RU2601148C1 - Система и способ выявления аномалий при подключении устройств - Google Patents

Система и способ выявления аномалий при подключении устройств Download PDF

Info

Publication number
RU2601148C1
RU2601148C1 RU2015125967/08A RU2015125967A RU2601148C1 RU 2601148 C1 RU2601148 C1 RU 2601148C1 RU 2015125967/08 A RU2015125967/08 A RU 2015125967/08A RU 2015125967 A RU2015125967 A RU 2015125967A RU 2601148 C1 RU2601148 C1 RU 2601148C1
Authority
RU
Russia
Prior art keywords
computer system
devices
data
rules
database
Prior art date
Application number
RU2015125967/08A
Other languages
English (en)
Inventor
Олег Владимирович Зайцев
Ольга Эдуардовна Домке
Константин Юрьевич Манурин
Михаил Александрович Левинский
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2015125967/08A priority Critical patent/RU2601148C1/ru
Priority to US14/855,442 priority patent/US9386024B1/en
Priority to EP15191183.1A priority patent/EP3113062B1/en
Priority to CN201610066765.4A priority patent/CN105760756B/zh
Priority to JP2016093187A priority patent/JP6290297B2/ja
Priority to US15/165,422 priority patent/US10185825B2/en
Application granted granted Critical
Publication of RU2601148C1 publication Critical patent/RU2601148C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

Изобретение относится к средствам обеспечения компьютерной безопасности. Технический результат заключается в выявлении аномалий при подключении устройств к компьютерной системе. Система содержит компьютерную систему, к которой подключают по крайней мере одно устройство; средство сбора для сбора данных о подключенном устройстве и передачи собранных данных средству анализа; средство анализа для анализа собранных данных о подключенном устройстве и данных об устройствах, подключенных ранее к компьютерной системе, из базы данных устройств, где данные об устройстве включают: частоту подключения устройства, период работы подключенного устройства, период работы компьютерной системы, к которой подключено устройство, и передачи результата анализа средству поиска аномалий; базу данных устройств для хранения данных об устройствах, подключенных ранее к компьютерной системе; средство поиска аномалий для выявления по крайней мере одной аномалии, которая является признаком того, что устройство модифицировано злоумышленником, при подключении устройств к компьютерной системе, с использованием правил определения аномалий из базы данных правил на основе результата анализа; базу данных правил для хранения правил определения аномалий. 2 н.п. ф-лы, 4 ил.

Description

Область техники
Изобретение относится к области компьютерной безопасности, а именно к системам и способам предотвращения использования модифицированных злоумышленником устройств.
Уровень техники
В настоящее время растет количество устройств, которые можно соединять друг с другом для передачи данных. Такими устройствами являются, например: модем, персональный компьютер, телефон, видеокамера, внешний жесткий диск. Для передачи данных между устройствами используются проводные и беспроводные технологии передачи данных. Одним из самых распространенных способов проводного соединения устройств является соединение с использованием универсальной последовательной шины (англ. universal serial bus, USB).
Массовое распространение устройств с возможностью подключения при помощи USB выявило ряд недостатков этого типа подключения. Так, составное USB-устройство при подключении к персональному компьютеру может быть определено как несколько устройств, например: хранилище данных, CD-ROM, в который вставлен установочный диск, клавиатура и др. Упомянутая конфигурация вызывает интерес у злоумышленников. Злоумышленник может воспользоваться составной конфигурацией устройства и, используя настраиваемую микропрограмму, внедрить собственное устройство, которое может выполнить вредоносные действия (класс атак BadUSB, https://ru.wikipedia.org/wiki/BadUSB).
Таким образом, злоумышленник, используя флэш-носитель, может обманным путем заставить персональный компьютер пользователя определить новое устройство типа "клавиатура", с помощью которого, например, могут быть совершены загрузка и выполнение вредоносного кода.
В настоящее время существует ряд решений, предназначенных для анализа подключенных устройств. В патенте US 8281058 В1 анализируют информацию о подключенных устройствах USB. На основе дескрипторов определяют, было ли изменение подключенных к компьютеру устройств, было ли подключено новое устройство. На основании предопределенного количества дескрипторов устройств USB и на основании их совокупности строят нормальную и аномальную модель функционирования компьютерной системы.
В публикации US 7257737B2 описана система, в которой используют анализатор протоколов, в том числе и USB. Анализатор определяет события, связанные с портом, например ошибки. Отмечается, что система направлена на устранение случаев, когда анализатор не реагирует на некоторые ошибки при анализе протоколов.
Указанные решения осуществляют анализ подключаемых устройств и событий, но о выявлении аномалий при подключении устройств упоминаний нет. Настоящее изобретение позволяет эффективно решить задачу обнаружения аномалий при подключении устройств.
Раскрытие изобретения
Изобретение относится к системам и способам предотвращения использования модифицированных злоумышленником устройств. Технический результат настоящего изобретения заключается в выявлении аномалий при подключении устройств к компьютерной системе. Указанный технический результат достигается за счет использовании правил определения аномалий, которые основаны на анализе данных о подключаемых устройствах и компьютерной системе. Данное решение позволяет повысить эффективность процесса поиска и выявления модифицированных злоумышленником устройств за счет использования информации о выявленных аномалиях.
Система выявления аномалий при подключении устройств, которая содержит: компьютерную систему, к которой подключают по крайней мере одно устройство; средство сбора, предназначенное для сбора данных о подключенном устройстве и передачи собранных данных средству анализа; средство анализа, предназначенное для анализа собранных данных о подключенном устройстве и данных об устройствах, подключенных ранее к компьютерной системе, из базы данных устройств, передачи результата анализа средству поиска аномалий; базу данных устройств, предназначенную для хранения данных об устройствах, подключенных ранее к компьютерной системе; средство поиска аномалий, предназначенное для выявления по крайней мере одной аномалии при подключении устройств на основе результата анализа.
В частном случае реализации средство сбора собирает по крайней мере одно из: тип подключения, порт подключения, тип компьютерной системы, к которой было подключено устройство, тип устройства, частоту подключения устройства, период работы устройства, период работы компьютерной системы, показатель электрического напряжения, показатель электрического сопротивления, силы тока.
Способ выявления аномалий при подключении устройств, в котором: подключают по крайней мере одно устройство к компьютерной системе; собирают данные по крайней мере об одном подключенном устройстве; анализируют собранные данные о подключенном устройстве и данные об устройствах, подключенных ранее к компьютерной системе; выявляют по крайней мере одну аномалию при подключении по крайней мере одного устройства на основе результата анализа и правил определения аномалий.
В частном случае реализации способа собирают по крайней мере одно из: тип подключения, порт подключения, тип компьютерной системы, к которой было подключено устройство, тип устройства, частоту подключения устройства, период работы устройства, период работы компьютерной системы, показатель электрического напряжения, показатель электрического сопротивления, силы тока.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 отображает четыре варианта обычного режима работы компьютерной системы и по крайней мере одного подключенного устройства.
Фиг. 2 представляет структурную схему системы выявления аномалий при подключении устройств.
Фиг. 3 отображает способ выявления аномалий при подключении устройств.
Фиг. 4 представляет пример компьютерной системы общего назначения.
Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
Устройства могут быть подключены к компьютерной системе проводным или беспроводным способом. Примером проводного подключения является подключение по компьютерной шине. Подключение по шине в общем случае выполняют при помощи соединения проводов или контактов. Наиболее популярным проводным подключением является соединение при помощи универсальной последовательной шины (USB). Беспроводное подключение предусматривает соединение без использования проводов или контактов на основе беспроводных технологий. Наиболее популярным беспроводным подключением является Bluetooth. Примером беспроводного подключения может быть технология беспроводных персональных сетей (англ. wireless personal area network, WPAN).
Модифицированное злоумышленником устройство - устройство, которое при подключении определяется как стандартное устройство определенного типа, но имеет внедренный злоумышленником код, способствующий выполнению вредоносных действий при помощи сценариев, или имеет возможность выполнить автоматически набор команд, характерных для определенного типа стандартного устройства, которые вызовут загрузку и запуск вредоносного приложения.
Обычный режим работы компьютерной системы и по крайней мере одного подключенного устройства - повседневное обыденное состояние компьютерной системы и по крайней мере одного подключенного устройства, которое характеризуется порядком включения/выключения компьютерной системы и частотой подключения/отключения по крайней мере одного устройства на протяжении определенного периода времени, например, рабочего дня.
Администратор в ходе настройки компьютеров пользователей может часто подключать к компьютерной системе администратора неизвестные устройства, например: мышь, клавиатуру, монитор, жесткие диски и т.д. Компьютерная система администратора может находиться во включенном состоянии на протяжении нескольких суток, например в случае, если администрирование осуществляется круглосуточно. В то же время компьютерная система администратора может переходить в выключенное состояние несколько раз за час, например, в случае смены жестких дисков или видеокарты с целью проверки их работоспособности.
В компьютерной системе пользователя частота смены устройств мала, а факт подключения нового устройства имеет важное значение. Компьютерная система пользователя находится во включенном состоянии обычно в течение всего рабочего дня пользователя. Кроме того, компьютерная система пользователя в течение рабочего дня находится в выключенном состоянии редко и на непродолжительный период времени, например в ходе перезагрузки или спящем режиме.
Когда в компьютерной системе, например, используют по крайней мере один порт и подключают по крайней мере одно устройство, а период времени, в течение которого компьютерная система находится во включенном состоянии, определен, может быть четыре варианта обычного режима работы компьютерной системы и подключенного устройства.
На Фиг. 1 представлены четыре варианта обычного режима работы компьютерной системы и по крайней мере одного подключенного устройства. В первом варианте 101 период работы компьютерной системы 120 и период работы подключенного устройства 110 совпадают. При включении компьютерной системы происходит подключение устройства, соответственно, при выключении компьютерной системы происходит отключение устройства. В данном случае устройством может быть постоянно используемая клавиатура или мышь.
Во втором варианте 102 период работы компьютерной системы 120 частично совпадает с периодом работы подключенного устройства 110. Совпадение происходит только на короткий период времени. Совпадения могут быть не единичны. В данном варианте устройством может быть постоянно используемый флэш-носитель, который пользователь периодически подключает и отключает.
В третьем варианте 103 период работы компьютерной системы 120 частично совпадает с периодом работы подключенного устройства 110 на завершающем отрезке времени. Совпадение завершается совместным выключением компьютерной системы и подключенного устройства. В данном случае устройством может быть внешний жесткий диск, мобильный телефон или флэш-носитель, которые были подключены и оставались подключенными при выключении компьютерной системы.
В четвертом варианте 104 период работы компьютерной системы 120 частично совпадает с периодом работы подключенного устройства 110 на начальном этапе. Совпадение завершается отключением подключенного устройства задолго до выключения компьютерной системы. В данном случае устройством может быть внешний жесткий диск, мобильный телефон или флэш-носитель, которые были подключены в период времени, когда компьютерная система была выключена.
На основе выявленных вариантов обычного режима работы компьютерной системы и по крайней мере одного подключенного устройства можно определить аномалии при подключении устройств. Далее и по тексту под аномалией при подключении устройств понимают состояние компьютерной системы и по крайней мере одного подключенного устройства, которое отличается от состояния, описанного обычным режимом работы, что является признаком возможного наличия устройства, модифицированного злоумышленником. Для того чтобы выявлять аномалии при подключении устройств к компьютерной системе, используют систему выявления аномалий при подключении устройств.
На Фиг. 2. изображена структурная схема системы выявления аномалий при подключении устройств. Система выявления аномалий при подключении устройств состоит из компьютерной системы 210, к которой подключают по крайней мере одно устройство, средства сбора 220, средства анализа 230, средства поиска аномалий 240, базы данных устройств 250, базы данных правил 260.
Пользователь подключает устройство к компьютерной системе 210. Средство сбора 220 предназначено для сбора данных по крайней мере об одном подключенном устройстве.
Данные о подключенном устройстве могут содержать тип подключения, порт подключения, тип компьютерной системы, к которой было подключено устройство, тип устройства, частоту подключения устройства, период работы устройства, период работы компьютерной системы и т.д.
Собранные данные средство сбора 220 передает средству анализа 230. Средство анализа 230 предназначено для анализа собранных данных и данных об устройствах, подключенных ранее к компьютерной системе из базы данных устройств 250. В ходе анализа средство анализа 230 может определить, является ли подключенное устройство неизвестным, каким способом подключено устройство, зафиксировать время подключения и т.д. Также средство анализа 230 предназначено для передачи результатов анализа средству поиска аномалий 240.
База данных устройств 250 предназначена для хранения данных об устройствах, подключенных ранее к компьютерной системе. База данных может быть заполнена и обновлена при помощи компьютерной системы, которая при подключении сохраняет данные о подключенных устройствах, или антивирусного сервера.
При определении аномалии при подключении устройств помимо отмеченных в Фиг. 1 вариантов обычного режима работы компьютерной системы и по крайней мере одного подключенного устройства учитывают данные о подключенном устройстве.
Примером аномалии при подключении устройств может быть отключение подключенного устройства от компьютерной системы, которое работало по первому варианту обычного режима работы 101. Отключенное устройство (клавиатура, мышь, видеокарта, сетевая карта и т.д.) в этом случае играет важную роль при работе пользователя с компьютерной системой и требует незамедлительной замены. Устройство, которое будет подключено в тот же порт и иметь тот же тип, следует внимательно проанализировать, поскольку оно может быть модифицировано злоумышленником, а ситуация с отключением ранее используемого подключенного устройства - подстроенной.
Устройства, подключаемые к компьютерной системе, классифицируют по типам, например, на устройства ввода, устройства вывода, устройства хранения информации, и т.д. Типы устройств, в свою очередь, могут подразделяться на категории.
Другим примером аномалии при подключении устройств может быть состояние, когда к компьютерной системе осуществлено подключение устройства одинакового типа с уже имеющимся. Например, при первом варианте обычного режима работы 101, устройство 1 уже подключено к порту 1 компьютерной системы и имеет тип 1 (клавиатура). В компьютерной системе также используют порт 2. Подключение к порту 2 устройства 2 типа 1 (клавиатура) является аномалией при подключении устройств, поскольку возникает ситуация, когда обычный пользователь, уже используя клавиатуру, подключает новую клавиатуру, но не вместо старой, а в другой порт. Устройство 2 следует дополнительно проанализировать, поскольку оно может быть модифицировано злоумышленником.
Еще одним примером аномалии при подключении устройств может быть состояние, когда на порту 1 за короткий период времени, несопоставимый со скоростью смены устройства пользователем, устройство 1 сменяет устройство 2. Мгновенная смена устройства без отключения является сомнительной и нехарактерна для поведения человека, что может свидетельствовать о появлении модифицированного злоумышленником устройства.
База данных правил 260 предназначена для хранения правил определения аномалий. Правило определения аномалии - это совокупность условий, описывающая состояние компьютерной системы и по крайней мере одного подключенного устройства, которое может являться признаком наличия модифицированного злоумышленником устройства.
С учетом отмеченных раннее примеров аномалий при подключении устройств формируют следующее правило: если на компьютерной системе к порту 1 постоянно подключено устройство 1, то отключение устройства 1 и подключение устройства 2 к порту 1 является аномалией при подключении устройств и может быть признаком наличия модифицированного злоумышленником устройства. Другие правила могут быть сформированы на основе таких условий, как тип подключения, порт подключения, тип компьютерной системы, к которой было подключено устройство, тип устройства, частоту подключения устройства, период работы устройства, период работы компьютерной системы, показатель электрического напряжения, сопротивления, тока т.д.
Правило может быть сформировано средством поиска аномалий 240 после инцидента с обнаружением модифицированного злоумышленником устройства. Например, при обнаружении вредоносного приложения выяснилось, что оно было доставлено на компьютерную систему при помощи устройства, которое было определено как принтер. На основе данных о подключения этого устройства формируют правило определения аномалии и заносят в базу данных правил 260.
Правила определения аномалий могут быть изменены с учетом данных о типе компьютерной системы. Например, в зависимости от аппаратной части выделяют следующие типы компьютерных систем:
- стационарная;
- мобильная;
- серверная.
К серверной компьютерной системе может быть вовсе не подключена клавиатура по умолчанию. К мобильной компьютерной системе, например к ноутбуку с док-станцией, могут быть подключены две клавиатуры и две мышки.
В случае, если устройство соединено проводным способом, правила определения аномалий могут быть сформированы на основе показателя силы тока. Например, устройство типа «клавиатура» для работы потребляет 70 мА. В этом случае будет сформировано следующее правило: если подключенное устройство определено как клавиатура, но потребляет отличное от заявленного для этого типа устройства количество тока, такое состояние считать аномалией при подключении устройств и признаком наличия модифицированного злоумышленником устройства.
В дополнение к правилам определения аномалий могут быть применены нейронные сети и нечеткая логика.
В качестве базы данных устройств 250 и базы данных правил 260 могут использоваться различные виды баз данных, а именно: иерархические (IMS, TDMS, System 2000), сетевые (Cerebrum, Cronospro, DBVist), реляционные (DB2, Informix, Microsoft SQL Server), объектно-ориентированные (Jasmine, Versant, POET), объектно-реляционные (Oracle Database, PostgreSQL, FirstSQL/J, функциональные и т.д. Обновление баз данных также может быть осуществлено при помощи антивирусного сервера.
Фиг. 3 отображает способ выявления аномалий при подключении устройств. На этапе 310 пользователь подключает устройство к компьютерной системе. На этапе 311 средство сбора 220 выполняет сбор данных о подключенном устройстве и передает собранные данных средству анализа 230. На этапе 312 средство анализа 230 выполняет анализ собранных данных и данных об устройствах, подключенных ранее из базы данных устройств 250. Затем средство анализа 230 передает результаты анализа средству поиска аномалий 240. На этапе 313 средство поиска аномалий 240 на основе результатов анализа и правил определения аномалий из базы данных аномалий 260 определяет, выполнены ли все условия по крайней мере одного правила. При выполнении всех условий по крайней мере одного правила на этапе 315 средство поиска аномалий выявляет аномалию при подключении устройств и начинает дальнейшую проверку подключенного устройства для выявления модифицированного злоумышленником устройства. Если условия из по крайней мере одного правила не выполнены, то на этапе 314 система прекращает работу.
В ходе дальнейшей проверки для выявления модифицированного злоумышленником устройства может быть выполнена антивирусная проверка, например, на основе антивирусных или поведенческих сигнатур, проверка вводимых с подключенного устройства данных, проверка модификации прошивки устройства (при наличии возможности) и т.д.
Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая, в свою очередь, память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20, в свою очередь, содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который, в свою очередь, подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

Claims (2)

1. Система выявления аномалий при подключении устройств к компьютерной системе, которая содержит:
а) компьютерную систему, к которой подключают по крайней мере одно устройство;
б) средство сбора, предназначенное для сбора данных о подключенном устройстве и передачи собранных данных средству анализа;
в) средство анализа, предназначенное для анализа собранных данных о подключенном устройстве и данных об устройствах, подключенных ранее к компьютерной системе, из базы данных устройств, где данные об устройстве включают по меньшей мере одно из: частота подключения устройства, период работы подключенного устройства, период работы компьютерной системы, к которой подключено устройство, и передачи результата анализа средству поиска аномалий;
г) базу данных устройств, предназначенную для хранения данных об устройствах, подключенных ранее к компьютерной системе;
д) средство поиска аномалий, предназначенное для выявления по крайней мере одной аномалии, которая является признаком того, что устройство модифицировано злоумышленником, при подключении устройств к компьютерной системе, с использованием правил определения аномалий из базы данных правил на основе результата анализа;
е) базу данных правил, предназначенную для хранения правил определения аномалий.
2. Способ выявления аномалий при подключении устройств к компьютерной системе, в котором:
а) подключают по крайней мере одно устройство к компьютерной системе;
б) при помощи средства сбора собирают данные по крайней мере об одном подключенном устройстве;
в) при помощи средства анализа анализируют собранные данные о подключенном устройстве и данные об устройствах, подключенных ранее к компьютерной системе, где данные об устройстве включают по меньшей мере одно из: частота подключения устройства, период работы подключенного устройства, период работы компьютерной системы, к которой подключено устройство;
г) при помощи средства поиска аномалии выявляют по крайней мере одну аномалию, которая является признаком того, что устройство модифицировано злоумышленником, при подключении устройств к компьютерной системе, с использованием правил определения аномалий из базы данных правил на основе результата анализа;
д) хранят правила определения аномалий в базе данных правил.
RU2015125967/08A 2015-06-30 2015-06-30 Система и способ выявления аномалий при подключении устройств RU2601148C1 (ru)

Priority Applications (6)

Application Number Priority Date Filing Date Title
RU2015125967/08A RU2601148C1 (ru) 2015-06-30 2015-06-30 Система и способ выявления аномалий при подключении устройств
US14/855,442 US9386024B1 (en) 2015-06-30 2015-09-16 System and method for detecting modified or corrupted external devices
EP15191183.1A EP3113062B1 (en) 2015-06-30 2015-10-23 System and method of detecting modified or corrupted external devices
CN201610066765.4A CN105760756B (zh) 2015-06-30 2016-01-29 用于检测修改或损坏的外部设备的系统和方法
JP2016093187A JP6290297B2 (ja) 2015-06-30 2016-05-06 変更または破損した外部デバイスを検出するためのシステム及び方法
US15/165,422 US10185825B2 (en) 2015-06-30 2016-05-26 System and method for generating rules for detecting modified or corrupted external devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2015125967/08A RU2601148C1 (ru) 2015-06-30 2015-06-30 Система и способ выявления аномалий при подключении устройств

Publications (1)

Publication Number Publication Date
RU2601148C1 true RU2601148C1 (ru) 2016-10-27

Family

ID=56235059

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015125967/08A RU2601148C1 (ru) 2015-06-30 2015-06-30 Система и способ выявления аномалий при подключении устройств

Country Status (5)

Country Link
US (2) US9386024B1 (ru)
EP (1) EP3113062B1 (ru)
JP (1) JP6290297B2 (ru)
CN (1) CN105760756B (ru)
RU (1) RU2601148C1 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2659736C1 (ru) * 2017-09-29 2018-07-03 Акционерное общество "Лаборатория Касперского" Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами
RU2749252C1 (ru) * 2020-02-26 2021-06-07 Акционерное общество "Лаборатория Касперского" Способ определения источников аномалии в кибер-физической системе
RU2790329C1 (ru) * 2022-05-06 2023-02-16 Акционерное общество "Лаборатория Касперского" Способ обнаружения аномалии в поведении доверенного процесса и система для его реализации

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10102089B2 (en) * 2014-12-17 2018-10-16 Intel Corporation Input/output (I/O) device configuration signature
RU2601148C1 (ru) * 2015-06-30 2016-10-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления аномалий при подключении устройств
IL244557A0 (en) 2016-03-13 2016-07-31 Cyber Sepio Systems Ltd A system and method for protecting a computer system from USB-related weaknesses such as cyber attacks
US20180324179A1 (en) * 2017-05-02 2018-11-08 Hao-Hsun Hou Method for preventing badusb attack
IL254573A0 (en) 2017-09-18 2017-11-30 Cyber Sepio Systems Ltd Install a method and computer software product for securing a local network from threats posed by foreign or hostile accessories
US11544416B2 (en) * 2017-08-03 2023-01-03 Cyber Sepio Systems Ltd System and method for securing a computer system from threats introduced by USB devices
US10580004B2 (en) * 2017-09-29 2020-03-03 AO Kaspersky Lab System and method of identifying new devices during a user's interaction with banking services
RU2728506C2 (ru) * 2018-06-29 2020-07-29 Акционерное общество "Лаборатория Касперского" Способ блокировки сетевых соединений
EP3799383A1 (en) * 2019-09-30 2021-03-31 AO Kaspersky Lab System and method for using inventory rules to identify devices of a computer network
CN111045993A (zh) * 2019-12-17 2020-04-21 北京瑞凯软件科技开发有限公司 电力系统中图元文件处理方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2163730C1 (ru) * 2000-07-20 2001-02-27 Закрытое акционерное общество "Дженерал Текнолоджис" Способ сбора и анализа информации о параметрах работы телевизионных приемников, видеомагнитофонов, радиоприемников и других видов техники массового использования и система для его осуществления
EP1971102A1 (en) * 2007-03-14 2008-09-17 Deutsche Telekom AG Method and system for monitoring communication devices to detect malicious software
US8281058B1 (en) * 2009-10-19 2012-10-02 Symantec Corporation Systems and methods for using USB device descriptors to identify computing environments

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6971028B1 (en) * 1999-08-30 2005-11-29 Symantec Corporation System and method for tracking the source of a computer attack
US7168093B2 (en) * 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
US7080250B2 (en) * 2002-03-29 2006-07-18 International Business Machines Corporation System, method and program product for automatically collecting state information for computer system intrusion analysis
US7359962B2 (en) * 2002-04-30 2008-04-15 3Com Corporation Network security system integration
US7020801B2 (en) 2002-06-06 2006-03-28 Microsoft Corporation Systems and methods for analyzing bus data
EP1654608B1 (en) * 2003-08-11 2008-07-02 Telecom Italia S.p.A. Method and system for detecting unauthorised use of a communication network
US8566946B1 (en) * 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
JP4160024B2 (ja) 2004-07-09 2008-10-01 松下電器産業株式会社 Avビットストリーム記録システムおよびavビットストリーム再生システム
JP4668596B2 (ja) * 2004-12-02 2011-04-13 株式会社エヌ・ティ・ティ・ドコモ 通信端末、サーバ装置及び監視システム
US7607170B2 (en) * 2004-12-22 2009-10-20 Radware Ltd. Stateful attack protection
EP1869834A1 (en) 2005-04-02 2007-12-26 Socket Communications, Inc. Dynamic management of communication ports, devices, and logical connections
US8220049B2 (en) * 2006-12-28 2012-07-10 Intel Corporation Hardware-based detection and containment of an infected host computing device
US7853999B2 (en) * 2007-05-11 2010-12-14 Microsoft Corporation Trusted operating environment for malware detection
FR2916557A1 (fr) 2007-05-24 2008-11-28 Frederic Alexandre Glaubert Dispositif electronique de securite,servant a la surveillance et a la protection en continu et temps reel de tous types d'equipements informatiques et en particulier des ordinateurs portables et fixe.
US8141163B2 (en) * 2007-07-31 2012-03-20 Vmware, Inc. Malicious code detection
US8230149B1 (en) * 2007-09-26 2012-07-24 Teradici Corporation Method and apparatus for managing a peripheral port of a computer system
US8347386B2 (en) * 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US9094444B2 (en) 2008-12-31 2015-07-28 Telecom Italia S.P.A. Anomaly detection for packet-based networks
US9081911B2 (en) 2011-05-31 2015-07-14 Architecture Technology Corporation Mediating communication of a universal serial bus device
CN102194072B (zh) * 2011-06-03 2012-11-14 奇智软件(北京)有限公司 一种处理计算机病毒的方法、装置及系统
CN102254120B (zh) * 2011-08-09 2014-05-21 华为数字技术(成都)有限公司 恶意代码的检测方法、系统及相关装置
TW201333484A (zh) 2012-02-08 2013-08-16 Ind Tech Res Inst 設備異常的偵測裝置與方法
US8819828B1 (en) 2012-04-26 2014-08-26 Symantec Corporation Systems and methods for identifying malware threat vectors
US8782793B2 (en) 2012-05-22 2014-07-15 Kaspersky Lab Zao System and method for detection and treatment of malware on data storage devices
US8745986B2 (en) * 2012-07-10 2014-06-10 General Electric Company System and method of supplying fuel to a gas turbine
US8931101B2 (en) * 2012-11-14 2015-01-06 International Business Machines Corporation Application-level anomaly detection
RU2601148C1 (ru) * 2015-06-30 2016-10-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления аномалий при подключении устройств

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2163730C1 (ru) * 2000-07-20 2001-02-27 Закрытое акционерное общество "Дженерал Текнолоджис" Способ сбора и анализа информации о параметрах работы телевизионных приемников, видеомагнитофонов, радиоприемников и других видов техники массового использования и система для его осуществления
EP1971102A1 (en) * 2007-03-14 2008-09-17 Deutsche Telekom AG Method and system for monitoring communication devices to detect malicious software
US8281058B1 (en) * 2009-10-19 2012-10-02 Symantec Corporation Systems and methods for using USB device descriptors to identify computing environments

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2659736C1 (ru) * 2017-09-29 2018-07-03 Акционерное общество "Лаборатория Касперского" Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами
RU2749252C1 (ru) * 2020-02-26 2021-06-07 Акционерное общество "Лаборатория Касперского" Способ определения источников аномалии в кибер-физической системе
RU2790329C1 (ru) * 2022-05-06 2023-02-16 Акционерное общество "Лаборатория Касперского" Способ обнаружения аномалии в поведении доверенного процесса и система для его реализации

Also Published As

Publication number Publication date
EP3113062B1 (en) 2017-09-13
CN105760756A (zh) 2016-07-13
US9386024B1 (en) 2016-07-05
JP6290297B2 (ja) 2018-03-07
EP3113062A1 (en) 2017-01-04
US10185825B2 (en) 2019-01-22
CN105760756B (zh) 2019-05-17
JP2017076363A (ja) 2017-04-20
US20170004304A1 (en) 2017-01-05

Similar Documents

Publication Publication Date Title
RU2601148C1 (ru) Система и способ выявления аномалий при подключении устройств
US20230385170A1 (en) Systems and methods for collecting, tracking, and storing system performance and event data for computing devices
US11429625B2 (en) Query engine for remote endpoint information retrieval
TWI450103B (zh) 伺服器之遠端管理系統及方法,及其電腦程式產品
RU2617654C2 (ru) Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя
US8516499B2 (en) Assistance in performing action responsive to detected event
US20220050765A1 (en) Method for processing logs in a computer system for events identified as abnormal and revealing solutions, electronic device, and cloud server
JP2014112400A (ja) アソシエーションルールマイニングを使用してコンピュータ環境内の計算エンティティ向けコンフィギュレーションルールを生成するための方法及び装置
EP3084672B1 (en) Protection system including machine learning snapshot evaluation
CN103428212A (zh) 一种恶意代码检测及防御的方法
US20210160259A1 (en) System for automated signature generation and refinement
WO2023093638A1 (zh) 异常数据识别方法、装置、设备和存储介质
JP2022512195A (ja) 挙動による脅威検出のためのシステムおよび方法
CN109995751B (zh) 上网设备标记方法、装置及存储介质、计算机设备
CN111541647A (zh) 安全检测方法、装置、存储介质及计算机设备
JP7274162B2 (ja) 異常操作検知装置、異常操作検知方法、およびプログラム
CN109376064B (zh) 一种接口测试报告的生成方法及设备
CN109936528B (zh) 监测方法、装置、设备及系统
CN115001724B (zh) 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质
Salman et al. DAIDS: An architecture for modular mobile IDS
RU2671999C1 (ru) Способ и система для диагностики мобильных вычислительных устройств
JP5679347B2 (ja) 障害検知装置、障害検知方法、及びプログラム
CN111858227A (zh) 设备状态监控方法、装置、设备及存储介质
TWI749717B (zh) 異常日誌處理方法、裝置、終端設備、雲端伺服器及系統
JP2010122134A (ja) 障害原因分析システム、障害原因分析方法