RU2601162C1 - Method of using dedicated computer security service - Google Patents

Method of using dedicated computer security service Download PDF

Info

Publication number
RU2601162C1
RU2601162C1 RU2015125970/08A RU2015125970A RU2601162C1 RU 2601162 C1 RU2601162 C1 RU 2601162C1 RU 2015125970/08 A RU2015125970/08 A RU 2015125970/08A RU 2015125970 A RU2015125970 A RU 2015125970A RU 2601162 C1 RU2601162 C1 RU 2601162C1
Authority
RU
Russia
Prior art keywords
service
cloud service
computer
request
company
Prior art date
Application number
RU2015125970/08A
Other languages
Russian (ru)
Inventor
Андрей Анатольевич Ефремов
Антон Сергеевич Лапушкин
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2015125970/08A priority Critical patent/RU2601162C1/en
Application granted granted Critical
Publication of RU2601162C1 publication Critical patent/RU2601162C1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

FIELD: information technology.
SUBSTANCE: invention relates to means of computer security. Method comprises a intercepting a request from an user computer in a cloud safety service, including a public cloud service and private cloud service, private cloud service is within a corporate network; request parameters are determined from the user computer in the cloud service; policies of cloud service selection is determined, including the following parameters: date of the last updating the private cloud service; connected services types in the private cloud service; type of data transmitted in the request; traffic share; public cloud service is selected, if the policies of cloud service selection allow transmitting data outside a company, private cloud service is selected, if the policies of cloud service selection prohibit transmitting data outside a company; request is redirected from the user computer to a selected cloud service.
EFFECT: technical result is preventing transmitting confidential data of a company-client, using cloud security services of a company-computer security service provider.
1 cl, 6 dwg

Description

Область техникиTechnical field

Изобретение относится к антивирусным технологиям, а более конкретно, к способам использования выделенного сервиса компьютерной безопасности.The invention relates to antivirus technologies, and more specifically, to methods for using a dedicated computer security service.

Уровень техникиState of the art

В настоящее время все большее распространение получают так называемые "облачные" (далее будем использовать этот термин без кавычек) технологии. Облачные технологии обеспечивают удаленный доступ к вычислительным ресурсам или данным без существенных затрат на информационную инфраструктуру компании (клиента сервиса облачных технологий). Как правило, все что требуется клиенту - это лишь иметь постоянное подключение к Интернету, чтобы получить доступ к облачному сервису. Выделяют несколько типов облачных сервисов - частный, публичный, гибридный. Частный облачный сервис предназначен для определенной компании или группы людей и по сути представляет выделенную сеть с ресурсами, в то время как публичный облачный сервис обеспечивает доступ к своим ресурсам всем подключенным клиентам. Гибридный облачный сервис сочетает оба указанных подхода и позволяет более гибко строить информационную инфраструктуру компании.Currently, the so-called "cloud" technology (we will use this term without quotes below) is becoming more widespread. Cloud technologies provide remote access to computing resources or data without significant costs for the company's information infrastructure (cloud service client). As a rule, all that a client needs is to have a permanent Internet connection in order to gain access to the cloud service. There are several types of cloud services - private, public, hybrid. A private cloud service is designed for a specific company or group of people and, in fact, represents a dedicated network with resources, while a public cloud service provides access to its resources to all connected clients. A hybrid cloud service combines both of these approaches and allows you to more flexibly build the company's information infrastructure.

Неудивительно, что облачными технологиями также заинтересовались компании-производители антивирусного обеспечения, так как в связи с ростом количества вредоносных программ и методик их распространения возникла необходимость в новом подходе защиты пользователей, нежели постоянный выпуск антивирусных баз, который в свою очередь не застрахован от возможных ошибок, связанных с недостаточностью времени на тестирование, а также возможностью компаний-поставщиков антивирусных решений скрывать логику принятия решений в облачном сервисе.It is not surprising that manufacturers of antivirus software were also interested in cloud technologies, because due to the increase in the number of malicious programs and their distribution methods, there was a need for a new approach to protecting users than the constant release of antivirus databases, which in turn is not immune from possible errors, related to the lack of time for testing, as well as the ability of antivirus solution providers to hide the logic of decision-making in the cloud service.

Одним из примеров облачных технологий в области информационной безопасности является Kaspersky Security Network (KSN). Если говорить кратко, то алгоритм его работы такой - пользователь отправляет запрос в облачный сервис на проверку неизвестного файла или ссылки и получает ответ в виде вердикта "опасен" или "безопасен". Безусловно, технология гораздо более усложненная, чем предложенный вариант, ее варианты реализации описаны в патентах US 7640589 или US 8732836.One example of cloud technology in information security is Kaspersky Security Network (KSN). In short, the algorithm of its operation is as follows - the user sends a request to the cloud service to check an unknown file or link and receives a response in the form of the verdict “dangerous” or “safe”. Of course, the technology is much more complicated than the proposed option, its implementation options are described in patents US 7640589 or US 8732836.

Однако облачные технологии могут иметь недостаток, связанный с тем, что в корпоративных сетях при их использовании могут быть задействованы данные (например, данные о неизвестном файле, такие как цифровая подпись, размер, название и т.д.), использование которых третьими лицами может быть запрещено, и администратор сети может запретить передачу таких данных или даже больше того - отказаться от использования подобной технологии, так как она может идти вразрез с существующими в организации политиками конфиденциальности, которые также называются политиками DLP (Data Leak Prevention).However, cloud technologies may have a drawback due to the fact that corporate networks may use data (for example, data about an unknown file, such as a digital signature, size, name, etc.), the use of which by third parties may be prohibited, and the network administrator may prohibit the transfer of such data, or even more so, refuse to use such technology, as it may run counter to existing privacy policies in the organization, which are also called tsya DLP policy (Data Leak Prevention).

Неудивительно, что в свете подобной проблемы начали предлагать решения по анонимизации данных или более гибкой настройки облачного сервиса. Например, заявка US 20120215898 раскрывает принципы анонимизации пересылаемых данных, при этом давая возможность настройки сервиса под конкретного пользователя. Тем не менее в заявке не раскрываются принципы фильтрации трафика и анонимизации за исключением использования уникального идентификатора пользователя.It is not surprising that in the light of such a problem, they began to offer solutions for data anonymization or more flexible configuration of the cloud service. For example, the application US 20120215898 discloses the principles of anonymization of the transmitted data, while making it possible to configure the service for a specific user. Nevertheless, the application does not disclose the principles of traffic filtering and anonymization except for the use of a unique user identifier.

Кроме того, для использования антивирусных облачных технологий, аналогичных KSN, в условиях корпоративных сетей с требованиями к проверке пересылаемых данных должен быть соблюден баланс между уровнем обнаружения вредоносных программ и атак (качеством предоставления антивирусных услуг) и уровнем соблюдения секретности (англ. privacy), связанным с проверкой пересылаемых данных.In addition, in order to use anti-virus cloud technologies similar to KSN in corporate networks with requirements for checking transmitted data, a balance must be struck between the level of detection of malware and attacks (the quality of the provision of anti-virus services) and the level of secrecy (English privacy) associated with with verification of forwarded data.

Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно способом использования выделенного сервиса компьютерной безопасности.An analysis of the prior art allows us to conclude about the inefficiency and, in some cases, the impossibility of using previous technologies, the disadvantages of which are solved by the present invention, namely, the method of using a dedicated computer security service.

Раскрытие изобретенияDisclosure of invention

Технический результат настоящего изобретения заключается в предотвращении передачи конфиденциальных данных компании-клиента, которая использует облачные сервисы безопасности компании-поставщика услуг компьютерной безопасности.The technical result of the present invention is to prevent the transfer of confidential data to a client company that uses the cloud security services of a computer security service provider company.

Другой технический результат настоящего изобретения в таком случае заключается в уменьшении объема передаваемых по сети Интернет данных компании-клиента, которая использует облачные сервисы безопасности компании-поставщика услуг компьютерной безопасности.Another technical result of the present invention in this case is to reduce the amount of data transmitted over the Internet from a client company that uses the cloud security services of a computer security service provider company.

Согласно одному из вариантов реализации, предлагается способ перенаправления запроса с компьютера пользователя к публичному или частному облачному сервису, при этом компьютер пользователя находится в рамках сети компании, которая пользуется как публичным, так и частным облачным сервисом, сам способ содержит этапы, на которых перехватывают запрос с компьютера пользователя в облачный сервис, при этом облачный сервис включает как публичный, так и частный облачные сервисы; определяют параметры запроса с компьютера пользователя в облачный сервис, при этом параметры запроса включают по меньшей мере тип передаваемых в запросе данных; определяют политики выбора облачного сервиса, которые включают, по меньшей мере, параметры: дату последнего обновления частного облачного сервиса; типы подключенных сервисов в частном облачном сервисе; тип передаваемых в запросе данных; квоту по трафику; выбирают публичный облачный сервис в том случае, если определенные политики выбора облачного сервиса разрешают передачу данных за пределы компании, и выбирают частный облачный сервис в том случае, если определенные политики выбора облачного сервиса запрещают передачу данных за пределы компании; перенаправляют запрос с компьютера пользователя к выбранному облачному сервисуAccording to one implementation option, a method for redirecting a request from a user’s computer to a public or private cloud service is proposed, while the user’s computer is located within the company’s network, which uses both public and private cloud services, the method itself contains the steps at which the request is intercepted from the user's computer to the cloud service, while the cloud service includes both public and private cloud services; determine the request parameters from the user's computer to the cloud service, while the request parameters include at least the type of data transmitted in the request; determine cloud service selection policies that include at least the following parameters: date of last update of the private cloud service; types of connected services in a private cloud service; type of data transmitted in the request; traffic quota; choose a public cloud service if certain cloud service selection policies allow data transfer outside the company, and choose a private cloud service if certain cloud service selection policies prohibit data transfer outside the company; redirect the request from the user's computer to the selected cloud service

Краткое описание чертежейBrief Description of the Drawings

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present invention will be apparent from reading the following description of an embodiment of the invention with reference to the accompanying drawings, in which:

Фиг. 1 иллюстрирует пример взаимодействия компьютера с публичным облачным сервисом компании-поставщика услуг компьютерной безопасности (антивирусной компании).FIG. 1 illustrates an example of a computer interacting with a public cloud service of a computer security service provider (antivirus company).

Фиг. 2 описывает вариант работы компьютера в сети с частным облачным сервисом компании-поставщика услуг компьютерной безопасности (антивирусной компании).FIG. 2 describes an option of a computer working on a network with a private cloud service of a computer security service provider (antivirus company).

Фиг. 3 описывает вариант работы компьютера в сети как с частным, так и с публичным облачным сервисом компании-поставщика услуг компьютерной безопасности (антивирусной компании).FIG. Figure 3 describes the operation of a computer on a network with both private and public cloud services of a computer security service provider (antivirus company).

Фиг. 4 иллюстрирует примерный вариант типов подключенных сервисов.FIG. 4 illustrates an exemplary embodiment of connected service types.

Фиг. 5 иллюстрирует способ работы настоящего изобретения.FIG. 5 illustrates the method of operation of the present invention.

Фиг. 6 представляет пример компьютерной системы общего назначения, в рамках которой может быть реализовано настоящее изобретение.FIG. 6 is an example of a general purpose computer system within which the present invention can be implemented.

Описание вариантов осуществления изобретенияDescription of Embodiments

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details necessary to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined in the scope of the attached claims.

Введем несколько терминов для лучшего понимания материала заявки.We introduce a few terms to better understand the application material.

Компания-поставщик услуг компьютерной безопасности - антивирусная компания, которая предлагает доступ к своим облачным сервисам безопасности (в качестве примера можно привести ЗАО "Лаборатория Касперского" и сервис Kaspersky Security Network).The computer security service provider is an antivirus company that offers access to its cloud-based security services (for example, Kaspersky Lab ZAO and the Kaspersky Security Network service).

Компания-клиент - компания, которая использует облачные сервисы безопасности компании-поставщика услуг компьютерной безопасности.Client company is a company that uses the cloud security services of a computer security service provider company.

Публичный облачный сервис - облачный сервис безопасности, который предоставляет компания-поставщик услуг компьютерной безопасности для компаний-клиентов (например, в качестве публичного облачного сервиса может выступать Kaspersky Security Network).A public cloud service is a cloud security service that is provided by a computer security service provider for client companies (for example, the Kaspersky Security Network can act as a public cloud service).

Фиг. 1 иллюстрирует пример взаимодействия компьютера (который находится в сети компании-клиента) с публичным облачным сервисом компании-поставщика услуг компьютерной безопасности (антивирусной компании). Антивирусное программное обеспечение (антивирусное ПО или просто антивирус) отправляет с компьютера 100 пользователя запрос на анализ неизвестного объекта (как правило, файла или ссылки) через сеть интернет 110 в публичный облачный сервис 120 антивирусной компании. Запрос анализируется с помощью внутренней логики работы облачного сервиса, в результате анализа выносится вердикт по объекту (как правило, является ли объект вредоносным или нет, но также вердикты могут определять логику работы контроля приложений, который ограничивает доступ программ к ресурсам компьютера), который отправляется на сторону компьютера 100, где антивирус использует полученный вердикт для дальнейших действий с объектом. Примером подобного сервиса является Kaspersky Security Network (https://securelist.ru/analysis/1422/antivirusny-j-prognoz-pogody-oblachno/). Как уже отмечалось, имплементация работы KSN описана в патентах US7640589 или US8732836.FIG. 1 illustrates an example of the interaction of a computer (which is located in the network of a client company) with a public cloud service of a computer security service provider (antivirus company). The anti-virus software (anti-virus software or simply anti-virus) sends a request from the user's computer 100 to analyze an unknown object (usually a file or link) via the Internet 110 to the public cloud service 120 of the anti-virus company. The request is analyzed using the internal logic of the cloud service, as a result of the analysis, a verdict is issued on the object (usually whether the object is malicious or not, but also the verdicts can determine the logic of application control, which restricts program access to computer resources), which is sent to computer side 100, where the antivirus uses the received verdict for further actions with the object. An example of such a service is Kaspersky Security Network ( https://securelist.ru/analysis/1422/antivirusny-j-prognoz-pogody-oblachno/ ). As already noted, the implementation of the KSN is described in patents US7640589 or US8732836.

Однако, как было отмечено в уровне техники, публичный облачный сервис 120 может использовать данные, которые представляют возможную коммерческую тайну или отсылку на нее, что требует других вариантов работы подобного сервиса.However, as noted in the prior art, the public cloud service 120 may use data that represents a potential trade secret or is sent to it, which requires other options for the operation of such a service.

Фиг. 2 описывает вариант работы компьютера в сети с частным облачным сервисом компании-поставщика услуг компьютерной безопасности (антивирусной компании). В рамках предложенного подхода по сравнению с Фиг. 1 добавляется частный облачный сервис 105, который выступает в роли замены публичного облачного сервиса 120 антивирусной компании. Таким образом, компания-поставщик услуг компьютерной безопасности предоставляет облачный сервис как в виде публичного облачного сервиса 120, так и в виде частного облачного сервиса 105. В таком случае все запросы с компьютера 100 идут не дальше частного облачного сервиса 105, который содержит всю (или самую необходимую для работы часть) внутреннюю логику работы публичного облачного сервиса 120. Безусловно, связь с публичным облачным сервисом 120 через интернет 110 все равно остается, так как существует необходимость постоянного обновления логики и данных для работы (например, антивирусных баз) частного облачного сервиса 105. Однако из-за проблемы с запаздыванием обновления (что связано с тестированием и распространением обновления) может случиться так, что частный облачный сервис 105 не будет обладать самой актуальной информацией по угрозам (как правило, это самое последнее обновление антивирусных баз) и существует риск пропуска неизвестной вредоносной программы или обнаружения исполняемого файла легитимного приложения в качестве вредоносного (ложное срабатывание). Таким образом, требуется использовать более гибкое решение, основанное на совмещении как частного, так и публичного облачного сервиса. Плюс использования частного облачного сервиса 105 заключается в удобстве его настройки и, как следствие, возможно, более дешевой стоимости использования.FIG. 2 describes an option of a computer working on a network with a private cloud service of a computer security service provider (antivirus company). In the framework of the proposed approach, in comparison with FIG. 1, a private cloud service 105 is added, which acts as a replacement for the public cloud service 120 of the antivirus company. Thus, the computer security service provider company provides a cloud service in the form of both a public cloud service 120 and a private cloud service 105. In this case, all requests from computer 100 go no further than private cloud service 105, which contains all (or the most necessary part for work) the internal logic of the public cloud service 120. Of course, communication with the public cloud service 120 via the Internet 110 still remains, since there is a need for constant updating of the logic and data for operation (for example, anti-virus databases) of a private cloud service 105. However, due to a problem with the delay in updating (which is related to testing and distribution of the update), it may happen that a private cloud service 105 does not have the most up-to-date information on threats (like as a rule, this is the latest update of anti-virus databases) and there is a risk of missing an unknown malware program or detecting the executable file of a legitimate application as malicious (false positive). Thus, it is required to use a more flexible solution based on combining both private and public cloud services. The advantage of using a private cloud service 105 is the convenience of setting it up and, as a result, possibly the cheaper cost of use.

Фиг. 3 описывает вариант работы компьютера в сети как с частным, так и с публичным облачным сервисом компании-поставщика услуг компьютерной безопасности (антивирусной компании). В отличие от Фиг. 2, на данном чертеже добавлен модуль принятия решений 125, который определяет куда направить запрос от компьютера 100 - либо к частному облачному сервису 105, либо к публичному облачному сервису 120. Основные критерии выбора того или иного облачного сервиса связаны со следующими параметрами (политиками выбора облачного сервиса):FIG. Figure 3 describes the operation of a computer on a network with both private and public cloud services of a computer security service provider (antivirus company). In contrast to FIG. 2, in this drawing, a decision module 125 is added, which determines where to send a request from computer 100 to either private cloud service 105 or public cloud service 120. The main criteria for choosing a cloud service are related to the following parameters (cloud selection policies service):

- Дата последнего обновления частного облачного сервиса 105. Чем более устарелые антивирусные базы данных используются частным облачным сервисом 105, тем больше вероятность того, что будет пропущена неизвестная вредоносная программа либо допущено ложное срабатывание.- The date of the last update of the private cloud service is 105. The more obsolete anti-virus databases are used by the private cloud service 105, the more likely it is that an unknown malicious program will be skipped or a false positive will be allowed.

- Типы подключенных сервисов в частном облачном сервисе 105. Более подробно типы будут рассмотрены на Фиг. 4, в качестве примера можно привести необходимость перенаправления запроса в публичный облачный сервис 120 из-за того, что проверка объектов определенного типа (например, URL) не поддерживается в рамках частного облачного сервиса 105.- Types of connected services in private cloud service 105. The types will be discussed in more detail in FIG. 4, an example is the need to redirect a request to a public cloud service 120 due to the fact that the verification of objects of a certain type (for example, URL) is not supported within a private cloud service 105.

- Проверка типа передаваемых данных. Например, передача информации по файлам определенного формата (например, файлов формата PDF) может быть запрещена политикой конфиденциальности компании-клиента, использующей как частный облачный сервис 105, так и публичный облачный сервис 120, вследствие чего, запрос на проверку подобного файла будет перенаправлен в частный облачный сервис 105. Технический результат настоящего изобретения в таком случае заключается в предотвращении передачи конфиденциальных данных компании-клиента.- Check the type of data transmitted. For example, the transfer of information on files of a certain format (for example, PDF files) may be prohibited by the privacy policy of a client company using both private cloud service 105 and public cloud service 120, as a result of which, a request to check such a file will be redirected to a private cloud service 105. The technical result of the present invention in this case is to prevent the transfer of confidential data of the client company.

- Квота по трафику. В том случае, если существует ограничение на объем передаваемых данных публичному облачному сервису 120, при достижении данного ограничения все запросы будут перенаправляться на частный облачный сервис 105. В рамках других вариантов реализации существует возможность анализа каждого запроса со стороны компьютера 100 на предмет объема передаваемых данных, при превышении которого запрос перенаправляется на сторону частного облачного сервиса 105. Технический результат настоящего изобретения в таком случае заключается в уменьшении объема передаваемых по сети Интернет данных, так как в случае частного облачного сервиса 105 передача данных ведется только в рамках компании-клиента.- Traffic quota. In the event that there is a limit on the amount of data transferred to the public cloud service 120, upon reaching this limit all requests will be redirected to the private cloud service 105. Within other implementation options, it is possible to analyze each request from the side of the computer 100 for the amount of transmitted data, above which the request is redirected to the side of the private cloud service 105. The technical result of the present invention in this case is to reduce the volume of Let's Internet data, as in the case of a private cloud service 105 data transfer is carried out only within the client company.

Также отметим, что модуль принятия решений 125 может быть реализован как в виде отдельного клиента на стороне компьютера 100, так и в виде прокси-сервера на стороне интернет-шлюза компании-клиента антивирусной компании.We also note that decision-making module 125 can be implemented both as a separate client on the side of computer 100 and as a proxy server on the side of the Internet gateway of the client company of the antivirus company.

Фиг. 4 иллюстрирует примерный вариант типов подключенных сервисов безопасности, которые используются как в публичном облачном сервисе 120, так и в частном облачном сервисе 105. В качестве примера подключенных сервисов безопасности можно привести:FIG. 4 illustrates an example embodiment of the types of connected security services that are used both in the public cloud service 120 and in the private cloud service 105. As an example of the connected security services, one can cite:

- Сервис файловой репутации. Указанный сервис позволяет определить, является ли неизвестный файл вредоносным или нет. В одном из вариантов реализации сервис работает путем сравнения хеш-суммы неизвестного файлами с хеш-суммами известных вредоносных файлов. Дополнительно может определяться категория файла, в том случае, если он был определен как легитимный (например, файл может относится к категории браузеров).- File reputation service. The specified service allows you to determine whether an unknown file is malicious or not. In one embodiment, the service works by comparing the hash of the unknown by files with the hash of known malicious files. Additionally, the category of the file can be determined if it has been identified as legitimate (for example, the file may be classified as a browser).

- Сервис репутации ссылок. Данный сервис позволяет определить, является ли неизвестная ссылка (URL-адрес) вредоносной или нет. В одном из вариантов реализации, сервис работает путем сравнения хеш-суммы неизвестной ссылки с хеш-суммами известных вредоносных ссылок. В другом варианте реализации сравнивается, либо вся ссылка, либо ее нормализованное значение (например, адрес сайта или IP-адрес). Дополнительно может определяться категория ссылки в том случае, если она была определена как легитимная (например, ссылка может относится к категории онлайн-магазинов).- Reputation service links. This service allows you to determine whether an unknown link (URL) is malicious or not. In one embodiment, the service works by comparing the hash of an unknown link with the hash of known malicious links. In another implementation, either the entire link or its normalized value (for example, the site address or IP address) is compared. In addition, the category of the link can be determined if it was determined to be legitimate (for example, the link can be classified as online stores).

- Сервис обнаружения по поведению. Предложенный сервис позволяет определить вредоносность уже запущенного файла на основании поведения запущенного из этого файла процесса. Упомянутый процесс делает вызовы системных API функций, журнал вызова которых может быть сравнен с журналом вызовов уже известных вредоносных процессов. Реализация такой технологии описана в патенте US 8566943.- Behavioral Discovery Service. The proposed service allows you to determine the harmfulness of an already running file based on the behavior of the process launched from this file. The mentioned process makes calls to system API functions, the call log of which can be compared with the call log of already known malicious processes. The implementation of such a technology is described in US Pat. No. 8,566,943.

- Сервис репутации сертификатов. Сервис, который обрабатывает сертификаты как сайтов, так и файлов на предмет того, что их используют злоумышленники. Реализация заключается в отправке сертификата и его метаданных на анализ на сторону компании-поставщика услуг компьютерной безопасности и подробно описана в патенте US 8732472.- Certificate Reputation Service. A service that processes certificates of both sites and files to ensure that they are used by attackers. The implementation consists in sending the certificate and its metadata for analysis to the side of the computer security service provider company and is described in detail in patent US 8732472.

- Сервис контроля ложных срабатываний. Данный сервис позволяет тестировать и отзывать антивирусные сигнатуры при ложном срабатывании. Более подробно технология описана в патенте US 8732836.- False positive control service. This service allows you to test and revoke anti-virus signatures in case of false positives. The technology is described in more detail in patent US 8732836.

- Сервис передачи данных. Этот сервис занимается передачей файлов с использованием, например, таких технологий как р2р.- Data transfer service. This service deals with file transfer using, for example, technologies such as P2P.

- Сервис фильтрации контента. Предложенный сервис отвечает за проверку почтовых сообщений на предмет наличия спама. Суть его работы заключается в создании хеш-суммы (или набора хеш-сумм) от письма (или его составных частей) для сравнения его с кластером подобных хем-сумм других писем, в то время как большой кластер одинаковых писем означает спам-рассылку. Технология может быть реализована аналогично тому, как описано в патенте US 8738721.- Content filtering service. The proposed service is responsible for checking email messages for spam. The essence of his work is to create a hash sum (or a set of hash sums) from a letter (or its components) to compare it with a cluster of similar chem sums of other letters, while a large cluster of identical letters means spam mailing. The technology can be implemented in the same way as described in patent US 8738721.

- Сервис родительского контроля. Этот сервис отвечает за проверку работы модуля родительского контроля.- Parental control service. This service is responsible for checking the operation of the parental control module.

- Сервис фишинга. Данный сервис позволяет обнаружить возможные фишинговые веб -страницы и ссылки (например, в браузере).- Phishing service. This service allows you to detect possible phishing web pages and links (for example, in a browser).

Предложенные сервисы оперируют различными данными (данными разных типов) - файлами, ссылками, хеш-суммами от различных объектов (таких как те же файлы или ссылки), а также различными метаданными от указанных объектов (размер, время создания, тип объекта и т.д.). Администратор сети, в которой находится компьютер 100, может накладывать различные ограничения на передачу указанных данных, что приводит к тому, что некоторые сервисы не будут работать из публичного облачного сервиса 120, а использовать частный облачный сервис 105.The proposed services operate with various data (data of various types) - files, links, hash sums from various objects (such as the same files or links), as well as various metadata from the specified objects (size, creation time, type of object, etc. .). The administrator of the network where the computer 100 is located may impose various restrictions on the transmission of this data, which leads to the fact that some services will not work from the public cloud service 120, but rather use the private cloud service 105.

Фиг. 5 иллюстрирует способ работы настоящего изобретения. На этапе 510 происходит запрос с компьютера 100 пользователя в облачный сервис. Стоит отметить, что на стороне компьютера 100 (точнее на стороне антивирусного приложения, установленного на компьютере 100) нет информации о том, к какому сервису он обращается в конкретный момент - к публичному 120 или к частному 105. На этапе 520 происходит перехват запроса модулем принятия решения 125. В одном из вариантов реализации модуль принятия решений 125 может быть реализован в виде прокси-сервера на стороне интернет-шлюза компании-клиента антивирусной компании. Еще один вариант реализации включает наличие модуля принятия решения 125 на компьютере 100, и в таком случае будет присутствовать логика по определению того, к какому сервису следует обращаться. Модуль принятия решения 125 производит определение параметров запроса на этапе 530 - к какому сервису безопасности он обращается, какие данные (точнее, их тип, например, файл, ссылка, хеш-сумма) передает и/или запрашивает и сверяет его с установленными политиками выбора облачного сервиса (более подробно политики описаны в рамках Фиг. 3). Если политики разрешают перенаправить запрос на сторону публичного облачного сервиса 120, то запрос перенаправляется в данном направлении на этапе 550, в противном случае запрос перенаправляется в частный облачный сервис 105 на этапе 540.FIG. 5 illustrates the method of operation of the present invention. At step 510, a request is made from the user's computer 100 to the cloud service. It should be noted that on the side of computer 100 (more precisely, on the side of the anti-virus application installed on computer 100) there is no information about which service it is accessing at a particular moment — public 120 or private 105. At step 520, the acceptance module intercepts the request decisions 125. In one embodiment, the decision module 125 can be implemented as a proxy server on the Internet gateway side of the client company of the antivirus company. Another implementation option includes the presence of decision module 125 on the computer 100, and in this case there will be logic to determine which service should be accessed. Decision module 125 determines the parameters of the request at step 530 — to which security service it addresses, what data (more precisely, its type, for example, file, link, hash sum) transmits and / or requests and compares it with the established cloud selection policies service (more detailed policies are described in the framework of Fig. 3). If the politicians allow the request to be redirected to the side of the public cloud service 120, then the request is redirected in this direction at step 550, otherwise the request is redirected to the private cloud service 105 at step 540.

Приведем примеры перенаправления запроса в различные варианты сервисов.Here are examples of redirecting a request to various service options.

Пример 1.Example 1

В запросе с компьютера 100 пользователя содержится тип передаваемых данных (формат анализируемого файла - pdf), который запрещен к передаче за пределы компании политиками выбора облачного сервиса. Будет выбран частный облачный сервис 105.The request from the user's computer 100 contains the type of data transferred (the format of the analyzed file is pdf), which is prohibited from being transferred outside the company by the cloud service selection policies. Private cloud service 105 will be selected.

Пример 2.Example 2

Запрос с компьютера 100 пользователя превышает размер установленной квоты на передачу данных, определенную политиками выбора облачного сервиса. Будет выбран частный облачный сервис 105.The request from the user's computer 100 exceeds the size of the established data transfer quota determined by the cloud service selection policies. Private cloud service 105 will be selected.

Пример 3.Example 3

Запрос с компьютера 100 пользователя содержит разрешенный тип передаваемых данных (информация об Интернет-ссылке), но обновление баз частного облачного сервиса 105 происходило более 12 часов назад. Будет выбран публичный облачный сервис 120.The request from the user's computer 100 contains the permitted type of transmitted data (information about the Internet link), but the databases of the private cloud service 105 were updated more than 12 hours ago. 120 public cloud service will be selected.

Фиг. 6 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 6 is an example of a general purpose computer system, a personal computer or server 20 comprising a central processor 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processor 21. The system bus 23 is implemented as any prior art bus structure comprising, in turn, a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interacting with any other bus architecture. The system memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26 contains the basic procedures that ensure the transfer of information between the elements of the personal computer 20, for example, at the time of loading the operating system using ROM 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20 in turn contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29, and an optical drive 30 for reading and writing to removable optical disks 31, such as a CD-ROM, DVD -ROM and other optical information carriers. The hard disk 27, the magnetic disk drive 28, the optical drive 30 are connected to the system bus 23 through the interface of the hard disk 32, the interface of the magnetic disks 33 and the interface of the optical drive 34, respectively. Drives and associated computer storage media are non-volatile means of storing computer instructions, data structures, software modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27, a removable magnetic disk 29, and a removable optical disk 31, but it should be understood that other types of computer storage media 56 that can store data in a form readable by a computer (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.) that are connected to the system bus 23 through the controller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.Computer 20 has a file system 36 where the recorded operating system 35 is stored, as well as additional software applications 37, other program modules 38, and program data 39. The user is able to enter commands and information into personal computer 20 via input devices (keyboard 40, keypad “ the mouse "42). Other input devices (not displayed) can be used: microphone, joystick, game console, scanner, etc. Such input devices are, as usual, connected to the computer system 20 via a serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or a universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer can be equipped with other peripheral output devices (not displayed), for example, speakers, a printer, etc. .

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 6. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the creature the personal computer 20 of FIG. 6. Other devices, such as routers, network stations, peer-to-peer devices, or other network nodes may also be present on the computer network.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 50 via a network adapter or network interface 51. When using the networks, the personal computer 20 may use a modem 54 or other means of providing communication with a global computer network such as the Internet. The modem 54, which is an internal or external device, is connected to the system bus 23 via the serial port 46. It should be clarified that the network connections are only exemplary and are not required to display the exact network configuration, i.e. in reality, there are other ways to establish a technical connection between one computer and another.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.In conclusion, it should be noted that the information provided in the description are examples that do not limit the scope of the present invention defined by the claims.

Claims (1)

Способ перенаправления запроса с компьютера пользователя к публичному или частному облачному сервису, при этом компьютер пользователя находится в рамках сети компании, при этом сам способ содержит этапы, на которых:
а) перехватывают запрос с компьютера пользователя в облачный сервис, при этом облачный сервис включает как публичный, так и частный облачные сервисы, при этом оба облачных сервиса являются облачными сервисами безопасности, которые предоставляет компания-поставщик услуг компьютерной безопасности, и частный облачный сервис находится в рамках сети компании;
б) определяют параметры запроса с компьютера пользователя в облачный сервис, при этом параметры запроса включают по меньшей мере тип передаваемых в запросе данных;
в) определяют политики выбора облачного сервиса, которые включают, по меньшей мере, параметры:
i. дату последнего обновления частного облачного сервиса;
ii. типы подключенных сервисов в частном облачном сервисе, которые включают сервис файловой репутации, сервис репутации ссылок, сервис обнаружения по поведению, сервис репутации сертификатов, сервис контроля ложных срабатываний, сервис передачи данных, сервис фильтрации контента, сервис родительского контроля, сервис фишинга;
iii. тип передаваемых в запросе данных;
iv. квоту по трафику;
г) выбирают публичный облачный сервис в том случае, если определенные политики выбора облачного сервиса разрешают передачу данных за пределы компании, и выбирают частный облачный сервис в том случае, если определенные политики выбора облачного сервиса запрещают передачу данных за пределы компании;
д) перенаправляют запрос с компьютера пользователя к выбранному облачному сервису. A method of redirecting a request from a user's computer to a public or private cloud service, while the user’s computer is located within the company’s network, the method itself comprising the steps of:
a) they intercept the request from the user's computer to the cloud service, while the cloud service includes both public and private cloud services, while both cloud services are cloud security services provided by the computer security service provider company, and the private cloud service is located in company network;
b) determine the request parameters from the user's computer to the cloud service, while the request parameters include at least the type of data transmitted in the request;
c) determine the cloud service selection policies, which include at least the following parameters:
i. date of the last update of the private cloud service;
ii. types of connected services in a private cloud service, which include file reputation service, link reputation service, behavior detection service, certificate reputation service, false positive control service, data transfer service, content filtering service, parental control service, phishing service;
iii. type of data transmitted in the request;
iv. traffic quota;
d) choose a public cloud service if certain cloud service selection policies allow data transfer outside the company, and choose a private cloud service if certain cloud service selection policies prohibit data transfer outside the company;
e) redirect the request from the user's computer to the selected cloud service.
RU2015125970/08A 2015-06-30 2015-06-30 Method of using dedicated computer security service RU2601162C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2015125970/08A RU2601162C1 (en) 2015-06-30 2015-06-30 Method of using dedicated computer security service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2015125970/08A RU2601162C1 (en) 2015-06-30 2015-06-30 Method of using dedicated computer security service

Publications (1)

Publication Number Publication Date
RU2601162C1 true RU2601162C1 (en) 2016-10-27

Family

ID=57216643

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015125970/08A RU2601162C1 (en) 2015-06-30 2015-06-30 Method of using dedicated computer security service

Country Status (1)

Country Link
RU (1) RU2601162C1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2726878C1 (en) * 2019-04-15 2020-07-16 Акционерное общество "Лаборатория Касперского" Method for faster full antivirus scanning of files on mobile device
RU2726877C1 (en) * 2019-04-15 2020-07-16 Акционерное общество "Лаборатория Касперского" Method for selective repeated antivirus scanning of files on mobile device
US20210152634A1 (en) * 2019-11-15 2021-05-20 Fuji Xerox Co., Ltd. Data management system and non-transitory computer readable medium storing data management program

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8813174B1 (en) * 2011-05-03 2014-08-19 Symantec Corporation Embedded security blades for cloud service providers

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8813174B1 (en) * 2011-05-03 2014-08-19 Symantec Corporation Embedded security blades for cloud service providers

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2726878C1 (en) * 2019-04-15 2020-07-16 Акционерное общество "Лаборатория Касперского" Method for faster full antivirus scanning of files on mobile device
RU2726877C1 (en) * 2019-04-15 2020-07-16 Акционерное общество "Лаборатория Касперского" Method for selective repeated antivirus scanning of files on mobile device
US20210152634A1 (en) * 2019-11-15 2021-05-20 Fuji Xerox Co., Ltd. Data management system and non-transitory computer readable medium storing data management program
US11665237B2 (en) * 2019-11-15 2023-05-30 Fujifilm Business Innovation Corp. Data management system and non-transitory computer readable medium storing data management program

Similar Documents

Publication Publication Date Title
US9667657B2 (en) System and method of utilizing a dedicated computer security service
US11652829B2 (en) System and method for providing data and device security between external and host devices
US11489855B2 (en) System and method of adding tags for use in detecting computer attacks
US10284603B2 (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
US10574698B1 (en) Configuration and deployment of decoy content over a network
US9609015B2 (en) Systems and methods for dynamic cloud-based malware behavior analysis
US9917864B2 (en) Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware
US9152789B2 (en) Systems and methods for dynamic cloud-based malware behavior analysis
US8763071B2 (en) Systems and methods for mobile application security classification and enforcement
JP2010520566A (en) System and method for providing data and device security between an external device and a host device
US11636208B2 (en) Generating models for performing inline malware detection
RU2601162C1 (en) Method of using dedicated computer security service
US20230344861A1 (en) Combination rule mining for malware signature generation
RU2750628C2 (en) System and method for determining the file trust level
US20230342461A1 (en) Malware detection for documents using knowledge distillation assisted learning
EP3926501B1 (en) System and method of processing information security events to detect cyberattacks
US11863586B1 (en) Inline package name based supply chain attack detection and prevention
US20230082289A1 (en) Automated fuzzy hash based signature collecting system for malware detection
Yeh Key factors in building a Secure Web Gateway