necessary settings for this computer are determined, sets of instructions (scripts) are downloaded to it for setting up a security tool for each trusted and critical application installed on the computer in
Далее описан пример компьютерной системы, архитектура которой лежит в основе сервера администрирования, персонального устройства и компьютерной системы, элементы которой воспроизводит эмулятор.The following describes an example of a computer system, the architecture of which is the basis of the administration server, personal device and computer system, the elements of which are reproduced by the emulator.
Фиг.5 представляет пример КС общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.Figure 5 represents an example of a general-purpose CS, a personal computer or server 20 comprising a
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20 in turn contains a
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к КС 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.Computer 20 has a
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим одним или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.5. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another one or more
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в КВС, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in FAC, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 50 via a network adapter or
В соответствии с описанием, компоненты, этапы исполнения, структура данных, описанные выше, могут быть выполнены, используя различные типы операционных систем, компьютерных платформ, программ.In accordance with the description, components, execution steps, data structure described above can be performed using various types of operating systems, computer platforms, programs.
В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.In conclusion, it should be noted that the information provided in the description are only examples that do not limit the scope of the present invention defined by the claims.
Claims (20)
- проверяют приложение на соответствие критериям безопасности;
- если приложение соответствует критериям безопасности, то приложение запускают на исполнение в тестовом режиме;
- переключают сценарии исполнения приложения;
- регистрируют операции, выполняемые средством безопасности во время исполнения сценариев приложения, при этом регистрируют операции, связанные с исполняемым приложением;
- определяют приоритеты для зарегистрированных операций;
- формируют набор инструкций, производящих модификацию средства безопасности, при этом модификация средства безопасности обеспечивает выполнение операций средством безопасности в зависимости от упомянутого приоритета;
- модифицируют средство безопасности путем исполнения сформированного набора инструкций.1. A method for automatically modifying a security tool, consisting of the steps in which:
- check the application for compliance with security criteria;
- if the application meets the security criteria, then the application is launched for execution in test mode;
- switch application execution scripts;
- register operations performed by the security tool during execution of application scripts, while registering operations associated with the executable application;
- determine the priorities for registered operations;
- form a set of instructions for the modification of the security tool, while the modification of the security tool ensures that the security tool performs operations depending on the priority mentioned;
- modify the security tool by executing the generated set of instructions.
- приложение запускают на исполнение в реальном режиме, по меньшей мере, на одной компьютерной системе;
- определяют сценарий исполнения приложения в реальном режиме;
- регистрируют операции, выполняемые средством безопасности во время исполнения сценария приложения, при этом регистрируют операции, связанные с исполняемым приложением;
- проверяют приложение на соответствие критериям безопасности;
- если приложение соответствует критериям безопасности, то для зарегистрированных операций определяют приоритеты;
- формируют набор инструкций, производящих модификацию средства безопасности, при этом модификация средства безопасности обеспечивает выполнение операций средством безопасности в зависимости от упомянутого приоритета;
- модифицируют средство безопасности путем исполнения сформированного набора инструкций.12. A method for researching applications for automatically modifying a security tool, comprising the steps of:
- the application is launched for execution in real mode on at least one computer system;
- determine the script for the application in real mode;
- register operations performed by the security tool during execution of the application script, while registering operations associated with the executable application;
- check the application for compliance with security criteria;
- if the application meets the security criteria, then priorities are determined for registered operations;
- form a set of instructions for the modification of the security tool, while the modification of the security tool ensures that the security tool performs operations depending on the priority mentioned;
- modify the security tool by executing the generated set of instructions.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2012141464/08A RU2514137C1 (en) | 2012-09-28 | 2012-09-28 | Method for automatic adjustment of security means |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2012141464/08A RU2514137C1 (en) | 2012-09-28 | 2012-09-28 | Method for automatic adjustment of security means |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2514137C1 true RU2514137C1 (en) | 2014-04-27 |
| RU2012141464A RU2012141464A (en) | 2014-04-27 |
Family
ID=50515053
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2012141464/08A RU2514137C1 (en) | 2012-09-28 | 2012-09-28 | Method for automatic adjustment of security means |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU2514137C1 (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2589862C1 (en) * | 2015-06-30 | 2016-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Method of detecting malicious code in random-access memory |
| RU2615325C2 (en) * | 2014-07-23 | 2017-04-04 | Сяоми Инк. | Method and device for memory space reclamation |
| RU2697935C2 (en) * | 2014-12-11 | 2019-08-21 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | User interface for providing security and remote control of network endpoints |
| RU2757597C1 (en) * | 2018-07-18 | 2021-10-19 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Systems and methods for reporting computer security incidents |
| RU2773108C1 (en) * | 2021-05-27 | 2022-05-30 | Акционерное общество "Лаборатория Касперского" | System and method for forming a security monitor |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7197550B2 (en) * | 2001-08-23 | 2007-03-27 | The Directv Group, Inc. | Automated configuration of a virtual private network |
| RU101233U1 (en) * | 2010-07-23 | 2011-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | SYSTEM OF RESTRICTION OF RIGHTS OF ACCESS TO RESOURCES BASED ON THE CALCULATION OF DANGER RATING |
| US7979849B2 (en) * | 2004-10-15 | 2011-07-12 | Cisco Technology, Inc. | Automatic model-based testing |
-
2012
- 2012-09-28 RU RU2012141464/08A patent/RU2514137C1/en active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7197550B2 (en) * | 2001-08-23 | 2007-03-27 | The Directv Group, Inc. | Automated configuration of a virtual private network |
| US7979849B2 (en) * | 2004-10-15 | 2011-07-12 | Cisco Technology, Inc. | Automatic model-based testing |
| RU101233U1 (en) * | 2010-07-23 | 2011-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | SYSTEM OF RESTRICTION OF RIGHTS OF ACCESS TO RESOURCES BASED ON THE CALCULATION OF DANGER RATING |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2615325C2 (en) * | 2014-07-23 | 2017-04-04 | Сяоми Инк. | Method and device for memory space reclamation |
| RU2697935C2 (en) * | 2014-12-11 | 2019-08-21 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | User interface for providing security and remote control of network endpoints |
| RU2589862C1 (en) * | 2015-06-30 | 2016-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Method of detecting malicious code in random-access memory |
| US9407648B1 (en) | 2015-06-30 | 2016-08-02 | AO Kaspersky Lab | System and method for detecting malicious code in random access memory |
| US10242186B2 (en) | 2015-06-30 | 2019-03-26 | AO Kaspersky Lab | System and method for detecting malicious code in address space of a process |
| RU2757597C1 (en) * | 2018-07-18 | 2021-10-19 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Systems and methods for reporting computer security incidents |
| RU2773108C1 (en) * | 2021-05-27 | 2022-05-30 | Акционерное общество "Лаборатория Касперского" | System and method for forming a security monitor |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2012141464A (en) | 2014-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8925076B2 (en) | Application-specific re-adjustment of computer security settings | |
| US11757835B2 (en) | System and method for implementing content and network security inside a chip | |
| US11604861B2 (en) | Systems and methods for providing real time security and access monitoring of a removable media device | |
| US10621344B2 (en) | System and method for providing network security to mobile devices | |
| US10454894B2 (en) | Cyber threat attenuation using multi-source threat data analysis | |
| US10154066B1 (en) | Context-aware compromise assessment | |
| JP4629332B2 (en) | Status reference monitor | |
| US11409862B2 (en) | Intrusion detection and prevention for unknown software vulnerabilities using live patching | |
| RU2618946C1 (en) | Method to lock access to data on mobile device with api for users with disabilities | |
| CN110119619B (en) | System and method for creating anti-virus records | |
| JP2016503936A (en) | System and method for identifying and reporting application and file vulnerabilities | |
| Qbeitah et al. | Dynamic malware analysis of phishing emails | |
| US11157618B2 (en) | Context-based analysis of applications | |
| RU2514137C1 (en) | Method for automatic adjustment of security means | |
| US20230275916A1 (en) | Detecting malicious activity on an endpoint based on real-time system events | |
| Dimitrios | Security information and event management systems: benefits and inefficiencies | |
| WO2023130063A1 (en) | Zero trust file integrity protection | |
| Aulakh | Intrusion detection and prevention system: Cgi attacks | |
| Matulevičius et al. | Security Risk | |
| CN116961977A (en) | Security detection method, apparatus, device and computer program product | |
| CN116980157A (en) | Security detection method, device, equipment and storage medium based on cloud security configuration | |
| Kourtesis | Creating a Secure Server Architecture and Policy for Linux-based Systems | |
| LUH | IT Security |