RU2543564C1 - Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам - Google Patents

Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам Download PDF

Info

Publication number
RU2543564C1
RU2543564C1 RU2014110847/08A RU2014110847A RU2543564C1 RU 2543564 C1 RU2543564 C1 RU 2543564C1 RU 2014110847/08 A RU2014110847/08 A RU 2014110847/08A RU 2014110847 A RU2014110847 A RU 2014110847A RU 2543564 C1 RU2543564 C1 RU 2543564C1
Authority
RU
Russia
Prior art keywords
access
input
output
resources
unit
Prior art date
Application number
RU2014110847/08A
Other languages
English (en)
Inventor
Андрей Юрьевич Щеглов
Константин Андреевич Щеглов
Original Assignee
Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" filed Critical Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе"
Priority to RU2014110847/08A priority Critical patent/RU2543564C1/ru
Application granted granted Critical
Publication of RU2543564C1 publication Critical patent/RU2543564C1/ru

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

Изобретение относится к области защиты от несанкционированного доступа к информации. Технический результат заключается в расширении функциональных возможностей системы контроля доступа к ресурсам за счет реализации функций обнаружения и предотвращения вторжений. Система содержит: блок анализа запроса доступа, блок определения процесса, запрашивающего доступ, решающий блок, блок аудита несанкционированных событий, блок завершения процесса, блок хранения прав доступа к ресурсам. 2 ил.1 с.п. ф-лы, 2 илл.

Description

Изобретение относится к области вычислительной техники, а именно к области защиты от несанкционированного доступа (НСД) к информации, создаваемой, обрабатываемой и хранимой в компьютерных системах (КС).
Основой защиты информации от несанкционированного доступа является реализация контроля (разграничения прав) доступа к защищаемым ресурсам - это файловые объекты, объекты реестра ОС, устройства, сетевые объекты, сервисы олицетворения и т.д. При этом для субъектов доступа (в известных системах - для пользователей - учетных записей) задаются правила доступа (в зависимости от ресурса, разрешение/запрет чтения, исполнения, записи и т.д.). Любой запрос доступа к защищаемом ресурсу (в отношении которого реализована разграничительная политика доступа) перехватывается диспетчером доступа (решающим блоком) и анализируется на непротиворечивость заданным администратором правилам. В результате данного анализа санкционированный доступ диспетчером разрешается, а несанкционированный доступ блокируется, параметры несанкционированного запроса доступа (время, субъект и объект доступа, запрошенный тип доступа и т.д.) диспетчером фиксируются в журнале аудита (как правило, записываются в соответствующем файле).
Несанкционированный доступ к защищаемым ресурсам в КС может быть реализован либо в результате несанкционированных (запрещенных разграничительной политикой) действий пользователя, либо в результате осуществления вторжения в вычислительную систему, реализуемого за счет наделения некоторыми вредоносными свойствами процесса (приложения), функционирующего в КС (причин тому множество - наличие уязвимости приложения, например, найденная ошибка программирования, использование вредоносных скриптов и т.п.), либо запуска вредоносной программы.
В общем случае, данные события различимы, т.е. факт вторжения в КС может быть идентифицирован, например, попытка запуска интернет-браузером программы (что должно быть запрещено разграничительной политикой), попытка доступа к ресурсам браузером под системной учетной записью, либо под учетной записью администратора, что опять же должно предотвращаться, попытка удаления/модификации браузером системных файлов, попытка доступа браузером к информации (файловым объектам), обрабатываемой иными приложениями, и т.д.
Таким образом, средствами контроля доступа к ресурсам в КС может быть реализована разграничительная политика, направленная на предотвращение атак на защищаемые ресурсы, реализуемых, в том числи, за счет вторжения в КС. Однако при этом разграничительная политика доступа должна строиться не в отношении субъекта доступа "пользователь", а в отношении субъекта доступа, задаваемого двумя сущностями: пользователь (учетная запись), процесс (полнопутевое имя исполняемого файла процесса), т.е. диспетчером доступа должны контролироваться события: какой пользователь, каким процессом запросил доступ к ресурсу (именно для определяемых подобным образом субъектов должны разграничиваться права доступа к ресурсам). При этом вторжения будут фиксироваться средствами аудита. В результате (при добавлении в субъект доступа сущности "процесс" в разграничительной политике) может быть реализована система обнаружения вторжений.
Однако важнейшей задачей защиты является не только обнаружение, но и предотвращение вторжений. В рассматриваемом выше случае предотвращаются атаки на защищаемые ресурсы (разграничиваются права доступа), реализуемые в результате осуществления вторжения, собственно же вторжение не предотвращается - процесс (приложение), на который осуществлена атака - являющийся инструментом вторжения злоумышленника, остается в КС активным, находится под его управлением и может далее эксплуатироваться злоумышленником с целью осуществления иных атак. Предотвращение же вторжения состоит в принудительном завершении процесса (приложения), на который осуществлена атака, в результате которой процесс (приложение) становится инструментом вторжения злоумышленника.
Защита КС от вторжений на основе контроля доступа к ресурсам должна состоять в следующем:
- разграничительной политикой доступа должна предотвращаться возможность несанкционированного доступа к ресурсам, основанного на использовании злоумышленником процесса (приложения) в качестве инструмента вторжения. Данные события могут быть идентифицированы, т.к. в общем случае они отличимы от несанкционированных (запрещенных разграничительной политикой) действий пользователей в КС (в данном случае процесс (приложение) реализует санкционированные для него функции - несанкционированные действия вызваны не поведением процесса, а действиями пользователя при штатной работе процесса);
- зафиксированные попытки несанкционированного доступа к ресурсам, основанного на использовании злоумышленником процесса (приложения) в качестве инструмента вторжения, должны фиксироваться в журнале аудита, чем реализуется система обнаружения вторжений;
- в качестве реакции на зафиксированную попытку несанкционированного доступа к ресурсам, основанного на использовании злоумышленником процесса (приложения) в качестве инструмента вторжения, данный процесс (приложение), реализующий нештатную (запрещенную разграничительной политикой доступа) функцию, должен принудительно завершаться средством защиты, чем реализуется система предотвращения вторжений.
Таким образом, реализация системы обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам состоит в реализации контроля доступа к ресурсам для субъекта доступа: пользователь, процесс; и в реализации двух видов реакции на зафиксированную попытку несанкционированного доступа к ресурсам, основанного на использовании злоумышленником процесса (приложения) в качестве инструмента вторжения - соответствующие правила и виды реакции задаются администратором при задании разграничительной политики доступа к ресурсам, - фиксирование данного события в журнале аудита (обнаружение вторжения) и принудительное завершение процесса (приложения), запросившего несанкционированный (в отношении соответствующих заданных администратором правил) доступ к защищаемым ресурсам.
Анализ литературных источников и описаний работы современных ОС и приложений позволяет отметить следующее. В качестве субъекта доступа в известных системах контроля доступа к ресурсам используется сущность "пользователь" (учетная запись), а реакцией на обнаружение несанкционированного доступа в известных системах контроля доступа к ресурсам является исключительно регистрация соответствующих событий в журнале аудита. Это не позволяет их рассматривать и использовать в качестве систем обнаружения и предотвращения вторжений.
В настоящее время известны различные системы контроля доступа к ресурсам.
Так, например, в системе разграничения доступа к ресурсам, Патент №2207619 (G06F 13/00), реализована возможность задавать разграничения доступа как для пользователей, так и для процессов. Однако, во-первых, возможно задание разграничительной политики доступа отдельно для субъекта «пользователь» и отдельно для субъекта «процесс», что не позволяет построить эффективную систему обнаружения вторжений (в разграничительной политике используется не один, а два невзаимосвязанных субъекта доступа), во-вторых, данная система не позволяет завершать процесс (приложение), в отношении которого обнаружено вторжение.
В заявке ЕПВ №0192243 (кл. G06F 12/14, 1986) описан способ защиты системных файлов, в котором информация, определяющая права доступа системных пользователей, остается все время в безопасном процессоре. Однако данная система не может позиционироваться, как система обнаружения и предотвращения вторжений (субъект доступа пользователь и реакции по завершению процессов в данной системе не предусмотрено).
В патенте №2134931 (кл. H04L 9/32, G06F 12/14) описан способ обеспечения доступа к объектам в операционной системе основанный на назначении меток безопасности субъектам и объектам доступа, при этом для каждого объекта операционной системы заранее формируют и затем запоминают в памяти сигнал метки объекта, т.е. права доступа к объектам, назначаемые в виде меток безопасности. Однако данная система не может позиционироваться, как система обнаружения и предотвращения вторжений (субъект доступа пользователь, определяемый в разграничительной политике меткой безопасности) и реакции по завершению процессов в данной системе не предусмотрено).
Наиболее близкой по техническому решению и выбранной авторами за прототип является система контроля доступа к ресурсам, реализуемая в ОС Microsoft Windows [М. Руссинович, Д. Соломон. Внутреннее устройство Microsoft Windows. - СПб.: Питер, 2005 - 992 с. (глава 8, рис.8.5. Пример проверки прав доступа)].
Система контроля доступа к ресурсам представлена на Фиг.1. Система контроля доступа к ресурсам содержит блок анализа запроса доступа 1, решающий блок 2, блок аудита несанкционированных событий 3, блок хранения прав доступа к ресурсам 4, причем вход блока анализа запроса доступа 1 соединен с первым входом системы 4, второй выход - со вторым входом блока аудита несанкционированных событий 3, первый выход с первым входом решающего блока 2, второй вход которого - с выходом блока хранения прав доступа к ресурсам 4, первый выход - с первым входом блока хранения прав доступа к ресурсам 4, второй выход - с выходом системы 7, третий выход - с первым входом блока аудита несанкционированных событий 3, первый вход/выход которого - с первым входом/выходом системы 8, второй вход/выход - со вторым входом/выходом системы 9, второй вход блока хранения прав доступа к ресурсам 4 соединен со вторым входом системы 6.
Работает система контроля доступа к ресурсам следующим образом. Администратором со второго входа системы 6 (со входа задания прав доступа и аудита доступа к ресурсам - разграничительной политики доступа к ресурсам) в блок хранения прав доступа к ресурсам 4 устанавливаются права доступа к ресурсам субъектов (например, этот блок может хранить матрицу доступа в виде отдельного файла, может хранить правила доступа к объекту в виде атрибутов объекта), в которых указывается, какие субъекты (в данной системе - пользователи, определяемые их учетными записями), какое право доступа (чтение, запись, исполнение, переименование, удаление и т.д.) к какому ресурсу имеют, и нарушение каких правил доступа требуется фиксировать в журнале аудита - запоминать в блоке 3. При запросе доступа к ресурсу, поступающего на вход системы 5, содержащего в своем составе имя пользователя (учетная запись) и имя (полнопутевое имя соответствующего исполняемого файла) процесса, которым пользователь запрашивает доступ к ресурсу, полнопутевое имя ресурса (объекта), к которому запрашивается доступ, а также запрашиваемый тип доступа - чтение, запись и т.д.), запрос доступа с первого входа системы 5 (со входа запроса доступа) поступает в блок анализа запроса доступа 1. Блок 1 выделяет из поступившего запроса доступа необходимую для последующего анализа непротиворечивости запроса доступа заданным в блоке 4 правилам (имя пользователя, полнопутевое имя ресурса (объекта), запрашиваемый тип доступа, и выдает данную информацию для анализа в решающий блок 2, для регистрации параметров несанкционированного запроса (если блоком 2 этот запрос доступа будет признан несанкционированным) - в блок аудита несанкционированных событий 3. Для обработки запроса доступа решающий блок 2 с первого выхода запрашивает у блока хранения прав доступа к ресурсам 4 заданные администратором правила доступа субъектов к объекту, к которому запрошен доступ, получает их от него на второй вход и сравнивает параметры запрошенного доступа к ресурсу (полученными из блока 1 на первый вход) с разрешенными (запрещенными) правилами доступа субъекта, запросившего доступ, к этому объекту. В результате проведенного сравнения, решающий блок 2 выдает на выход системы 7 (на управляющий выход разрешения/запрета доступа) управляющий сигнал, разрешающий (если запрос не противоречит заданным правилам) или отклоняющий запрошенный у системы с первого входа системы 5 доступ. В случае нарушения правила доступа (зафиксирован несанкционированный доступ) при условии, что администратором при задании разграничительной политики доступа к ресурсам для данного правила в качестве реакции задана регистрация несанкционированного события в журнале аудита (со входа 6 в блоке 4), решающим блоком 2 в блок 3 выдается управляющий сигнал о необходимости фиксирования в журнале аудита параметров запроса доступа, как обнаруженного несанкционированного доступа. Параметры доступа, получаемые блоком 3 со второго выхода блока 1, регистрируются (запоминаются) блоком 3 в качестве параметров несанкционированного доступа. При этом блоком 3 со второго входа/выхода - со второго входа/выхода системы 9 запрашиваются необходимые дополнительные параметры для формирования необходимой информации в журнале аудита (дата, время зафиксированного несанкционированного доступа и т.д.). С первого входа/выхода системы 8 администратор может получить доступ к журналу аудита - к блоку 3 (прочитать, при необходимости, очистить журнал - прочитать, удалить соответствующий файл).
Прототип, реализующий разграничение прав доступа пользователей к ресурсам, не может позиционироваться даже как система обнаружения вторжений (не говоря уже об их предотвращении), поскольку не анализируются (не разграничиваются) права доступа к ресурсам для процессов, а в качестве реакции не предусмотрена возможность принудительного завершение процесса, в отношении которого зафиксировано вторжение. Подобным образом реализуется контроль (разграничение прав доступа) к различным защищаемым ресурсам КС - это файловые объекты, объекты реестра ОС, устройства, сетевые объекты, сервисы олицетворения и т.д.
В предлагаемом изобретении решается задача расширения функциональных возможностей системы контроля доступа к ресурсам, за счет реализации функций обнаружения и предотвращения вторжений.
Для достижения технического результата в систему контроля доступа к ресурсам, содержащую блок анализа запроса доступа, решающий блок, блок аудита несанкционированных событий, блок хранения прав доступа к ресурсам, причем вход блока анализа запроса доступа соединен с первым входом системы, второй выход - со вторым входом блока аудита несанкционированных событий, первый выход - с первым входом решающего блока, второй вход которого - с выходом блока хранения прав доступа к ресурсам, первый выход - с первым входом блока хранения прав доступа к ресурсам, второй выход - с первым выходом системы, третий выход - с первым входом блока аудита несанкционированных событий, первый вход/выход которого - с первым входом/выходом системы, второй вход/выход - со вторым входом/выходом системы, второй вход блока хранения прав доступа к ресурсам соединен со вторым входом системы, дополнительно введены блок определения процесса, запрашивающего доступ, и блок завершения процесса, причем вход блока определения процесса, запрашивающего доступ, соединен с первым входом системы, первый выход - с третьим входом решающего блока, с третьим входом блока аудита несанкционированных событий, второй выход - со вторым входом блока завершения процесса, первый вход которого - с четвертым выходом решающего блока, выход - со вторым выходом системы.
Новым в предлагаемом изобретении является снабжение системы контроля доступа к ресурсам блоком определения процесса, запрашивающего доступ, блоком завершения процесса и их связями.
В результате проведенного заявителем анализа уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, не было обнаружено источника, характеризующегося признаками, тождественными всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа, как наиболее близкого по совокупности признаков аналога, позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленной системы обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам. Следовательно, заявленное техническое решение соответствует критерию «новизна».
Проведенный заявителем дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипа признаками заявленной системы обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам. Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники и не основано на изменении количественных признаков. Следовательно, заявленное техническое решение соответствует критерию «изобретательский уровень».
Совокупность существенных признаков в предлагаемом изобретении позволила обеспечить расширение функциональных возможностей системы контроля доступа к ресурсам, за счет реализации функций обнаружения и предотвращения вторжений.
В результате можно сделать вывод о том, что:
- предлагаемое техническое решение обладает изобретательским уровнем, т.к. оно явным образом не следует из уровня техники;
- изобретение является новым, так как из уровня техники по доступным источникам информации не выявлено аналогов с подобной совокупностью признаков;
- изобретение является промышленно применимым, так как может быть использовано во всех областях применения КС, подверженных атакам, где требуется решение задачи обнаружения и предотвращения вторжений.
Предлагаемое изобретение поясняется чертежом, представленным на Фиг.2.
Заявляемая система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам содержит блок анализа запроса доступа 1, блок определения процесса, запрашивающего доступ, 2, решающий блок 3, блок аудита несанкционированных событий 4, блок завершения процесса 5, блок хранения прав доступа к ресурсам 6, причем вход блока анализа запроса доступа 1 соединен со входом блока определения процесса, запрашивающего доступ, 2, с первым входом системы 7, второй выход - со вторым входом блока аудита несанкционированных событий 4, первый выход - с первым входом решающего блока 3, второй вход которого - с выходом блока хранения прав доступа к ресурсам 6, первый выход - с первым входом блока хранения прав доступа к ресурсам 6, второй выход - с первым выходом системы 9, третий выход - с первым входом блока аудита несанкционированных событий 4, первый вход/выход которого - с первым входом/выходом системы 11, второй вход/выход - со вторым входом/выходом системы 12, второй вход блока хранения прав доступа к ресурсам 6 соединен со вторым входом системы 8, первый выход блока определения процесса, запрашивающего доступ, 2-е третьим входом решающего блока 3, с третьим входом блока аудита несанкционированных событий 4, второй выход - со вторым входом блока завершения процесса 5, первый вход которого - с четвертым выходом решающего блока 3, выход - со вторым выходом системы 10.
Рассмотрим работу системы обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам.
Принципиально меняется разграничительная политика доступа субъектов к объектам. В качестве субъекта доступа, для которого администратором в блоке 6 со входа 8 задаются правила доступа к ресурсам (объектам) выступает сущность "пользователь, процесс" (назначаются правила доступа в отношении того, каким пользователем, каким процессом запрашивается доступ к ресурсу).
При запросе доступа, поступающем на вход системы 7, кроме выделения из запроса доступа параметров доступа блоком 1: имя пользователя (учетная запись), полнопутевое имя ресурса (объекта), к которому запрашивается доступ, а также запрашиваемый тип доступа - чтение, запись и т.д., блоком 2 выделяется из запроса доступа имя (полнопутевое имя соответствующего исполняемого файла) процесса, которым пользователь запрашивает доступ к ресурсу (объекту). Выявленные параметры (расширенные параметром имя процесса) из блоков 1 и 2 поступают в решающий блок 3 для анализа санкционированности (непротиворечивости заданным правилам) запроса доступа и в блок 4 для регистрации выявленного несанкционированного запроса, если он будет признан таким блоком 3. Одновременно параметр «имя процесса, запросившего доступ», блоком 2 выдается в блок 5, задачей которого является выработка управляющего сигнала на завершение процесса, запросившего несанкционированный доступ в отношении заданного правила, при условии, что для нарушенного правила в качестве реакции установлено завершение процесса, о чем блок 5 уведомляется блоком 3.
В качестве реакции на обнаруженное системой несанкционированное событие (реакции на нарушение правил доступа, задаваемых администратором в разграничительной политике для субъекта доступа: пользователь, процесс - полнопутевое имя исполняемого файла процесса, либо соответствующей маской (субъект доступа позволяет учитывать, какой пользователь каким процессом (приложением) запросил доступ к ресурсу, задаваемых со входа 8 в блок 6), администратором может быть установлены как регистрация подобного события в журнале аудита (в блоке 4), так и принудительное завершение системой процесса, запросившего выявленный системой несанкционированный доступ, блоком 5. Реакции на нарушении каждого заданного правила устанавливаются администратором со входа 8 системы и хранятся вместе с заданными правилами доступа к ресурсам в блоке 6. Реакция системы - принудительное завершение системой процесса, запросившего выявленный системой несанкционированный доступ, устанавливается администратором в отношении тех правил, нарушение которых им идентифицируется как вторжение в систему, например попытка исполнения интернет-браузером (соответствующим процессом) какой-либо программы, запрос интернет-браузером прав другого пользователя (запрос у ОС олицетворения потока данного процесса с правами другого пользователя) и т.д.
В случае нарушения правила доступа (зафиксирован несанкционированный доступ) при условии, что администратором при задании разграничительной политики доступа к ресурсам для данного правила в качестве реакции задана только регистрация несанкционированного события в журнале аудита, решающим блоком 3 в блок 4 выдается управляющий сигнал о необходимости фиксирования в журнале аудита параметров запроса доступа, как обнаруженного несанкционированного доступа. Параметры доступа, получаемые блоком 4 с соответствующих выходов блока 1 и блока 2, фиксируются (запоминаются) блоком 4 в качестве параметров несанкционированного доступа.
Если же для нарушенного (блоком 3 выявлено нарушение - попытка несанкционированного доступа) правила в качестве реакции системы администратором (со входа 8 в блоке 6) задана не только регистрация несанкционированного события в журнале аудита, но и принудительное завершение системой процесса, запросившего доступ к ресурсу с нарушением соответствующего правила, решающим блоком 3 (с четвертого выхода) в блок 5 выдается управляющий сигнал на завершение процесса, запросившего несанкционированный доступ. В отношении этого процесса, определяемого блоком 2 из запроса доступа, параметры которого передаются на второй вход блока 5, блоком 5 формируется управляющий сигнал на завершение данного процесса, выдаваемый на второй выход системы 10. Процесс принудительно завершается, чем предотвращается вторжение - последующие несанкционированные действия данного скомпрометированного процесса (приложения).
В остальном заявляемая система работает как прототип.
Оценим достижение поставленной цели - решение задачи расширения функциональных возможностей системы контроля доступа к ресурсам, за счет реализации функций обнаружения и предотвращения вторжений.
Видим, что соответствующая задача решена в полном объеме - системой могут не только обнаруживаться (за счет реализации разграничительной политики доступа для субъекта доступа: пользователь, процесс), но предотвращаться вторжения - принудительно завершаться скомпрометированный (что выявляется системой) процесс (приложение).
Изобретение является промышленно применимым в части возможности технической реализации включенных в систему блоков.
Техническая реализация всех блоков системы основана на типовых решениях по хранению и обработке данных (включая их выборку и анализ), по обработке запросов доступа к ресурсам. Все используемые блоки технически реализуемы и их реализация достигается стандартными средствами.
Данное решение апробировано заявителем при построении опытного образца средства защиты от вторжений.
Таким образом, в предлагаемом изобретении решены задачи расширения функциональных возможностей системы контроля доступа к ресурсам, за счет реализации функций обнаружения и предотвращения вторжений.
С учетом современного уровня развития вычислительной техники оно технически реализуемо.

Claims (1)

  1. Система контроля доступа к ресурсам, содержащая блок анализа запроса доступа, решающий блок, блок аудита несанкционированных событий, блок хранения прав доступа к ресурсам, причем вход блока анализа запроса доступа соединен с первым входом системы, второй выход - со вторым входом блока аудита несанкционированных событий, первый выход - с первым входом решающего блока, второй вход которого - с выходом блока хранения прав доступа к ресурсам, первый выход - с первым входом блока хранения прав доступа к ресурсам, второй выход - с первым выходом системы, третий выход - с первым входом блока аудита несанкционированных событий, первый вход/выход которого - с первым входом/выходом системы, второй вход/выход - со вторым входом/выходом системы, второй вход блока хранения прав доступа к ресурсам соединен со вторым входом системы, отличающаяся тем, что в нее дополнительно введены блок определения процесса, запрашивающего доступ, и блок завершения процесса, причем вход блока определения процесса, запрашивающего доступ, соединен с первым входом системы, первый выход - с третьим входом решающего блока, с третьим входом блока аудита несанкционированных событий, второй выход - со вторым входом блока завершения процесса, первый вход которого - с четвертым выходом решающего блока, выход - со вторым выходом системы.
RU2014110847/08A 2014-03-20 2014-03-20 Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам RU2543564C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2014110847/08A RU2543564C1 (ru) 2014-03-20 2014-03-20 Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014110847/08A RU2543564C1 (ru) 2014-03-20 2014-03-20 Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам

Publications (1)

Publication Number Publication Date
RU2543564C1 true RU2543564C1 (ru) 2015-03-10

Family

ID=53290194

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014110847/08A RU2543564C1 (ru) 2014-03-20 2014-03-20 Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам

Country Status (1)

Country Link
RU (1) RU2543564C1 (ru)

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2634211C1 (ru) * 2016-07-06 2017-10-24 Общество с ограниченной ответственностью "Траст" Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак
WO2018147827A1 (en) * 2017-02-07 2018-08-16 Hewlett-Packard Development Company, L.P. Determining cash drawer access
US10581880B2 (en) 2016-09-19 2020-03-03 Group-Ib Tds Ltd. System and method for generating rules for attack detection feedback system
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
US11475090B2 (en) 2020-07-15 2022-10-18 Group-Ib Global Private Limited Method and system for identifying clusters of affiliated web resources
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2285287C1 (ru) * 2005-04-04 2006-10-10 Военная академия связи Способ защиты информационно-вычислительных сетей от компьютерных атак

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2285287C1 (ru) * 2005-04-04 2006-10-10 Военная академия связи Способ защиты информационно-вычислительных сетей от компьютерных атак

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10430588B2 (en) 2016-07-06 2019-10-01 Trust Ltd. Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack
RU2634211C1 (ru) * 2016-07-06 2017-10-24 Общество с ограниченной ответственностью "Траст" Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
US10581880B2 (en) 2016-09-19 2020-03-03 Group-Ib Tds Ltd. System and method for generating rules for attack detection feedback system
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
WO2018147827A1 (en) * 2017-02-07 2018-08-16 Hewlett-Packard Development Company, L.P. Determining cash drawer access
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US11475670B2 (en) 2018-01-17 2022-10-18 Group Ib, Ltd Method of creating a template of original video content
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11475090B2 (en) 2020-07-15 2022-10-18 Group-Ib Global Private Limited Method and system for identifying clusters of affiliated web resources
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack

Similar Documents

Publication Publication Date Title
RU2543564C1 (ru) Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам
US11025638B2 (en) System and method providing security friction for atypical resource access requests
US10650156B2 (en) Environmental security controls to prevent unauthorized access to files, programs, and objects
Gonzales et al. Cloud-trust—A security assessment model for infrastructure as a service (IaaS) clouds
CN107111715B (zh) 将可信执行环境用于代码和数据的安全性
KR101565590B1 (ko) 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템
US10565378B1 (en) Exploit of privilege detection framework
US11134087B2 (en) System identifying ingress of protected data to mitigate security breaches
US20110314549A1 (en) Method and apparatus for periodic context-aware authentication
US20110314558A1 (en) Method and apparatus for context-aware authentication
US20200364354A1 (en) Mitigation of ransomware in integrated, isolated applications
MX2011000019A (es) Sistema y metodo de cognicion de datos incorporando proteccion de seguridad autonoma.
US10963583B1 (en) Automatic detection and protection against file system privilege escalation and manipulation vulnerabilities
Loukil et al. Data privacy based on IoT device behavior control using blockchain
US20220345457A1 (en) Anomaly-based mitigation of access request risk
US10339307B2 (en) Intrusion detection system in a device comprising a first operating system and a second operating system
US11973796B2 (en) Dangling domain detection and access mitigation
KR101223594B1 (ko) Lkm 루트킷 검출을 통한 실시간 운영정보 백업 방법 및 그 기록매체
Mijwil Malware Detection in Android OS Using Machine Learning Techniques
US11562093B2 (en) System for generating an electronic security policy for a file format type
US11983272B2 (en) Method and system for detecting and preventing application privilege escalation attacks
Xie et al. Network security analysis for cloud computing environment
US10747900B1 (en) Discovering and controlling sensitive data available in temporary access memory
KR20100067383A (ko) 서버 보안 시스템 및 서버 보안 방법
Dixit Cloud Computing Security aspects: Threats, Countermeasures and Intrusion Detection using Support Vector Machine

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20160321