Способ анализа и выявления вредоносных промежуточных узлов в сети

Авторы патента:

Голованов Сергей Юрьевич (RU)

G06F21/00 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2495486:

Закрытое акционерное общество "Лаборатория Касперского" (RU)

Настоящее изобретение относится к антивирусной области, а именно к способам выявления промежуточных узлов в вычислительной сети, через которые осуществляется доступ к доверенным узлам. Технический результат, заключающийся в блокировании промежуточных узлов злоумышленника, достигается за счет исследования связей между узлами сети, построения графа связей между узлами сети и автоматического анализа изменений в связях между узлами с выявлением и блокировкой адреса промежуточных узлов. Указанный результат достигается путем использования комплекса вычислительных средств, сервисов выяснения маршрута следования графика в сети, сервиса WHOIS доступа к регистрационной информации о владельце домена или IP-адреса с последующим построением графа распространения вредоносного ПО от вредоносного сайта по информационным каналам связи. Также выполняется оценка интенсивности использования канала связи для доступа к доверенному узлу, выявляется и блокируется промежуточный узел, используемый для неправомерных действий. 8 з.п. ф-лы, 8 ил., 3 табл.

Область техники

Настоящее изобретение относится к антивирусной области, а именно к способам выявления вредоносных узлов в сети и промежуточных узлов, через которые происходит распространение вредоносных программ.

Уровень техники

Современная антивирусная индустрия сталкивается с постоянным противодействием злоумышленников на техническом уровне. Любые способы и системы обнаружения вредоносных объектов анализируются злоумышленниками с целью затруднить обнаружение вредоносных объектов или блокировать системы защиты. Таким образом, постоянно изменяются пути распространения вредоносного программного обеспечения (ПО), используются новые уязвимости для проникновения в компьютерную систему.

Атака «человек посередине» (англ. Man in the middle, MitM-атака) - термин в криптографии, обозначающий ситуацию, когда атакующий способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причем ни один из корреспондентов не может догадаться о его присутствии в канале передачи сообщений.

Существуют другие примеры атак на ресурсы вычислительной сети, например, атаки на DNS-кэш. Обычно компьютер в сети использует DNS-сервер, предоставленный своей организацией или Интернет-провайдером (англ. internet service provider, ISP). DNS-серверы часто устанавливаются в сети организаций для ускорения процесса трансляции имен при помощи кэширования ранее полученных ответов на запросы. Атака на кэш DNS-сервера может повлиять на работу пользователей этого сервера или даже на работу пользователей других серверов, ссылающихся на DNS-сервер, у которого кэш переписан в результате успешной атаки злоумышленниками.

Для осуществления атаки атакующий использует уязвимость в программном обеспечении DNS. Если первый DNS-сервер не проверяет ответы второго DNS-сервера на корректность с целью убедиться, что источник является доверенным (например, при помощи DNSSEC), то злоумышленник может выступить в роли второго DNS-сервера. В этой ситуации первый DNS-сервер будет кэшировать некорректные ответы от DNS-сервера злоумышленника. Первый DNS-сервер будет локально кешировать подложные ответы, и использовать их для ответов на запросы пользователей, которые в свою очередь получат подложные ответы и IP-адреса.

Данная атака может использоваться для перенаправления пользователей на веб-сайт или фальшивый почтовый сервис по выбору атакующего. На страницах такого веб-сайта могут содержаться, например, сетевые черви или вирусы, а фальшивый почтовый сервис может получить от пользователя логин и пароль к почтовому ящику и передать эти учетные данные злоумышленнику. Посетитель же такого фальшивого веб-сайта не будет информирован о подмене и, вероятно, загрузит вредоносное программное обеспечение.

Чтобы выполнить такую атаку, атакующий должен заставить атакуемый DNS-сервер выполнить запрос о любом из доменов, для которого DNS-сервер атакующего является доверенным.

В патенте US 7930256 раскрыта система обнаружения атак в вычислительной сети с использованием сенсоров угроз. Интеллектуальная система получения информации способна автоматически находить в сетевом графике такие данные, которые совпадают с известными шаблонами сетевых атак. Изобретение позволяет выполнять обработку данных с нескольких приемников сетевого графика, объединять несколько инцидентов в события в соответствии с моделью сети, руководствуясь списками правил для оценки ситуации. Система содержит следующие элементы: система получения информации, которая поддерживает работу в двух режимах получения информации (от агентов-сенсоров, которые обнаруживают и получают данные из заданных источников, как только информация становится доступной; от агентов-получателей, которые реагируют на системные запросы дополнительной информации и переправляют другие источники данных в последовательные объекты данных); система объединения событий или данных, которая отвечает за объединение источников данных для получения заключения по этой информации; система правил обработки интегрирует несколько источников данных, создает и отправляет симптомы соответствующих проверенных моделей сетей Байеса; проверенные модели сетей Байеса оценивают информацию из различных источников данных, в том числе внутреннюю информацию из сети и внешние уведомления, оценивают множество факторов по разным ситуациям, в том числе по обнаружению угроз в вычислительной сети и обнаружению инцидентов проникновения в вычислительную сеть. Подсистема формирования правил интерпретирует полученные данные в соответствии с контекстом и визуализирует для пользователя параметры состояния вычислительной сети, а также краткое заключение по самым критичным оценочным параметрам. Предлагается собирать статистику некоторых параметров сетевого графика и выявлять такие виды атак, как сканирование портов. Атаки выявляются на основании правил анализа параметров сетевого графика и служебных полей сетевых пакетов. Система использует сети Байеса для заблаговременного оповещения о начинающейся атаке и принятия превентивных мер защиты.

Предложенный вариант является эффективным инструментом в борьбе с атаками, использующими сканирование портов, как утверждают авторы на страницах описания. Предложенное изобретение способно заблаговременно предупреждать о начале атаки в сети. Но при этом изобретение собирает статистику, а это значит, что система способна только на противостояние известному типу атак или снижение последствий начавшейся атаки. Однако недостатком системы борьбы с атаками в сети является то, что при осуществлении атаки с целью кражи учетных данных следует предотвращать попытку атаки до фактической утечки учетных данных пользователя. Таким образом, непозволительно собирать статистику, когда идут атаки с целью кражи персональных учетных данных пользователей.

Материалы заявки раскрывают способ, который не подвержен недостаткам известных ранее решений.

Раскрытие изобретения

Настоящее изобретение реализует способ выявления промежуточных узлов в вычислительной сети, через которые осуществляется доступ к доверенным узлам. Технический результат, заключающийся в блокировании промежуточных узлов, достигается за счет исследования связей между узлами сети, построения графа связей между узлами сети и автоматического анализа изменений в связях между узлами с выявлением и блокировкой адреса промежуточного узла.

Компьютерные системы, подконтрольные злоумышленнику, - система вычислительных сетей, компьютеров, подсистем, объектов и средств, подконтрольных злоумышленнику, обеспечивающих функционирование и развитие вычислительных средств, контролируемых злоумышленником. В контексте изобретения это понятие включает в себя в первую очередь набор серверов и узлов, которые имеют сетевой интерфейс с сетевой картой, используются злоумышленниками при выполнении вредоносных действий и других противозаконных действий. Выявление контролируемых злоумышленником промежуточных узлов подразумевает определение адреса сетевого интерфейса средств, подконтрольных злоумышленнику. Указанный адрес, который используется для доступа в сеть и выполнения задач злоумышленника, блокируют, что обеспечивает невозможность реализации вредоносного функционала.

Для работы способа необходимо собрать исходные данные для анализа узлов сети. Объективность исследования достигается за счет использования различных источников информации, имеющих точку доступа в сеть через различных провайдеров в разных странах у разных пользователей, в физически или логически обособленных частях сети. Поскольку информация о маршрутизации в сети является динамической, т.е. постоянно меняется, то нужно стремиться иметь источники информации во всех сетях, подключенных к сети Интернет. Такими источниками исходной информации для анализа могут выступать контролируемые среды исполнения: виртуальные машины (аналогичные виртуальным приманкам, см. патент US 7774459), специализированные агенты на компьютерах пользователей (осуществляющие предварительную проверку узлов сети при запросе пользователя), межсетевые экраны (устройства защиты сетей от неправомерных действий, нежелательного графика и пр.). Указанные средства способны обнаруживать вредоносное ПО и имеют доступ к адресам отправителя и получателя сетевых пакетов, что позволяет собрать дополнительную информацию об источнике распространения нежелательного или вредоносного ПО, например, записать маршрут следования трафика при установке соединения с узлом по URL-адресу или выяснить в реестре доменов информацию о владельце адреса узла сети. Для анализа в центральном сервере упомянутые данные собирают при помощи сервисных сетевых протоколов, например, ICMP - протокола межсетевых управляющих сообщений. При установлении соединения с доверенным узлом по URL-адресу записывают сведения о доверенном узле в таблицу, содержащую, по крайней мере, доменное имя узла; IP-адреса, соответствующие доменному имени; e-mail адреса, на которые зарегистрирован домен согласно реестру доменов; маршрут следования графика.

Собранные данные о доверенных узлах сети используются для построения графов передачи данных и связей между узлами в сети Интернет, т.е. между компьютером пользователя и доверенным ресурсом. Графы анализируются с помощью эвристических алгоритмов, выявляются используемые каналы связи между узлами сети. При этом узлы графа - это адреса промежуточных узлов сети, а дуги - каналы связи между узлами, имеющие вес, соответствующий частоте использования канала для передачи графика от доверенного узла сети. Автоматически блокируют те из узлов сети, которые связаны с доверенным узлом сети, но присутствие которых в маршруте не характерно для доступа к данному доверенному узлу сети из того сегмента сети, к которому подключен компьютер пользователя. То есть блокируют те из промежуточных узлов в сети, которые соответствуют узлам графа с дугами, имеющими вес меньше, чем вес дуги канала связи, который использовался ранее для передачи графика от доверенного узла сети.

В другой ситуации на вход контролируемой среды исполнения подают список известных URL-адресов доверенных ресурсов, которые принадлежат зарекомендовавшим себя с хорошей стороны компаниям (сайты банков, социальные сети, сайты он-лайн игр и другие ресурсы, с которых существует риск кражи учетных данных пользователей). В нормальном режиме работы вычислительной сети маршрут доступа из одной и той же подсети к доверенному ресурсу соответствует заранее определенному маршруту. То есть маршруту, который задан в таблицах маршрутизации между сетями, соединенными через маршрутизаторы и в результате работы протоколов маршрутизации. Вмешательство злоумышленника, имеющего целью перенаправить поток информации и получить доступ к личным учетным данным пользователей, приводит к единичным изменениям маршрута следования графика только у одного из пользователей или у группы пользователей, которые используют скомпрометированный DNS-сервер. Таким образом, выявляется отрезок маршрута следования графика, отличающийся от аналогичного маршрута у большинства пользователей доверенного ресурса.

Для предотвращения подобного вида атак целесообразно заранее выявлять объекты, являющиеся вредоносными промежуточными узлами в сети. Тогда заранее будут выявлены и помещены в антифишинговую базу данных адреса сетевых узлов, представляющих угрозу информационной безопасности.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг.1 отображает пример построения маршрутов следования данных из двух разных точек входа в сеть Интернет (Фиг.1a - США, Сан-Диего, штат Калифорния: getnet.com; Фиг.1б - США, Феникс, штат Аризона: sdsc.edu) к сайту www.kaspersky.com.

Фиг.2 отображает пример объединения маршрутов в графы для анализа количества выявленных фактов злонамеренного изменения маршрутов следования графика в вычислительной сети.

Фиг.3 отображает пример графа, построенного из маршрутов, где дуги представляют каналы связи.

Фиг.4 отображает пример графа, построенного из маршрутов, где дуги представляют каналы связи, в котором также пунктиром отмечены аномальные отклонения в маршруте следования графика к доверенному узлу.

Фиг.5 отображает алгоритм блокирования промежуточных узлов.

Фиг.6 отображает алгоритм выполнения проверки принадлежности узла сети злоумышленнику по регистрационной информации, которая используется злоумышленником для управления доменной записью.

Фиг.7 отображает примерную компьютерную систему пользователя.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.

Система реализована на основе компьютеров пользователей и системы серверов, объединенных в вычислительную сеть.

Предпочтительным вариантом реализации изобретения является организация контролируемых сред исполнения программ. Контролируемой средой исполнения является виртуальная машина с установленной операционной системой (ОС), безопасная среда исполнения (песочница, sandbox), эмулятор или любая другая среда исполнения, собирающая информацию о действиях, которые выполнены приложением в компьютере.

Рассмотрим пример работы системы с контролируемой средой исполнения в виде виртуальной машины, при этом в ОС и ПО виртуальной машины не установлены критические обновления безопасности. На вход виртуальной машины передают список URL-адресов для исследования. Список URL-адресов для исследования может быть составлен из наиболее часто посещаемых страниц сети Интернет, предоставляющих популярные сервисы, такие как электронная почта, социальная сеть, веб-блог и др. Альтернативным вариантом получения списков URL-адресов для исследования является получение инкрементных обновлений в списках зарегистрированных доменных адресов от основных регистраторов (reg.ru, verisigninc.com и т.п.) или данных о подозрительных посещаемых страницах от компонента антивирусной защиты «Проверка ссылок» (Web ToolBar) антивирусного продукта. Модуль проверки ссылок находится под управлением Веб-антивируса, входящего в состав антивирусного продукта. Задача модуля заключается в проверке всех ссылок на веб-странице на принадлежность к подозрительным и фишинговым веб-адресам. При помощи веб-браузера в виртуальной машине загружают последовательно все сайты, адреса которых находятся в списке URL-адресов для исследования.

По итогам исследования списка URL-адресов составляется таблица результатов исследования URL, содержащая кроме исследованных URL-адресов также и URL-адреса из ссылок в материалах исходного сайта (см. таблицу №1). Каждая запись содержит, по крайней мере: доменное имя узла в сети; IP-адреса, соответствующие указанному доменному имени, полученные с использованием поиска на сервере имен; информацию об e-mail адресе владельца домена согласно регистрационной записи в реестре доменов; и IP-адреса промежуточных узлов по маршруту следования данных в сети к сайту по указанному URL. Указанная информация собирается либо непосредственно виртуальной машиной, либо отдельными исследовательскими модулями с использованием общедоступных сервисов nslookup и WHOIS. Доступ к информации сервера имен осуществляется с использованием утилиты nslookup (англ. name server lookup, поиск на сервере имен - утилита, предоставляющая пользователю интерфейс командной строки для обращения к системе DNS). Адрес электронной почты, т.е. e-mail, владельца домена получают путем использования сервиса WHOIS - сетевого протокола прикладного уровня, базирующегося на протоколе TCP (порт 43), который применяют для получения регистрационных данных о владельцах доменных имен, IP-адресов и автономных систем. IP-адреса промежуточных узлов по маршруту следования данных в сети к сайту по указанному URL получают путем использования утилит tracert или traceroute.

Traceroute - это служебная компьютерная утилита, предназначенная для определения маршрутов следования данных в сетях TCP/IP. Traceroute основана на протоколе ICMP. Программа traceroute выполняет отправку данных указанному узлу сети, при этом отображая сведения обо всех промежуточных маршрутизаторах, через которые прошли данные на пути к целевому узлу. В случае проблем при доставке данных до какого-либо узла программа позволяет определить, на каком именно участке сети возникли неполадки (см. Таблицы №2, 3, Фиг.1а, б). Таблица №2 отражает результат определения маршрута из США (сайт getnet.com) до сайта www.kaspersky.ru[212.5.89.211].

Согласно Таблице №3, все промежуточные узлы от сайта sdsc.edu до сайта www.kaspersky.ru успешно ответили на запрос. На шестнадцатой итерации получен ответ от узла с IP-адресом 212.5.89.211.

В альтернативном варианте формирования таблицы результатов исследования URL в качестве контролируемой среды исполнения используются специализированные агенты в виде соответствующих программных модулей (например, программного модуля проверки ссылок, реализованного в виде Web ToolBar) на компьютерах пользователей, осуществляющие предварительную проверку узлов сети при запросе пользователя. При этом в таблицу результатов исследования URL, которая хранится на центральном сервере, отправляются данные о маршрутах, доменное имя и IP-адрес узла сети. Специализированные агенты получают информацию, необходимую для заполнения таблицы результатов исследования URL, которая собирается центральным сервером аналогично тому, как было описано выше.

Информация о маршрутах следования трафика от одного из доверенных узлов сети к нескольким компьютерам пользователей объединяется, и формируется граф с взвешенными дугами. Вес дуги означает количество раз, которое канал связи между соответствующими узлами сети был использован для доступа к известному доверенному ресурсу (см. Фиг.2). Таким образом, вес дуги 2 между узлами 11 и 12 означает, что канал связи между узлами 11 и 12 был использован дважды для установления соединения с конечным узлом 16.

Возможен вариант, в котором данные об обнаруженных вредоносных страницах собирают с помощью межсетевого экрана. При этом в таблицу результатов исследования URL, которая хранится на центральном сервере, отправляются данные о вредоносных страницах, доменное имя и IP-адрес узла сети, содержащего вредоносное ПО. Недостающая информация, необходимая для заполнения таблицы результатов исследования URL, собирается центральным сервером аналогично тому, как было описано выше. Собранная таким образом информация для таблицы результатов исследования URL будет соответствовать действительной архитектуре сети.

Ниже приведен примерный вид регистрационной информации владельца доменного имени www.kaspersky.ru согласно базе данных WHOIS:

http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=212.5.89.211&do_search-Search

В приведенном примере отражена регистрационная информация владельца доменного имени www.kaspersky.com. В соответствующем поле указан e-mail - abuse@kaspersky.com. Изначально система WHOIS создавалась для того, чтобы дать возможность системным администраторам найти контактную информацию других администраторов IP-адресов или доменных имен.

На следующем этапе анализируют информацию из таблицы результатов исследования URL и строят граф. Первый вариант построения графа отражает действительную структуру информационных каналов между узлами сети и строится в соответствии с трассами маршрутов следования данных в сети. В узлах графа помещают IP-адреса промежуточных узлов по маршруту следования данных в сети к доверенному узлу по указанному URL, полученные путем использования утилит tracert или traceroute. Дуги между узлами обозначают наличие канала связи между соответствующими узлами, а вес дуги - частоту использования этого канала связи для передачи информации. Частота использования канала связи отражает, насколько часто данный канал связи используется для доступа к доверенному узлу. Вес дуги может быть представлен относительной величиной в процентном отношении или абсолютным значением количества использований этого канала связи для доступа к доверенному узлу. Пример такого графа приведен на Фиг.3 (вес дуги соответствует количеству зафиксированных фактов использования данного канала связи для доступа к доверенному узлу).

На Фиг.3 изображена схема штатного функционирования некоторой абстрактной части глобальной вычислительной сети. На схеме изображен доверенный узел и множество клиентских компьютеров, осуществляющих доступ к доверенному узлу через каналы связи и промежуточные узлы. Дуги графа представляют каналы связи и имеют вес, который соответствует количеству использований этих каналов связи для доступа к доверенному узлу.

На Фиг.4 схематически отображен аналогичный граф, в котором пунктирными линиями отмечены каналы связи и промежуточный узел, используемые для перехвата данных пользователей из соответствующей сети. Такая схема позволяет злоумышленнику получить доступ к передаваемым данным всех пользователей подсети, которая в данном случае передает график в глобальную сеть через промежуточный узел. Целью злоумышленника может являться кража учетных данных к сервисам электронной почты, социальной сети, финансовым сервисом (например, веб-банкингу), а также получение любой дугой информации, которая обладает ценностью.

Если оказывается, что доступ к известному доверенному узлу осуществляется через промежуточный узел в единичном случае (см. Фиг.5, позиция 501), то такой промежуточный узел блокируется (см. Фиг.5, позиция 503). При блокировке адрес промежуточного узла помещается в антифишинговую базу данных, следовательно, все пользователи решений компьютерной защиты получают информацию о таком узле. Весь график, отправляемый по адресам узлов из антифишинговой базы данных, блокируется всеми работающими подсистемами защиты: системой предотвращения вторжений, фильтром путей к объектам сети (блокирует доступ к ресурсам по маске, заданной в антифишинговой базе данных) и фильтром адресов ресурсов сети (блокирует доступ к узлу сети при совпадении формализованного адреса ресурса сети с записью в антифишинговой базе данных).

На этом этапе построение графа не останавливается, статистика по интенсивности использования промежуточных узлов продолжает собираться (см. Фиг.5, позиция 505). Если по итогам сбора статистики видно, что уровень интенсивности использования канала связи для доступа к доверенному ресурсу повышается (см. Фиг.5, позиция 507) или появились изменения в таблицах маршрутизации, то снимается блокировка с промежуточного узла, через который осуществляется доступ к доверенному узлу (см. Фиг.5, позиция 509). Примером порогового уровня интенсивности использования канала связи для разблокировки может быть порог разблокировки в 10% от числа соединений, которые устанавливаются из соответствующей подсети. Эта ситуация соответствует правомерному изменению маршрута доступа к доверенному узлу в случае, если владелец этого ресурса действительно изменил адрес. Статистика, которая учитывается для оценки интенсивности использования канала связи, выбирается по принципу скользящего окна, ограничивающего временной промежуток, в который канал связи был использован для доступа к доверенному узлу.

Блокировка всех адресов из антифишинговой базы данных выполняется с помощью фильтра пути. Фильтр пути проверяет адреса узлов, к которым отправляется запрос через сеть или от которых пришел из сети ответ, т.е. сравнивает адрес узла с данными в антифишинговой базе данных. При совпадении адресов блокируется информационный обмен с каждым из адресов, указанных в антифишинговой базе данных.

Одним из вариантов добавления адресов узлов в антифишинговую базу данных с последующей блокировкой доступа к узлам фильтром пути является анализ регистрационной информации обо всех узлах (см. Фиг.6). Регистрационная информация, которая получена с использованием сервиса WHOIS и сохранена в таблице результатов исследования URL (см. Фиг.6 позиция 601), содержит указание на e-mail адрес владельца домена. Поскольку e-mail адрес применяется владельцем для переписки с провайдером и управления узлом в сети или комплексом узлов в сети, то такой e-mail адрес может служить признаком злоумышленника и может быть использован для выявления подконтрольных злоумышленнику ресурсов. Целесообразно на начальном этапе исследования, после составления графа переходов по ссылкам и автоматических переадресаций, выполнить проверку адреса электронной почты владельца (см. Фиг.6, позиции 603, 605) на наличие в антифишинговой базе данных. На этапе 607 дополняют антифишинговую БД выявленным новым адресом вредоносного узла сети.

Фиг.7 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.7. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

Настоящее описание излагает основной изобретательский замысел автора, который не может быть ограничен теми аппаратными устройствами, которые упоминались ранее. Следует отметить, что аппаратные устройства, прежде всего, предназначены для решения узкой задачи. С течением времени и с развитием технического прогресса такая задача усложняется или эволюционирует. Появляются новые средства, которые способны выполнить новые требования. В этом смысле следует рассматривать данные аппаратные устройства с точки зрения класса решаемого ими технических задач, а не чисто технической реализации на некой элементной базе.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Способ обнаружения промежуточных узлов в вычислительной сети, через которые осуществляется доступ к доверенному узлу, состоит из этапов:
а) в контролируемой среде исполнения получают URL-адрес доверенного узла для исследования;
б) в контролируемой среде исполнения устанавливают соединение с доверенным узлом сети по полученному URL-адресу доверенного узла;
в) записывают сведения о доверенном узле сети в журнал событий;
г) получают информацию о доверенном узле по URL-адресу доверенного узла, по меньшей мере, от одного из сервисов, доступных в сети;
д) повторяют этапы а)-г) не менее двух раз;
е) строят граф маршрута передачи данных от доверенного узла к контролируемой среде выполнения согласно информации об исследовании доверенного узла по URL-адресу, при этом узлы графа - это адреса промежуточных узлов сети, а дуги - каналы связи между узлами, имеющие вес, соответствующий частоте использования канала для передачи графика от доверенного узла сети;
ж) блокируют адрес промежуточного узла, связанного с каналом связи, используемым для передачи графика от доверенного узла сети, если такой адрес промежуточного узла сети соответствует узлу графа с дугами, имеющими вес меньше, чем вес дуги канала связи, который использовался ранее для передачи графика от доверенного узла сети.

2. Способ по п.1, в котором на этапе ж) блокируют адрес промежуточного узла, если вес дуги, которая ведет к узлу графа, соответствующему промежуточному узлу, равен или больше единицы.

3. Способ по п.1, в котором на этапе г) информацию о доверенном узле сохраняют в таблице исследования URL-адресов.

4. Способ по п.1, в котором дополнительно выполняют этапы:
з) рекурсивно повторяют этап ж) выявления промежуточных узлов в сети и блокируют IP-адрес промежуточного узла, связанного с каналом связи, используемым для передачи графика от доверенного узла;
и) на компьютере пользователя антивирусные клиенты блокируют весь сетевой трафик, направленный к любому из адресов промежуточных узлов.

5. Способ по п.1, в котором контролируемая среда исполнения реализована или в виртуальной машине, или в безопасной среде исполнения (песочнице) на компьютере пользователя, или в межсетевом устройстве-маршрутизаторе, или в межсетевом экране.

6. Способ по п.1, в котором на этапе г) используют, по меньшей мере, один из сервисов: traceroute, WHOIS, nslookup, которые доступны в сети.

7. Способ по п.3, в котором на этапе г) запись в таблице результатов исследования URL содержит, по меньшей мере, хотя бы одно из полей: «Доменное имя», «IP-адреса», «Маршрут traceroute».

8. Способ по п.6, в котором на этапе е) строят граф маршрута передачи данных к доверенному узлу от контролируемой среды исполнения путем соединения маршрутов из поля «Маршрут traceroute» таблицы результатов исследования URL с одним и тем же доверенным узлом.

9. Способ по п.7, в котором таблица результатов исследования URL имеет поле «E-mail адрес владельца» и дополнительно после этапа з) выполняют этапы:
з1) из таблицы результатов исследования URL получают e-mail адреса владельцев адресов всех выявленных промежуточных узлов;
з2) блокируют все обнаруженные адреса промежуточных узлов, имеющие совпадающие e-mail адреса владельца.

Похожие патенты:

Способ защиты информации // 2494553

Изобретение относится к защите информации, а именно к способам шифрования с открытым (публичным) ключом. Техническим результатом является повышение безопасности.

Устройство шифрования данных по стандартам гост 28147-89 и aes // 2494471

Изобретение относится к шифровальным устройствам на основе стандарта шифрования данных, более конкретно к шифрованию данных по стандарту ГОСТ 28147-89 и AES. Техническим результатом предлагаемого изобретения является сокращение объема памяти, необходимой для шифрования данных по стандартам ГОСТ 28147-89 и AES, т.е.

Способ, устройство и компьютерный программный продукт для управления версиями программного обеспечения // 2494456

Изобретение относится к вычислительной технике. Технический результат заключается в предотвращении выполнения устройствами несанкционированных версий программного обеспечения.

Электронная сертификация, индентификация и передача информации с использованием кодированных графических изображений // 2494455

Изобретение относится к вычислительной технике. Технический результат заключается в повышении безопасности пользователя в сети за счет уменьшения количества регистрации пользователя.

Способ и устройство диагностики первого приема идентификатора, способ детектирования, носитель записи и компьютерная программа для этого способа // 2494454

Изобретение относится к способу и устройству автоматической диагностики первого приема идентификатора. Техническим результатом является повышение точности диагностики за счет определение предела как функции количества уже принятых идентификаторов, большего, чем максимум М идентификаторов.

Способ распределенного выполнения задач компьютерной безопасности // 2494453

Изобретение относится к способам распределенного выполнения задач компьютерной безопасности. Технический результат - уменьшение времени выполнения задач компьютерной безопасности.

Использование защищенного устройства для обеспечения безопасной передачи данных в небезопасных сетях // 2494448

Изобретение относится к системам и способам безопасной передачи данных в небезопасных сетях. Технический результат заключается в повышении уровня защиты данных при передаче в небезопасных сетях.

Система мобильной связи, мобильная станция и базовая радиостанция // 2493675

Группа изобретений относится к мобильной связи, а именно к способам защиты информации в мобильной связи. Техническим результатом является повышение быстродействия при выполнении операции защиты информации.

Защищенный от копирования картридж с программным обеспечением // 2493595

Изобретение относится к вычислительной технике. Технический результат заключается в улучшении защиты программного обеспечения от копирования.

Защищенный от копирования картридж с программным обеспечением // 2493595

Система и способ для определения доверия при обновлении разрешенного программного обеспечения // 2495487

Изобретение относится к системам и способам для передачи доверия при обновлении разрешенного программного обеспечения. Технический результат, заключающийся в обновлении программного обеспечения, запуск которого разрешен для какого-либо пользователя какого-либо ПК в сети, достигается за счет определения того факта, что, по меньшей мере, один новый объект, который появился на ПК во время процесса обновления разрешенного программного обеспечения, обладает доверием. Новый объект, появившийся при работе процесса обновления, инициированного разрешенным средством обновления, определяют доверенным. В случае если разрешенное средство установки осуществит доступ к указанному новому объекту, то такое средство установки будет определяться как доверенное. При этом доверенным будет определяться, по меньшей мере, один новый объект, появившийся при работе процесса установки, инициированного доверенным средством установки. 2 н. и 26 з.п. ф-лы, 5 ил.

Система и способ контроля устройств и приложений при использовании многофакторной аутентификации // 2495488

Изобретение относится к области предотвращения неавторизованного доступа к защищенной информации. Технический результат настоящего изобретения заключается в повышении защиты информации от неавторизованного доступа путем применения правил контроля устройств и приложений. Согласно варианту реализации настоящего изобретения используется способ применения правил контроля устройств и приложений при использовании многофакторной аутентификации, в котором производят аутентификацию одного или более пользователей на компьютере при подключении к компьютеру одного или более токенов; отслеживают подключение/отключение по беспроводной связи одного или более транспондеров к одному или более токенам после успешной аутентификации пользователя; применяют правила контроля устройств и приложений для пользователя, который прошел процедуру аутентификации на компьютере, на основании информации о нахождении одного или более транспондеров в зоне приема упомянутого одного или более токенов. 2 н. и 16 з.п. ф-лы, 7 ил., 2 табл.

Способ и устройство для осуществления связи со сквозным шифрованием // 2495532

Изобретение относится к телекоммуникациям, а именно к способам осуществления связи со сквозным шифрованием. Техническим результатом является повышение безопасности передачи данных. Технический результат достигается тем, что способ осуществления связи со сквозным шифрованием, включает: хранение в пользовательском терминале комплекта ключей, пригодных для сквозного шифрования коммуникаций, при этом один или более ключей ассоциированы с индикатором действительности, определяющим криптографическую группу из двух или более пользовательских терминалов, в которой должен применяться соответствующий ключ, и период, в течение которого указанный ключ применим в указанной криптографической группе; подсоединение, на пользовательском терминале, к коммуникации криптографической группы и выбор подлежащего использованию ключа из хранящегося комплекта ключей на основе указанной криптографической группы и текущего времени в соответствии с ассоциированными индикаторами действительности. 4 н. и 16 з.п. ф-лы, 8 ил.

Система, способ и клиент для присоединения к группе // 2495535

Заявленное изобретение относится к области обмена мгновенными сообщениями, в частности к системе, способу и клиенту для присоединения к группе. Технический результат заключается в предоставлении возможности любому пользователю, т.е. когда он даже и не является администратором группы, добавлять в группу другого пользователя, что, в свою очередь, приводит к облегчению выполнения пользовательских действий по присоединению к группе. Для этого предусмотрено получение групповым сервером рекомендательного запроса на добавление к группе и добавление к указанной группе пользователя, рекомендованного на добавление в группу согласно рекомендательному запросу. 4 н. и 3 з.п. ф-лы, 8 ил.

Способы и устройства передачи зашифрованного мультимедийного контента в пакетном режиме, носитель записи для осуществления таких способов // 2496140

Настоящее изобретение относится к способу передачи зашифрованного мультимедийного контента в пакетном режиме, согласно которому замена (ПО; 140) текущего ключа TEKj шифрования другим текущим ключом TEKj+1 для шифрования сегмента Pj мультимедийного контента задерживается до некоторого наступления tdi+TSTKM либо переносится вперед к моменту tdi или к моменту ранее момента tdi, в ответ на обмен (82) синхросигналом между генератором пакетов и синхронизатором, способным заменить текущий ключ в конце каждого криптопериода, причем указанная продолжительность TSTKM не меньше промежутка времени, необходимого приемнику для дешифровки криптограммы текущего ключа, содержащейся в пакете Sj, и строго меньше выбранной продолжительности Т.5 н. и 4 з.п. ф-лы, 7 ил.

Система и способ для обнаружения вредоносных программ // 2497189

Изобретение относится к вычислительной технике, в частности к способам защиты информации от вредоносных программ. Техническим результатом является обеспечение безопасности вычислительных устройств за счет автоматизированного анализа исполняемого кода. Способ автоматической идентификации вредоносных программ включает в себя прием, посредством базы знаний экспертной системы, последовательности на языке ассемблера из двоичного файла. Далее согласно способу осуществляют идентификацию последовательности инструкций из принимаемой последовательности. А также осуществляют классификацию, посредством базы знаний экспертной системы, последовательности инструкций как угрожающей, неугрожающей или не поддающейся классификации посредством применения одного или более правил базы знаний экспертной системы к последовательности инструкций. При этом последовательность инструкций классифицируют как угрожающую, если она включает в себя: процедуры шифрования, процедуры расшифровки, инструкции для репликации части последовательности инструкций. Если последовательность инструкций классифицирована как угрожающая, информация может быть передана в компонент анализа кода, и пользователь может быть уведомлен о том, что двоичный файл включает в себя вредоносные программы. 5 н. и 16 з.п. ф-лы, 6 ил.

Способ и система для сокрытия существования шифрования данных в канале связи // 2497289

Предлагаются система, способ и сетевой интерфейс для сокрытия существования шифрованного трафика данных в сети связи. Набор знаков генерируют за счет использования набора ключей шифрования для ввода псевдослучайной функции. Каждый знак соответствует значению указателя. Шифрованные детали разделяют на множество частей. Каждую часть секционируют на множество групп и кодируют за счет отображения каждой группы знаком в наборе знаков в соответствии с его значением указателя. Отображенные знаки передают через сеть связи. 3 н. и 17 з.п.ф-лы, 4 ил.

Предотвращение нарушения авторского права в системах управления правами на цифровые материалы // 2498405

Изобретение относится к управлению правами на цифровые материалы (DRM). Техническим результатом является обеспечение защиты авторских прав контента при переносе цифрового контента из одной системы DRM в другую. В способе распространения контента в мультимедийном устройстве, коммуникативно связанном с сетью, получают защищенный контент, который происходит из первой системы DRM, причем защищенный контент имеет ограниченное право использования, привязанное к нему. Получают пролонгацию ограниченного права использования, когда удовлетворяется условие, причем условие удовлетворяется в момент входа мультимедийного устройства во вторую систему DRM, которая отличается от первой системы DRM, из которой происходит защищенный контент, и пролонгация ограниченного права использования получается от объекта, отличного от мультимедийного устройства. Передают в момент входа во вторую систему DRM случайные данные защищенного контента объекту, от которого получается пролонгация. Принимают пролонгацию от объекта выявления аномалии, соединенного с первой системой DRM и второй системой DRM, в ответ на передачу случайных данных, причем объект выявления аномалии назначает пролонгацию защищенному контенту. Привязывают пролонгацию к защищенному контенту. 2 н. и 12 з.п. ф-лы, 4 ил.

Устройство и способ обеспечения целостности данных транспортного средства в реальном масштабе времени и система чёрного ящика транспортного средства с их использованием // 2500027

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении целостности данных транспортного средства. Устройство обеспечения целостности данных транспортного средства в реальном масштабе времени содержит модуль объединения данных в блоки, предназначенный для разделения входящих потоков данных об измерительной информации о транспортном средстве в блоки данных заданного размера; модуль генерирования исходных данных аутентификации (ИДА), предназначенный для генерирования ИДА путем подписи исходных блоков данных во входящих потоках данных с помощью ключа подписи; первый модуль хэширования, предназначенный для генерирования первого хэш-значения каждого разделенного блока данных по порядку, первый модуль хэширования генерирует первое хэш-значение текущего блока данных путем конкатенирования и хэширования значения текущего блока данных и первого хэш-значения предыдущего блока данных; и второй модуль хэширования, предназначенный для генерирования второго хэш-значения путем хэширования первого хэш-значения текущего блока данных и выдачи второго хэш-значения как данных проверки целостности текущего блока данных, в котором первый модуль хэширования использует значение ИДА как первое хэш-значение исходного блока данных. 3 н. и 12 з.п. ф-лы, 6 ил.

Многофакторная защита контента // 2501081

Изобретение относится, в общем, к компьютерной технике и, более конкретно, к защите контента в вычислительных окружениях. Техническим результатом является повышение надежности защиты контента. Получатель принимает контент от издателя. Некоторый контент регулируется сервером доступа. Сервер доступа управляет пользованием управляемого контента со стороны получателя посредством взаимодействия с доверенным агентом на получателе. Контент шифруется по ключу контента, и контент связан с информацией политики. Информация политики включает в себя ключ контента для дешифрования контента. Информация политики шифруется по ключу сервера доступа, что позволяет серверу доступа дешифровать информацию политики. Ключ контента принимается от сервера доступа. Ключ контента шифруется по ключу доверенного агента. Ключ контента дополнительно шифруется по дополнительному фактору(ам), задающему дополнительную защиту контента помимо обеспеченной доверенным агентом. Ключ контента дешифруется с использованием ключа доверенного агента и, по меньшей мере, одного дополнительного фактора. Контент дешифруется с использованием ключа контента. 3 н. и 17 з.п. ф-лы, 4 ил.