Российские патенты: Текст документа

ФЕДЕРАЛЬНЫЙ ИНСТИТУТ ПРОМЫШЛЕННОЙ СОБСТВЕННОСТИ

1. Система защиты для компьютеров, которая не зависит от наличия информации об особых личных признаках злонамеренных программ, в которой упомянутые компьютеры представляют собой по крайней мере один из группы: персональный компьютер, сетевой сервер, сотовый телефон, ручной миникомпьютер, автомобильный компьютер, и/или другие компьютеризированные устройства, состоящая по крайней мере из следующих элементов: система для автоматической сегрегации между программами, независимое аппаратное средство, которое адаптировано для того, чтобы замечать и блокировать какие бы то ни было действия, в которых количество данных, реально отправляемых с компьютера наружу, не совпадает с тем количеством данных, о котором сообщала хотя бы система защиты, установленная на компьютере, и/или программное обеспечение связи данного компьютера, система для автоматического блокирования потенциально высоко опасных действий или запрашивания пользователя на подтверждение разрешения на их выполнение, система для недопущения фальсификации ввода данных пользователя злонамеренными программами.

2. Система по п.1, отличающаяся тем, что дополнительно включает следующие элементы: система мониторинга и блокирования, которая ведет мониторинг по крайней мере одного из устройств хранения информации и устройсв связи, база данных правил безопасности, включающая по крайней мере одно из: набор правил по умолчанию, набор правил, усвоенных до продажи, которые подходят для многих пользователей выбранной операционной системы, и набор усвоенных дополнительных правил, заданных пользователем, интерфейс пользователя, который может взаимодействовать с пользователем с целью осуществления хотя бы одного из следующего: изучение образцов приемлемого поведения, предупреждение пользователя о воспринимаемой опасности, всегда, когда нужно ждать его разрешения, позволение пользователю видеть и модифицировать базу данных разрешений.

3. Система по п.2, отличающаяся тем, что включает хотя бы одно из следующего: интерфейс пользователя, по крайней мере явным образом предупреждающий пользователя в случаях потенциально высоко опасных действий, базу данных правил безопасности, включающую в себя, по крайней мере изученную статистику нормального и приемлемого поведения программ на компьютере этого пользователя, интерфейс пользователя, по крайней мере позволяющий пользователю видеть статистику поведения важных программ и особенно тех программ, которым разрешен доступ к каналам связи, особенно в том, что связано с отправлением или получением данных по линиям связи, базу данных правил безопасности, включающую в себя по крайней мере ведущийся журнал вопросов, которые система защиты задавала пользователю, и его ответов, который хранятся хотя бы некоторое время, базу данных правил безопасности, включает в себя журнал замеченных подозрительных действий, который хранится хотя бы некоторое время.

4. Система по любому из пп.1-3, отличающаяся тем, что выполнена с возможностью выполнения автоматической сегрегации программ в их естественные среды и по крайней мере одно из следующего: постоянный мониторинг чувствительных к безопасности элементов компьютерной системы, включая все действия соответствующих периферийных устройств, и особенно устройств хранения и связи, обнаружение и выборочное блокирование настораживающего поведения, подозрительного поведения или опасного поведения и действия с ними в соответствии с заданными и приобретенными наборами правил безопасности, предупреждение пользователя, и/или запрос на разрешение, и/или автоматическое блокирование настораживающих действий, и особенно любых первых попыток доступа к каналам связи, предоставление пользователю возможности запрашивать автоматическое блокирование и/или предупреждение пользователя о любых попытках внешних программ из сети связаться с компьютером пользователя через каналы связи, блокирование потенциально высоко опасных действий и более подробное предупреждение пользователя о таких действиях, предупреждение пользователя о существенных статистических отклонениях от нормального поведения приложений и операционной системы и особенно касающихся внезапной отправки наружу больших объемов данных, обеспечение пользователя возможностью запросить реализацию дополнительных ограничений на порты связи, которым разрешено быть открытыми, и/или, когда необходимо, ограничений на разрешенный типы протоколов, проведение мониторинга и блокирования, насколько это только возможно, всех попыток приложений получить прямой доступ через порты к уязвимым устройствам, и особенно к носителям хранимой информации и каналам связи, организация виртуальные общедоступных областей данных на носителях хранения информации для временных файлов и/или ключей доступа в регистре и/или других файлов так, чтобы создать программам иллюзию, будто они входят в общедоступную область, но на самом деле, чтобы каждая из них перенаправлялась в отдельную личную область, выдвижение по крайней мере части операционной системы из наиболее привилегированного круга процессора в менее привилегированный круг, и обеспечение возможности нужным функциям работать в менее привилегированном круге.

5. Система по п.2, отличающаяся тем, что система мониторинга и блокирования включает также аппаратное средство, которое осуществляет мониторинг доступа к аппаратным средствам, так что система защиты может обнаруживать события, при которых происходил доступ к уязвимым портам, особенно носителям хранимой информации и каналам связи, без проявления соответствующего события на системном уровне, по данным мониторинга программами указанной системы защиты.

6. Система по любому из пп.1-5, отличающаяся тем, что по умолчанию автоматическая сегрегация реализуется так, что по умолчанию каждой программе разрешают по крайней мере одно из: доступ, чтение, запись, выполнение, создание и удаление файлов, только внутри своей естественной среды, и указанная естественная среда является главным образом тем каталогом, где она установлена, его подкаталогом, и, только для чтения, не стратегические общедоступные файлы, если только этой программе специально не дано больше прав.

7. Система по любому из пп.1-6, отличающаяся тем, что областями высокой степени безопасности являются по крайней мере одно из: шифрованные, помеченные отпечатками пальцев, и автоматические продублированные в по крайней мере в еще одной области для дополнительной безопасности.

8. Система по любому из пп.1-7, отличающаяся тем, что устройства связи включают также по крайней мере одно из: устройства USB, устройства Bluetooth и другие беспроводные устройства, и/или такие, в которых мониторинг доступа к устройствам связи включает также протоколы для отправки факсов.

9. Система по п.1, отличающаяся тем, что выполнена с возможностью запроса особого разрешения пользователя на выполнение по крайней мере одного из следующих действий: доступ к высоко уязвимым данным, таким как подробности кредитной карточки или ключи личных шифров, любая попытка создать исходящее сообщение, любая попытка изменить по крайней мере одно из EMROMM и важные системные файлы или уязвимые данные.

10. Система по любому из пп.1-9, отличающаяся тем, что пользователем является организация и по крайней мере некоторая часть контроля над разрешениями находится у одного централизованного уполномоченного и/или системного администратора.

11. Система по п.10, отличающаяся тем, что выполнена с возможностью выполнения по крайней мере одного из следующего: автоматическая проверка, по крайней мере изредка, того, правильно ли работает система защиты на других компьютерах, обнаружение и блокирование попыток связи с тех компьютеров, на которых количество реально отправляемых данных не совпадает с тем количеством, про которое сообщала система защиты того компьютера.

12. Система по любому из пп.1-11, отличающаяся тем, что устройство связи компьютера или группы компьютеров адаптировано так, чтобы замечать и по крайней мере сообщать соответствующему компьютеру, и/или централизованному уполномоченному и/или системному администратору о тех случаях, когда реальное количество отсылаемой информации не совпадает с тем количеством, про которое сообщает система защиты такого компьютера.

13. Система по любому из пп.1-12, отличающаяся тем, что выполнена с возможностью того, что по умолчанию каждая программа может видеть только себя саму и операционную систему и те ресурсы компьютера, которые ей разрешают видеть, т.е. программа существует в виртуальной среде.

14. Система по любому из пп.1-13, отличающаяся тем, что выполнена с возможностью определения, кто, пользователь или приложение, инициировал доступ к файлу вне естественной среды этой программы и/или другую потенциально опасную команду, и таким образом может позволить больше гибкости и меньше ограничений, если эта команда была инициирована непосредственно пользователем, а не приложением.

15. Система по п.14, отличающаяся тем, что выполнена с возможностью убеждаться, что программы не могут создавать ложное впечатление, что определенные действия были инициированы пользователем, за счет фальсифицирования входных сигналов с одного из устройств ввода.

16. Система по любому из пп.1-15, отличающаяся тем, что выполнена с возможностью убеждаться, что, когда она запрашивает разрешение, никакие другие программы не могут ввести ложные ответы, как будто они были введены пользователем с одного из устройств ввода.

17. Система по любому из пп.1-16, отличающаяся тем, что выполнена с возможностью применения дополнительных правил безопасности в тех случаях, когда личные ключи создаются и хранятся браузерами, для того, чтобы идентифицировать каталоги, где хранятся эти ключи.

18. Система по любому из пп.1-17, отличающаяся тем, что устройство связи каждого компьютера адаптировано так, чтобы замечать и по крайней мере сообщать на компьютер о тех случаях, когда реальное количество отсылаемой информации не совпадает с тем количеством, про которое сообщают программы этого компьютера.

19. Система по любому из пп.1-18, отличающаяся тем, что пользователем является организация, и по крайней мере некоторая часть контроля на выдачу разрешений принадлежит по крайней мере одному централизованному уполномоченному, а система защиты на компьютере централизованного уполномоченного и/или устройство связи каждого компьютера адаптированы так, чтобы замечать и блокировать попытки связи с тех компьютеров, где реальное количество отсылаемой информации не совпадает с тем количеством, про которое сообщают программы этого компьютера и/или операционная система этого компьютера.

20. Система по любому из пп.1-19, отличающаяся тем, что выполнена с возможностью автоматического блокирования любых попытки программ, инициированных программами, выйти из своей естественной среды.

21. Система по любому из пп.1-20, отличающаяся тем, что выполнена с возможностью автоматического блокирования потенциально высокоопасных действий или запрашивания у пользователя особого разрешения, даже если пользователь предположительно разрешил это приложению через диалоговое окно.

22. Система по любому из пп.1-21, отличающаяся тем, что выполнена с возможностью применения шифрования при связи с клавиатурой и/или мышью.

23. Система по п.22, отличающаяся тем, что выполнена с возможностью указания даты и времени утверждения шифрования.

24. Система по любому из пп.1-23, отличающаяся тем, что выполнена с возможностью автоматически блокировать потенциально высокоопасные действия или запрашивать у пользователя особое разрешение, когда указанные потенциально высокоопасные действия представляют собой по крайней мере одно из: форматирование диска, одновременное удаление множества файлов, изменение информации о разбиении твердого диска, изменение информации загрузочной области, установка драйверов на уровнях, близких к ядру операционной системы, доступ в определенные области высокой степени защиты, модифицирование или переименование исполняемых программ, которые располагаются вне естественной среды исполняемых программ-обидчиков, и изменение связи типов файлов с приложениями, которые будут исполняться, если на них кликнуть мышкой.

25. Способ защиты для компьютеров, который не зависит от наличия информации об особых личных признаках злонамеренных программ, в котором упомянутые компьютеры представляют собой по крайней мере одно из: персональный компьютер, сетевой сервер, сотовый телефон, ручной миникомпьютер, автомобильный компьютер, и/или другие компьютеризированные устройства, включающий по крайней мере автоматическую сегрегацию между программами, обнаружение и блокирование с помощью независимого аппаратного средства каких бы то ни было действий, в которых количество данных, реально отправляемых с компьютера наружу, не совпадает с тем количеством данных, о котором сообщала хотя бы система защиты, установленная на компьютере, и/или программное обеспечение связи данного компьютера, автоматическое блокирование потенциально высоко опасных действий или запрос пользователя на подтверждение разрешения на их выполнение, недопущение фальсификации ввода данных пользователя злонамеренными программами.

26. Способ по п.25, отличающийся тем, что дополнительно создают и обслуживают систему мониторинга и блокирования, которая ведет мониторинг по крайней мере устройства хранения информации и/или устройства связи, базу данных правил безопасности, включающей по крайней мере одно из: набор правил по умолчанию, набор правил, усвоенных до продажи, которые подходят для многих пользователей выбранной операционной системы, и набор усвоенных дополнительных правил, заданных пользователем, интерфейс пользователя, который может взаимодействовать с пользователем с целью осуществления хотя бы одного из следующего: изучение образцов приемлемого поведения, предупреждение пользователя о воспринимаемой опасности, всегда, когда нужно ждать его разрешения, позволение пользователю видеть и модифицировать базу данных разрешений.

27. Способ по п.26, отличающийся тем, что обеспечивают по крайней мере одно из следующего: интерфейс пользователя, по крайней мере также, подробно предупреждает пользователя в случаях потенциально высоко опасных действий, в базу данных правил безопасности включают, по крайней мере также, изученную статистику нормального и приемлемого поведения программ на компьютере этого пользователя, интерфейс пользователя, по крайней мере также, позволяет пользователю видеть статистику поведения важных программ и особенно тех программ, которым разрешают доступ к каналам связи, особенно в том, что связано с отправлением или получением данных по линиям связи, в базу данных правил безопасности включают, по крайней мере также, ведущийся журнал вопросов, которые система защиты и блокирования задавала пользователю, и его ответов, который хранят хотя бы некоторое время, в базу данных включают, по крайней мере также, если необходимо, журнал замеченных подозрительных действий, который хранят хотя бы некоторое время.

28. Способ по любому из пп.25-27, отличающийся тем, что включает автоматическую сегрегацию программ в их естественные среды и по крайней мере одно из следующего: осуществление постоянного мониторинга чувствительных к безопасности элементов компьютерной системы, включая все действия соответствующих периферийных устройств, и особенно устройств хранения и связи, обнаружение и выборочное блокирование настораживающего поведения, подозрительного поведения или опасного поведения и действия с ними в соответствии с заданными и приобретенными наборами правил безопасности, предупреждают и/или запрашивают пользователя на разрешение и/или автоматическое блокирование настораживающих действий, и особенно любых первых попыток доступа к каналам связи, предоставляют пользователю возможность запрашивать автоматическое блокирование и/или предупреждение пользователя о любых попытках внешних программ из сети связаться с компьютером пользователя через каналы связи, блокируют потенциально высоко опасных действия и более подробно предупреждают пользователя о таких действиях, предупреждают пользователя о существенных статистических отклонениях от нормального поведения приложений и операционной системы, особенно касающихся внезапной отправки наружу больших объемов данных, обеспечивают пользователя возможностью запросить реализацию дополнительных ограничений на порты связи, которым разрешают быть открытыми, и/или, когда необходимо, ограничений на разрешенный типы протоколов, проводят мониторинг и блокирование, насколько это только возможно, всех попыток приложений получить прямой доступ через порты к уязвимым устройствам, и особенно к носителям хранимой информации и каналам связи, организуют виртуальные общедоступные области данных на носителях хранения информации для временных файлов, и/или ключей доступа в регистре, и/или других файлов так, чтобы создать программам иллюзию, будто они входят в общедоступную область, но на самом деле, чтобы каждая из них перенаправлялась в отдельную личную область, выдвигают по крайней мере часть операционной системы из наиболее привилегированного круга процессора в менее привилегированный круг, и обеспечивают возможность нужным функциям работать в менее привилегированном круге.

29. Способ по любому из пп.25-28, отличающийся тем, что автоматическую сегрегацию программ в их естественную среду реализуют так, что по умолчанию каждой программе разрешают по крайней мере одно из следующего: доступ, чтение, запись, выполнение, создание и удаление файлов только внутри своей естественной среды, и указанная естественная среда является главным образом тем каталогом, где она установлена, его подкаталогом, и, только для чтения, не стратегические общедоступные файлы, если только этой программе специально не дают больше прав.

30. Способ по любому из пп.25-29, отличающийся тем, что устройство связи каждого компьютера адаптируют так, чтобы замечать и по крайней мере сообщать на компьютер о тех случаях, когда реальное количество отсылаемой информации не совпадает с тем количеством, про которое сообщают программы этого компьютера.

31. Способ по любому из пп.25-30, отличающийся тем, что пользователем является организация, а устройство связи каждого компьютера адаптируют так, чтобы замечать и по крайней мере сообщать на компьютер и/или на центральный контроль о тех случаях, когда реальное количество отсылаемой информации не совпадает с тем количеством, про которое сообщают программы этого компьютера.

ДОКУМЕНТ

в начало

в конец

печать

ТЕРМИНЫ

Выбор баз данных

Параметры поиска

Формулировка запроса

Уточненный запрос

Найденные документы

Корзина

Сохраненные запросы

Статистика

Помощь

Предложения

Выход