RU2018104435A

RU2018104435A - Система и способ вынесения решения о компрометации данных

Info

Publication number: RU2018104435A
Application number: RU2018104435A
Authority: RU
Inventors: Дмитрий Александрович Кулагин; Павел Владимирович Дякин
Original assignee: Акционерное общество "Лаборатория Касперского"
Priority date: 2018-02-06
Filing date: 2018-02-06
Publication date: 2019-08-06
Also published as: RU2697953C2; US10778695B2; US20200396229A1; US20190245864A1; US10893057B2; RU2018104435A3

Claims

1. Система вынесения решения о компрометации данных, которая содержит

а) средство вычисления имитовставки, предназначенное для

вычисления имитовставки последовательно для каждого выбранного сообщения из журнала данных, содержащего по меньшей мере два сообщения, при этом вычисление имитовставки включает в себя:

iii. для первого выбранного сообщения:

вычисление имитовставки на основании заранее заданного ключа шифрования и выбранного сообщения;

iv. для каждого последующего после первого выбранного сообщения:

формирование ключа шифрования на основании ключа шифрования, сформированного для сообщения, выбранного ранее;

формирование блока данных на основании выбранного сообщения и имитовставки, вычисленной для сообщения, выбранного ранее;

вычисление имитовставки на основании сформированных ключа шифрования и блока данных;

записи в базу сообщений записи, содержащей последнюю вычисленную имитовставку и все выбранные сообщения;

б) средство вынесения решения о проверке, предназначенное для

перехвата события, удовлетворяющего заранее заданным правилам, при этом событие возникает в случае записи сообщения в журнал данных;

вынесения решения о необходимости выполнения проверки компрометации данных на основании перехваченного события и последующей отправки средству проверки выбранной записи из базы сообщений;

в) средство проверки, предназначенное для анализа записи, при этом анализ включает в себя

вычисление имитовставки последовательно для каждого сообщения, содержащегося в полученной записи, включающего в себя:

i. для первого сообщения:

ii. для каждого последующего после первого сообщения:

формирования блока данных на основании выбранного сообщения и имитовставки, вычисленной для сообщения, выбранного ранее;

вычисления имитовставки на основании сформированных ключа шифрования и блока данных;

сравнение вычисленной имитовставки с имитовставкой, содержащейся в выбранной записи;

вынесение решения о компрометации данных, если вычисленная имитовставка не совпадает с имитовставкой, содержащейся в выбранной записи.

2. Система по п. 1, в которой на клиенте функционируют средство анализа журнала данных и средство работы с базой сообщений, на сервере функционируют средство работы с базой сообщений; средство анализа записей и средство вынесения решения.

3. Система по п. 1, в которой формируют ключ шифрования с использованием криптографической хеш-функции.

4. Система по п. 1, в которой средство работы с базой сообщений выполняет сохранение записи в базу сообщений по запросу.

5. Способ вынесения решения о компрометации данных, при этом способ содержит этапы, которые реализуются с помощью средств из системы по п. 1 и на которых

а) вычисляют имитовставку последовательно для каждого выбранного сообщения из журнала данных, содержащего по меньшей мере два сообщения, для чего:

i. для первого выбранного сообщения:

вычисляют имитовставку на основании заранее заданного ключа шифрования и выбранного сообщения;

ii. для каждого последующего после первого выбранного сообщения:

формируют ключ шифрования на основании ключа шифрования, сформированного для сообщения, выбранного ранее;

формируют блок данных на основании выбранного сообщения и имитовставки, вычисленной для сообщения, выбранного ранее;

вычисляют имитовставку на основании сформированного ключа шифрования и блока данных;

б) сохраняют в базу сообщений запись, содержащую последнюю вычисленную имитовставку и все выбранные сообщения;

в) выполняют анализ каждой выбранной записи из базы сообщений, для чего

выполняют этапы a.i)-a.ii) для вычисления имитовставки последовательно для каждого сообщения, содержащегося в выбранной записи;

сравнивают вычисленную имитовставку с имитовставкой, содержащейся в выбранной записи;

г) на основании отрицательного результата выполненных сравнений выносят решение о компрометации журнала данных.

6. Способ по п. 5, по которому этапы 1.а)-1.б) выполняются на клиенте, а этапы 1.в)-1.г) выполняются на сервере.

7. Способ по п. 5, по которому формируют ключ шифрования с использованием криптографической хеш-функции.

8. Способ по п. 5, по которому выполняют этап 5.б) по запросу.