RU2534935C2 - System and method of adaptive control and monitoring of user actions based on user behaviour - Google Patents

System and method of adaptive control and monitoring of user actions based on user behaviour Download PDF

Info

Publication number
RU2534935C2
RU2534935C2 RU2012156444/08A RU2012156444A RU2534935C2 RU 2534935 C2 RU2534935 C2 RU 2534935C2 RU 2012156444/08 A RU2012156444/08 A RU 2012156444/08A RU 2012156444 A RU2012156444 A RU 2012156444A RU 2534935 C2 RU2534935 C2 RU 2534935C2
Authority
RU
Russia
Prior art keywords
user
rules
action
restriction
actions
Prior art date
Application number
RU2012156444/08A
Other languages
Russian (ru)
Other versions
RU2012156444A (en
Inventor
Александр Вячеславович Леденев
Евгений Борисович Колотинский
Константин Сергеевич Игнатьев
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2012156444/08A priority Critical patent/RU2534935C2/en
Publication of RU2012156444A publication Critical patent/RU2012156444A/en
Application granted granted Critical
Publication of RU2534935C2 publication Critical patent/RU2534935C2/en

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Electrically Operated Instructional Devices (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

FIELD: physics, computer engineering.
SUBSTANCE: invention relates to systems of control and restriction of actions performed by a user on a PC. The method to adjust a parental control restriction rules base includes a stage of tracking of completed events in the operating system initiated by user actions on a PC. Further, in accordance with the method, context is generated, which includes actions performed by a user, and events initiated by completed actions. Also the generated context is analysed with the help of regulation rules. Besides, the action completed by the user is detected on the basis of the specified analysis, at the same time the detected action is a prohibited action for a user, but at the same time this action was not blocked with the help of rules of user restriction from the base of parental control restriction rules.
EFFECT: technical result is increased efficiency of monitoring over access to network resources.
13 cl, 5 dwg

Description

Область техникиTechnical field

Изобретение относится к системам контроля и ограничения действий, совершаемых пользователем на персональном компьютере, более конкретно, к системам адаптивной настройки контроля и ограничения действий пользователя, совершаемых на персональном компьютере, в зависимости от поведения пользователя.The invention relates to systems for monitoring and restricting actions performed by a user on a personal computer, and more particularly, to systems for adaptive control settings and restricting user actions to be performed on a personal computer, depending on user behavior.

Уровень техникиState of the art

В настоящее время для большинства пользователей персональных компьютеров (далее - ПК) Интернет стал неотъемлемой частью жизни. С помощью Интернета пользователи проводят поиск необходимой информации, а также обмениваются информацией с другими пользователями с помощью социальных сетей, различных чатов, систем мгновенного обмена сообщениями (например, ICQ) и электронной почты. Также при помощи Интернета пользователи оплачивают счета, производят различные покупки, играют в компьютерные игры, просматривают различные видеозаписи и т.д. Кроме того, Интернет содержит различную информацию, ориентированную прежде всего на взрослую пользовательскую аудиторию, другими словами, не предназначенную для детей и подростков. Такой информацией являются материалы порнографического характера, которые могут находиться на различных сайтах, например сайтах знакомств. Очевидно, что такие информационные ресурсы должны быть закрыты для посещения детьми.Currently, for most users of personal computers (hereinafter referred to as PCs), the Internet has become an integral part of life. Using the Internet, users search for the necessary information, as well as exchange information with other users via social networks, various chat rooms, instant messaging systems (such as ICQ) and email. Also, using the Internet, users pay bills, make various purchases, play computer games, watch various videos, etc. In addition, the Internet contains a variety of information, primarily aimed at an adult user audience, in other words, not intended for children and adolescents. Such information is pornographic material that may appear on various sites, such as dating sites. Obviously, such information resources should be closed to children.

При этом с каждым годом все больше и больше посетителей Интернета являются детьми и подростками, которые стремятся освоить и пользоваться его возможностями. Интернет позволяет им обучаться, развиваться, осуществлять виртуальное общение. В то же время юные Интернет-пользователи часто не готовы адекватно воспринимать найденные или полученные данные, которые могут быть некачественными, непроверенными или опасными и, следовательно, могут причинить вред не только компьютеру, но и самим пользователям. Поэтому существует необходимость как контроля детей, так и их защиты в Интернет-среде.Moreover, every year more and more Internet visitors are children and adolescents who seek to learn and use its capabilities. The Internet allows them to learn, grow, and engage in virtual communication. At the same time, young Internet users are often not ready to adequately perceive found or received data, which may be of poor quality, unverified or dangerous and, therefore, can harm not only the computer, but also the users themselves. Therefore, there is a need for both the control of children and their protection in the Internet environment.

В настоящее время данные задачи в том или ином виде решают различные системы, известные под названием «родительский контроль». Основными задачами таких систем являются защита детей от угроз, связанных с работой на ПК и в Интернете, а также ограничение их времени работы на ПК. Родительский контроль позволяет установить гибкие правила использования как ресурсов Интернета, так и программ, установленных на ПК пользователя. Кроме того, родительский контроль может формировать отчет о действиях, совершенных контролируемым пользователем. Данный отчет предоставляется пользователю-администратору (например, родителю) с целью ознакомления и дальнейшего проведения настройки правил ограничения доступа в случае необходимости.Currently, these tasks in one form or another are solved by various systems known as “parental control”. The main objectives of such systems are to protect children from threats associated with working on a PC and the Internet, as well as limiting their time on a PC. Parental control allows you to set flexible rules for using both Internet resources and programs installed on the user's PC. In addition, parental control can generate a report on the actions performed by the controlled user. This report is provided to the user-administrator (for example, the parent) in order to familiarize and further customize the rules for restricting access if necessary.

Так, в патенте US 7809797 B2 описывается система контроля детей, имеющих учетные записи в социальных сетях. Данная система направлена на контроль, блокирование, ограничение работы в сетях во время общения с другими пользователями, например с незнакомыми людьми. Еще одним типом контроля является контроль времени просмотра видео. Например, система, описанная в патенте US 7739707 B2, блокирует просмотр видео, когда превышено пороговое время. Также существуют патентные публикации, описывающие родительский контроль при работе с медиа-файлами, например, заявка US 20100235923 A1. В заявке US 20110034242 А1 описана система родительского контроля для игровых приложений, которая ограничивает доступ к тому или иному игровому приложению или Интернет-ресурсу данного приложения.So, in the patent US 7809797 B2 describes a control system for children with social media accounts. This system is aimed at controlling, blocking, restricting work in networks while communicating with other users, for example, strangers. Another type of control is the time control of viewing the video. For example, the system described in US Pat. No. 7,739,707 B2 blocks video viewing when the threshold time is exceeded. There are also patent publications describing parental control when working with media files, for example, application US 20100235923 A1. In the application US 20110034242 A1 describes a parental control system for gaming applications, which restricts access to a particular gaming application or Internet resource of this application.

Также можно отметить, что в современном мире дети и подростки становятся все более изобретательными при попытках попасть на закрытый ресурс или установить и запустить неизвестное приложение. Такие попытки заключаются в использовании специальных приложений и устройств для получения прав доступа к нужным ресурсам или в удалении приложения (систем) родительского контроля для получения общих прав доступа. Для решения данной проблемы создаются все более сложные системы родительского контроля, которые позволяют контролировать действия ребенка с помощью наблюдения за активностями (процессами) в операционной системе и в случае необходимости нейтрализовать эти действия.It can also be noted that in the modern world, children and adolescents are becoming more and more inventive when trying to get to a private resource or install and run an unknown application. Such attempts include the use of special applications and devices to obtain access rights to the necessary resources or the removal of the parental control application (s) to obtain general access rights. To solve this problem, more and more complex parental control systems are being created that allow you to control the actions of the child by monitoring the activities (processes) in the operating system and, if necessary, neutralize these actions.

Так, в патенте US 7046139 B2 описана система, которая позволяет накладывать ограничения на использование любого устройства, подключенного к домашней сети, или приложения, установленного на устройстве. Особенностью данной системы является модуль слежения за действиями пользователя. Если пользователь при помощи какого-либо приложения пытается осуществить одно из запрещенных действий, система полностью ограничивает доступ пользователя к данному приложению.So, in patent US 7046139 B2 describes a system that allows you to impose restrictions on the use of any device connected to the home network, or an application installed on the device. A feature of this system is a module for tracking user actions. If a user tries to perform one of the prohibited actions using an application, the system completely restricts the user's access to this application.

В патенте US 7600019 B2 описывается система, содержащая ряд модулей, отвечающих за наблюдение (контроль), формирование отчета, хранение информации о действиях пользователя и уведомление администратора. Система также может настраиваться под каждого пользователя администратором, который вводит необходимые правила ограничения того или иного пользователя.In the patent US 7600019 B2 describes a system containing a number of modules responsible for monitoring (control), report generation, storage of information about user actions and notification to the administrator. The system can also be configured for each user by an administrator who enters the necessary rules for restricting a user.

Однако у вышеперечисленных изобретений есть один недостаток - большое время реагирования на действия пользователя (например, ребенка), которые контролируются представленными системами, в случае совершения пользователем аномального действия. Представленные системы ограничивают доступ на основе изначально сформированного перечня правил ограничения доступа и предоставляют информацию о совершенных действиях в виде отчета администратору. После этого администратор принимает решение о регулировке правил. Таким образом, если контролируемый пользователь обойдет правила ограничения, то время реагирования на аномальное действие может быть велико, т.к. зависит от реакции администратора. Под аномальным действием понимается действие, запрещенное для контролируемого пользователя, но которое при этом не было заблокировано с помощью правил ограничения пользователя. Другими словами, администратор заблокировал бы подобное действие, но по разным причинам не сделал этого. Примерами таких причин могут быть:However, the above inventions have one drawback - a long reaction time to user actions (for example, a child), which are controlled by the presented systems, in the event that the user performs an abnormal action. The presented systems restrict access on the basis of an initially generated list of access restriction rules and provide information on the actions taken in the form of a report to the administrator. After that, the administrator decides on the regulation of the rules. Thus, if the controlled user bypasses the restriction rules, then the response time to an abnormal action can be long, because Depends on the reaction of the administrator. An abnormal action is understood to mean an action prohibited for the controlled user, but which was not blocked by user restriction rules. In other words, the administrator would block such an action, but for various reasons did not. Examples of such causes include:

1. администратор забыл это сделать;1. the administrator forgot to do this;

2. администратор недостаточно досконально проработал правила ограничения;2. the administrator has not thoroughly worked out the restriction rules;

3. администратор не знает про возможности блокировки запрещенного приложения или контента.3. The administrator does not know about the possibility of blocking the prohibited application or content.

Еще одной проблемой является то, что администратор должен быть компетентен в понимании полученного от системы отчета, на основе которого должен будет вносить соответствующие изменения в правила ограничения доступа или формировать новые правила.Another problem is that the administrator must be competent in understanding the report received from the system, on the basis of which he will have to make appropriate changes to the rules for restricting access or form new rules.

Также указанные изобретения не способны решать задачу учета внешних данных. В случае полной автоматизации различных систем обучения внешние данные могут предоставляться, например, из школы либо других образовательных учреждений или обучающих организаций. Примером внешних данных может служить информация в виде отзыва от учителя школы или оценки, полученной пользователем в школе. На основе полученной информации могут также регулироваться права доступа пользователя в сторону ужесточения или ослабления.Also, these inventions are not able to solve the problem of accounting for external data. In the case of complete automation of various training systems, external data can be provided, for example, from a school or other educational institutions or training organizations. An example of external data is information in the form of feedback from a school teacher or an assessment received by a user at a school. Based on the information received, user access rights can also be regulated in the direction of tightening or weakening.

Перечисленные задачи можно решить с помощью адаптивной регулировки правил ограничения доступа к ресурсам ПК и Интернета в зависимости от выявленных аномальных действий ребенка.These tasks can be solved by adaptively adjusting the rules for restricting access to PC and Internet resources, depending on the identified abnormal actions of the child.

Таким образом, требуется создать решение, которое позволит производить автоматическую настройку правил ограничения пользователя с помощью анализа его поведения на ПК или в сети. Система адаптивного управления и контроля действий пользователя на основе поведения пользователя, которая будет описана далее, позволяет решить поставленные задачи.Thus, you need to create a solution that will allow you to automatically configure user restriction rules by analyzing his behavior on a PC or network. The system of adaptive management and control of user actions based on user behavior, which will be described later, allows us to solve the tasks.

Сущность изобретенияSUMMARY OF THE INVENTION

Настоящее изобретение предназначено для адаптивной настройки прав доступа к ресурсам ПК и Интернета под каждого пользователя с целью ограничения пользователя от нежелательного контента и времени использования ПК.The present invention is intended to adaptively configure access rights to PC and Internet resources for each user in order to limit the user from inappropriate content and PC usage time.

Технический результат данного изобретения заключается в повышении эффективности работы родительского контроля за счет настройки базы правил, содержащей правила ограничения пользователя, на основе выявленных аномальных действий пользователя.The technical result of this invention is to increase the effectiveness of parental control by setting up a rule base containing user restriction rules based on the identified abnormal user actions.

Настоящий результат достигается за счет использования способа настройки базы правил ограничения родительского контроля, содержащий этапы, на которых: отслеживают произошедшие события в операционной системе, инициированные действиями пользователя на персональном компьютере; формируют контекст, содержащий действия, совершенные пользователем, и события, инициированные совершенными действиями; анализируют сформированный контекст с помощью правил регулирования; выявляют действие, совершенное пользователем на основе указанного анализа, при этом выявленное действие является запрещенным действием для пользователя, но при этом данное действие не было заблокировано с помощью правил ограничения пользователя из упомянутой базы правил; настраивают базу правил ограничения родительского контроля, в зависимости от выявленного действия.This result is achieved through the use of a method for setting up a database of parental control restriction rules, which contains the steps in which: they monitor events that have occurred in the operating system, initiated by user actions on a personal computer; form a context containing actions performed by the user and events initiated by the committed actions; analyze the formed context using regulatory rules; identify the action performed by the user on the basis of the specified analysis, while the detected action is a prohibited action for the user, but this action was not blocked using user restriction rules from the mentioned rule base; configure the parental control restriction rule base, depending on the detected action.

В одном из вариантов реализации в качестве настройки упомянутой базы правил является регулировка правил ограничения, содержащихся в упомянутой базе правил, или создание нового правила ограничения, которое блокирует упомянутое выявленное действие.In one embodiment, as a setting for said rule base, is to adjust the restriction rules contained in said rule base, or to create a new restriction rule that blocks the identified action.

В еще одном из вариантов реализации отрегулированному или новому правилу присваивается статус временного правила.In yet another embodiment, a regulated or new rule is assigned the status of a temporary rule.

В другом варианте реализации собирают статистику по работе временных правил ограничения.In another embodiment, statistics on the operation of temporary restriction rules are collected.

В одном из вариантов реализации корректируют временные правила на основе собранной статистики.In one implementation variant, the time rules are adjusted based on the collected statistics.

В еще одном из вариантов реализации корректировка проводится в случае ложного срабатывания.In yet another embodiment, an adjustment is made in the event of a false positive.

В другом варианте реализации выявленным действием является действие, направленное на обучение пользователя или иллюстрирующее отсутствие запуска развлекательных приложений.In another embodiment, the identified action is an action aimed at educating the user or illustrating the lack of launch of entertainment applications.

В одном из вариантов реализации правила регулирования содержат в себе признаки выявленных действий и решение о типе совершенного действия.In one implementation variant, the regulation rules contain signs of identified actions and a decision on the type of perfect action.

В другом варианте реализации средства контроля и блокировки поведения пользователя входят в состав родительского контроля.In another embodiment, controls for and blocking user behavior are part of parental controls.

Система настройки базы правил ограничения действий пользователя, которая включает в себя: средство наблюдения, предназначенное для сбора информации о произошедших событиях в операционной системе, инициированные действиями пользователя, и передает упомянутую информацию средству анализа; средство анализа, предназначенное для формирования контекста на основе обработки полученной информации от средства наблюдения и информации, предоставляемой от внешних средств контроля за действиями пользователя, и предоставляет сформированный контекст средству регулирования; базу правил регулирования, предназначенную для хранения правил регулирования и их предоставления средству регулирования; средство регулирования, предназначенное для анализа предоставленного контекста, на основе которого выявляет, по крайней мере, одно действие пользователя, которое является запрещенным, но при этом не сработало ни одно правило ограничения из базы правил ограничения, настройки базы правил ограничения на основе выявленного действия, где настройка базы правил ограничения является регулировкой правил ограничения из базы правил ограничения для блокирования выявленного действия, созданием нового правила ограничения, которое будет блокировать выявленное действие.A system for setting up a database of rules for restricting user actions, which includes: a monitoring tool designed to collect information about events that have occurred in the operating system, initiated by user actions, and transmit the information to the analysis tool; analysis tool designed to form a context based on the processing of information received from the monitoring tool and information provided from external means of monitoring user actions, and provides the generated context to the regulatory tool; a base of regulatory rules designed to store regulatory rules and provide them to a regulatory tool; a regulatory tool designed to analyze the provided context, on the basis of which it reveals at least one user action that is prohibited, but not a single restriction rule from the restriction rule base has worked, settings of the restriction rule base based on the detected action, where setting the restriction rule base is the adjustment of restriction rules from the restriction rule base to block the detected action, creating a new restriction rule that will be blocked revealed action.

В одном из вариантов реализации система содержит средство анализа результатов работы правил, которое предназначено для сбора статистики по отрегулированным и новым правилам ограничения из базы правил ограничения, анализа собранной статистики, выявления ложных срабатываний на основе проведенного анализа и информирования средства регулирования о ложном срабатывании.In one embodiment, the system contains a means of analyzing the results of the rules, which is designed to collect statistics on the adjusted and new restriction rules from the database of restriction rules, analyze the statistics collected, identify false positives based on the analysis and inform the regulatory tool about the false positive.

В еще одном из вариантов реализации в качестве внешних средств контроля за действиями пользователя являются, по крайней мере, средства контроля и блокирования системы родительского контроля.In another embodiment, at least the means of controlling and blocking the parental control system are external controls for user actions.

В другом варианте реализации правилами регулирования являются правила содержащие критерии определения типа совершенных действий, решение о виде действия и шаблон правил ограничения, с помощью которого может быть создано правило ограничения для определенного типа действия.In another embodiment, regulation rules are rules that contain criteria for determining the type of actions performed, a decision on the type of action, and a restriction rule template with which you can create a restriction rule for a specific type of action.

В одном из вариантов реализации в качестве выявленного с помощью средства регулирования действия является действие направленное, по крайней мере, на обучение пользователя.In one embodiment, an action aimed at least to educate a user is identified as an action detected by means of regulation.

Краткое описание прилагаемых чертежейBrief description of the attached drawings

Заявленное изобретение поясняется следующими чертежами, на которых:The claimed invention is illustrated by the following drawings, in which:

Фиг.1 иллюстрирует пример системы родительского контроля, для которой реализуется данное изобретение.Figure 1 illustrates an example of a parental control system for which the invention is implemented.

Фиг.2 иллюстрирует пример реализации системы адаптивной настройки правил ограничения на основе анализа поведения пользователя.Figure 2 illustrates an example implementation of a system for adaptively setting restriction rules based on an analysis of user behavior.

Фиг.3 иллюстрирует алгоритм адаптивной настройки базы правил родительского контроля, содержащей правила ограничения пользователя, на основе анализа поведения пользователя.Figure 3 illustrates an adaptive tuning algorithm for a parental control rule base containing user restriction rules based on an analysis of user behavior.

Фиг.4 показывает схему алгоритма работы средства анализа результатов работы правил в системе адаптивной настройки правил ограничения на основе анализа поведения пользователя.Figure 4 shows a diagram of the algorithm for analyzing the results of the rules in the adaptive configuration of restriction rules based on the analysis of user behavior.

Фиг.5 показывает пример компьютерной системы общего назначения, на которой может быть реализовано данное изобретение.5 shows an example of a general purpose computer system on which the invention may be implemented.

Описание вариантов реализацииDescription of implementation options

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details provided to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined only in the scope of the attached claims.

Описанная ниже система адаптивного управления и контроля действий пользователя на основе поведения пользователя (далее - система адаптации) входит в состав системы родительского контроля.The system of adaptive management and control of user actions described below based on user behavior (hereinafter referred to as the adaptation system) is part of the parental control system.

Все современные изобретения, связанные с родительским контролем, предоставляют целый комплекс компонентов по контролю действий, совершаемых на компьютере пользователем (как правило, ребенком) или событий, произошедших вследствие указанных действий, и, в случае необходимости, блокированию указанных действий и событий.All modern inventions related to parental control provide a whole range of components for controlling actions performed on a computer by a user (usually a child) or events that occur as a result of these actions, and, if necessary, blocking these actions and events.

На Фиг.1 представлен пример системы родительского контроля (далее - система) 130, для которой может быть реализовано настоящее изобретение.Figure 1 presents an example of a parental control system (hereinafter - the system) 130, for which the present invention can be implemented.

Система 130 контролирует все действия 110, совершенные пользователем 100 на ПК 120. Пользователем 100 может быть любой пользователь, действия которого необходимо контролировать или который не имеет прав доступа администратора к системе 130. Наиболее распространенными действиями, которые совершает пользователь (например, ребенок) 100, являются:System 130 controls all actions 110 performed by user 100 on PC 120. User 100 can be any user whose actions need to be controlled or who do not have administrator access to system 130. The most common actions performed by a user (eg, a child) 100, are:

- действия, совершаемые во время работы в Интернете (например, просмотр веб-страниц или общение в чате),- actions performed while working on the Internet (for example, browsing the web or chatting),

- запуск приложений (например, запуск компьютерной игры),- launching applications (for example, launching a computer game),

- действия, совершаемые во время работы с данными (например, чтение, запись, редактирование файлов), просмотр видео или музыкального контента.- actions performed while working with data (for example, reading, writing, editing files), viewing video or music content.

Для контроля действий, совершенных пользователем 100, система 130 содержит в себе совокупность модулей 140, которые отвечают за различные виды контроля. Один модуль отвечает за регулярное создание и сохранение снимков экрана для последующего их предоставления администратору (например, родителю). Другой модуль контролирует разговоры (переписку), которые ведутся с помощью клиентов обмена мгновенными сообщениями, например путем прослушивания портов, анализа протоколов, таких как MSNP, AIM/ICQ, и ХМРР (Jabber) и др. Еще один модуль отвечает за контроль сайтов, которые посещает или может посещать пользователь 100, например, путем слежения за протоколами HTTP и HTTPS. Другой модуль контролирует появление нежелательной информации на посещаемых пользователем 100 сайтах, например, выявляет слово «эротика» и производит блокирование сайта, если слово входит в правило блокирования контента. Модуль контроля запускаемых приложений может ограничивать запуск приложений, например, по имени приложения или хеш-сумме исполняемого файла. Система 130 также содержит еще ряд модулей, которые выявляют и контролируют различные события (активности), происходящие на ПК, например печать файлов, запись файлов на оптические носители, открытие веб-страниц и т.д. Примером модулей могут служить различные счетчики производительности, которые содержатся в операционной системе.To monitor the actions performed by the user 100, the system 130 contains a set of modules 140, which are responsible for various types of control. One module is responsible for regularly creating and saving screenshots for subsequent submission to the administrator (for example, the parent). Another module controls conversations (correspondence) that are conducted using instant messaging clients, for example, by listening to ports, analyzing protocols such as MSNP, AIM / ICQ, and XMP (Jabber), etc. Another module is responsible for monitoring sites that is visited or can be visited by user 100, for example, by monitoring the HTTP and HTTPS protocols. Another module controls the appearance of unwanted information on 100 sites visited by the user, for example, reveals the word “erotica” and blocks the site if the word is included in the content blocking rule. The control module for running applications can limit the launch of applications, for example, by the name of the application or the hash of the executable file. The system 130 also contains a number of modules that detect and monitor various events (activities) occurring on a PC, for example, printing files, writing files to optical media, opening web pages, etc. An example of modules is the various performance counters that are contained in the operating system.

Во время контроля действий вышеуказанные модули, как правило, работают с упреждением, не давая ребенку 100 совершить за компьютером 120 запрещенные действия (например, посещение запрещенного сайта или запуск запрещенного приложения), т.к. имеют функционал блокирования действий. Блокирование действия происходит в случае срабатывания правила ограничения, отвечающего за блокирование выявленного запрещенного действия. Все правила ограничения хранятся в базе правил родительского контроля (далее - РК) 150, которая наполняется с помощью пользователя - администратора. Администратор может создавать правила ограничения как самостоятельно, так и использовать различные базы данных. Примером таких баз является база данных, содержащая список запрещенных или разрешенных сайтов. Еще одним примером является база данных, которая содержит правила разрешения или ограничения действий пользователя во время работы на ПК или в Интернете (компьютерной сети). Такая база данных может быть создана с помощью компании - разработчика ПО. Во время работы системы 130 база правил РК 150 предоставляет весь содержащийся перечень правил ограничения модулям 140.During the control of actions, the above modules, as a rule, work proactively, preventing the child 100 from performing prohibited actions at computer 120 (for example, visiting a forbidden site or launching a forbidden application), because have functional blocking actions. The action is blocked if the restriction rule responsible for blocking the detected prohibited action is triggered. All restriction rules are stored in the parental control rule database (hereinafter - RC) 150, which is filled with the help of a user - administrator. The administrator can create restriction rules both independently and use various databases. An example of such a database is a database containing a list of prohibited or permitted sites. Another example is a database that contains rules for allowing or restricting user actions while working on a PC or on the Internet (computer network). Such a database can be created with the help of a software company. During the operation of the system 130, the RK 150 rule base provides the entire contained list of restriction rules to modules 140.

Стоит отметить, что во время работы система 130 формирует отчет - уведомление обо всех совершенных действиях и событиях, произошедших на основе совершенных действий, а также о попытках нарушения правил ограничения из базы правил РК 150. Как следствие, администратор всегда в курсе, чем занимается тот или иной пользователь 100 за компьютером 120, и всегда может среагировать на совершенные действия 110, а именно отрегулировать имеющееся правило или создать новое правило ограничения.It is worth noting that during operation, the system 130 generates a report - a notification of all committed actions and events that occurred on the basis of the committed actions, as well as attempts to violate the restriction rules from the RK 150 rule base. As a result, the administrator is always aware of what he does or another user 100 at the computer 120, and can always respond to the committed actions 110, namely to adjust an existing rule or create a new restriction rule.

Система 130 для автоматизации процесса реагирования на действия, совершенные пользователем 100, содержит систему адаптации 200, которая производит настройку правил ограничения на основе анализа поведения пользователя 100. Указанная система представлена на Фиг.2. Система адаптации 200 предназначена для анализа поведения пользователя 100 с целью выявления аномальных или запрещенных действий, которые не были обнаружены с помощью правил ограничения, содержащихся в базе правил РК 150, и последующей настройки базы правил РК 150. Настройка базы правил РК 150 проводится путем регулирования правил ограничения, содержащихся в указанной базе, или создания новых правил ограничения на основе выявленных действий. Во время работы система адаптации 200 взаимодействует с модулями контроля 140 с целью получения информации обо всех действиях, совершенных пользователем 100 на ПК 120, и событиях в операционной системе (далее - ОС), произошедших во время работы пользователя 100, а также имеет доступ к базе правил РК 150, содержащей правила ограничения действий пользователя 100.The system 130 for automating the process of responding to actions committed by the user 100 includes an adaptation system 200 that configures restriction rules based on an analysis of the behavior of the user 100. The system is shown in FIG. 2. Adaptation system 200 is designed to analyze the behavior of user 100 in order to identify abnormal or prohibited actions that were not detected using the restriction rules contained in the rule base of RK 150, and then configure the rule base of RK 150. The rule base of RK 150 is configured restrictions contained in the specified database, or the creation of new restriction rules based on the identified actions. During operation, adaptation system 200 interacts with control modules 140 to obtain information about all actions performed by user 100 on PC 120 and events in the operating system (hereinafter referred to as OS) that occurred during user 100’s operation, and also has access to the database rules of RK 150, containing rules restricting user actions 100.

На Фиг.2 представлена система адаптивной настройки правил ограничения на основе анализа поведения пользователя (далее - система адаптации). В одном из вариантов реализации система адаптации 200 содержит средство наблюдения 210, средство анализа 220, средство регулирования 230 и базу правил регулирования 240.Figure 2 presents a system for adaptive tuning of restriction rules based on analysis of user behavior (hereinafter referred to as the adaptation system). In one embodiment, the adaptation system 200 comprises monitoring means 210, analysis tools 220, regulatory tools 230, and a regulatory framework 240.

Средство наблюдения 210 предназначено для сбора информации обо всех событиях (активностях), произошедших в ОС во время работы пользователя 100 на ПК 120 (т.е. событиях, инициированных действиями пользователя 100). После этого собранную информацию средство наблюдения 210 предоставляет средству анализа 220.The monitoring tool 210 is designed to collect information about all the events (activities) that occurred in the OS during the operation of the user 100 on the PC 120 (i.e., events initiated by the actions of the user 100). After that, the collected information is provided by the monitoring tool 210 to the analysis tool 220.

Средство анализа 220 предназначено для формирования контекста на основе обработки информации, полученной от модулей 140 и средства наблюдения 210. Информация, полученная от модулей 140, содержит сведения обо всех действиях, совершенных пользователем 100 на ПК 120, и обо всех правилах ограничения из базы правил РК 150, которые сработали (т.е. заблокировали действия пользователя 100). Информация, полученная от средства наблюдения 210, содержит сведения обо всех событиях (активностях), произошедших в ОС во время и после совершения указанных действий пользователем 100 (т.е. события были инициированы действиями пользователя 100). Примерами совершенных действий и произошедших событий являются: возрастание нагрузки на центральный процессор (CPU), увеличение объема использования физической памяти, возрастание нагрузки на графический процессор (GPU), наличие запущенного полноэкранного приложения, обмен сетевыми пакетами, запуск приложения, загрузка файла из сети, загрузка Интернет-страницы, использование устройств ввода (например, мыши), вывод звука, наличие файловой активности, определение загрузки определенного контента (HTML, Hash и т.д.) и т.д. Обработка информации заключается в определении связи между совершенными действиями пользователя 100 и произошедшими событиями в ОС. Определение связи между действием пользователя и произошедшим событием может производиться в рамках определенного промежутка времени. Например, если пользователь 100 запустил приложение - игру, то средство анализа 220 получит информацию от модулей 140 о данном совершенном действии пользователя 100, а также информацию от средства наблюдения 210 о происходящих активностях, таких как файловая активность, возрастание нагрузки на CPU и GPU. Так как в течение небольшого промежутка времени было зафиксировано действие пользователя (например, двойное нажатие кнопки мыши по иконке файла) и последующие вышеописанные события, то средство анализа 220 определит связь между ними, т.е. события произошли от указанного действия. Еще одним способом определения связи между действиями и событиями может быть определение связи с помощью информации, предоставленной различными счетчиками производительности. Счетчики производительности предоставляют информацию о различных метриках использования ресурсов в ОС. Средство анализа 220 на основе анализа получаемой информации формирует контекст в виде списка, который предоставляет средству регулирования 230. Стоит отметить, что контекст будет формироваться и предоставляться по мере поступления новых данных (событий и/или действий). В зависимости от варианта реализации контекст может также содержать информацию о действии пользователя с различными уровнями детализации, информацию о связанных с действием событиях, информацию о продолжительности событий (например, загрузки CPU), дополнительную информацию о событиях. Примерами дополнительной информации могут быть: информация о файле, из которого был запущен процесс, исполнение которого нагружает CPU и GPU; информация о посещенных сайтах и о контенте на этих сайтах (например, адреса сайтов, контакты в социальных сетях и т.д.); информация о подключенных устройствах и действиях, совершенных с ними.The analysis tool 220 is intended to form a context based on the processing of information received from the modules 140 and the monitoring tool 210. The information received from the modules 140 contains information about all the actions performed by the user 100 on the PC 120, and about all the restriction rules from the rule base of the Republic of Kazakhstan 150 that worked (i.e. blocked user actions 100). The information received from the monitoring tool 210 contains information about all events (activities) that occurred in the OS during and after the execution of the indicated actions by the user 100 (i.e., the events were initiated by the actions of the user 100). Examples of committed actions and events that have occurred are: increased load on the central processing unit (CPU), increased use of physical memory, increased load on the graphics processor (GPU), the presence of a running full-screen application, the exchange of network packets, launching the application, downloading a file from the network, downloading Web pages, the use of input devices (e.g., mice), audio output, file activity, determination of the loading of certain content (HTML, Hash, etc.), etc. Information processing consists in determining the relationship between the committed actions of the user 100 and the events that occurred in the OS. The connection between the user’s action and the event that has occurred can be determined within a certain period of time. For example, if user 100 has launched an application - a game, then analysis tool 220 will receive information from modules 140 about this perfect action of user 100, as well as information from monitoring tool 210 about ongoing activities, such as file activity, increasing load on the CPU and GPU. Since within a short period of time a user’s action was recorded (for example, double-clicking on the file icon) and the subsequent events described above, the analysis tool 220 will determine the relationship between them, i.e. events occurred from the specified action. Another way to determine the relationship between actions and events can be to determine the relationship using the information provided by various performance counters. Performance counters provide information on various resource usage metrics in the OS. The analysis tool 220, based on the analysis of the received information, forms the context in the form of a list, which provides the control tool 230. It should be noted that the context will be formed and provided as new data (events and / or actions) arrive. Depending on the implementation, the context may also contain information about the user’s actions with different levels of detail, information about events related to the action, information about the duration of the events (for example, CPU load), additional information about the events. Examples of additional information can be: information about the file from which the process was launched, the execution of which loads the CPU and GPU; information about the sites visited and about the content on these sites (for example, website addresses, contacts on social networks, etc.); Information about connected devices and actions performed with them.

Средство регулирования 230 предназначено для настройки базы правил РК 150. В рамках представленной заявки под настройкой базы правил РК 150 понимается регулировка содержащихся в ней правил ограничения или создание новых правил ограничения с последующим их добавлением в базу правил РК 150. Средство регулирования 230 проводит анализ предоставленного контекста с целью выявления аномальных действий пользователя 100. Аномальным действием является действие, которое запрещено для контролируемого пользователя (например, ребенка) 100, но при этом не было заблокировано с помощью правил ограничения, содержащихся в базе правил РК 150 (другими словами, имел место обход защиты родительского контроля). Примерами аномальных действий являются следующие типы действий:The regulatory tool 230 is intended to configure the RK 150 rule base. In the framework of the submitted application, the setting of the RK 150 rule base is understood as the adjustment of the restriction rules contained in it or the creation of new restriction rules with their subsequent addition to the RK 150 rule base. The regulatory tool 230 analyzes the provided context in order to identify abnormal actions of user 100. An abnormal action is an action that is prohibited for the controlled user (eg, child) 100, but was not о is blocked using the restriction rules contained in the RK 150 rule base (in other words, there was a bypass of parental control protection). Examples of abnormal actions are the following types of actions:

1. Действия, направленные на получение контроля над операционной системой, т.к. данные действия, как правило, возможны только при наличии прав администратора. Примерами таких действий являются:1. Actions aimed at gaining control over the operating system, as These actions are usually possible only if you have administrator rights. Examples of such actions are:

- попытка запустить или установить программное обеспечение (далее - ПО), которое относится к категории системных программ;- an attempt to run or install software (hereinafter - software), which belongs to the category of system programs;

- попытка изменения процесса загрузки ОС или внесение изменений в BIOS;- an attempt to change the OS boot process or make changes to the BIOS;

- создание новых разделов на диске;- Creation of new partitions on the disk;

- установка драйвера;- driver installation;

- попытка удалить приложение родительского контроля, если это отдельная программа, или изменить его настройки.- An attempt to remove the parental control application, if it is a separate program, or change its settings.

- попытка добавить нового пользователя в системе или изменить уже имеющийся;- An attempt to add a new user to the system or change an existing one;

- попытка загрузки операционной системы в безопасном режиме.- An attempt to boot the operating system in safe mode.

2. Действия, направленные на работу с ПО, которое является неизвестным, т.е. родительский контроль 130 не смог отнести ее к какой-либо категории ПО. В случае отсутствия запрета на запуск неизвестного ПО пользователь 100 сможет получить доступ в Интернет или поиграть в компьютерную игру. Примером таких действий является попытка запустить измененные или специальные программы, например, игры или браузеры.2. Actions aimed at working with software that is unknown, ie parental control 130 could not attribute it to any software category. In the absence of a ban on launching unknown software, user 100 will be able to access the Internet or play a computer game. An example of such actions is an attempt to run modified or special programs, for example, games or browsers.

3. Действия, выявленные по косвенным признакам или их совокупности. Примерами косвенных признаков запуска приложения-игры являются: доступ к веб-сайтам игры, доступ к файлам игры, создание уникальных для игры объектов синхронизации, отслеживание длительной работы одной из программ в полноэкранном режиме, высокая загрузка ресурсов, например центрального процессора (CPU) или графического процессора (GPU).3. Actions identified by indirect signs or their combination. Examples of indirect signs of launching a game application are: access to game websites, access to game files, creation of synchronization objects unique to the game, tracking the long-term operation of one of the programs in full-screen mode, high load of resources, such as a central processing unit (CPU) or graphic processor (GPU).

4. Действия, совершаемые в Интернете. Примерами таких действий служат:4. Actions performed on the Internet. Examples of such actions are:

- действия, совершаемые на неизвестных сайтах, например ввод информации в различные поля ввода (общение в чате или с использованием IM приложений);- actions performed on unknown sites, for example, entering information into various input fields (chatting or using IM applications);

- действия, направленные на заполнения анкет, регистрацию на неизвестном сайте с вводом личных/конфиденциальных данных, например ввод паспортных данных;- actions aimed at filling out questionnaires, registration on an unknown site with the input of personal / confidential data, for example, entering passport data;

- периодические запросы к неизвестному/запрещенному сайту;- periodic requests to an unknown / banned site;

- работа в Интернете через прокси-серверы или использование ПО для обеспечения анонимности (например. Tor). Анализ контекста осуществляется с помощью правил регулирования из базы правил регулирования 240. Правила регулирования содержат критерии определения типа совершенных действий, решение о типе действия и шаблон правил ограничения, с помощью которого может быть создано правило ограничения для определенного типа действия. Например, правило регулирования может содержать вывод о том, что неизвестное приложение (которое не было категоризировано с помощью базы правил РК 150) следует отнести к категории "Игры", если выполняются, по крайней мере, два из следующих критериев (действий):- work on the Internet through proxy servers or using software to ensure anonymity (for example. Tor). The analysis of the context is carried out using regulation rules from the base of regulation rules 240. Regulation rules contain criteria for determining the type of action taken, a decision on the type of action and a restriction rule template by which a restriction rule can be created for a specific type of action. For example, a regulatory rule may contain the conclusion that an unknown application (which was not categorized using the RK 150 rule base) should be categorized as “Games” if at least two of the following criteria (actions) are met:

- приложение работает в полноэкранном режиме;- the application runs in full screen mode;

- исполнение приложения приводит к высокой нагрузке CPU и GPU;- application execution leads to high CPU and GPU load;

- присутствует определенный профиль работы со средством ввода (например, использование клавиш W, S, A, D, пробел, Е, Ctrl);- there is a certain work profile with the input tool (for example, using the keys W, S, A, D, space, E, Ctrl);

- используются определенные API-приложения, например Direct 3D, OpenGL.- certain API applications are used, for example Direct 3D, OpenGL.

Приведем примеры других типов (категорий) приложений:Here are examples of other types (categories) of applications:

"Браузеры":Browsers:

- ввод с клавиатуры,- keyboard input,

- наличие нескольких окон,- the presence of several windows,

- использование проигрывателя flash,- use of flash player,

- использование интерпретатора сценариев (например, Javascript),- use of a script interpreter (e.g. Javascript),

- сетевая активность (загрузка данных по сети) "Видеопроигрыватели":- network activity (downloading data over the network) "Video Players":

- частые обращения к диску (на чтение), при этом может происходит чтение больших по размеру файлов,- frequent access to the disk (for reading), while reading large files may occur,

- приложение работает в полноэкранном режиме,- the application runs in full screen mode,

- отсутствие ввода в течение длительного периода,- lack of input for a long period,

- запрет отображения экранной заставки (screensaver).- prohibition of displaying a screen saver (screensaver).

Таким образом, средство регулирования 230 сравнивает полученный контекст с правилами регулирования. В том случае, если какое-либо правило регулирования сработало, и при этом на выявленное действие не среагировало ни одно правило ограничения из базы правил РК 150, то данное действие является потенциально аномальным действием. В такой ситуации средство регулирования 230 определяет наличие какого-либо правила ограничения в базе правил РК 150, которое будет соответствовать шаблону из сработанного правила регулирования. Если правило ограничения из базы правил РК 150 не выявлено, то потенциальное аномальное действие является разрешенным действием и пропускается. Средство регулирования 230 возвращается к анализу предоставленного средством анализа 220 контекста. Если правило ограничения из базы правил РК 150 выявлено, то потенциальное аномальное действие становится аномальным действием, т.к. выявленное правило ограничения не сработало. В этом случае средство регулирования 230 принимает решение о настройке базы правил РК 150 в соответствии с аномальным действием. В качестве решения может быть как регулировка существующих правил ограничения в базе правил РК 150, так и создание нового правила ограничения и его добавление в базу правил РК 150. Решение о дальнейшей настройке базы правил РК 150 зависит от типа выявленного аномального действия и правила ограничения, которое не сработало.Thus, the regulatory tool 230 compares the resulting context with the regulatory rules. In the event that any regulation rule worked, and no restriction rule from the RK 150 rule base responded to the detected action, then this action is a potentially anomalous action. In such a situation, the regulatory tool 230 determines the presence of any restriction rule in the base of the rules of RK 150, which will correspond to the template from the worked regulation rule. If the restriction rule from the rule base of RK 150 has not been identified, then the potential anomalous action is a permitted action and is skipped. The control means 230 returns to the analysis provided by the context analysis tool 220. If the restriction rule from the RK 150 rule base is identified, then the potential anomalous action becomes an abnormal action, because the detected restriction rule did not work. In this case, the regulatory tool 230 decides to configure the RK 150 rule base in accordance with the anomalous action. As a solution, you can either adjust the existing restriction rules in the RK 150 rule base, or create a new restriction rule and add it to the RK 150 rule base. The decision to further configure the RK 150 rule base depends on the type of anomalous action detected and the restriction rule, which did not work.

Стоит отметить, что настройку базы правил РК 150 на основе анализа поведения пользователя можно проводить как непосредственно во время работы пользователя 100 на ПК 120, так и по завершению его работы.It is worth noting that the configuration of the RK 150 rule base based on the analysis of user behavior can be carried out both directly during the operation of user 100 on PC 120, and upon completion of its work.

В том случае, если регулируется правило ограничения, которое было выявлено в базе правил РК 150, средство регулирования 230 подстраивает правило так, чтобы данное правило сработало в следующий раз при выявлении указанного аномального действия. Например, в правило может быть введен признак выявленной аномалии для того, чтобы при последующем обнаружении данного признака правило сработало и заблокировало соответствующее действие. Рассмотрим примеры такой настройки:In the event that the restriction rule that was identified in the RK 150 rule base is regulated, the regulatory tool 230 adjusts the rule so that this rule works the next time the specified anomalous action is detected. For example, a sign of a detected anomaly can be introduced into a rule so that upon the subsequent detection of this sign, the rule works and blocks the corresponding action. Consider examples of such a setting:

Пример 1.Example 1

База правил РК 150 содержит правило, которое запрещает запуск всех типов браузеров до 7 часов вечера, т.е. правило будет ограничивать работу всех известных ему браузеров. Во время работы пользователя 100 на ПК 120 сработало правило регулирования, которое обнаружило совокупность аномальных действий (аномальное поведение), указывающую на работу в неизвестном браузере. Совокупность аномальных действий была определена с помощью следующих критериев (действий и событий): было запущено неизвестное приложение, которое повысило сетевую активность; многократно увеличился обмен сетевыми пакетами; были выявлены запросы на информационные ресурсы по различным URL-адресам, которые, например, содержали GET или POST запросы. Следовательно, средство регулирования 230 должно принять решение отрегулировать правило ограничения, отвечающее за указанное ограничение, на основе выявленного аномального действия. В данном случае регулировка будет заключаться в добавлении признака выявления нового браузера (например, хеш-сумма исполняемого файла браузера) в соответствующее правило ограничения.The RK 150 rule base contains a rule that prohibits the launch of all types of browsers until 7 pm, i.e. the rule will limit the operation of all browsers known to him. During user 100’s operation on PC 120, a control rule worked, which detected a set of abnormal actions (abnormal behavior) indicating operation in an unknown browser. The set of abnormal actions was determined using the following criteria (actions and events): an unknown application was launched that increased network activity; network packet exchange has increased significantly; requests for information resources were identified at various URLs, which, for example, contained GET or POST requests. Therefore, the control means 230 must decide to adjust the restriction rule responsible for the restriction based on the detected abnormal action. In this case, the adjustment will consist in adding the sign of detecting a new browser (for example, the hash of the executable file of the browser) to the corresponding restriction rule.

Пример 2.Example 2

По аналогии с примером 1 с той разницей, что в данном случае правило регулирования определило работу в неизвестном браузере с помощью выявления HTTP-трафика (например, GET и/или POST запросы) при анализе сетевого графика. Также был определен путь (например, URL-адрес) откуда был скачан неизвестный браузер.By analogy with Example 1, with the difference that in this case the regulation rule determined operation in an unknown browser by detecting HTTP traffic (for example, GET and / or POST requests) when analyzing the network diagram. It also determined the path (for example, the URL) from where an unknown browser was downloaded.

Пример 3.Example 3

База правил РК 150 содержит правило, которое запрещает доступ к определенным сайтам (т.е. в правиле приведен исчерпывающий список таких сайтов), при этом данные сайты могут быть отнесены к одной и той же категории (например, сайты с содержанием эротики). В том случае, если определяется посещение сайта пользователем 100 и категория сайта определяется как категория сайтов с содержанием эротики, то средство регулирования 230 может занести данный сайт в список сайтов, заблокированных с помощью уже заданного правила.The RK 150 rule base contains a rule that prohibits access to certain sites (i.e., the rule provides an exhaustive list of such sites), while these sites can be assigned to the same category (for example, sites with erotic content). In the event that a visit to a site by user 100 is determined and a site category is defined as a category of sites with erotic content, then the regulatory tool 230 may add this site to the list of sites blocked by an already defined rule.

В том случае, если средство регулирования 230 приняло решение о создании нового правила, новое правило формируется на основе выявленного аномального действия и с помощью правила ограничения, которое не сработало (т.е. правило, которое должно было отвечать за блокирование выявленного аномального действия). Данное решение может быть принято в случае, когда логика существующего правила ограничения не позволяет охватить все возможные варианты по блокированию соответствующих действий пользователя 100 (например, в том случае, если существующее правило из базы данных РК 150 приходится обновлять регулярно, т.е. его постоянно обходят). После формирования нового правила ограничения, которое содержит более жесткое ограничение по сравнению с не сработавшим правилом ограничения, средство регулирования 230 добавляет его в базу правил РК 150. Примерами случаев, когда средством регулирования 230 может быть принято такое решение, являются:In the event that the regulatory tool 230 has decided to create a new rule, the new rule is formed on the basis of the detected anomalous action and using the restriction rule that did not work (i.e., the rule that should have been responsible for blocking the detected anomalous action). This decision can be made when the logic of the existing restriction rule does not allow covering all possible options for blocking the corresponding actions of user 100 (for example, if the existing rule from the database of RK 150 has to be updated regularly, i.e. it is constantly bypass). After the formation of a new restriction rule, which contains a more stringent restriction compared to the failed restriction rule, the regulatory tool 230 adds it to the RK 150 rule base. Examples of cases where the regulatory tool 230 can make such a decision are:

Пример 1.Example 1

База правил РК 150 содержит правило, запрещающее играть пользователю 100 в онлайн игры. При этом сработало правило регулирования, которое обнаружило аномальное действие, указывающее на запущенную неизвестную онлайн игру. Данное аномальное действие было выявлено на основе следующих событий: наблюдается сильная загрузка графического процессора (GPU), запущено полноэкранное приложение, производится большой обмен сетевыми пакетами. Также не может быть определена категория приложения. Следовательно, средство регулирования 230 создает более жесткое правило ограничения для ограничения данного аномального действия, например, правило, запрещающее запуск приложений, процессы которых будут сильно нагружать графический процессор, например, более 70%.RK 150 rule base contains a rule prohibiting user 100 from playing online games. In this case, the regulation rule worked, which detected an abnormal action indicating an unknown online game that was launched. This abnormal action was identified on the basis of the following events: there is a strong load on the graphic processor (GPU), a full-screen application is launched, and a large exchange of network packets is performed. Also, the category of the application cannot be determined. Therefore, the control means 230 creates a more stringent restriction rule to limit this abnormal action, for example, a rule prohibiting the launch of applications whose processes will heavily load the GPU, for example, more than 70%.

Пример 2.Example 2

База правил РК 150 содержит правило ограничения, запрещающее запуск каких-либо веб-браузеров. При этом принцип работы данного правила основан на запрете запуска всех приложений, хеш-суммы которых находятся в базе, содержащей хеш-суммы исполняемых файлов. Однако данное правило ограничения работает неэффективно, т.к. средство регулирования 230 постоянно выявляет новые версии веб-браузеров. Тогда средство регулирования 230 принимает решение о создании нового правила ограничения по блокировке приложений, которые отправляют запросы по URL-адресам.RK 150 rule base contains a restriction rule prohibiting the launch of any web browsers. At the same time, the principle of operation of this rule is based on the ban on launching all applications whose hash sums are in the database containing the hash sums of executable files. However, this restriction rule works inefficiently, because regulatory tool 230 constantly detects new versions of web browsers. Then, the regulatory tool 230 decides to create a new restriction rule to block applications that send requests to URLs.

Пример 3.Example 3

По аналогии с примером 2. В том случае, если средством регулирования 230 также определяется, что существующее правило из базы правил РК 150 постоянно модифицируется, например, постоянно добавляется информация о новых браузерах, запуск которых следует запретить до 7 часов вечера, принимается решение о создании более жесткого правила, которое позволит пресечь любое дальнейшее использование браузеров. С этой целью в базу правил РК 150 добавляется правило, которое будет блокировать любую сетевую активность, связанную с передачей данных по портам, которые используются браузерами - обычно это порты 80 или 8080. Таким образом, несмотря на то что новые браузеры будут запущены, используя их, нельзя будет отправлять стандартные http-запросы.By analogy with example 2. In the event that the regulatory tool 230 also determines that the existing rule from the RK 150 rule base is constantly being modified, for example, information about new browsers is constantly being added, the launch of which should be prohibited until 7 pm, a decision is made to create more stringent rule that will stop any further use of browsers. For this purpose, a rule is added to the RK 150 rule base that will block any network activity associated with the transfer of data on the ports used by browsers - usually these are ports 80 or 8080. Thus, despite the fact that new browsers will be launched using them , you will not be able to send standard http requests.

Пример 4.Example 4

База правил РК 150 содержит правило, которое запрещает доступ к определенным сайтам (т.е. в правиле приведен исчерпывающий список таких сайтов), при этом данные сайты могут быть отнесены к одной и той же категории (например, сайты с содержанием эротики). Определение категории может быть основано на ряде правил по анализу загруженных на веб-странице данных: например, наличие большого количества изображений, flash видео и малого количества текста может указывать на сайт с содержанием эротических или порнографических материалов или на развлекательный сайт, а наличие большого количества обновляемого текста с частым вводом со стороны пользователя может указывать на чат и т.д. Кроме того, категоризация на основании данных (например, текстовых) может быть основана и на методах нечеткой логики, использовании регулярных выражений и других способов получить вероятное заключение о категории того или иного сайта.The RK 150 rule base contains a rule that prohibits access to certain sites (i.e., the rule provides an exhaustive list of such sites), while these sites can be assigned to the same category (for example, sites with erotic content). The definition of a category can be based on a number of rules for the analysis of data downloaded on a web page: for example, the presence of a large number of images, flash videos and a small amount of text may indicate a site containing erotic or pornographic materials or an entertainment site, and the presence of a large number of updated text with frequent input from the user may indicate chat, etc. In addition, categorization based on data (for example, textual) can be based on fuzzy logic methods, the use of regular expressions and other ways to get a probable conclusion about the category of a site.

В том случае, если периодически определяется посещение сайта пользователем 100 и категория сайта определяется как категория сайтов с содержанием эротики, средство регулирования 230 может изменить существующее правило блокировки контента (сайтов), сделав правило более строгим - запретив загрузку вообще всех сайтов из категории сайтов с содержанием эротики. Данный пример хорошо иллюстрирует дополнение незаконченной конфигурации родительского контроля.In the event that the visit to the site by the user 100 is periodically determined and the site category is defined as the category of sites with erotic content, the regulatory tool 230 can change the existing rule for blocking content (sites), making the rule more strict - prohibiting the downloading of all sites from the category of sites with content erotica. This example illustrates well the addition of an unfinished parental control configuration.

Пример 5.Example 5

База правил РК 150 имеет правило ограничения, запрещающее общение с рядом контактов в социальной сети (чате, IM приложении). При этом принцип работы данного правила основан на использовании как белых (whitelist), так и черных списков (blacklist) для разрешения/запрета общения с контактом. Подобные списки могут пополняться на основании ряда низкоуровневых правил, которые берут в учет анализ текста от неизвестного контакта, его возраст и другие данные, времени общения и т.д.The RK 150 rule base has a restriction rule prohibiting communication with a number of contacts in a social network (chat, IM application). Moreover, the principle of this rule is based on the use of both white (whitelist) and black lists (blacklist) to enable / disable communication with the contact. Such lists can be replenished on the basis of a number of low-level rules that take into account the analysis of the text from an unknown contact, his age and other data, communication time, etc.

В одном из вариантов реализации система регулирования 230 создает новые временные правила. Временные правила предназначены для ограничения действий пользователя 100, которые направлены на выполнения запрещенных действий с некой периодичностью. Примерами реализации данного варианта являются:In one embodiment, regulatory system 230 creates new temporary rules. Temporary rules are intended to limit the actions of the user 100, which are aimed at performing prohibited actions at a certain frequency. Examples of the implementation of this option are:

Пример 1.Example 1

Средство регулирования 230 определяет с некой периодичностью действия, направленные на запуск запрещенного приложения, и попытки обхода правила ограничения из базы правил РК 150, отвечающего за блокирование указанного приложения. В этом случае средство регулирования 230 принимает решение о создании нового временного правила, которое, например, будет блокировать все действия контролируемого пользователя 100 до тех пор, пока пользователь - администратор не отменит данное правило. Следовательно, будет создано временное правило, которое затем будет добавлено в базу правил РК 150 с пометкой временное. После этого для пользователя - администратора будет создано уведомление о добавлении в базу правил РК 150 временного правила.The regulatory tool 230 determines with a certain frequency the actions aimed at launching the prohibited application and attempts to bypass the restriction rule from the rule base of RK 150, which is responsible for blocking the specified application. In this case, the regulatory tool 230 decides to create a new temporary rule, which, for example, will block all actions of the controlled user 100 until the administrator user cancels this rule. Therefore, a temporary rule will be created, which will then be added to the RK 150 rule base with a temporary mark. After that, a notification will be created for the administrator user to add a temporary rule to the RK rule base 150.

Пример 2.Example 2

В первый раз средство регулирования 230 определило аномальное действие, направленное на запуск приложения, например, проигрывателя медиа-файлов, хотя существует правило, ограничивающее открытие любого медиа-файла. Также средство регулирования 230 определило, что правило, отвечающее за данное ограничение, не содержит признак запущенного проигрывателя медиа-файлов. Следовательно, средство регулирования 230 принимает решение о регулировке правила ограничения, отвечающего за запрет данного действия. Регулировка будет произведена путем добавления хеш-суммы неизвестного проигрывателя в правило ограничения. Далее при работе пользователя 100 на ПК 120 средство 230 определило еще одно аномальное действие, направленное на запуск еще одного неизвестного проигрывателя медиа-файлов. В этом случае средство 230 принимает решение о создании правила ограничения с более жестким ограничением, которое будет добавлено в базу правил РК 150. Если впоследствии средство 230 обнаружит еще одно аномальное действие, направленное на запуск проигрывателя медиа-файлов, то примет решение о создании временного правила, которое существенно ограничит действия пользователя 100 на ПК 120, например ограничит работу на ПК 120 до возможности доступа только к ряду образовательных сайтов с использованием лишь одного браузера.For the first time, the regulator 230 detected an abnormal action aimed at launching an application, such as a media player, although there is a rule restricting the opening of any media file. Also, the regulatory tool 230 determined that the rule responsible for this restriction does not contain a sign of a running media player. Therefore, the regulatory tool 230 decides to adjust the restriction rule responsible for prohibiting this action. The adjustment will be made by adding the hash of the unknown player to the restriction rule. Further, when the user 100 was working on PC 120, the tool 230 detected yet another anomalous action aimed at starting another unknown media player. In this case, the tool 230 decides to create a restriction rule with a more restrictive restriction, which will be added to the RK 150 rule base. If, subsequently, the tool 230 detects yet another anomalous action aimed at launching the media file player, it will decide to create a temporary rule , which will significantly limit the actions of user 100 on PC 120, for example, restrict work on PC 120 to the ability to access only a number of educational sites using only one browser.

В одном из вариантов реализации созданное новое правило ограничения на начальном этапе может иметь статус временного правила.In one embodiment, the created new restriction rule at the initial stage may have the status of a temporary rule.

Еще один вариант реализации предусматривает создание профиля пользователя 100 на основании данных от средства наблюдения 210. В профиль можно заносить информацию о типе используемых приложений, времени использования компьютера, загружаемых/просматриваемых медиаданных, посещенных веб-страниц и т.д. На основании этих данных средство регулирования 230 может формировать новые правила ограничения, которые будут добавлены в базу правил РК 150. Примером такого правила может служить оповещение родителей/администратора системы, в том случае, если пользователь 100 ранее использовал компьютер с 7 до 9 вечера и запускал лишь определенный тип приложений (например, браузеры), изменил время использования и начал использовать другие приложения (например, игры).Another implementation option involves creating a user profile 100 based on data from the monitoring tool 210. The profile can contain information about the type of applications used, computer usage time, downloaded / viewed media data, visited web pages, etc. Based on these data, the regulatory tool 230 can generate new restriction rules, which will be added to the RK 150 rule base. An example of such a rule is the notification of parents / system administrator, if the user 100 previously used the computer from 7 to 9 pm and started only a certain type of application (for example, browsers), changed the time of use and began to use other applications (for example, games).

В частном варианте реализации средство регулирования 230 при анализе предоставленного контента средством 220 выявляет разрешенные или положительные действия, совершенные пользователем 100. Положительными действиями являются действия, направленные на обучение пользователя (ребенка) 100 или свидетельствующие об отсутствии запуска развлекательных приложений. Например, пользователь 100 не играл в течение нескольких дней в компьютерные игры или не превышал лимитированное время на использование Интернета. Другим примером положительных действий является использование определенных программ, которые администратор выделил как полезные для пользователя 100 (например, приложение, обучающее иностранному языку). Далее средство регулирования 230 может принять решение о поощрении пользователя 100. Таким поощрением может быть отмена некоторых правил ограничения или корректировка правил ограничения с целью увеличения прав доступа пользователя (ребенка) 100, например увеличение времени использования игровых приложений.In a particular embodiment, the means of regulation 230, when analyzing the provided content by means 220, detects permitted or positive actions committed by the user 100. Positive actions are actions aimed at educating the user (child) 100 or indicating the absence of launching entertainment applications. For example, user 100 did not play computer games for several days or did not exceed the limited time for using the Internet. Another example of positive actions is the use of certain programs that the administrator has identified as useful for the user 100 (for example, an application that teaches a foreign language). Further, the regulatory tool 230 may decide to reward the user 100. Such a reward may be the abolition of certain restriction rules or the adjustment of restriction rules in order to increase the access rights of the user (child) 100, for example, increase the time for using gaming applications.

Еще в одном частном случае реализации средство регулирования 230 анализирует информацию 280, полученную от внешних источников через Интернет. Информация 280 содержит сведения о действиях/поведении пользователя 100 вне работы на ПК 120. Примером такой информации 280 служит информация в виде отзыва от учителя школы, где описывается поведение ребенка и/или его оценки. Предполагается, что данная информация может быть оформлена как в виде отдельного сообщения (например, электронного письма), так и поступать в родительский контроль 130 с помощью специального интерфейса передачи данных (т.е. родительский контроль 130 может иметь реализованный интерфейс со списком API-функций для получения или предоставления данных). Действия могут быть как положительными (например, получена хорошая оценка), так и отрицательными (например, учитель сообщил о плохом поведении в классе). В зависимости от действий, совершенных вне работы на ПК 120, средство регулирования 230 будет принимать решения о настройке правил ограничения с целью их ужесточения или ослабления.In another particular case of implementation, the regulatory tool 230 analyzes the information 280 received from external sources via the Internet. Information 280 contains information about the actions / behavior of user 100 outside of work on PC 120. An example of such information 280 is information in the form of feedback from the school teacher, which describes the behavior of the child and / or his assessment. It is assumed that this information can be arranged as a separate message (for example, an e-mail), or be transferred to parental control 130 using a special data transfer interface (i.e., parental control 130 can have an implemented interface with a list of API functions to receive or provide data). Actions can be either positive (for example, a good grade is obtained) or negative (for example, the teacher reported bad behavior in the classroom). Depending on the actions performed outside of work on PC 120, the control tool 230 will make decisions on setting restriction rules in order to tighten or weaken them.

Также в частном варианте реализации система адаптации 200 содержит средство анализа результатов работы правил 260, которое проводит сбор статистики об эффективности работы добавленных в базу данных РК 150 отрегулированных, новых или временных правил ограничения в течение испытательного срока. После сбора статистики средство 260 проводит анализ по выявлению ложных срабатываний. В том случае, если для определенного правила не было выявлено ложных срабатываний, данное правило становится постоянным правилом. В том случае, если была обнаружена некорректная работа правил ограничения, средство регулирования 230 проводит дополнительную регулировку соответствующего правила ограничения. Испытательный срок регулируется пользователем - администратором или устанавливается по умолчанию. Еще одной задачей средства 260 может являться информирование средства регулирования 230 о сработавших правилах ограничения из базы правил РК 150.Also in a particular embodiment, the adaptation system 200 contains a means of analyzing the results of the rules 260, which collects statistics on the performance of 150 adjusted, new or temporary restriction rules added to the RK database during the trial period. After collecting statistics, tool 260 conducts an analysis to identify false positives. In the event that no false positives were detected for a particular rule, this rule becomes a permanent rule. In the event that an incorrect operation of the restriction rules has been detected, the control means 230 carries out additional adjustment of the corresponding restriction rule. The trial period is regulated by the user - administrator or is set by default. Another objective of the tool 260 may be to inform the regulatory tool 230 about the triggered restriction rules from the RK 150 rule base.

В частном случае реализации, средство 260 может запрашивать статистику по анализируемым правилам в облачном сервисе. Облачным сервисом может являться сервис Kaspersky Security Network. Облачный сервис содержит статистическую информацию о правилах ограничения, которая добавляется различными пользователями и компаниями - разработчиками ПО.In the particular case of implementation, the tool 260 may request statistics on the analyzed rules in the cloud service. The cloud service may be the Kaspersky Security Network service. The cloud service contains statistical information about restriction rules, which is added by various users and software development companies.

В еще одном частном варианте реализации система адаптации 200 может быть связана с аналогичными системами на других устройствах пользователя. Связь может осуществляться как через Интернет, так и посредством технологий беспроводной связи, например Bluetooth-соединения, Wi-Fi-соединения, NFC-соединения. В этом случае правила базы правил РК 150 распространяются на все устройства пользователя 100. Следовательно, в том случае, если какие-то действия будут ограничены на одном устройстве пользователя, аналогичные действия будут ограничены и на остальных устройствах. Например, если правило ограничения на одном устройстве (например, на ПК) заблокировало использование социальных сетей, т.к. было превышено время дневного использования, то соответствующее блокирование произойдет и на других устройствах (например, на смартфоне).In yet another particular embodiment, the adaptation system 200 may be associated with similar systems on other user devices. Communication can be carried out both over the Internet and through wireless technologies, such as Bluetooth connections, Wi-Fi connections, NFC connections. In this case, the rules of the rule base of RK 150 apply to all devices of the user 100. Therefore, if some actions are limited on one device of the user, similar actions will be limited on the other devices. For example, if the restriction rule on one device (for example, on a PC) blocked the use of social networks, because If the time of daily use was exceeded, the corresponding blocking will occur on other devices (for example, on a smartphone).

На Фиг.3 показан алгоритм адаптивной настройки базы правил родительского контроля, содержащей правила ограничения пользователя на основе анализа поведения пользователя. На этапе 310 система адаптации 200 проводит сбор информации обо всех действиях, совершенных контролируемым пользователем 100, и событиях, произошедших в ОС во время работы контролируемого пользователя 100, а именно о событиях, инициированных действиями пользователя 100. Информацию о совершенных действиях система адаптации 200 получает от модулей 140, а информацию о произошедших событиях формирует средство наблюдения 210. Далее вся информация передается средству анализа 220. На этапе 320 средство анализа 220 проводит анализ полученной информации и формирует контекст в виде списка, который содержит все совершенные действия пользователя 100 и все произошедшие события в ОС, связанные с совершенными действиями. По мере формирования контекста средство анализа 220 будет предоставлять его средству регулирования 230 в виде списка. На этапе 330 средство регулирования 230 проводит анализ предоставленного контекста с помощью правил регулирования из базы правил регулирования 240. Правила регулирования содержат критерии определения типа совершенных действий, решение о типе действия и шаблон правил ограничения, с помощью которого может быть создано правило ограничения для определенного типа действия. После определения типа совершенного действия средство регулирования 230 проверяет информацию о сработавших правилах ограничения из базы правил РК 150. В том случае, если данное действие было заблокировано одним из правил ограничения из базы правил РК 150, действие пропускается. Это свидетельствует о том, что правила родительского контроля работают эффективно. В противном случае, если ни одно из правил ограничения не сработало, на этапе 340 средство регулирования 230 проверяет в базе правил РК 150 наличие правила ограничения, которое должно было заблокировать выявленное действие.Figure 3 shows the adaptive tuning algorithm of the parental control rule base containing user restriction rules based on an analysis of user behavior. At step 310, the adaptation system 200 collects information about all actions performed by the controlled user 100 and events that occurred in the OS during the operation of the controlled user 100, namely, events initiated by the actions of the user 100. Information about the completed actions is received by the adaptation system 200 from modules 140, and information about the events that form the monitoring tool 210. Next, all information is transmitted to the analysis tool 220. At step 320, the analysis tool 220 analyzes the received information and forms ruet context in a list, which contains all the committed actions of the user 100 and all the events in the OS related to the fulfillment of actions. As the context builds, analyzer 220 will provide it to regulator 230 in a list. At 330, the regulatory tool 230 analyzes the provided context using the regulatory rules from the base of the regulatory rules 240. The regulatory rules contain criteria for determining the type of action taken, a decision on the type of action, and a restriction rule template with which to create a restriction rule for a specific type of action . After determining the type of the committed action, the regulatory tool 230 checks the information about the triggered restriction rules from the RK 150 rule base. If this action was blocked by one of the restriction rules from the RK 150 rule base, the action is skipped. This indicates that parental control rules are working efficiently. Otherwise, if none of the restriction rules has worked, at step 340, the regulator 230 checks in the rule base of RK 150 the presence of the restriction rule, which should block the detected action.

Рассмотрим пример анализа контекста с помощью правила регулирования и последующего выявления соответствующего правила ограничения. База правил РК 150 содержит правило ограничения, которое заключается в блокировке запуска приложений из категории "Игры" после 8 часов вечера. Средство регулирования 230 выявляет в анализируемом контексте следующие события и действия: запущено приложение (определить категорию не удалось), высокое использование ресурсов CPU и GPU, используется API Direct3D, приложение работает в полноэкранном режиме. Далее средство регулирования 230 из базы правил регулирования 240 находит следующее правило регулирования: Если контекст = <описанному выше контексту>, ТО приложение входит в категорию "Игры".Consider an example of context analysis using a regulatory rule and then identifying the corresponding restriction rule. RK 150 rule base contains a restriction rule, which consists in blocking the launch of applications from the "Games" category after 8 pm. The regulatory tool 230 identifies the following events and actions in the analyzed context: the application is launched (it was not possible to determine the category), high CPU and GPU resources are used, the Direct3D API is used, the application runs in full screen mode. Further, the regulatory tool 230 from the base of the regulatory rules 240 finds the following regulatory rule: If the context = <the context described above>, then the application is included in the "Games" category.

Также правило может иметь дополнительные условия, например:A rule may also have additional conditions, for example:

- Если подобное аномальное действие встречается впервые (т.е. первый раз РК пропустил игру), ТО приложение добавляется в категорию "Игры";- If such an abnormal action occurs for the first time (i.e., the first time the RC missed the game), then the application is added to the "Games" category;

- Если подобное аномальное действие встречается больше одного раза, ТО создается временное правило по блокировке запуска всех приложений кроме ряда разрешенных (если таковые имеются) и отправляется отчет администратору о срабатывании данного условия;- If such an anomalous action occurs more than once, then a temporary rule is created to block the launch of all applications except a number of allowed (if any) and a report is sent to the administrator about the triggering of this condition;

- Если пользователь пытается многократно (например, более пяти раз) запустить запрещенное приложение, ТО указанное выше временное правило переводится в постоянное правило и отправляется отчет администратору о срабатывании данного условия.- If the user tries repeatedly (for example, more than five times) to launch a prohibited application, then the above temporary rule is translated into a permanent rule and a report is sent to the administrator about the triggering of this condition.

В том случае, если правило ограничения в базе правил РК 150 не было найдено, выявленное действие пропускается, т.к. администратором не было введено ограничение соответствующего действия, и средство регулирования 230 возвращается к этапу 320 за следующим контекстом. В том случае, если правило ограничения было обнаружено, выявленное действие считается аномальным действием, т.к. правило ограничения не заблокировало выявленное действие. Аномальным действием является действие, которое запрещено для контролируемого пользователя, но не было заблокировано с помощью правил ограничения пользователя. На этапе 350 определяется тип настройки базы правил РК 150. Тип настройки определяется в соответствии с оценкой возможности подстройки не сработавшего правила ограничения. Например, оценка указывает, что правило ограничения может быть отрегулировано с помощью добавления в него признака выявленного действия, которое впоследствии будет выявлять данное действие и, соответственно, блокировать его. Если оценка подстройки правила ограничения показала, что данное правило ограничения не может быть отрегулировано, то будет создано новое правило ограничения. Примером такой оценки является следующий вариант реализации: родительский контроль содержит, например, как минимум два признака оценки контроля пользователя: «сильное ограничение» и «слабое ограничение». Тип ограничения накладывается на пользователя в соответствии с изначально введенными администратором правилами ограничения. Если правила ограничения блокируют все действия, которые не соответствую перечню разрешенных действий, то это «сильное ограничение». Если правила ограничения блокируют только сайты, содержащие порнографические материалы, а остальные действия на компьютере разрешены, то это «слабое ограничение». Таким образом, решение о регулировки правил ограничения будут приниматься и на основе ранее определенного типа ограничения. Так, если тип ограничения определен как «сильное ограничение», то в случае обнаружения аномального действия будет создано новое более жесткое правило. Если же тип ограничения определен как «слабое ограничение», то будет только отрегулировано правило ограничения, которое отвечает за ограничение выявленного аномального действия.In the event that the restriction rule in the rule base of RK 150 was not found, the identified action is skipped, because the administrator has not imposed a restriction on the corresponding action, and the control means 230 returns to step 320 for the following context. In the event that a restriction rule was found, the detected action is considered an abnormal action, because the restriction rule did not block the detected action. An abnormal action is an action that is prohibited for the controlled user, but has not been blocked by user restriction rules. At step 350, the type of tuning of the rule base of RK 150 is determined. The type of tuning is determined in accordance with the assessment of the possibility of adjusting the non-triggered restriction rule. For example, an assessment indicates that the restriction rule can be adjusted by adding a sign of the detected action to it, which will subsequently identify this action and, accordingly, block it. If the evaluation of the adjustment of the restriction rule shows that this restriction rule cannot be adjusted, a new restriction rule will be created. An example of such an assessment is the following implementation option: parental control contains, for example, at least two signs of the assessment of user control: “strong restriction” and “weak restriction”. The type of restriction is imposed on the user in accordance with the restriction rules originally introduced by the administrator. If the restriction rules block all actions that do not correspond to the list of allowed actions, then this is a “strong restriction”. If restriction rules block only sites containing pornographic materials, and other actions on the computer are allowed, then this is a “weak restriction”. Thus, the decision to adjust the restriction rules will be made on the basis of a previously defined type of restriction. So, if the type of restriction is defined as a “strong restriction”, then in the event of an abnormal action, a new stricter rule will be created. If the type of restriction is defined as “weak restriction”, then only the restriction rule will be adjusted, which is responsible for limiting the detected anomalous action.

Как было описано в примере, новое правило ограничения будет иметь более жесткие параметры ограничения (блокирования действий), которые охватят выявленное аномальное действие. Таким образом, настройка базы правил РК 150 будет произведена с помощью регулировки содержащихся в ней правил ограничения или создания нового правила ограничения, которое позволит ограничить аномальное действие, с последующим его добавлением в базу правил РК 150.As described in the example, the new restriction rule will have more stringent restriction (blocking actions) parameters that will cover the detected anomalous action. Thus, the setting of the RK 150 rule base will be done by adjusting the restriction rules contained in it or by creating a new restriction rule that will allow restricting the anomalous action, with its subsequent addition to the RK 150 rule base.

Стоит отметить, что настройку базы правил РК 150 на основе анализа поведения пользователя можно проводить как непосредственно во время работы пользователя 100 на ПК 120, так и по завершению его работы.It is worth noting that the configuration of the RK 150 rule base based on the analysis of user behavior can be carried out both directly during the operation of user 100 on PC 120, and upon completion of its work.

В частном варианте реализации новые правила ограничения могут формироваться как временные правила ограничения. В этом случае средство регулирования 230 будет также направлять администратору уведомление о наличии созданного временного правила ограничения. Администратор, в свою очередь, сможет проверить правильность наложенного ограничения и, в случае корректного создания правила ограничения, отметит его как основное (обычное) правило ограничения.In a particular embodiment, new restriction rules may be formed as temporary restriction rules. In this case, the regulatory tool 230 will also notify the administrator of the existence of the created temporary restriction rule. The administrator, in turn, will be able to verify the correctness of the imposed restriction and, if the restriction rule is created correctly, will mark it as the main (normal) restriction rule.

В еще одном частном варианте реализации проводится анализ корректности работы отредактированного, нового или временного правила ограничения с помощью средства анализа результатов работы правил 260. Другими словами, будет проводиться проверка правил ограничения на наличие ложных срабатываний. Данный случай реализации рассмотрен на Фиг.4.In another particular embodiment, the analysis of the correctness of the edited, new or temporary restriction rule is performed using the analysis tool for the results of the rules 260. In other words, the restriction rules will be checked for false positives. This implementation case is considered in FIG. 4.

Стоит отметить, что в одном из вариантов реализации на этапе 340 при анализе предоставленного контекста в качестве аномального поведения средство регулирования 230 будет также определять и положительные действия, совершенные пользователем 100. Положительными действиями являются действия, направленные на обучение пользователя (ребенка) 100 или свидетельствующие об отсутствии запуска развлекательных приложений (например, пользователь 100 не играл в течение нескольких дней в компьютерные игры). В том случае, если средство регулирования 230 определило положительное действие, также будет проведена настройка базы правил РК 150, но с целью увеличения прав доступа пользователя 100. Таким образом, база правил РК 150 будет изменена так, что содержащиеся в ней правила ограничения будут ослаблены (т.е. уменьшится количество блокирующих критериев) или удалены. Например, настройка базы правил РК 150 приведет к увеличению допустимого времени использования ПК 120 пользователем (ребенком) 100 или разрешению пользователю 100 использовать веб-ресурсы, которое были ранее заблокированы.It is worth noting that in one embodiment, at step 340, when analyzing the provided context as anomalous behavior, the regulatory tool 230 will also determine the positive actions performed by the user 100. Positive actions are actions aimed at educating the user (child) 100 or indicating lack of launching entertainment applications (for example, user 100 did not play computer games for several days). In the event that the regulatory tool 230 determines a positive action, the rule base of rules of RK 150 will also be set up, but in order to increase the access rights of user 100. Thus, the rule base of RK 150 will be changed so that the restriction rules contained in it are relaxed ( i.e. the number of blocking criteria will decrease) or deleted. For example, setting up the RK 150 rule base will lead to an increase in the allowable time for PC 120 to be used by a user (child) 100 or to permit user 100 to use web resources that were previously blocked.

В еще одном варианте реализации, пример работы системы, приведенный на Фиг.3 также можно заранее задать правила в базе правил РК 150, основываясь на модели поведения некоторого "идеального" пользователя 100. Подобная модель может основываться на статистике усредненных действий всех известных пользователей 100, что позволит создать такие правила РК, которые будут подходить с разной долей вероятности для всех будущих пользователей 100.In another embodiment, the example of the system, shown in Figure 3, you can also pre-set the rules in the rule base of RK 150, based on the behavior model of some "ideal" user 100. A similar model can be based on statistics of averaged actions of all known users 100, which will allow creating such rules of the Republic of Kazakhstan that will be suitable with different degrees of probability for all future users 100.

На Фиг.4 показана схема алгоритма работы средства анализа результатов работы правил 260 в системе адаптивной настройки правил ограничения на основе анализа поведения пользователя. На этапе 410 средство анализа результатов работы правил 260 собирает статистику по результатам работы правил ограничения, которые были добавлены в базу правил РК 150. Добавленными правилами являются отрегулированные, новые или временные правила. Информация о добавленных правилах может собираться как за счет наблюдения за реагированием соответствующих правил ограничения на действия, совершаемые пользователем 100 на ПК 120, так и за счет запроса в облачный сервис. После сбора статистики на этапе 420 проводится анализ собранной информации, на основе которого дается оценка работе добавленного правила. Оценка заключается в определении ложного срабатывания, т.е. случая, когда добавленное правило блокирует разрешенные действия пользователя 100. Определение ложного срабатывания может происходить путем обратной связи пользователя 100 с администратором. В таком случае администратор может помечать данное правило как некорректное. Другим способом определения ложного срабатывания является сравнение заблокированных приложений со списками легитимных приложений с помощью хеш-сумм. На этапе 430 средство анализа результатов работы правил 260 определяет, необходима ли корректировка добавленного правила. В случае? если было определено, что добавленному правилу необходима корректировка, то на этапе 440 определяются критерии правила ограничения, которые необходимо исправить или удалить. Указанные критерии передаются средству регулирования 230. На этапе 450 средство регулирования 230 корректирует соответствующее правило ограничения согласно полученной информации, после чего заменяет соответствующее правило из базы правил РК 150 на откорректированное правило. В том случае, если было определено, что добавленное правило не нуждается в корректировке, на этапе 460 с добавленного правила снимается статус - «отрегулированное», «временное» или «новое», данное правило становится постоянным правилом, а средство анализа результатов работы правил 260 продолжает работу.Figure 4 shows a diagram of the algorithm for analyzing the results of the rules 260 in the system of adaptive tuning of restriction rules based on the analysis of user behavior. At step 410, a tool for analyzing the results of the work of rules 260 collects statistics on the results of the work of the restriction rules that were added to the rule base of RK 150. The added rules are adjusted, new or temporary rules. Information about the added rules can be collected both by monitoring the response of the corresponding rules to restrictions on the actions performed by the user 100 on the PC 120, and by requesting to the cloud service. After collecting statistics at step 420, an analysis of the collected information is carried out, on the basis of which an assessment of the operation of the added rule is given. The assessment is to determine the false positive, i.e. cases when the added rule blocks the permitted actions of the user 100. The determination of a false positive can occur by feedback of the user 100 with the administrator. In this case, the administrator may mark this rule as incorrect. Another way to detect a false positive is to compare blocked applications with lists of legitimate applications using hash sums. At step 430, an analysis tool for rules 260 determines whether an adjustment to the added rule is necessary. When? if it was determined that the added rule needs to be adjusted, then at step 440 the criteria of the restriction rule are determined that need to be corrected or deleted. These criteria are transferred to the control means 230. At step 450, the control means 230 adjusts the corresponding restriction rule according to the information received, and then replaces the corresponding rule from the RK 150 rule base with the adjusted rule. In the event that it was determined that the added rule does not need to be adjusted, at step 460 the status “adjusted”, “temporary” or “new” is removed from the added rule, this rule becomes a permanent rule, and the means of analyzing the results of rules 260 continues to work.

Фиг.5 представляет пример компьютерной системы общего назначения (может быть как персональным компьютер, так и сервером) 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.5 is an example of a general-purpose computer system (it can be either a personal computer or a server) 20, comprising a central processor 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processor 21. The system bus 23 is implemented as any bus structure known in the art, which in turn contains a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interacting with any other bus Noah architecture. The system memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26, contains basic procedures that ensure the transfer of information between the elements of the personal computer 20, for example, at the time of loading the operating ROM systems 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20 in turn contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29, and an optical drive 30 for reading and writing to removable optical disks 31, such as a CD-ROM, DVD -ROM and other optical information carriers. The hard disk 27, the magnetic disk drive 28, the optical drive 30 are connected to the system bus 23 through the interface of the hard disk 32, the interface of the magnetic disks 33 and the interface of the optical drive 34, respectively. Drives and associated computer storage media are non-volatile means of storing computer instructions, data structures, software modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флэш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27, a removable magnetic disk 29, and a removable optical disk 31, but it should be understood that other types of computer storage media 56 that can store data in a form readable by a computer (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.) that are connected to the system bus 23 through the controller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п.Computer 20 has a file system 36 where the recorded operating system 35 is stored, as well as additional software applications 37, other program modules 38, and program data 39. The user is able to enter commands and information into personal computer 20 via input devices (keyboard 40, keypad “ the mouse "42). Other input devices (not displayed) can be used: microphone, joystick, game console, scanner, etc.

Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.Such input devices are, as usual, connected to the computer system 20 via a serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or a universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 through an interface such as a video adapter 48. In addition to the monitor 47, the personal computer may be equipped with other peripheral output devices (not displayed), such as speakers, a printer, and the like.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.5. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the creature the personal computer 20 of FIG. 5. Other devices, such as routers, network stations, peer-to-peer devices, or other network nodes may also be present on the computer network.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 50 via a network adapter or network interface 51. When using the networks, the personal computer 20 may use a modem 54 or other means of providing communication with a global computer network such as the Internet. The modem 54, which is an internal or external device, is connected to the system bus 23 via the serial port 46. It should be clarified that the network connections are only exemplary and are not required to display the exact network configuration, i.e. in reality, there are other ways to establish a technical connection between one computer and another.

В заключение следует отметить, что приведенные в описании сведения являются только примерами, описывающими основной изобретательский замысел автора, которые не ограничивают объем настоящего изобретения теми примерами, которые упоминались ранее. Приведенные сведения, прежде всего, предназначены для решения узкой задачи. С течением времени и с развитием технического прогресса такая задача усложняется или эволюционирует. Появляются новые средства, которые способны выполнить новые требования. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.In conclusion, it should be noted that the information provided in the description are only examples describing the main inventive concept of the author, which do not limit the scope of the present invention to those examples that were mentioned earlier. The above information is primarily intended to solve a narrow problem. Over time and with the development of technological progress, such a task becomes more complicated or evolves. New tools are emerging that are able to fulfill new requirements. One skilled in the art will recognize that there may be other embodiments of the present invention consistent with the spirit and scope of the present invention.

Claims (13)

1. Способ настройки базы правил ограничения родительского контроля, содержащий этапы, на которых:
а) отслеживают произошедшие события в операционной системе, инициированные действиями пользователя на персональном компьютере;
б) формируют контекст, содержащий действия, совершенные пользователем, и события, инициированные совершенными действиями;
в) анализируют сформированный контекст с помощью правил регулирования;
г) выявляют действие, совершенное пользователем на основании указанного анализа, при этом выявленное действие является запрещенным действием для пользователя, но в то же время данное действие не было заблокировано с помощью правил ограничения пользователя из упомянутой базы правил ограничения родительского контроля;
д) настраивают базу правил ограничения родительского контроля, в зависимости от выявленного действия,
- где в качестве настройки базы правил ограничения родительского контроля, по крайней мере, является регулировка правил ограничения, содержащихся в упомянутой базе правил ограничения родительского контроля, или создание нового правила ограничения, которое блокирует упомянутое выявленное действие.1. A method for setting up a parental control restriction rule base, comprising the steps of:
a) monitor the events that occurred in the operating system, initiated by user actions on a personal computer;
b) form a context containing the actions committed by the user and the events initiated by the committed actions;
c) analyze the formed context using regulatory rules;
d) identify the action performed by the user on the basis of the specified analysis, while the detected action is a prohibited action for the user, but at the same time, this action was not blocked using the user restriction rules from the database of parental control restriction rules;
e) set up the rule base for parental control restrictions, depending on the detected action,
- where, as the setting of the parental control restriction rule base, at least, is to adjust the restriction rules contained in the said parental control restriction rule base, or create a new restriction rule that blocks the identified action. 2. Способ по п.1, в котором отрегулированному или новому правилу присваивается статус временного правила.2. The method of claim 1, wherein the adjusted or new rule is assigned the status of a temporary rule. 3. Способ по п.2, в котором собирают статистику по работе временных правил ограничения.3. The method according to claim 2, in which statistics are collected on the operation of temporary restriction rules. 4. Способ по п.3, в котором корректируют временные правила на основе собранной статистики.4. The method according to claim 3, in which the time rules are adjusted based on the collected statistics. 5. Способ по п.4, в котором корректировка проводится в случае ложного срабатывания.5. The method according to claim 4, in which the adjustment is carried out in the event of a false positive. 6. Способ по п.1, в котором выявленным на этапе г) действием является действие, направленное на обучение пользователя или иллюстрирующее отсутствие запуска развлекательных приложений.6. The method according to claim 1, in which the action identified in step g) is an action aimed at educating the user or illustrating the lack of launching entertainment applications. 7. Способ по п.1, в котором правила регулирования содержат в себе признаки выявленных на этапе г) действий и решение о типе совершенного действия.7. The method according to claim 1, in which the regulatory rules contain the signs identified in step g) of the action and the decision on the type of perfect action. 8. Способ по п.1, в котором средства контроля и блокировки поведения пользователя входят в состав родительского контроля.8. The method according to claim 1, in which means of control and blocking user behavior are part of parental control. 9. Система настройки базы правил ограничения родительского контроля, которая включает в себя:
а) средство наблюдения, предназначенное для сбора информации о произошедших событиях в операционной системе, инициированных действиями пользователя, и передает упомянутую информацию средству анализа;
б) по крайней мере, одно внешнее средство контроля за действиями пользователя, предназначенное для сбора информации обо всех действиях, совершенных пользователем, и обо всех правилах ограничения, которые сработали на указанные действия, и передает упомянутую информацию средству анализа;
в) средство анализа, предназначенное для формирования контекста на основе обработки полученной информации от средства наблюдения и информации, предоставляемой, по крайней мере, одним внешним средством контроля за действиями пользователя, и предоставляет сформированный контекст средству регулирования,
где под обработкой понимается анализ полученной информации с целью определения связи между совершенными действиями пользователя и произошедшими событиями в операционной системе,
где в качестве контекста является, по крайней мере, информация о действиях пользователя и произошедших событиях, связанных с указанными действиями;
г) базу правил регулирования, предназначенную для хранения правил регулирования и их предоставления средству регулирования;
д) средство регулирования, предназначенное для:
- анализа предоставленного контекста, на основе которого выявляется, по крайней мере, одно действие пользователя, которое является запрещенным, но при этом не сработало ни одно правило ограничения из базы правил ограничения родительского контроля,
- настройки базы правил ограничения родительского контроля на основе выявленного действия,
- где настройка базы правил ограничения родительского контроля, по крайней мере, является:
- регулировка правил ограничения из базы правил ограничения родительского контроля для блокирования выявленного действия,
- создания нового правила ограничения, которое будет блокировать выявленное действие.9. A system for setting up a database of parental control restriction rules, which includes:
a) a monitoring tool designed to collect information about events that occurred in the operating system, initiated by the actions of the user, and transfers the above information to the analysis tool;
b) at least one external means of monitoring the user's actions, designed to collect information about all the actions performed by the user, and about all the restriction rules that worked on these actions, and transfers the information to the analysis tool;
c) an analysis tool designed to form a context based on the processing of information received from the monitoring tool and information provided by at least one external means of monitoring user actions, and provides the generated context to the regulatory tool,
where processing refers to the analysis of the information received in order to determine the relationship between the committed user actions and the events that occurred in the operating system,
where the context is at least information about user actions and events that have occurred associated with these actions;
d) a base of regulatory rules designed to store regulatory rules and provide them to a regulatory tool;
d) a means of regulation intended for:
- analysis of the provided context, on the basis of which at least one user action that is prohibited is detected, but at the same time not a single restriction rule from the database of parental control restriction rules has worked,
- settings of the parental control restriction rule base based on the detected action,
- where the configuration of the parental control restriction rule base is at least:
- adjustment of restriction rules from the database of parental control restriction rules to block the detected action,
- creating a new restriction rule that will block the detected action. 10. Система по п.9, которая содержит средство анализа результатов работы правил, которое предназначено для сбора статистики по отрегулированным и новым правилам ограничения из базы правил ограничения родительского контроля, анализа собранной статистики, выявления ложных срабатываний на основе проведенного анализа и информирования средства регулирования о ложном срабатывании.10. The system according to claim 9, which contains a means of analyzing the results of the rules, which is designed to collect statistics on regulated and new restriction rules from the database of parental control restriction rules, analyze collected statistics, identify false positives based on the analysis and inform the regulatory tool about false positive. 11. Система по п.9, в которой в качестве внешних средств контроля за действиями пользователя являются, по крайней мере, средства контроля и блокирования системы родительского контроля.11. The system according to claim 9, in which at least the means of control and blocking the parental control system are external controls for user actions. 12. Система по п.9, в которой правилами регулирования являются правила, содержащие критерии определения типа совершенных действий, решение о виде действия и шаблон правил ограничения, с помощью которого может быть создано правило ограничения для определенного типа действия.12. The system according to claim 9, in which the regulatory rules are the rules containing the criteria for determining the type of actions performed, the decision on the type of action and the template of restriction rules by which a restriction rule can be created for a certain type of action. 13. Система по п.9, в которой в качестве выявленного с помощью средства регулирования действия является действие, направленное, по крайней мере, на обучение пользователя. 13. The system according to claim 9, in which, as identified by means of regulation of the action is an action aimed at least to educate the user.
RU2012156444/08A 2012-12-25 2012-12-25 System and method of adaptive control and monitoring of user actions based on user behaviour RU2534935C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2012156444/08A RU2534935C2 (en) 2012-12-25 2012-12-25 System and method of adaptive control and monitoring of user actions based on user behaviour

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2012156444/08A RU2534935C2 (en) 2012-12-25 2012-12-25 System and method of adaptive control and monitoring of user actions based on user behaviour

Publications (2)

Publication Number Publication Date
RU2012156444A RU2012156444A (en) 2014-06-27
RU2534935C2 true RU2534935C2 (en) 2014-12-10

Family

ID=51216130

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012156444/08A RU2534935C2 (en) 2012-12-25 2012-12-25 System and method of adaptive control and monitoring of user actions based on user behaviour

Country Status (1)

Country Link
RU (1) RU2534935C2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2632656C2 (en) * 2014-10-24 2017-10-06 Лингуалео, Инк. System and methodology of automatic language learning on basis of syntactic models frequency
RU177377U1 (en) * 2016-10-28 2018-02-19 Общество с ограниченной ответственностью "ТопВью" DEVICE FOR DETERMINING THE INTERESTS OF THE CHILD AND EVALUATING THE LEVEL OF THREATS TO THE CHILD ON THE INTERNET
RU2811731C2 (en) * 2022-06-29 2024-01-16 Общество с ограниченной ответственностью "Солар Секьюрити" Method for optimizing information security policies based on user behaviour patterns

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2350211A (en) * 1999-01-14 2000-11-22 Paul William Kuczora Internet browser software lock
RU2316903C2 (en) * 2003-06-06 2008-02-10 Хювэй Текнолоджиз Ко., Лтд. Method for checking user access privileges in a wireless local network
RU2326439C2 (en) * 2002-06-28 2008-06-10 Майкрософт Корпорейшн Setting of access restriction means and notification about them

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2350211A (en) * 1999-01-14 2000-11-22 Paul William Kuczora Internet browser software lock
RU2326439C2 (en) * 2002-06-28 2008-06-10 Майкрософт Корпорейшн Setting of access restriction means and notification about them
RU2316903C2 (en) * 2003-06-06 2008-02-10 Хювэй Текнолоджиз Ко., Лтд. Method for checking user access privileges in a wireless local network

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2632656C2 (en) * 2014-10-24 2017-10-06 Лингуалео, Инк. System and methodology of automatic language learning on basis of syntactic models frequency
RU177377U1 (en) * 2016-10-28 2018-02-19 Общество с ограниченной ответственностью "ТопВью" DEVICE FOR DETERMINING THE INTERESTS OF THE CHILD AND EVALUATING THE LEVEL OF THREATS TO THE CHILD ON THE INTERNET
RU2811731C2 (en) * 2022-06-29 2024-01-16 Общество с ограниченной ответственностью "Солар Секьюрити" Method for optimizing information security policies based on user behaviour patterns

Also Published As

Publication number Publication date
RU2012156444A (en) 2014-06-27

Similar Documents

Publication Publication Date Title
US8793207B1 (en) System and method for adaptive control of user actions based on user&#39;s behavior
US20230396685A1 (en) Systems and Methods for Controlling Data Exposure Using Artificial-Intelligence-Based Periodic Modeling
Wijesekera et al. The feasibility of dynamically granted permissions: Aligning mobile privacy with user preferences
US9825978B2 (en) Lateral movement detection
RU2477929C2 (en) System and method for prevention safety incidents based on user danger rating
US9223961B1 (en) Systems and methods for performing security analyses of applications configured for cloud-based platforms
RU2494453C2 (en) Method for distributed performance of computer security tasks
CN109274637B (en) System and method for determining distributed denial of service attacks
US8301653B2 (en) System and method for capturing and reporting online sessions
US10534925B2 (en) Detection of compromised devices via user states
Xie et al. Innocent by association: early recognition of legitimate users
KR101886891B1 (en) Unified policy over heterogenous device types
US20160255104A1 (en) Network intrusion detection
US11153332B2 (en) Systems and methods for behavioral threat detection
WO2020257428A1 (en) Dynamically controlling access to linked content in electronic communications
CN113158192B (en) Batch construction and management method and system for anti-detection online social network virtual users
RU2534935C2 (en) System and method of adaptive control and monitoring of user actions based on user behaviour
CN103218554A (en) System and method for controlling user action on basis of user action adaptation
RU2634182C1 (en) Method of contradiction to unfair applications rates
Zonouz Game-theoretic intrusion response and recovery
Jerkovic et al. Vulnerability Analysis of most Popular Open Source Content Management Systems with Focus on WordPress and Proposed Integration of Artificial Intelligence Cyber Security Features.
EP3432544B1 (en) System and method of determining ddos attacks
HARSHA et al. DIFFUSION OF PRIVACY OF SOCIAL NETWORK
Ashutosh et al. Detecting Malicious Apps on OSN Facebook Walls
Wijesekera Contextual permission models for better privacy protection