Павликов Сергей Николаевич
Способ обнаружения вредоносных программ и элементов
- Павликов Сергей Николаевич
- Коломеец Валерия Юрьевна
- Пленник Милена Денисовна
- Зимарева Евгения Андреевна
- Колесов Юрий Юрьевич
- Гареева Марина Анатольевна
- Цепелева Алена Сергеевна
ФГБОУ ВО ВГУЭС
2762079
RU
G06F 21/56 (2006.01) G06F 21/56 (2006.01) (52)
16.03.2021
2021
Изобретение относится к идентификации и анализу данных, передаваемых через незащищенную сеть связи, а именно, к идентификации, обнаружению и анализу злонамеренного программного обеспечения, т.е. вредоносных программ и элементов. Предлагаемый способ предусматривает анализ программы или передаваемых сообщений с помощью системы фильтрации, которая осуществляет анализ документов с учетом баз данных, содержащих сведения об известных безопасных элементах, и в случае наличия в передаваемом документе отсутствующих в упомянутых базах данных потенциально вредоносных элементов, которые удовлетворяют критерию или группе критериев подозрительности, осуществляют декомпозицию полученного документа на множество элементов с потенциально вредоносным содержимым, которые функционально связаны структурой входной программы (сообщения), подвергают их анализу с учетом баз данных, содержащих сведения об известных вредоносных и безопасных элементах, после чего безопасные элементы загружают на предусмотренные для них места в структуре входной программы (сообщения), а потенциально вредоносные элементы подвергают очередной декомпозиции на множество более мелких, структурно связанных, декомпозированных элементов, которые, в свою очередь, подвергают анализу с учетом упомянутых баз данных, причем полученные на этом этапе более мелкие декомпозированные безопасные элементы загружают на предназначенные им места в структуре связанного множества более мелких декомпозированных элементов, а потенциально вредоносные более мелкие декомпозированные элементы подвергают следующей декомпозиции на множество еще более мелких, структурно связанных. декомпозированных элементов, повторяя операцию до того момента, когда либо будет определен подэлемент кода вредоносной программы, либо будет выполнено заданное количество этапов декомпозиции, при этом обнаруженный подэлемент кода вредоносной программы включают в состав сообщения, содержащего результат обнаружения вредоносного элемента, причем если подэлемент кода вредоносной программы не найден, то объем декомпозируемых элементов изменяют на первом этапе в К раз, а на следующем этапе указанный объем изменяют в 1/К раз, кроме того, заменяют подэлемент кода вредоносной программы безусловным переходом к следующему декомпозированному элементу в структуре связанного множества более мелких декомпозированных элементов, который вместе с выявленным подэлементом кода вредоносной программы в качестве результата лечения обнаруженной вредоносной программы передают на выход. Технический результат - повышение вероятности обнаружения вредоносных программ и элементов без применения режима динамического детектирования при одновременном упрощении способа, сокращении затрат времени и ресурсов.