Способ обнаружения атак перебора на веб-сервис

Авторы патента:

Головко Александр Николаевич (RU)

Новиков Иван Михайлович (RU)

G06F21/55 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2647616:

Общество с ограниченной ответственностью "ОНСЕК ИНК." (RU)

Изобретение относится к защите информационных систем, а, в частности, к обнаружению атак перебора на веб-сервис. Технический результат – уменьшение вероятности ложных срабатываний при обнаружении сетевой атаки. Способ обнаружения атак перебора на веб-сервис, в котором получают набор пар «запрос-ответ», сформированных посредством взаимодействия клиента и веб-сервиса; формируют кластеры полученных пар «запрос-ответ» для каждого клиента посредством способа кластеризации их характеристик, при этом характеристики включают в себя следующее: идентификатор пары «запрос-ответ», длина ответа, время отклика, код состояния HTTP, IP-адрес, с которого был получен HTTP запрос, единый указатель ресурса; для каждого кластера, сформированного на предыдущем шаге, формируют набор правил попадания полученной пары «запрос-ответ» в данный кластер; задают по меньшей мере один интервал времени, в течение которого собираются характеристики пар «запрос-ответ»; для каждого заданного интервала времени и клиента, определяют количество его запросов веб-сервису, попадающих в каждый из сформированных кластеров по характеристикам пар «запрос-ответ»; для каждого заданного интервала времени и кластера формируют пороговое значение количества запросов, попадающих в данный кластер; для каждого заданного интервала времени и для каждого клиента, сравнивают количество новых поступивших запросов с пороговым значением для каждого кластера; в случае превышения количества запросов порогового значения, принимают решение об обнаружении атаки перебора на веб-сервис. 8 з.п. ф-лы, 1 ил.

ОБЛАСТЬ ТЕХНИКИ

[0001] Данное техническое решение относится, в общем, к вычислительным способам защиты информационных систем, а, в частности, к способам обнаружения атак перебора на веб-сервис.

УРОВЕНЬ ТЕХНИКИ

[0002] В настоящее время сетевые информационные системы могут и зачастую подвергаются компьютерным атакам со стороны злоумышленников.

[0003] Обнаружение вторжений - процесс мониторинга событий в компьютерной системе или сети и анализа их на предмет нарушений политики безопасности.

[0004] Типичными примерами атак, мониторинг которых осуществляет система обнаружения вторжений, являются: внедрение вредоносного кода; исчерпание полосы пропускания путем большого количества соединений; подбор пароля; сетевая активность троянских коней, червей и вирусов; и т.д.

[0005] Из уровня техники известна заявка на патент US 20160004580 А1 «System and Method for Bruteforce Intrusion Detection», патентообладатель: Leviathan, Inc., дата публикации: 07.012016.

[0006] В данном техническом решении выполняют обнаружение потенциальных атак на домен в ответ на аномальное событие. Выбирают значение параметра лямбда, соответствующее аномальному событию, из созданной модели для текущего интервала времени. Определяют вероятность того, является ли общее количество аномальных событий для текущего интервала времени легитимным, используют функцию распределения, зависящую от параметра лямбда, определяют факт умышленной атаки, если вероятность меньше или равна выбранному значению альфа.

[0007] Недостатком технического решения является отсутствие возможности автоматически идентифицировать события, как аномальные.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

[0008] Данное техническое решение направлено на устранение недостатков, свойственных решениям, известным из уровня техники.

[0009] Техническим результатом является уменьшение вероятности ложных срабатываний при обнаружении сетевой атаки.

[00010] Указанный технический результат достигается благодаря способу обнаружения атак перебора на веб-сервис, в котором принимают набор запросов на веб-сервис от по меньшей мере одного клиента; формируют на веб-сервисе ответ для каждого вышеуказанного клиента, от которого получен набор запросов; формируют кластеры полученных пар «запрос-ответ» для каждого клиента посредством способа кластеризации их характеристик; для каждого кластера, сформированного на предыдущем шаге, формируют набор правил попадания полученной пары «запрос-ответ» в данный кластер; задают по меньшей мере один интервал времени, в течение которого собираются характеристики пар «запрос-ответ»; для каждого заданного интервала времени и клиента, определяют количество его запросов веб-сервису, попадающих в каждый из сформированных кластеров по характеристикам пар «запрос-ответ»; для каждого заданного интервала времени и кластера формируют пороговое значение количества запросов, попадающих в данный кластер; для каждого заданного интервала времени и для каждого клиента, сравнивают количество новых поступивших запросов с пороговым значением для каждого кластера; в случае превышения количества запрос порогового значения, принимают решение об обнаружении атаки перебора на веб-сервис.

[00011] В некоторых вариантах осуществления набор запросов обрабатывается сервером на веб-сервисе последовательно.

[00012] В некоторых вариантах осуществления, если одновременно приходит более одного запроса, то запросы устанавливаются в очередь для обработки.

[00013] В некоторых вариантах осуществления запросы, находящиеся в наборе, имеют приоритеты.

[00014] В некоторых вариантах осуществления запросы направляются от клиента по протоколу прикладного уровня передачи данных HTTP.

[00015] В некоторых вариантах осуществления ответ состоит из стартовой строки, заголовка, тела сообщения.

[00016] В некоторых вариантах осуществления каждая пара «запрос-ответ» имеет уникальный идентификатор.

[00017] В некоторых вариантах осуществления формируют кластеры полученных пар «запрос-ответ» для каждого клиента посредством алгоритма K-means.

[00018] В некоторых вариантах осуществления каждому сформированному кластеру присваивают уникальный идентификатор.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

[00019] Признаки и преимущества настоящего технического решения станут очевидными из приводимого ниже подробного описания и прилагаемых чертежей, на которых:

[00020] На Фиг. 1 показана блок-схема способа обнаружения атак перебора на веб-сервис;

ПОДРОБНОЕ РАСКРЫТИЕ ТЕХНИЧЕСКОГО РЕШЕНИЯ

[00021] Ниже будут описаны понятия и определения, необходимые для подробного раскрытия осуществляемого технического решения.

[00022] Техническое решение может быть реализовано в виде распределенной компьютерной системы.

[00023] В данном решении под системой подразумевается компьютерная система, ЭВМ (электронно-вычислительная машина), ЧПУ (числовое программное управление), ПЛК (программируемый логический контроллер), компьютеризированные системы управления и любые другие устройства, способные выполнять заданную, четко определенную последовательность операций (действий, инструкций).

[00024] Под устройством обработки команд подразумевается электронный блок либо интегральная схема (микропроцессор), исполняющая машинные инструкции (программы).

[00025] Устройство обработки команд считывает и выполняет машинные инструкции (программы) с одного или более устройства хранения данных. В роли устройства хранения данных могут выступать, но, не ограничиваясь, жесткие диски (HDD), флеш-память, ПЗУ (постоянное запоминающее устройство), твердотельные накопители (SSD), оптические носители (CD, DVD и т.п.).

[00026] Программа - последовательность инструкций, предназначенных для исполнения устройством управления вычислительной машины или устройством обработки команд.

[00027] HTTP запрос, или сообщение состоит из трех частей: строки запроса, заголовков, и тела HTTP сообщения. Строка запроса, или стартовая строка: в запросе к веб-сервису - строка, которая содержит тип запроса (метод), URI запрашиваемой страницы, и версия HTTP протокола (например НТТР/1.1). В ответе от сервера эта строка содержит версию HTTP протокола, и код ответа. Код ответа представляет собой целое число из трех цифр. За ним обычно следует отделенная пробелом поясняющая фраза, поясняющая код, например: 200 ОК, или 404 Not Found.

[00028] Веб-сервис (англ. web service) - идентифицируемая веб-адресом программная система со стандартизированными интерфейсами, которая располагается на по меньшей мере одном сервере.

[00029] Кластер (англ. cluster) - термин в информатике, обозначающий группу объектов с общими признаками.

[00030] Клиент - это аппаратный или программный компонент вычислительной системы, посылающий запросы серверу, на котором находится веб-сервис. Клиент взаимодействует с сервером, используя определенный протокол. Он может запрашивать с сервера какие-либо данные, манипулировать данными непосредственно на сервере, запускать на сервере новые процессы и т.п.

[00031] HTTP (англ. HyperText Transfer Protocol - «протокол передачи гипертекста») - протокол прикладного уровня передачи данных. Основой HTTP является технология «клиент-сервер», то есть предполагается существование:

[00032] Потребителей (клиентов), которые инициируют соединение и посылают запрос;

[00033] Поставщиков (серверов), которые ожидают соединения для получения запроса, производят необходимые действия и возвращают обратно сообщение с результатом.

[00034] Каждый HTTP "запрос - ответ" содержит следующие параметры, которые выделены для кластеризации и поиска аномалий в http - трафике:

[00035] Длина ответа (англ. Content-Lenght) - размер содержимого сущности (HTTP-ответа) в октеках (которые в русском языке обычно называют байтами).

[00036] Время отклика (англ. response time) - время, которое требуется системе на то, чтобы ответить на HTTP-запрос. Время отклика - в технологии время, которое требуется системе или функциональной единице на то, чтобы отреагировать на данный ввод.

[00037] Код состояния HTTP (англ. HTTP status code) - часть первой строки ответа сервера при запросах по протоколу HTTP. Он представляет собой целое число из трех десятичных цифр.

[00038] Единый указатель ресурса (англ. Uniform Resource Locator, URL) - единообразный локатор (определитель местонахождения) ресурса.

[00039] IP адрес, с которого получен HTTP запрос.

[00040] Точка - числовые значения параметров, выделенных для кластеризации, например: [длина_ответа, время_отклика, код_состояния].

[00041] В криптографии на полном переборе основывается криптографическая атака перебором или атака «грубой силы». Ее особенностью является возможность применения против любого практически используемого шифра. Однако такая возможность существует лишь теоретически, зачастую требуя нереалистичные временные и ресурсные затраты. Наиболее оправдано использование атаки методом «грубой силы» в тех случаях, когда не удается найти слабых мест в системе шифрования, подвергаемой атаке (либо в рассматриваемой системе шифрования слабых мест не существует). При обнаружении таких недостатков разрабатываются методики криптоанализа, основанные на их особенностях, что способствует упрощению взлома.

[00042] Фиг. 1 представляет собой блок-схему, показывающую способ обнаружения атак перебора на веб-сервис, который содержит следующие шаги:

[00043] Шаг 101: получают набор пар «запрос-ответ», сформированных посредством взаимодействия клиента и веб-сервиса;

[00044] В некоторых вариантах осуществления набор пар «запрос-ответ» могут получать как из хранилища данных, заранее сформированных, так и в режиме реального времени.

[00045] На данном шаге принимают набор запросов от клиентов. Запросы обрабатываются сервером на веб-сервисе последовательно. Если одновременно приходит более одного запроса, то запросы устанавливаются в очередь. В данном случае очередь - это список невыполненных клиентских запросов. Иногда запросы могут иметь приоритеты. Запросы с более высокими приоритетами должны выполняться раньше.

[00046] Цикл выполнения запроса состоит из пересылки запроса и ответа между клиентом и сервером и непосредственным выполнением этого запроса на сервере.

[00047] Как правило, выполнение запроса (сложного запроса) происходит дольше, чем время, затрачиваемое на пересылку запроса и результата. Поэтому в серверах применяются системы распределения транзакций (запросов) между доменами (частями) сервера. Транзакция - это набор команд, которые либо выполняются все или не выполняется ни одна. Домен - это элемент сервера. Нередко сервер на физическом уровне представляет собой не один, а группу компьютеров, объединенных в одну систему для обеспечения каких-либо операций. В примерных вариантах осуществления запрос направляется от клиента по протоколу прикладного уровня передачи данных HTTP.

[00048] Каждый HTTP-запрос состоит из трех частей, которые передаются в указанном порядке:

[00049] Стартовая строка (англ. Starting line) определяет тип сообщения;

[00050] Заголовки (англ. Headers) характеризуют тело сообщения, параметры передачи и прочие сведения;

[00051] Тело сообщения (англ. Message Body) - непосредственно данные сообщения. Обязательно должно отделяться от заголовков пустой строкой.

[00052] Заголовки и тело сообщения могут отсутствовать, но стартовая строка является обязательным элементом, так как указывает на тип запроса/ответа. Исключением является версия 0.9 протокола, у которой сообщение запроса содержит только стартовую строку, а сообщения ответа - только тело сообщения.

[00053] формируют на веб-сервисе ответ для каждого вышеуказанного клиента, от которого получен набор запросов;

[00054] После получения и обработки запроса формируют на сервере ответ и посылают ответ клиентам. Каждый HTTP-ответ, как и HTTP-запрос, состоит из трех частей, которые передаются в указанном порядке: стартовая строка (англ. Starting line), заголовки (англ. Headers), тело сообщения (англ. Message Body).

[00055] Стартовая строка ответа сервера имеет следующий формат:

HTTP/Версия Код Состояния Пояснение, где:

Версия - пара разделенных точкой цифр, как в запросе;

Код состояния (англ. Status Code) - три цифры. По коду состояния определяется дальнейшее содержимое сообщения и поведение клиента;

Пояснение (англ. Reason Phrase) - текстовое короткое пояснение к коду ответа для пользователя. Пояснение никак не влияет на суть сообщения и является необязательным.

[00056] Шаг 102: формируют кластеры полученных пар «запрос-ответ» для каждого клиента посредством способа кластеризации их характеристик;

[00057] После отправки ответа на запрос клиенту формируется пара «запрос-ответ», которая имеет уникальный идентификатор. В хранилище данных хранятся все значения параметров пар «запрос-ответ», такие как ее идентификатор, длина ответа, время отклика, код состояния HTTP, IP-адрес с которого был получен HTTP запрос, единый указатель ресурса. Указанные характеристики могут храниться в хранилище данных в виде списка, таблицы, дерева, не ограничиваясь. При поступлении каждого нового запроса и формирования ответа, данные сохраняются в хранилище.

[00058] Кластеры формируют следующим образом. Сначала осуществляют группирование пар «запрос-ответ» по уникальному значению единого указателя ресурса (URL), не ограничиваясь. В некоторых вариантах реализации группировку могут осуществлять по другому значению или другому принципу.

[00059] Далее каждую группу, сформированную, например, по URL, разбивают посредством алгоритма кластеризации.

[00060] В примерном варианте осуществления алгоритм кластеризации работает посредством введения функции расстояния.

[00061] К одному единому указателю ресурса (URL) могут относиться параметры: длина ответа, время отклика и код состояния.

[00062] Вводят функцию расстояния между двумя точками (для алгоритма это числовые значения параметров [длина_ответа, время_отклика, код_состояния] для каждой пары «запрос-ответ»), например i=[длина_ответа_i, время_отклика_i, код_состояния_i] и j=[длина_ответа_j, время_отклика_j, код_состояния_j]:

[00063] Затем фиксируют минимальное и максимальное количество кластеров, после чего используют алгоритм кластеризации K-means, где k пробегает значения от минимального количества кластеров до максимального количества кластеров с интервалом единица, m раз (m фиксируется). Количество итераций может фиксироваться автоматически или посредством пользователя. Таким образом, алгоритму K-means передаются следующие входные данные: количество кластеров; «точки данных» в трехмерном пространстве; введенная функция расстояния (1).

[00064] Затем фиксируют минимальное количество (например, k_min) кластеров и максимальное количество (например, k_max) кластеров, которые являются натуральными числами.

[00065] В итоге алгоритм K-means запустился (m*(k_max - k_min)) раз, где m - фиксированное значение, после чего получают (m*(k_max - k_min)) разбиений пар «запрос-ответ». Далее среди полученных разбиений выбирают одно следующим способом, описанным ниже.

[00066] Выбирают одно наиболее качественное разбиение, по любому известному методу оценки качества разбиения, например, S_Dwb индекса, RMSSTD и RS индексов, индекса оценки силуэта и т.д., не ограничиваясь, известных из источника информации [1], [2].

[00067] Таким образом, получают набор кластеров, где каждый кластер соответствует одному URL-адресу.

[00068] Шаг 103: для каждого кластера, сформированного на предыдущем шаге, формируют набор правил попадания полученной пары «запрос-ответ» в данный кластер;

[00069] Для каждого кластера определяют его центр следующим образом:

[00070] для длины ответа используют среднее арифметическое, для времени отклика используют среднее арифметическое, а для кода статуса используют, например следующую формулу:

[00071]

[00072] где mode (мода) - значение во множестве наблюдений, которое встречается наиболее часто [3]. Под количеством точек понимается количество кластеризованных точек.

[00073] Для каждого кластера определяют его характеристики. Характеристиками могут быть, например, URL-адрес, минимальное значение длины ответа в кластере, максимальное значение длины ответа в кластере, минимальное время отклика в кластере, максимальное время отклика в кластере, минимальное значение кода статуса в кластере, максимальное значение кода статуса в кластере.

[00074] Также каждому кластеру ставится в соответствие уникальный идентификатор, который может являться числом или, например URL-кодом данного кластера.

[00075] Для каждого кластера все данные сохраняются в хранилище данных.

[00076] Затем при получении каждой новой пары «запрос-ответ» определяют, к какому кластеру она относится посредством проверки на соответствие следующим условиям: соответствует ли значение URL пары «запрос-ответ» хотя бы одному значению URL кластера, находится ли длина ответа между минимальным и максимальным допустимыми значениями кластера, находится ли время отклика между минимальным и максимальным допустимыми значениями кластера, находится ли код статуса между минимальным и максимальным допустимыми значениями кластера.

[00077] Вышеописанное правило может быть несколько другим. Например, может определяться попадание не в интервал с минимальными и максимальными значениями, а с заранее заданными пороговыми значениями.

[00078] Шаг 104: задают по меньшей мере один интервал времени, в течение которого собираются характеристики пар «запрос-ответ»;

[00079] На данном шаге устанавливают интервал времени (в минутах или секундах), в течение которого собираются характеристики пар «запрос-ответ».

[00080] Шаг 105: для каждого заданного интервала времени и клиента, определяют количество его запросов веб-сервису, попадающих в каждый из сформированных кластеров по характеристикам пар «запрос-ответ».

[00081] Имея интервал времени и клиента, применяют для каждой пары «запрос-ответ» правило попадания пары в кластер. Количество запросов клиента к веб-сервису также известно.

[00082] Сохраняют полученные значения для каждого интервала времени и клиента в хранилище данных.

[00083] Шаг 106: для каждого заданного интервала времени и кластера формируют пороговое значение количества запросов, попадающих в данный кластер.

[00084] Пороговое значение формируют следующим образом:

[00085] Для каждого заданного интервала времени и кластера выбирают допустимое количество запросов, после чего формируют из этих значений упорядоченный по возрастанию набор данных.

[00086] Затем определяют пороговое значение для интервала и кластера. Пороговое значение может задаваться автоматически, например, по подобию способа поиска всплеска, применяющегося в статистике, либо посредством пользователя.

[00087] Шаг 107: для каждого заданного интервала времени и для каждого клиента, сравнивают количество новых поступивших запросов с пороговым значением для каждого кластера;

[00088] Шаг 108: в случае превышения количества запросов порогового значения, принимают решение об обнаружении атаки перебора на веб-сервис.

[00089] Если количество запросов клиента больше порогового значения, принимают решение об обнаружении атаки перебора на веб-сервис.

ПРИМЕРЫ ОСУЩЕСТВЛЕНИЯ ИЗОБРЕТЕНИЯ

[00090] На первом шаге принимают набор запросов на веб-сервис от по меньшей мере одного клиента;

[00091] Пары запрос-ответ:

[00092] Выделенные характеристики пар «запрос-ответ»:

[00093] [Идентификатор, длина ответа, время отклика, код состояния HTTP, IP-адрес, с которого был получен HTTP запрос, единый указатель ресурса]

[00094] формируют кластеры полученных пар «запрос-ответ» для каждого клиента посредством способа кластеризации их характеристик;

[00095] для каждого кластера, сформированного на предыдущем шаге, формируют набор правил попадания полученной пары «запрос-ответ» в данный кластер;

[00096] Правила попадания в 1-й кластер: ,

[00097] Правила попадания во 2-й кластер: ,

[00098] Задают по меньшей мере один интервал времени, в течение которого собираются характеристики пар «запрос-ответ»;

Например: 30 секунд.

[00099] Для каждого заданного интервала времени и клиента определяют количество его запросов веб-сервису, попадающих в каждый из сформированных кластеров по характеристикам пар «запрос-ответ»;

[кластер, интервал, количество запросов, ip адрес отправителя]

[000100] Для каждого заданного интервала времени и кластера формируют пороговое значение количества запросов, попадающих в данный кластер;

[кластер, интервал, пороговое значение]

[1, 30, 5]

[1, 30, 9]

[000101] Для каждого заданного интервала времени и для каждого клиента, сравнивают количество новых поступивших запросов с пороговым значением для каждого кластера;

[1, 30, 10, 217.145.111.111] - аномалия

[000102] В случае превышения количества запросов порогового значения, принимают решение об обнаружении атаки перебора на веб-сервис.

[1, 30, 10, 217.145.111.11] – аномалия.

ИСПОЛЬЗУЕМЫЕ ИСТОЧНИКИ

[000103] 1. Сивоголовко Е.В. «Методы оценки качества четкой кластеризации», УДК 004.051, Информационные системы.

[000104] 2. Peter J. Rousseeuw (1987). "Silhouettes: a Graphical Aid to the Interpretation and Validation of Cluster Analysis". Computational and Applied Mathematics. 20: 53-65.

[000105] 3. Шмойлова P.А., Минашкин В.Г., Садовникова H.A. Практикум по теории статистики. - 3-е изд. - М.: Финансы и статистика, 2011. - С. 127. - 416 с.

1. Способ обнаружения атак перебора на веб-сервис, который включает следующие шаги:

- получают набор пар «запрос-ответ», сформированных посредством взаимодействия клиента и веб-сервиса;

- формируют кластеры полученных пар «запрос-ответ» для каждого клиента посредством способа кластеризации их характеристик, при этом характеристики включают в себя следующее: идентификатор пары «запрос-ответ», длина ответа, время отклика, код состояния HTTP, IP-адрес, с которого был получен HTTP запрос, единый указатель ресурса;

- для каждого кластера, сформированного на предыдущем шаге, формируют набор правил попадания полученной пары «запрос-ответ» в данный кластер;

- задают по меньшей мере один интервал времени, в течение которого собираются характеристики пар «запрос-ответ»;

- для каждого заданного интервала времени и клиента определяют количество его запросов веб-сервису, попадающих в каждый из сформированных кластеров по характеристикам пар «запрос-ответ»;

- для каждого заданного интервала времени и кластера формируют пороговое значение количества запросов, попадающих в данный кластер;

- для каждого заданного интервала времени и для каждого клиента сравнивают количество новых поступивших запросов с пороговым значением для каждого кластера;

- в случае превышения количества запросов порогового значения принимают решение об обнаружении атаки перебора на веб-сервис.

2. Способ по п. 1, характеризующийся тем, что набор запросов обрабатывается сервером на веб-сервисе последовательно или параллельно.

3. Способ по п. 1, характеризующийся тем, что если одновременно приходит более одного запроса, то запросы устанавливаются в очередь для обработки.

4. Способ по п. 1, характеризующийся тем, что запросы, находящиеся в наборе, имеют приоритеты.

5. Способ по п. 1, характеризующийся тем, что запросы направляются от клиента по протоколу прикладного уровня передачи данных HTTP.

6. Способ по п. 1, характеризующийся тем, что ответ состоит из стартовой строки, заголовка, тела сообщения.

7. Способ по п. 1, характеризующийся тем, что каждая пара «запрос-ответ» имеет уникальный идентификатор.

8. Способ по п. 1, характеризующийся тем, что формируют кластеры полученных пар «запрос-ответ» для каждого клиента посредством алгоритма K-means.

9. Способ по п. 1, характеризующийся тем, что каждому сформированному кластеру присваивают уникальный идентификатор.

Изобретение относится к области вычислительной техники и может быть использовано для защиты информации, обрабатываемой средствами вычислительной техники (СВТ), в частности, от скрытой передачи информации за счет модуляции сигналов побочных электромагнитных излучений (ПЭМИ).

Система и способ для применения индикатора репутации для облегчения сканирования на наличие вредоносных программ // 2646352

Изобретение относится к защите компьютерной системы от вредоносных программ. Технический результат заключается в обеспечении быстрого, надежного и настраиваемого решения по защите от вредоносных программ.

Ограниченная платформа драйверов, которая запускает драйверы в песочнице в пользовательском режиме // 2646332

Изобретение относится к способу исполнения преобразующего драйвера, реализуемому вычислительным устройством. Технический результат заключается в повышении надежности вычислительной системы за счет обеспечения безопасности в работе преобразующих драйверов.

Генерирование и кэширование кода программного обеспечения // 2646329

Изобретение относится к способу генерирования кода программного обеспечения. Технический результат заключается в обеспечении генерирования и кэширования кода программного обеспечения, которое может включать в себя исходный код, который не был скомпилирован, так что это программное обеспечение может быть скомпилировано и исполнено без задержки.

Сложное классифицирование для выявления вредоносных программ // 2645268

Изобретение относится к области защиты компьютерных систем от вредоносных программ. Техническим результатом является определение, является ли программная сущность вредоносной, на основе множества показателей оценки соответствующей сущности, что позволяет создать более надежное антивредоносное решение по сравнению с аналогичными традиционными решениями.

Система и способ блокировки элементов интерфейса приложения // 2645265

Изобретение относится к системе и способу ограничения доступа к приложениям. Технический результат настоящего изобретения заключается в ограничении доступа к интерфейсу нежелательного приложения.

Компьютеризированные система и способ авторизации // 2644534

Изобретение относится к компьютеризированной системе и способу авторизации электронных запросов к электронному объекту. Технический результат заключается в повышении безопасности и более тщательном контроле за авторизацией электронных запросов к электронному объекту.

Система и способ подтверждения подлинности отображаемой информации на экране компьютера // 2644503

Настоящее изобретение относится к средствам защиты от подмены электронных документов на вычислительных устройствах. Технический результат настоящего изобретения заключается в ограничении и уменьшении возможности подмены информации, отображаемой на экране компьютера пользователя, который достигается путем синхронизации (связи) указанной информации с информацией, отображаемой на внешнем портативном устройстве в реальном времени.

Способ и система защиты платежа, осуществляемого при помощи платежной карты // 2644144

Изобретение относится к средствам защиты платежа, осуществляемого при помощи платежной карты. Техническим результатом является повышение безопасности платежа, осуществляемого с помощью платежной карты.

Система электронных платежей // 2644128

Изобретение относится к средствам для проведения онлайнового платежа с применением мобильного устройства покупателя и кассовой системы продавца. Техническим результатом является расширение арсенала технических средств проведения онлайнового платежа.

Способ и устройство для запуска прикладной программы // 2647625

Изобретение относится к средствам установки прикладной программы в устройство. Технический результат заключается в расширении арсенала технических средств запуска прикладной программы. Способ выполнения прикладной программы в мобильном терминале включает: получение сигнала запуска, настроенного на указание запуска второй прикладной программы, в запущенной первой прикладной программе; загрузку и анализ первой прикладной программой пакета установки второй прикладной программы, для получения программного компонента второй прикладной программы; запуск программного компонента второй прикладной программы в среде выполнения, представленной первой прикладной программой без установки второй прикладной программы. 3 н. и 16 з.п. ф-лы, 7 ил.

Способ и устройство для извлечения шаблона данных // 2647628

Изобретение относится к извлечению шаблона данных. Техническим результатом является повышение точности обработки данных. Способ извлечения шаблона данных, включающий в себя: получение набора данных для моделирования, при этом набор данных для моделирования состоит из массива данных для моделирования; соответствующее шифрование числовых данных, входящих в массив данных для моделирования, с целью получения массива зашифрованных данных, кластеризацию массива зашифрованных данных с целью получения не менее одного шаблона данных; подтверждение коэффициента охвата для каждого шаблона данных; и определение фактического шаблона данных на основании не менее одного шаблона данных в соответствии с результатами подтверждения. 3 н. и 20 з.п. ф-лы, 4 ил.

Интегрированный комплекс инженерно-технических средств охраны "пост" и способ его работы // 2647630

Изобретение относится к системам тревожной сигнализации, управляемым вычислительными устройствами. Техническим результатом изобретения является повышение защищенности охраняемого объекта на всех уровнях системы и между ее уровнями. Интегрированный комплекс охраны «ПОСТ» состоит из уровня оконечных устройств, уровня систем, включающего систему обнаружения и защиты от проникновения, систему охранно-пожарной сигнализации, систему охранного телевидения, систему охранного освещения, систему контроля и управления доступом, систему бесперебойного питания, систему передачи данных. Блок центрального процессора предназначен для сбора, обработки информации от оконечных устройств и выдачи сигналов реакции на изменение обстановки на уровне оконечных устройств. Уровень системы сетевого компьютерного управления включает автоматизированные и удаленные рабочие места, центральный и резервный серверы, блок сбора, обработки реакции системы сетевого компьютерного управления на изменения обстановки и внешние воздействия на уровне систем, при этом оконечные устройства, входящие в состав системы обнаружения и защиты от проникновения, включают периметровое вибрационное средство обнаружения, причем микропроцессор-контроллер которых выполнен с возможностью разделения сигнала по крайней мере по пяти каналам обработки сигнала. 2 н.п. ф-лы, 9 ил.объединения в две группы сигналов с выводом каждой группы на отдельный выход микропроцессора и на свой генератор импульсов тревогиТехнический результат достигается также при использовании способа работы интегрированного комплекса инженерно-технических средств охраны «ПОСТ», заключающегося в том, что осуществляют сбор, обработку информации от оконечных устройств в реальном масштабе времени, выдачу сигналов реакции на изменение обстановки на уровне оконечных устройств, осуществляют сбор, обработку по заданным алгоритмам реакции системы сетевого компьютерного управления на изменения обстановки и внешние воздействия на уровне системсдальнейшей передачей информации на автоматизированные рабочие места и удаленные рабочие места в соответствии с их уровнем доступа, осуществляют хранение видеоинформации в видеоархиве в блоке центрального процессора и дальнейшую ее передачу на автоматизированные рабочие места и удаленные рабочие места при необходимости, осуществляют резервирование линий связи между оконечными устройствами и блоком центрального процессора.

Способ и система распространения контента в сети передачи данных со встроенным механизмом условного доступа // 2647635

Изобретение относится к разделу информационных технологий и связи, а именно к доставке видео контента до пользователей в сети передачи данных. Технический результат – повышение защиты от нелегального распространения контента в сети передачи данных. Способ распространения медиаконтента в сети передачи данных, при котором на стороне сервера разбивают оригинальный файл контента на сегменты, создают набор возможных представлений для каждого из сегментов путем создания как минимум одной копии каждого сегмента, и внедрения в каждую из копий каждого сегмента цифрового идентификатора, получают запрос от устройства пользователя на предоставление контента, создают в ответ на упомянутый запрос устройства пользователя указатель загрузки контента, содержащего информацию о каждом сегменте контента в виде ключа сегмента, передают упомянутый указатель загрузки на устройство пользователя, передают на упомянутое устройство пользователя информацию об адресах источников, содержащих сегменты запрошенного контента, на стороне устройства пользователя принимают упомянутый указатель загрузки, выполняют поиск, по меньшей мере, одного источника, содержащего, по меньшей мере, один сегмент контента согласно полученному указателю загрузки, и инициируют сеанс связи с упомянутым, по меньшей мере, одним источником, получают, по меньшей мере, один упомянутый сегмент контента в случае успешного сеанса связи и совпадения ключей, в противном случае повторяют шаг поиска, по меньшей мере, одного устройства источника, выполняют проверку совпадения ключа полученного сегмента. 2 н. и 14 з.п. ф-лы, 12 ил.

Способ и аппаратура для распознавания отпечатков пальцев и мобильный терминал // 2647638

Изобретение относится к способу и аппаратуре для распознавания отпечатков пальцев и мобильному терминалу. Технический результат заключается в обеспечении одного и того же коэффициента распознавания отпечатков пальцев независимо от различных зарядных состояний. Такой результат достигается за счет того, что осуществляют захват текущего состояния зарядки мобильного терминала; обновление настройки порогового значения распознавания отпечатков пальцев согласно текущему состоянию зарядки мобильного терминала; захват изображения отпечатков пальцев и извлечение информации характеристики изображения отпечатков пальцев; и проведение распознавания отпечатков пальцев согласно извлеченной информации характеристики и пороговому значению распознавания отпечатков пальцев. 3 н. и 5 з.п. ф-лы, 11 ил.

Способ заверения документа необратимой шифрованной цифровой подписью // 2647642

Изобретение относится к области защиты информации. Технический результат заключается в повышении безопасности в процессе заверения документа цифровой подписью. Способ заверения документа необратимой шифрованной цифровой подписью предусматривает получение от подписанта исходной информации, контрольной информации и данных индивидуализации, преобразование полученной информации в цифровую форму, генерации на основе полученной информации цифровой подписи и проверку достоверности упомянутой цифровой подписи, причем в процессе генерации цифровой подписи исходную информацию - текст подписываемого документа, биометрические данные индивидуализации подписанта, изображения участков материального носителя и их подписи и контрольную информацию с помощью приложения клиент отправляют подписывающему серверу, который добавляет к исходной информации данные индивидуализации, секретную строку и дату и время подписания, затем встраивает или добавляет контрольную информацию на стандартную секретную позицию в созданный объединенный текст, при этом фрагмент / фрагменты объединенного текста шифруют и генерирует цифровую подпись, представляющую собой необратимую подпись измененного объединенного текста. 7 з.п. ф-лы, 2 ил.

Система постановки метки конфиденциальности в электронном документе, учета и контроля работы с конфиденциальными электронными документами // 2647643

Изобретение относится к системе постановки метки конфиденциальности в электронном документе, учета и контроля работы с конфиденциальными электронными документами. Технический результат заключается в повышении информационной безопасности электронных документов Microsoft Office. Система содержит подсистемы маркирования, администрирования, хранения данных, обработки данных и мониторинга, причем подсистема маркирования предназначена для постановки метки конфиденциальности, имеющей одновременно визуальную и цифровую форму, на электронный документ, и настройки прав доступа пользователей к указанным меткам; подсистема администрирования предназначена для изменения настроек метки конфиденциальности, формирования и отправки оповещений по событиям, связанным с метками конфиденциальности в электронных документах Microsoft Office; подсистема хранения данных предназначена для хранения данных о метке конфиденциальности и настройках метки конфиденциальности; подсистема мониторинга предназначена для запроса данных о настройках метки конфиденциальности у подсистемы обработки данных, предоставления данных о настройках метки конфиденциальности подсистеме маркирования и передачи данных о метке конфиденциальности подсистеме обработки данных. 5 з.п. ф-лы, 44 ил.

Способ и устройство детектирования злонамеренной атаки // 2647646

Изобретение относится к способу и устройству детектирования злонамеренной атаки. Технический результат заключается в детектировании злонамеренной атаки со стороны хост-устройства при уменьшении объема обработки данных контроллера программно определяемой сети (SDN) и улучшении его рабочих характеристик. Способ включает этапы, на которых посредством указанного контроллера: принимают сообщение о входящем пакете, переданное первым коммутатором, содержащее идентификаторы хост-устройства источника и хост-устройства назначения пакета данных, для которого первый коммутатор не находит запись о потоке; при определении, что хост-устройство, указанное идентификатором хост-устройства назначения, не существует в сети SDN, передают запись о ненормальном потоке, включающую идентификатор хост-устройства источника, в первый коммутатор; принимают величину подсчета запуска, переданную первым коммутатором после истечения времени записи о ненормальном потоке, причем величина подсчета запуска представляет собой количество раз запуска записи о ненормальном потоке; определяют в соответствии с величиной подсчета запуска, была ли инициирована злонамеренная атака из хост-устройства источника, указанного идентификатором хост-устройства источника. 4 н. и 19 з.п. ф-лы, 14 ил., 2 табл.

Способ и устройство информационного взаимодействия, электронное устройство // 2647680

Изобретение относится к области техники связи, а именно к информационному взаимодействию. Технический результат – повышение эффективности информационного взаимодействия. Способ информационного взаимодействия включает установление соединения с носимым устройством, передачу информации для взаимодействия, соответствующей введенному идентификатору, на носимое устройство посредством связи, получение первого зашифрованного результата, возвращаемого носимым устройством, генерирование первого проверочного фактора, соответствующего первому зашифрованному результату с заданным алгоритмом, отправку информации для взаимодействия и первого проверочного фактора в соответствующем порядке на сервер, получение сообщения, отправленного сервером, указывающего об окончании взаимодействия, при котором сообщение посылается, если сервер определяет, что второй проверочный фактор соответствует первому проверочному фактору, причем второй проверочный фактор генерируется с заданным алгоритмом и соответствует второму зашифрованному результату, причем второй зашифрованный результат получается посредством шифрования информации, подлежащей взаимодействию с сервером с заранее сохраненным ключом шифрования. 9 н. и 8 з.п. ф-лы, 17 ил.

Устройство и способ обнаружения несанкционированных манипуляций системным состоянием блока управления и регулирования ядерной установки // 2647684

Изобретение относится к устройству для обнаружения несанкционированных манипуляций системным состоянием блока управления и регулирования, в частности программируемого логического контроллера ядерной установки. Технический результат заключается в повышении надежности контроля работы установки в соответствии с заданной программой. Для этого устройство обеспечивает возможность надежным образом обнаруживать несанкционированные манипуляции. Предусмотрен модуль мониторинга, который контролирует рабочее состояние, и/или состояние расширения аппаратных средств, и/или состояние программы блока управления и регулирования и при изменениях этого состояния формирует сообщение. 2 н. и 9 з.п. ф-лы, 4 ил.