Способ и система децентрализованной идентификации вредоносных программ

Описание уровня техники

Термин блокчейн сегодня широко используется для описания технологии децентрализованного подтверждения транзакций, в которой формируется последовательная цепочка блоков. Под транзакцией в данном случае понимается минимальная логически осмысленная операция по работе с данными, которая имеет смысл и может быть совершена только полностью. Блок транзакций - специальная структура для записи группы транзакций в системе Биткойн и аналогичных ей. Транзакция считается завершенной и подтвержденной, когда проверены ее формат и зашифрованные цифровые подписи, и когда сама транзакция объединена в группу с несколькими другими и записана в специальную структуру - блок. Блоки могут создаваться участниками пиринговой сети (майнерами), в рамках которой реализуется технология блокчейн. Узлы блокчейн-сети используют протокол консенсуса, обеспечивающий согласование содержимого реестра и гарантию того, что распределенные реестры узлов одноранговой сети являются точными копиями.

Содержимое блоков может быть проверено, так как каждый блок содержит информацию о предыдущем блоке. Все блоки выстроены в одну цепочку, которая содержит информацию обо всех совершенных когда-либо операциях в базе данных [https://ru.wikipedia.org/wiki/Блокчейн]. Изменение блока приводит к недействительности всех последующих блоков. Блоки с неподтвержденными или с незавершенными транзакциями также могут быть признаны недействительными. Цепочка, содержащая определенное число недействительных блоков также может быть признана недействительной цепочкой. Каждый блок содержит заголовок и, собственно, транзакции. Заголовок включает хеши: хеш заголовка, хеш предыдущего блока, хеши транзакций и другую служебную информацию. Алгоритмы хеширования (например, SHA-256) гарантируют, что любое небольшое изменение входных данных транзакции приведет к иному значению хеша в результате. Децентрализованность блокчейн-сети лишает отдельных участников и групп участников контроля в системе.

Известно применение блокчейна для хранения и валидации доменных имен (см., например, US 2016191243). Распределенная ответственность, децентрализация, лежащие в основе технологии блокчейн, обеспечивают защиту от ошибок в базе данных доменных имен. В частности, описанное техническое решение не допускает «загрязнения» DNS-кеша, в котором хранится потенциально ложная информация о неавторизованных резолверах. При этом устраняется опасность перенаправления запросов легальных приложений к сетевым хостам, проявляющим вредоносную активность. Обычно ответы DNS не имеют криптографической подписи. В описываемом техническом решении предложено расширение DNS, обеспечивающее поддержку криптографических подписей (ключей) для авторизации в доверенной одноранговой сети. Валидация подписей каждой из организаций в DNS происходит через «цепь доверия», включающую проверку родительских и дочерних ключей.

В патентной заявке US 2017295157 технология блокчейн используется для идентификации устройств пользователя. При подключении к сети запрашивается информация об устройстве пользователя, которая может быть инкапсулирована в блок транзакций для последующей идентификации пользователя. Информация об устройстве может включать настройки устройства, МАС-адрес, установленные приложения и сервисы, подключаемые устройства и другую характеризующую информацию.

Блокчейн может быть использован для обеспечения безопасности Интернет-ресурсов (см. US 2017324738). В данном случае блокчейн может включать в качестве участников пиринговой сети регистраторы доменов, сервисы доменных имен, автономные системы и др. Установленные правила Интернет-безопасности могут передаваться через одноранговую сеть, которая не может контролироваться в отдельности одним участником сети.

Из патентной заявки US 2017279818 известно техническое решение, включающее способ использования распределенного реестра (в частности, системы блокчейн), реализуемый на компьютере, реализующий проверку и распространение сигнатур вирусов. Указанные сигнатуры могут использоваться антивирусными ядрами на вычислительных устройствах для обнаружения и удаления вредоносных программ. Вирусные специалисты, имеющие доступ к распределенному реестру (майнеры), могут тестировать новые сигнатуры. Распределенный реестр и антивирусные приложения могут быть настроены на блокировку новых сигнатур до тех пор, пока они не будут проверены некоторым заданным минимальным числом майнеров.

Способ, описанный в заявке US 2017279818, включает получение доступа через компьютерную систему к данным, относящимся, к вирусным сигнатурам. Каждой сигнатуре соответствует рейтинг сигнатуры, определяемый на основе количества майнеров, добавивших и проверивших сигнатуру. Компьютерная система может определить достоверность вирусной сигнатуры на основе рейтинга сигнатуры. В случае, если сигнатура действительно является вирусной, она может быть использована компьютерной системой, например, для вирусного сканирования.

Указанный распределенный реестр, согласно описанию патентной заявки US 2017279818, может быть распределенной базой данных, имеющей возможность реализации технологии блокчейн. Копия электронного реестра может храниться и обслуживаться компьютерной системой. Другие копии могут храниться и обслуживаться другими компьютерными системами, являющимися узлами компьютерной сети. Компьютерная система может получать через сеть транзакции, рассылаемые другими компьютерными системами, транзакции, показывающие добавление новых вирусных сигнатур в компьютерную сеть или оповещающие о результатах проверки сигнатур другими компьютерными системами в сети.

Известны способы проверки сигнатур вредоносных программ, в которых производится централизованное подтверждение достоверности сигнатуры. Например, в патенте US 7730040 детектирование вредоносных программ происходит на основе обратной связи пользователя. Поскольку в такой системе используется централизованная база данных вредоносных программ, остается возможность внесения в нее изменений.

Одним из недостатков известных способов и компьютерных устройств для проверки вредоносных программ является чрезмерное количество компьютерных устройств в пиринговых сетях, зараженных каким-либо вирусом или зловредом в результате скачивания программного обеспечения из таких пиринговых сетей.

Таким образом, очевидна потребность в дальнейшем совершенствовании способов и компьютерных устройств для проверки вредоносных программ, в частности для снижения доли компьютерных устройств в пиринговых сетях, зараженных каким-либо вирусом или зловредом.

Следовательно, техническая проблема состоит в разработке способа и компьютерного устройства для проверки вредоносных программ, преодолевающих по меньшей мере обозначенный выше недостаток известных способов и компьютерных устройств для проверки вредоносных программ.

Раскрытие изобретения

Задача настоящего изобретения заключается в создании способа и компьютерного устройства для проверки вредоносных программ, решающих по меньшей мере обозначенную выше техническую проблему.

Первым объектом настоящего технического решения является способ децентрализованной проверки вредоносных программ, выполняемый на компьютерном устройстве, имеющем доступ к распределенному реестру и пулу транзакций, реализованным на основе пиринговой сети, при этом указанный способ включает:

получение входных данных, относящихся к потенциально вредоносной программе;

проверку потенциально вредоносной программы на вредоносность на основе полученных входных данных;

внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы на вредоносность;

получение от множества компьютерных устройств пиринговой сети, каждое из которых имеет свою репутацию, результатов распределенной проверки указанной потенциально вредоносной программы на вредоносность;

определение параметра вредоносности на основании полученных результатов распределенной проверки потенциально вредоносной программы на вредоносность по меньшей мере в зависимости от репутации компьютерных устройств из указанного множества компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;

идентификацию вредоносной программы, в ответ на то, что определенный параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение;

сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к этой вредоносной программе в распределенный реестр вредоносных программ.

Предложенный способ децентрализованной проверки вредоносных программ обеспечивает технический результат, заключающийся в повышении точности и надежности идентификации вредоносных программ за счет использования результатов распределенной проверки потенциально вредоносной программы на вредоносности от множества компьютерных устройств пиринговой сети в соответствии с усовершенствованным критерием идентификации, основанным на использовании репутации тех компьютерных устройств пиринговой сети, которые подтвердили результат проверки потенциально вредоносной программы на вредоносность.

Возможен вариант осуществления способа, в котором получение входных данных осуществляют от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в данную пиринговую сеть, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя.

Возможен вариант осуществления способа, в котором входные данные включают по меньшей мере одно указание на файл потенциально вредоносной программы.

Возможен вариант осуществления способа, в котором входные данные дополнительно включают в себя по меньшей мере одно из следующего: сигнатуру вредоносной программы, данные об атрибуции вредоносной программы.

Возможен вариант осуществления способа, в котором входные данные получают по меньшей мере частично в хешированном виде.

Возможен вариант осуществления способа, в котором выполняют хеширование по меньшей мере части входных данных, в ответ на то, что указанная по меньшей мере часть входных данных получена в нехешированном виде.

Возможен вариант осуществления способа, в котором после получения входных данных осуществляют извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.

Возможен вариант осуществления способа, в котором проверку потенциально вредоносной программы осуществляют с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.

Возможен вариант осуществления способа, в котором проверку потенциально вредоносной программы выполняют с применением алгоритма машинного обучения.

Возможен вариант осуществления способа, в котором дополнительно производится обновление обучающей выборки алгоритма машинного обучения в соответствии с подтвержденными результатами.

Возможен вариант осуществления способа, в котором проверка потенциально вредоносной программы выполняется автоматизированным способом.

Возможен вариант осуществления способа, в котором дополнительно производится проверка потенциально вредоносной программы ручным способом.

Возможен вариант осуществления способа, в котором проверка потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, включает по меньшей мере одно из следующего:

определение вредоносности потенциально вредоносной программы;

проверка достоверности сигнатуры потенциально вредоносной программы;

определение данных об атрибуции потенциально вредоносной программы.

Возможен вариант осуществления способа, в котором определение данных об атрибуции потенциально вредоносной программы осуществляют на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:

полученные входные данные,

распределенный реестр вредоносных программ,

база данных вредоносных ресурсов.

Возможен вариант осуществления способа, в котором определение данных об атрибуции потенциально вредоносной программы производится с применением алгоритма машинного обучения.

Возможен вариант осуществления способа, в котором на этапе внесения в пул транзакций параметров и результатов по меньшей мере одного результата проверки потенциально вредоносной программы, в пул транзакций также вносят дополнительные данные, относящиеся к потенциально вредоносной программе, полученные из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.

Возможен вариант осуществления способа, в котором определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети осуществляют на основе по меньшей мере одного из следующих параметров:

количество компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;

репутация компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;

количество компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;

репутация компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы.

Возможен вариант осуществления способа, в котором после внесения результатов проверки потенциально вредоносной программы в распределенный реестр производится начисление токенов компьютерным устройствам распределенной пиринговой сети, на которых были получены результаты проверки, соответствующие параметру вредоносности, определенному на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети.

Возможен вариант осуществления способа, в котором после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ дополнительно производят сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству.

Возможен вариант осуществления способа, в котором после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ дополнительно производят сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа в обучающее множество алгоритма машинного обучения.

Другим объектом настоящего технического решения является компьютерное устройство для децентрализованной проверки вредоносных программ, имеющее доступ к распределенному реестру и пулу транзакций, реализованным на основе пиринговой сети, и включающее в себя интерфейс связи и по меньшей мере один компьютерный процессор, функционально соединенный с интерфейсом связи и выполненный с возможностью осуществлять:

получение входных данных, относящихся к потенциально вредоносной программе;

проверку потенциально вредоносной программы на вредоносность на основе полученных входных данных;

внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы на вредоносность;

получение от множества компьютерных устройств пиринговой сети, каждое из которых имеет свою репутацию, результатов распределенной проверки потенциально вредоносной программы на вредоносность;

определение параметра вредоносности на основании полученных результатов распределенной проверки потенциально вредоносной программы на вредоносность по меньшей мере в зависимости от репутации компьютерных устройств из указанного множества компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;

идентификацию вредоносной программы, в ответ на то, что определенный параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение;

сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к этой вредоносной программе, в распределенный реестр вредоносных программ.

Предложенное компьютерное устройство для децентрализованной проверки вредоносных программ также обеспечивает сформулированный выше технический результат, заключающийся в повышении точности и надежности идентификации вредоносных программ.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в данную пиринговую сеть, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных включающих по меньшей мере одно указание на файл потенциально вредоносной программы.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных, дополнительно включающих в себя по меньшей мере одно из следующего:

сигнатуру вредоносной программы,

данные об атрибуции вредоносной программы.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных по меньшей мере частично в хешированном виде.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять хеширование по меньшей мере части входных данных, в ответ на то, что указанная по меньшей мере часть входных данных получена в нехешированном виде.

Возможен вариант осуществления устройства, в котором доступен по меньшей мере один дополнительный источник, причем процессор дополнительно выполнен с возможностью осуществлять извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы с применением алгоритма машинного обучения.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять обновление обучающей выборки алгоритма машинного обучения в соответствии с подтвержденными результатами.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы автоматизированным способом.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью получения результатов проверки потенциально вредоносной программы ручным способом.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, и осуществлять по меньшей мере одно из следующего:

определение вредоносности потенциально вредоносной программы;

проверку достоверности сигнатуры потенциально вредоносной программы;

определение данных об атрибуции потенциально вредоносной программы.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять определение данных об атрибуции потенциально вредоносной программы на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:

полученные входные данные,

распределенный реестр вредоносных программ,

база данных вредоносных ресурсов.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять определение данных об атрибуции потенциально вредоносной программы с применением модели на основе нейронных сетей.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять внесение в пул транзакций дополнительных данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети осуществляют на основе по меньшей мере одного из следующих параметров:

количество компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;

репутация компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;

количество компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;

репутация компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству.

Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять, сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, в обучающее множество алгоритма машинного обучения.

В контексте настоящего описания, если конкретно не указано иное, слова «первый», «второй», «третий» и т.д. используются в виде прилагательных исключительно для того, чтобы отличать существительные, к которым они относятся, друг от друга, а не для целей описания какой-либо конкретной взаимосвязи между этими существительными.

В контексте настоящего описания, если явно не указано иное, «вредоносная программа» представляет собой любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам или к информации с целью незаконного использования ресурсов или причинения вреда (нанесения ущерба) владельцу информации или сети путем копирования, искажения, удаления или подмены информации.

В контексте настоящего описания, если явно не указано иное, «потенциально вредоносная программа» представляет собой любое программное обеспечение, которое по тем или иным причинам является подозрительным и было отобрано для проведения проверки с целью подтверждения ее вредоносности. В рамках настоящей технологии любое программное обеспечение, в отношении которого не проведена проверка может считаться потенциально вредоносной программой.

В контексте настоящего описания, если явно не указано иное, под «компьютерным устройством» понимается любое аппаратное и/или программное обеспечение, подходящее для решения соответствующей задачи. Таким образом, некоторыми примерами компьютерных устройств, не имеющими ограничительного характера, могут служить компьютерные процессоры, компьютерные системы (один или несколько серверов, настольные компьютеры, ноутбуки, нетбуки и т.п.), смартфоны, планшеты и т.п.

В контексте настоящего описания, если явно не указано иное, под «узлом пиринговой сети» понимается программное обеспечение, реализованное на компьютерном устройстве, связанное с другими узлами пиринговой сети и способное выполнять операции, описанные ниже.

В контексте настоящего описания, если конкретно не указано иное, под «пулом транзакций» понимается распределенная база данных, содержащая транзакции, сформированные в одном из узлов пиринговой сети, на основе которой реализован распределенный реестр, указанные транзакции, не подтвержденные другими узлами пиринговой сети.

В контексте настоящего описания, если четко не указано иное, «указание» на файл может представлять собой сам информационный элемент или указатель, отсылку, ссылку или другой косвенный способ, позволяющий получателю указания найти сеть, память, базу данных или другой машиночитаемый носитель, из которого может быть извлечен информационный элемент. Например, указание на файл вредоносной программы может включать в себя универсальный указатель ресурса (например, URL www.xyz.com/worm.exe), идентифицирующим вредоносный файл по отношению к конкретной сети (в частности, Интернет), или какими-то другими средствами передавать получателю указание на сетевую папку, адрес памяти, таблицу в базе данных или другое место, в котором можно получить доступ к вредоносному файлу, отдельным его фрагментам или сигнатуре. Как будет понятно специалистам в данной области техники, степень точности, необходимая для такого указания, зависит от степени первичного понимания того, как должна быть интерпретирована информация, которой обмениваются получатель и отправитель указателя. Например, если до передачи данных между отправителем и получателем понятно, что указатель информационного элемента принимает вид универсального указателя ресурса URL, передача указателя, ссылки на данный видеоконтент - это все, что необходимо для эффективной передачи видеоконтента получателю, несмотря на то, что сам по себе информационный элемент (например, вредоносный файл, его фрагмент или сигнатура) не передавался между отправителем и получателем указания.

В контексте настоящего описания, если явно не указано иное, под «атрибуцией» вредоносной программы понимают определение информации (атрибутов), относящейся к лицам, системам и/или организациям, разработавшим или использующим указанную вредоносную программу или ее часть.

В контексте настоящего описания, если явно не указано иное, под «сигнатурой» набор правил, позволяющий выявлять вредоносную активность. Например, под сигнатурой вредоносной программы понимаются любые признаки, уникально характеризующие указанную вредоносную программу. К сигнатурам также относятся, например, правила выявления вредоносного трафика, поведенческие правила для «песочниц», YARA-правила.

В контексте настоящего описания, если явно не указано иное, под «достоверной сигнатурой» вредоносной программы понимается сигнатура, в отношении которой определено и подтверждено участниками пиринговой сети, что указанная сигнатура уникально характеризует вредоносную программу.

В контексте настоящего описания, если явно не указано иное, под «транзакцией» понимается минимальная логически осмысленная операция по работе с данными, которая имеет смысл и может быть совершена только полностью.

В контексте настоящего описания, если конкретно не указано иное, выражение «глубокая нейронная сеть» подразумевает под собой систему программ и структур данных, созданных для приближенного моделирования процессов в человеческом мозге. Глубокие нейронные сети в общем случае включают в себя серию алгоритмов, которые могут идентифицировать лежащие в основе отношения и связи в наборе данных, используя процесс, который имитирует работу человеческого мозга. Расположения и веса связей в наборе данных в общем случае определяют вывод. Глубокая нейронная сеть, таким образом, в общем случае открыта для всех данных ввода или параметров одновременно, во всей их полноте, и, следовательно, способна моделировать их взаимозависимость. В отличие от алгоритмов машинного обучения, которые используют деревья принятия решений и, следовательно, имеют свои ограничения, глубокие нейронные сети не ограничены и, следовательно, подходят для моделирования взаимозависимостей.

В контексте настоящего описания, если конкретно не указано иное, под «ручной проверкой» понимается неавтоматизированная или частично автоматизированная проверка, требующая участия оператора.

В контексте настоящего описания «компьютерное устройство» подразумевает под собой компьютерную программу, работающую на соответствующем оборудовании, которая способна получать запросы (например, от клиентских устройств) по сети и выполнять эти запросы или инициировать выполнение этих запросов. Оборудование может представлять собой один физический компьютер или одну физическую компьютерную систему, но ни то, ни другое не является обязательным для настоящего технического решения. В контексте настоящего технического решения использование выражения «компьютерное устройство» не означает, что каждая задача (например, полученные команды или запросы) или какая-либо конкретная задача будет получена, выполнена или инициирована к выполнению одним и тем же «компьютерным устройством» (то есть одним и тем же программным обеспечением и/или аппаратным обеспечением); это означает, что любое количество элементов программного обеспечения или аппаратных устройств может быть вовлечено в прием/передачу, выполнение или инициирование выполнения любого запроса или последствия любого запроса, связанного с клиентским устройством, и все это программное и аппаратное обеспечение может быть одним компьютерным устройством или несколькими компьютерными устройствами, оба варианта включены в выражение «по меньшей мере одно компьютерное устройство».

В контексте настоящего описания «сервер» подразумевает под собой компьютерную программу, выполняемую на соответствующем оборудовании и, выполненную с возможностью принимать запросы (например, от компьютерных устройств) по сети, и выполнение этих запросов, или быть причиной отправки этих запросов. Аппаратными средствами может быть один физический компьютер или одна физическая компьютерная система, но ни один из них не требуется в качестве варианта, в соответствии с данной технологией. В данном контексте, использование выражения «сервер» не означает, что каждая задача (например, полученные инструкции) или любая конкретная задача будет получена, выполнена, или, послужит причиной выполнения одним и тем же сервером (т.е. одним и тем же программным и/или аппаратным обеспечением); это означает, что любое количество элементов программного обеспечения или аппаратных устройств может быть вовлечено в получение/отправку, выполнение или может служить причиной для выполнения любой задачи или запроса, или последствий любой задачи или запроса; и все это программное и аппаратное обеспечение может быть одним или несколькими серверами.

В контексте настоящего описания, если конкретно не указано иное, под «токеном» понимается объект блокчейн технологии, осуществляющий криптографически защищенное подтверждение прав его владельца на получение обещанных ему ценностей или возможности выполнения с его помощью заранее определенных функций.

В контексте настоящего описания «машиночитаемый носитель» подразумевает под собой носитель абсолютно любого типа и характера, включая ОЗУ, ПЗУ, диски (компакт диски, DVD-диски, дискеты, жесткие диски и т.д.), USB флеш-накопители, твердотельные накопители, накопители на магнитной ленте и т.д.

В контексте настоящего описания «база данных» подразумевает под собой любой структурированный набор данных, не зависящий от конкретной структуры, программного обеспечения по управлению базой данных, аппаратного обеспечения компьютера, на котором данные хранятся, используются или иным образом оказываются доступны для использования. База данных может находиться на том же оборудовании, выполняющем процесс, которое сохраняет или использует информацию, хранящуюся в базе данных, или же она может находиться на отдельном оборудовании, например, выделенном сервере или множестве серверов.

В контексте настоящего описания, если конкретно не указано иное, под «внешней базой данных» подразумевается база данных, связанная с компьютерным устройством, входящим в пиринговую сеть, посредством компьютерных устройств, не входящих в указанную пиринговую сеть.

В контексте настоящего описания, если конкретно не указано иное, под «весом результата» подразумевается численно выраженная степень достоверности результата, полученного вследствие по меньшей мере одного действия с вредоносной программой или относящимся к ней данными. Например, в неограничивающем примере вес результата определения вредоносности программы может выражать вероятность того, что программа вредоносна, определенную субъектом проверки или вычисленную на основе результатов нескольких субъектов проверки. Вес результата формирования сигнатуры вредоносной программы может подразумевать показатель, характеризующий повышение эффективности выявления вредоносных программ при использовании указанной сигнатуры. Дополнительные и/или альтернативные характеристики, аспекты и преимущества вариантов осуществления настоящего технического решения станут очевидными из последующего описания, прилагаемых чертежей и прилагаемой формулы изобретения.

Краткое описание чертежей

Для лучшего понимания настоящего технического решения, а также других его аспектов и характерных черт сделана ссылка на следующее описание, которое должно использоваться в сочетании с прилагаемыми чертежами, где:

На фиг. 1 приводится упрощенное схематическое представление одной из неограничивающих реализаций системы для осуществления настоящего технического решения.

На фиг. 2 показана блок-схема последовательности операций согласно заявляемому способу децентрализованной идентификации вредоносных программ.

Осуществление

Нижеследующее описание представлено только как описание иллюстративного примера настоящего технического решения. Это описание не предназначено для определения объема или установления границ настоящей технологии.

Некоторые полезные примеры модификаций описываемого способа и системы определения связанных сетевых ресурсов также могут быть охвачены нижеследующим описанием. Целью этого является также исключительно помощь в понимании, а не определение объема и границ настоящей технологии. Эти модификации не представляют собой исчерпывающий список, и специалистам в данной области техники будет понятно, что возможны и другие модификации. Кроме того, это не должно интерпретироваться так, что там, где это еще не было сделано, т.е. там, где не были изложены примеры модификаций, никакие модификации невозможны, и/или что-то, что описано, является единственным вариантом осуществления этого элемента настоящей технологии. Как будет понятно специалисту в данной области техники, это, скорее всего, не так. Кроме того, следует иметь в виду, что способ и система определения связанных сетевых ресурсов представляет собой в некоторых конкретных проявлениях достаточно простые варианты осуществления настоящей технологии, и в подобных случаях представлены здесь с целью облегчения понимания. Как будет понятно специалисту в данной области техники, многие варианты осуществления настоящей технологии будут обладать гораздо большей сложностью.

На фиг. 1 изображено схематичное представление одной из неограничивающих реализаций системы 100 для осуществления способа, описываемого в настоящем техническом решении. В одной из неограничивающих реализаций технического решения система 100 включает множество компьютерных устройств 1021, 1022, …, 102N, с которыми связаны пользовательские устройства первое 1041 и второе 1042 N-ное 104N, причем первое пользовательское устройство 1041 связано с компьютерным устройством 1021, второе пользовательское устройство 1042 с компьютерным устройством 1022, а N-ное пользовательское устройство 104N с N-ным компьютерным устройством 102N Дополнительно система 100 включает базу данных 106, связанную с компьютерным устройством 1021. Очевидно, что система 100, может содержать различное количество пользовательских устройств, баз данных и иных внешних источников, связанных с одним или несколькими из множества компьютерных устройств 1021, 1022, …, 102N. Возможен также вариант осуществления настоящего технического решения, в котором с одним или несколькими компьютерными устройствами из множества компьютерных устройств не связано ни одного пользовательского устройства.

Каждое из множества компьютерных устройств 1021, 1022, …, 102N соединено друг с другом (каждое с каждым) посредством канала связи с образованием пиринговой сети 150. Каждое из множества компьютерных устройств 1021, 1022, …, 102N является узлом пиринговой сети 150 и выполнено с возможностью принимать и передавать сообщения, представленные в виде блоков транзакций в соответствии с технологией блокчейн.

Следует понимать, что количество узлов пиринговой сети 150, а именно число компьютерных устройств множества 1021, 1022, …, 102N никак конкретно не ограничено. В качестве примера, но не ограничения пиринговая сеть 150 может содержать 48, 100, 3000, или иное количество узлов.

Для целей осуществления настоящей технологии каждый узел пиринговой сети 150 может быть реализован в качестве компьютерного устройства 1021, 1022, …, 102N, причем каждый узел включает в себя распределенный реестр 108 вредоносных программ, пул транзакций 109, модуль машинного обучения 110, а также по меньшей мере одну виртуальную машину 1121, 1122, …, 112N для запуска файлов потенциально вредоносных программ в виртуальной среде.

Компьютерные устройства 1021, 1022, …, 102N могут быть реализованы например, в виде компьютерного сервера Dell™ PowerEdge™, на котором используется операционная система Ubuntu Server. В качестве неограничивающего примера реализации компьютерные устройство 1021 обладать следующими характеристиками: 2ТВ памяти, 4 или более ЦПУ для параллельной работы одной или нескольких виртуальных машин, 256Gb или более оперативной памяти, а также по меньшей мере один графический процессор для реализации модуля 110 машинного обучения. Компьютерные устройства 1022, …, 102N могут быть реализованы аналогичным образом. Очевидно, что компьютерные устройства 1021, 1022, …, 102N могут иметь одинаковую или различную конфигурацию. Приведенные характеристики не являются ограничивающими и несут лишь иллюстративный характер для целей пояснения настоящего технического решения.

С учетом технологии блокчейн, посредством которой реализована пиринговая сеть 150, каждый узел включает в себя одинаковый распределенный реестр 108 вредоносных программ, одинаковый пул транзакций 109, и одинаковый модуль машинного обучения 110. Виртуальные машины 1121, 1122, …, 112N для запуска файлов потенциально вредоносных программ в виртуальной среде могут совпадать или отличаться в различных узлах пиринговой сети 150.

Причем все или некоторые из узлов могут включать в себя несколько одинаковых и/или различных образов виртуальных машин. В качестве примера, но не ограничения одна из виртуальных машин может быть реализована со следующим заданным набором атрибутов настройки: операционная система - Windows ХР, архитектура - х86 (32-разрядная), язык - русский (rus) для запуска в ней 32-разрядных потенциально вредоносных программ. Для запуска 64-разрядных потенциально вредоносных программ может быть использована, например, виртуальная машина со следующим заданным набором атрибутов настройки: операционная система - Ubuntu, архитектура - х64 (64-разрядная), язык - английский (eng).

Распределенный реестр 108 может представлять собой базу данных, размещенную на соответствующем физическом оборудовании, которое может представлять собой один или несколько машиночитаемых носителей. Распределенный реестр 108 вредоносных программ одного или нескольких узлов пиринговой сети 150 может быть дополнительно доступен (только для чтения) одному или нескольким внешним устройствам. Например, согласно неограничивающему варианту осуществления системы 100, распределенный реестр 108 вредоносных программ, размещенный на компьютерном устройстве 1021 может быть доступен первому пользовательскому устройству 1041 и базе данных 106 вредоносных компьютерных программ, распределенный реестр 108 вредоносных программ, размещенный на компьютерном устройстве 1022 может быть доступен второму пользовательскому устройству 1042, распределенный реестр 108 вредоносных программ, размещенный на компьютерном устройстве 102N может быть доступен пользовательскому устройству 104N.

Пул транзакций 109 может представлять собой базу данных, размещенную на соответствующем физическом оборудовании, которое может представлять собой один или несколько машиночитаемых носителей. Возможен вариант осуществления, в котором пул транзакций 109 и распределенный реестр 108 вредоносных программ некоторых узлов могут быть реализованы на одном физическом оборудовании. Стоит отметить, что в общем случае доступ к пулу транзакций 109 имеют только узлы пиринговой сети 150. Информация, вносимая узлом пиринговой сети 150 в пул транзакций 109 становится доступна всем узлам пиринговой сети 150.

В одной из неограничивающих реализаций настоящего технического решения пиринговая сеть 150 выполнена с возможностью передачи блоков транзакций в соответствии с технологией блокчейн, указанных транзакций, отражающих информацию о по меньшей мере одном из следующего: сигнатуры вредоносных/потенциально вредоносных программ, хеш-суммы файлов вредоносных/потенциально вредоносных программ, указания на файлы вредоносных/потенциально вредоносных программ, результаты проверки вредоносных/потенциально вредоносных программ автоматизированным способом и параметры алгоритмов, используемых в указанном способе, результаты проверки вредоносных/потенциально вредоносных программ ручным способом каждого узла пиринговой сети, общий результат проверки, определенный на основе полученных результатов проверки вредоносных/потенциально вредоносных программ компьютерными устройствами, репутацию узлов, выполняющих автоматизированную проверку, репутацию узлов, выполняющих ручную проверку, параметры формирования.

В одной из неограничивающих реализаций настоящего технического решения помимо пиринговой сети 150 дополнительно каждое из множества компьютерных устройств 1021, 1022, …, 102N устройств может быть выполнено с возможностью передачи данных в других сетях передачи данных (не показаны), в частности, в сети Интернет, локальной или иной сети передачи данных.

Первое пользовательское устройство 1041 может быть связано с компьютерным устройством 1021, например посредством сети передачи данных 160, которая может представлять собой сеть Интернет, база данных 106 может быть доступна компьютерному устройству 1021 также по сети передачи данных 160 или по иной сети (не показана). Первое пользовательское устройство 1041 в некоторых неограничивающих вариантах осуществления настоящего технического решения может представлять собой персональный компьютер (настольный компьютер, ноутбук и т.д.)., на котором может быть установлено программное обеспечение, например, осуществляющее выявление подозрительных потенциально вредоносных программ и файлов, и осуществлять их отправку в качестве входных данных компьютерному устройству 1021, являющемуся узлом пиринговой сети 150 по сети передачи данных 160.

Кроме того, первое пользовательское устройство 1041 может иметь доступ к распределенному реестру вредоносных программ 108. После осуществления проверки потенциально вредоносной программы множеством узлов пиринговой сети 150 вредоносность программы может быть подтверждена, после чего программа, ее хеш-сумма и по меньшей мере часть сопутствующих данных, относящихся к вредоносной программе будут внесены в распределенный реестр вредоносных программ 108. Таким образом, первое пользовательское устройство 1041 может получать данные о вредоносных программах, подтвержденных множеством узлов пиринговой сети 150. В базе данных 106 могут быть предварительно сохранены потенциально вредоносные программы или указания на них. Первое пользовательское устройство 1041 может быть выполнено с возможностью получения входных данных, относящихся к потенциально вредоносной программе из базы данных 106.

Второе пользовательское устройство 1042 может быть связано с компьютерным устройством 1022, например, по локальной сети 170 на базе проводной сети Ethernet или беспроводной сети (wi-fi, Bluetooth, 3g/4g/ LTE и т.д.)

Второе пользовательское устройство 1042 в некоторых неограничивающих вариантах осуществления настоящего технического решения может представлять собой сервер или активное сетевое оборудование, выполненное с возможностью сбора данных о потенциально вредоносных программах от множества устройств, связанных с данным сервером (не пронумерованы). При этом на втором пользовательском устройстве 1042 может быть установлено программное обеспечение, выполняющее проверку трафика с устройств корпоративной сети и поиск вредоносной активности или сбор информации с программного обеспечения, установленного на устройствах, входящих, например, в корпоративную сеть.

Возможен вариант осуществления, в котором второе пользовательское устройство 1042 может включать в себя или иметь доступ к устройству захвата сетевого трафика и получения данных о потенциально вредоносных программах на основе анализа сетевого трафика. Например, без введения ограничений устройство захвата сетевого трафика может представлять собой одно из следующего: сетевые коммутаторы L2-уровня, работающие с использованием технологии зеркалирования сетевого трафика необходимых сегментов сети, такой как, например, SPAN-технология зеркалирования сетевого трафика в оборудовании компании «CISCO», средства обеспечения прозрачности сети, также называемые как платформы доставки безопасности (Security Delivery Platform) или сетевые пакетные брокеры (NPB), и ответвители сетевого трафика (Test Access Point) различных типов, а также прокси-серверы с поддержкой ICAP-протокола, работающие в рамках установленного TCP-соединения, почтовые серверы с поддержкой SMTP-протокола и др.

Второе пользовательское устройство 1042 в некоторых неограничивающих вариантах осуществления настоящего технического решения может осуществлять отправку потенциально вредоносных программ в качестве входных данных компьютерному устройству 1022, являющемуся узлом пиринговой сети 150 по сети передачи данных 170.

Кроме того, второе пользовательское устройство 1042 может иметь доступ к распределенному реестру вредоносных программ 108. После осуществления проверки потенциально вредоносной программы множеством узлов пиринговой сети 150 вредоносность программы может быть подтверждена, после чего программа будет внесена в распределенный реестр вредоносных программ 108. Таким образом, второе пользовательское устройство 1042 может получать данные о вредоносных программах, подтвержденных множеством узлов пиринговой сети 150.

N-ное пользовательское устройство 104N может быть связано с компьютерным устройством 102N, например, по локальной сети 180 на базе проводной сети Ethernet или беспроводной сети (wi-fi, Bluetooth, 3g/4g/ LTE и т.д.).

N-ное пользовательское устройство 104N в некоторых неограничивающих вариантах осуществления настоящего технического решения может представлять собой сервер для поиска и анализа киберугроз, осуществляющий сбор данных в частности о потенциально вредоносных программах и атрибуции (информации (атрибутов), относящейся к лицам, системам и/или организациям, разработавшим или использующим указанную вредоносную программу или ее часть.), связанной с данными потенциально вредоносными программами. N-ное пользовательское устройство 104N в некоторых неограничивающих вариантах осуществления настоящего технического решения может осуществлять отправку потенциально вредоносных программ в качестве входных данных компьютерному устройству 102N, являющемуся узлом пиринговой сети 150 по сети передачи данных 180.

N-ное пользовательское устройство 104N может иметь доступ к распределенному реестру вредоносных программ 108. После осуществления проверки потенциально вредоносной программы множеством узлов пиринговой сети 150 вредоносность программы может быть подтверждена, после чего программа будет внесена в распределенный реестр вредоносных программ 108. Таким образом, N-ное пользовательское устройство 104N может получать данные о вредоносных программах, подтвержденных множеством узлов пиринговой сети 150.

N-ное пользовательское устройство 104N может представлять собой обычный компьютерный сервер. В примере варианта осуществления настоящего технического решения N-ное пользовательское устройство 104N может представлять собой сервер Dell™ PowerEdge™, на котором используется операционная система Ubuntu Server. Излишне говорить, что N-ное пользовательское устройство 104N может представлять собой любое другое подходящее аппаратное и/или прикладное программное, и/или системное программное обеспечение или их комбинацию. В представленном варианте осуществления настоящего технического решения, не ограничивающем его объем, N-ное пользовательское устройство 104N является одиночным сервером. В других вариантах осуществления настоящего технического решения, не ограничивающих его объем, функциональность N-ного пользовательского устройства 104N может быть разделена между несколькими пользовательскими устройствами, и например, может выполняться с помощью нескольких серверов.

Стоит отметить, что каждое пользовательское устройство 1041, 1042, …, 104N, имеющее доступ к распределенному реестру 108 вредоносных программ может получать данные о любых подтвержденных вредоносных программах, которые были проверены множеством узлов пиринговой сети 150 вне зависимости от источника данной вредоносной программы. Так, например, вредоносная программа, полученная компьютерным устройством 1021 от первого пользовательского устройства 1041 после подтверждения будет доступна второму пользовательскому устройству 1042 и другим пользовательским устройствам включая N-ное пользовательское устройство 104N.

Модуль 110 машинного обучения выполнен с возможностью осуществления алгоритма машинного обучения, способного осуществлять проверку и подтверждение вредоносности потенциально вредоносного файла,. В некоторых вариантах осуществления настоящего технического решения, один или несколько алгоритмов машинного обучения могут представлять собой любой подходящий алгоритм машинного обучения с учителем или полуконтролируемого обучения, такой как, например:

- Искусственная нейронная сеть

- Гауссовский процесс регрессии

- Деревья решений

- И так далее

В общем случае, модуль 110 машинного обучения выполняет один или несколько алгоритмов машинного обучения для анализа потенциально вредоносной программы на основе результатов запуска потенциально вредоносной программы на по меньшей мере одной виртуальной машине 1121, 1122, …, 112N.

Как будет понятно специалистам возможны и иные аналогичные варианты реализации системы 100 в рамках приведенного выше описания системы 100.

Со ссылкой на фиг. 2 будет подробнее рассмотрен заявляемый способ 200 децентрализованной проверки вредоносных программ. Способ 200 может быть выполнен на любом из множества компьютерных устройств 1021 … 102N и, конкретнее, процессором (не показан) указанного любого компьютерного устройства в соответствии с неограничивающим вариантом системы 100, показанной на фиг. 1. Для целей настоящего описания рассмотрим иллюстративный пример, в котором способ 200 выполняется на компьютерном устройстве 1021.

Этап 202 - получение входных данных, относящихся к потенциально вредоносной программе

Способ 200 начинается на этапе 202, где компьютерное устройство 1021 получает входные данные, относящихся к потенциально вредоносной программе. Под потенциально вредоносной программой в контексте настоящей заявки понимается любое программное обеспечение, которое в процессе выполнения осуществляет или может осуществлять вредоносную активность, осуществлять несанкционированный доступ к информации, незаконное использование, копирование, искажение, удаление или подмену информации.

Входные данные могут быть получены от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в пиринговую сеть 150, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя. Следует отметить, что специалисту могут быть очевидны и другие источники информации, связанные с по меньшей мере одним компьютерным устройством 1021.

Входные данные могут включать по меньшей мере одно указание на файл потенциально вредоносной программы. В одном из неограничивающих вариантов реализации настоящего изобретения указание на файл вредоносной программы может включать в себя универсальный указатель ресурса (например, URL www.xyz.com), идентифицирующий вредоносный файл по отношению к конкретной сети (в частности, Интернет), или какими-то другими средствами передавать получателю указание на сетевую папку, адрес памяти, таблицу в базе данных или другое место, в котором можно получить доступ к вредоносному файлу, отдельным его фрагментам или сигнатуре.

Входные данные могут дополнительно включать в себя по меньшей мере одно из следующего: сигнатуру вредоносной программы, данные об атрибуции вредоносной программы, метаданные потенциально вредоносного файла, информацию о файлах, связанных с потенциально вредоносным файлом. Сигнатура вредоносной программы представляет собой любые признаки, уникально характеризующие указанную вредоносную программу. Файлами, связанными с потенциально вредоносной программой могут быть, например, файлы, полученные вместе с потенциально вредоносными файлами из того же источника и в то же время. Связанные файлы могут иметь общие признаки, например, часть названия файла, цифровую подпись и др. Метаданные потенциально вредоносного файла могут включать по меньшей мере источник, из которого был получен файл, размер файла, дату последнего изменения файла и другую подобную информацию.

Входные данные могут быть получены по меньшей мере частично в хешированном виде. В ответ на то, что по меньшей мере часть входных данных получена в нехешированном виде может быть выполнено хеширование по меньшей мере части входных данных.

В одном из неограничивающих вариантов реализации настоящего изобретения после получения входных данных осуществляют извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника, доступного компьютерному устройству 1021 пиринговой сети. В данном варианте реализации изобретения проверку потенциально вредоносной программы осуществляют с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.

Например, из дополнительных источников может быть получена информация о типе файла - троянская программа и источнике файла - антивирус, установленный на конечном устройстве пользователя. В этом случае проверка потенциально вредоносной программы будет осуществляться, например, алгоритмом, оптимизированным для выявления троянских программ. Дополнительно могут учитываться, например, параметры аппаратного и программного обеспечения пользовательского устройства.

Способ 200 далее переходит к выполнению этапа 204.

Этап 204 - проверка потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе

На этапе 204 процессор компьютерного устройства 1021 производит проверку потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе.

Проверка потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, может включать по меньшей мере одно из следующего:

определение вредоносности потенциально вредоносной программы;

определение данных об атрибуции потенциально вредоносной программы.

Определение вредоносности может происходить любым из способов, известных из уровня техники. В одном из неограничивающих вариантов реализации вредоносная программа запускается в виртуальной машине 1121. Виртуальная машина 1121 может быть специальным образом адаптирована для выявления вредоносной программы, в частности, на виртуальной машине могут быть установлены пользовательские приложения и запущены службы. Параметры виртуальной машины 1121, используемой для проверки вредоносной программы могут определяться на основе по меньшей мере одного из: входные данные, относящиеся к потенциально вредоносной программе; параметры модели анализа вредоносных программ. Указанные параметры виртуальной машины 1121 могут быть сохранены в пуле 109 транзакций. Таким образом, параметры виртуальной машины 1121, используемой для проверки вредоносной программы компьютерным устройством 1021 могут быть использованы для проверки вредоносного файла другими компьютерными устройствами пиринговой сети 150.

Определение данных об атрибуции потенциально вредоносной программы может осуществляться на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:

полученные входные данные,

распределенный реестр вредоносных программ,

база данных вредоносных ресурсов.

Например, вредоносная программа может являться модификацией ранее известной программы, причем указанная известная программа была ранее определена как вредоносная и может храниться в базе данных 106.

Определение данных об атрибуции потенциально вредоносной программы может производиться с применением модуля 110 машинного обучения, использующего модель вредоносной программы. Например, модель может описывать характерные особенности вредоносных программ, разрабатываемых известной хакерской группировкой. При построении модели могут быть использованы, например, данные киберразведки.

В одном из неограничивающих вариантов реализации настоящего изобретения проверка потенциально вредоносной программы выполняется процессором компьютерного устройства 1021 с применением алгоритма машинного обучения для анализа вредоносных программ. При этом используется модуль машинного обучения 110. В частности, в некоторых неограничивающих вариантах осуществления настоящего технического решения модуль машинного обучения может выполнять определение вредоносности потенциально вредоносной программы, производить оценку результатов проверки других узлов пиринговой сети, имеющих доступ к распределенному реестру. Модель анализа вредоносных программ предварительно обучают на выборке данных, относящихся к вредоносным программам.

Дополнительно модель анализа вредоносных программ может быть переобучена на обновленной выборке, учитывающей результаты, подтвержденные компьютерными устройствами 1021 … 102N.

Входными данными модели являются по меньшей мере полученные компьютерным устройством 1021 пиринговой сети входные данные, относящиеся к потенциально вредоносной программе. Возможен вариант осуществления способа 200, в котором проверка потенциально вредоносной программы выполняется автоматизированным способом. Например, проверка может выполняться с помощью модуля 110 машинного обучения. По меньшей мере часть параметров автоматического алгоритма может быть задана вручную. Например, вручную может быть задано пороговое значение веса результата проверки потенциально вредоносной программы, достаточное для записи указанного результата в распределенный реестр 108.

Возможен вариант осуществления способа 200, в котором проверка потенциально вредоносной программы дополнительно выполняется ручным способом. Условия выполнения ручной проверки могут быть различными или отсутствовать. Например, условием ручной проверки может быть удовлетворение значения веса общего результата проверки заданному диапазону весов. Указанный общий результат проверки представляет собой результат, определенный на основе результатов проверки, полученных от по меньшей мере части компьютерных устройств 1021 … 102N, выполнявших проверку. Результаты проверки по меньшей мере части компьютерных устройств 1021 … 102N пиринговой сети могут храниться, например, в пуле 109 транзакций. В другом неограничивающем примере реализации способа 200 ручная проверка может осуществляться вне зависимости от результатов автоматической проверки.

Способ 200 далее переходит к выполнению этапа 206.

Этап 206 - внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы

На этапе 206 результаты и параметры проверки вредоносной программы, осуществленной процессором компьютерного устройства 1021, записываются в пул транзакций 109, доступный каждому из компьютерных устройств 1021 … 102N. Примером параметров проверки могут быть, например, параметры виртуальной машины 1121. Таким образом, каждое компьютерное устройство из множества устройств 1022 … 102N может осуществить проверку вредоносности потенциально вредоносного файла, применяя одинаковые параметры проверки - параметры, используемые компьютерным устройством 1021.

В одном из неограничивающих вариантов реализации способа 200 на этапе 206 в пул транзакций 109 также вносят дополнительные данные, относящиеся к потенциально вредоносной программе, полученные из по меньшей мере одного дополнительного источника, доступного компьютерному устройству 1021. В некоторых неограничивающих примерах данного варианта реализации дополнительными источниками данных, относящихся к потенциально вредоносной программе могут быть база данных 106, внешняя база данных вредоносных программ.

Способ 200 далее переходит к выполнению этапа 208.

Этап 208 - получение от по меньшей мере части компьютерных устройств, входящих в пиринговую сеть, результатов распределенной проверки потенциально вредоносной программы

На этапе 208 компьютерное устройство 1021 получает от по меньшей мере части компьютерных устройств 1022 … 102N результаты распределенной проверки потенциально вредоносной программы. Указанные результаты могут передаваться посредством каналов передачи данных, доступных каждому из компьютерных устройств 1021 … 102N, позволяющих передавать указанные результаты в хешированном виде.

Результаты распределенной проверки потенциально вредоносной программы могут быть сохранены каждым из компьютерных устройств, входящих в пиринговую сеть 150 в виде блоков в пуле 109 транзакций в соответствии с технологией блокчейн.

Способ 200 далее переходит к выполнению этапа 210.

Этап 210 - определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества узлов пиринговой сети

На этапе 212 процессор компьютерного устройства 1021 производит определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от по меньшей мере части компьютерных устройств 1022... 102N.

Параметр вредоносности представляет собой функцию, которая зависит от количества N компьютерных устройств 1021 … 102N пиринговой сети 150, репутации каждого из указанных устройств и результатов определения вредоносности потенциально вредоносной программы, полученных каждым из компьютерных устройств [1021 … 102N]. Например, параметр вредоносности может быть найден так:

В одном из неограничивающих вариантов осуществления способа 200 определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от по меньшей мере части компьютерных устройств, входящих в пиринговую сеть, осуществляют на основе по меньшей мере одного из следующих параметров:

количество компьютерных устройств из множества компьютерных устройств 1021 … 102N, загрузивших данные об указанной потенциально вредоносной программе;

репутация компьютерных устройств из множества компьютерных устройств 1021 … 102N, загрузивших данные об указанной потенциально вредоносной программе;

количество компьютерных устройств из множества компьютерных устройств 1021 … 102N, подтвердивших результат проверки указанной потенциально вредоносной программы;

репутация компьютерных устройств из множества компьютерных устройств 1021 … 102N, подтвердивших результат проверки указанной потенциально вредоносной программы.

Способ 200 далее переходит к выполнению этапа 212.

Этап 212 - идентификация вредоносной программы в ответ на то, что параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение

На этапе 212 процессор компьютерного устройства 1021 производит идентификацию вредоносной программы в ответ на то, что параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение.

Например, может быть задано пороговое значение параметра вредоносности, равное 7. В ответ на то, что рассчитанный параметр вредоносности равен 8 соответствующая потенциально вредоносная программа будет отмечена как вредоносная.

Способ 200 далее переходит к выполнению этапа 214.

Этап 214 - сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ

На этапе 214 процессор компьютерного устройства 1021 сохраняет вредоносную программу в распределенный реестр 108 вредоносных программ. Способ сохранения информации и структура сохраненной информации, относящейся к вредоносной программе могут регламентироваться, например, в соответствии с технологией блокчейн. Доступ к сохраненной информации о вредоносной программе компьютерных устройств 1021 … 102N производится посредством пиринговой сети 150. Каждое из компьютерных устройств 1021 … 102N имеет хранит актуальную копию распределенного реестра 108.

Под идентифицированной вредоносной программой в данном случае может пониматься по меньшей мере одно из: файл вредоносной программы, хеш-сумма файла вредоносной программы, сигнатура вредоносной программы. Под сопутствующими данными, относящимися к вредоносной программе, полученными в ходе выполнения способа 200, может пониматься любая информация, имеющая отношение к вредоносной программе и подтвержденная компьютерными устройствами пиринговой сети 150, например,, указание на файл вредоносной программы, сигнатуру вредоносной программы, файлы, связанные с вредоносной программой, подобные вредоносные программы, метаданные вредоносного файла, результаты проверки каждого из компьютерных устройств пиринговой сети 150, репутация указанных компьютерных устройств и другое.

После этапа 214 способ может завершаться.

В одном из неограничивающих вариантов осуществления способа 200 после сохранения идентифицированной вредоносной программы в распределенный реестр 108 вредоносных программ процессор компьютерного устройства 1021 производит начисление токенов компьютерным устройствам распределенной пиринговой сети 150, на которых были получены результаты проверки, соответствующие параметру вредоносности, определенному на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети 150.

В одном из неограничивающих вариантов осуществления способа 200 после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа в распределенный реестр 108 вредоносных программ процессор компьютерного устройства 1021 дополнительно производит сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству, например в базу данных 106.

В одном из неограничивающих вариантов осуществления способа 200 после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа в распределенный реестр 108 вредоносных программ процессор компьютерного устройства 1021 дополнительно производит сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в обучающее множество алгоритма машинного обучения, используемого модулем 110 машинного обучения.

ПРИМЕР

Ниже приводится неограничивающий пример одной из реализаций настоящего технического решения.

В указанном неограничивающем примере децентрализованная проверка вредоносной программы осуществляется на узле 1021 пиринговой сети.

Например, могут быть получены следующие входные данные: вредоносный файл с метаданными (имя, размер, расширение, дата создания, дата изменения и т.д.), URL веб-ресурса, на котором был обнаружен файл, данные пользовательского устройства (аппаратное и программное обеспечение, логи и т.д.), на котором файл был запущен, YARA-сигнатура вредоносной программы. Например, была получена следующая YARA-сигнатура [https://xakep.ru/2011/10/31/57409/#toc03.]:

Проверка автоматизированным способом включает запуск вредоносного файла в виртуальной среде и применение к нему предварительно обученного алгоритма машинного обучения.

После проверки в пул транзакций распределенного реестра записываются следующие данные:

1) Хеш-сумма файла

2) Результат проверки на вредоносность потенциально вредоносной программы узлом 1021 пиринговой сети

3) Вредоносные индикаторы, включающие настройки виртуальной машины 1121

После того, как получены результаты проверки вредоносной программы другими узлами пиринговой сети, осуществляется определение параметра вредоносности. Параметр вредоносности представляет собой функцию, которая зависит от количества N узлов [1021 … 102N] пиринговой сети, рейтинга каждого из узлов и результатов определения вредоносности потенциально вредоносной программы, полученных каждым из узлов.

На основании значения параметра вредоносности происходит определение вредоносности потенциально вредоносной программы, идентификация вредоносной программы.

После идентификации вредоносной программы в распределенный реестр вносятся следующие данные:

1) Указание на вредоносный файл

2) Хеш-сумма вредоносного файла

3) Результаты предсказаний каждого узла пиринговой сети с параметрами (например, веса и архитектура при обучении нейронной сети)

4) Результаты ручной проверки

5) Общий результат, полученный на основании результатов распределенной проверки в целом, на основе скоринга

6) Репутация, количество узлов пиринговой сети, проводивших проверку и тип проверки (автоматизированная или ручная)

7) Уникальные признаки вредоносной программы: описание поведения вредоносной программы в зараженной системе; изменения в системном реестре, вносимые вредоносной программой; генерируемые вредоносной программой файлы.

Далее указанные данные вносятся во внешнюю базу данных, используемую для обнаружения вредоносных программ, например, базу данных антивирусной компании

Модификации и улучшения вышеописанных вариантов осуществления настоящего технического решения будут ясны специалистам в данной области техники. Предшествующее описание представлено только в качестве примера и не несет никаких ограничений. Таким образом, объем настоящего технического решения ограничен только объемом прилагаемой формулы изобретения.

1. Способ децентрализованной проверки вредоносных программ, выполняемый на компьютерном устройстве, имеющем доступ к распределенному реестру вредоносных программ и пулу транзакций, реализованным на основе пиринговой сети, при этом указанный способ включает:

получение входных данных, относящихся к потенциально вредоносной программе;

проверку потенциально вредоносной программы на вредоносность на основе полученных входных данных;

внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы на вредоносность;

получение от множества компьютерных устройств пиринговой сети, каждое из которых имеет свою репутацию, результатов распределенной проверки указанной потенциально вредоносной программы на вредоносность;

определение параметра вредоносности на основании полученных результатов распределенной проверки потенциально вредоносной программы на вредоносность по меньшей мере в зависимости от репутации компьютерных устройств из указанного множества компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;

идентификацию вредоносной программы в ответ на то, что определенный параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение;

сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к этой вредоносной программе, в распределенный реестр вредоносных программ.

2. Способ по п. 1, в котором получение входных данных осуществляют от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в данную пиринговую сеть, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя.

3. Способ по п. 1, в котором входные данные включают по меньшей мере одно указание на файл потенциально вредоносной программы.

4. Способ по п. 1, в котором входные данные дополнительно включают в себя по меньшей мере одно из следующего: сигнатуру вредоносной программы, данные об атрибуции вредоносной программы.

5. Способ по п. 1, в котором входные данные получают по меньшей мере частично в хешированном виде.

6. Способ по п. 1, в котором выполняют хеширование по меньшей мере части входных данных, в ответ на то, что указанная по меньшей мере часть входных данных получена в нехешированном виде.

7. Способ по п. 1, в котором после получения входных данных осуществляют извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.

8. Способ по п. 7, в котором проверку потенциально вредоносной программы осуществляют с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.

9. Способ по п. 1, в котором проверку потенциально вредоносной программы выполняют с применением алгоритма машинного обучения.

10. Способ по п. 9, в котором дополнительно производится обновление обучающей выборки алгоритма машинного обучения в соответствии с подтвержденными результатами.

11. Способ по п. 1, в котором проверка потенциально вредоносной программы выполняется автоматизированным способом.

12. Способ по п. 11, в котором дополнительно производится проверка потенциально вредоносной программы ручным способом.

13. Способ по п. 1, в котором проверка потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, включает по меньшей мере одно из следующего:

определение вредоносности потенциально вредоносной программы;

проверка достоверности сигнатуры потенциально вредоносной программы;

определение данных об атрибуции потенциально вредоносной программы.

14. Способ по п. 13, в котором определение данных об атрибуции потенциально вредоносной программы осуществляют на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:

полученные входные данные,

распределенный реестр вредоносных программ,

база данных вредоносных ресурсов.

15. Способ по п. 13, в котором определение данных об атрибуции потенциально вредоносной программы производится с применением алгоритма машинного обучения.

16. Способ по п. 1, в котором на этапе внесения в пул транзакций параметров и результатов по меньшей мере одного результата проверки потенциально вредоносной программы, в пул транзакций также вносят дополнительные данные, относящиеся к потенциально вредоносной программе, полученные из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.

17. Способ по п. 1, в котором определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети, осуществляют на основе по меньшей мере одного из следующих параметров:

количество компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;

репутация компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;

количество компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;

репутация компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы.

18. Способ по п. 1, в котором после внесения результатов проверки потенциально вредоносной программы в распределенный реестр производится начисление токенов компьютерным устройствам распределенной пиринговой сети, на которых были получены результаты проверки, соответствующие параметру вредоносности, определенному на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети.

19. Способ по п. 1, в котором после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ дополнительно производят сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству.

20. Способ по п. 1, в котором после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ дополнительно производят сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа в обучающее множество алгоритма машинного обучения.

21. Компьютерное устройство для децентрализованной проверки вредоносных программ, имеющее доступ к распределенному реестру и пулу транзакций, реализованным на основе пиринговой сети, и включающее в себя интерфейс связи и по меньшей мере один компьютерный процессор, функционально соединенный с интерфейсом связи и выполненный с возможностью осуществлять:

получение входных данных, относящихся к потенциально вредоносной программе;

проверку потенциально вредоносной программы на вредоносность на основе полученных входных данных;

внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы на вредоносность;

получение от множества компьютерных устройств пиринговой сети, каждое из которых имеет свою репутацию, результатов распределенной проверки потенциально вредоносной программы на вредоносность;

определение параметра вредоносности на основании полученных результатов распределенной проверки потенциально вредоносной программы на вредоносность по меньшей мере в зависимости от репутации компьютерных устройств из указанного множества компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;

идентификацию вредоносной программы в ответ на то, что определенный параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение;

сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к этой вредоносной программе, в распределенный реестр вредоносных программ.

22. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в данную пиринговую сеть, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя.

23. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных, включающих по меньшей мере одно указание на файл потенциально вредоносной программы.

24. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных, дополнительно включающих в себя по меньшей мере одно из следующего:

сигнатуру вредоносной программы,

данные об атрибуции вредоносной программы.

25. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных по меньшей мере частично в хешированном виде.

26. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять хеширование по меньшей мере части входных данных в ответ на то, что указанная по меньшей мере часть входных данных получена в нехешированном виде.

27. Устройство по п. 21, которому доступен по меньшей мере один дополнительный источник, причем процессор дополнительно выполнен с возможностью осуществлять извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника.

28. Устройство по п. 27, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.

29. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы с применением алгоритма машинного обучения.

30. Устройство по п. 29, в котором процессор дополнительно выполнен с возможностью осуществлять обновление обучающей выборки алгоритма машинного обучения в соответствии с подтвержденными результатами.

31. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы автоматизированным способом.

32. Устройство по п. 31, в котором процессор дополнительно выполнен с возможностью получения результатов проверки потенциально вредоносной программы ручным способом.

33. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, и осуществлять по меньшей мере одно из следующего:

определение вредоносности потенциально вредоносной программы;

проверку достоверности сигнатуры потенциально вредоносной программы;

определение данных об атрибуции потенциально вредоносной программы.

34. Устройство по п. 33, в котором процессор дополнительно выполнен с возможностью осуществлять определение данных об атрибуции потенциально вредоносной программы на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:

полученные входные данные;

распределенный реестр вредоносных программ;

база данных вредоносных ресурсов.

35. Устройство по п. 33, в котором процессор дополнительно выполнен с возможностью осуществлять определение данных об атрибуции потенциально вредоносной программы с применением модели на основе нейронных сетей.

36. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять внесение в пул транзакций дополнительных данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.

37. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети, осуществляют на основе по меньшей мере одного из следующих параметров:

количество компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;

репутация компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;

количество компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;

репутация компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы.

38. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству.

39. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять, сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, в обучающее множество алгоритма машинного обучения.