RU108896U1 - SYSTEM TO ENSURE GENERAL SAFETY OF MOBILE DEVICES - Google Patents

SYSTEM TO ENSURE GENERAL SAFETY OF MOBILE DEVICES Download PDF

Info

Publication number
RU108896U1
RU108896U1 RU2010119567/07U RU2010119567U RU108896U1 RU 108896 U1 RU108896 U1 RU 108896U1 RU 2010119567/07 U RU2010119567/07 U RU 2010119567/07U RU 2010119567 U RU2010119567 U RU 2010119567U RU 108896 U1 RU108896 U1 RU 108896U1
Authority
RU
Russia
Prior art keywords
security
module
mobile device
data
tasks
Prior art date
Application number
RU2010119567/07U
Other languages
Russian (ru)
Inventor
Андрей Владимирович Собко
Калькуль Магнус
Антон Владимирович Тихомиров
Надежда Васильевна Кащенко
Дмитрий Алексеевич Поляков
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2010119567/07U priority Critical patent/RU108896U1/en
Application granted granted Critical
Publication of RU108896U1 publication Critical patent/RU108896U1/en

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

1. Система безопасности мобильных устройств, которая включает: ! модуль безопасности, связанный с модулем конфигурирования, при этом модуль безопасности предназначен для выполнения задач безопасности на мобильном устройстве и передачи информации, связанной с задачами безопасности, на другие мобильные устройства; ! упомянутый модуль конфигурирования предназначен для настройки модуля безопасности в зависимости от данных, полученных от связанных с модулем конфигурирования модуля подсчета рисков и модуля подсчета вычислительных ресурсов; ! упомянутый модуль подсчета рисков предназначен для определения рисков, связанных с безопасностью мобильного устройства; ! упомянутый модуль подсчета вычислительных ресурсов предназначен для определения используемых аппаратных ресурсов мобильного устройства. ! 2. Система по п.1, в которой задачами безопасности являются: ! а) предотвращение попадания нежелательной информации на мобильное устройство; ! б) обнаружение и удаление нежелательной информации на мобильном устройстве; ! в) предотвращение угроз. ! 3. Система по п.1, в которой в состав модуля безопасности входят: ! а) сетевой экран; ! б) фильтр сообщений; ! в) антивирус; ! г) модуль восстановления; ! д) модуль предотвращения вторжений. ! 4. Система по п.1, в которой в состав модуля безопасности входят: ! а) модуль соединения с сервером безопасности, предназначенный для передачи данных для исполнения задач безопасности на удаленном компьютере; ! б) модуль групповой безопасности, предназначенный для определения уровня безопасности в составе группы; ! в) модуль координации групповых задач, предназначенный для выбора и опре� 1. The security system of mobile devices, which includes:! the security module associated with the configuration module, while the security module is designed to perform security tasks on a mobile device and transfer information related to security tasks to other mobile devices; ! said configuration module is intended to configure a security module depending on data received from the risk calculation module and the computing resource calculation module associated with the configuration module; ! said risk calculation module is intended to determine risks associated with the security of a mobile device; ! said computing resource calculation module is for determining the used hardware resources of a mobile device. ! 2. The system according to claim 1, in which the security objectives are:! a) preventing unwanted information from reaching the mobile device; ! b) the detection and removal of unwanted information on a mobile device; ! c) prevention of threats. ! 3. The system according to claim 1, in which the security module includes:! a) firewall; ! b) message filter; ! c) antivirus; ! d) recovery module; ! e) intrusion prevention module. ! 4. The system according to claim 1, in which the security module includes:! a) a module for connecting to a security server, designed to transfer data to perform security tasks on a remote computer; ! b) a group security module designed to determine the level of security in a group; ! c) a module for coordinating group tasks, designed to select and define

Description

Область техникиTechnical field

Полезная модель относится к системам обеспечения общей безопасности мобильных устройств за счет динамической настройки модулей безопасности.The utility model relates to systems for ensuring the overall security of mobile devices through the dynamic configuration of security modules.

Уровень техникиState of the art

В настоящее время в мире используется все больше мобильных устройств, а новейшие технологии позволяют интегрировать в них все большее количество функций, которые раньше были доступны только пользователям настольных компьютеров. Распространение таких устройств как смартфоны, наладонники или карманные персональные компьютеры (PDA), ультрамобильные персональные компьютеры (UMPC), мобильные интернет-устройства (MID) стало поистине массовым. Подобные устройства используют энергоэффективные процессоры, такие как Intel Atom или основанные на архитектуре ARM, операционные системы последнего поколения Android, Symbian OS, Windows Mobile, а также подключение к таким сетям как 3G или WiMax или к сетям стандарта IEEE 801.Currently, more and more mobile devices are used in the world, and the latest technologies allow integrating into them an increasing number of functions that were previously available only to desktop users. The proliferation of devices such as smartphones, handhelds or personal digital assistants (PDAs), ultra-mobile personal computers (UMPCs), and mobile Internet devices (MIDs) has become truly massive. Such devices use energy-efficient processors such as Intel Atom or based on the ARM architecture, the latest generation operating systems Android, Symbian OS, Windows Mobile, as well as connecting to networks such as 3G or WiMax or to IEEE 801 networks.

По мере роста количества устройств, а также сетей и широты их пропускания, которая приближается к скорости в несколько мегабайт в секунду в настоящее время, возникает серьезный риск передачи вредоносных и других нежелательных программ. Если раньше вредоносные программы были настоящим бичом лишь популярных настольных платформ, таких как Windows, что было обусловлено большим количеством уязвимостей, огромной популярностью у пользователей и возможностями сетевых соединений, то в нынешнее время в сфере мобильных технологий появились предпосылки для аналогичного роста вредоносных программ и угроз. В настоящий момент хакеры и спамеры также начинают широко использовать мобильные технологии и сети для передачи данных для проведения фишинговых атак, рассылки спама, кражи паролей и другой нежелательной активности.As the number of devices, as well as networks and their latency, grows, which approaches the speed of several megabytes per second at present, there is a serious risk of transmitting malicious and other unwanted programs. Previously, malware was the real scourge of only popular desktop platforms, such as Windows, which was caused by a large number of vulnerabilities, huge popularity among users and network connectivity, but nowadays, in the field of mobile technologies, prerequisites for a similar increase in malware and threats have appeared. At the moment, hackers and spammers are also beginning to widely use mobile technologies and networks to transfer data for phishing attacks, spamming, password theft and other unwanted activity.

Известные технологии вроде сетевых экранов, возможностей антивирусных программ или антиспам-решений хорошо зарекомендовали себя для настольных компьютеров и крупных серверов, однако решения обеспечения безопасности мобильных устройтв представляют иной случай. Во-первых, мобильные устройства должны предоставлять доступ к информации практически в любой точке земного шара, где имеется доступ к использованию возможностей мобильных сетей. Во-вторых, мобильные устройства имеют ограниченную емкость используемой батареи, что влечет ограничение на использование возможностей аппаратных ресурсов с целью экономии. В-третьих, производительность (а также и емкость батареи) нельзя наращивать бесконечно, так как мобильные устройства имеют весьма ограниченные размеры. Все приведенные сложности ставят поистине нетривиальную задачу обеспечения безопасности мобильных устройств.Well-known technologies such as firewalls, antivirus software, or anti-spam solutions have worked well for desktop computers and large servers, but security solutions for mobile devices are a different case. Firstly, mobile devices should provide access to information almost anywhere in the world where there is access to use the capabilities of mobile networks. Secondly, mobile devices have a limited capacity of the used battery, which entails a limitation on the use of hardware resources in order to save. Thirdly, performance (as well as battery capacity) cannot be increased indefinitely, as mobile devices have very limited sizes. All these difficulties pose a truly non-trivial task to ensure the security of mobile devices.

Также стоит отметить, что многие антивирусные компании имеют ряд решения систем безопасности для мобильных устройств, например, такие как Dr.Web Антивирус для Symbian OS, Trend Micro Mobile Security, McAfee Mobile Security. Подобные решения реализуют классическую антивирусную проверку, основанную на сигнатурах, ряд других важных функций безопасности (например, антиспам) и полагаются на своевременное обновление антивирусных баз. Однако, в подобных решениях не используются технологии обмена данными между устройствами или с антивирусными компаниями, располагающими подобными системами защиты, что делает их весьма уязвимыми, учитывая растущее количество угроз в том числе и для мобильных устройств. Также подобные решения не решают проблемы, связанные с потреблением ресурсов на мобильном устройстве, которые являются весьма ограниченными (в первую очередь это касается заряда батареи, так как емкость последней не удается наращивать теми же темпами, что и производительность процессоров). Все это требует создания подходов, которые позволят гибко оценить уровень риска для мобильного устройства, учитывая ряд факторов, связанных с безопасностью, а также имеющиеся возможности мобильного устройства.It is also worth noting that many anti-virus companies have a number of security solutions for mobile devices, for example, such as Dr.Web Anti-Virus for Symbian OS, Trend Micro Mobile Security, McAfee Mobile Security. Such solutions implement the classic antivirus scan based on signatures, a number of other important security functions (for example, antispam) and rely on timely updating of antivirus databases. However, such solutions do not use technologies for exchanging data between devices or with antivirus companies that have similar protection systems, which makes them very vulnerable, given the growing number of threats, including for mobile devices. Also, such solutions do not solve the problems associated with the consumption of resources on a mobile device, which are very limited (first of all, this concerns the battery charge, since the capacity of the latter cannot be increased at the same rate as the processor performance). All this requires the creation of approaches that will allow you to flexibly assess the level of risk for a mobile device, taking into account a number of factors related to security, as well as the capabilities of a mobile device.

Одна из возможностей, которая обусловлена большим количеством мобильных устройств, может быть заключена в использовании так называемых "облачных" технологий (далее будем употреблять этот термин без кавычек). Под облачными технологиями обычно подразумевают технологии обработки данных, в которых компьютерные ресурсы предоставляются в виде некоторого распределенного сервиса (услуги). Такие заявки и патенты как US 20080134316, US 20080091763, EP 1912 413. описывают использование облачных сервисов для различных задач. Другое использование облачных технологий заключается в объединении вычислительных ресурсов нескольких устройств для решения общих задач, что отражено в таких заявках и патентах как US 7389358, US 20090228950, US 20090178131,WO 2008077150.One of the possibilities, which is due to the large number of mobile devices, can be concluded in the use of so-called "cloud" technologies (hereinafter we will use this term without quotes). Cloud technologies usually mean data processing technologies in which computer resources are provided in the form of some distributed service (service). Applications and patents such as US 20080134316, US 20080091763, EP 1912 413. describe the use of cloud services for various tasks. Another use of cloud technology is to combine the computing resources of several devices to solve common problems, which is reflected in such applications and patents as US 7389358, US 20090228950, US 20090178131, WO 2008077150.

В настоящее время в практику вошло использование оценки общего риска для всех узлов сети, что отражено в патентах US 7257630 и US 7543056. Благодаря использованию подобной технологии, появляется возможность оценить возможный риск для всей сети (в том числе и беспроводной) с точки зрения наличия различных уязвимостей в найденных программах и протоколах передачи данных. Дальнейшим развитием этой идеи является построение внутренней безопасной сети (общего периметра), что описано в таких заявках как US 20090178132, US 20090178131, US 20060248205, с последующей блокировкой уязвимых мест (заявка US 20090178132).Currently, the practice of using the general risk assessment for all network nodes is reflected in patents US 7257630 and US 7543056. Thanks to the use of this technology, it is possible to assess the possible risk for the entire network (including wireless) from the point of view of various vulnerabilities in found programs and data transfer protocols. A further development of this idea is the construction of an internal secure network (common perimeter), which is described in such applications as US 20090178132, US 20090178131, US 20060248205, with the subsequent blocking of vulnerabilities (application US 20090178132).

Различные компании, занимающиеся созданием систем безопасности, также не остались в стороне от развития облачных технологий и предлагают сервисы вроде Kaspersky Security Network или Panda Cloud Antivirus. Однако подобные сервисы не способны работать с различными мобильными устройствами, для которых следует постоянно оценивать безопасность используемой сети и изменяющийся состав входящих в нее устройств для динамического изменения уровня безопасности как отдельного устройства, так и всех устройств в целом.Various companies involved in creating security systems also did not stand aside from the development of cloud technologies and offer services like Kaspersky Security Network or Panda Cloud Antivirus. However, such services are not able to work with various mobile devices, for which it is necessary to constantly evaluate the security of the network used and the changing composition of its devices to dynamically change the security level of both an individual device and all devices as a whole.

Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяют получить новый результат, а именно систему для обеспечения общей безопасности мобильных устройств. Результат работы данной системы достигается за счет динамической настройки модулей безопасности на мобильных устройствах.An analysis of the prior art and the possibilities that arise when combining them in one system, allows you to get a new result, namely a system to ensure the overall security of mobile devices. The result of this system is achieved through the dynamic configuration of security modules on mobile devices.

Сущность полезной моделиUtility Model Essence

Технический результат настоящей полезной модели заключается в обеспечении общей безопасности мобильных устройств за счет динамической настройки модулей безопасности на каждом из мобильных устройств.The technical result of this utility model is to ensure the overall security of mobile devices by dynamically configuring security modules on each of the mobile devices.

В рамках одного из вариантов реализации технический результат может быть достигнут за счет использования системы, которая состоит из: модуля безопасности, связанного с модулем конфигурирования, при этом модуль безопасности предназначен для выполнения задач безопасности на мобильном устройстве и передачи информации, связанной с задачами безопасности, на другие мобильные устройства; упомянутого модуля конфигурирования, который предназначен для настройки модуля безопасности в зависимости от данных, полученных от связанных с модулем конфигурирования модуля подсчета рисков и модуля подсчета вычислительных ресурсов; упомянутого модуля подсчета рисков, который предназначен для определения рисков, связанных с безопасностью мобильного устройства; упомянутого модуля подсчета вычислительных ресурсов, который предназначен для определения используемых аппаратных ресурсов мобильного устройства.Within one implementation option, a technical result can be achieved through the use of a system that consists of: a security module associated with a configuration module, while the security module is designed to perform security tasks on a mobile device and transfer information related to security tasks to other mobile devices; said configuration module, which is intended to configure the security module depending on the data received from the risk calculation module and the computing resource calculation module associated with the configuration module; said risk calculation module, which is intended to determine the risks associated with the security of a mobile device; said computing resource calculation module, which is intended to determine the used hardware resources of the mobile device.

В одном из частных вариантов реализации задачами безопасности являются: предотвращение попадания нежелательной информации на мобильное устройство; обнаружение и удаление нежелательной информации на мобильном устройств; предотвращение угроз.In one of the private implementation options, the security objectives are: to prevent unwanted information from reaching the mobile device; detection and removal of unwanted information on mobile devices; threat prevention.

В одном из частных вариантов реализации в состав модуля безопасности входят: сетевой экран; фильтр сообщений; антивирус; модуль восстановления; модуль предотвращения вторжений.In one of the private embodiments, the security module includes: a firewall; message filter; antivirus; recovery module; intrusion prevention module.

В одном из частных вариантов реализации в состав модуля безопасности входят: модуль соединения с сервером безопасности, предназначенный для передачи данных для исполнения задач безопасности. на удаленном компьютере; модуль групповой безопасности, предназначенный для определения уровня безопасности в составе группы; модуль координации групповых задач, предназначенный для выбора и определения задач безопасности для выполнения на мобильных устройствах.In one of the private options for implementation, the security module includes: a connection module to the security server, designed to transfer data to perform security tasks. on a remote computer; group security module designed to determine the level of security in a group; group tasks coordination module designed to select and define security tasks to be performed on mobile devices.

В одном из частных вариантов реализации группой считается набор мобильных устройств, объединенных в смешанную сеть и имеющих возможность безопасной передачи данных между собой.In one of the private options for implementation, a group is a set of mobile devices integrated into a mixed network and having the ability to transfer data safely among themselves.

В одном из частных вариантов реализации модуль подсчета рисков содержит: модуль отслеживания поведения пользователя, предназначенный для определения соответствия поведения пользователя рискам, связанных с безопасностью мобильного устройства; модуль отслеживания событий безопасности, предназначенный для записи всех событий, связанных с безопасностью мобильного устройства; модуль анализа приложений, предназначенный для анализа приложений, установленных на мобильном устройстве; модуль местонахождения, предназначенный для определения местонахождения мобильного устройства; базу данных локаций, предназначенную для определения соответствия уровня безопасности определенной географической локацииIn one of the private embodiments, the risk calculation module comprises: a user behavior tracking module designed to determine whether user behavior matches risks associated with the security of the mobile device; Security event tracking module for recording all events related to mobile device security; an application analysis module for analyzing applications installed on a mobile device; location module, designed to determine the location of a mobile device; location database designed to determine the level of security of a particular geographic location

В одном из частных вариантов реализации модуль подсчета вычислительных ресурсов использует следующие данные об аппаратных ресурсах мобильного устройства: данные о заряде батареи мобильного устройства; данные о частоте использования процессора мобильного устройства; данные о типе мобильного устройства; данные о свободной памяти мобильного устройства; данные о сетевых подключениях мобильного устройства.In one of the private embodiments, the computing resources calculation module uses the following data on the hardware resources of the mobile device: data on the battery charge of the mobile device; data on the frequency of use of the processor of the mobile device; data about the type of mobile device; data on the free memory of the mobile device; Data on network connections of a mobile device.

Краткое описание чертежейBrief Description of the Drawings

Дополнительные цели, признаки и преимущества настоящей - полезной модели будут очевидными из прочтения последующего описания осуществления полезной модели со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present utility model will be apparent from reading the following description of the implementation of the utility model with reference to the accompanying drawings, in which:

На фиг.1А изображено мобильное устройство, на котором может быть установлена система, реализующая настоящую полезную модель.On figa shows a mobile device on which can be installed a system that implements the present utility model.

На фиг.1Б изображена архитектура системы, которая призвана обеспечивать безопасность мобильных устройств.On figb depicts the architecture of the system, which is designed to ensure the security of mobile devices.

На фиг.1В изображена схема работы мобильного устройства в случае, когда мобильное устройство оказывается за пределами защищенной сети.On figv shows a diagram of a mobile device in the case when the mobile device is outside the secure network.

На фиг.1Г изображены варианты использования мобильного устройства в различных сетях.On fig.1G depicts options for using a mobile device in various networks.

На фиг.2А приведена схема, отражающая основные функции модуля безопасности.On figa shows a diagram reflecting the basic functions of the security module.

На фиг.2Б изображена схема работы модуля безопасности на различных уровнях сетевой модели в зависимости от того, какие приложения установлены на мобильном устройстве.On figb shows a diagram of the security module at various levels of the network model, depending on what applications are installed on the mobile device.

Фиг.2В и 2Г отображают две возможных конфигурации систем информационной защиты для мобильных устройств.Figv and 2G show two possible configurations of information security systems for mobile devices.

На фиг.2Д изображена схема работы тонкого клиента на мобильном устройстве с использованием отдельного зашифрованного соединения для связи с сервером безопасности.On fig.2D shows a diagram of the thin client on a mobile device using a separate encrypted connection to communicate with the security server.

Фиг.3А иллюстрирует систему безопасности мобильного устройства в соответствии с одним из вариантов реализации настоящей полезной модели.3A illustrates a security system for a mobile device in accordance with one embodiment of the present utility model.

На фиг.3Б приведена схема базы данных локаций.On figb shows a diagram of the database locations.

На фиг.4 изображена система обеспечения безопасности мобильного устройства.Figure 4 shows the security system of a mobile device.

На фиг.5А изображен модуль подсчета рисков.5A shows a risk calculation module.

На фиг.5Б приведен алгоритм определения модели поведения пользователя.On figb the algorithm for determining the model of user behavior.

На фиг.6 приведен пример реализации модуля подсчета вычислительных ресурсов.Figure 6 shows an example implementation of a module for computing resources.

На фиг.7А показан алгоритм обновления описания угроз в зависимости от производительности мобильного устройства.7A shows an update algorithm for a threat description depending on the performance of a mobile device.

На фиг.7Б приведена схема отключения различных компонент данного модуля в зависимости от заряда батареи.On figb shows a circuit off various components of this module depending on the battery charge.

На фиг.8А приведена схема работы группы мобильных устройств.On figa shows a diagram of a group of mobile devices.

На фиг.8Б приведена база данных устройств, которую содержит мобильное устройство.On figb shows a database of devices that contains a mobile device.

Фиг.8 В иллюстрирует различные группы мобильных устройств в различных локациях.Fig. 8B illustrates various groups of mobile devices in various locations.

Фиг.8Г показывает схему добавления нового устройства в группу.Fig. 8G shows a diagram of adding a new device to a group.

Фиг.8Д показывает алгоритм выборки задач безопасности одним из устройств группы.Fig. 8D shows an algorithm for selecting security tasks by one of the group devices.

Фиг.9А иллюстрирует пример базы данных задач.9A illustrates an example task database.

Фиг.9Б показывает рассмотрение критериев выборки задачи устройством группы.Fig. 9B shows a consideration of the criteria for selecting a task by a group device.

На фиг.9 В описан алгоритм проверки критериев доверия.Fig. 9B describes an algorithm for verifying confidence criteria.

На фиг.10А показано обновление баз данных компонент модуля безопасности.On figa shows the database update component of the security module.

Фиг.10Б показывает вариант работы группы при обнаружении новой угрозы.Figb shows a variant of the group when a new threat is detected.

Фиг.10 В иллюстрирует проверку исполняемого файла перед его запуском на одном из устройств группы.Fig. 10B illustrates checking the executable file before running it on one of the devices in the group.

Фиг.10Г иллюстрирует случай, связанный с обнаружением нового хранилища данных одним из устройств группы.10G illustrates a case associated with the discovery of a new data store by one of the devices of the group.

Фиг.10Д показывает изменение уровня доверенности устройства в - том случае, если была обнаружена новая уязвимость, связанная с приложениями, операционной системой или аппаратной частью одного из устройств.Fig. 10D shows the change in the level of the power of attorney of the device in the event that a new vulnerability has been discovered related to the applications, operating system or hardware of one of the devices.

Описание вариантов осуществления полезной моделиDescription of Embodiments of a Utility Model

Объекты и признаки настоящей полезной модели, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящая полезная модель не ограничивается примерными вариантами осуществления, раскрытыми ниже, она может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании полезной модели, и настоящая полезная модель определяется только в объеме приложенной формулы.The objects and features of the present utility model, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present utility model is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details provided to assist the specialist in the field of technology in a comprehensive understanding of the utility model, and the present utility model is determined only in the scope of the attached formula.

На фиг.1А изображено мобильное устройство, на котором может быть установлена система, реализующая настоящую полезную модель. Мобильное устройство 100 может быть смартфоном, наладонником или карманным персональным компьютером (PDA), ультрамобильным персональным компьютером (UMPC), мобильным Интернет-устройством (MID), либо другим устройством схожего класса. В настоящее время подобные устройства, как правило, сочетают компактные размеры и широкий сенсорный экран для удобства ввода/вывода информации. Мобильное устройство имеет собственный процессор 110 и память 120, которые используются для различных вычислительных задач. Как процессор 110, так и память 120 потребляют ресурсы батареи (аккумулятора) 150, который также используется при работе модуля местонахождения 130 и устройства связи 140. Модуль местонахождения 130 может быть представлен GPS-приемником в одном из вариантов реализации, в то время как устройство - связи 140 может использовать один или несколько типов связи, включая стандарты мобильной связи (GSM, CDMA, Indium и другие), так и другие стандарты беспроводной связи вроде Wi-Fi или Bluetooth. При работе в различных сетях мобильное устройство 100 может передавать данные на другие подобные устройства, образуя, таким образом, некую смешанную сеть. В подобной сети некоторые устройства могут быть связаны между собой с помощью одного стандарта связи (например, Bluetooth), в то время как часть из них может быть связана с другими устройствами через сеть стандарта Wi-Fi.On figa shows a mobile device on which can be installed a system that implements the present utility model. The mobile device 100 may be a smartphone, PDA or PDA, an ultramobile personal computer (UMPC), a mobile Internet device (MID), or another device of a similar class. Currently, such devices, as a rule, combine compact dimensions and a wide touch screen for the convenience of input / output of information. The mobile device has its own processor 110 and memory 120, which are used for various computing tasks. Both the processor 110 and the memory 120 consume the resources of the battery (accumulator) 150, which is also used during operation of the location module 130 and the communication device 140. The location module 130 may be represented by a GPS receiver in one embodiment, while the device Communications 140 may use one or more types of communications, including mobile communications standards (GSM, CDMA, Indium, and others) and other wireless communications standards such as Wi-Fi or Bluetooth. When operating in various networks, the mobile device 100 can transmit data to other similar devices, thus forming a kind of mixed network. In such a network, some devices can be interconnected using one communication standard (for example, Bluetooth), while some of them can be connected to other devices via a Wi-Fi standard network.

На фиг.1Б изображена архитектура системы, которая призвана обеспечивать безопасность мобильных устройств 100. Сервер безопасности 170 контролирует и проверяет трафик между внутренней сетью 165 и внешней сетью 185 (обычно под внешней сетью подразумевается Интернет). Трафик генерируется пользователями за счет использования своих мобильных устройств, таких как мобильное устройство 100, на котором могут быть установлены различные приложения 160 - например, интернет-пейджер или почтовый клиент. На сервере также могут быть установлены серверные приложения 180, которые обеспечивают корректную работу по предоставлению данных для приложений на мобильном устройстве. Примером подобного приложения можно назвать, например, выделенный веб-сервер для обработки http-запросов от пользователей. Помимо приложений, которые обеспечивают передачу и обработку данных, на сервер можно установить и иные серверные приложения 180, которые призваны обеспечивать безопасность - например, сетевой экран. Для управления большим количеством приложений на сервере предусмотрена консоль управления 175 (как правило, с использованием графического интерфейса), с помощью которой можно настраивать серверные приложения 180. Как правило, подобной консолью 175 пользуются администраторы, однако часть настроек может задаваться автоматически при срабатывании определенных факторов, таких как появление уязвимостеи в установленных приложениях 160 или при угрозе вирусного заражения. Система, приведенная на фиг.1Б является общепринятой и хорошо подходит для локальных и достаточно небольших сетей, однако только в том случае, когда мобильное устройство 100 находится в пределах охвата подобной защищенной сети.FIG. 1B depicts a system architecture that is designed to provide security for mobile devices 100. Security server 170 monitors and verifies traffic between internal network 165 and external network 185 (typically, external network means the Internet). Traffic is generated by users through the use of their mobile devices, such as mobile device 100, on which various applications 160 can be installed - for example, an Internet pager or an email client. Server applications 180 can also be installed on the server, which ensure the correct operation of providing data for applications on a mobile device. An example of such an application can be called, for example, a dedicated web server for processing http-requests from users. In addition to applications that provide data transfer and processing, other server applications 180 can be installed on the server, which are designed to provide security - for example, a firewall. To manage a large number of applications, the server has a management console 175 (usually using a graphical interface) that can be used to configure server applications 180. As a rule, administrators use this console 175, but some settings can be set automatically when certain factors are triggered, such as the appearance of vulnerabilities in installed applications 160 or with the threat of virus infection. The system shown in FIG. 1B is generally accepted and well suited for local and fairly small networks, but only if the mobile device 100 is within the scope of such a secure network.

На фиг.1 В изображена схема работы мобильного устройства 100 в том случае, когда оно оказывается за пределами защищенной сети, приведенной на фиг.1Б и возникает необходимость в использовании собственного модуля 190 безопасности, которое можно настраивать с помощью консоли управления 195. Подобный вариант часто называют "толстым" клиентом, который может содержать в себе основные функции обеспечения компьютерной безопасности, такие как сетевой экран, фильтр сообщений, файловый и веб-антивирус. Однако подобный вариант исполнения имеет ряд недостатков, связанных в первую очередь с некоторой громоздкостью подобного решения, поскольку является активным потребителем системных ресурсов и, соответственно, заряда батареи, и усложненным набором функций, что затрудняет управление модулем 190 безопасности в случае нехватки навыков.Figure 1B shows a diagram of the operation of a mobile device 100 when it is outside the secure network shown in Figure 1B and there is a need to use its own security module 190, which can be configured using the control console 195. Such an option is often They call it a “thick” client, which can contain the basic functions of ensuring computer security, such as a firewall, message filter, file and web antivirus. However, this embodiment has several drawbacks associated primarily with the cumbersomeness of such a solution, since it is an active consumer of system resources and, accordingly, battery power, and a complicated set of functions, which makes it difficult to manage the security module 190 in case of lack of skills.

В ряде случаев не всегда очевидно, какой вариант защиты из предложенных на фиг.1Б и 1 В предпочтительнее. На фиг.1Г изображены варианты использования мобильного устройства 100 в различных сетях. Например, при использовании мобильного устройства 100 дома или на работе, пользователь может работать под защитой сервера безопасности 170, но при нахождении в общественном месте (например, аэропорт или кафе), пользователю остается надеется только на собственные силы в виде установленных приложений безопасности, так как он может подвергнуться как атаке хакеров, так и другим вариантам угроз вроде попадания вредоносных программ на мобильное устройство 100 через уязвимости в приложениях 160. Для защиты от этих угроз может служить уже упоминавшийся модуль 190 безопасности, который может быть представлен. такими приложениями (или выполнять их функции) как сетевой экран, фильтр спама, файловый и веб-антивирус. Рассмотрим более подробно возможные типы угроз и средства противодействия.In some cases, it is not always obvious which protection option from those proposed in FIGS. 1B and 1C is preferable. On fig.1G depicts the options for using the mobile device 100 in various networks. For example, when using the mobile device 100 at home or at work, the user can work under the protection of the security server 170, but when in a public place (for example, an airport or a cafe), the user can only rely on their own strength in the form of installed security applications, since it can be subjected to attack by hackers, as well as other types of threats, such as malware entering mobile device 100 through vulnerabilities in applications 160. To protect against these threats, the one already mentioned can serve a security module 190, which may be introduced. applications (or perform their functions) such as a firewall, spam filter, file and web antivirus. Let us consider in more detail the possible types of threats and countermeasures.

На фиг.2А приведена схема, отражающая основные функции модуля 190 безопасности, которая является наиболее широкораспространенной схемой в настоящий момент для современных мобильных устройств. Под модулем может подразумеваться специализированная интегральная микросхема (ASIC), матрица логических элементов с эксплуатационным программированием (FPGA), так и любое другое сочетание программных и аппаратных частей (firmware). Основные функции модуля 190 безопасности могут быть реализованы в виде отдельных независимых компонент, но также могут быть реализованы с использованием общей аппаратной части.FIG. 2A is a diagram illustrating the main functions of the security module 190, which is the most widespread circuit at present for modern mobile devices. A module can mean a specialized integrated circuit (ASIC), a matrix of logic elements with operational programming (FPGA), or any other combination of software and hardware parts (firmware). The main functions of the security module 190 can be implemented as separate independent components, but can also be implemented using common hardware.

Модуль 190 безопасности может выполнять функции, связанные с предотвращением попадания нежелательной информации 202, обнаружением/удалением нежелательной информации 204, предотвращением угроз 206. Под предотвращением попадания нежелательной информации 202 подразумевается блокировка таких угроз как различные вредоносные программы (вирусы, черви, троянские программы), шпионские программы, бесплатные программы с рекламой и баннерами (spyware, bannerware), a также предотвращение возможных хакерских атак и попыток взлома, получение нежелательного графика и других подобных угроз. Обнаружение/удаление нежелательной информации 204 означает поиск тех нежелательных программ и угроз, которые уже находятся на мобильном устройстве 100. Подобное может произойти в том случае, когда, например, новый вирус еще не был известен антивирусным компаниям и они не добавили его описание в свои базы или же в том случае, когда не сработали другие части модуля 190 безопасности, такие как, например, сетевой экран. Предотвращение угроз 206 относится к обнаружению уже работающих вредоносных программ (обычно это означает, что из исполняемого файла вредоносной программы был запущен процесс в операционной системе), их последующей блокировки и остановки, а также восстановлению системы путем устранения последствий работы подобных вредоносных программ.Security module 190 may perform functions related to the prevention of unwanted information 202, the detection / removal of unwanted information 204, and the prevention of threats 206. The prevention of unwanted information 202 means the blocking of threats such as various malicious programs (viruses, worms, trojans), spyware programs, free programs with advertising and banners (spyware, bannerware), as well as the prevention of possible hacker attacks and hacking attempts, receiving an unwanted schedule and other similar threats. Detection / removal of unwanted information 204 means the search for those unwanted programs and threats that are already on the mobile device 100. This can happen when, for example, a new virus was not yet known to antivirus companies and they did not add its description to their databases or in the case where other parts of the security module 190, such as, for example, a firewall, have not worked. Threat Prevention 206 refers to the detection of already running malicious programs (usually this means that a process was launched from the executable file of the malicious program in the operating system), their subsequent blocking and stopping, as well as system recovery by eliminating the consequences of the operation of such malicious programs.

Для реализации вышеперечисленных функций модуль безопасности 190 может содержать такие компоненты как сетевой экран 212, фильтр сообщений 214, антивирус 216, модуль 218 восстановления, модуль 220 предотвращения вторжений (как правило, подобный модуль реализует HIPS-политики). Следует отметить, что предложенный список является примерным и может быть дополнен иными средствами, которые реализуют вышеприведенные функции. Все перечисленные компоненты могут быть настроены, в том числе и автоматически, для обеспечения различных уровней защиты мобильного устройства 100. Хочется отметить, что на фиг.2А были опущены также базы данных для различных компонент, таких как антивирус 216, которые нуждаются в постоянных обновлениях, поэтому следует понимать, что эффективность работы модуля 190 безопасности напрямую зависит от частоты и своевременности обновлений.To implement the above functions, the security module 190 may contain such components as a firewall 212, a message filter 214, an antivirus 216, a recovery module 218, an intrusion prevention module 220 (as a rule, such a module implements HIPS policies). It should be noted that the proposed list is approximate and may be supplemented by other means that implement the above functions. All of these components can be configured, including automatically, to provide various levels of protection for mobile device 100. It should be noted that in FIG. 2A, databases for various components, such as antivirus 216, which need constant updates, were omitted. therefore, it should be understood that the effectiveness of the security module 190 is directly dependent on the frequency and timeliness of updates.

На фиг.2Б изображена схема работы модуля 190 безопасности на различных уровнях сетевой модели OSI в зависимости от того, какие приложения установлены на мобильном устройстве 100. На самом устройстве установлены различные приложения 160, которые используют различные методы обмена информации на уровне представления данных 222. Как правило, подобный уровень отвечает высоким уровням модели OSI (т.е. охватывает прикладной и представительский уровни), в то время как непосредственная передача данных происходит на транспортном уровне (например, протоколы UDP и TCP), что отображено на фиг.2Б в виде уровня передачи данных 230. Непосредственная передача информации в виде битов или сигналов происходит уже на самом низком уровне, на котором работает сетевой адаптер 224, который может быть полностью или частично представлен в виде устройства связи 140.FIG. 2B shows a diagram of the operation of the security module 190 at various levels of the OSI network model, depending on which applications are installed on the mobile device 100. Various applications 160 are installed on the device itself, which use different information exchange methods at the data presentation level 222. How as a rule, this level corresponds to the high levels of the OSI model (i.e., it covers the application and representative levels), while the direct data transfer occurs at the transport level (for example, the protocol s UDP and TCP), which is shown in FIG. 2B as a data transmission layer 230. Direct transmission of information in the form of bits or signals occurs already at the lowest level at which the network adapter 224 operates, which can be fully or partially presented in the form communication devices 140.

Модуль 190 безопасности может использовать фильтр уровня приложений 226 и сетевой экран 212 на различных уровнях модели OSI. - Фильтр уровня приложений 226 позволяет перехватывать информацию между уровнем представления данных 222 и уровнем передачи данных 230, в то время как сетевой экран 212 перехватывает данные на более низком уровне между уровнем передачи данных 230 и сетевым адаптером 224. Фильтр уровня приложений 226 позволяет отследить какое приложение (например, это может быть почтовый агент вроде MS Outlook Mobile или веб-браузер Opera Mini) использует определенный порт и с помощью каких протоколов передает данные. Таким образом, в дальнейшем можно сократить потребление ресурсов за счет наблюдения только за теми приложениями, которые проявляют сетевую активность и чьи уязвимости может использовать определенный тип угроз. Сетевой экран 212 перехватывает лишь небольшую часть всего графика, так как на этом уровне можно разобрать, например, команды протокола ICMP, в то время как современные угрозы и вредоносные программы работают на более высоком уровне. Однако подобная информация может быть также важной, так как у многих угроз и атак имеется собственная сигнатура, т.е. некоторый шаблон в виде определенных команд, которые можно разобрать и обнаружить с помощью сетевого экрана 212.Security module 190 may use an application layer filter 226 and a firewall 212 at various levels of the OSI model. - The application layer filter 226 allows you to intercept information between the data presentation layer 222 and the data transfer layer 230, while the firewall 212 intercepts data at a lower level between the data transmission layer 230 and the network adapter 224. The application layer filter 226 allows you to track which application (for example, it can be a mail agent like MS Outlook Mobile or Opera Mini web browser) uses a specific port and with what protocols it transmits data. Thus, in the future, it is possible to reduce resource consumption by monitoring only those applications that exhibit network activity and whose vulnerabilities can be used by a certain type of threat. Firewall 212 captures only a small part of the entire schedule, since at this level it is possible to parse, for example, the ICMP protocol commands, while modern threats and malware operate at a higher level. However, such information can also be important, since many threats and attacks have their own signature, i.e. some template in the form of certain commands that can be disassembled and detected using the firewall 212.

Как уже упоминалось, фильтр уровня приложений 226 и сетевой экран 212 позволяют получить информацию о состоянии приложений 228 и состоянии соединений 232. Подобная информация может включать информацию о том, какой порт использует то или иное приложение, установленное на мобильном устройстве 100. В свою очередь данную информацию использует обработчик 234 (его также называют "движком"), который сопоставляет информацию о состоянии приложений 228 и состоянии соединений 232 с информацией, хранящейся в базе данных с описанием угроз 236. В том случае, если хранящееся в базе данных описание или сигнатура угрозы совпадает с полученной информацией, происходит обнаружение соответствующей угрозы. Описание угрозы может включать информацию о вредоносной программе, используемых уязвимостях в - известных приложениях (с указанием их версии), номер используемого порта, веток реестра и другую подобную информацию. Таким образом, подобное описание представляет фактически правило для обнаружения определенных типов атак (или вредоносных программ, использующих такие атаки) с дополнительным указанием тех приложений, которые имеют уязвимости (если таковые имеются). Как следствие, определенному пользователю не требуется загружать всю базу данных с описанием угроз 236, но только свою актуальную часть 238, которая подходит под текущую оперативную систему и установленные приложения 160 на мобильном устройстве 100. Из-за постоянного роста угроз и количества вредоносных программ, подобное разделение базы данных позволяет сэкономить график.As already mentioned, the application level filter 226 and the firewall 212 provide information about the status of applications 228 and the status of connections 232. Such information may include information about which port is used by a particular application installed on mobile device 100. In turn, this information is used by the processor 234 (it is also called the "engine"), which compares information about the state of applications 228 and the state of connections 232 with information stored in the database with a description of threats 236. In the event that The description or signature of the threat in the database matches the information received, and the corresponding threat is detected. The threat description may include information about the malware, vulnerabilities used in known applications (indicating their version), the number of the port used, registry branches, and other similar information. Thus, such a description is actually a rule for detecting certain types of attacks (or malware using such attacks) with an additional indication of those applications that have vulnerabilities (if any). As a result, a specific user does not need to download the entire database with a description of threats 236, but only his current part 238, which is suitable for the current operating system and installed applications 160 on mobile device 100. Due to the constant growth of threats and the number of malicious programs, this dividing the database saves the schedule.

Фиг.2В и 2Г отображают две возможных конфигурации систем информационной защиты для мобильных устройств. Можно видеть, что в варианте, приведенном на фиг.2 В, мобильное устройство может быть полностью освобождено от проверок, которые выполняет система зашиты, установленная на сервере (так называемый "тонкий" клиент). Другой вариант, на фиг.2Г, предусматривает установку системы безопасности (в данном случае это может быть модуль безопасности 190) на мобильное устройство, что создает дополнительную нагрузку и, как результат, - уменьшает время автономной работы. Стоит отметить, что использование многих ресурсоемких технологий, работающих вместе (примером может служить использование флэш-анимации в браузере) сокращает время работы от аккумулятора многих современных мобильных устройств с часов до десятков минут. Приведенные фигуры наглядно показывают необходимость более гибкого подхода к проблеме использования ограниченных ресурсов мобильных устройств. Решением подобной задачи может служить использование модуля 190 безопасности в виде нескольких компонент, часть из которых активна при определенных настройках. Например, при использовании внешнего сервера для фильтрации данных можно отключить сетевой экран на мобильном устройстве, полностью полагаясь на сетевой. экран, установленный на внешнем сервере.Figv and 2G show two possible configurations of information security systems for mobile devices. It can be seen that in the embodiment shown in FIG. 2B, the mobile device can be completely exempted from the checks performed by the protection system installed on the server (the so-called “thin” client). Another option, on fig.2G, provides for the installation of a security system (in this case, it can be a security module 190) on a mobile device, which creates additional load and, as a result, reduces battery life. It is worth noting that the use of many resource-intensive technologies working together (the example is the use of flash animation in a browser) reduces the battery life of many modern mobile devices from hours to tens of minutes. These figures clearly show the need for a more flexible approach to the problem of using limited resources of mobile devices. The solution to this problem can be the use of security module 190 in the form of several components, some of which are active at certain settings. For example, when using an external server to filter data, you can turn off the firewall on your mobile device, relying entirely on the network. screen installed on an external server.

На фиг.2Д изображена схема работы тонкого клиента (или другой подобной конфигурации) на мобильном устройстве 100 (пример которого приведен на фиг.2В) с использованием отдельного зашифрованного соединения для связи с сервером безопасности 170 (как правило, это сервер компании, предоставляющей услуги по компьютерной безопасности). Подобная схема хорошо подходит в тех случаях, когда пользователь, использующий схему тонкого клиента, не хочет подвергать себя риску в неизвестном и, возможно, небезопасном с точки зрения компьютерных угроз месте. С этой целью используется зашифрованный канал 245 (в одном из вариантов реализации это может быть VPN-соединение), который дополнительно шифруется 240, что обеспечивает надежную передачу данных между мобильным устройством 100 и сервером безопасности 170. Дополнительное шифрование 240 может быть основано как на параметрах аппаратной части мобильного устройства 100, так и в зависимости от личных настроек пользователя, равно как и в зависимости от переменных окружения (например, время установления соединения). Таким образом, используя сервер безопасности 170, пользователь может с уверенностью получить доступ к нужным ресурсам, используя исходящее соединение 255.FIG. 2D shows a diagram of the operation of a thin client (or other similar configuration) on a mobile device 100 (an example of which is shown in FIG. 2B) using a separate encrypted connection to communicate with a security server 170 (as a rule, this is a server of a company providing services for computer security). Such a scheme is well suited in cases where the user using the thin client scheme does not want to put himself at risk in an unknown and possibly unsafe place from the point of view of computer threats. For this purpose, an encrypted channel 245 is used (in one embodiment, it may be a VPN connection), which is additionally encrypted 240, which ensures reliable data transfer between the mobile device 100 and the security server 170. Additional encryption 240 can be based on both hardware parameters parts of the mobile device 100, and depending on the user's personal settings, as well as depending on the environment variables (for example, connection establishment time). Thus, using the security server 170, the user can confidently access the desired resources using the outgoing connection 255.

Рассматривая приведенные варианты реализации системы безопасности для мобильных устройств, можно сделать вывод о том, что требуется предоставить гибкий подход для решения задач безопасности на мобильном устройстве. С целью применения различных настроек для модуля 190 безопасности потребуется использовать различную системную информацию (список установленных приложений, тип мобильного устройства, его характеристики), информацию о текущем состоянии мобильного устройства 100 (заряд батареи, количество свободной памяти, наличие активных или используемых приложений, местонахождение, тип используемого сетевого подключения), журналы о последних событиях - (стандартные журналы, предоставляемые операционной системой, так и специфические данные, касающиеся зависимости параметров мобильного устройства 100 от различных факторов, вроде последних предотвращенных угроз, неопределенных соединений), статус текущей ситуации по информационной безопасности как во всем мире (например, это могут быть данные о специфических типах атак, на которые пока не найдено универсальных решений), так и в различных регионах, настройки пользователя, касающиеся безопасности и производительности.Considering the above options for implementing a security system for mobile devices, we can conclude that it is necessary to provide a flexible approach to solving security problems on a mobile device. In order to apply various settings for security module 190, it will be necessary to use various system information (list of installed applications, type of mobile device, its characteristics), information about the current state of mobile device 100 (battery charge, amount of free memory, availability of active or used applications, location, type of network connection used), recent event logs - (standard logs provided by the operating system, and specific data regarding the dependence of the parameters of the mobile device 100 on various factors, such as the last prevented threats, undefined connections), the status of the current information security situation as in the whole world (for example, it can be data on specific types of attacks, for which no universal solutions have yet been found), and in various regions, user settings related to security and performance.

Возможным решением проблемы безопасности на мобильном устройстве будет передача вышеперечисленной информации или хотя бы ее части серверу безопасности 170, которая анализирует полученные данные и передает настройки для модуля безопасности 190.A possible solution to the security problem on the mobile device is to transfer the above information or at least part of it to the security server 170, which analyzes the received data and transfers the settings for the security module 190.

Фиг.3А иллюстрирует систему безопасности мобильного устройства в соответствии с одним из вариантов реализации настоящей полезной модели. Модуль 190 безопасности включает две основные части в виде тонкого 308 и толстого 310 клиентов. Толстый клиент 310 является аналогом модуля безопасности, приведенного на фиг.2А, и содержит те же самые модули, каждый из которых настраивается отдельно. Тонкий клиент 308 осуществляет передачу информации, связанной с безопасностью, и в первую очередь для планирования и выполнения задач безопасности на других устройствах.3A illustrates a security system for a mobile device in accordance with one embodiment of the present utility model. Security module 190 includes two main parts in the form of thin 308 and thick 310 clients. Thick client 310 is an analog of the security module shown in FIG. 2A and contains the same modules, each of which is configured separately. Thin client 308 transfers security-related information, primarily for scheduling and completing security tasks on other devices.

Тонкий клиент 308 содержит модуль 302 соединения с сервером безопасности, модуль 304 групповой безопасности, модуль 306 координации групповых задач. Как упоминалось в самом начале, мобильные устройства могут формировать смешанные сети. Однако не все мобильные устройства могут иметь установленные модули 190 безопасности, и, следовательно, считаться надежными. Таким образом, у устройств в смешанной сети, которые имеют установленные модуль 190 безопасности хотя бы в виде тонкого клиента, имеется возможность объединения в группу. Группой, в рамках настоящей полезной модели, считается набор мобильных устройств, объединенных в смешанную сеть и имеющих возможность безопасной передачи данных между собой. Один из вариантов передачи данных предусматривает совместное выполнение задач безопасности, что будет описано ниже. Модуль 302 соединения с сервером безопасности отвечает за обмен данными с одним или несколькими серверами безопасности 170. Сам модуль 302 содержит постоянно обновляемый список подобных серверов для возможности выбора ближайшего или наиболее доступного из них. Модуль 304 групповой безопасности ответственен за использование мобильного устройства в рамках общей группы, которая способна решать задачи отдельных членов группы, используя для этого общие ресурсы всей группы. Для решения таких задач требуется их координация и выбор оптимальных путей решения, что зависит от конфигураций мобильных устройств, входящих в группу. Для координации подобных задач на каждом мобильном устройстве установлен модуль 306 координации групповых задач. В рамках одного из вариантов реализации модуль 304 групповой безопасности и модуль 306 координации групповых задач могут быть использованы для создания специальной сети, в которую будут входить устройства, имеющие аналогичные модули 304 и 306, формируя, таким образом, группу.Thin client 308 includes a security server connection module 302, group security module 304, group task coordination module 306. As mentioned at the very beginning, mobile devices can form mixed networks. However, not all mobile devices may have security modules 190 installed, and therefore be considered reliable. Thus, devices in a mixed network that have security module 190 installed, at least in the form of a thin client, can be grouped. A group, within the framework of this utility model, is considered to be a set of mobile devices integrated into a mixed network and having the ability to transfer data safely among themselves. One of the options for data transfer involves the joint implementation of security tasks, which will be described below. The security server connection module 302 is responsible for exchanging data with one or more security servers 170. The module 302 itself contains a constantly updated list of such servers to select the closest or most accessible one. Group security module 304 is responsible for using a mobile device within a common group that is able to solve the tasks of individual group members using the common resources of the entire group. To solve such problems, their coordination and the choice of optimal solutions are required, which depends on the configurations of the mobile devices included in the group. To coordinate such tasks on each mobile device installed module 306 coordination of group tasks. Within one embodiment, group security module 304 and group task coordination module 306 can be used to create a special network that will include devices having similar modules 304 and 306, thus forming a group.

Алгоритмы работы данных модулей более подробно будут рассмотрены ниже.The operation algorithms of these modules will be discussed in more detail below.

Мобильное устройство 100 содержит модуль 314 конфигурирования, который задает настройки для всех компонент, входящих в модуль 190 безопасности. Для принятия решений по заданию определенных настроек в качестве входных данных модуль 314 конфигурирования использует набор критериев 316. С этой целью может использоваться модуль 130 местонахождения, который позволяет определять местонахождение мобильного устройства 100. В одном из вариантов реализации модуль местонахождения 130 может использовать GPS-приемник для определения точного местонахождения мобильного устройства 100 в пространстве. Другой вариант реализации подразумевает использование анализа топологии. используемой сети (например, сотовой). Следует отметить, что для определения местонахождения могут быть использованы и другие известные методы определения положения в пространстве.The mobile device 100 includes a configuration module 314, which sets the settings for all components included in the security module 190. To make decisions on making certain settings as input, the configuration module 314 uses a set of criteria 316. For this purpose, a location module 130 can be used that allows you to determine the location of the mobile device 100. In one embodiment, the location module 130 may use a GPS receiver to determining the exact location of the mobile device 100 in space. Another implementation option involves the use of topology analysis. network in use (e.g. cellular). It should be noted that other known methods for determining the position in space can be used to determine the location.

Помимо указанных выше модулей, мобильное устройство 100 располагает базой 312 данных локаций, которая описывает соответствие уровня безопасности определенной географической локации. На фиг.3Б приведена примерная схема подобной базы данных. В качестве примера некоторые места могут быть указаны как безопасные глобально - это означает, что данные локации находятся в пределах покрытия сетей, обеспеченными серверами безопасности 170. Подобный список может пополняться постоянно самой антивирусной компанией, которая поддерживает подобные сервера. Другие безопасные места могут быть конкретными для каждого мобильного устройства (и соответственно, его пользователя). Помимо безопасных мест также могут быть определены и потенциально небезопасные и незащищенные с точки зрения информационной безопасности локации. Такое определение можно сделать на основании используемых настроек подключения к настоящей сети, возможностей аутентификации, географического местонахождения (например, используя последние данные антивирусных компаний по количеству угроз на различные регионы). Используемые в этом примере описания типов локаций и способы определения уровня безопасности могут быть другими для каждой конкретной реализации.In addition to the above modules, the mobile device 100 has a location database 312 that describes the security level of a particular geographic location. On figb shows an exemplary diagram of such a database. As an example, some places can be specified as safe globally - this means that these locations are within the network coverage provided by security servers 170. A similar list can be constantly updated by the antivirus company that supports such servers. Other secure locations may be specific to each mobile device (and, accordingly, its user). In addition to safe locations, potentially unsafe and insecure locations in terms of information security can also be identified. Such a determination can be made based on the settings used to connect to the real network, authentication capabilities, and geographic location (for example, using the latest data from anti-virus companies regarding the number of threats to different regions). The descriptions of location types used in this example and methods for determining the level of security may be different for each specific implementation.

На фиг.4 изображена система обеспечения безопасности мобильного устройства для одного из вариантов реализации. В составе этой системы используется модуль 190 безопасности, который был подробно представлен на фиг.3А. Также в системе присутствуют модуль 402 подсчета рисков, модуль 404 подсчета вычислительных ресурсов и модуль 406 использования настроек пользователя. Модуль 314 конфигурирования использует все перечисленные модули для получения набора критериев 316, которые в свою очередь будут использованы для задания настроек различных компонент модуля безопасности 190. Для определения настроек можно использовать большое количество входных параметров, однако в рамках настоящего описания стоит остановиться на ключевых.Figure 4 shows the security system of a mobile device for one embodiment. As part of this system, a security module 190 is used, which has been presented in detail in FIG. 3A. Also in the system are a module 402 for calculating risks, a module 404 for calculating computing resources, and a module 406 for using user settings. The configuration module 314 uses all of the above modules to obtain a set of criteria 316, which in turn will be used to set the settings for various components of the security module 190. To determine the settings, you can use a large number of input parameters, but within the framework of the present description it’s worthwhile to dwell on the key ones.

Для определения уровня защиты мобильного устройства 100 используются два взаимосвязанных параметра - это производительность и уровень защиты (безопасность). Для того, чтобы у пользователя всегда была возможность выбора приоритета между этими двумя понятиями, в мобильном устройстве 100 используется модуль 406 использования настроек пользователя, который в одном из вариантов реализации может быть представлен в виде простой шкалы, которая дает возможность определять предпочтение пользователя в сторону производительности или безопасности.To determine the protection level of the mobile device 100, two interrelated parameters are used: performance and protection level (security). In order for the user to always have the opportunity to choose a priority between these two concepts, the mobile device 100 uses the module 406 for using user settings, which in one embodiment can be presented in the form of a simple scale, which makes it possible to determine the user's preference for productivity or security.

Уровень защиты организован в виде иерархии функциональных возможностей модуля 190 безопасности. Модуль 402 подсчета рисков напрямую взаимодействует с модулем 314 конфигурирования, обеспечивая необходимые данные для формирования набора критериев 316. Таким образом, действует простое правило, которое ставит в прямую зависимость количество используемых компонент модуля 190 безопасности и их настроек от уровня защиты, который формируется с помощью модуля 402 подсчета рисков. Однако, мобильные устройства весьма ограничены в используемых ими ресурсах - в первую очередь, вычислительной мощности и заряда батареи. Чтобы компенсировать рост потребления перечисленных ресурсов модулем 190 безопасности, дополнительно используется модуль 404 подсчета вычислительных ресурсов, который ослабляет набор критериев 316, динамически отслеживая потребление ресурсов мобильного устройства 100. Последним модулем, который влияет на набор критериев 316 является указанный выше модуль 406 использования настроек пользователя, который вносит последние изменения в набор критериев 316. В дальнейшем модуль 402 подсчета рисков и модуль 404 подсчета вычислительных ресурсов будут рассмотрены подробнее.The security level is organized as a hierarchy of functionality of the security module 190. The risk calculation module 402 interacts directly with the configuration module 314, providing the necessary data to form a set of criteria 316. Thus, a simple rule is applied, which directly determines the number of used components of the security module 190 and their settings from the protection level, which is generated using the module 402 counting risks. However, mobile devices are very limited in the resources they use - in the first place, computing power and battery power. To compensate for the increased consumption of the listed resources by the security module 190, an additional computational resource calculation module 404 is used, which weakens the set of criteria 316 by dynamically monitoring the resource consumption of the mobile device 100. The last module that affects the criteria set 316 is the above-mentioned user settings utilization module 406, which makes the latest changes to the set of criteria 316. In the future, the module 402 calculation of risks and module 404 calculation of computing resources will be p ssmotreny more.

Приведем пример работы системы. При запуске нового исполняемого - файла на мобильном устройстве 100, модуль 402 подсчета рисков задает набор критериев 316 таким образом, что модуль 314 конфигурирования должен будет активировать модуль 220 предотвращения вторжений. Но ввиду его большой ресурсоемкости и небольшого заряда батареи, модуль 404 подсчета вычислительных ресурсов ослабит набор критериев 316, исключив активацию модуля 220 предотвращения вторжений, вместо этого включив журнал записи изменений модуля 218 восстановлений на тот случай, если придется восстанавливать систему после запуска неизвестного исполняемого файла. В последнюю очередь, модуль 314 конфигурирования обратится к модулю 406 использования настроек пользователя, который может рекомендовать использование модуля 190 безопасности с упором на безопасность, что усилит набор критериев 316 до такого уровня, что модуль 220 предотвращения вторжений все-таки будет использован для анализа неизвестного исполняемого файла. В том случае если упор был задан на производительность, то набор критериев 316 может быть ослаблен вплоть до того, что неизвестный файл может быть проверен только стандартными методами антивируса 216 - например, с помощью сигнатурной проверки.We give an example of the system. When starting a new executable file on the mobile device 100, the risk counting module 402 sets the criteria 316 in such a way that the configuration module 314 will have to activate the intrusion prevention module 220. But due to its high resource consumption and small battery charge, the computational resource calculation module 404 will weaken the set of criteria 316 by excluding the activation of the intrusion prevention module 220, instead turning on the change log of the recovery module 218 in case you have to restore the system after launching an unknown executable file. Lastly, the configuration module 314 will refer to the user settings module 406, which may recommend the use of the security module 190 with a focus on security, which will strengthen the set of criteria 316 to such a level that the intrusion prevention module 220 will still be used to analyze the unknown executable file. In that case, if the emphasis was placed on performance, the set of criteria 316 can be weakened to the point that the unknown file can only be checked by standard methods of antivirus 216 - for example, using signature verification.

На фиг.5А изображен модуль подсчета рисков в одном из вариантов реализации. В рамках модуля 402 подсчета рисков находятся база 312 данных локаций, модуль 130 местонахождения, модуль 302 соединения с сервером безопасности (который также входит в состав тонкого клиента 308), модуль 502 анализа приложений, модуль 504 отслеживания событий безопасности, модуль 506 отслеживания поведения пользователя. Как уже упоминалось ранее, база 312 данных локаций используется модулем 130 местонахождения для оценки рисков, связанных с использованием тех сетей, которые находятся в пределах географического местонахождения устройства. Работа модуля 302 соединения с сервером безопасности подробно рассмотрена на фиг.2Д. Рассмотрим более подробно оставшиеся три модуля.On figa shows a module for calculating risks in one embodiment. Within the risk calculation module 402, there are location database 312, location module 130, security server connection module 302 (which is also part of the thin client 308), application analysis module 502, security event monitoring module 504, and user behavior monitoring module 506. As already mentioned, the location database 312 is used by the location module 130 to assess the risks associated with using those networks that are within the geographic location of the device. The operation of the security server connection module 302 is described in detail in FIG. Let us consider in more detail the remaining three modules.

Модуль 502 анализа приложений предназначен для анализа приложений, установленных на мобильном устройстве 100. Один из вариантов его работы заключается в анализе системного реестра на предмет вхождения записей, которые характерны для тех или иных приложений. На основании определенных данных формируется список установленных приложений, для которых в дальнейшем будут определены известные уязвимости. Модуль 502 анализа приложений способен проводить анализ как при первом включении модуля 402 подсчета рисков, так и периодически, а также после установки каждого нового приложения.The application analysis module 502 is designed to analyze applications installed on the mobile device 100. One of its options is to analyze the system registry for entries that are specific to certain applications. Based on certain data, a list of installed applications is generated, for which known vulnerabilities will be identified in the future. The application analysis module 502 is capable of analyzing both the first time the risk calculation module 402 is turned on and periodically, as well as after the installation of each new application.

Модуль 504 отслеживания событий безопасности представляет журнал всех событий, связанных с безопасностью мобильного устройства 100. К числу таких событий можно отнести повышенную сетевую активность, нетипичное для большинства приложений использование определенных ресурсов, записи об использовании системных файлов или зашифрованных каталогов и т.д.The security event tracking module 504 provides a log of all events related to the security of the mobile device 100. Such events include increased network activity, use of certain resources atypical for most applications, records about the use of system files or encrypted directories, etc.

Модуль 506 отслеживания поведения пользователя предназначен для записи и анализа действий пользователя. Конечно, не каждое действие пользователя будет записано, но наиболее важные будут отражены, как, например: открытие нового сайта в браузере, частота использования почтового клиента, скачивание файлов из сети, запуск нового приложения.User behavior tracking module 506 is for recording and analyzing user actions. Of course, not every user action will be recorded, but the most important will be reflected, such as: opening a new site in a browser, the frequency of use of the mail client, downloading files from the network, launching a new application.

Большинство пользователей проявляет модель поведения, которая оказывается схожей с моделью поведения других пользователей. Например, можно выделить группу пользователей, которые часто обмениваются сообщениями, используя интернет-пейджер, слушают музыку и посещают определенные сайты в Интернете (например, развлекательной тематики, что увеличивает риск нахождения на таких сайтах вредоносных программ или ссылок на них). На фиг.5Б приведен алгоритм определения модели поведения пользователя. На этапе 510 происходит запись поведения пользователя и его действий, связанных с использованием возможностей мобильного устройства 100. По мере накопления данных на этапе 520. происходит сравнение поведения пользователя с известными шаблонами. Например, шаблон может указывать на вышеописанную группу. Поэтому на этапе 530 происходит сравнение поведения пользователя с известными шаблонами. В том случае, если поведение укладывается в известный шаблон с большой долей вероятности, то на этапе 540 происходит применение политики безопасности для соответствующего шаблона. Например, для уже упомянутой выше группы это может означать тщательный контроль таких приложений, как веб-браузер и интернет-пейджер, так как их активное использование может повлечь за собой проникновение различных угроз и вредоносных программ. В том случае, если поведение пользователя не укладывается в уже существующие шаблоны, происходит дальнейшая запись его действий на этапе 550. Затем на этапе 560 происходит отсылка нового шаблона на сервер безопасности 170 или остальным мобильным устройствам, входящих в группу. На этапе 570 происходит анализ полученного шаблона для выработки новой политики безопасности, которая удовлетворяла бы нуждам пользователей с подобным шаблоном. Как правило, выработка нового шаблона требуется при использовании новых типов приложений.Most users exhibit a behavior model that is similar to the behavior of other users. For example, you can select a group of users who often exchange messages using an Internet pager, listen to music and visit certain sites on the Internet (for example, entertainment topics, which increases the risk of malicious programs or links to them on such sites). On figb the algorithm for determining the model of user behavior. At step 510, the user’s behavior and actions associated with using the capabilities of the mobile device 100 are recorded. As the data accumulates at step 520, the user’s behavior is compared with known patterns. For example, a template may indicate a group as described above. Therefore, at block 530, user behavior is compared with known patterns. In the event that the behavior fits into a known template with a high degree of probability, then at step 540, the security policy for the corresponding template is applied. For example, for the group already mentioned above, this can mean careful control of applications such as a web browser and Internet pager, since their active use can lead to the penetration of various threats and malicious programs. In the event that the user’s behavior does not fit into the existing templates, a further recording of his actions occurs at step 550. Then, at step 560, a new template is sent to the security server 170 or other mobile devices in the group. At step 570, the resulting template is analyzed to develop a new security policy that would satisfy the needs of users with a similar template. As a rule, the development of a new template is required when using new types of applications.

Ниже приведена таблица, в которой отображены примеры шаблонов и соответствующих действий пользователя. Каждый шаблон имеет свой уникальный идентификатор и описание главной характеристики риска, а также связанные с этим действия пользователя. Как можно видеть, все действия могут быть описаны для наглядности в виде простых продукционных правил, которые будут понятны в том числе и неспециалистам.The table below shows examples of patterns and corresponding user actions. Each template has its own unique identifier and description of the main risk characteristic, as well as related user actions. As you can see, all actions can be described for clarity in the form of simple production rules, which will be understandable, including by non-specialists.

Таблица 1.Table 1. Идентификатор шаблонаTemplate ID Главная характеристика рискаKey risk profile Действия пользователя/логикаUser Actions / Logic Критерий срабатыванияTrigger criteria 1004110041 Передача личной/важной информации третьим лицамTransfer of personal / important information to third parties Подключение к внешней сети/сайгу И Внешняя сеть/сайт содержат {сайт в списке банковских/финансовых сайтов} ИЛИ {Страница содержит форму с требованием личных данных}Connecting to an external network / saiga AND The external network / site contains {the site in the list of banking / financial sites} OR {The page contains a form requesting personal data} Правда Любой из списка Любая подобная сущностьTrue Any from the list Any similar entity 1004210042 Пользователь загружает вредоносную программуUser downloads malware Частая загрузка файловFrequent file downloads >3 загрузок файлов за последние 10 мин> 3 file downloads in the last 10 minutes 1004310043 Спам/фишингSpam / phishing Пользователь выбирает ссылки в почтовых сообщенияхUser selects links in email messages >2 выбранных ссылок за последние 10 мин> 2 selected links in the last 10 min 1004410044 Атака хакера/кража информацииHacker attack / information theft Пользователь подключается к неизвестной сетиUser connects to an unknown network Правдаtruth

Рассмотрим шаблон с идентификатором 10042. В этом случае риск может быть связан с тем, что пользователь часто загружает программы и, как следствие, может также загрузить и вредоносную программу. Критерием срабатывания будет загрузка больше 3 файлов за последние 10 минут. Стоит обратить внимание также на то, что эти правила могут редактировать и сами пользователи в том случае, если они хотят получить наиболее подходящее им соотношение уровня защиты и производительности. Некоторые шаблоны также содержат правила, которые проверяются с некоторой периодичностью. Это может быть связано с зарядом батареи, который следует проверять каждые 5-10 минут, отмечая также скорость расхода заряда батареи 150. Далее строятся прогнозы по использованию заряда батареи, и происходит переоценка набора критериев 316. Таким образом, достигается динамический контроль за использованием ресурсов и уровнем безопасности.Consider a template with identifier 10042. In this case, the risk may be related to the fact that the user often downloads programs and, as a result, may also download malware. The triggering criterion is to upload more than 3 files in the last 10 minutes. It is also worth paying attention to the fact that these rules can be edited by users themselves if they want to get the most appropriate ratio of protection level and performance. Some templates also contain rules that are checked at regular intervals. This may be due to the battery charge, which should be checked every 5-10 minutes, noting also the battery charge rate of 150. Next, forecasts on the use of the battery charge are made, and a set of criteria 316 is reassessed. Thus, dynamic control over the use of resources and security level.

На фиг.6 приведен пример реализации модуля подсчета вычислительных ресурсов. Модуль подсчета вычислительных ресурсов содержит индикатор 602 типа устройства с базой 604 данных характеристик. устройств, а также монитор 606 процессора, монитор 608 емкости батареи, монитор 610 памяти, монитор 612 сетевых подключений и графика.Figure 6 shows an example implementation of a module for computing resources. The computing resource calculation module comprises a device type indicator 602 with a characteristic data base 604. devices, as well as a processor monitor 606, a battery capacity monitor 608, a memory monitor 610, a network connection monitor and graphics 612.

Индикатор 602 типа устройства связан с базой 604 данных характеристик устройств, которая содержит данные по основных характеристикам созданных на данный момент мобильных устройств. Ввиду того, что мобильные устройства достаточно тяжело подвергнуть апгрейду (т.е. сменить комплектующие на более мощные), подобная база получается достаточно компактной и может хранится на сервере безопасности 170, так и на мобильном устройстве 100. Индикатор 602 типа устройства получает данные о типе мобильного устройства 100 и запрашивает его характеристики в базе 604 данных характеристик устройств. Найденные характеристики затем передаются на индикатор 602 типа устройства для использования модулем 404 подсчета вычислительных ресурсов и модулем 314 конфигурирования для формирования набора критериев 316. Ниже приведена таблица 2, которая описывает возможные варианты представления данных в базе 604 данных характеристик устройств. Туда входит информация о размерах монитора (как следствие, можно также сразу сделать оценку об уровне его энергопотребления в целях дальнейшего построения прогноза заряда батареи при работе пользователя), мощность процессора, объем дискового пространства и памяти, емкость батареи и сетевые возможности. Следует понимать, что возможности базы 604 данных характеристик устройств не ограничиваются рамками приведенного примера и могут включать другие данные.A device type indicator 602 is associated with a device characteristics database 604 that contains data on the basic characteristics of the currently created mobile devices. Due to the fact that it is rather difficult to upgrade mobile devices (that is, change components to more powerful ones), such a database is compact enough and can be stored on security server 170 and on mobile device 100. Device type indicator 602 receives data about the type mobile device 100 and requests its characteristics in the database 604 of the characteristics of the devices. The found characteristics are then transmitted to the device type indicator 602 for use by the computing resource calculation module 404 and the configuration module 314 to form a set of criteria 316. Table 2 below is a description of possible options for presenting data in the device characteristics data base 604. This includes information about the size of the monitor (as a result, you can also immediately make an assessment of the level of its energy consumption in order to further build a forecast of the battery charge during user work), processor power, disk space and memory, battery capacity and network capabilities. It should be understood that the capabilities of the database 604 of the characteristics of the devices are not limited to the scope of the above example and may include other data.

Таблица 2.Table 2. НазваниеTitle МониторMonitor ПроцессорCPU ДискDisk БатареяBattery СвязьCommunication ASUS ЕЕ ГС 900ASUS ITS GS 900 8.9"8.9 " 900MHz Celeron900MHz Celeron 8 Gb SSD8 Gb SSD 4400-5200mAh, до to 3 ч 30 мин4400-5200mAh, up to 3 hours 30 minutes Ethernet, 802.11b/аEthernet, 802.11b / a MSI WindMsi wind 10"10" 1.6 GHz Atom1.6 GHz Atom 80-160Gb SATA80-160Gb SATA 2200-5200mAh, 2.5-5.5 ч2200-5200mAh, 2.5-5.5 h Ethernet, 802. 11b/аEthernet, 802. 11b / a HP 2133 Mini-Note PCHP 2133 Mini-Note PC 8.9"8.9 " VIAC7 1.0-1.6 GHzVIAC7 1.0-1.6 GHz SSD, SATASSD, SATA 4400-5200mAh, 2.5-4 ч4400-5200mAh, 2.5-4 h Ethernet, 802. Ha/b/gEthernet, 802. Ha / b / g Dell Inspiron Mini 9Dell Inspiron Mini 9 8.9"8.9 " 1.6 GHz Atom1.6 GHz Atom 4-16Gb SSD4-16Gb SSD 2200-3600mAh, до to 5 ч2200-3600mAh, up to 5 hours Ethernet, 802.11b/аEthernet, 802.11b / a NanoBookNanobook 7"7 " VIAC7 1.2 GHzVIAC7 1.2 GHz 30 Gb HDD30 Gb HDD до 4,5 чup to 4.5 hours Ethemet.802.11 b/аEthemet.802.11 b / a Sony Vaio UX Micro PCSony Vaio UX Micro PC 4.5"4.5 " Intel Core Solo 1.06-1.33 GHzIntel Core Solo 1.06-1.33 GHz SSD, HDDSSD, HDD 1.5-7 ч1.5-7 h 802.11 b/a802.11 b / a Samsung SCH-J730Samsung SCH-J730 2.8"2.8 " Intel PXA 520 MHzIntel PXA 520 MHz SDSD в режиме ожидания доя 180-280 чstandby time milking 180-280 h 802.11 b802.11 b

Монитор 606 процессора постоянно отслеживает загруженность процессора 110 мобильного устройства 100. Стоит отметить, что монитор процессора способен также регистрировать использование таких технологий энергосбережения как Speedstep® feature компании Intel Corporation и Cool П Quiet™ feature компании AMD Inc. Аналогично работают и монитор 608 емкости батареи, и монитор 610 памяти. Монитор 612 сетевых подключений и графика работает непосредственно с устройством связи 140, что позволяет отслеживать все типы подключений, помогая выявить те случаи, когда вредоносные программы скачивают другой вредоносный код из сети или занимаются рассылкой спама. Подобные данные в первую очередь может использовать сетевой экран 212. Монитор 612 сетевых подключений и графика следит за доступом к различным сетям, что используется модулем 130 местонахождения для дальнейшего формирования набора критериев 316 модулем 314 конфигурирования.The processor monitor 606 constantly monitors the load of the processor 110 of the mobile device 100. It is worth noting that the processor monitor is also able to detect the use of energy-saving technologies such as Speedstep® feature from Intel Corporation and Cool P Quiet ™ feature from AMD Inc. Both the battery capacity monitor 608 and the memory monitor 610 work similarly. Monitor 612 network connections and graphics works directly with communication device 140, which allows you to monitor all types of connections, helping to identify cases when malicious programs download other malicious code from the network or are engaged in spamming. Such data can primarily be used by a firewall 212. A network connection and graphics monitor 612 monitors access to various networks, which is used by the location module 130 to further generate a set of criteria 316 by the configuration module 314.

Таким образом, модуль 404 подсчета вычислительных ресурсов имеет данные о самых важных характеристиках устройства: его функциональных возможностях и доступных ресурсах, оставшемся заряде батареи, а также о возможных подключениях к доступным сетям. Подобные данные об аппаратной части учитываются при начальной конфигурации модуля 190 безопасности. В таблице 3 приведены возможные варианты оценки производительности устройств. Подобная оценка, будучи выражена в виде одного числа, основана в первую очередь на мощности процессора 110 и емкости памяти 120 и может быть подсчитана для каждого из устройства из. базы 604 данных характеристик устройств.Thus, the computing resource calculation module 404 has data on the most important characteristics of the device: its functionality and available resources, remaining battery power, and also about possible connections to available networks. Such hardware information is taken into account in the initial configuration of the security module 190. Table 3 shows the possible options for evaluating the performance of devices. A similar estimate, expressed as a single number, is based primarily on the power of the processor 110 and the memory capacity 120 and can be calculated for each of the devices from. a database of 604 device characteristics data.

Таблица 3.Table 3. УстройствоDevice Условная производительностьConditional Performance Устройство 1Device 1 10001000 Устройство 2Device 2 70007000 Устройство 5Device 5 3200032000 Устройство 16Device 16 1800018000

Имея подобные оценки, можно определить тип первоначальной конфигурации модуля 190 безопасности. Более высокая оценка производительности говорит о более мощном процессоре и емкой памяти, что позволяет использовать больше возможностей модуля 190 безопасности. В таблице 4 приведены варианты установки модуля 190 безопасности на мобильное устройство 100 исходя из его оценки. Таким образом, оперируя только одним значением производительности, можно подобрать такой набор компонент модуля 190 безопасности, который лучшим образом подходит под конфигурацию мобильного устройства 100.With such estimates, it is possible to determine the type of initial configuration of the security module 190. A higher performance rating indicates a more powerful processor and capacious memory, which allows you to use more features of the module 190 security. Table 4 shows the installation options for the security module 190 on the mobile device 100 based on its assessment. Thus, operating with only one performance value, it is possible to select a set of components of the security module 190 that best suits the configuration of the mobile device 100.

Таблица 4.Table 4.

ПроизводительностьPerformance Тип установкиtype of instalation <1000<1000 Базовая (Консоль управления, база данных локаций, средство шифрования)Basic (Management Console, location database, encryption tool) 1000-100001000-10000 Улучшенная (Дополнительно антивирус, сетевой экран)Improved (Advanced antivirus, firewall) >10000> 10,000 Полная (Дополнительно модуль восстановления, полные базы данных)Full (Optional recovery module, full databases)

Рассмотрев работу модуля 402 подсчета рисков и модуля 404 подсчета вычислительных ресурсов, можно сформировать список тех факторов, которые влияют на формирование набора критериев 316. В порядке уменьшения значимости можно привести следующий набор:Having examined the operation of the module 402 for calculating risks and the module 404 for calculating computing resources, we can formulate a list of those factors that influence the formation of a set of criteria 316. In order of decreasing significance, we can cite the following set:

заряд батареи;battery charge;

предпочтения пользователя (задаются через модуль 406 использования настроек пользователя);user preferences (defined through module 406 using user settings);

локация (местонахождение);location (location);

установленные приложения;installed applications;

возможные подключения и трафик;possible connections and traffic;

общий уровень угроз.general level of threats.

Стоит отметить, что набор установленных приложений тесно связан с производительностью устройства с точки зрения возможностей обновления баз данных компонент модуля 190 безопасности. На фиг.7А показан алгоритм обновления описания угроз в зависимости от производительности мобильного устройства 100. На этапе 702 происходит обнаружение установленных приложений (например, после установки модуля 190 безопасности на мобильное устройство 100), после чего на этапе 703 происходит выбор типа загрузки описаний угроз. При малой производительности будет выбран вариант 706, когда происходит загрузка описаний только для установленных приложений. В случае более мощного устройства может быть выбран вариант 708, когда загружаются описания угроз для всех приложений такого типа. Например, если у пользователя установлены веб-браузеры Opera и Internet Explorer, дополнительно будут загружены описания и тех угроз, что работают с другими веб-браузерами. Это позволяет улучшить безопасность в том случае, если новые типы угроз, которые раньше работали только с определенным типом веб-браузера, получают возможность использования и других типов. В случае мощного устройства будет выбран вариант 710 полной загрузки баз для всех известных приложений, что позволит быть уверенным в том, что при установке нового приложения, описания угроз уже будут загружены и не потребуется новый анализ. Подобная схема, изображенная на фиг.7А, особенно актуальна в нынешнее время, когда объемы обновлений баз данных могут составлять десятки мегабайт в неделю, и приводить к использованию существенного объема памяти и передаваемого графика.It is worth noting that the set of installed applications is closely related to the performance of the device in terms of updating the database components of the module 190 security. FIG. 7A shows an algorithm for updating threat definitions depending on the performance of mobile device 100. At step 702, installed applications are detected (for example, after installing security module 190 on mobile device 100), after which, at step 703, the type of threat definitions download is selected. At low performance, option 706 will be selected when descriptions are downloaded only for installed applications. In the case of a more powerful device, option 708 may be selected when threat descriptions for all applications of this type are downloaded. For example, if the user has Opera and Internet Explorer web browsers installed, additional descriptions of those threats that work with other web browsers will be downloaded. This allows you to improve security in the event that new types of threats that previously worked only with a certain type of web browser get the opportunity to use other types. In the case of a powerful device, option 710 will be selected to fully load the databases for all known applications, which will ensure that when installing a new application, threat descriptions will already be downloaded and no new analysis will be required. A similar scheme, depicted in figa, is especially relevant at the present time, when the volume of database updates can be tens of megabytes per week, and lead to the use of a significant amount of memory and transmitted schedule.

Как уже говорилось ранее, заряд батареи является самым значимым фактором при формировании набора критериев 316, что в свою очередь напрямую влияет на компоненты модуля безопасности 190. На фиг.7Б. приведена схема отключения различных компонент данного модуля в зависимости от заряда батареи. Как правило, подобная схема начинает работать, когда заряд батареи падает до низких уровней, примерно от 30% или ниже. При постепенной разрядке батареи на этапе 712 в первую очередь отключается возможность использования модуля использования настроек пользователя 406. В одном из вариантов реализации под этим подразумевается выгрузка графического интерфейса пользователя из памяти 120. Это делается для того, чтобы уменьшить нагрузку, которую создает модуль 314 конфигурирования, а действия пользователя через модуль использования настроек пользователя 406 сразу приводят к переоценке набора критериев 316 и последующей смене режима работы модуля 190 безопасности и его компонент.As mentioned earlier, the battery charge is the most significant factor in the formation of a set of criteria 316, which in turn directly affects the components of the security module 190. On figb. The circuit diagram for disabling various components of this module depending on the battery charge is shown. Typically, such a circuit starts to work when the battery charge drops to low levels, from about 30% or lower. When the battery is gradually discharged, at step 712, the ability to use the user settings module 406 is disabled first. In one embodiment, this means unloading the graphical user interface from the memory 120. This is done in order to reduce the load that the configuration module 314 creates, and user actions through the module for using user settings 406 immediately lead to a reassessment of the set of criteria 316 and the subsequent change in the operating mode of the module 190 security and e th component.

Следующим шагом является проверка активного соединения с сервером безопасности 170 на этапе 714. В том случае, если активного соединения нет, то на этапе 716 отключается возможность создавать подобные соединения. Если же есть активное соединение с сервером безопасности 170, то это означает, что пользователь заинтересован в использовании возможностей данного сервера для улучшения собственного уровня безопасности и такое соединение разрывать нельзя. Таким образом, на этапе 718 проверяется работа функции местонахождения и если модуль 130 местонахождения неактивен, то отключается база 312 данных локаций на этапе 720. Если же пользователь активно передвигается и устройство связи 140 регистрирует появление новых сетей, то в таком случае, отключения базы 312 данных локаций не происходит, но минимизируются возможности сетевого экрана 212 и антивируса 216 на этапе 722. При окончательной разрядке батареи происходит отключение возможности создания защищенных соединений (и разрывается текущее соединение с сервером безопасности 170) и отключается база данных локаций 312 на этапе 724. Подобное уменьшение рамок функциональности, с одной стороны, увеличивает уровень риска, но с другой, позволяет сэкономить заряд батареи - в достаточной мере. В зависимости от типа поведения пользователя и его настроек, заданных через модуль 406 использования настроек пользователя, границы отключения функциональности могут быть смещены и в самом крайнем случае никакая функциональность не будет отключена вплоть до полного исчерпания заряда батареи 150.The next step is to check the active connection with the security server 170 at step 714. In the event that there is no active connection, then at step 716 the ability to create such connections is disabled. If there is an active connection to the security server 170, then this means that the user is interested in using the capabilities of this server to improve their own level of security and such a connection cannot be disconnected. Thus, at step 718, the operation of the location function is checked, and if the location module 130 is inactive, the location database 312 is disabled at step 720. If the user is actively moving and the communication device 140 detects the appearance of new networks, then the database 312 is disabled. locations do not occur, but the capabilities of the firewall 212 and antivirus 216 are minimized at step 722. When the battery is completely discharged, the ability to create secure connections is disabled (and the current connection is terminated with the security server 170) and the database of locations 312 is disabled at step 724. Such a reduction in the scope of functionality, on the one hand, increases the level of risk, but on the other hand, it saves battery power to a sufficient extent. Depending on the type of user behavior and its settings specified through the module 406 for using user settings, the boundaries for disabling functionality may be shifted and, in the worst case, no functionality will be disabled until the battery 150 is completely depleted.

До этого момента речь шла об использовании отдельного мобильного устройства 100 и решения всех задач безопасности с использованием его ограниченных ресурсов. Конечно, при возможности использования сервера безопасности 170 есть возможность использования только тонкого клиента 308 и модуля 302 соединения с сервером безопасности, но часто возникают ситуации когда сервер безопасности 170 бывает недоступен или плохое качество связи не позволяет наладить соединение. В таких случаях имеет смысл использовать возможности группы мобильных устройств, которые находятся в пределах досягаемости и которые используют аналогичные модули безопасности 190. На фиг.8А приведена схема работы группы мобильных устройств. Мобильные устройства могут использовать как широковещательные протоколы, так и соединения в рамках одноранговой сети (peer-to-peer) для организации работы, что может быть реализовано с помощью модуля 304 групповой безопасности и модуля 306 координации групповых задач, которые будут более подробно рассмотрены ниже. Как уже говорилось ранее, мобильные устройства 802-810 (аналогичные мобильному устройству 100) могут формировать смешанную сеть. В подобной сети некоторые устройства могут быть связаны между собой с помощью одного стандарта связи (например, Bluetooth), в то время как часть из них может быть связана с другими устройствами через сеть стандарта Wi-Fi. В дальнейшем под устройством будет подразумеваться любое мобильное устройство аналогичное мобильному устройству 100.Until that moment, it was about using a separate mobile device 100 and solving all security problems using its limited resources. Of course, if it is possible to use the security server 170, it is possible to use only the thin client 308 and the connection module 302 to the security server, but often there are situations when the security server 170 is unavailable or poor connection quality does not allow to establish a connection. In such cases, it makes sense to use the capabilities of a group of mobile devices that are within reach and that use similar security modules 190. On figa shows a diagram of the group of mobile devices. Mobile devices can use both broadcast protocols and peer-to-peer connections to organize work, which can be implemented using group security module 304 and group task coordination module 306, which will be discussed in more detail below. As mentioned earlier, 802-810 mobile devices (similar to mobile device 100) can form a mixed network. In such a network, some devices can be interconnected using one communication standard (for example, Bluetooth), while some of them can be connected to other devices via a Wi-Fi standard network. Hereinafter, a device will be understood to mean any mobile device similar to the mobile device 100.

На фиг.8Б приведена база 812 данных устройств, которую содержит мобильное устройство 100. Перед соединением с остальными устройствами в общую сеть, следует учесть уровень доверия к этим устройствам. На - примере, который приведен на фиг.8Б, доверенными устройствами считаются ноутбук жены, мой смартфон и домашний сервер. Подобный уровень доверия мог быть проставлен в том случае, если эти устройства содержат некоторую систему безопасности, аналогичную модулю 190 безопасности, и сама система находится в актуальном состоянии (например, для антивирусного приложения это означает, что загружены последняя версия обновлений и проведены необходимые проверки). Вероятно, доверенные устройства, такие как смартфон Николая или Интернет-устройство Филиппа, могут иметь модуль 190 безопасности, но только в виде тонкого клиента 308 или неполную часть толстого клиента 310. Устройства, связанные с риском или небезопасные, могут вообще не иметь никакого модуля 190 безопасности и на них могут находится разнообразные вредоносные программы, что представляет угрозу для остальных устройств. Формирование подобной базы данных может происходить как автоматически, так и в ручном режиме. Таблица 5 содержит примеры записей в базе данных устройств 812, которая содержит уникальный идентификатор устройства, связанный с ним профиль риска, его вычислительная производительность (мощность) и уровень доверия.On figb shows the database 812 of these devices, which contains the mobile device 100. Before connecting to other devices in a common network, you should consider the level of trust in these devices. In the example shown in FIG. 8B, my wife’s laptop, my smartphone and home server are considered trusted devices. A similar level of trust could be affixed if these devices contain some kind of security system similar to security module 190 and the system itself is up to date (for example, for an antivirus application this means that the latest version of updates has been downloaded and necessary checks have been performed). Most likely, trusted devices, such as Nikolai’s smartphone or Philippe’s Internet device, can have security module 190, but only as a thin client 308 or an incomplete part of thick client 310. Risky or unsafe devices can have no module 190 at all security and they can contain a variety of malicious programs, which is a threat to other devices. The formation of such a database can occur both automatically and in manual mode. Table 5 contains examples of entries in the device database 812, which contains a unique identifier for the device, its associated risk profile, its computing performance (power) and level of confidence.

Таблица 5.Table 5. Идентификатор устройстваDevice id Текущий профиль рискаCurrent risk profile Текущая вычислительная производительностьCurrent computing performance Уровень доверияTrust level S/NABCDS / NABCD AF6G44h$ssdAF6G44h $ ssd 2500025,000 ДоверенноеEntrusted S/N BCDES / N BCDE DL#h6h33j4DL # h6h33j4 1500015,000 Вероятно доверенноеProbably Trusted

Идентификатор выставляется каждому новому устройству в первый раз при попытке коммутации с мобильным устройством 100. Уровень риска может меняться со временем, так как это может быть связано с обновлением баз данных модуля 190 безопасности, так и с типом его установки (тонкий. клиент 308 или толстый клиент 310). Текущую вычислительную мощность можно получить от индикатора 602 типа устройства, а уровень доверия напрямую связан с текущим профилем риска.The identifier is set for each new device for the first time when trying to connect with the mobile device 100. The risk level may change over time, as this may be related to updating the databases of the security module 190 and the type of installation (thin. 308 client or thick client 310). Current computing power can be obtained from the device type indicator 602, and the level of confidence is directly related to the current risk profile.

Фиг.8В иллюстрирует различные группы мобильных устройств в различных локациях (местонахождениях), которые условно показаны как "дом", "общественное место", "работа" (в дальнейшем будем использовать без кавычек). В течение дня пользователь с мобильным устройством 100 может побывать, например, в трех таких местах. Дома или на работе для решения задач безопасности можно использовать сервер безопасности 170, не используя для этого ресурсы других вычислительных устройств. Однако в тех местах, где доступ к серверу безопасности 170 затруднен, использование ресурсов других устройств может быть очень полезным. В качестве примера можно привести тот случай, когда у пользователя достаточно мощный ноутбук, который используется как прокси-сервер для выхода в Интернет со своего другого устройства - смартфона. Для выполнения подобных задач требуется выполнение трех условий: (а) наличие хотя бы одного устройства, которое способно выполнять задачи безопасности; (б) достаточная производительность такого устройства для выполнения нужных задач; (в) отсутствие возможности или ресурсов выполнения таковых задач на мобильном устройстве 100.Figv illustrates various groups of mobile devices in different locations (locations), which are conventionally shown as "home", "public place", "work" (in the future we will use without quotes). During the day, a user with a mobile device 100 can visit, for example, three such places. At home or at work, security server 170 can be used to solve security problems without using the resources of other computing devices. However, in places where access to the security server 170 is difficult, the use of resources of other devices can be very useful. An example is the case when the user has a sufficiently powerful laptop that is used as a proxy server to access the Internet from his other device - a smartphone. To perform such tasks, three conditions must be met: (a) the presence of at least one device that is capable of performing security tasks; (b) sufficient performance of such a device to perform the necessary tasks; (c) the lack of ability or resources to perform such tasks on the mobile device 100.

Перед тем как перейти к рассмотрению схемы выполнения задач безопасности на других устройствах, сначала будет приведена схема добавления нового устройства в группу на фиг.8Г. На этапе 820 происходит обнаружение нового устройства или сети. В качестве следующего шага на этапе 822 происходит изоляция группы от нового устройства или сети перед тем, как на этапе 824 происходит их проверка. В качестве самой простой проверки может служить запрос о типе устройства и версии используемого модуля 190 безопасности (если таковой имеется). После этого на этапе 826 происходит определение, являются ли безопасными новое устройство или сеть. В случае положительного ответа новое устройство или сеть будут - добавлены в группу как доверенные на этапе 828. В ином случае, на этапе 830 происходит увеличение уровня защиты группы и дальнейшее включение нового устройства или сети как небезопасных на этапе 832.Before proceeding to consider the scheme of performing security tasks on other devices, first, a diagram of adding a new device to the group in FIG. At block 820, a new device or network is detected. As a next step, at 822, the group is isolated from the new device or network before being verified at 824. As a simplest check, a query about the device type and version of the security module 190 used (if any) can be used. After that, at step 826, a determination is made whether the new device or network is secure. If the answer is yes, the new device or network will be added to the group as trusted at step 828. Otherwise, at step 830, the level of protection of the group will increase and the new device or network will be further turned on as unsafe at step 832.

После того, как были определены устройства в группе, происходит алгоритм выборки задач безопасности одним из устройств группы, как это показано на фиг.8Д. На этапе 840 определяется хватает ли ресурсов устройству для выполнения задачи и в случае положительного ответа мобильное устройство самостоятельно выполняет задачу на этапе 842. При отсутствии достаточных ресурсов на этапе 844 происходит поиск активных устройств в группе. Если никаких устройств найдено не будет, то пользователь будет оповещен об этом на этапе 846. При наличии активных устройств на этапе 848 задача будет помещена в базу данных задач, которая подробно рассмотрена на фиг.9А. База данных задач содержит все задачи, которые требуется выполнить устройствам в группе. Например, если в группе находятся три устройства и для первого и третьего устройства требуется выполнить одну и две задачи соответственно, то в базе данных задач будет находиться три задачи. На этапе 850 происходит обновление базы данных задач на устройствах группы. Подобная синхронизация требуется, чтобы каждое устройство в группе имело актуальный список задач. Обновление базы данных наступает при появлении новой задачи, выполнении задачи или при других изменениях базы данных задач. На этапе 852 происходит ожидание выборки задачи одним из устройств группы. Более подробное рассмотрение критериев возможности такой выборки будет дано на фиг.9Б. Если одно из устройств выбрало задачу из базы данных задач, то на этапе 854 проверяется начало ли устройство ее выполнение. Соответственно, на этапе 856 алгоритм закончится в тот момент, когда устройство закончит выполнение задачи. В том случае, если ни одно из устройств не выбрало задачу для выполнения, то на этапе 858 проверяется лимит ожидания для задачи. Подобный шаг нужен для того, чтобы низкоприоритетные, но при этом ресурсоемкие задачи не оказывались в. итоге невыполненными. При превышении лимита ожидания, на этапе 860 повышается приоритет задачи и алгоритм возвращается к этапу 852.After the devices in the group have been identified, an algorithm for selecting security tasks by one of the devices in the group occurs, as shown in Fig. 8E. At step 840, it is determined whether the device has enough resources to complete the task and, if the answer is yes, the mobile device performs the task on its own at step 842. If there are not enough resources, at step 844, the active devices in the group are searched. If no devices are found, then the user will be notified about this at step 846. If there are active devices at step 848, the task will be placed in the task database, which is described in detail in FIG. 9A. The task database contains all the tasks that devices in the group need to perform. For example, if there are three devices in a group and for the first and third devices you need to perform one and two tasks, respectively, then there will be three tasks in the task database. At block 850, the task database is updated on the group devices. Such synchronization is required so that each device in the group has an up-to-date list of tasks. The database update occurs when a new task appears, when a task is completed, or when other changes to the task database occur. At step 852, a task is selected by one of the group devices. A more detailed consideration of the criteria for the possibility of such a selection will be given in figv. If one of the devices selected a task from the task database, then at step 854 it is checked whether the device has started its execution. Accordingly, at step 856, the algorithm ends when the device completes the task. In the event that none of the devices has selected a task for execution, then at step 858, the wait limit for the task is checked. A similar step is needed so that low-priority, but at the same time resource-intensive tasks do not end up in. ultimately unfulfilled. If the waiting limit is exceeded, at step 860 the priority of the task is increased and the algorithm returns to step 852.

Фиг.9А иллюстрирует пример реализации базы 902 данных задач. Подобная база данных задач установлена на каждом мобильном устройстве в группе, которое располагает модулем 190 безопасности. Все задачи имеют различный уровень приоритета, который определяет очередность их выполнения. Каждая задача также имеет собственный таймер, который определяет сколько эта задача находится в базе данных. При описании алгоритма на фиг.8Д было показано, что при превышении лимита ожидания, у задачи повышается приоритет. Например, при появлении нового устройства и определении уровня безопасности при обмене данных с этим устройством, первоочередной задачей (и соответственно, с наибольшим приоритетом) станет задача проверки этого устройства. Задача проверки файлов может быть отнесена к низкоприоритетным, так как не является срочной и может быть выполнена позднее. Помимо этого каждое устройство имеет собственную производительность и уровень доступности. Производительность устройства можно оценить, используя его собственный индикатор 602 типа устройства. Уровень доступности показывает, насколько доступными являются ресурсы устройства. Сам уровень доступности можно выразить в процентах, которые являются усредненной величиной свободных ресурсов устройства, данные о которых можно получить от монитора 606 процессора (процессор является самым важным ресурсом), монитора 608 емкости батареи, монитора 610 памяти и монитора 612 сетевых подключений и графика. Тогда реальную производительность устройства в текущий момент времени можно выразить через формулу:9A illustrates an example implementation of a task database 902. A similar task database is installed on each mobile device in the group that has security module 190. All tasks have a different priority level, which determines the sequence of their implementation. Each task also has its own timer, which determines how much this task is in the database. When describing the algorithm in FIG. 8D, it was shown that when the waiting limit is exceeded, the task has priority. For example, when a new device appears and determines the security level when exchanging data with this device, the priority task (and, accordingly, with the highest priority) will be the task of checking this device. The task of checking files can be classified as low priority, as it is not urgent and can be performed later. In addition, each device has its own performance and availability level. Device performance can be estimated using its own device type indicator 602. The availability level shows how available the device’s resources are. The availability level itself can be expressed as a percentage, which is the average value of the device’s free resources, data about which can be obtained from the processor monitor 606 (the processor is the most important resource), battery capacity monitor 608, memory monitor 610, and network connection and graph monitor 612. Then the actual performance of the device at the current time can be expressed through the formula:

[Реальная производительность]=[Производительность устройства]*[Уровень доступности][Real performance] = [Device performance] * [Availability level]

Пример соотнесения нагрузки к требуемой производительности показан в таблице 6.An example of correlation of the load to the required performance is shown in table 6.

Таблица 6.Table 6. НагрузкаLoad Требуемая производительностьRequired performance Уровень доступности (%)Availability Level (%) НизкаяLow <5000<5000 9090 СредняяAverage 5000-150005000-15000 7070 ВысокаяHigh >15000> 15000 50fifty

Значения требуемой производительности соответствуют значениям производительности, приведенным в таблице 3. Также приведен уровень доступности ресурсов устройства, требуемых для выполнения задачи с соответствующей нагрузкой. Это означает, что для задач с низкой нагрузкой требуются не самые мощные устройства, но не выполняющие лишних задач.The values of the required performance correspond to the performance values given in table 3. The level of availability of the device resources required to perform the task with the corresponding load is also given. This means that tasks with low load require not the most powerful devices, but do not perform unnecessary tasks.

Рассмотрим более подробно процесс выборки задачи устройством группы, что проиллюстрировано на фиг.9Б. На этапе 910 проверяется, готово ли устройство выполнять задачи группы. Алгоритм заканчивается на этапе 912 в том случае, если устройство не может выполнять таковые задачи. Это может быть обусловлено отказом пользователя на использование его устройства для решения задач группы или недостаточной производительностью. Если устройство готово выполнять задачи, то на этапе 914 начинается выборка задач из базы данных задач 902. На этапе 916 выборка начинается с задач с наиболее высоким приоритетом, затем, на этапе 918, проверяется требуемая нагрузка выбранной задачи и если на этапе 920 хватает производительности устройства для ее выполнения, то задача удаляется из базы данных задач на этапе 922 (база данных задач также обновляется на всех остальных устройствах) и начинается ее выполнение на этапе 924. Если производительности устройства не хватает для данной задачи, то на этапе 926 проверяется, остались ли еще задачи с более низким приоритетом и процесс выборки возвращается на этап 916. Если задач более не осталось, то устройство переходит в режим ожидания обновления базы данных задач на этапе 928.Let us consider in more detail the process of selecting a task by a group device, which is illustrated in Fig. 9B. At step 910, it is checked whether the device is ready to perform group tasks. The algorithm ends at step 912 in the event that the device cannot perform such tasks. This may be due to a user’s refusal to use his device to solve group tasks or insufficient performance. If the device is ready to perform tasks, then at step 914 the selection of tasks from the task database 902 begins. At step 916, the selection starts with the tasks with the highest priority, then, at step 918, the required load of the selected task is checked and if at step 920 there is enough device performance for its implementation, the task is deleted from the task database at step 922 (the task database is also updated on all other devices) and its execution begins at step 924. If the device performance is not enough for this task, then at step 926, it is checked whether there are still tasks with a lower priority and the selection process returns to step 916. If there are no more tasks left, the device goes into standby mode for updating the task database at step 928.

Стоит отметить, что не все устройства в группе могут выполнять задачи безопасности, что связано в первую очередь с базой данных устройств 812 и уровнем доверия для каждого устройства. В качестве примера для фиг.8Б можно сказать, что задачу выполнения проверки личных папок на мобильном устройстве 100 можно доверить только доверенным устройствам, т.е. ноутбуку жены, смартфону самого владельца мобильного устройства 100 и домашнему серверу. На фиг.9 В описан алгоритм проверки критериев доверия. На этапе 930 задается уровень доверия для каждой задачи. Это происходит автоматически в зависимости от типа выполняемой задачи: если задачи включает фильтрацию графика или проверку данных на другом устройстве, то для такой задачи потребуется высокий уровень доверия (т.е. устройство должно будет быть доверенным), в то время как задача проверки нового устройства в группе может быть выполнена устройством и не входящим в список доверенных. На этапе 932 задача помещается в базу 902 данных задач, которая затем обновляется на всех устройствах в группе на этапе 934. Затем происходит ожидание выборки задачи одним из устройств в группе на этапе 936 и если устройство удовлетворяет критериями доверия (такая проверка предусмотрена на этапе 938), то в дальнейшем проверяется факт начала выполнения задачи на этапе 940, что приводит к окончанию алгоритма на этапе 942, который завершается с окончанием выполнения задачи. В других случаях устройство может не подойти по критерию доверия и тогда задача не будет исполняться на этом устройстве или же у нее будет превышен лимит ожидания на этапе 944, что приведет к повышению ее приоритета на этапе 946. Работу подобного алгоритма можно описать с - помощью простого примера. Если пользователю потребуется провести ряд важных операций в Интернет (например, зайти на сайт банка), то в таком случае он будет ожидать того момента, когда фильтрацию графика сможет осуществить доверенное устройство, свободное от других задач.It is worth noting that not all devices in the group can perform security tasks, which is primarily associated with the database of devices 812 and the level of trust for each device. As an example for FIG. 8B, it can be said that the task of checking personal folders on the mobile device 100 can only be entrusted to trusted devices, i.e. the wife’s laptop, the smartphone of the owner of the mobile device 100 and the home server. Fig. 9B describes an algorithm for verifying confidence criteria. At block 930, a confidence level for each task is set. This happens automatically depending on the type of task being performed: if the task includes filtering the schedule or checking data on another device, then such a task will require a high level of trust (i.e. the device will have to be trusted), while the task of checking the new device in a group can be executed by a device and not included in the list of trusted ones. At step 932, the task is placed in the task database 902, which is then updated on all devices in the group at step 934. Then, a task is selected by one of the devices in the group at step 936 and if the device meets the trust criteria (such a check is provided at step 938) , then the fact of the beginning of the task at step 940 is checked, which leads to the end of the algorithm at step 942, which ends when the task is completed. In other cases, the device may not meet the confidence criterion and then the task will not be executed on this device or it will have exceeded the expectation limit at step 944, which will increase its priority at step 946. The operation of such an algorithm can be described using - using a simple an example. If the user needs to carry out a number of important operations on the Internet (for example, go to the bank’s website), then he will wait for the moment when the schedule can be filtered by a trusted device that is free from other tasks.

Далее, на фиг.10А-10Д будут приведены примеры использования группы для решения различных задач безопасности. Например, с помощью группы можно более гибко настроить обновление баз данных компонент модуля безопасности 190, что показано на фиг.10А. На этапе 1002 проверяется доступность сервера обновлений. Часто бывает, что новые вредоносные программы для эффективной работы блокируют возможность скачивания обновления баз данных компонент модуля 190 безопасности, что приводит к устареванию его баз данных и снижению эффективности защиты. Еще одним вариантом недоступности сервера обновлений может быть DoS-атака. Таким образом, если проверка доступности сервера обновлений на этапе 1004 является успешной, то обновления скачиваются в штатном режиме на этапе 1006. Если же сервер обновлений недоступен, то на этапе 1008 проверяется доступность последних версий обновления на устройствах группы. В том случае, если обнаружилось, что на них имеются более поздние версии баз, то на этапе 1010 произойдет загрузка доступных обновлений. В дальнейшем на этапе 1012 проверяется время последнего обновления баз, что может повлечь повышение уровня проактивной защиты, т.е. увеличение уровня работы таких модулей как модуль 220 предотвращения вторжений, антивирус 216 или сетевой экран 212.Next, on figa-10D will be examples of the use of the group to solve various security problems. For example, using the group, you can more flexibly configure the database update of the components of the security module 190, as shown in figa. At step 1002, the availability of the update server is checked. It often happens that new malicious programs for effective operation block the ability to download database updates of components of security module 190, which leads to obsolescence of its databases and a decrease in protection efficiency. Another option for the unavailability of the update server may be a DoS attack. Thus, if the update server availability check at step 1004 is successful, then the updates are downloaded normally at step 1006. If the update server is unavailable, then at step 1008, the availability of the latest update versions on the group devices is checked. In the event that it was discovered that they have later versions of the databases, then at step 1010, the available updates will be downloaded. Subsequently, at step 1012, the time of the last database update is checked, which may lead to an increase in the level of proactive protection, i.e. an increase in the level of operation of such modules as intrusion prevention module 220, antivirus 216, or firewall 212.

фиг.10Б показывает вариант работы группы при обнаружении новой угрозы. Если одно из мобильных устройств обнаружило новую угрозу на этапе 1020, то на этапе 1022 оно формирует описание (возможный адрес ссылки, по которому эта угроза находится, хеш файла вредоносной программы и др.) и отправляет его остальным устройствам группы на этапе 1024. Таким образом, если один из пользователей попал на фишинговый сайт и адрес сайга был заблокирован, то ссылка на этот сайг автоматически будет.передана на остальные устройства, что позволяет избежать потери данных даже устройствам с тонким клиентом.figb shows a variant of the group when a new threat is detected. If one of the mobile devices detected a new threat at step 1020, then at step 1022 it generates a description (the possible address of the link where this threat is located, the hash of the malware file, etc.) and sends it to the other devices of the group at step 1024. Thus If one of the users got to the phishing site and the saiga address was blocked, then the link to this saiga will be automatically transferred to other devices, which avoids data loss even to devices with a thin client.

Фиг.10В иллюстрирует проверку исполняемого файла перед его запуском на одном из устройств группы. На этапе 1030 определяется запуск процесса из неизвестного файла и на этапе 1032 делается проверка по достаточности ресурсов для проверки неизвестного процесса. Если ресурсов устройства хватает, то на этапе 1034 устройство изолируется до окончания проверки. В случае, если ресурсов не хватает, то проверка пройдет на этапе 1036 на другом устройстве с достаточным уровнем производительности. В качестве примера можно привести следующий вариант развития событий:10B illustrates checking an executable file before running it on one of the devices of the group. At 1030, a start of the process from an unknown file is determined, and at 1032 a check is made on the adequacy of resources to verify the unknown process. If the device’s resources are sufficient, then at 1034, the device is isolated until the verification is complete. If there are not enough resources, then the check will pass at step 1036 on another device with a sufficient level of performance. An example is the following scenario:

пользователь скачал неизвестный файл, и проверка по сигнатурам не дала результатов, после чего при недостатке ресурсов задача по проверке этого файла будет помещена в базу данных задач 902.the user downloaded an unknown file, and the signature check did not give results, after which, if there are not enough resources, the task of checking this file will be placed in the task database 902.

Фиг.10Г иллюстрирует схожий случай, связанный с обнаружением нового хранилища данных одним из устройств группы. Самым простым примером может служить использование новой карты памяти на мобильном устройстве. На этапе 1042 происходит проверка достаточности ресурсов для проверки хранилища данных. Если ресурсов хватает, то устройство будет изолировано от группы до окончания проверки на этапе 1044. В ином случае, на этапе 1046 проверка будет произведена другим устройством, например, используя проверку всех файлов в хранилище данных по сигнатурам.10G illustrates a similar case associated with the discovery of a new data store by one of the devices of the group. The simplest example is the use of a new memory card on a mobile device. At 1042, a sufficiency check is performed to verify the data store. If there are enough resources, the device will be isolated from the group until the verification is completed at step 1044. Otherwise, at step 1046, the verification will be performed by another device, for example, using the verification of all files in the signature data storage.

Фиг.10Д показывает изменение уровня доверенности устройства в том случае, если была обнаружена новая уязвимость, связанная с приложениями, операционной системой или аппаратной частью одного из устройств. На этапе 1050 происходит обнаружение новой уязвимости на одном из устройств группы, после чего на этапе 1052 это устройство будет обозначено устройством более высокого риска (например, из доверенных будет переведено в связанные с риском). На других устройствах также будет повышен уровень безопасности на этапе 1054. После выполнения загрузки обновления для закрытия уязвимости на этапе 1056, уровень безопасности на. устройствах будет понижен на этапе 1058 и устройство будет назначено устройством с более низким риском на этапе 1060 (например, опять станет доверенным).Fig. 10D shows a change in the power of attorney of the device in the event that a new vulnerability has been discovered related to the applications, operating system or hardware of one of the devices. At 1050, a new vulnerability is detected on one of the devices in the group, after which at 1052 this device will be designated as a higher-risk device (for example, from trusted ones it will be transferred to those associated with risk). On other devices, the security level will also be increased at block 1054. After the update is downloaded to close the vulnerability at block 1056, the security level will be at. devices will be lowered at 1058 and the device will be assigned to a lower risk device at 1060 (for example, will again be trusted).

В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящей полезной модели, определенной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящей полезной модели, согласующиеся с сущностью и объемом настоящей полезной модели.In conclusion, it should be noted that the information given in the description are only examples that do not limit the scope of this utility model defined by the formula. The person skilled in the art will understand that there may be other options for implementing this utility model, consistent with the nature and scope of this utility model.

Claims (7)

1. Система безопасности мобильных устройств, которая включает:1. The security system of mobile devices, which includes: модуль безопасности, связанный с модулем конфигурирования, при этом модуль безопасности предназначен для выполнения задач безопасности на мобильном устройстве и передачи информации, связанной с задачами безопасности, на другие мобильные устройства;the security module associated with the configuration module, while the security module is designed to perform security tasks on a mobile device and transfer information related to security tasks to other mobile devices; упомянутый модуль конфигурирования предназначен для настройки модуля безопасности в зависимости от данных, полученных от связанных с модулем конфигурирования модуля подсчета рисков и модуля подсчета вычислительных ресурсов;said configuration module is intended to configure a security module depending on data received from the risk calculation module and the computing resource calculation module associated with the configuration module; упомянутый модуль подсчета рисков предназначен для определения рисков, связанных с безопасностью мобильного устройства;said risk calculation module is intended to determine risks associated with the security of a mobile device; упомянутый модуль подсчета вычислительных ресурсов предназначен для определения используемых аппаратных ресурсов мобильного устройства.said computing resource calculation module is for determining the used hardware resources of a mobile device. 2. Система по п.1, в которой задачами безопасности являются:2. The system according to claim 1, in which the security objectives are: а) предотвращение попадания нежелательной информации на мобильное устройство;a) preventing unwanted information from reaching the mobile device; б) обнаружение и удаление нежелательной информации на мобильном устройстве;b) the detection and removal of unwanted information on a mobile device; в) предотвращение угроз.c) prevention of threats. 3. Система по п.1, в которой в состав модуля безопасности входят:3. The system according to claim 1, in which the security module includes: а) сетевой экран;a) firewall; б) фильтр сообщений;b) message filter; в) антивирус;c) antivirus; г) модуль восстановления;d) recovery module; д) модуль предотвращения вторжений.e) intrusion prevention module. 4. Система по п.1, в которой в состав модуля безопасности входят:4. The system according to claim 1, in which the security module includes: а) модуль соединения с сервером безопасности, предназначенный для передачи данных для исполнения задач безопасности на удаленном компьютере;a) a module for connecting to a security server, designed to transfer data to perform security tasks on a remote computer; б) модуль групповой безопасности, предназначенный для определения уровня безопасности в составе группы;b) a group security module designed to determine the level of security in a group; в) модуль координации групповых задач, предназначенный для выбора и определения задач безопасности для выполнения на мобильных устройствах.c) a module for coordinating group tasks, designed to select and define security tasks to be performed on mobile devices. 5. Система по п.3, в которой группой считается набор мобильных устройств, объединенных в смешанную сеть и имеющих возможность безопасной передачи данных между собой.5. The system according to claim 3, in which the group is a set of mobile devices connected in a mixed network and having the ability to transfer data safely among themselves. 6. Система по п.1, в которой модуль подсчета рисков содержит:6. The system of claim 1, wherein the risk calculation module comprises: а) модуль отслеживания поведения пользователя, предназначенный для определения соответствия поведения пользователя рискам, связанным с безопасностью мобильного устройства;a) a module for tracking user behavior, designed to determine whether user behavior matches the risks associated with the security of the mobile device; б) модуль отслеживания событий безопасности, предназначенный для записи всех событий, связанных с безопасностью мобильного устройства;b) a security event tracking module designed to record all events related to the security of a mobile device; в) модуль анализа приложений, предназначенный для анализа приложений, установленных на мобильном устройстве;c) an application analysis module for analyzing applications installed on a mobile device; г) модуль местонахождения, предназначенный для определения местонахождения мобильного устройства;d) a location module designed to determine the location of a mobile device; д) базу данных локаций, предназначенную для определения соответствия уровня безопасности определенной географической локации.e) a database of locations designed to determine whether a security level matches a specific geographic location. 7. Система по п.1, в которой модуль подсчета вычислительных ресурсов использует следующие данные об аппаратных ресурсах мобильного устройства:7. The system according to claim 1, in which the computing resources calculation module uses the following data about the hardware resources of the mobile device: а) данные о заряде батареи мобильного устройства;a) data on the battery charge of the mobile device; б) данные о частоте использования процессора мобильного устройства;b) data on the frequency of use of the processor of the mobile device; в) данные о типе мобильного устройства;c) data on the type of mobile device; г) данные о свободной памяти мобильного устройства;d) data on the free memory of the mobile device; д) данные о сетевых подключениях мобильного устройства.
Figure 00000001
e) data on network connections of the mobile device.
Figure 00000001
RU2010119567/07U 2010-05-18 2010-05-18 SYSTEM TO ENSURE GENERAL SAFETY OF MOBILE DEVICES RU108896U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2010119567/07U RU108896U1 (en) 2010-05-18 2010-05-18 SYSTEM TO ENSURE GENERAL SAFETY OF MOBILE DEVICES

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2010119567/07U RU108896U1 (en) 2010-05-18 2010-05-18 SYSTEM TO ENSURE GENERAL SAFETY OF MOBILE DEVICES

Publications (1)

Publication Number Publication Date
RU108896U1 true RU108896U1 (en) 2011-09-27

Family

ID=44804493

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010119567/07U RU108896U1 (en) 2010-05-18 2010-05-18 SYSTEM TO ENSURE GENERAL SAFETY OF MOBILE DEVICES

Country Status (1)

Country Link
RU (1) RU108896U1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2494448C1 (en) * 2012-02-24 2013-09-27 Закрытое акционерное общество "Лаборатория Касперского" Using protected device for provision of secure data transfer in insecure networks
RU2598337C2 (en) * 2014-12-19 2016-09-20 Закрытое акционерное общество "Лаборатория Касперского" System and method of selecting means of interception of data transmitted over network
RU2622882C1 (en) * 2016-05-20 2017-06-20 Акционерное общество "Лаборатория Касперского" System and method of assigning connection security level
RU2626337C1 (en) * 2016-02-18 2017-07-26 Акционерное общество "Лаборатория Касперского" Method of detecting fraudulent activity on user device
RU2628924C1 (en) * 2016-05-20 2017-08-22 Акционерное общество "Лаборатория Касперского" System and method of data protection, while the mobile device is interacting with computer

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2494448C1 (en) * 2012-02-24 2013-09-27 Закрытое акционерное общество "Лаборатория Касперского" Using protected device for provision of secure data transfer in insecure networks
RU2598337C2 (en) * 2014-12-19 2016-09-20 Закрытое акционерное общество "Лаборатория Касперского" System and method of selecting means of interception of data transmitted over network
US10172004B2 (en) 2014-12-19 2019-01-01 AO Kaspersky Lab System and method for rules-based selection of network transmission interception means
RU2626337C1 (en) * 2016-02-18 2017-07-26 Акционерное общество "Лаборатория Касперского" Method of detecting fraudulent activity on user device
RU2622882C1 (en) * 2016-05-20 2017-06-20 Акционерное общество "Лаборатория Касперского" System and method of assigning connection security level
RU2628924C1 (en) * 2016-05-20 2017-08-22 Акционерное общество "Лаборатория Касперского" System and method of data protection, while the mobile device is interacting with computer

Similar Documents

Publication Publication Date Title
US10979391B2 (en) Cyber threat attenuation using multi-source threat data analysis
US9552478B2 (en) Team security for portable information devices
US10601860B2 (en) Application platform security enforcement in cross device and ownership structures
US8635661B2 (en) System and method for enforcing a security policy on mobile devices using dynamically generated security profiles
US7584508B1 (en) Adaptive security for information devices
US8370946B2 (en) Self-delegating security arrangement for portable information devices
US9119017B2 (en) Cloud based mobile device security and policy enforcement
US7814543B2 (en) System and method for securing a computer system connected to a network from attacks
RU2453917C1 (en) System and method for optimising execution of antivirus tasks in local area network
US9055090B2 (en) Network based device security and controls
US8631488B2 (en) Systems and methods for providing security services during power management mode
RU2477520C1 (en) System and method for device configuration-based dynamic adaptation of antivirus application functional
CN105074718A (en) On-line behavioral analysis engine in mobile device with multiple analyzer model providers
WO2013059131A1 (en) System and method for whitelisting applications in a mobile network environment
WO2013142573A1 (en) System and method for crowdsourcing of mobile application reputations
KR20080113087A (en) System for enforcing security policies on mobile communications devices
CN109639648B (en) Acquisition strategy generation method and system based on acquired data abnormity
CN103905416A (en) System and method for providing network security to mobile devices
EP2316230B1 (en) System and method for a wpan firewall
RU108896U1 (en) SYSTEM TO ENSURE GENERAL SAFETY OF MOBILE DEVICES
RU101231U1 (en) MOBILE COMPUTER DEVICE SECURITY MANAGEMENT SYSTEM
EP2207322B1 (en) Adaptive security for information devices
EP2207323B1 (en) Adaptive security for portable information devices
AU2012241073B2 (en) System and method for providing network security to mobile devices
Kukielka Evaluating the Effectiveness of Context-Based Security for Mobile Devices