RU2661533C1 - System and method of detecting the signs of computer attacks - Google Patents

System and method of detecting the signs of computer attacks Download PDF

Info

Publication number
RU2661533C1
RU2661533C1 RU2017133842A RU2017133842A RU2661533C1 RU 2661533 C1 RU2661533 C1 RU 2661533C1 RU 2017133842 A RU2017133842 A RU 2017133842A RU 2017133842 A RU2017133842 A RU 2017133842A RU 2661533 C1 RU2661533 C1 RU 2661533C1
Authority
RU
Russia
Prior art keywords
information
objects
security
computer
database
Prior art date
Application number
RU2017133842A
Other languages
Russian (ru)
Inventor
Сергей Владимирович Гордейчик
Константин Владимирович Сапронов
Юрий Геннадьевич Паршин
Теймур Самедович Хеирхабаров
Сергей Владимирович Солдатов
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2017133842A priority Critical patent/RU2661533C1/en
Priority to US15/923,581 priority patent/US10873590B2/en
Priority to EP18171677.0A priority patent/EP3462698B1/en
Priority to JP2018095395A priority patent/JP7084778B2/en
Priority to CN201810553206.5A priority patent/CN109583193B/en
Application granted granted Critical
Publication of RU2661533C1 publication Critical patent/RU2661533C1/en
Priority to US17/098,777 priority patent/US11489855B2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: information technology.
SUBSTANCE: invention relates to computer security. In the method for detecting signs of a computer attack, information about the object on the computer is collected, transmit a security notification to the detection means, including information about the security means and the collected information about the object, while retaining the received security notification in the object database, finding the object contained in the received security notification in the threat database, and add a label corresponding to the object in the threat database to the object database to the object in question, search for suspicious activity signs contained in the database of suspicious activity, based on the received security notification and the added object labels contained in said security notification, when a sign of suspicious activity is found, a label in the database of suspicious activity is added to the database of objects to the security notification, perform detection of signs of computer attack by detecting at least one signature of computer attacks from the database of computer attacks among the received objects, and security notifications, and labels of the mentioned objects, and notifications of security notifications from the object database.
EFFECT: improving the quality of identifying signs of computer attacks on the information system.
32 cl, 8 dwg, 1 tbl

Description

В настоящее время помимо традиционного вредоносного программного обеспечения (которыми являются, например, вирусы, сетевые черви, клавиатурные шпионы, шифровальщики и пр.) широкое распространения получили компьютерные атаки и, в частности, направленные атаки (называются также целевыми или целенаправленными атаками, от англ. targeted attack - ТА), а также сложные атаки (англ. Advanced Persistent Threat - APT) на информационную систему (совокупность вычислительных устройств и используемых для их связи коммуникаций, информационную систему также называют корпоративной инфраструктурой. Злоумышленники могут иметь различные цели - от простой кражи личных данных сотрудников до промышленного шпионажа. Зачастую злоумышленники обладают информацией об архитектурах корпоративных сетей, о принципах внутреннего документооборота, об используемых средствах защиты сетей и компьютерных устройств или любой другой специфичной для информационной системы информацией. Данная информация позволяет злоумышленникам обходить существующие средства защиты, которые зачастую не обладают гибкостью настроек для удовлетворения всех потребностей информационной системы.Currently, in addition to traditional malicious software (which, for example, viruses, network worms, keyloggers, ransomware, etc.), computer attacks and, in particular, targeted attacks (also called targeted or targeted attacks) are widely used. targeted attack (TA), as well as complex attacks (Advanced Persistent Threat - APT) on an information system (a set of computing devices and communications used to communicate them, an information system is also called a corporation It’s a huge infrastructure, cybercriminals can have various goals - from simple theft of personal data of employees to industrial espionage.Often, cybercriminals have information about corporate network architectures, principles of internal document management, the means used to protect networks and computer devices, or any other information specific to an information system. This information allows attackers to circumvent existing security features, which often do not have the flexibility to configure etvoreniya all the needs of an information system.

Существующие технологии защиты от вредоносного программного обеспечения (ПО) и компьютерных угроз, такие как: сигнатурный анализ, эвристический анализ, эмуляция и другие имеют ряд недостатков, которые не позволяют обеспечить должный уровень защиты от направленных атак и других компьютерных атак. Например, они не позволяют обнаружить и расследовать неизвестные ранее угрозы, компьютерные атаки без применения вредоносного программного обеспечения, сложные атаки (с применением технологий обхода средств защиты) и долго протекающие атаки (от нескольких дней до нескольких лет), признаки которых стали известны спустя продолжительное время.Existing technologies for protection against malicious software (software) and computer threats, such as signature analysis, heuristic analysis, emulation, and others, have a number of disadvantages that do not allow ensuring the proper level of protection against targeted attacks and other computer attacks. For example, they do not allow detecting and investigating previously unknown threats, computer attacks without the use of malicious software, complex attacks (using protection bypass technologies) and long-running attacks (from several days to several years), the signs of which became known after a long time .

Таким образом, возникает техническая проблема, заключающаяся в низком качестве определения признаков компьютерных атак на информационную систему.Thus, a technical problem arises, consisting in the low quality of determining signs of computer attacks on an information system.

Из уровня техники известен способ обнаружения направленных атак (патент США US 9530016), заключающийся в обнаружении подозрительных исполняемых файлов на компьютерах пользователей и в последующей отправке данных файлов средству статического обнаружения. Средство статического обнаружения идентифицирует источник и приемник потенциальной атаки, далее декомпилирует исполняемый файл и исполняет декомпилированный файл для идентификации потоков данных между источником и приемником. Поток данных может содержать, например, конфиденциальные данные. В этом случае, подтверждается обнаружение направленной атаки.The prior art method for detecting directed attacks (US patent US 9530016), which consists in detecting suspicious executable files on users' computers and in the subsequent sending of these files to the static detection tool. The static detection tool identifies the source and receiver of the potential attack, then decompiles the executable file and executes the decompiled file to identify the data flows between the source and receiver. The data stream may contain, for example, confidential data. In this case, the detection of a directed attack is confirmed.

Однако известная из уровня техники технология во многих случаях не позволяет идентифицировать компьютерную атаку и ее признаки, т.к. для этого требуется передача исполняемого файла на сервер, и, кроме того, многие компьютерные и, в частности, направленные атаки проходят без использования вредоносного программного обеспечения. Таким образом, представленная выше технология не позволяет решить заявленную техническую проблему. Например, современные направленные атаки могут использовать PowerShell для динамического создания вредоносного кода и загрузки его непосредственно в память компьютера без оставления каких-либо артефактов на жестком диске - в этом случае нет образцов вредоносного ПО, а сам интерпретатор PowerShell вредоносным ПО не является. Другим примером может служить использование легитимных инструментов во вредоносных целях: утилит удаленного администрирования (LiteManager, TeamViewer и т.п.) - для удаленного управления скомпрометированным компьютеров, легальных утилит Windows (bitsadmin, certutil и т.п.) - для загрузки вредоносного ПО на скомпрометированные компьютеры, инструментов администрирования (wmic, psexec и т.п.) для удаленного запуска команд, атака типа «боковое перемещение» (англ. lateral movement, lateral movement attack - атака, в которой злоумышленник последовательно взламывает учетные данные пользователей сети для получения учетных данных администратора домена) и закрепления в скомпрометированной инфраструктуре.However, the technology known from the prior art in many cases does not allow identification of a computer attack and its signs, because this requires the transfer of the executable file to the server, and, in addition, many computer and, in particular, targeted attacks take place without the use of malicious software. Thus, the technology presented above does not allow to solve the claimed technical problem. For example, modern targeted attacks can use PowerShell to dynamically create malicious code and load it directly into the computer’s memory without leaving any artifacts on the hard drive — in this case, there are no malware samples, and the PowerShell interpreter itself is not malware. Another example is the use of legitimate tools for malicious purposes: remote administration utilities (LiteManager, TeamViewer, etc.) - for remotely managing compromised computers, legal Windows utilities (bitsadmin, certutil, etc.) - for downloading malware onto compromised computers, administration tools (wmic, psexec, etc.) for remote command launch, lateral movement attack (English lateral movement, lateral movement attack - an attack in which an attacker sequentially breaks user credentials network for obtaining domain administrator credentials) and securing it in a compromised infrastructure.

Раскрытие сущности изобретенияDisclosure of the invention

Первый технический результат заключается в реализации назначения.The first technical result is the implementation of the appointment.

Второй технический результат заключается в повышении качества определения признаков компьютерных атак на информационную систему по сравнению с известными аналогами.The second technical result is to improve the quality of determining the signs of computer attacks on an information system in comparison with well-known analogues.

Согласно варианту реализации, используется способ обнаружения признаков компьютерной атаки, в котором: с использованием по меньшей мере одного средства защиты, расположенного в информационной системе, собирают информацию по меньшей мере об одном объекте на компьютере; с использованием средства защиты передают средству обнаружения уведомление безопасности, включающее, в частности, информацию об упомянутом средстве защиты и собранную информацию об объекте, при этом средство обнаружения сохраняет полученное уведомление безопасности в базу данных объектов; с помощью средства обнаружения находят по меньшей мере один объект содержащийся в полученном уведомлении безопасности, в базе данных угроз; и с помощью средства обнаружения добавляют в базе данных объектов к упомянутому объекту метку, соответствующую упомянутому объекту в базе данных угроз; с использованием средства обнаружения выполняют поиск признаков подозрительной активности, содержащихся в базе данных подозрительной активности, на основании полученного уведомления безопасности и добавленных меток объекта, содержащегося в упомянутом уведомлении безопасности; при нахождении признака подозрительной активности, добавляют в базе данных объектов, в частности, к уведомлению безопасности метку, содержащуюся в базе данных подозрительной активности; выполняют обнаружение признаков компьютерной атаки путем выявления по крайней мере одной сигнатуры компьютерных атак из базы данных компьютерных атак среди полученных объектов, и уведомлений безопасности, и меток упомянутых объектов, и меток уведомлений безопасности из базы данных объектов.According to an embodiment, a method for detecting signs of a computer attack is used, in which: using at least one security device located in the information system, information is collected about at least one object on the computer; using the protection means, a security notification is transmitted to the detection means, including, in particular, information about the said protection means and collected information about the object, while the detection means stores the received security notification in the object database; using the detection tool, find at least one object contained in the received security notification in the threat database; and using the detection tool, add a label in the object database to the said object corresponding to the object in the threat database; using the detection tool, they search for signs of suspicious activity contained in the database of suspicious activity based on the received security notification and the added tags of the object contained in the said security notification; when a sign of suspicious activity is found, they add to the object database, in particular, a label contained in the database of suspicious activity to the security notification; detect signs of a computer attack by detecting at least one computer attack signature from the computer attack database among the received objects, and security notifications, and marks of said objects, and security notification marks from the object database.

Согласно одному из частных вариантов реализации объектом является, в частности, один из: файл; процесс; URL-адрес.According to one particular embodiment, the object is, in particular, one of: a file; process; Url

Согласно другому частному варианту реализации средство защиты является, в частности, одним из следующих: средство защиты компьютера; средство защиты от направленных атак.According to another particular embodiment, the security measure is, in particular, one of the following: computer security measure; means of protection against targeted attacks.

Согласно еще одному частному варианту реализации с помощью средств защиты собирают, в частности, информацию о следующих объектах: поведение процессов; события в операционной системе; информация о межсетевом взаимодействии; показатели компрометации; вердикты средства защиты.According to another particular embodiment, with the help of protective equipment, information is collected, in particular, on the following objects: process behavior; events in the operating system; interworking information; indicators of compromise; verdicts of remedy.

Согласно одному из частных вариантов реализации признаки подозрительного поведения зависят от: тактик, технологий и процедур известных направленных атак; информации о направленных атаках, полученная при проведении тестов на проникновение.According to one particular implementation, the signs of suspicious behavior depend on: tactics, technologies, and procedures of known targeted attacks; information about targeted attacks obtained during penetration tests.

Согласно другому частному варианту реализации содержатся, в частности, следующие признаки подозрительного поведения: пользователь впервые выполнил аутентификацию на компьютере; произведен удаленный запуск объекта; выполнена очистка журнала операционной системы; осуществлена загрузка файла по сети от приложения, не являющегося браузером; выполнен запуск файлов, отсутствующих в белых списках, из подозрительных директорий; произведено удаление теневых копий; обнаружены переименованные утилиты удаленного администрирования; выполнено копирование файлов в сетевую папку администратора; использованы утилиты bcdedit.exe для отключения компонента ОС «восстановление системы»; системный процесс lsass.exe запустил файл или модифицировал файл на диске; выполнен обфусцированный сценарий PowerShell; произведен вызов функции Windows API; с помощью библиотеки Rundll32 запущены файлы из подозрительных путей.According to another particular embodiment, in particular, the following signs of suspicious behavior are contained: the user first authenticated to the computer; remote start of the object; The operating system log was cleared A file was downloaded over the network from an application that is not a browser; launched files that are not in the white lists from suspicious directories; Deleted shadow copies; renamed remote administration utilities detected; Copy files to the network administrator folder bcdedit.exe utilities were used to disable the system recovery OS component; lsass.exe system process launched a file or modified a file on disk; Run an obfuscated PowerShell script a call to the Windows API function was made; Using the Rundll32 library, files from suspicious paths were launched.

Согласно еще одному частному варианту реализации при нахождении признака подозрительной активности, дополнительно добавляют метку из базы данных подозрительной активности к средству защиты, содержащемуся в упомянутом уведомлении безопасности, а при выполнении обнаружения компьютерной атаки дополнительно основываются на сравнении выставленных меток к упомянутому средству защиты с сигнатурами компьютерных атак из базы данных направленных атак.According to another particular embodiment, when a sign of suspicious activity is found, an additional label is added from the database of suspicious activity to the security tool contained in the security notification, and when a computer attack is detected, it is additionally based on a comparison of the security tags with the computer security signatures from a database of targeted attacks.

Согласно одному из частных вариантов реализации информация об объекте дополнительно содержит, в частности, одно из: контрольная сумма объекта или контрольная сумма его части; источник появления объекта; результаты эмуляции исполнения объекта; журнал вызовов API-функций операционной системы со стороны объекта; время появления объекта в рамках вычислительного устройства; данные, передаваемые по сети объектом.According to one particular embodiment, the information about the object further comprises, in particular, one of: the checksum of the object or the checksum of its part; the source of the appearance of the object; emulation results of object execution; call log of API functions of the operating system from the side of the object; the time the object appeared in the framework of the computing device; data transmitted over the network by an entity.

Согласно другому частному варианту реализации при добавлении к объекту метки, из базы данных угроз, указывающей на необходимость предоставления объекта или дополнительной информации об указанном объекте, с помощью средства обнаружения запрашивают объект или дополнительную информацию об указанном объекте по меньшей мере у одного средства защиты, при этом после получения от средства защиты запрошенного объекта или дополнительной информации об указанном объекте выполняют шаги способа по отношению к вновь полученному объекту или дополнительной информации об указанном объекте.According to another particular embodiment, when a tag is added to an object, from the threat database indicating the need to provide the object or additional information about the specified object, the object or additional information about the specified object is requested from at least one security tool using the detection tool, while after receiving the requested object from the protective equipment or additional information about the specified object, the method steps are performed with respect to the newly received object or additional itelnoy information about the specified object.

Согласно еще одному частному варианту реализации при добавлении к уведомлению безопасности метки, указывающей на необходимость предоставления по меньшей мере одного объекта, содержащегося в уведомлении безопасности, или дополнительной информации об указанном объекте, с помощью средства обнаружения запрашивают объект или дополнительную информацию об указанном объекте по меньшей мере у одного средства защиты, при этом после получения от средства защиты запрошенного объекта или дополнительной информации об указанном объекте выполняют шаги способа по отношению к вновь полученному объекту или дополнительной информации об указанном объекте.According to another particular embodiment, when a label is added to the security notification indicating that it is necessary to provide at least one object contained in the security notification or additional information about the specified object, at least one object or additional information about the specified object is requested using the detection tool I have one remedy, and after receiving from the remedy the requested object or additional information about the specified object t steps of the method with respect to the newly received object or additional information about the specified object.

Согласно одному из частных вариантов реализации осуществляют с помощью средства обнаружения поиск в базе данных объектов среди объектов, содержащихся по меньшей мере на двух компьютерах, вирусной сигнатуры из базы данных угроз и, при совпадении вирусной сигнатуры с записями базы данных объектов, определяет объект как вредоносный и добавляет к упомянутому объекту в базе данных объектов метку, указывающую на то, что объект является вредоносным.According to one particular embodiment, using the detection tool, a search in the database of objects among objects contained in at least two computers searches for the virus signature from the threat database and, when the virus signature matches the records of the object database, determines the object as malicious and Adds a label to the mentioned object in the object database indicating that the object is malicious.

Согласно другому частному варианту реализации формируют с помощью средства обнаружения уведомление безопасности для обнаруженного вредоносного объекта, содержащее информацию об объекте и информацию о средствах защиты, на компьютерах которых содержится объект.According to another particular embodiment, a security notification for the detected malicious object is generated using the detection means, containing information about the object and information about the security features on which computers the object is contained.

Согласно еще одному частному варианту реализации собирают с помощью средства защиты информацию по меньшей мере об одном из следующих объектов: из списка вредоносных объектов; если объект отсутствует в списке безопасных объектов и в списке вредоносных объектов; из списка, сформированного администратором информационной системы.According to another particular embodiment, information is collected using at least one of the following objects using a security measure: from a list of malicious objects; if the object is not in the list of safe objects and in the list of malicious objects; from the list generated by the administrator of the information system.

Согласно одному из частных вариантов реализации дополнительно добавляют с использованием средства защиты к объекту на компьютере метку, в зависимости от информации об упомянутом объекте, собранной упомянутым средством защиты и, включают добавленную метку в уведомление безопасности.According to one particular embodiment, a label is additionally added using security features to an object on a computer, depending on the information about said object collected by said security means and the added label is included in the security notification.

Согласно другому частному варианту реализации добавляют с использованием средства защиты одну из следующих меток: вердикт средства защиты; запуск процесса из списка подозрительных запусков; объект отсутствует в списке безопасных объектов и отсутствует в списке вредоносных объект; удаленный запуск объекта; объект очистил записи системного журнала или журнала безопасности ОС; информация о несовпадении имени объекта и его контрольной суммы; метки, связанные с результатами поиска объекта по внешним источникам разведки компьютерных атак; объект есть на компьютерах, на которых обнаружены файлы, классифицированные как клавиатурный шпион, средство удаленного администрирования, средство мониторинга, и встречающийся на небольшом числе компьютеров; уникальные в рамках информационной системы задачи планировщика или настройки автозапуска или сервиса ОС или драйвера, отсутствующие в списка разрешенных задач; нарушение профиля аутентификации на компьютере; нарушения профиля сетевой активности процесса.According to another particular embodiment, one of the following marks is added using the security feature: the security judgment; starting a process from the list of suspicious starts; the object is not in the list of safe objects and is not in the list of malicious objects; remote start of the object; The object cleared the system log or OS security log entries. information about the mismatch of the name of the object and its checksum; tags related to the results of the object’s search for external sources of computer attack intelligence; the object is on computers on which files are classified as a keylogger, remote administration tool, monitoring tool, and found on a small number of computers; Unique tasks of the scheduler or settings for autorun or OS or driver service that are not in the list of allowed tasks; violation of the authentication profile on the computer; violations of the network activity profile of the process.

Согласно еще одному из частных вариантов реализации собирают с использованием средства защиты информацию об объектах на компьютере в течение заданного промежутка времени.According to another particular embodiment, information about objects on a computer is collected using a security tool for a specified period of time.

Согласно одному из частных вариантов реализации собирают с использованием средства защиты информацию о следующих объектах: из списка вредоносных и подозрительных объектов; которые отсутствуют в списке безопасных объектов и в списке вредоносных и подозрительных объектов; из списка объектов, сформированных администратором информационной системы.According to one of the private implementation options, information is collected using the protection tool about the following objects: from a list of malicious and suspicious objects; which are not in the list of safe objects and in the list of malicious and suspicious objects; from the list of objects generated by the administrator of the information system.

Согласно варианту реализации используется система обнаружения признаков компьютерной атаки, содержащая: информационную систему, в которой содержится по меньшей мере один компьютер; по меньшей мере одно средство защиты, установленное на по меньшей мере одном упомянутом компьютере, и предназначенное для: сбора информации по меньшей мере об одном объекте на компьютере; передачи средству обнаружения уведомления безопасности, включающего, в частности, информацию об упомянутом средстве защиты и собранную информацию об объекте; средство обнаружения, связанное по сети с информационной системой и предназначенное для: сохранения уведомлений безопасности в базу данных объектов; поиска объекта из уведомления безопасности в базе данных угроз; добавления в базу данных объектов к объекту метки, соответствующей упомянутому объекту в базе данных угроз; выполнения поиска признаков подозрительной активности, содержащихся в базе данных подозрительной активности, на основании полученного уведомления безопасности и добавленных меток объекта, содержащегося в упомянутом уведомлении безопасности; добавления в базу данных объектов, в частности, к уведомлению безопасности метки, содержащейся в базе данных подозрительной активности при нахождении признака подозрительной активности; выполнения обнаружения признаков компьютерной атаки путем выявления сигнатуры компьютерных атак из базы данных компьютерных атак среди полученных объектов, и уведомлений безопасности, и меток упомянутых объектов, и меток уведомлений безопасности из базы данных объектов.According to an embodiment, a system for detecting signs of a computer attack is used, comprising: an information system that contains at least one computer; at least one security device installed on at least one of the aforementioned computer, and designed to: collect information about at least one object on the computer; transmitting to the detecting means a security notification including, in particular, information about said means of protection and collected information about the object; detection tool connected over the network with the information system and designed to: save security notifications to the database of objects; search for an object from a security notification in the threat database; adding to the database of objects to the object a label corresponding to the mentioned object in the threat database; performing a search for signs of suspicious activity contained in the database of suspicious activity based on the received security notification and the added tags of the object contained in the said security notification; adding objects to the database, in particular, to the security notification of the label contained in the database of suspicious activity when a sign of suspicious activity is found; performing detection of signs of a computer attack by detecting the signature of computer attacks from the database of computer attacks among the received objects, and security notifications, and marks of the mentioned objects, and security notification marks from the database of objects.

Краткое описание чертежейBrief Description of the Drawings

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present invention will be apparent from reading the following description of an embodiment of the invention with reference to the accompanying drawings, in which:

на Фиг. 1 представлена схема настоящего изобретения;in FIG. 1 is a schematic diagram of the present invention;

на Фиг. 2 приведен возможный пример модулей средства защиты компьютера;in FIG. 2 shows a possible example of modules for computer protection;

на Фиг. 3 приведен возможный пример модулей средства защиты от направленных атак;in FIG. Figure 3 shows a possible example of modules for defending against targeted attacks;

на Фиг. 4 представлена схема, иллюстрирующая процесс добавления меток к объектам и уведомлениям безопасности;in FIG. 4 is a diagram illustrating the process of adding labels to objects and security notifications;

на Фиг. 5 представлен вариант способа осуществления настоящего изобретения;in FIG. 5 shows an embodiment of a method for implementing the present invention;

на Фиг. 6а и 6б представлен пример добавления меток к объектам и уведомлениям безопасности;in FIG. 6a and 6b show an example of adding labels to objects and security notifications;

Фиг. 7 представляет пример компьютерной системы общего назначения.FIG. 7 is an example of a general purpose computer system.

Осуществление изобретенияThe implementation of the invention

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details provided to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined in the scope of the attached claims.

ГлоссарийGlossary

Определим ряд терминов, которые будут использоваться при описании вариантов осуществления изобретения.Define a number of terms that will be used to describe embodiments of the invention.

Показатели компрометации (англ. indicator of compromise, IOC, реже - индикаторы заражения) - в компьютерно-технической экспертизе так называют артефакты или остаточные признаки вторжения в информационную системы, наблюдаемые на компьютере или в сети. Типичными показателями компрометации являются, например, вирусные сигнатуры, IP-адреса, контрольные суммы файлов, URL-адреса, доменные имена командных центров ботнетов, которые были замечены в известных компьютерных атаках. Существует ряд стандартов показателей компрометации, в частности: OpenIOC (http://blogs.rsa.com/understanding-indicators-of-compromise-ioc-part-i/, http://openioc.org/), STIX (https://stix.mitre.org/), CybOX (https://cybox.mitre.org) и др.Indicators of compromise (English indicator of compromise, IOC, less commonly infection indicators) - in computer-technical examination, this is the name for artifacts or residual signs of an intrusion into an information system that are observed on a computer or on a network. Typical indicators of compromise are, for example, virus signatures, IP addresses, file checksums, URLs, domain names of botnet command centers that have been detected in known computer attacks. There are a number of standards of indicators of compromise, in particular: OpenIOC (http://blogs.rsa.com/understanding-indicators-of-compromise-ioc-part-i/, http://openioc.org/), STIX (https: //stix.mitre.org/), CybOX (https://cybox.mitre.org), etc.

Компьютерная атака - множество скрытых и продолжительных мероприятий, проводимых злоумышленником и направленных на информационную систему организации или физического лица с целью проникновения в сеть и нанесения различного рода ущерба организации или физическому лицу.Computer attack - a lot of hidden and long-term activities carried out by an attacker and aimed at the information system of an organization or individual in order to penetrate the network and cause various kinds of damage to the organization or individual.

Направленная атака (также целевая или целенаправленная атака, от англ. targeted attack - ТА) - компьютерная атака на информационную систему конкретной организации или конкретного физического лица с целью проникновения в сеть и нанесения различного рода ущерба организации или физическому лицу.Directed attack (also targeted or targeted attack, from the English targeted attack - TA) - a computer attack on the information system of a specific organization or a specific individual with the aim of penetrating the network and causing various kinds of damage to the organization or individual.

Сложная атака (англ. Advanced Persistent Threat - APT, также развитая устойчивая угроза или также целевая атака) - сложная, продолжительная, хорошо спланированная многоходовая компьютерная атака, использующая сложное вредоносное программное обеспечение (ПО), методы социальной инженерии и данные об информационной системе атакуемого.A sophisticated attack (Advanced Persistent Threat - APT, also a developed persistent threat or also a targeted attack) is a complex, long-lasting, well-planned multi-path computer attack that uses sophisticated malicious software (software), social engineering methods, and information about the information system of the attacked.

Неточный хеш (англ. fuzzy hash) или гибкая свертка - свертка файла, которая формируется таким образом, что небольшое изменения файла не повлечет за собой изменение свертки. То есть при обнаружении вредоносного файла при помощи значения его свертки также будут обнаружены множество похожих (возможно неизвестных) вредоносных файлов. Главная особенность такой свертки - инвариантность к небольшим изменениям файла. См., например, RU 2580036, RU 2614561.An inaccurate hash (English fuzzy hash) or flexible convolution is a convolution of a file, which is formed in such a way that a small change to the file does not entail a change in convolution. That is, when a malicious file is detected using its convolution value, many similar (possibly unknown) malicious files will also be detected. The main feature of such a convolution is the invariance to small file changes. See, for example, RU 2580036, RU 2614561.

Неточный вердикт - срабатывание средства защиты (антивирусного приложения) при обнаружении подозрительных действий файла, характерных для вредоносного файла. Неточный вердикт срабатывает, например, при обнаружении файла при помощи гибкой свертки. Неточный вердикт свидетельствует, что найденный файл является вредоносным с некоторой долей вероятности.Inaccurate verdict - triggering of a protection tool (anti-virus application) upon detection of suspicious file actions specific to a malicious file. An inaccurate verdict is triggered, for example, when a file is detected using flexible convolution. An inaccurate verdict indicates that the file found is malicious with some probability.

На Фиг. 1 представлена схема настоящего изобретения. Информационная система 100 (также - корпоративная инфраструктура) включает совокупность компьютеров 101, связанных между собой компьютерной сетью 105. Под компьютерами 101 в общем случае понимаются любые вычислительные устройства и сенсоры, в частности, персональные компьютеры, ноутбуки, смартфоны, а также коммуникационные устройства, такие как: маршрутизаторы, коммутаторы, концентраторы и пр. При этом информационная система 100 может быть организована с использованием любой известной из уровня техники топологии сети 105, например одного из следующих типов: полносвязная, шина, звезда, кольцо, ячеистая или смешанного типа. На части компьютеров 101 установлены средства защиты компьютеров 102. Стоит отметить, что на некоторых компьютерах 101 может быть не установлено средство защиты 102. Информационная система 100 может включать средство защиты от направленных атак 103, которое может быть расположено, например, на отдельном сервере. Сервер репутации 104 может располагаться в информационной системе 100 или в облачном сервисе поставщика услуги (т.е. быть связанным со средством обнаружения 110). Стоит отметить, что компьютер 101 может быть, как физическим устройством, так и виртуальной машиной. Для подключения компьютеров 101 посредством сети 105 к Интернету и средству обнаружения 110 может быть использованы прокси-серверы (на фигуре не указаны).In FIG. 1 is a schematic diagram of the present invention. The information system 100 (also corporate infrastructure) includes a set of computers 101 interconnected by a computer network 105. Computers 101 are generally understood to mean any computing devices and sensors, in particular personal computers, laptops, smartphones, as well as communication devices, such such as routers, switches, hubs, etc. Moreover, the information system 100 can be organized using any topology of the network 105 known from the prior art, for example, one of the following uyuschih types: fully connected, bus, star, ring, mesh, or mixed type. The security features of computers 102 are installed on part of computers 101. It is worth noting that security protection 102 may not be installed on some computers 101. Information system 100 may include means of protection against targeted attacks 103, which can be located, for example, on a separate server. The reputation server 104 may reside in the information system 100 or in the cloud service of the service provider (i.e., be associated with the discovery tool 110). It is worth noting that the computer 101 can be either a physical device or a virtual machine. For connecting computers 101 via the network 105 to the Internet and the detection tool 110, proxies (not shown in the figure) can be used.

Средства защиты компьютера 102 и, опционально, средство защиты от направленных атак 103 служат для сбора информации об объектах на компьютере 101 и в сети 105 - то есть информации о подозрительных событиях, которые связаны с упомянутыми объектами на компьютерах 102 и в сети 105, и последующей передачи по сети 105 средству обнаружения 110 (облачный сервис поставщика услуг) уведомления безопасности, включающего, в частности, информацию о самом средстве защиты (идентификатор и пр.) и собранную информацию об объектах. В частном примере реализации уведомление безопасности может также включать метку времени (момент времени или интервал времени, в течение которого была собрана упомянутая информация об объекте). В частном варианте реализации объектом может быть, например, файл (хэш данного файла), процесс, URL-адрес, IP-адрес, сертификат, журнал исполнения файла или любой другой объект, обнаруженный на компьютере 101.The security features of the computer 102 and, optionally, the protection against targeted attacks 103 are used to collect information about objects on the computer 101 and the network 105 - that is, information about suspicious events that are associated with the said objects on the computers 102 and the network 105, and the subsequent transmitting over the network 105 to the detection means 110 (cloud service of the service provider) a security notification including, in particular, information about the security device itself (identifier, etc.) and collected information about the objects. In a particular embodiment, the security notification may also include a time stamp (a point in time or a time interval during which said object information was collected). In a particular embodiment, the object may be, for example, a file (hash of a given file), a process, a URL, an IP address, a certificate, a file execution log, or any other object found on computer 101.

В частном примере реализации с помощью средств защиты 102-103 собирают, в частности, следующую информацию об объектах:In a particular implementation example, using the means of protection 102-103, in particular, the following information about the objects is collected:

- поведение процессов (например, трасса выполнения);- the behavior of processes (for example, the execution path);

- события в операционной системе (ОС) - записи журнала событий ОС;- events in the operating system (OS) - entries in the OS event log;

- информация о межсетевом взаимодействии;- information about the interworking;

- показатели компрометации;- indicators of compromise;

- вердикты средства защиты или модулей средства защиты (в т.ч. числе неточные вердикты) или тестовые сигнатуры;- verdicts of the protective equipment or modules of the protective equipment (including inaccurate verdicts) or test signatures;

- метаданные объекта, в т.ч. контрольная сумма объекта.- object metadata, incl. object checksum.

Средство защиты от направленных атак 103 связано посредством сети 105 со средствами защиты компьютеров 102 и выполняет анализ сетевой активности информационной системы 100, а также функцию обнаружения направленных атак в информационной системе путем обнаружения объектов компьютеров 101 с использованием, в частности, «песочницы» (от англ. «sandbox» - компьютерная среда для безопасного исполнения процессов) и других детектирующих технологий (см. подробнее на Фиг. 2-3).The means of protection against directed attacks 103 is connected through a network 105 to the means of protecting computers 102 and performs an analysis of the network activity of the information system 100, as well as the function of detecting directed attacks in the information system by detecting objects of computers 101 using, in particular, the sandbox . "Sandbox" - a computer environment for the safe execution of processes) and other detecting technologies (see details in Figs. 2-3).

Средство защиты от целевых атак 103 собирает информацию, передаваемую в сетевом трафике. Таким образом средство защиты от целевых атак 103 собирает информацию о всех передаваемых по сети 105 объектах с компьютеров 101, в том числе с тех компьютеров 101, на которых не установлено средство защиты 102.The means of protection against targeted attacks 103 collects information transmitted in network traffic. Thus, the means of protection against targeted attacks 103 collects information about all objects transmitted over the network 105 from computers 101, including those computers 101 on which the means of protection 102 are not installed.

Информация об объектах в сети 105 может включать вердикты средства защиты от направленных атак 103, подозрительное поведение в сетевом трафике, в DNS-трафике, результаты эмуляции объектов из почты или Интернета.Information about objects on the network 105 may include verdicts of means of protection against targeted attacks 103, suspicious behavior in network traffic, in DNS traffic, results of emulation of objects from mail or the Internet.

В частном варианте реализации средства защиты 102-103 собирают информацию о всех указанных выше объектах. В другом варианте реализации средства защиты 102-103 могут содержать список безопасных (легитимных) объектов (о которых точно известно, что они не являются вредоносными и подозрительными) и список вредоносных и подозрительных объектов (на фигуре не показано). В этом примере средства защиты 102-103 собирают информацию не только об объектах из списка вредоносных и подозрительных объектов, но также информацию о неизвестных объектах (которые отсутствуют в списке вредоносных и подозрительных объектов, а также в списке безопасных объектов).In a particular embodiment, the protective equipment 102-103 collect information about all of the above objects. In another embodiment, the protection means 102-103 may contain a list of safe (legitimate) objects (of which it is known for certain that they are not malicious and suspicious) and a list of malicious and suspicious objects (not shown in the figure). In this example, protection means 102-103 collect information not only about objects from the list of malicious and suspicious objects, but also information about unknown objects (which are not in the list of malicious and suspicious objects, as well as in the list of safe objects).

В еще одном примере реализации средства защиты 102-103 могут содержать список дополнительных объектов, о которых необходимо собирать информацию. Такой список объектов может быть сформирован, например, администратором 106. В еще одном частном примере реализации, администратор 106 может сформировать список вредоносных и подозрительных объектов и список безопасных объектов, добавляя или исключая объекты из указанных списков.In another example implementation, the protective equipment 102-103 may contain a list of additional objects about which it is necessary to collect information. Such a list of objects can be generated, for example, by the administrator 106. In another particular implementation example, the administrator 106 can create a list of malicious and suspicious objects and a list of safe objects by adding or excluding objects from these lists.

Например, администратор 106 может указать список запрещенных действий и список разрешенных действий. Например, в информационной системе 100 может быть запрещено на части компьютеров 101 использование утилиты psexec, т.к. она может быть использована злоумышленниками для удаленного администрирования. Информация об объектах, связанных с запрещенными действиями, собирается средствами защиты 102-103. Таким образом, если на каком-либо компьютере 101 или в сети 105 было зафиксировано использование утилиты psexec, информация об использовании будет передана средству обнаружения 110, на котором будет добавлена соответствующая метка. При этом списки разрешенных и запрещенных действий могут храниться как в информационной системе 100, так и у средства обнаружения 110. Если средство защиты 103 обнаружило использование утилиты psexec на компьютере 110, на котором не установлено средство защиты 102, проверка допустимости использования psexec на данном компьютере и добавление соответствующей метки может быть произведено как средством защиты 103, так и средством обнаружения 110 с использованием списка запрещенных действий. В еще одном частном примере реализации, в случае отсутствия информации в списке запрещенных действий и в списке разрешенных действий, аналитический центр 115 может уточнить у администратора 106, допустимо ли обнаруженное действие и, в случае, если такое действие не допустимо, добавить соответствующую метку.For example, administrator 106 may specify a list of prohibited actions and a list of allowed actions. For example, in the information system 100, the use of the psexec utility may be prohibited on parts of computers 101, because it can be used by attackers for remote administration. Information about objects associated with prohibited actions is collected by means of protection 102-103. Thus, if psexec utility has been detected on any computer 101 or network 105, the usage information will be transmitted to the detection tool 110, on which the corresponding label will be added. Moreover, the lists of allowed and prohibited actions can be stored both in the information system 100 and in the detection tool 110. If the security tool 103 detects the use of the psexec utility on the computer 110 on which the security tool 102 is not installed, check the validity of the use of psexec on this computer and adding the appropriate label can be done both by means of protection 103 and by means of detection 110 using a list of prohibited actions. In another particular implementation example, if there is no information in the list of prohibited actions and in the list of allowed actions, the analytical center 115 may check with the administrator 106 whether the detected action is valid and, if such an action is not valid, add the appropriate label.

Средство обнаружения 110 сохраняет полученное уведомление безопасности в базу данных объектов 112, и затем осуществляет поиск объектов из базы данных угроз 111 в полученных уведомлениях безопасности. При нахождении объекта из уведомления безопасности в базе данных угроз 111, средство обнаружения 111 добавляет в базу данных объектов 112 к найденному объекту метку, соответствующую ему в базе данных угроз 111. Соответствие может быть определено, например, по совпадению контрольной суммы объекта в базе данных угроз 111 и в базе данных объектов 112.Detector 110 stores the received security notification in the object database 112, and then searches for objects from the threat database 111 in the received security notifications. When an object is found from the security notification in the threat database 111, the detection tool 111 adds the label corresponding to it in the threat database 111 to the found object database 112. The match can be determined, for example, by matching the checksum of the object in the threat database 111 and in the database of objects 112.

Метка объекта является характеристикой произошедшего на компьютере 101 события, связанного с найденным объектом или действия, произведенного объектом или над объектом. Таким образом, метка объекта будет добавлена к объекту в том и только том случае, когда на компьютере 101 произошло определенное событие или произведено определенное действие, связанное с объектом. В частном варианте реализации метки объекта характеризуют, например, вердикты средства защиты 102-103 и информацию о подозрительном поведении объекта (на основании информации об объекте). Таким образом, метка объекта включает, в частности, следующие события (здесь и далее подразумевается, что метка будет добавлена к объекту лишь в том случае, когда на компьютере 101 произошли указанные события, связанные с данным объектом, обнаруженные на основании полученной информации об объекте):An object label is a characteristic of an event occurring on a computer 101 associated with a found object or an action performed by or on an object. Thus, the label of the object will be added to the object if and only if a certain event has occurred on the computer 101 or a specific action has been performed related to the object. In a particular embodiment, the object’s labels characterize, for example, the verdicts of the protection means 102-103 and information about the suspicious behavior of the object (based on information about the object). Thus, the label of an object includes, in particular, the following events (hereinafter, it is understood that the label will be added to the object only when the indicated events associated with this object, detected on the basis of the received information about the object, occur on computer 101) :

- подмену DNS-сервера на компьютере;- substitution of the DNS server on the computer;

- отключение автоматического обновления операционной системы;- disabling automatic updating of the operating system;

- отключение сетевого экрана;- disable the firewall;

- отключение средства защиты;- disable protection;

- отключение UAC (англ. User Account Control, UAC - компонент ОС Windows, Контроль учетных записей пользователей).- Disabling UAC (Eng. User Account Control, UAC - component of the Windows OS, User Account Control).

В еще одном частном примере реализации метки объекта, добавляемые к объекту средством обнаружения 110 могут дополнительно включать следующие события:In yet another particular implementation example, object labels added to the object by the detection tool 110 may further include the following events:

- информация о несовпадении имени объекта и его контрольной суммы (например, исполняемый файл, являющийся приложением для удаленного доступа - TeamViewer, был переименован);- information about the mismatch of the name of the object and its checksum (for example, the executable file, which is an application for remote access - TeamViewer, has been renamed);

- нарушение профиля аутентификации на компьютере (в течение заданного периода времени (один, два и более дней), в течении которого осуществлялся сбор информации об объекте, на компьютере 101 была выполнена аутентификация определенного списка пользователей, а сейчас на компьютере 101 был аутентифицирован пользователь, отсутствующий в указанном списке);- violation of the authentication profile on the computer (within a specified period of time (one, two or more days), during which information about the object was collected, a certain list of users was authenticated on computer 101, and now a user who is absent on computer 101 was authenticated in the specified list);

- нарушение профиля сетевой активности процесса (в течение заданного периода времени (один, два и более дней), в течении которого осуществлялся сбор информации об объекте, процесс взаимодействовал по сети с определенным списком IP-адресов сети Интернет, после чего процесс связался по сети с IP-адресом, отсутствующим в указанном списке);- violation of the profile of the network activity of the process (for a specified period of time (one, two or more days), during which information about the object was collected, the process interacted over the network with a specific list of Internet IP addresses, after which the process contacted the network with IP address not in the specified list);

- уникальные в рамках данной информационной системы 100 задачи планировщика/настройки автозапуска/сервиса ОС/драйвера, отсутствующие в списке разрешенных задач;- tasks of the scheduler / autostart settings / OS service / driver settings that are unique within this information system 100 and are not in the list of allowed tasks;

- метки, связанные с результатами поиска объекта по внешним источникам разведки компьютерных атак (англ. cyber threat intelligence или threat intelligence);- tags associated with the object’s search results by external sources of computer attack intelligence (eng. cyber threat intelligence or threat intelligence);

- компьютеры 101, на которых обнаружены файлы, классифицированные как клавиатурный шпион (англ. keylogger), средство удаленного администрирования (англ. remote admin tool), средство мониторинга (англ. monitor), и встречающиеся на небольшом количестве компьютеров 101.- computers 101 on which files are classified as a keylogger (English keylogger), a remote administration tool (English remote admin tool), a monitoring tool (English monitor), and found on a small number of computers 101.

В частном примере реализации, если объект не содержится в списке вредоносных объектов, для него средством обнаружения 110 может быть вычислена гибкая свертка. Затем может быть проверено, соответствует ли данной гибкой свертке какие-либо вредоносные объекты, и при положительном ответе исходный объект будет также помечен как вредоносный. Кроме того, для данного файла может быть создан и передан вердикт для средства защиты 102.In a particular implementation example, if the object is not contained in the list of malicious objects, a flexible convolution can be calculated for it using detection tool 110. Then it can be checked whether any malicious objects correspond to this flexible convolution, and if the answer is yes, the original object will also be marked as malicious. In addition, a verdict for protector 102 can be created and transmitted for this file.

С использованием средства обнаружения 110 выполняют поиск признаков подозрительной активности (т.е. характерных признаков компьютерных атак) в базе данных подозрительной активности 113 на основании полученного уведомления безопасности и добавленных меток объекта, содержащегося в упомянутом уведомлении безопасности. При нахождении признака подозрительной активности добавляют с помощью средства обнаружения 110, в частности к уведомлению безопасности, метку, содержащуюся в базе данных подозрительной активности 113. Метка указывает на наличие найденного признака подозрительной активности. Затем выполняют обнаружение признаков компьютерной атаки путем выявления сигнатуры компьютерных атак из базы данных компьютерных атак 114 среди полученных объектов и уведомлений безопасности и меток упомянутых объектов и уведомлений безопасности из базы данных объектов 112.Using the detection tool 110, they search for signs of suspicious activity (i.e., characteristic signs of computer attacks) in the database of suspicious activity 113 based on the received security notification and the added tags of the object contained in the security notification. When a sign of suspicious activity is found, a tag contained in the database of suspicious activity 113 is added using the detection tool 110, in particular to the security notification. The tag indicates the presence of a found sign of suspicious activity. Then, signs of a computer attack are detected by detecting the signature of the computer attacks from the database of computer attacks 114 among the received objects and security notifications and labels of said objects and security notifications from the database of objects 112.

Под признаком компьютерной атаки понимается выполнение условий, необходимых для инициации подробного расследования и подтверждения или опровержения направленной атаки аналитическим центром 115. В частном примере реализации при выявлении сигнатуры компьютерных атак можно однозначно утверждать не только о выявлении признаков компьютерной атаки, но также можно подтвердить выявление компьютерной атаки без необходимости проведения расследования аналитическом центром 115. В другом примере реализации при выявлении сигнатуры компьютерных атак нельзя однозначно подтвердить направленную атаки, и в этом случае потребуется дополнительное расследование аналитическом центром 115.A sign of a computer attack means the fulfillment of the conditions necessary to initiate a detailed investigation and confirm or refute a targeted attack by the analytical center 115. In a particular implementation example, when detecting the sign of a computer attack, one can unequivocally confirm not only the signs of a computer attack, but also the detection of a computer attack without the need for an investigation by the think tank 115. In another implementation example, when identifying computer signatures attacks cannot be unambiguously confirm the targeted attacks, and in this case, an additional investigation by the analytical center 115 will be required.

Как к объектам, так и к уведомлениям безопасности добавляют метки, которые являются характеристикой произошедшего события на компьютере 101 (компьютер 101, с которого собрана информация, содержащаяся в уведомлении безопасности) или действия, произошедшего на компьютере. Таким образом, метка будет добавлена к уведомлению безопасности в том и только том случае, когда на компьютере 101 произошло определенное событие или произведено определенное действие, которое подпадает под признак подозрительной активности.Both objects and security notifications are appended with tags that are characteristics of the event that occurred on computer 101 (computer 101, from which information contained in the security notification was collected) or the action that occurred on the computer. Thus, the label will be added to the security notification if and only if a specific event has occurred on computer 101 or a specific action has been performed that falls within the sign of suspicious activity.

Метки к уведомлениям безопасности могут включать признаки подозрительной активности, которые в свою очередь являются, в частности, следующими:Labels for security notifications may include signs of suspicious activity, which in turn are, in particular, the following:

- пользователь впервые выполнил аутентификацию на компьютере; пример сценария наступления такого подозрительного события следующий. В течение месяца средство защиты 102 собирает список учетных записей пользователей (аккаунтов), успешно аутентифицированных на компьютере 101. Затем на компьютере 101 аутентифицируется пользователь с учетной записью, которая отсутствует в сформированном списке учетных записей;- the user first performed authentication on the computer; An example of a scenario for the occurrence of such a suspicious event is as follows. Within a month, the protection means 102 collects a list of user accounts (accounts) successfully authenticated on the computer 101. Then, the user with the account that is not in the generated list of accounts is authenticated on the computer 101;

- произведен удаленный запуск объекта (файла/процесса);- made remote start of the object (file / process);

пример сценария наступления такого подозрительного события следующий. Был выполнен удаленный запуск объекта с использованием инфраструктуры Windows Management Instrumentation (WMI) или через службы ОС Windows;An example of a scenario for the occurrence of such a suspicious event is as follows. The object was launched remotely using the Windows Management Instrumentation (WMI) infrastructure or through Windows OS services;

- произведено удаление записей в журнале событий;- Deleted entries in the event log;

- осуществлена загрузка файла по сети от приложения, не являющегося браузером;- a file was downloaded over the network from an application that is not a browser;

- выполнен запуск файлов, отсутствующих в белых списках, из подозрительных каталогов;- Launched files that are not in the white lists from suspicious directories;

- произведено удаление теневых копий (например, с помощью утилиты vssadmin.exe - это свойственно многим вредоносным приложениям-шифровальщикам, для затруднения восстановления системы);- Shadow copies were deleted (for example, using the vssadmin.exe utility - this is typical of many malicious encryption programs to make system recovery difficult);

- обнаружены переименованные утилиты удаленного администрирования (AmmyyAdmin, Team Viewer и др.);- Found renamed remote administration utilities (AmmyyAdmin, Team Viewer, etc.);

- выполнено копирование файлов в сетевую папку администратора (С$, ADMIN$);- files were copied to the administrator’s network folder (C $, ADMIN $);

- использованы утилиты bcdedit.exe для отключения компонента ОС «восстановление системы» (англ. System startup repair);- bcdedit.exe utilities were used to disable the OS system recovery component (Eng. System startup repair);

- системный процесс lsass.exe запустил файл или модифицировал файл на диске;- the system process lsass.exe launched the file or modified the file on disk;

- выполнен обфусцированный сценарий PowerShell;- executed obfuscated PowerShell script;

- произведен вызов функции Windows API;- a call was made to the Windows API function;

была выполнена подозрительная команда PowerShell - вызов функций Windows API;a suspicious PowerShell command was executed - a call to the Windows API functions;

- с помощью библиотеки Rundll32 запущены файлы из подозрительных путей.- Using the Rundll32 library, files from suspicious paths were launched.

В частном примере реализации часть меток к объектам и меток к уведомлениям безопасности (и соответственно признаков подозрительной активности) могут совпадать. Например, несовпадение имени объекта и его контрольной суммы может являться как признаком подозрительной активности, так и может быть добавлено в качестве метки к объекту.In a particular implementation example, part of the labels for objects and labels for security notifications (and, accordingly, signs of suspicious activity) may coincide. For example, a mismatch between the name of the object and its checksum may be a sign of suspicious activity, or it may be added as a label to the object.

Сигнатура компьютерных (в частном примере - направленных) атак представляет собой набор следующих записей: список объектов, уведомления безопасности и метки упомянутых объектов и уведомлений безопасности, которые характерны для конкретных компьютерных атак и, в частности, для направленных атак. Таким образом, при нахождении определенной комбинации записей из сигнатуры направленной атаки можно утверждать об обнаружении атаки (или ее признаков). В одном частном примере реализации сигнатура компьютерной атаки содержит одновременно по меньшей мере одну запись об объекте, по меньшей мере одну запись об уведомлении безопасности, по меньшей мере одну метку объекта и по меньшей мере одну метку уведомления безопасности. В другом частном примере реализации сигнатура компьютерной атаки может содержит только одну или несколько из упомянутых записей - например, запись об одном объекте или запись об объекте и метке объекта. В еще одном частном примере реализации, сигнатура компьютерной атаки содержит по меньшей мере одну метку уведомления безопасности.The signature of a computer (in a particular example, targeted) attack is a set of the following entries: a list of objects, security notices, and labels of the mentioned objects and security notifications that are characteristic of specific computer attacks and, in particular, for targeted attacks. Thus, when finding a certain combination of records from the signature of a directed attack, it is possible to claim the detection of an attack (or its signs). In one particular embodiment, the computer attack signature contains at least one object record, at least one security notification record, at least one object label, and at least one security notification label. In another particular implementation example, a computer attack signature may contain only one or more of the mentioned records — for example, a record about one object or a record about an object and an object’s label. In yet another particular embodiment, the computer attack signature comprises at least one security notification label.

Для обнаружения всех видов признаков подозрительной активности (нарушение профиля сетевой активности процесса, компьютера, нарушение профиля сетевых входов и т.п.) может быть использована система машинного обучения без учителя - система сама обучается на основе поступающих уведомлений безопасности и проставленных меток. После обучения система будет ставить метки уведомлениям безопасности, для которых отсутствует метка в базе данных подозрительной активности 113. Кроме того, может быть использована система машинного обучения с учителем для решения задачи классификации поведения процесса или компьютера. При этом факторами являются признаки подозрительной активности, а обучение проводится на данных для известных обнаруженных компьютерных атаках.To detect all kinds of signs of suspicious activity (violation of the network activity profile of a process, computer, violation of the network inputs profile, etc.), a machine-learning system without a teacher can be used - the system itself is trained on the basis of incoming security notifications and affixed tags. After training, the system will label security notifications for which there is no label in the database of suspicious activity 113. In addition, a machine learning system with a teacher can be used to solve the problem of classifying the behavior of a process or computer. The factors are signs of suspicious activity, and training is conducted on data for known detected computer attacks.

База данных объектов 112 служит для хранения уведомлений безопасности, содержащих информацию об объектах, а также добавленные метки к объектам и метки к уведомлениям безопасности.The database of objects 112 is used to store security notifications containing information about objects, as well as added labels to objects and labels to security notifications.

База данных угроз 111 содержит данные об известных угрозах. В частности в базе данных угроз 111 содержатся идентификаторы и информация об объектах, являющихся признаками угроз. Каждый объект в базе данных угроз 111 помечен соответствующей меткой. Например, вредоносным объектам может соответствовать метка «вредоносный объект». Если объект использовался в конкретной направленной атаке, ему будет присвоена соответствующая метка.Threat database 111 contains data on known threats. In particular, the threat database 111 contains identifiers and information about objects that are signs of threats. Each object in the threat database 111 is marked with the corresponding label. For example, a malicious object might be labeled “malicious object”. If an object was used in a specific targeted attack, an appropriate label will be assigned to it.

Рассмотрим для примера известную направленную атаку "Turla". С ней связаны известные URL-адреса. И, таким образом, если объект, являющийся исполняемым файлом, обращался к упомянутому адресу, к данному объекту будет добавлена метка, указывающая на соответствующее действие. Например, метка «обращение к URL-адресу, связанному с APT Turla».For example, consider the well-known directional attack "Turla". Known URLs are associated with it. And thus, if the object, which is the executable file, accessed the mentioned address, a label indicating the corresponding action will be added to this object. For example, the label "access to the URL associated with APT Turla."

В еще одном примере с направленной атакой "Naikon APT" связан известный набор IP-адресов, и, если объект обращался к данному адресу, к объекту будет добавлена метка «обращение к IP-адресу, связанному с Naikon АРТ».In another example, a known set of IP addresses is associated with the Naikon APT targeted attack, and if the object accessed this address, the label “access the IP address associated with Naikon ART” will be added to the object.

База данных подозрительной активности 113 содержит список признаков подозрительной активности. При этом каждый признак подозрительной активности помечен специальной меткой, указывающей на то, с какой направленной атакой указанный признак подозрительной активности связан (примеры признаков подозрительной активности были приведены ранее).Suspicious activity database 113 contains a list of signs of suspicious activity. In addition, each sign of suspicious activity is marked with a special label indicating which directed attack the indicated sign of suspicious activity is associated with (examples of signs of suspicious activity were given earlier).

В частном примере реализации, если объект помечен определенной совокупностью меток, к указанному объекту может быть добавлена дополнительная метка, указывающая на данную особенность. Таким образом, совокупность меток может быть также помечена меткой.In a particular implementation example, if an object is marked with a certain set of labels, an additional label can be added to the specified object, indicating this feature. Thus, a plurality of tags can also be tagged.

База данных компьютерных атак 114 содержит список сигнатур компьютерных или направленных атак.The database of computer attacks 114 contains a list of signatures of computer or targeted attacks.

На Фиг. 2 приведен возможный пример модулей средства защиты компьютера. Средство защиты компьютера 102 может содержать модули, предназначенные для обеспечения безопасности компьютера 101: сканер по доступу, сканер по требованию, почтовый антивирус, веб-антивирус, модуль проактивной защиты, модуль HIPS (англ. Host Intrusion Prevention System - система предотвращения вторжений), DLP-модуль (англ. data loss prevention - предотвращение утечки данных), сканер уязвимостей, эмулятор, сетевой экран и др. В частном примере реализации указанные модули могут быть составной частью средства защиты 102. В еще в одном примере реализации данные модули могут быть реализованы в виде отдельных программных компонент.In FIG. Figure 2 shows a possible example of modules for computer protection. The computer protection tool 102 may contain modules designed to ensure the security of the computer 101: an on-access scanner, an on-demand scanner, mail antivirus, web antivirus, proactive protection module, HIPS module (Host Intrusion Prevention System), DLP -module (born data loss prevention), vulnerability scanner, emulator, firewall, etc. In a particular implementation example, these modules can be an integral part of security tool 102. In another example implementation, these modules could These are implemented as separate software components.

Сканер по доступу содержит функционал обнаружения вредоносной активности всех открываемых, запускаемых и сохраняемых файлов на компьютерной системе пользователя. Сканер по требованию отличается от сканера по доступу тем, что сканирует заданные пользователем файлы и директории по требованию пользователя.The access scanner contains functionality for detecting malicious activity of all opened, launched and saved files on the user's computer system. The on-demand scanner differs from the access scanner in that it scans user-specified files and directories on demand.

Почтовый антивирус необходим для контроля входящей и исходящей электронной почты на предмет содержания вредоносных объектов. Веб-антивирус служит для предотвращения исполнения вредоносного кода, который может содержаться на веб-сайтах при их посещении пользователем, а также для блокирования открытия веб-сайтов. Модуль HIPS служит для обнаружения нежелательной и вредоносной активности программ и блокирования ее в момент исполнения. DLP-модуль служит для обнаружения и предотвращения утечки конфиденциальных данных за пределы компьютера или сети. Сканер уязвимостей необходим для обнаружения уязвимостей на компьютере 101 (например, отключены некоторые компоненты средства защиты 102, устаревшие вирусные базы, закрыт сетевой порт и пр.). Сетевой экран осуществляет контроль и фильтрацию сетевого трафика в соответствии с заданными правилами. Работа эмулятора заключается в имитации гостевой системы во время исполнения кода в эмуляторе. Модуль проактивной защиты использует поведенческие сигнатуры для обнаружения поведения исполняемых файлов и их классификации по уровню доверия.Mail antivirus is required to control incoming and outgoing e-mail for the content of malicious objects. Web antivirus is used to prevent the execution of malicious code that may be contained on websites when they are visited by the user, as well as to block the opening of websites. The HIPS module serves to detect unwanted and malicious activity of programs and block it at the time of execution. The DLP module is used to detect and prevent confidential data from leaking out of a computer or network. Vulnerability scanner is required to detect vulnerabilities on computer 101 (for example, some components of protection tool 102 are disabled, outdated virus databases, the network port is closed, etc.). The firewall monitors and filters network traffic in accordance with the specified rules. The emulator works by simulating the guest system while the code is running in the emulator. The proactive defense module uses behavioral signatures to detect the behavior of executable files and classify them by trust level.

Приведенные модули при обнаружении вредоносного программного обеспечения (подозрительного поведения, спама и др. признаков компьютерной угрозы), создают соответствующее уведомление (которое далее может быть преобразовано в вердикт средства защиты 102), указывающее средству защиты об обнаруженной угрозе и необходимости выполнить действия по устранению угрозы (например, удаление или изменение файла, запрет исполнения и пр.). В частном примере реализации сам модуль, обнаруживший вредоносное ПО, может выполнить действия по устранению угрозы. В еще одном примере вердикт может быть неточным или тестовым (т.к. данный вердикт может давать ложные срабатывания) - в этом случае средство защиты не будет выполнять действий по устранению угрозы, но передаст уведомление далее, средству обнаружения 110. Стоит отметить, что вердикт средства защиты 102 является частью информации об объекте (файле, процессе), которая затем будет передана средству обнаружения 110 в виде уведомления безопасности.When the detected modules detect malicious software (suspicious behavior, spam, and other signs of a computer threat), they create a corresponding notification (which can then be converted to the verdict of protection means 102), indicating to the protection means about the detected threat and the need to take actions to eliminate the threat ( for example, deleting or modifying a file, prohibition of execution, etc.). In a particular implementation example, the module itself that detects malware can take actions to eliminate the threat. In another example, the verdict may be inaccurate or test (since this verdict can give false positives) - in this case, the security measure will not take action to eliminate the threat, but will send a notification to the detection tool 110. It should be noted that the verdict means of protection 102 is part of the information about the object (file, process), which will then be transmitted to the detection means 110 in the form of a security notification.

На Фиг. 3 приведен возможный пример модулей средства защиты от направленных атак. Средство защиты от направленных атак 103 может содержать, например, следующие модули защиты: «песочницу», систему обнаружения вторжений (англ. - Intrusion Detection System, IDS), репутационный сервис, модуль проверки YARA правил и другие модули обнаружения.In FIG. Figure 3 shows a possible example of protection against attack modules. The means of protection against targeted attacks 103 may contain, for example, the following protection modules: a sandbox, an intrusion detection system (IDS), a reputation service, a YARA rule checking module, and other detection modules.

Модуль «песочница» имеет функционал, аналогичный эмулятору средства защиты компьютера 102 с тем отличием, что «песочница» может использовать дополнительные вычислительные мощности и работать большее время, так как у средства защиты от направленных атак 103 отсутствуют ограничения по времени, присущие средству защиты компьютера 102.The sandbox module has a functionality similar to the emulator of the computer protection tool 102 with the difference that the sandbox can use additional computing power and work longer, since the protection against directed attacks 103 has no time limits inherent in the computer protection tool 102 .

«Песочница» является компьютерной средой для безопасного исполнения процессов и служит для определения подозрительной активности при исполнении процесса, запущенного из файла.The Sandbox is a computer environment for the safe execution of processes and is used to determine suspicious activity during the execution of a process launched from a file.

«Песочница» может быть реализована, например, в виде виртуальной машины, на основе частичной виртуализации файловой системы и реестра, на основе правил доступа к файловой системе и реестру или на основе смешанного подхода.A “sandbox” can be implemented, for example, in the form of a virtual machine, based on partial virtualization of the file system and registry, based on access rules to the file system and registry, or based on a mixed approach.

Система обнаружения вторжений является средством выявления фактов неавторизованного доступа в компьютерную систему 101 или сеть 105 либо несанкционированного управления ими.An intrusion detection system is a means of detecting unauthorized access to a computer system 101 or network 105 or unauthorized control thereof.

Сервер репутации может быть зеркалом или кэшированной копией сервера репутации 104 и, кроме того, содержит информацию о популярности объектов на компьютерах 101 (количество компьютеров 101, на которых имеется объект, количество запусков объекта и пр.).The reputation server can be a mirror or a cached copy of the reputation server 104 and, in addition, contains information about the popularity of objects on computers 101 (the number of computers 101 on which there is an object, the number of object launches, etc.).

Модуль проверки YARA правил служит для проверки сигнатур YARA - открытого формата сигнатур (см. http://yararules.com/).The YARA rule validation module is used to validate YARA signatures, an open signature format (see http://yararules.com/).

DLP-модуль служит для обнаружения и предотвращения утечки конфиденциальных данных за пределы компьютера или сети.The DLP module is used to detect and prevent confidential data from leaking out of a computer or network.

Анализатор TI (англ. threat intelligence - разведка угроз) - модуль, выполняющий соотнесение объектов из отчетов о компьютерных атаках с информацией об объектах и с признаками подозрительного поведение. Например, анализатор TI может определить список IP-адресов командных центров, участвующих в известных компьютерных атаках. Полученную информацию анализатор TI передает модулю скоринга, который ранжирует информацию об объектах и признаки подозрительного поведения по значению вероятности принадлежности их к компьютерной атаке.TI analyzer (English threat intelligence - threat intelligence) is a module that compares objects from computer attack reports with information about objects and with signs of suspicious behavior. For example, the TI analyzer can determine the list of IP addresses of command centers involved in known computer attacks. The TI analyzer passes the received information to the scoring module, which ranks information about objects and signs of suspicious behavior by the probability of their belonging to a computer attack.

На Фиг. 4 представлена схема, иллюстрирующая процесс добавления меток к объектам и уведомлениям безопасности. Так, по меньшей мере одно из средств защиты 102-103 собирает информацию об объекте 401 и передает средству обнаружения 110 уведомление безопасности 402. Средство обнаружения 110 извлекает объект 401 из полученного уведомления безопасности 402 и выполняет поиск объекта 401 в базе данных угроз 111 (Уровень 1). При положительном результате поиска средство обнаружения 110 добавляет метку 410, соответствующую этому объекту 401, в базе данных угроз 111. В одном частном варианте реализации, при добавлении к упомянутому объекту 401 метки, учитывают собранную информацию о данном объекте. Например, если на компьютере был обнаружен объект 401, которому соответствуют определенные показатели компрометации (указанные в базе данных угроз 111), к нему будет добавлена метка, если же был обнаружен тот же объект 401, однако не были найдены определенные показатели компрометации, к нему не будет добавлена метка. Далее средство обнаружения 110 выполняет поиск признаков подозрительной активности (Уровень 2), содержащихся в базе данных подозрительной активности 113, на основании полученного уведомления безопасности 402 и добавленных меток 410 объекта 402. При нахождении признака подозрительной активности средство обнаружения 110 добавляет в базе данных объектов 112, в частности к уведомлению безопасности 402, метку 411, содержащуюся в базе данных подозрительной активности 113.In FIG. 4 is a diagram illustrating the process of adding labels to objects and security notifications. So, at least one of the protections 102-103 collects information about the object 401 and transmits a security notification 402 to the detection tool 110. The detection tool 110 extracts the object 401 from the received security notification 402 and searches for the object 401 in the threat database 111 (Level 1 ) If the search result is positive, the detection tool 110 adds a tag 410 corresponding to this object 401 to the threat database 111. In one particular embodiment, when tags are added to the object 401, the collected information about this object is taken into account. For example, if an object 401 was detected on the computer that corresponds to certain indicators of compromise (specified in the threat database 111), a label will be added to it, if the same object 401 was found, however, certain indicators of compromise were not found, there is no a label will be added. Further, the detection tool 110 searches for signs of suspicious activity (Level 2) contained in the database of suspicious activity 113, based on the received security notification 402 and the added tags 410 of the object 402. When a sign of suspicious activity is found, the detection tool 110 adds 112 to the database of objects. in particular to security notification 402, tag 411 contained in the suspicious activity database 113.

В итоге, средство обнаружения 110 выполняет обнаружение направленной атаки (Уровень 3) 403 путем выявления сигнатуры направленных атак из базы данных компьютерных атак 114 среди полученных объектов 401, уведомлений безопасности 402 и меток к объектам 410 и к уведомлениям безопасности 411 из базы данных объектов 112.As a result, the detection tool 110 performs a directed attack detection (Level 3) 403 by detecting the signatures of targeted attacks from the database of computer attacks 114 among the received objects 401, security notifications 402 and tags to objects 410 and to security notifications 411 from the database of objects 112.

В частном примере реализации при подтверждении компьютерной атаки информация будет передана в аналитический центр 115, который, в свою очередь, уведомит администратора 106 информационной системы 100 об обнаруженной атаки с использованием, в частности, телекоммуникационной сети 120 или сети 105.In a particular implementation example, when a computer attack is confirmed, information will be transmitted to the analytical center 115, which, in turn, will notify the administrator 106 of the information system 100 of the detected attack using, in particular, telecommunication network 120 or network 105.

В другом частном примере реализации для подтверждения компьютерной атаки информация будет также передана в аналитический центр 115, который, в свою очередь, уведомит администратора 106 информационной системы 100 об обнаруженной атаки с использованием, в частности, телекоммуникационной сети 120 или сети 105. И, если администратор 106 сообщит о том, что действия, которые привели к выявлению сигнатуры компьютерной угрозы, являются легитимными, компьютерная атака будет опровергнута.In another particular implementation example, to confirm a computer attack, the information will also be transmitted to the analytical center 115, which, in turn, will notify the administrator 106 of the information system 100 of the detected attack using, in particular, telecommunication network 120 or network 105. And, if the administrator 106 will report that the actions that led to the identification of the signature of a computer threat are legitimate, a computer attack will be denied.

Однако в том случае, если администратор 106 сообщит, что действия, которые привели к выявлению сигнатуры компьютерной угрозы, не являются разрешенными, и если для выявления сигнатуры направленных атак из базы данных компьютерных атак 114 не хватает одной или нескольких записей из базы данных объектов 112, с использованием аналитического центра 115 может быть запрошена дополнительная информация у администратора 106. Дополнительная информация может включать, в частности, файлы одного или нескольких компьютеров 101, записи журналов средств защиты 102 (например, журнал сетевого экрана или журнал модуля проактивной защиты), дамп памяти одного или нескольких компьютеров 101, дамп диска одного или нескольких компьютеров 101.However, if the administrator 106 reports that the actions that led to the identification of the signature of the computer threat are not allowed, and if one or more entries from the database of objects 112 are not enough to identify the signatures of targeted attacks from the database of computer attacks 114, using the analytical center 115, additional information may be requested from the administrator 106. Additional information may include, in particular, files of one or more computers 101, records of security logs 1 02 (for example, a firewall log or a proactive defense module log), a memory dump of one or more computers 101, a dump of the disk of one or more computers 101.

Ниже, в таблице 1, приведены примеры запроса дополнительной информации аналитическим центром 115 у администратора 106.Table 1 below shows examples of requesting additional information by analytical center 115 from administrator 106.

Например, если вирусная сигнатура содержит неточный вердикт на память, то для подтверждения компьютерной атаки потребуется дамп памяти (пример 1). Остальные примеры подробно описаны в таблице 1.

Figure 00000001
For example, if the virus signature contains an inaccurate verdict on the memory, then a memory dump will be required to confirm a computer attack (example 1). Other examples are described in detail in table 1.
Figure 00000001

Figure 00000002
Figure 00000002

В частном примере реализации признаки подозрительной активности зависят от тактик, технологий и процедур (англ. Tactics, Techniques and Procedures, TTP) компьютерных и, в частности, направленных атак.In a particular implementation example, the signs of suspicious activity depend on the tactics, technologies, and procedures (Tactics, Techniques and Procedures, TTP) of computer and, in particular, targeted attacks.

Приведем пример ТТР. Пользователь получил офисный документ в виде вложения по почте. Документ содержал макрос, пользователь согласился с его запуском. Запущенный макрос запустил интерпретатор PowerShell, который загрузил с сайта содержимое, закодированное по Base64, и запустил его без создания каких-либо файлов на диске. Запущенный код выполнился в контексте процесса PowerShell и выполнил закрепление в компьютерной системе путем создания записи в реестр HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, обеспечив запуск данного кода всякий раз при входе пользователя. Данный код представлял собой переименованный клиент TeamViewer, посредством которого злоумышленник осуществлял удаленный вход в скомпрометированную систему.We give an example of TTR. The user received an office document as an attachment by mail. The document contained a macro, the user agreed to run it. The launched macro launched the PowerShell interpreter, which downloaded Base64 encoded content from the site and ran it without creating any files on the disk. The launched code was executed in the context of the PowerShell process and performed pinning in the computer system by creating an entry in the registry HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, ensuring that this code is run whenever the user logs in. This code was a renamed TeamViewer client, through which an attacker made remote access to a compromised system.

В данном примере сработают следующие признаки подозрительной активности:In this example, the following signs of suspicious activity will work:

- запуск интерпретатора PowerShell из офисного приложения;- launch of the PowerShell interpreter from the office application;

- эвристический неточный вердикт на обфускацию параметров PowerShell (сжатие, кодирование BASE64 и т.п.);- a heuristic inaccurate verdict on obfuscating PowerShell parameters (compression, BASE64 encoding, etc.);

- HTTP-запрос от интерпретатора PowerShell;- HTTP request from the PowerShell interpreter;

- сайт, с которого было загружено вложение, ранее был обнаружен в распространении вредоносного ПО (содержится в списке вредоносных объектов);- the site from which the attachment was downloaded was previously detected in the distribution of malware (contained in the list of malicious objects);

- сканер по доступу выдал неточный вердикт по загруженному вложению (например, по похожести - результат отработки гибкой свертки);- the access scanner issued an inaccurate verdict on the loaded attachment (for example, by similarity - the result of working out a flexible convolution);

- с использованием репутационного сервера получена низкая репутация или популярность загруженного вложения;- Using a reputation server, a low reputation or popularity of a downloaded attachment was obtained;

- средство защиты 102 выдало неточный/точный вердикт при сканировании памяти процесса PowerShell после загрузки с сайта вредоносного содержимого;- protection tool 102 issued an inaccurate / accurate verdict when scanning the PowerShell process memory after downloading malicious content from the site;

- PowerShell модифицировал ключи реестра для автозапуска;- PowerShell modified registry keys for autorun;

- для файла, прописанного в автозапуске, хеш не соответствует имени (например, хеш файла соответствует хешу приложения Team Viewer, а имя файла - иное).- for a file specified in autorun, the hash does not match the name (for example, the hash of the file corresponds to the hash of the Team Viewer application, and the file name is different).

В еще одном примере реализации признаки подозрительной активности зависят от информации о направленных атаках, полученных при проведении тестов на проникновение (англ. penetration test, сокращенно - pentest). Например, группа тестирования на проникновения через уязвимость в протоколе SMB получила привилегированный доступ на компьютер администратора, где с помощью легальной утилиты создала дамп памяти процесса lsass.exe. Из дампа были извлечены аутентификационные данные, которые затем использовались для доступа к другим компьютерам в сети, откуда также были получены дампы памяти и также извлечены аутентификационные данные. Процесс повторялся многократно, пока не был получен доступ к аутентификационным данным администратора домена Windows.In yet another example of implementation, the signs of suspicious activity depend on information about targeted attacks received during penetration tests (eng. Penetration test, in abbreviated form - pentest). For example, an SMB vulnerability penetration testing group received privileged access to the administrator’s computer, where it created a dump of the lsass.exe process using a legal utility. Authentication data was extracted from the dump, which was then used to access other computers on the network, from which memory dumps were also obtained, and authentication data was also extracted. The process was repeated many times until access to the authentication credentials of the Windows domain administrator was obtained.

Примеры признаков подозрительной активности перечислены ранее, в описании к Фиг. 1.Examples of signs of suspicious activity are listed previously in the description of FIG. one.

На Фиг. 5 представлен вариант способа осуществления настоящего изобретения. На шаге 501 средство защиты компьютера 102 и/или средство защиты от направленных атак 103 собирает информацию об объектах (например, файлах, процессах) на компьютере 101. Далее, на шаге 502, указанные средства защиты передают средству обнаружения 110 уведомление безопасности, которое включает, в частности, информацию о самом средстве защиты и собранную информацию об объекте. При этом средство обнаружения 110 сохраняет полученное уведомление безопасности в базу данных объектов 112.In FIG. 5 shows an embodiment of a method for implementing the present invention. At step 501, the protection means of the computer 102 and / or the means of protection against targeted attacks 103 collects information about objects (for example, files, processes) on the computer 101. Next, at step 502, the said means of protection transmit to the detection means 110 a security notification that includes, in particular, information about the protective equipment itself and information collected about the object. In this case, the detection means 110 stores the received security notification in the database of objects 112.

На шаге 503 средство обнаружения 110 выполняет поиск объектов из уведомлений безопасности в базе данных угроз 111. К найденным объектам на шаге 504 средство обнаружения 110 добавляет в базе данных объектов 112 метки, соответствующие этому объекту в базе данных угроз 111. На шаге 505 средство обнаружения 110 выполняет поиск признаков подозрительной активности, содержащихся в базе данных подозрительной активности 113, на основании полученного уведомления безопасности и добавленных меток объекта, содержащегося в уведомлении безопасности. На шаге 506, при нахождении признака подозрительной активности, средство обнаружения 110 добавляет в базе данных объектов 112, в частности к уведомлению безопасности метку, содержащуюся в базе данных подозрительной активности 113.In step 503, the detection tool 110 searches for objects from security notifications in the threat database 111. To the found objects in step 504, the detection tool 110 adds tags 112 to the objects database corresponding to this object in the threat database 111. In step 505, the detection tool 110 searches for signs of suspicious activity contained in the database of suspicious activity 113 based on the received security notification and the added tags of the object contained in the security notification. At step 506, when a sign of suspicious activity is found, the detection tool 110 adds the label contained in the database of suspicious activity 113 to the security notification, in particular.

На шаге 507 средство обнаружения 110 выполняет обнаружение признаков компьютерной атаки путем выявления сигнатуры компьютерных атак из базы данных компьютерных атак 114 среди полученных объектов, и уведомлений безопасности, и меток упомянутых объектов, и меток уведомлений безопасности из базы данных объектов 112. После обнаружения признаков компьютерной атаки последующее расследование атаки будет проводится специалистами по компьютерной безопасности из аналитического центра 115, взаимодействующих с администратором 106. В частном примере реализации при выявлении сигнатуры компьютерных атак можно однозначно утверждать о выявлении не только признаков компьютерной атаки, но и подтвердить выявление компьютерной атаки без необходимости проведения расследования аналитическом центром 115. В другом примере реализации при выявлении сигнатуры компьютерных атак нельзя однозначно подтвердить направленную атаки, и в этом случае потребуется дополнительное расследование аналитическом центром 115.At step 507, the detection tool 110 performs detection of signs of a computer attack by detecting the signature of computer attacks from the database of computer attacks 114 among the received objects, and security notifications, and marks of the mentioned objects, and security notification marks from the database of objects 112. After detecting signs of a computer attack the subsequent investigation of the attack will be carried out by computer security specialists from the analytical center 115, who interact with the administrator 106. In a particular example, When detecting signatures of computer attacks, it is possible to unequivocally confirm the detection of not only signs of a computer attack, but also confirm the detection of a computer attack without the need for an investigation by the analytical center 115. In another example of implementation, when detecting the signature of computer attacks, it is impossible to unequivocally confirm the directed attack, in which case further investigation by the think tank 115 will be required.

Таким образом, будет решена техническая проблема, заключающаяся в низком качестве определения признаков компьютерных атак на информационную систему и достигнуты заявленные технические результаты. А именно, реализовано назначение, а также повышено качество определения признаков компьютерных атак на информационную систему по сравнению с известными аналогами за счет выявления сигнатуры компьютерных атак среди полученных объектов, и уведомлений безопасности, и меток упомянутых объектов, и меток уведомлений безопасности из базы данных объектов.Thus, a technical problem will be solved, consisting in the low quality of determining the signs of computer attacks on an information system and the claimed technical results will be achieved. Namely, the purpose has been implemented, and the quality of determining the signs of computer attacks on the information system has been improved compared to well-known counterparts by identifying the signatures of computer attacks among received objects, and security notifications, and marks of the mentioned objects, and security notification marks from the database of objects.

Стоит отметить, что некоторые атаки, в том числе направленные атаки, могут быть обнаружены средствами защиты 102-103, и в этом случае способ по Фиг. 5 будет завершен, а атака будет предотвращена средствами защиты 102-103 (путем удаления используемых в атаке файлов, блокировании трафика и прочих действий).It is worth noting that some attacks, including targeted attacks, can be detected by means of protection 102-103, in which case the method of FIG. 5 will be completed, and the attack will be prevented by means of protection 102-103 (by deleting the files used in the attack, blocking traffic and other actions).

В частном варианте реализации на шаге 501 средства защиты 102-103 собирают, в частности, информацию о таких объектах:In a particular embodiment, at step 501, the protective equipment 102-103 collects, in particular, information about such objects:

- поведение процессов;- process behavior;

- события в операционной системе;- events in the operating system;

- информация о межсетевом взаимодействии;- information about the interworking;

- показатели компрометации (IOC);- indicators of compromise (IOC);

- вердикты средства защиты (примеры модулей приведены на Фиг. 2-3).- verdicts of the protective equipment (examples of modules are shown in Figs. 2-3).

В частном варианте реализации при нахождении признака подозрительной активности дополнительно добавляют метку из базы данных подозрительной активности к средству защиты, информация о котором содержится в упомянутом уведомлении безопасности, а при выполнении обнаружения направленной атаки дополнительно основываются на сравнении выставленных меток к упомянутому средству защиты с сигнатурами компьютерных атак из базы данных компьютерных атак 114In a particular embodiment, when a sign of suspicious activity is found, a label from the database of suspicious activity is additionally added to the security tool, the information about which is contained in the mentioned security notification, and when performing a directed attack detection, they are additionally based on comparing the issued tags to the said security tool with computer attack signatures from the database of computer attacks 114

В другом частном варианте реализации информация об объекте дополнительно содержит, в частности, одно из:In another particular embodiment, the information about the object further comprises, in particular, one of:

- контрольная сумма объекта или его части (например, контрольная сумма файла или его части) - например, CRC, хеш-функции: MD5, SHA-1, SHA-2, Kessak, ГОСТ Р 34.11-2012 и др.;- the checksum of the object or its part (for example, the checksum of the file or its part) - for example, CRC, hash functions: MD5, SHA-1, SHA-2, Kessak, GOST R 34.11-2012 and others;

- источник появления объекта (например, IP-адрес ресурса, с которого была произведена загрузка объекта);- the source of the appearance of the object (for example, the IP address of the resource from which the object was downloaded);

- результаты эмуляции исполнения объекта;- The results of the emulation of the execution of the object;

- журнал вызовов API-функций операционной системы со стороны объекта (если объект - процесс);- a call log of API functions of the operating system from the side of the object (if the object is a process);

- время появления объекта в рамках вычислительного устройства;- the time of the appearance of the object within the computing device;

- данные, передаваемые по сети объектом.- data transmitted over the network by the object.

В еще одном частном варианте реализации при добавлении на шаге 502 из базы данных угроз 111 к объекту метки, указывающей на необходимость предоставления объекта или дополнительной информации об указанном объекте, с помощью средства обнаружения 110 запрашивают объект или дополнительную информацию об указанном объекте по меньшей мере у одного средства защиты 102-103, при этом после получения от средства защиты запрошенного объекта или дополнительной информации об указанном объекте выполняют шаги 503-504 по отношению к вновь полученному объекту или дополнительной информации об указанном объекте.In yet another particular embodiment, when at step 502, from the threat database 111, a label is added to the object that indicates the need to provide the object or additional information about the specified object, at least one object or additional information is requested from the detection tool 110 from at least one means of protection 102-103, while after receiving from the means of protection of the requested object or additional information about the specified object, steps 503-504 are performed with respect to the newly received object or more information about the specified object.

В еще одном частном варианте реализации при добавлении к уведомлению безопасности на шаге 506 метки, указывающей на необходимость предоставления по меньшей мере одного объекта, содержащегося в уведомлении безопасности, или дополнительной информации об указанном объекте, с помощью средства обнаружения запрашивают объект или дополнительную информацию об указанном объекте по меньшей мере у одного средства защиты информационной системы 100, при этом после получения от средства защиты запрошенного объекта или дополнительной информации об указанном объекте выполняют шаги 503-506 по отношению к вновь полученному объекту или дополнительной информации об указанном объекте.In another particular embodiment, when a label is added to the security notification in step 506 indicating that it is necessary to provide at least one object contained in the security notification or additional information about the specified object, the object or additional information about the specified object is requested using the detection tool at least one means of protection of the information system 100, and after receiving from the means of protection of the requested object or additional information about The indicated object performs steps 503-506 with respect to the newly received object or additional information about the specified object.

На Фиг. 6а и 6б представлен пример добавления меток к объектам и уведомлениям безопасности согласно способу, описанному на Фиг. 5.In FIG. 6a and 6b show an example of adding labels to objects and security notifications according to the method described in FIG. 5.

Так, на шаге 502 после получения средством обнаружения 110 уведомлений безопасности от средства защиты, средство обнаружения 110 сохраняет уведомления безопасности в базу данных объектов 112. В данном примере были получены четыре уведомления безопасности о двух объектах (см. состояние 601 базы данных объектов 112 на Фиг. 6а).So, in step 502, after the detection means 110 receives security notifications from the security means, the detection means 110 stores the security notifications in the object database 112. In this example, four security notifications about two objects were received (see the state 601 of the object database 112 in FIG. . 6a).

На шаге 503 средство обнаружения 110 выполняет поиск объектов из уведомлений безопасности в базе данных угроз 111. В данном примере только объект 1 содержится в базе данных угроз 111. Объекту 1 соответствуют метки объекта MO1, MO4, MO5, которые на шаге 504 будут добавлены в базу данных объектов 112 средством обнаружения 110. В итоге база данных объектов 112 примет состояние 602.In step 503, the detection tool 110 searches for objects from security notifications in the threat database 111. In this example, only object 1 is contained in the threat database 111. Object 1 corresponds to the object labels MO1, MO4, MO5, which will be added to the database in step 504 the data of objects 112 by the detection means 110. As a result, the database of objects 112 will assume a state of 602.

На шаге 505 средство обнаружения 110 выполняет поиск признаков подозрительной активности, содержащихся в базе данных подозрительной активности 113, на основании полученного уведомления безопасности и добавленных меток объекта, информация о котором содержится в уведомлении безопасности (т.е. для базы данных объектов 112 в состоянии 602). В данном примере совпадение будет найдено для первого и второго признака подозрительной активности из базы данных подозрительной активности 113. Таким образом, на шаге 506 к уведомлению 2 для объекта 1 будет добавлена метка уведомления МУ1 из базы данных подозрительной активности 113, а для уведомления 4 - метка уведомления МУ2. База данных объектов 112 примет состояние 603 на Фиг. 6б.At step 505, the detection tool 110 searches for signs of suspicious activity contained in the database of suspicious activity 113, based on the received security notification and the added tags of the object information about which is contained in the security notification (i.e., for the database of objects 112 in state 602 ) In this example, a match will be found for the first and second signs of suspicious activity from the database of suspicious activity 113. Thus, at step 506, notification label MU1 from the database of suspicious activity 113 will be added to notification 2 for object 1, and for notification 4, the label MU2 notifications. The database of objects 112 will assume state 603 in FIG. 6b.

На шаге 507 средство обнаружения 110 выполняет обнаружение признаков компьютерной атаки путем выявления сигнатуры компьютерных атак из базы данных компьютерных атак 114 среди полученных объектов и уведомлений безопасности и меток упомянутых объектов и уведомлений безопасности из базы данных объектов 112 (состояние 603). В рассматриваемом примере, будет обнаружена первая сигнатура компьютерной атаки, т.к. в базе данных объектов 112 содержится одновременно объект 1 и метка MO1 и уведомление 2 и метка уведомления МУ1 (т.е. содержится первая сигнатура). Кроме того, будет обнаружена вторая сигнатура. Таким образом, в базе данных объектов 112 будут обнаружены сразу две сигнатуры, свидетельствующие о наличие признаков компьютерной атаки в информационной системе 100.At step 507, the detection tool 110 performs detection of signs of a computer attack by detecting the signature of the computer attacks from the database of computer attacks 114 among the received objects and security notifications and labels of said objects and security notifications from the database of objects 112 (state 603). In this example, the first signature of a computer attack will be detected, because the object database 112 simultaneously contains object 1 and the label MO1 and notification 2 and the notification label MU1 (i.e., the first signature is contained). In addition, a second signature will be detected. Thus, in the database of objects 112 two signatures will be detected at once, indicating the presence of signs of a computer attack in the information system 100.

Фиг. 7 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 7 is an example of a general purpose computer system, a personal computer or server 20 comprising a central processor 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processor 21. The system bus 23 is implemented as any prior art bus structure comprising, in turn, a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interacting with any other bus architecture. The system memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26, contains basic procedures that ensure the transfer of information between the elements of the personal computer 20, for example, at the time of loading the operating ROM systems 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20 in turn contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29, and an optical drive 30 for reading and writing to removable optical disks 31, such as a CD-ROM, DVD -ROM and other optical information carriers. The hard disk 27, the magnetic disk drive 28, the optical drive 30 are connected to the system bus 23 through the interface of the hard disk 32, the interface of the magnetic disks 33 and the interface of the optical drive 34, respectively. Drives and associated computer storage media are non-volatile means of storing computer instructions, data structures, software modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27, a removable magnetic disk 29, and a removable optical disk 31, but it should be understood that other types of computer storage media 56 that can store data in a form readable by a computer (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.) that are connected to the system bus 23 through the controller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.Computer 20 has a file system 36 where the recorded operating system 35 is stored, as well as additional software applications 37, other program modules 38, and program data 39. The user is able to enter commands and information into personal computer 20 via input devices (keyboard 40, keypad “ the mouse "42). Other input devices (not displayed) can be used: microphone, joystick, game console, scanner, etc. Such input devices are, as usual, connected to the computer system 20 via a serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or a universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer may be equipped with other peripheral output devices (not displayed), such as speakers, a printer, and the like.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 7. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the creature the personal computer 20 of FIG. 7. Other devices, such as routers, network stations, peer-to-peer devices, or other network nodes, may also be present on the computer network.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях (также - информационных системах), внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks (also - information systems), internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 50 via a network adapter or network interface 51. When using the networks, the personal computer 20 may use a modem 54 or other means of providing communication with a global computer network such as the Internet. The modem 54, which is an internal or external device, is connected to the system bus 23 via the serial port 46. It should be clarified that the network connections are only exemplary and are not required to display the exact network configuration, i.e. in reality, there are other ways to establish a technical connection between one computer and another.

В соответствии с описанием, компоненты, этапы исполнения, структура данных, описанные выше, могут быть выполнены, используя различные типы операционных систем, компьютерных платформ, программ.In accordance with the description, components, execution steps, data structure described above can be performed using various types of operating systems, computer platforms, programs.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.In conclusion, it should be noted that the information provided in the description are examples that do not limit the scope of the present invention defined by the claims.

Claims (146)

1. Способ обнаружения признаков компьютерной атаки, в котором:1. A method for detecting signs of a computer attack, in which: а) с использованием по меньшей мере одного средства защиты, расположенного в информационной системе, собирают информацию по меньшей мере об одном объекте на компьютере;a) using at least one security device located in the information system, collect information about at least one object on the computer; б) с использованием средства защиты передают средству обнаружения уведомление безопасности, включающее, в частности, информацию об упомянутом средстве защиты и собранную информацию об объекте, при этом средство обнаружения сохраняет полученное уведомление безопасности в базу данных объектов;b) using the protection means, the security notification is transmitted to the detection means, including, in particular, information about the said protection means and the collected information about the object, while the detection means stores the received security notification in the object database; в) с помощью средства обнаружения находят по меньшей мере один объект, содержащийся в полученном уведомлении безопасности, в базе данных угроз; иc) using the detection tool, find at least one object contained in the received security notification in the threat database; and г) с помощью средства обнаружения добавляют в базе данных объектов к упомянутому объекту метку, соответствующую упомянутому объекту в базе данных угроз;d) using a detection tool, add a label in the database of objects to the mentioned object corresponding to the mentioned object in the threat database; д) с использованием средства обнаружения выполняют поиск признаков подозрительной активности, содержащихся в базе данных подозрительной активности, на основании полученного уведомления безопасности и добавленных меток объекта, содержащегося в упомянутом уведомлении безопасности;e) using the detection tool, they search for signs of suspicious activity contained in the database of suspicious activity based on the received security notification and the added tags of the object contained in the said security notification; е) при нахождении признака подозрительной активности добавляют в базе данных объектов, в частности, к уведомлению безопасности метку, содержащуюся в базе данных подозрительной активности;f) when a sign of suspicious activity is found, add a label in the database of suspicious activity to the security notification, in particular; ж) выполняют обнаружение признаков компьютерной атаки путем выявления по крайней мере одной сигнатуры компьютерных атак из базы данных компьютерных атак среди полученных объектов, и уведомлений безопасности, и меток упомянутых объектов, и меток уведомлений безопасности из базы данных объектов.g) perform detection of signs of a computer attack by identifying at least one computer attack signature from the database of computer attacks among the received objects, and security notifications, and marks of the mentioned objects, and security notification marks from the database of objects. 2. Способ по п. 1, в котором объектом является, в частности, один из:2. The method according to p. 1, in which the object is, in particular, one of: - файл;- file; - процесс;- process; - URL-адрес.- URL. 3. Способ по п. 1, в котором средство защиты является, в частности, одним из следующих:3. The method according to p. 1, in which the protective equipment is, in particular, one of the following: - средство защиты компьютера;- computer protection tool; - средство защиты от направленных атак.- a means of protection against directed attacks. 4. Способ по п. 3, в котором с помощью средств защиты собирают, в частности, информацию о следующих объектах:4. The method according to p. 3, in which using protective equipment collect, in particular, information about the following objects: - поведение процессов;- process behavior; - события в операционной системе;- events in the operating system; - информация о межсетевом взаимодействии;- information about the interworking; - показатели компрометации;- indicators of compromise; - вердикты средства защиты.- verdicts of a remedy. 5. Способ по п. 1, в котором признаки подозрительного поведения зависят от:5. The method according to p. 1, in which the signs of suspicious behavior depend on: - тактик, технологий и процедур известных направленных атак;- tactics, technologies and procedures of known targeted attacks; - информации о направленных атаках, полученной при проведении тестов на проникновение.- information about targeted attacks obtained during penetration tests. 6. Способ по п. 1, в котором содержатся, в частности, следующие признаки подозрительного поведения:6. The method according to claim 1, which contains, in particular, the following signs of suspicious behavior: - пользователь впервые выполнил аутентификацию на компьютере;- the user first performed authentication on the computer; - произведен удаленный запуск объекта;- made a remote launch of the object; - выполнена очистка журнала операционной системы;- the operating system log was cleared; - осуществлена загрузка файла по сети от приложения, не являющегося браузером;- a file was downloaded over the network from an application that is not a browser; - выполнен запуск файлов, отсутствующих в белых списках, из подозрительных директорий;- Launched files that are not in the white lists from suspicious directories; - произведено удаление теневых копий;- Deleted shadow copies; - обнаружены переименованные утилиты удаленного администрирования;- Found renamed remote administration utilities; - выполнено копирование файлов в сетевую папку администратора;- Files were copied to the administrator’s network folder; - использованы утилиты bcdedit.exe для отключения компонента ОС «восстановление системы»;- bcdedit.exe utilities were used to disable the OS system recovery component; - системный процесс lsass.exe запустил файл или модифицировал файл на диске;- the system process lsass.exe launched the file or modified the file on disk; - выполнен обфусцированный сценарий PowerShell;- executed obfuscated PowerShell script; - произведен вызов функции Windows API;- a call was made to the Windows API function; - с помощью библиотеки Rundll32 запущены файлы из подозрительных путей.- Using the Rundll32 library, files from suspicious paths were launched. 7. Способ по п. 1, в котором при нахождении признака подозрительной активности, дополнительно добавляют метку из базы данных подозрительной активности к средству защиты, содержащемуся в упомянутом уведомлении безопасности, а при выполнении обнаружения компьютерной атаки дополнительно основываются на сравнении выставленных меток к упомянутому средству защиты с сигнатурами компьютерных атак из базы данных направленных атак.7. The method according to p. 1, in which, when a sign of suspicious activity is found, an additional label is added from the database of suspicious activity to the security tool contained in the security notification, and when performing a computer attack detection, they are additionally based on a comparison of the exposed tags to the security tool with signatures of computer attacks from a database of targeted attacks. 8. Способ по п. 1, в котором информация об объекте дополнительно содержит, в частности, одно из:8. The method according to p. 1, in which information about the object further comprises, in particular, one of: - контрольная сумма объекта или контрольная сумма его части;- the checksum of the object or the checksum of its part; - источник появления объекта;- the source of the appearance of the object; - результаты эмуляции исполнения объекта;- The results of the emulation of the execution of the object; - журнал вызовов API-функций операционной системы со стороны объекта;- a log of calls to the API functions of the operating system from the side of the object; - время появления объекта в рамках вычислительного устройства;- the time of the appearance of the object within the computing device; - данные, передаваемые по сети объектом.- data transmitted over the network by the object. 9. Способ по п. 1, в котором при добавлении к объекту на шаге б) метки, из базы данных угроз, указывающей на необходимость предоставления объекта или дополнительной информации об указанном объекте, с помощью средства обнаружения запрашивают объект или дополнительную информацию об указанном объекте по меньшей мере у одного средства защиты, при этом после получения от средства защиты запрошенного объекта или дополнительной информации об указанном объекте выполняют шаги в)-г) способа по отношению к вновь полученному объекту или дополнительной информации об указанном объекте.9. The method according to claim 1, wherein when adding a tag to the object in step b), from the threat database indicating the need to provide the object or additional information about the specified object, they use the detection tool to request the object or additional information about the specified object by at least one means of protection, and after receiving the requested object from the protection means or additional information about the specified object, the steps c) -d) of the method are performed with respect to the newly obtained object or additionally th information about the specified object. 10. Способ по п. 1, в котором при добавлении к уведомлению безопасности на шаге е) метки, указывающей на необходимость предоставления по меньшей мере одного объекта, содержащегося в уведомлении безопасности, или дополнительной информации об указанном объекте, с помощью средства обнаружения запрашивают объект или дополнительную информацию об указанном объекте по меньшей мере у одного средства защиты, при этом после получения от средства защиты запрошенного объекта или дополнительной информации об указанном объекте выполняют шаги в)-е) способа по отношению к вновь полученному объекту или дополнительной информации об указанном объекте.10. The method according to claim 1, in which when adding to the security notification in step e) a label indicating the need to provide at least one object contained in the security notification or additional information about the specified object, using the detection tool, they request the object or additional information about the specified object at least one of the means of protection, while after receiving from the means of protection of the requested object or additional information about the specified object, perform steps c) -f) Both with respect to the newly obtained object or additional information about the specified object. 11. Способ по п. 1, в котором осуществляют с помощью средства обнаружения поиск в базе данных объектов среди объектов, содержащихся по меньшей мере на двух компьютерах, вирусной сигнатуры из базы данных угроз и при совпадении вирусной сигнатуры с записями базы данных объекто, определяют объект как вредоносный и добавляют к упомянутому объекту в базе данных объектов метку, указывающую на то, что объект является вредоносным.11. The method according to p. 1, in which, using the detection tool, search in the database of objects among objects contained in at least two computers, the virus signature from the threat database, and if the virus signature matches the object database records, the object is determined as malicious and add a label to the mentioned object in the database of objects indicating that the object is malicious. 12. Способ по п. 11, в котором формируют с помощью средства обнаружения уведомление безопасности для обнаруженного вредоносного объекта, содержащее информацию об объекте и информацию о средствах защиты, на компьютерах которых содержится объект.12. The method according to claim 11, in which a security notification for the detected malicious object is generated using the detection means, containing information about the object and information about the security features on which computers the object is contained. 13. Способ по п. 1, в котором собирают с помощью средства защиты информацию по меньшей мере об одном из следующих объектов:13. The method according to p. 1, in which information is collected using at least one of the following objects: - из списка вредоносных объектов;- from the list of malicious objects; - если объект отсутствует в списке безопасных объектов и в списке вредоносных объектов;- if the object is not in the list of safe objects and in the list of malicious objects; - из списка, сформированного администратором информационной системы.- from the list generated by the administrator of the information system. 14. Способ по п. 1, в котором дополнительно на шаге а) добавляют с использованием средства защиты к объекту на компьютере метку в зависимости от информации об упомянутом объекте, собранной упомянутым средством защиты, и на шаге б) включают добавленную метку в уведомление безопасности.14. The method according to claim 1, in which, in step a), a label is added to the object on the computer using a security tool depending on the information about the object collected by the security tool, and in step b) the added label is added to the security notification. 15. Способ по п. 14, в котором добавляют с использованием средства защиты одну из следующих меток:15. The method according to p. 14, in which one of the following labels is added using the protective equipment: - вердикт средства защиты;- the verdict of the remedy; - запуск процесса из списка подозрительных запусков;- starting a process from the list of suspicious launches; - объект отсутствует в списке безопасных объектов и отсутствует в списке вредоносных объектов;- the object is not in the list of safe objects and is not in the list of malicious objects; - удаленный запуск объекта;- remote launch of the object; - объект очистил записи системного журнала или журнала безопасности ОС;- the object cleared the entries in the system log or OS security log; - информация о несовпадении имени объекта и его контрольной суммы;- information about the mismatch of the name of the object and its checksum; - метки, связанные с результатами поиска объекта по внешним источникам разведки компьютерных атак;- tags associated with the object’s search results using external sources of computer attack intelligence; - объект есть на компьютерах, на которых обнаружены файлы, классифицированные как клавиатурный шпион, средство удаленного администрирования, средство мониторинга, и встречающийся на небольшом числе компьютеров;- the object is on computers on which files are classified that are classified as keyloggers, remote administration tools, monitoring tools, and are found on a small number of computers; - уникальные в рамках информационной системы задачи планировщика или настройки автозапуска, или сервиса ОС, или драйвера, отсутствующие в списках разрешенных задач;- tasks of the scheduler or settings of autorun, or OS service, or driver, unique in the information system, that are not in the lists of allowed tasks; - нарушение профиля аутентификации на компьютере;- violation of the authentication profile on the computer; - нарушения профиля сетевой активности процесса.- violations of the network activity profile of the process. 16. Способ по п. 1, в котором на шаге а) собирают с использованием средства защиты информацию об объектах на компьютере в течение заданного промежутка времени.16. The method according to p. 1, in which, at step a), information is collected about the objects on the computer using a security device for a specified period of time. 17. Способ по п. 1, в котором собирают с использованием средства защиты информацию о следующих объектах:17. The method according to p. 1, in which information is collected using the protective equipment about the following objects: а) из списка вредоносных и подозрительных объектов;a) from the list of malicious and suspicious objects; б) которые отсутствуют в списке безопасных объектов и в списке вредоносных и подозрительных объектов;b) which are not in the list of safe objects and in the list of malicious and suspicious objects; в) из списка объектов, сформированных администратором информационной системы.c) from the list of objects formed by the administrator of the information system. 18. Система обнаружения признаков компьютерной атаки, содержащая:18. A system for detecting signs of a computer attack, comprising: а) информационную систему, в которой содержится по меньшей мере один компьютер;a) an information system that contains at least one computer; б) по меньшей мере одно средство защиты, установленное на по меньшей мере одном упомянутом компьютере и предназначенное для:b) at least one protective device installed on at least one of the aforementioned computer and designed to: - сбора информации по меньшей мере об одном объекте на компьютере;- collecting information about at least one object on the computer; - передачи средству обнаружения уведомления безопасности, включающего, в частности, информацию об упомянутом средстве защиты и собранную информацию об объекте;- transmitting to the detection means a security notification including, in particular, information about said protection means and collected information about the object; в) средство обнаружения, связанное по сети с информационной системой и предназначенное для:c) a means of detection connected over the network with the information system and intended for: - сохранения уведомлений безопасности в базу данных объектов;- save security notifications to the database of objects; - поиска объекта из уведомления безопасности в базе данных угроз;- search for an object from a security notification in the threat database; - добавления в базу данных объектов к объекту метки, соответствующей упомянутому объекту в базе данных угроз;- adding to the database of objects to the object a label corresponding to the mentioned object in the threat database; - выполнения поиска признаков подозрительной активности, содержащихся в базе данных подозрительной активности, на основании полученного уведомления безопасности и добавленных меток объекта, содержащегося в упомянутом уведомлении безопасности;- performing a search for signs of suspicious activity contained in the database of suspicious activity based on the received security notification and the added tags of the object contained in the said security notification; - добавления в базу данных объектов, в частности, к уведомлению безопасности метки, содержащейся в базе данных подозрительной активности при нахождении признака подозрительной активности;- adding objects to the database, in particular, to the security notification of a label contained in the database of suspicious activity when a sign of suspicious activity is found; - выполнения обнаружения признаков компьютерной атаки путем выявления сигнатуры компьютерных атак из базы данных компьютерных атак среди полученных объектов, и уведомлений безопасности, и меток упомянутых объектов, и меток уведомлений безопасности из базы данных объектов.- performing detection of signs of a computer attack by detecting the signature of computer attacks from the database of computer attacks among the received objects, and security notifications, and labels of the mentioned objects, and security notification labels from the database of objects. 19. Система по п. 18, в которой объектом является, в частности, один из:19. The system of claim 18, wherein the object is, in particular, one of: - файл;- file; - процесс;- process; - URL-адрес.- url. 20. Система по п. 18, в которой средство защиты является, в частности, одним из следующих:20. The system of claim 18, wherein the security measure is, in particular, one of the following: - средство защиты компьютеров;- a means of protecting computers; - средство защиты от направленных атак.- a means of protection against directed attacks. 21. Система по п. 20, в которой с помощью средств защиты собирают, в частности, информацию о следующих объектах:21. The system according to p. 20, in which using protective equipment collect, in particular, information about the following objects: - поведение процессов;- process behavior; - события в операционной системе;- events in the operating system; - информация о межсетевом взаимодействии;- information about the interworking; - показатели компрометации;- indicators of compromise; - вердикты средства защиты.- verdicts of a remedy. 22. Система по п. 18, в которой признаки подозрительного поведения зависят от:22. The system of claim 18, wherein the signs of suspicious behavior depend on: - тактик, технологий и процедур известных направленных атак;- tactics, technologies and procedures of known targeted attacks; - информации о направленных атаках, полученной при проведении тестов на проникновение.- information about targeted attacks obtained during penetration tests. 23. Система по п. 18, в которой содержатся, в частности, следующие признаки подозрительного поведения:23. The system of claim 18, which contains, in particular, the following signs of suspicious behavior: - пользователь впервые выполнил аутентификацию на компьютере;- the user first performed authentication on the computer; - произведен удаленный запуск объекта;- made a remote launch of the object; - выполнена очистка журнала операционной системы;- the operating system log was cleared; - осуществлена загрузка файла по сети от приложения, не являющегося браузером;- a file was downloaded over the network from an application that is not a browser; - выполнен запуск файлов, отсутствующих в белых списках, из подозрительных директорий;- Launched files that are not in the white lists from suspicious directories; - произведено удаление теневых копий;- Deleted shadow copies; - обнаружены переименованные утилиты удаленного администрирования;- Found renamed remote administration utilities; - выполнено копирование файлов в сетевую папку администратора;- Files were copied to the administrator’s network folder; - использованы утилиты bcdedit.exe для отключения компонента ОС «восстановление системы»;- bcdedit.exe utilities were used to disable the OS system recovery component; - системный процесс lsass.exe запустил файл или модифицировал файл на диске;- the system process lsass.exe launched the file or modified the file on disk; - выполнен обфусцированный сценарий PowerShell;- executed obfuscated PowerShell script; - произведен вызов функции Windows API;- a call was made to the Windows API function; - с помощью библиотеки Rundll32 запущены файлы из подозрительных путей.- Using the Rundll32 library, files from suspicious paths were launched. 24. Система по п. 18, в которой при нахождении признака подозрительной активности дополнительно добавляют метку из базы данных подозрительной активности к средству защиты, содержащемуся в упомянутом уведомлении безопасности, а при выполнении обнаружения компьютерной атаки дополнительно основываются на сравнении выставленных меток к упомянутому средству защиты с сигнатурами компьютерных атак из базы данных направленных атак.24. The system according to claim 18, in which, when a sign of suspicious activity is found, an additional label is added from the database of suspicious activity to the security tool contained in the security notification, and when a computer attack is detected, it is additionally based on comparing the security tags with the security tool signatures of computer attacks from a database of targeted attacks. 25. Система по п. 18, в которой информация об объекте дополнительно содержит, в частности, одно из:25. The system of claim 18, wherein the information about the object further comprises, in particular, one of: - контрольная сумма объекта или его части;- the checksum of the object or its part; - источник появления объекта;- the source of the appearance of the object; - результаты эмуляции исполнения объекта;- The results of the emulation of the execution of the object; - журнал вызовов API-функций операционной системы со стороны объекта;- a log of calls to the API functions of the operating system from the side of the object; - время появления объекта в рамках вычислительного устройства;- the time of the appearance of the object within the computing device; - данные, передаваемые по сети объектом.- data transmitted over the network by the object. 26. Система по п. 18, в которой средство обнаружения осуществляет поиск в базе данных объектов среди объектов, содержащихся по меньшей мере на двух компьютерах, вирусной сигнатуры из базы данных угроз и при совпадении вирусной сигнатуры с записями базы данных объектов, определяет объект как вредоносный и добавляет к упомянутому объекту в базе данных объектов метку, указывающую на то, что объект является вредоносным.26. The system of claim 18, wherein the detection tool searches the database of objects containing at least two computers for the virus signature from the threat database and, when the virus signature matches the records of the object database, defines the object as malicious and adds to the mentioned object in the object database a label indicating that the object is malicious. 27. Система по п. 26, в которой средство обнаружения формирует уведомление безопасности для обнаруженного вредоносного объекта, содержащее информацию об объекте и информацию о средствах защиты, на компьютерах которых содержится объект.27. The system of claim 26, wherein the detection means generates a security notification for the detected malicious object containing information about the object and information about the security features on which computers the object is contained. 28. Система по п. 18, в которой с помощью средства защиты собирают информацию по меньшей мере об одном из следующих объектов:28. The system according to p. 18, in which using security measures collect information about at least one of the following objects: - из списка вредоносных объектов;- from the list of malicious objects; - если объект отсутствует в списке безопасных объектов и в списке вредоносных объектов;- if the object is not in the list of safe objects and in the list of malicious objects; - из списка, сформированного администратором информационной системы.- from the list generated by the administrator of the information system. 29. Система по п. 18, в которой дополнительно с использованием средства защиты добавляют к объекту на компьютере метку в зависимости от информации об упомянутом объекте, собранной упомянутым средством защиты, и включают добавленную метку в уведомление безопасности.29. The system of claim 18, wherein additionally using a security measure, add a label to the object on the computer depending on the information about the object collected by the security tool and include the added label in the security notification. 30. Система по п. 29, в которой добавляют одну из следующих меток:30. The system of claim 29, wherein one of the following labels is added: - вердикт средства защиты;- the verdict of the remedy; - запуск процесса из списка подозрительных запусков;- starting a process from the list of suspicious launches; - объект отсутствует в списке безопасных объектов и отсутствует в списке вредоносных объект;- the object is not in the list of safe objects and is not in the list of malicious objects; - удаленный запуск объекта;- remote launch of the object; - объект очистил записи системного журнала или журнала безопасности ОС;- the object cleared the entries in the system log or OS security log; - информация о несовпадении имени объекта и его контрольной суммы;- information about the mismatch of the name of the object and its checksum; - метки, связанные с результатами поиска объекта по внешним источникам разведки компьютерных атак;- tags associated with the object’s search results using external sources of computer attack intelligence; - объект есть на компьютерах, на которых обнаружены файлы, классифицированные как клавиатурный шпион, средство удаленного администрирования, средство мониторинга, и встречающийся на небольшом числе компьютеров;- the object is on computers on which files are classified that are classified as keyloggers, remote administration tools, monitoring tools, and are found on a small number of computers; - уникальные в рамках информационной системы задачи планировщика или настройки автозапуска, или сервиса ОС, или драйвера, отсутствующие в списках разрешенных задач;- tasks of the scheduler or settings of autorun, or OS service, or driver, unique in the information system, that are not in the lists of allowed tasks; - нарушение профиля аутентификации на компьютере;- violation of the authentication profile on the computer; - нарушения профиля сетевой активности процесса.- violations of the network activity profile of the process. 31. Система по п. 18, в которой средство защиты предназначено для сбора информации об объектах на компьютере в течение заданного промежутка времени.31. The system of claim 18, wherein the security measure is intended to collect information about objects on a computer for a predetermined period of time. 32. Система по п. 18, в которой собирают информацию о следующих объектах:32. The system of claim 18, wherein information is collected about the following objects: а) из списка вредоносных и подозрительных объектов;a) from the list of malicious and suspicious objects; б) которые отсутствуют в списке безопасных объектов и в списке вредоносных и подозрительных объектов;b) which are not in the list of safe objects and in the list of malicious and suspicious objects; в) из списка объектов, сформированных администратором информационной системы.c) from the list of objects formed by the administrator of the information system.
RU2017133842A 2017-09-29 2017-09-29 System and method of detecting the signs of computer attacks RU2661533C1 (en)

Priority Applications (6)

Application Number Priority Date Filing Date Title
RU2017133842A RU2661533C1 (en) 2017-09-29 2017-09-29 System and method of detecting the signs of computer attacks
US15/923,581 US10873590B2 (en) 2017-09-29 2018-03-16 System and method of cloud detection, investigation and elimination of targeted attacks
EP18171677.0A EP3462698B1 (en) 2017-09-29 2018-05-10 System and method of cloud detection, investigation and elimination of targeted attacks
JP2018095395A JP7084778B2 (en) 2017-09-29 2018-05-17 Systems and methods for cloud-based detection, exploration and elimination of targeted attacks
CN201810553206.5A CN109583193B (en) 2017-09-29 2018-05-31 System and method for cloud detection, investigation and elimination of target attacks
US17/098,777 US11489855B2 (en) 2017-09-29 2020-11-16 System and method of adding tags for use in detecting computer attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017133842A RU2661533C1 (en) 2017-09-29 2017-09-29 System and method of detecting the signs of computer attacks

Publications (1)

Publication Number Publication Date
RU2661533C1 true RU2661533C1 (en) 2018-07-17

Family

ID=62917253

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017133842A RU2661533C1 (en) 2017-09-29 2017-09-29 System and method of detecting the signs of computer attacks

Country Status (1)

Country Link
RU (1) RU2661533C1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2755252C2 (en) * 2020-02-26 2021-09-14 Акционерное общество "Лаборатория Касперского" Method and system for assessing impact of software under study on availability of industrial automation systems
RU2755606C2 (en) * 2019-10-16 2021-09-17 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Method and system for classifying data for identifying confidential information in the text
RU2757330C1 (en) * 2020-06-19 2021-10-13 Акционерное общество "Лаборатория Касперского" Method for identifying inconsistent use of the resources of a user computing apparatus
RU2769651C2 (en) * 2020-08-24 2022-04-04 Акционерное общество "Лаборатория Касперского" Method for forming a signature for detecting unauthorised access to a computer obtained using remote administration means, and system implementing the method
EP3918500B1 (en) * 2019-03-05 2024-04-24 Siemens Industry Software Inc. Machine learning-based anomaly detections for embedded software applications

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU141239U1 (en) * 2013-06-04 2014-05-27 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации DEVICE FOR DETECTING COMPUTER ATTACKS TO MILITARY INFORMATION-TELECOMMUNICATION NETWORKS
RU2538292C1 (en) * 2013-07-24 2015-01-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of detecting computer attacks to networked computer system
RU2587426C2 (en) * 2013-12-27 2016-06-20 Закрытое акционерное общество "Лаборатория Касперского" System and method of detecting directed attack on corporate infrastructure
US9530016B1 (en) * 2016-01-29 2016-12-27 International Business Machines Corporation Using source taint analysis to reduce false positives in an advanced persistent threat (APT) protection solution

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU141239U1 (en) * 2013-06-04 2014-05-27 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации DEVICE FOR DETECTING COMPUTER ATTACKS TO MILITARY INFORMATION-TELECOMMUNICATION NETWORKS
RU2538292C1 (en) * 2013-07-24 2015-01-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of detecting computer attacks to networked computer system
RU2587426C2 (en) * 2013-12-27 2016-06-20 Закрытое акционерное общество "Лаборатория Касперского" System and method of detecting directed attack on corporate infrastructure
US9530016B1 (en) * 2016-01-29 2016-12-27 International Business Machines Corporation Using source taint analysis to reduce false positives in an advanced persistent threat (APT) protection solution

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3918500B1 (en) * 2019-03-05 2024-04-24 Siemens Industry Software Inc. Machine learning-based anomaly detections for embedded software applications
RU2755606C2 (en) * 2019-10-16 2021-09-17 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Method and system for classifying data for identifying confidential information in the text
EA039466B1 (en) * 2019-10-16 2022-01-31 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Method and system for classifying data in order to detect confidential information in a text
RU2755252C2 (en) * 2020-02-26 2021-09-14 Акционерное общество "Лаборатория Касперского" Method and system for assessing impact of software under study on availability of industrial automation systems
RU2757330C1 (en) * 2020-06-19 2021-10-13 Акционерное общество "Лаборатория Касперского" Method for identifying inconsistent use of the resources of a user computing apparatus
RU2769651C2 (en) * 2020-08-24 2022-04-04 Акционерное общество "Лаборатория Касперского" Method for forming a signature for detecting unauthorised access to a computer obtained using remote administration means, and system implementing the method

Similar Documents

Publication Publication Date Title
US11489855B2 (en) System and method of adding tags for use in detecting computer attacks
US11829473B2 (en) System and method for detecting malicious files by a user computer
RU2661533C1 (en) System and method of detecting the signs of computer attacks
Souppaya et al. Guide to malware incident prevention and handling for desktops and laptops
US9223978B2 (en) Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware
RU2697954C2 (en) System and method of creating antivirus record
RU2762528C1 (en) Method for processing information security events prior to transmission for analysis
Wong et al. On the security of containers: Threat modeling, attack analysis, and mitigation strategies
Wong et al. Threat modeling and security analysis of containers: A survey
Kardile Crypto ransomware analysis and detection using process monitor
RU2750628C2 (en) System and method for determining the file trust level
CN113824678B (en) System, method, and non-transitory computer readable medium for processing information security events
Sheikh Certified Ethical Hacker (CEH) Preparation Guide
RU2763115C1 (en) Method for adjusting the parameters of a machine learning model in order to identify false triggering and information security incidents
Kumar et al. A review on 0-day vulnerability testing in web application
RU2673407C1 (en) System and method for identifying malicious files
Mullinix An analysis of Microsoft event logs
Deep et al. Security In Smartphone: A Comparison of Viruses and Security Breaches in Phones and Computers
Campbell Security and Privacy Analysis of Employee Monitoring Applications
畑田充弘 Toward Efficient Incident Handling Triage: Automated Threats Classification and Data-centric Talent Development
Jayarathna et al. Hypervisor-based Security Architecture to Protect Web Applications.
CN117972676A (en) Application detection method and device, electronic equipment and storage medium
Dunham Malicious Code
Van Ruitenbeek et al. The Common Misuse Scoring System (CMSS): Metrics for Software Feature Misuse Vulnerabilities (DRAFT)
Bass Android security: Top to bottom—the reason Android needs standards