[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

RU2606564C1 - Система и способ блокировки выполнения сценариев - Google Patents

Система и способ блокировки выполнения сценариев Download PDF

Info

Publication number
RU2606564C1
RU2606564C1 RU2015141537A RU2015141537A RU2606564C1 RU 2606564 C1 RU2606564 C1 RU 2606564C1 RU 2015141537 A RU2015141537 A RU 2015141537A RU 2015141537 A RU2015141537 A RU 2015141537A RU 2606564 C1 RU2606564 C1 RU 2606564C1
Authority
RU
Russia
Prior art keywords
verdict
hash
script
template
similarity
Prior art date
Application number
RU2015141537A
Other languages
English (en)
Inventor
Василий Александрович Давыдов
Антон Михайлович Иванов
Роман Юрьевич Гаврильченко
Дмитрий Валерьевич Виноградов
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2015141537A priority Critical patent/RU2606564C1/ru
Priority to US15/062,455 priority patent/US9648032B2/en
Priority to EP16163006.6A priority patent/EP3151149B1/en
Priority to JP2016163361A priority patent/JP6568504B2/ja
Priority to CN201610862858.8A priority patent/CN107066883B/zh
Application granted granted Critical
Publication of RU2606564C1 publication Critical patent/RU2606564C1/ru
Priority to JP2018192992A priority patent/JP6670907B2/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Stored Programmes (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

Изобретение относится к области антивирусных технологий. Технический результат настоящего изобретения заключается в обеспечении безопасности компьютерной системы, на которой работает клиент, и в противодействии внедрению вредоносного сценария на компьютерную систему, на которой работает клиент, с сервера посредством блокировки выполнения сценария, запрашиваемого клиентом с сервера, в случае, если запрашиваемый сценарий признается вредоносным в результате проведенной проверки. Система блокировки выполнения сценария, запрашиваемого клиентом с сервера, содержит: а) средство перехвата, предназначенное для: перехвата по меньшей мере одного сценария, запрошенного клиентом с сервера, передачи перехваченного сценария средству формирования промежуточного кода, и блокировки выполнения перехваченного сценария при вынесении решения, о том, что перехваченный сценарий является вредоносным; б) упомянутое средство формирования промежуточного кода, предназначенное для: формирования байт-кода перехваченного сценария, где байт-код представляет собой совокупность кодов операций, состоящую по меньшей мере из одного кода, содержащегося в перехваченном сценарии; и передачи сформированного байт-кода средству вычисления хэш-сумм; в) упомянутое средство вычисления хэш-сумм, предназначенное для вычисления хэш-суммы от сформированного байт-кода; и передачи вычисленной хэш-суммы средству поиска; г) базу данных хэш-сумм, предназначенную для хранения по меньшей мере одной группы, представляющей собой набор данных, включающий в себя: по меньшей мере две хэш-суммы, по меньшей мере одну степень схожести по меньшей мере двух хэш-сумм; д) упомянутое средство поиска, предназначенное для выборки из базы данных хэш-сумм по меньшей мере одной группы, в которой по меньшей мере одна хэш-сумма имеет с хэш-суммой, вычисленной средством вычисления хэш-сумм, степень схожести согласно установленному пороговому значению схожести; и передачи по меньшей мере одной выбранной группы и степени схожести средству анализа; е) базу данных шаблонов вердиктов, предназначенную для: хранения шаблонов вердикта, при этом каждый шаблон вердикта представляет собой набор данных, включающий в себя по меньшей мере одну упомянутую группу из базы данных хэш-сумм; коэффициент доверия шаблона вердикта, представляющий собой численное значение; ж) упомянутое средство анализа, предназначенное для выборки из базы данных шаблонов вердиктов по меньшей мере одного шаблона вердикта, включающего в себя по меньшей мере одну группу, у которой степень схожести с по меньшей мере одной выбранной средством поиска группой соответствует установленному пороговому значению; и передачи коэффициента доверия шаблона вердикта из выбранного шаблона вердикта и степени схожести средству вынесения вердикта; з) упомянутое средство вынесения вердикта, предназначенное для вынесения решения о том, является ли сценарий, перехваченный средством перехвата, вредоносным на основании по меньшей мере одного полученного от средства анализа коэффициента доверия шаблона вердикта и по меньшей мере одной степени схожести хэш-сумм, полученной от средства поиска; и передачи вынесенного решения средству перехвата. 2 н. и 14 з.п. ф-лы, 3 ил.

Description

Область техники
Изобретение относится к антивирусным технологиям, а более конкретно к системам и способам блокировки выполнения сценариев.
Уровень техники
Бурное развитие компьютерной техники и информационных технологий привело к массовому использованию пользователями в повседневной жизни электронной коммерции, электронного документооборота, облачных хранилищ и т.д. Например, в настоящее время значительное количество пользователей хранит свою личную и конфиденциальную информацию на компьютерах, а подавляющее большинство предприятий ведет свою финансовую и коммерческую деятельность с использованием электронных устройств и сервисов.
Массовое распространение описанных компьютерных технологий вызвало, в свою очередь, рост числа случаев их использования для мошенничества. Появилось огромное количество разновидностей вредоносных программ, значительно возросло количество поражений ими компьютерных систем. Одни вредоносные программы крадут с компьютерных систем персональные и конфиденциальные данные пользователей (например, логины и пароли, банковские реквизиты, электронные документы), другие формируют из зараженных компьютерных систем так называемые бот-сети (англ. botnet), третьи навязывают пользователям платные услуги.
Для защиты компьютерных систем от вредоносных программ в настоящий момент используется много разнообразных средств - антивирусные программы, сетевые экраны, системы обнаружения вторжения (англ. Intrusion Detection System, IDS) и т.д., позволяющие как эффективно обнаруживать вредоносные программы, так и устранять их. Причем, если для пользователей более важным является эффективное лечение зараженного вредоносной программой компьютера, то для предприятий - высокая оперативность и эффективность обнаружения попыток заражения компьютерных систем.
Большинство существующих решений, в первую очередь, направлено на обнаружение и устранение уже вредоносных программ, поведение или структура которых уже известны. Поэтому, когда компьютерная система оказывается атакована с использованием новой неизвестной вредоносной программой, существующие решения становятся неэффективными.
Например, в публикации US 20150096023 А1 описана технология обнаружения вредоносных файлов, заключающаяся в вычислении нечетких хэш-сумм на основании данных (таких, как идентификаторы и параметры команд, дампы памяти и т.д.), описывающих поведение исследуемого файла, и использование полученных хэш-сумм для определения, является ли исследуемый файл вредоносным, для чего полученные хэш-суммы сравниваются с хэш-суммами ранее обнаруженных и обработанных вредоносных файлов. К недостаткам данной технологии можно отнести следующие:
• неэффективность исследования обфусцированных (англ. software obfuscation) файлов, поскольку вычисленные хэш-суммы по похожим, но обфусцированным файлам, имеют низкую степень схожести;
• неэффективность исследования файлов с защитой от эмуляции, поскольку вычисленные хэш-суммы от таких файлов имеют низкую степень схожести;
• неэффективность обнаружения зараженных компьютерных систем, поскольку описанная технология рассматривает каждый файл индивидуально и независимо от остальных файлов компьютерной системы, поэтому не позволяет обнаруживать сборные вредоносные программы, которые включают в себя несколько файлов, каждый из которых не несет в себе вредоносного функционала.
В другой публикации US 9118703B2 описана технология обнаружения вредоносных программ, схожих по своим характеристикам с доверенными программами посредством формирования нечетких белых списков. Недостаток данной технологии заключается в неэффективности обнаружения зараженных компьютерных систем, поскольку описанная технология рассматривает каждый файл индивидуально и независимо от остальных файлов компьютерной системы, поэтому не позволяет обнаруживать сборные вредоносные программы, которые включают в себя несколько файлов, каждый из которых не несет в себе вредоносного функционала.
Хотя описанные выше способы работы хорошо справляются с задачами обнаружения и блокировки вредоносных программ, поведение или структура которых уже известны, они зачастую не помогают в случае с новыми вредоносными программами, чье поведение не известно, с обфусцированными вредоносными программами. Кроме того, задачи обнаружения заражения компьютерных систем сборными вредоносными программами, которые включают в себя несколько файлов, каждый из которых не несет в себе вредоносного функционала, также представляют большую сложность для описанных выше способов работы.
Настоящее изобретение позволяет решать задачу обнаружения обфусцированных вредоносных программ (а именно вредоносных сценариев), а также обнаружения зараженных вредоносными программами (а именно вредоносными сценариями) компьютерных систем, и блокировки выполнения обнаруженных вредоносных сценариев.
Раскрытие изобретения
Изобретение предназначено для блокировки выполнения сценариев.
Технический результат настоящего изобретения заключается в обеспечении безопасности компьютерной системы, на которой работает клиент, посредством блокировки выполнения сценария, запрашиваемого клиентом с сервера, в случае, если запрашиваемый сценарий признается вредоносным в результате проведенной проверки.
Другой технический результат настоящего изобретения заключается в противодействии внедрению вредоносного сценария на компьютерную систему, на которой работает клиент, с сервера посредством блокировки выполнения сценария, запрашиваемого клиентом с сервера, в случае, если запрашиваемый сценарий признается вредоносным в результате проведенной проверки.
Данный результат достигается с помощью использования системы блокировки выполнения сценария, запрашиваемого клиентом (компонентом клиент-серверной архитектуры) с сервера, которая содержит средство перехвата, предназначенное для перехвата по меньшей мере одного сценария, запрошенного клиентом с сервера, передачи перехваченного сценария средству формирования промежуточного кода, и блокировки выполнения перехваченного сценария при вынесении решения, о том, что перехваченный сценарий является вредоносным; упомянутое средство формирования промежуточного кода, предназначенное для формирования промежуточного кода (англ. bytecode) перехваченного сценария, где промежуточный код представляет собой совокупность команд сценария (англ. opcode), состоящую по меньшей мере из одной команды, содержащейся в перехваченном сценарии, и передачи сформированного промежуточного кода средству вычисления хэш-сумм; упомянутое средство вычисления хэш-сумм, предназначенное для вычисления хэш-суммы от сформированного промежуточного кода и передачи вычисленной хэш-суммы средству поиска; базу данных хэш-сумм, предназначенную для хранения по меньшей мере одной группы, представляющей собой набор данных, включающий в себя по меньшей мере две хэш-суммы, по меньшей мере одну степень схожести (англ. similarity metric) по меньшей мере двух хэш-сумм; упомянутое средство поиска, предназначенное для выборки из базы данных хэш-сумм по меньшей мере одной группы, в которой по меньшей мере одна хэш-сумма имеет с хэш-суммой, вычисленной средством вычисления хэш-сумм, степень схожести согласно установленному пороговому значению схожести, и передачи по меньшей мере одной выбранной группы и степени схожести средству анализа; базу данных шаблонов вердиктов, предназначенную для хранения шаблонов вердикта, при этом каждый шаблон вердикта представляет собой набор данных, включающий в себя по меньшей мере одну упомянутую группу из базы данных хэш-сумм, коэффициент доверия шаблона вердикта, представляющий собой численное значение; упомянутое средство анализа, предназначенное для выборки из базы данных шаблонов вердиктов по меньшей мере одного шаблона вердикта, включающего в себя по меньшей мере одну группу, у которой степень схожести с по меньшей мере одной выбранной средством поиска группой соответствует установленному пороговому значению, и передачи коэффициента доверия шаблона вердикта из выбранного шаблона вердикта и степени схожести средству вынесения вердикта; упомянутое средство вынесения вердикта, предназначенное для вынесения решения о том, является ли сценарий, перехваченный средством перехвата, вредоносным на основании по меньшей мере одного полученного от средства анализа коэффициента доверия шаблона вердикта и по меньшей мере одной степени схожести хэш-сумм, полученной от средства поиска, и передачи вынесенного решения средству перехвата.
В другом частном случае реализации системы в качестве сервера выступает по меньшей мере веб-сервер, содержащий интернет-страницы; файловый сервер, содержащий сценарии.
Еще в одном частном случае реализации системы хэш-сумма вычисляется по меньшей мере путем вычисления нечетких хэш-сумм (англ. fuzzy hash); нечеткого поиска (англ. fuzzy searching).
В другом частном случае реализации системы степень схожести хэш-сумм вычисляется по меньшей мере путем сравнения нечетких хэш-сумм; вычисления метрик для нечеткого поиска (англ. fuzzy searching metric).
Еще в одном частном случае реализации системы степень схожести групп вычисляется по меньшей мере путем нахождения скалярного произведения многомерных векторов, где в качестве элементов многомерных векторов выступают данные, включенные в группы; вычисления метрик для нечеткого поиска (англ. fuzzy searching metric).
В другом частном случае реализации системы шаблоны вердикта из базы данных шаблонов вердиктов совокупно включают в себя все группы из базы данных хэш-сумм.
Еще в одном частном случае реализации системы коэффициент доверия шаблона вердикта, представляет собой численное значение от 0, означающее, что все сценарии, используемые для получения групп, содержащихся в данном шаблоне вердикта, являются вредоносными, до 1, означающее, что все сценарии, используемые для получения групп, содержащихся в данном шаблоне вердикта, являются доверенными.
В другом частном случае реализации системы вынесение решения о том, является ли сценарий, перехваченный средством перехвата, вредоносным, осуществляется путем сравнения среднего от произведения по меньшей мере одного коэффициента доверия шаблона вердикта, выбранного средством анализа, и по меньшей мере одной степеней схожести хэш-сумм, вычисленной средством вычисления хэш-сумм с установленным пороговым значением.
Данный результат достигается с помощью использования способа блокировки выполнения сценария, запрашиваемого клиентом (компонентом клиент-серверной архитектуры) с сервера, по которому перехватывают по меньшей мере один сценарий, запрошенный клиентом с сервера; формируют промежуточный код перехваченного сценария; вычисляют хэш-сумму от сформированного промежуточного кода; выбирают из базы данных хэш-сумм по меньшей мере одну группу, в которой по меньшей мере одна хэш-сумма имеет с хэш-суммой, вычисленной на предыдущем этапе, степень схожести согласно установленному порогу схожести; выбирают из базы данных шаблонов вердиктов по меньшей мере один шаблон вердикта, включающего по меньшей мере одну группу, у которой степень схожести с по меньшей мере одной выбранной группой соответствует установленному порогу, и выявляют коэффициент доверия шаблона вердикта для выбранного шаблона вердикта из базы данных шаблонов вердиктов; выносят решение о том, является ли перехваченный на предыдущем этапе сценарий вредоносным на основании по меньшей мере одного коэффициента доверия шаблона вердикта, выбранного на предыдущем этапе и по меньшей мере одной степени схожести хэш-сумм, определенной на предыдущем этапе; блокируют выполнение сценария, перехваченного на предыдущем этапе, согласно вынесенному решению о вредоносности перехваченного сценария.
В другом частном случае реализации способа в качестве сервера выступает по меньшей мере веб-сервер, содержащий интернет-страницы; файловый сервер, содержащий сценарии.
Еще в одном случае реализации способа хэш-сумма вычисляется по меньшей мере путем: вычисления нечетких хэш-сумм; нечеткого поиска.
В другом частном случае реализации способа степень схожести хэш-сумм вычисляется по меньшей мере путем: сравнения нечетких хэш-сумм; вычисления метрик для нечеткого поиска.
Еще в одном случае реализации способа степень схожести групп вычисляется по меньшей мере путем: нахождения скалярного произведения многомерных векторов, где в качестве элементов многомерных векторов выступают данные, включенные в группы; вычисления метрик для нечеткого поиска.
В другом частном случае реализации способа шаблоны вердикта из базы данных шаблонов вердиктов совокупно включают в себя все группы из базы данных хэш-сумм.
Еще в одном случае реализации способа коэффициент доверия шаблона вердикта, представляет собой численное значение от 0, означающее, что все сценарии, используемые для получения групп, содержащихся в данном шаблоне вердикта, являются вредоносными, до 1, означающее, что все сценарии, используемые для получения групп, содержащихся в данном шаблоне вердикта, являются доверенными.
В другом частном случае реализации способа вынесение решения о том, является ли сценарий, перехваченный средством перехвата, вредоносным осуществляется путем сравнения среднего от произведения по меньшей мере одного коэффициента доверия шаблона вердикта, выбранного средством анализа, и по меньшей мере одной степеней схожести хэш-сумм, вычисленной средством вычисления хэш-сумм с установленным пороговым значением.
Краткое описание чертежей
Фиг. 1 представляет структурную схему системы блокировки выполнения сценариев.
Фиг. 2 представляет структурную схему способа блокировки выполнения сценариев.
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер.
Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
Введем ряд определений и понятий, которые будут использоваться при описании вариантов осуществления изобретения.
Вредоносный сценарий - сценарий, способный нанести вред компьютеру или данным пользователя компьютера. В качестве нанесенного вреда может выступать неправомерный доступ к ресурсам компьютера, в том числе к данным, хранящимся на компьютере, с целью хищения, а также неправомерное использование ресурсов, в том числе для хранения данных, проведения вычислений и т.п.
Доверенный сценарий - сценарий, который не наносит вреда компьютеру или его пользователю. Доверенным сценарием может считаться сценарий, разработанный доверенным производителем ПО, загруженный из доверенного источника (например, сайт, занесенный в базу данных доверенных сайтов) или сценарий, идентификатор которого (например, MD5 файла сценария) хранится в базе данных доверенных сценариев. Идентификатор производителя, например, цифровой сертификат, может также храниться в базе данных доверенных сценариев.
Фиг. 1 представляет структурную схему системы блокировки выполнения сценария, запрашиваемого клиентом (компонентом клиент-серверной архитектуры) с сервера.
Структурная схема системы блокировки выполнения сценария, запрашиваемого клиентом (компонентом клиент-серверной архитектуры) с сервера состоит из сервера 100, клиента 101, средства перехвата 110, средства формирования промежуточного кода 120, средства вычисления хэш-сумм 130, средства поиска 140, средства анализа 150, средства вынесения вердикта 160, базы данных хэш-сумм 170 и базы данных шаблонов вердиктов 180.
В качестве сервера 100 выступает по меньшей мере
• веб-сервер, содержащий интернет-страницы;
• файловый сервер, содержащий сценарии.
В качестве сценариев могут выступать:
• программы, написанные на скриптовых языках, таких как JavaScript, VBscript и т.д.;
• программы, написанные на языке VBA (англ. Visual Basic for Applications) и размещенные в электронных документах Microsoft Office и т.д.;
• программы, написанные на языке Java;
• программы, написанные на языке ActionScript.
Сценарии могут передаваться от сервера 100 клиенту 101 как:
• в виде интернет-страницы, содержащей JavaScript код, VBScript и т.п., передаваемой по сети от сайта интернет-браузеру клиента;
• в виде файлов (например, документы Microsoft Office, содержащих VBA-код), передаваемых с помощью API-функций от файлового менеджера приложению (например, Microsoft Office), работающему с файлами.
Средство перехвата 110 предназначено для:
• перехвата по меньшей мере одного сценария, запрошенного клиентом 101 с сервера 100,
• передачи перехваченного сценария средству формирования промежуточного кода 120,
• и блокировки выполнения перехваченного сценария при вынесении средством вынесения вердикта 160 решения о том, что перехваченный сценарий является вредоносным.
В одном из вариантов реализации перехват сценариев, передаваемых от сервера 100 клиенту 101, осуществляется с помощью специально разработанного для этой цели драйвера и заключается в перенаправлении канала передачи сценария (например, изменения адреса источника, принимающего данные) с клиента 101 на драйвер. Таким образом сценарий, запрошенный клиентом 101 и передаваемый сервером 100, попадает драйверу, а не клиенту. Например, драйвер, перехватывающий вызов API функции операционной системы recv, отвечающей за получение данных, передаваемых по сети, позволяет получать весь входящий сетевой трафик.
В качестве блокировки выполнения сценария может выступать:
• запрет запуска перехваченного сценария на исполнение за счет перехвата вызова соответствующих API функций;
• замена сценария, предназначенного для выполнения, на заранее подготовленный доверенный сценарий;
• передачи заранее подготовленных данных за место запрашиваемых запускаемым сценарием.
Средство формирования промежуточного кода 120 предназначено для:
• формирования промежуточного кода (англ. bytecode) перехваченного сценария, где промежуточный код представляет собой совокупность команд сценария (англ. opcode), состоящую по меньшей мере из одной команды, содержащейся в перехваченном сценарии;
• и передачи сформированного промежуточного кода средству вычисления хэш-сумм 130.
В одном из вариантов реализации промежуточный код перехваченного сценария формируется следующим способом:
• из сценария выделяется последовательность из всех команд сценария;
• часть команд сценария, не отвечающих за заданный заранее функционал (например, запись данных на диск, работа с объектами файловой системой, запуск приложений и т.д.), удаляется из выделенной последовательности;
• оставшиеся в выделенной последовательности команды сценария объединяются в группы команд, содержащие по меньшей мере по одной команде сценария (например, последовательность команд сценария, отвечающих за запись данных в файл, запуск файла и удаление файла, могут объединяться в одну группу);
• каждой команде сценария или группе команд сценария ставится в соответствие уникальное двухбайтовое значение;
• получившая последовательность двухбайтовых значений представляет собой сформированный промежуточный код.
Средство вычисления хэш-сумм 130 предназначено для
• вычисления хэш-суммы от сформированного промежуточного кода;
• и передачи вычисленной хэш-суммы средству поиска 140.
Хэш-суммы от промежуточного кода вычисляются путем:
• вычисления нечетких хэш-сумм (англ. fuzzy hash), где нечеткая хэш-сумма от данных представляет собой набор хэш-сумм, вычисленных от разных областей данных, по которым вычисляется нечеткая хэш-сумма;
• нечеткого поиска (англ. fuzzy searching), представляющего собой технологию поиска элемента в множестве с использованием структур данных (элементы евклидового пространства, древовидного пространства и т.д.), позволяющую проводить быстрый поиск ближайшего элемента множества к элементу, по которому производится поиск, с малым числом сравнений в любых пространствах.
Средство поиска 140 предназначено для:
• выборки из базы данных хэш-сумм 170 по меньшей мере одной группы, в которой по меньшей мере одна хэш-сумма имеет с хэш-суммой, вычисленной средством вычисления хэш-сумм 130, степень схожести согласную заранее установленному порогу схожести;
• и передачи по меньшей мере одной выбранной группы и определенной степени схожести средству анализа 150;
В качестве степени схожести сравниваемых хэш-сумм выступает численное значение, характеризующее, насколько сравниваемые хэш-суммы схожи друг с другом и определяемое способом сравнения хэш-сумм.
Степень схожести хэш-сумм вычисляется по меньшей мере путем:
• сравнения нечетких хэш-сумм, представляющего собой вычисление численного значения, характеризующего схожесть данных, для которых были рассчитаны хэш-суммы;
• вычисления метрик для нечеткого поиска (англ. fuzzy searching metric), представляющего собой вычисление расстояния между искомым и найденным элементами множества, по которому производится поиск.
Средство анализа 150 предназначено для:
• выборки из базы данных шаблонов вердиктов 180 по меньшей мере одного шаблона вердикта, включающего по меньшей мере одну группу, у которой степень схожести с по меньшей мере одной выбранной средством поиска 140 группой соответствует заранее установленному порогу, где шаблон вердикта представляет собой набор данных, включающий в себя
- по меньшей мере одну группу из базы данных хэш-сумм 170;
- коэффициент доверия шаблона вердикта, представляющий собой численное значение;
• и передачи коэффициента доверия шаблона вердикта из выбранного шаблона вердикта и вычисленной степени схожести средству вынесения вердикта 160.
В одном из вариантов реализации в качестве коэффициента доверия шаблона вердикта может выступать численное значение от 0, означающее, что все сценарии, используемые для получения групп, содержащихся в данном шаблоне вердикта, являются вредоносными, до 1, означающее, что все сценарии, используемые для получения групп, содержащихся в данном шаблоне вердикта, являются доверенными.
Степень схожести групп вычисляется по меньшей мере путем:
• нахождения скалярного произведения многомерных векторов, где в качестве элементов многомерных векторов выступают данные, включенные в группы;
• вычисления метрик для нечеткого поиска (англ. fuzzy searching metric).
Средство вынесения вердикта 160 предназначено для:
• вынесения решения о том, является ли сценарий, перехваченный средством перехвата 110, вредоносным на основании по меньшей мере одного полученного от средства анализа 150 коэффициента доверия шаблона вердикта и по меньшей мере одной степени схожести хэш-сумм, полученной от средства поиска 140;
• и передачи соответствующего решения средству перехвата 110.
В одном из вариантов реализации вынесение решения о том, является ли сценарий, перехваченный средством перехвата 110, вредоносным, осуществляется путем сравнения среднего от произведения по меньшей мере одного коэффициента доверия шаблона вердикта, выбранного средством анализа 150, и по меньшей мере одной степеней схожести хэш-сумм, вычисленной средством вычисления хэш-сумм 130 с установленным пороговым значением;
База данных хэш-сумм 170 предназначена для:
• хранения по меньшей мере одной группы, представляющей собой набор данных, включающий в себя:
- по меньшей мере две заранее вычисленные хэш-суммы от промежуточного кода вредоносных сценариев,
- по меньшей мере одну степень схожести по меньшей мере двух содержащихся в группе хэш-сумм.
База данных шаблонов вердиктов 180 предназначена для:
• хранения по меньшей мере одного шаблона вердикта, представляющего собой набор данных, включающий в себя
- по меньшей мере одну группу из базы данных хэш-сумм 170;
- коэффициент доверия шаблона вердикта, представляющий собой численное значение.
В одном из вариантов реализации шаблоны вердикта из базы данных шаблонов вердиктов 180 совокупно могут включать в себя все группы из базы данных хэш-сумм 170.
Рассмотрим работу системы блокировки выполнения сценариев на примере блокировки вредоносного сценария, содержащегося в электронном документе Microsoft Word.
Пользователь с помощью клиента 101, в качестве которого выступает текстовой редактор Microsoft Word, делает попытку получить от сервера 100, в качестве которого выступает файловый менеджер, электронный документ c:\mydoc.docx, содержащий вредоносный сценарий, написанный на языке VBA. Средство перехвата 110, в качестве которого выступает драйвер файлового менеджера, перехватывает сценарий открываемого документа и передает его средству формирования промежуточного кода 120. Перехват сценария осуществляется драйвером путем перехвата драйвером вызовов API функций операционной системы CreateFile, ReadFile и т.д., отвечающих за получение данных от файлового менеджера.
Средство промежуточного кода 120 формирует промежуточный код перехваченного сценария. Для этого
• из перехваченного сценария выделяется последовательность из всех команд сценария;
• часть команд сценария, не отвечающих за функционал, отвечающий за запись данных на диск, работа с объектами файловой системой, запуск приложений и т.д. удаляется из выделенной последовательности;
• оставшиеся в выделенной последовательности команды сценария объединяются в группы команд (например, последовательность команд сценария, отвечающих за запись данных в файл, запуск файла и удаление файла, объединяются в одну группу);
• каждой команде сценария или группе команд сценария ставится в соответствие уникальное двухбайтовое значение;
• получившая последовательность двухбайтовых значений представляет собой сформированный промежуточный код.
Средство вычисления хэш-сумм 130 вычисляет от полученного промежуточного кода нечеткую хэш-сумму (например, с помощью open-source алгоритма fuzzyHash), представляющую собой набор данных, содержащий размер блоков, на которые разбивается промежуточный код, и хэш-сумм от этих блоков. После чего передает вычисленную хэш-сумму средству поиска 140.
Средство поиска 140 осуществляет выборку из базы данных хэш-сумм 170 групп хэш-сумм, где группа представляет собой набор данных, включающих в себя:
• заранее вычисленные хэш-суммы от промежуточного кода вредоносных сценариев;
• степени схожести между хэш-суммами, содержащимися в группе.
В процессе выборки из базы данных хэш-сумм 170 для хэш-сумм из каждой группы, содержащейся в базе данных хэш-сумм 170, выполняется нечеткое сравнение (англ. fuzzy searching) с хэш-суммой, полученной от средства вычисления хэш-сумм 130. Результатом нечеткого сравнения двух хэш-сумм является число в диапазоне от 0 до 1, выражающее собой, насколько сравниваемые хэш-суммы схожи между собой, и называемое степенью схожести двух хэш-сумм (например, схожесть нечетких хэш-сумм, вычисленных от промежуточных кодов сценариев, содержащих 10% отличных друг от друга команд сценария, будет равно 0,9). В случае, когда хотя бы одна хэш-сумма из сравниваемой группы имеет степень схожести с полученной от средства вычисления хэш-сумм 130 выше установленного порога (например, 0,85), считается, что группа найдена, а хэш-сумма, полученная от средства вычисления хэш-сумм 130, принадлежит сравниваемой группе. После чего выбранные группы и определенные степени схожести передаются средству анализа 150. При этом так же обновляются и группы в базе данных хэш-сумм 170 - в выбранные группы добавляется хэш-сумма, полученная от средства вычисления хэш-сумм 130. Это позволяет увеличить точность поиска групп для следующих перехваченных сценариев, поскольку обновленные группы содержат больше хэш-сумм вредоносных скриптов. Для перехваченного сценария из файла c:\mydoc.docx были выбраны группы, содержащие хэш-суммы от сценариев, содержащих функционал:
• для группы #1 - запись на диск и выставление атрибутов файла (схожесть 0,98);
• для группы #2 - блокировка диспетчера задач, сокрытие панели задач (схожесть 0,95);
• для группы #3 - удаление файлов (схожесть 0,90);
• для группы #4 - создание окна Windows с использованием средства VBA (схожесть 0,87).
Выбранные группы передаются средству анализа 150.
Средство анализа 150 осуществляет выборку из базы шаблонов вердиктов 180 шаблоны вердикта, включающие в себя полученные от средства поиска 140 группы. В процессе выборки определяется, какие группы содержатся в каждом шаблоне вердикта из базы данных шаблонов вердиктов 180, насколько они схожи с группами, полученными от средства поиска 140. В качестве способа сравнения можно использовать алгоритм нечеткого поиска (англ. fuzzy searching), результатом которого является число в диапазоне от 0 до 1, характеризующее, насколько сравниваемые наборы групп схожи между собой и называемое степенью схожести двух наборов групп. Для групп, полученных от средства поиска 140, были выбраны следующие шаблоны вердикта:
• шаблон # 1 "блокер": коэффициент доверия шаблона 0.1, содержит группы #1 (степень схожести 1.0). #2 (степень схожести 1.0), #3 (степень схожести 0.9);
• шаблон #2 "криптор": коэффициент доверия шаблона 0.3, содержит группы #1 (степень схожести 0.7). #3 (степень схожести 1.0), #4 (степень схожести 0.95).
Коэффициенты доверия шаблона выбранных шаблонов вердикта, а также группы, выбранные средством поиска 140, передаются средству вынесения вердикта 160.
Средство вынесения вердикта 160 выбирает из полученных коэффициентов доверия минимальный (0.1 для шаблона вердикта "блокер"), степень схожести хэш-сумм в группах, содержащихся в выбранном шаблоне (0,9) и вычисляет произведение коэффициента доверия и степени схожести (0,09), после чего сравнивает полученное значение с максимально допустимым значением (например, 0,2), выносит вердикт, что перехваченный сценарий является вредоносным и должен быть заблокирован, и передает решение средству перехвата 110 для блокировки перехваченного сценария. После чего средство перехвата заменяет перехваченный сценарий сценарием-заглушкой, не выполняющим никаких действий и нужным лишь для корректной работы документа Microsoft Word, тем самым блокирует перехваченный сценарий и предотвращает выполнение вредоносного сценария на компьютерной системе пользователя.
Фиг. 2 представляет пример структурной схемы способа блокировки выполнения сценариев.
Структурная схема состоит из этапа, на котором перехватывают сценарий 210, этапа, на котором формируют промежуточный код сценария 220, этапа, на котором вычисляют хэш-сумму от промежуточного кода 230, этапа, на котором выбирают группы из базы данных хэш-сумм 240, этапа, на котором выбирают шаблоны вердикта из базы данных шаблонов вердиктов 250, этапа, на котором выносят решение о вредоносности перехваченного сценария 260, и этапа, на котором блокируют сценарий 270.
На этапе 210 с помощью средства перехвата 110 перехватывают по меньшей мере один сценарий, запрошенного клиентом 101 с сервера 100.
На этапе 220 с помощью средства 120 формируют промежуточный код перехваченного сценария.
На этапе 230 с помощью средства 130 вычисляют хэш-сумму от сформированного промежуточного кода.
На этапе 240 с помощью средства 140 выбирают из базы данных хэш-сумм 170 по меньшей мере одну группу, в которой по меньшей мере одна хэш-сумма имеет с хэш-суммой, вычисленной на этапе 130, степень схожести, согласную установленному порогу схожести.
На этапе 250 с помощью средства 150 выбирают из базы данных шаблонов вердиктов 180 по меньшей мере один шаблон вердикта, включающего по меньшей мере одну группу, у которой степень схожести с по меньшей мере одной выбранной средством поиска 140 группой соответствует установленному порогу.
На этапе 260 с помощью средства 160 выносят решения о том, является ли перехваченный на этапе 210 сценарий вредоносным на основании по меньшей мере одного коэффициента доверия шаблона вердикта, выбранного на этапе 250, и по меньшей мере одной степени схожести хэш-сумм, определенной на этапе 240.
На этапе 270 с помощью средства 110 блокируют перехваченный на этапе 210 сценарий согласно вынесенному решению о вредоносности перехваченного сценария.
Рассмотрим работу способа блокировки выполнения сценариев на примере блокировки вредоносного сценария, содержащегося на странице сайта, просматриваемого пользователем с помощью браузера.
Пользователь с помощью клиента 101, в качестве которого выступает браузер Internet Explorer, делает попытку просмотреть страницу, т.е. получить интернет-страницу от сервера 100, в качестве которого выступает сайт http://tasianits.com, содержащую вредоносный сценарий, написанный на языке JavaScript с использованием ActiveX. На этапе 210 средство перехвата 110 перехватывает сценарий открываемого документа и передает его средству формирования промежуточного кода 120.
На этапе 220 средство формирования промежуточного кода 120 формирует промежуточный код перехваченного сценария. Для этого из перехваченного сценария выделяются команды операций, связанные с операциями взаимодействия с компьютерной системой пользователя (такими, как запись на диск и т.д.), каждой выделенной операции ставится в соответствие свой двухбайтовый идентификатор (так называемый байт-код) и из полученных идентификаторов собирается последовательность байт, являющаяся промежуточным кодом. После чего средство формирования промежуточного кода 120 передает сформированный промежуточный код средству вычисления хэш-сумм 130.
На этапе 230 средство вычисления хэш-сумм 130 вычисляет от полученного промежуточному коду нечеткую хэш-сумму (например, с помощью open-source алгоритма fuzzyHash), представляющую собой набор данных, содержащий число, характеризующее размер блоков, на которые разбит промежуточный код для подсчета хэш-суммы, и две хэш-суммы, вычисленные по промежуточному коду. После чего передает вычисленную хэш-сумму средству поиска 140.
На этапе 240 средство поиска 140 выбирает из базы данных хэш-сумм 170 группы хэш-сумм. Для этого для хэш-сумм из каждой группы, содержащейся в базе данных хэш-сумм 170, выполняется нечеткое сравнение с хэш-суммой, полученной от средства вычисления хэш-сумм 130. Результатом нечеткого сравнения двух хэш-сумм является число в диапазоне от 0 до 1, выражающее собой, насколько сравниваемые хэш-суммы схожи между собой, и называемое степенью схожести двух хэш-сумм. В случае, когда хотя бы одна хэш-сумма из сравниваемой группы имеет степень схожести с полученной от средства вычисления хэш-сумм 130 выше установленного порога (например, 0,5), считается, что группа найдена, а хэш-сумма, полученная от средства вычисления хэш-сумм 130, принадлежит сравниваемой группе. После чего выбранные группы и определенные степени схожести передаются средству анализа 150. При этом так же обновляются и группы в базе данных хэш-сумм 170 - к выбранным группам добавляется хэш-сумма, полученная от средства вычисления хэш-сумм 130, - это позволяет увеличить эффективность поиска групп для следующих перехваченных сценариев. Для перехваченного сценария с сайта http://tasianits.com были выбраны группы, содержащие хэш-суммы от сценариев, содержащих функционал:
• для группы #1 - записи на диск и исполнение файла на компьютерной системе пользователя (схожесть 0,7);
• для группы #2 - набор операций, используемых уязвимость ActiveX (схожесть 1,0).
На этапе 250 средство анализа 150 выбирает из базы шаблонов вердиктов 180 шаблоны вердикта, включающие в себя полученные от средства поиска 140 группы. Для этого определяется, какие группы содержатся в каждом шаблоне вердикта из базы данных шаблонов вердиктов 180, насколько они схожи с группами, полученные от средства поиска 150. В качестве способа сравнения может использовать алгоритм нечеткого поиска (англ. fuzzy searching), результат которого представляет собой число в диапазоне от 0 до 1, характеризующее, насколько сравниваемые наборы групп схожи между собой, и называемое степенью схожести двух наборов групп. Для групп, полученных от средства поиска 140, были выбраны следующие шаблоны вердикта:
• шаблон #1 "инжектор": коэффициент доверия шаблона 0.0, содержит группы #1 (степень схожести 1.0). #2 (степень схожести 1.0).
Коэффициенты доверия шаблона выбранных шаблонов вердикта передаются средству вынесения вердикта 160.
На этапе 260 средство вынесения вердикта 160 вычисляет на основании полученного коэффициента доверия шаблона и степени схожести произведение коэффициента доверия шаблона (0.0) и степени схожести (0,85), после чего сравнивает полученное значение с максимально допустимым значением (0,15), выносит вердикт, что перехваченный сценарий является вредоносным и должен быть заблокирован и передает решение средству перехвата 110 для блокировки перехваченного сценария. После чего на этапе 270 средства перехвата блокирует перехваченный сценарий, тем самым предотвращая выполнение вредоносного сценария на компьютерной системе пользователя.
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая, в свою очередь, память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20, в свою очередь, содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который, в свою очередь, подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

Claims (66)

1. Система блокировки выполнения сценария, запрашиваемого клиентом с сервера, которая содержит:
а) средство перехвата, предназначенное для:
перехвата по меньшей мере одного сценария, запрошенного клиентом с сервера,
передачи перехваченного сценария средству формирования промежуточного кода,
и блокировки выполнения перехваченного сценария при вынесении решения о том, что перехваченный сценарий является вредоносным;
б) упомянутое средство формирования промежуточного кода, предназначенное для:
формирования байт-кода перехваченного сценария, где байт-код представляет собой совокупность кодов операций, состоящую по меньшей мере из одного кода, содержащегося в перехваченном сценарии;
и передачи сформированного байт-кода средству вычисления хэш-сумм;
в) упомянутое средство вычисления хэш-сумм, предназначенное для:
вычисления хэш-суммы от сформированного байт-кода,
и передачи вычисленной хэш-суммы средству поиска;
г) базу данных хэш-сумм, предназначенную для:
хранения по меньшей мере одной группы, представляющей собой набор данных, включающий в себя:
по меньшей мере две хэш-суммы,
по меньшей мере одну степень схожести по меньшей мере двух хэш-сумм;
д) упомянутое средство поиска, предназначенное для:
выборки из базы данных хэш-сумм по меньшей мере одной группы, в которой по меньшей мере одна хэш-сумма имеет с хэш-суммой, вычисленной средством вычисления хэш-сумм, степень схожести согласно установленному пороговому значению схожести,
и передачи по меньшей мере одной выбранной группы и степени схожести средству анализа;
е) базу данных шаблонов вердиктов, предназначенную для:
хранения шаблонов вердикта, при этом каждый шаблон вердикта представляет собой набор данных, включающий в себя:
по меньшей мере одну упомянутую группу из базы данных хэш-сумм,
коэффициент доверия шаблона вердикта, представляющий собой численное значение;
ж) упомянутое средство анализа, предназначенное для:
выборки из базы данных шаблонов вердиктов по меньшей мере одного шаблона вердикта, включающего в себя по меньшей мере одну группу, у которой степень схожести с по меньшей мере одной выбранной средством поиска группой соответствует установленному пороговому значению,
и передачи коэффициента доверия шаблона вердикта из выбранного шаблона вердикта и степени схожести средству вынесения вердикта;
з) упомянутое средство вынесения вердикта, предназначенное для:
вынесения решения о том, является ли сценарий, перехваченный средством перехвата, вредоносным на основании по меньшей мере одного полученного от средства анализа коэффициента доверия шаблона вердикта и по меньшей мере одной степени схожести хэш-сумм, полученной от средства поиска,
и передачи вынесенного решения средству перехвата.
2. Система по п. 1, в которой в качестве сервера выступает по меньшей мере:
веб-сервер, содержащий интернет-страницы;
файловый сервер, содержащий сценарии.
3. Система по п. 1, в которой хэш-сумма вычисляется по меньшей мере путем:
вычисления нечетких хэш-сумм;
нечеткого поиска.
4. Система по п. 1, в которой степень схожести хэш-сумм вычисляется по меньшей мере путем:
сравнения нечетких хэш-сумм;
вычисления метрик для нечеткого поиска.
5. Система по п. 1, в которой степень схожести групп вычисляется по меньшей мере путем:
нахождения скалярного произведения многомерных векторов, где в качестве элементов многомерных векторов выступают данные, включенные в группы;
вычисления метрик для нечеткого поиска.
6. Система по п. 1, в которой шаблоны вердикта из базы данных шаблонов вердиктов совокупно включают в себя все группы из базы данных хэш-сумм.
7. Система по п. 1, в которой коэффициент доверия шаблона вердикта представляет собой численное значение от 0, означающее, что все сценарии, используемые для получения групп, содержащихся в данном шаблоне вердикта, являются вредоносными, до 1, означающее, что все сценарии, используемые для получения групп, содержащихся в данном шаблоне вердикта, являются доверенными.
8. Система по п. 1, в которой вынесение решения о том, является ли сценарий, перехваченный средством перехвата, вредоносным, осуществляется путем сравнения среднего от произведения по меньшей мере одного коэффициента доверия шаблона вердикта, выбранного средством анализа, и по меньшей мере одной степеней схожести хэш-сумм, вычисленной средством вычисления хэш-сумм с установленным пороговым значением.
9. Способ блокировки выполнения сценария, запрашиваемого клиентом с сервера, реализованный средствами из системы по п. 1, по которому:
а) перехватывают по меньшей мере один сценарий, запрошенный клиентом с сервера;
б) формируют байт-код перехваченного сценария;
в) вычисляют хэш-сумму от сформированного байт-кода;
г) выбирают из базы данных хэш-сумм по меньшей мере одну группу, в которой по меньшей мере одна хэш-сумма имеет с хэш-суммой, вычисленной на этапе в), степень схожести согласно установленному порогу схожести;
д) выбирают из базы данных шаблонов вердиктов по меньшей мере один шаблон вердикта, включающего по меньшей мере одну группу, у которой степень схожести с по меньшей мере одной выбранной группой соответствует установленному порогу, и выявляют коэффициент доверия шаблона вердикта для выбранного шаблона вердикта из базы данных шаблонов вердиктов;
е) выносят решение о том, является ли перехваченный на этапе а) сценарий вредоносным на основании по меньшей мере одного коэффициента доверия шаблона вердикта, выбранного на этапе д), и по меньшей мере одной степени схожести хэш-сумм, определенной на этапе г);
ж) блокируют выполнение сценария, перехваченного на этапе а), согласно вынесенному решению о вредоносности перехваченного сценария.
10. Способ по п. 9, по которому в качестве сервера выступает по меньшей мере:
веб-сервер, содержащий интернет-страницы;
файловый сервер, содержащая сценарии.
11. Способ по п. 9, по которому хэш-сумма вычисляется по меньшей мере путем:
вычисления нечетких хэш-сумм;
нечеткого поиска.
12. Способ по п. 9, по которому степень схожести хэш-сумм вычисляется по меньшей мере путем:
сравнения нечетких хэш-сумм;
вычисления метрик для нечеткого поиска.
13. Способ по п. 9, по которому степень схожести групп вычисляется по меньшей мере путем:
нахождения скалярного произведения многомерных векторов, где в качестве элементов многомерных векторов выступают данные, включенные в группы;
вычисления метрик для нечеткого поиска.
14. Способ по п. 9, по которому шаблоны вердикта из базы данных шаблонов вердиктов совокупно включают в себя все группы из базы данных хэш-сумм.
15. Способ по п. 9, по которому коэффициент доверия шаблона вердикта представляет собой численное значение от 0, означающее, что все сценарии, используемые для получения групп, содержащихся в данном шаблоне вердикта, являются вредоносными, до 1, означающее, что все сценарии, используемые для получения групп, содержащихся в данном шаблоне вердикта, являются доверенными.
16. Способ по п. 9, по которому вынесение решения о том, является ли сценарий, перехваченный средством перехвата, вредоносным, осуществляется путем сравнения среднего от произведения по меньшей мере одного коэффициента доверия шаблона вердикта, выбранного средством анализа, и по меньшей мере одной степеней схожести хэш-сумм, вычисленной средством вычисления хэш-сумм с установленным пороговым значением.
RU2015141537A 2015-09-30 2015-09-30 Система и способ блокировки выполнения сценариев RU2606564C1 (ru)

Priority Applications (6)

Application Number Priority Date Filing Date Title
RU2015141537A RU2606564C1 (ru) 2015-09-30 2015-09-30 Система и способ блокировки выполнения сценариев
US15/062,455 US9648032B2 (en) 2015-09-30 2016-03-07 System and method for blocking execution of scripts
EP16163006.6A EP3151149B1 (en) 2015-09-30 2016-03-30 System and method for blocking execution of scripts
JP2016163361A JP6568504B2 (ja) 2015-09-30 2016-08-24 スクリプトの実行をブロックするシステム及び方法
CN201610862858.8A CN107066883B (zh) 2015-09-30 2016-09-28 用于阻断脚本执行的系统和方法
JP2018192992A JP6670907B2 (ja) 2015-09-30 2018-10-12 スクリプトの実行をブロックするシステム及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2015141537A RU2606564C1 (ru) 2015-09-30 2015-09-30 Система и способ блокировки выполнения сценариев

Publications (1)

Publication Number Publication Date
RU2606564C1 true RU2606564C1 (ru) 2017-01-10

Family

ID=58409392

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015141537A RU2606564C1 (ru) 2015-09-30 2015-09-30 Система и способ блокировки выполнения сценариев

Country Status (4)

Country Link
US (1) US9648032B2 (ru)
JP (2) JP6568504B2 (ru)
CN (1) CN107066883B (ru)
RU (1) RU2606564C1 (ru)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108401253B (zh) * 2017-02-06 2022-12-27 腾讯科技(深圳)有限公司 一种应用信息识别方法、装置以及系统
US10754948B2 (en) * 2017-04-18 2020-08-25 Cylance Inc. Protecting devices from malicious files based on n-gram processing of sequential data
KR102006242B1 (ko) * 2017-09-29 2019-08-06 주식회사 인사이너리 바이너리 파일에 기초하여 오픈소스 소프트웨어 패키지를 식별하는 방법 및 시스템
RU2708356C1 (ru) * 2018-06-29 2019-12-05 Акционерное общество "Лаборатория Касперского" Система и способ двухэтапной классификации файлов
US10819733B2 (en) * 2018-07-24 2020-10-27 EMC IP Holding Company LLC Identifying vulnerabilities in processing nodes
US11188622B2 (en) * 2018-09-28 2021-11-30 Daniel Chien Systems and methods for computer security
US20210026969A1 (en) * 2019-07-23 2021-01-28 Chameleonx Ltd Detection and prevention of malicious script attacks using behavioral analysis of run-time script execution events
CN110674497B (zh) * 2019-09-27 2021-07-02 厦门安胜网络科技有限公司 一种恶意程序相似度计算的方法和装置
CN112783615B (zh) * 2019-11-08 2024-03-01 北京沃东天骏信息技术有限公司 一种数据处理任务的清理方法和装置
US11677754B2 (en) 2019-12-09 2023-06-13 Daniel Chien Access control systems and methods
CN113158146A (zh) * 2020-01-07 2021-07-23 网联清算有限公司 脚本管理方法、脚本管理平台、计算设备及介质
US11509463B2 (en) 2020-05-31 2022-11-22 Daniel Chien Timestamp-based shared key generation
US11438145B2 (en) 2020-05-31 2022-09-06 Daniel Chien Shared key generation based on dual clocks
US11531675B1 (en) * 2021-07-19 2022-12-20 Oracle International Corporation Techniques for linking data to provide improved searching capabilities
CN114268475A (zh) * 2021-12-13 2022-04-01 北京知道创宇信息技术股份有限公司 恶意脚本拦截方法、系统、服务器及计算机可读存储介质
US20230185915A1 (en) * 2021-12-14 2023-06-15 Palo Alto Networks, Inc. Detecting microsoft windows installer malware using text classification models
CN114430339A (zh) * 2021-12-25 2022-05-03 深圳太极云软技术有限公司 一种网络请求的过滤方法、装置、终端和可读存储介质
EP4246352A1 (en) * 2022-03-17 2023-09-20 AO Kaspersky Lab System and method for detecting a harmful script based on a set of hash codes

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050172338A1 (en) * 2004-01-30 2005-08-04 Sandu Catalin D. System and method for detecting malware in executable scripts according to its functionality
US20100180344A1 (en) * 2009-01-10 2010-07-15 Kaspersky Labs ZAO Systems and Methods For Malware Classification
RU2446459C1 (ru) * 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
US20120266244A1 (en) * 2011-04-13 2012-10-18 Microsoft Corporation Detecting Script-Based Malware using Emulation and Heuristics
US20120290848A1 (en) * 2011-05-12 2012-11-15 Microsoft Corporation Emulating Mixed-Code Programs Using a Virtual Machine Instance

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8037535B2 (en) * 2004-08-13 2011-10-11 Georgetown University System and method for detecting malicious executable code
US7590589B2 (en) * 2004-09-10 2009-09-15 Hoffberg Steven M Game theoretic prioritization scheme for mobile ad hoc networks permitting hierarchal deference
US7801840B2 (en) * 2006-07-28 2010-09-21 Symantec Corporation Threat identification utilizing fuzzy logic analysis
US8312546B2 (en) 2007-04-23 2012-11-13 Mcafee, Inc. Systems, apparatus, and methods for detecting malware
JP2010009269A (ja) * 2008-06-26 2010-01-14 Iwate Univ コンピュータウィルス検出装置、コンピュータウィルス検出方法及びコンピュータウィルス検出プログラム
US9235704B2 (en) * 2008-10-21 2016-01-12 Lookout, Inc. System and method for a scanning API
US20100205297A1 (en) * 2009-02-11 2010-08-12 Gurusamy Sarathy Systems and methods for dynamic detection of anonymizing proxies
US8464345B2 (en) * 2010-04-28 2013-06-11 Symantec Corporation Behavioral signature generation using clustering
US8850219B2 (en) * 2010-05-13 2014-09-30 Salesforce.Com, Inc. Secure communications
RU2444056C1 (ru) * 2010-11-01 2012-02-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ ускорения решения проблем за счет накопления статистической информации
AU2011336466C1 (en) * 2010-12-01 2017-01-19 Cisco Technology, Inc. Detecting malicious software through contextual convictions, generic signatures and machine learning techniques
US8584235B2 (en) * 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods
CN102609649B (zh) * 2012-02-06 2015-09-02 北京百度网讯科技有限公司 一种自动采集恶意软件的方法和装置
US9300682B2 (en) * 2013-08-09 2016-03-29 Lockheed Martin Corporation Composite analysis of executable content across enterprise network
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9148441B1 (en) * 2013-12-23 2015-09-29 Symantec Corporation Systems and methods for adjusting suspiciousness scores in event-correlation graphs
RU2580032C2 (ru) * 2014-08-01 2016-04-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ определения категории доверенности приложения

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050172338A1 (en) * 2004-01-30 2005-08-04 Sandu Catalin D. System and method for detecting malware in executable scripts according to its functionality
US20100180344A1 (en) * 2009-01-10 2010-07-15 Kaspersky Labs ZAO Systems and Methods For Malware Classification
RU2446459C1 (ru) * 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
US20120266244A1 (en) * 2011-04-13 2012-10-18 Microsoft Corporation Detecting Script-Based Malware using Emulation and Heuristics
US20120290848A1 (en) * 2011-05-12 2012-11-15 Microsoft Corporation Emulating Mixed-Code Programs Using a Virtual Machine Instance

Also Published As

Publication number Publication date
JP6568504B2 (ja) 2019-08-28
US20170093893A1 (en) 2017-03-30
JP6670907B2 (ja) 2020-03-25
US9648032B2 (en) 2017-05-09
JP2019023918A (ja) 2019-02-14
CN107066883A (zh) 2017-08-18
CN107066883B (zh) 2020-04-07
JP2017097843A (ja) 2017-06-01

Similar Documents

Publication Publication Date Title
RU2606564C1 (ru) Система и способ блокировки выполнения сценариев
RU2659737C1 (ru) Система и способ управления вычислительными ресурсами для обнаружения вредоносных файлов
US10878090B2 (en) System and method of detecting malicious files using a trained machine learning model
RU2679785C1 (ru) Система и способ классификации объектов
RU2739865C2 (ru) Система и способ обнаружения вредоносного файла
JP6636096B2 (ja) マルウェア検出モデルの機械学習のシステムおよび方法
US9860270B2 (en) System and method for determining web pages modified with malicious code
RU2624552C2 (ru) Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины
US9892261B2 (en) Computer imposed countermeasures driven by malware lineage
RU2614557C2 (ru) Система и способ обнаружения вредоносных файлов на мобильных устройствах
RU2617654C2 (ru) Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя
JP2019079493A (ja) 機械学習を用いる悪意のあるファイルを検出するシステムおよび方法
RU2584506C1 (ru) Система и способ защиты операций с электронными деньгами
US10372907B2 (en) System and method of detecting malicious computer systems
RU2654151C1 (ru) Система и способ обнаружения вредоносных файлов с использованием обученной модели обнаружения вредоносных файлов
CN109684072B (zh) 基于机器学习模型管理用于检测恶意文件的计算资源的系统和方法
JP6438534B2 (ja) 安全なオンラインバンキングトランザクションを実行するためのシステム及び方法
Sharma et al. Ransomware detection, prevention and protection in IoT devices using ML techniques based on dynamic analysis approach
RU2673708C1 (ru) Система и способ машинного обучения модели обнаружения вредоносных файлов
RU2622626C2 (ru) Система и способ обнаружения фишинговых сценариев
JP7320462B2 (ja) アクセス権に基づいてコンピューティングデバイス上でタスクを実行するシステムおよび方法
RU2587424C1 (ru) Способ контроля приложений
RU2702081C2 (ru) Система и способ обнаружения модификации веб-ресурса
RU2587426C2 (ru) Система и способ обнаружения направленных атак на корпоративную инфраструктуру
EP3252645A1 (en) System and method of detecting malicious computer systems