RU179369U1 - Система адаптивного управления пакетом антивирусных сканеров - Google Patents

Система адаптивного управления пакетом антивирусных сканеров Download PDF

Info

Publication number
RU179369U1
RU179369U1 RU2017129638U RU2017129638U RU179369U1 RU 179369 U1 RU179369 U1 RU 179369U1 RU 2017129638 U RU2017129638 U RU 2017129638U RU 2017129638 U RU2017129638 U RU 2017129638U RU 179369 U1 RU179369 U1 RU 179369U1
Authority
RU
Russia
Prior art keywords
virus
input
blocks
switch
antivirus
Prior art date
Application number
RU2017129638U
Other languages
English (en)
Inventor
Сергей Николаевич Павликов
Валерия Юрьевна Коломеец
Евгений Евгеньевич Котович
Анастасия Константиновна Стволовая
Леонид Викторович Степанушкин
Виталий Викторович Динкилакер
Original Assignee
Федеральное государственное бюджетное образовательное учреждение высшего образования "Владивостокский государственный университет экономики и сервиса" (ВГУЭС)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное бюджетное образовательное учреждение высшего образования "Владивостокский государственный университет экономики и сервиса" (ВГУЭС) filed Critical Федеральное государственное бюджетное образовательное учреждение высшего образования "Владивостокский государственный университет экономики и сервиса" (ВГУЭС)
Priority to RU2017129638U priority Critical patent/RU179369U1/ru
Application granted granted Critical
Publication of RU179369U1 publication Critical patent/RU179369U1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Abstract

Полезная модель относится к области защиты информации и оптимизации режимов функционирования программного обеспечения и может быть использована в домашних персональных компьютерах, серверах, а также в ЭВМ, применяемых на производстве. Система включает антивирусные блоки, модуль обнаружения антивирусных систем, блок принятия общего решения, блоки принятия коллективного решения, блок управления и коммутаторы. Управляющие сигналы, сформированные с учетом частных решений, размещенных по строкам и столбцам матрицы антивирусных блоков, поступают в блоки принятия коллективного решения, с выхода которых информация передается в блок принятия общего решения, который соединен с блоком управления. Блок управления адаптирует процесс принятия решения к особенностям вируса с учетом результативности антивирусных программ с различными порогами принятия решений и при необходимости через модуль антивирусных программ меняет антивирусные программы в антивирусных блоках и осуществляет подключение, отключение и настройку глубины сканирования. При поступлении на вход нового вируса система проводит многоуровневое сканирование разными АВП, при работе с известным вирусом блок управления назначает вид антивирусных программ и глубину сканирования, исходя из предыдущего опыта работы устройства. Технический результат - повышение эффективности проверки безопасности входного трафика и увеличение надежности антивирусной защиты за счет коллективного принятия решения об обнаружении множеством различных антивирусных программ (сканеров) при одновременном снижении объема вычислительных затрат. 2 ил.

Description

Полезная модель относится к области защиты информации и оптимизации режимов функционирования программного обеспечения и может быть использована в персональных компьютерах, серверах, а также ЭВМ, применяемых на производстве.
На текущий момент ни одна из известных антивирусных программ не может гарантировать абсолютную надежность. Наиболее рациональным является применение системы антивирусных программ, способных совместно принимать коллективное решение и поощрять или наказывать весовыми коэффициентами частные решения при выработке общего решения.
Известен способ и система обнаружения и удаления компьютерных вирусов, внедренных в присоединенные объекты электронной почты (заявка RU №99106780, МПК G06F 12/16, опубл. 2001.02.10) с использованием антивирусного агента, содержащего средства установки временного периода сканирования; средства для просмотра почтового сервера с целью получения списка объектов, присоединенных к сообщениям электронной почты, средства для пересылки каждого присоединенного объекта из указанного списка в антивирусный детекторный блок, а также средства для повторного присоединения каждого объекта к сообщениям электронной почты, и система, в которой указанный агент обеспечивает сопряжение между системой обслуживания сообщений и множеством различных антивирусных блоков. Известный способ и система не обеспечивают достаточной надежности обнаружения вируса, что обусловлено фиксированным от запуска к запуску значением периода сканирования, отсутствием учета интенсивности вирусных атак.
Известно внешнее устройство хранения данных для временного подсоединения к компьютеру (US 2010241875, МПК G06F 12/14, опубл. 2010.09.23), одна часть которого допускает только чтение хранящейся в ней информации и содержит считывающую программа, определяющую наличие антивирусного программного обеспечения, установленного на хост-компьютере, другая часть предназначена для чтения-записи. Благодаря используемому коммуникатору компьютер воспринимает эти две части как два самостоятельных устройства. При подсоединении известного внешнего устройства к хост-компьютеру автоматически запускается программа обнаружения антивирусного программного обеспечения. Внешнее устройство снабжено контроллером доступа к его второй части, предусматривающей чтение-запись, который при получении от программы, определяющей наличие антивирусного программного обеспечения, подтверждения, что оно его обнаружено, разрешает запись. Недостатком известного технического решения является обеспечение информационной безопасности только внешнего носителя данных, а не любого защищаемого объекта.
Наиболее близкой к заявляемому техническому решению является система адаптивного управления пакетом антивирусных сканеров (RU 2457533, МПК G06F 12/16, опубл. 2012.07.27), содержащая множество различных антивирусных блоков, которое содержит, по крайней мере, один антивирусный блок и модуль обнаружения антивирусных систем, блок сбора информации о центре управления и подсистеме сканирования в модуле обнаружения антивирусной системы, причем она дополнительно снабжена модулем определения характеристик антивирусного сканера, модулем оценки уровня информационной безопасности, модулем вычисления оптимального значения периода запуска антивирусного сканера, модулем запланированного запуска процесса сканирования и ведения статистических данных.
Недостатком известной системы является недостаточная надежность обнаружения вируса, обусловленная тем, что антивирусные программы конфликтуют друг с другом, при этом отсутствует механизм адаптации их работы из-за отсутствия учета результатов обнаружения вируса отдельными антивирусными программами (АВП).
Задачей полезной модели является создание системы адаптивного управления пакетом антивирусных сканеров, обеспечивающей эффективную проверку безопасности входного трафика и надежную антивирусную защиту от внешних вредоносных продуктов за счет выработки общего решения на базе коллективных решений об обнаружении, принимаемых с использованием множества частных решений различных антивирусных программ (сканеров).
Техническим результатом предлагаемой системы является повышение эффективности проверки безопасности входного трафика и увеличение надежности антивирусной защиты при одновременном снижении объема вычислительных затрат до минимального необходимого, но достаточного для защиты от вирусов.
Указанный технический результат достигают системой адаптивного управления пакетом антивирусных сканеров, включающей множество различных антивирусных блоков, содержащее, по крайней мере, один антивирусный блок и модуль обнаружения антивирусных систем, которая, в отличие от известной, дополнительно содержит блок принятия общего решения, блоки принятия коллективного решения, блок управления и коммутаторы, при этом первый вход первого коммутатора является входом системы, а его первый выход выходом системы, второй выход первого коммутатора параллельно соединен с антивирусными блоками, выходы которых соединены с соответствующими входами многоканального разъема второго коммутатора, причем первый выход второго коммутатора связан с блоком принятия общего решения через первый вход первого блока принятия коллективного решения, а второй выход - через первый вход второго блока принятия коллективного решения, при этом блок принятия общего решения соединен со вторым разъемом блока управления, первый выход которого соединен со вторым входом второго коммутатора, второй соединен со вторым входом первого блока принятия коллективного решения, третий соединен со вторым входом второго блока принятия коллективного решения, четвертый соединен со вторым входом первого коммутатора, причем первый разъем блока управления соединен через первый разъем модуля обнаружения антивирусных систем с антивирусными блоками, размещенными в узлах матрицы, в которой по каждому столбцу располагаются антивирусные системы одного типа, а по строкам соответствующих столбцов - антивирусные системы с нарастающим уровнем порога обнаружения, установленным при сканировании входных программ, при этом выходы второго коммутатора соединяют выходы антивирусных блоков, расположенных по строкам и столбцам матрицы, с соответствующими первым и вторым блоками принятия коллективного решения.
На фиг. 1 представлена блок-схема предлагаемой системы, содержащей антивирусный блок 1, модуль обнаружения антивирусных систем 2; первый коммутатор 3; второй коммутатор 4; первый 5 и второй 6 блоки принятия коллективного решения; блок 7 принятия общего решения; блок управления 8.
Первый коммутатор 3 представляет собой многоканальный коммутатор, выполняющий коммутацию одного выхода и нескольких выходов, размножающий сигнал и разделяющий его по отдельным каналам; второй коммутатор 4 выполняет функцию коммутации множества входов и множества выходов и может быть выполнен как многоканальный коммутатор, в предлагаемой системе содержит два входа и два выхода. Первый 5 и второй 6 блоки принятия коллективного решения выполняют функции вычисления коллективного решения, например, по взвешенным частным решениям антивирусных программ (АВП) в строке (блок 5) или столбце (блок 6) матрицы АВП и могут быть реализованы на процессорных модулях ТС711 А8. Блок 7 принятия общего решения и блок управления 8 могут быть с равным успехом реализованы либо на процессорных модулях ТС711 А8, либо на многоканальных блоках управления.
На фиг. 2 представлена структурная схема совокупности (матрицы) антивирусных блоков, где первый индекс обозначает АВП, второй указывает производителя (тип), третий - глубину сканирования, при этом каждый из индексов принимает значения от 1 до 3, что соответствует различным АВП с разной глубиной сканирования (с разным набором признаков обнаружения вируса). Например, глубина сканирования 1 - низкая, что соответствует низкому порогу принятия решения об обнаружении, 2 - средняя - среднему порогу принятия решения, 3 - большая - высокому порогу принятия решения об обнаружении.
Предлагаемая система содержит ряд различных антивирусных блоков 1, модуль 2 обнаружения антивирусных систем, коммутаторы 3 и 4, при этом первый вход коммутатора 3 является входом системы, а его первый выход является выходом системы, второй выход коммутатора 3 соединен параллельно с антивирусными блоками 1, выходы которых соединены с соответствующими входами многоканального разъема второго коммутатора 4. Первый выход коммутатора 4 через первый вход первого блока 5 принятия коллективного решения, а его второй выход через первый вход второго блока 6 принятия коллективного решения связаны с блоком 7 принятия общего решения. Блок 7 соединен со вторым разъемом блока управления 8, первый выход которого соединен со вторым входом коммутатора 4, при этом второй выход блока 8 соединен со вторым входом блока 5, его третий выход соединен со вторым входом блока 6, четвертый выход соединен со вторым входом коммутатора 3, при этом первый разъем блока правления 8 соединен через первый разъем модуля 2 обнаружения антивирусных систем с антивирусными блоками 1.
Антивирусные блоки 1 расположены в узлах матрицы, по каждому столбцу которой располагаются антивирусные системы одного типа, а по строкам соответствующих столбцов находятся антивирусные системы с нарастающим уровнем порога обнаружения, установленным при сканировании входных программ, при этом выходы коммутатора 4 соединяют выходы антивирусных блоков 1 с блоками 5 и 6 принятия коллективного решения. Антивирусные блоки, расположенные по строкам матрицы, связаны с блоком 5, а по ее столбцам - с блоком 6.
Входной программный продукт (ПП) поступает на первый вход коммутатора 3, который является входом предлагаемого устройства, после коммутации ПП со второго выхода коммутатора 3 передается одновременно на все антивирусные блоки 1, выходы которых соединены с соответствующими входами многоканального разъема коммутатора 4. С выходов коммутатора 4 посредством блоков 5 и 6 информация передается в блок 7 принятия общего решения, который соединен с блоком управления 8. Первый выход управляющего блока 8 соединен со вторым входом коммутатора 4. С второго выхода блока 8 на второй вход блока 5 принятия коллективного решения поступают управляющие сигналы, сформированные с учетом частных решений антивирусных блоков 1, размещенных по строкам, в то же время третий выход блока управления 8 передает управляющие сигналы, сформированные с учетом частных решений антивирусных блоков 1, размещенных по столбцам, на второй вход блока 6 принятия коллективного решения, а четвертый выход блока управления 8 передает управляющие сигналы на второй вход коммутатора 3. При этом первый разъем блока управления 8 через первый разъем модуля 2 обнаружения антивирусных систем направляет в антивирусные блоки 1 управляющие сигналы, задающие и контролирующие настройки и режимы их работы, и передает контрольную информацию в блок управления 8. В случае возникновения необходимости блок 8 через модуль 2 меняет антивирусные программы в антивирусных блоках и осуществляет подключение, отключение и настройку глубины сканирования с учетом результативности функционирования конкретных антивирусных блоков в сравнении с другими антивирусными блоками в предыдущий период работы.
Результаты принятия частных решений антивирусных программ используются для выработки коллективных решений по строкам и столбцам матрицы, а затем коллективные решения участвуют в выработке общего решения.
Блок управления 8 анализирует результативность обнаружения вредоносного программного продукта (вируса) антивирусными блоками путем сравнения частных решений с коллективными решениями по группам: по строкам и по столбцам, а также с общим решением и вырабатывает сигналы изменения и уточнения весовых коэффициентов учета частных решений в коллективных (например, с шагом 0,0001) решениях и коллективных решений в общем (например, с шагом 0,001); путем многократных сравнений адаптирует процесс принятия решения к особенностям вируса с учетом результативности антивирусных программ с различными порогами принятия решений.
В результате сравнения и анализа результативности система формирует уточненные весовые коэффициенты в блоках принятия коллективных решений по строкам и столбцам и общего решения.
С помощью обучающей выборки настраивают систему на определенный класс вирусов.
При поступлении на вход нового вируса система проводит многоуровневое сканирование разными АВП с разными совокупностями признаков, что позволяет повысить надежность обнаружения при заданных уровнях ошибочного решения.
При работе с известным вирусом проверка входного программного продукта может быть сокращена путем коммутации входного потока таким образом, что он поступит на блоки АВП, имеющие надежные решения, совпадающие с коллективными решениями и общим решением системы (ее матрицы) в предыдущий период времени. Блок управления назначает вид антивирусных программ и глубину сканирования, исходя из предыдущего опыта работы устройства. Это позволяет эффективнее использовать вычислительные ресурсы и/или сокращает время, необходимое для принятия решения относительно обнаружении вируса. Набор статистических данных позволяет в дальнейшем адаптировать сканирование в соответствии с типом обнаруженного вируса.
Антивирусные программы размещены в виртуальных, причем обособленных друг от друга процессорных модулях и управляются блоком управления 8 через модуль 2. В случае, если установлено, что входной программный продукт не является вирусом, блок управления 8 подает разрешающий сигнал на его передачу на выход устройства, которым является первый выход коммутатора 3.
На фиг. 2 наглядно показано, что входной программный продукт с коммутатора 3 (а именно, с его второго выхода) поступает на все элементы матрицы, каждый из которых обладает своим набором сканирования и своими вероятностями обнаружения и ложной тревоги. Таким образом, работа предлагаемого устройства основана на использовании множества антивирусных программ (АВП) различных типов, размещенных по столбцам матрицы и установленных с различной глубиной сканирования по строкам матрицы, при этом глубина сканирования соответствует различным совокупностям признаков обнаружения вируса и различным алгоритмам принятия решения об обнаружении. По результатам работы элементов матрицы система принимает коллективные решения и вырабатывает общее решение, обобщает и по цепям обратной связи оценивает успешность работы АВП, которую в дальнейшем учитывает весовыми коэффициентами при принятии коллективных и общего решения.
Предлагаемая система адаптивного управления пакетом антивирусных сканеров организована таким образом, который позволяет достичь эффекта, превышающего суммарный эффект отдельных антивирусных программ. Совместное использование нескольких АВП с различными уровнями принятия решений относительно обнаружения вируса позволяет использовать набор признаков обнаружения (каждая АВП ранее обновлена и актуализирована) с различными уровнями сканирования, что обычному пользователю не представляется возможным выполнить. В такой ситуации разработчикам вирусов труднее создать программный продукт, противостоящий множеству АВП, многообразие которых поддерживается тем, что их создатели конкурируют друг с другом и не кооперируются.

Claims (1)

  1. Система адаптивного управления пакетом антивирусных сканеров, включающая множество различных антивирусных блоков, содержащее, по крайней мере, один антивирусный блок и модуль обнаружения антивирусных систем, отличающаяся тем, что она дополнительно содержит блок принятия общего решения, блоки принятия коллективного решения, блок управления и коммутаторы, при этом первый вход первого коммутатора является входом системы, а его первый выход - выходом системы, второй выход первого коммутатора параллельно соединен с антивирусными блоками, выходы которых соединены с соответствующими входами многоканального разъема второго коммутатора, причем первый выход второго коммутатора связан с блоком принятия общего решения через первый вход первого блока принятия коллективного решения, а второй выход - через первый вход второго блока принятия коллективного решения, при этом блок принятия общего решения соединен со вторым разъемом блока управления, первый выход которого соединен со вторым входом второго коммутатора, второй соединен со вторым входом первого блока принятия коллективного решения, третий соединен со вторым входом второго блока принятия коллективного решения, четвертый соединен со вторым входом первого коммутатора, причем первый разъем блока управления соединен через первый разъем модуля обнаружения антивирусных систем с антивирусными блоками, размещенными в узлах матрицы, в которой по каждому столбцу располагаются антивирусные системы одного типа, а по строкам соответствующих столбцов - антивирусные системы с нарастающим уровнем порога обнаружения при сканировании входных программ, при этом выходы второго коммутатора соединяют выходы антивирусных блоков, расположенных по строкам и столбцам матрицы, с соответствующими первым и вторым блоками принятия коллективного решения.
RU2017129638U 2017-08-21 2017-08-21 Система адаптивного управления пакетом антивирусных сканеров RU179369U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2017129638U RU179369U1 (ru) 2017-08-21 2017-08-21 Система адаптивного управления пакетом антивирусных сканеров

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017129638U RU179369U1 (ru) 2017-08-21 2017-08-21 Система адаптивного управления пакетом антивирусных сканеров

Publications (1)

Publication Number Publication Date
RU179369U1 true RU179369U1 (ru) 2018-05-11

Family

ID=62151716

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017129638U RU179369U1 (ru) 2017-08-21 2017-08-21 Система адаптивного управления пакетом антивирусных сканеров

Country Status (1)

Country Link
RU (1) RU179369U1 (ru)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU99106780A (ru) * 1996-09-05 2001-02-10 Чейенн Софтвэа Интернэшнл Сэйлс Корп. Антивирусный агент для совместного использования с базами данных и почтовыми серверами
US20030051154A1 (en) * 2001-07-26 2003-03-13 Barton Chris A. Scanner API for executing multiple scanning engines
RU2221269C2 (ru) * 1996-09-05 2004-01-10 Чейенн Софтвэа Интернэшнл Сэйлс Корп. Антивирусный агент для совместного использования с базами данных и почтовыми серверами
US20100241875A1 (en) * 2009-03-18 2010-09-23 Buffalo Inc. External storage device and method of controlling the same
RU2457533C1 (ru) * 2011-02-10 2012-07-27 Государственное образовательное учреждение высшего профессионального образования Северо-Кавказский горно-металлургический институт (государственный технологический университет) (СКГМИ (ГТУ) Способ адаптивного управления пакетом антивирусных сканеров и система для его осуществления
US20160063250A1 (en) * 2012-11-06 2016-03-03 Forensic Scan, LLC Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU99106780A (ru) * 1996-09-05 2001-02-10 Чейенн Софтвэа Интернэшнл Сэйлс Корп. Антивирусный агент для совместного использования с базами данных и почтовыми серверами
RU2221269C2 (ru) * 1996-09-05 2004-01-10 Чейенн Софтвэа Интернэшнл Сэйлс Корп. Антивирусный агент для совместного использования с базами данных и почтовыми серверами
US20030051154A1 (en) * 2001-07-26 2003-03-13 Barton Chris A. Scanner API for executing multiple scanning engines
US20100241875A1 (en) * 2009-03-18 2010-09-23 Buffalo Inc. External storage device and method of controlling the same
RU2457533C1 (ru) * 2011-02-10 2012-07-27 Государственное образовательное учреждение высшего профессионального образования Северо-Кавказский горно-металлургический институт (государственный технологический университет) (СКГМИ (ГТУ) Способ адаптивного управления пакетом антивирусных сканеров и система для его осуществления
US20160063250A1 (en) * 2012-11-06 2016-03-03 Forensic Scan, LLC Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point

Similar Documents

Publication Publication Date Title
RU2758041C2 (ru) Постоянное обучение для обнаружения вторжения
AU2016264813B2 (en) Cascading classifiers for computer security applications
US9262635B2 (en) Detection efficacy of virtual machine-based analysis with application specific events
Miah et al. Improving detection accuracy for imbalanced network intrusion classification using cluster-based under-sampling with random forests
CN110119620B (zh) 训练用于检测恶意容器的机器学习模型的系统和方法
US20170091461A1 (en) Malicious code analysis method and system, data processing apparatus, and electronic apparatus
Aldwairi et al. Application of artificial bee colony for intrusion detection systems
US20210243226A1 (en) Lifelong learning based intelligent, diverse, agile, and robust system for network attack detection
CN110135166B (zh) 一种针对业务逻辑漏洞攻击的检测方法及系统
CN103065088A (zh) 基于计算机用户的裁决检测计算机安全威胁的系统和方法
US10931706B2 (en) System and method for detecting and identifying a cyber-attack on a network
CA2996966A1 (en) Process launch, monitoring and execution control
KR101964148B1 (ko) 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법
CN112491803A (zh) 拟态waf中执行体的裁决方法
WO2023246237A1 (zh) 一种针对网络模型的攻防对抗仿真测试方法及系统
CN112202783A (zh) 一种基于自适应深度学习的5g网络异常检测方法及系统
Atawodi A machine learning approach to network intrusion detection system using K nearest neighbor and random forest
US11431748B2 (en) Predictive crowdsourcing-based endpoint protection system
RU179369U1 (ru) Система адаптивного управления пакетом антивирусных сканеров
CN115277065A (zh) 一种物联网异常流量检测中的对抗攻击方法及装置
Arumugam et al. Implementation of two class classifiers for hybrid intrusion detection
JP2023523079A (ja) 行動予測モデルを用いたエンドポイントセキュリティ
US11880460B2 (en) System and method for differential malware scanner
US11941118B2 (en) System and method to build robust classifiers against evasion attacks
CN112383530B (zh) 一种基于拟态思想的沙箱构建方法