Применение методов ТРИЗ в антивирусной индустрии

IV конференция "ТРИЗ. Практика применения методических инструментов"

“Применение методов ТРИЗ в антивирусной индустрии”

Авторы: Васильев С.А., Смирнов Т.Э «Лаборатория Касперского»

  1. Введение

Информационные технологии не стоят на месте, их развитие стремительно. Сегодня современный компактный смартфон, обладает производительностью гораздо большей, чем первые компьютеры, которые занимали целые помещения. Также развиваются сетевые технологии и сеть Интернет. Так в течение нескольких минут пользователь с помощью Интернета может найти любую информацию, а затем по мере необходимости скачать её на персональный компьютер или мобильное устройство. Интернет и другие компьютерные технологии значительно упрощают жизнь современному человеку за счет возможности, например, удаленно совершать покупки и осуществлять платежи за услуги, общаться и решать бизнес задачи на больших расстояниях с помощью почты, социальных сетей и других средств коммуникации.

Но есть и обратная сторона. В связи с развитием компьютерных технологий и сети Интернет растет количество и сложность вредоносного программного обеспечения. Злоумышленники с помощью вредоносного программного обеспечения могут преследовать разные цели, от банального хулиганства до серьезных киберпреступлений, таких как воровство финансовых средств с банковских счетов. Поэтому очень важно иметь антивирусное средство, установленное на компьютерном устройстве. Пользователь, рискующий работать в сети Интернет без антивирусного ПО, может “заразить” свое компьютерное устройство всевозможными образцами нежелательного или вредоносного ПО.

Антивирусная индустрия также стремительно развивается. Развитие антивирусных средств имеет много отличительных особенностей по сравнению с развитием других компьютерных систем. Первым отличием является то, что антивирус является услугой, а не продуктом, как многие думают. Это связано с тем, что рост количества и сложности угроз в киберпространстве постоянно увеличивается, и обеспечивать необходимый уровень безопасности можно только с помощью непрерывной поддержки, выпуска новых баз, отслеживания эпидемий. Область применения антивирусных средств постоянно расширяется, т.к. вычислительные и коммуникационные средства проникают всё глубже в жизнь людей – продолжается компьютеризация населения, увеличивается сложность и масштаб корпоративных инфраструктур. Поэтому сравнительно небольшой прогресс в вычислительной технике отражается волной изменений для средств их защиты.

По мере развития антивирусная индустрия сталкивается с множеством проблем, которые, в том числе, могут помочь решить методики ТРИЗ. В рамках представленных ниже материалов речь пойдет об использовании методик ТРИЗ в работе Управления по Интеллектуальной Собственности Лаборатории Касперского. Данные методики позволяют нам посмотреть на методы решения задач, которые приходят к нам на патентование, под разными углами, а также более грамотно составлять патентные заявки с претензиями на большой объем прав.

Примеры применения методов ТРИЗ.

Физические противоречия и правила свертывания на примере запатентованной технологии оперативного исправления антивирусных записей.

Данная технология позволяет после срабатывания антивирусной записи на каком-либо объекте проверять статус данной записи, и если есть изменение статуса для данной записи, то дальнейшие действия над объектом будут осуществляться с учетом нового статуса. Также система подразумевает оперативное изменение статусов записей, которые отвечают за ложные срабатывания.

  1. При рассмотрении темы были выделены следующие противоречия:

Антивирусные записи должны выпускаться быстро, чтобы вовремя отвечать на любые угрозы НО

Антивирусные записи должны выпускаться медленно, тщательно тестироваться чтобы количество ложных срабатываний было минимальным

 

Необходимо проверять сработавшую запись, передавая статистическую информацию о срабатываниях этой записи на каких-то объектах на наши сервера, с целью выявить ложные срабатывания и исправить запись НО

Не нужно проверять сработавшую запись, передавая статистическую запись о срабатываниях этой записи на каких-то объектах на наши сервера, так как статистической информации может быть очень много и это, по сути, приводит к DDOS атаке нас самих

Данные противоречия могут решаться путем установки порогового значения для объема статистических данных, которые могут быть приняты на наши сервера при срабатывании записи на каком-то объекте. Так если одна запись слишком часто стала срабатывать на каком-то объекте у многих пользователей, то это возможно ложное срабатывание, и этот объект нужно проверить. Но этот вариант подразумевает только то, что нагрузка на инфраструктуру компании будет снижена, при этом проблема ложных срабатываний будет существовать.

Данные противоречия может также решаться за счет возможности проверки статусов антивирусных записей, а также за счет исправления этих статусов. Если будет обнаружено, что антивирусная запись отвечает за ложное срабатывание, то ее статус может быть изменен на “неактивная’. Таким образом, мы исключаем ложное оповещение пользователя и не отправляем лишнюю статистическую информацию на сервера компании. При следующем обновлении антивирусной базы пользователь получит полностью исправленную запись, в которой проблема данного ложного срабатывания решена. Именно этот вариант запатентован, он позволяет избежать и проблемы ложных срабатываний, и проблемы нагрузки на инфраструктуру.

Ответные действия на срабатывание антивирусной записи должны выполняться быстро, чтобы вредоносное ПО не успело внести каких-либо изменений в компьютерную систему НО

Ответные действия на срабатывание антивирусной записи должны выполняться медленно, чтобы минимизировать количество ложных оповещений путем проверки сработавшей записи

Противоречие может решаться путем запуска приложения в защищенной среде до проверки статуса сработавшей записи. Противоречие может также решаться за счет возможности заблокировать исполнение объекта, который признан вредоноснымкакой-либо записью, без оповещения пользователя до проверки статуса сработавшей записи. Оба указанных варианта способны решить противоречие. Они использованы в запатентованном изобретении.

Аналитикам необходимо обрабатывать информацию о ложных срабатываниях, находить записи, отвечающие за ложные срабатывания, и менять их статусы. НО

Аналитикам не нужно обрабатывать информацию о ложных срабатываниях, находитьзаписи, отвечающие за лажные срабатывания, и менять их статусы, так как это занимает много времени.

Противоречие может решаться за счет возможности использовать аналитический модуль, который может находить ложные срабатывания антивирусных записей и в случае, если порог количества ложных срабатываний превысит какое-то значение, то модуль способен поменять статус записи. Такой вариант реализации нашел отражение в патентной заявке.

  1. При рассмотрении темы были применены правила свертывания, которые позволили найти новые варианты реализации:

Рис.1. Схема системы для исправления статусов антивирусных записей до применения правил свертки

Изначально в указанной технологии планировалось использовать антивирусный кэш для сохранения информации по исправленным статусам антивирусных записей. Каждый раз, когда какая-то запись из антивирусной базы данных срабатывает на каком-либо объекте, защитный модуль осуществляет проверку наличия в кэше измененного статуса для данной записи. Если измененный статус есть, то дальнейшие действия осуществляются в соответствии с новым статусом. Но у такого подхода есть недостатки. Каждый раз, когда для каких-либо записей на удаленном сервере будет изменен статус какой-то антивирусной записи, он должен быть закачан на множество устройств, на которых установлен наш продукт. Для этих целей могут быть использованы как Pushтак иPull методы передачи данных. По сути это как промежуточное обновление антивирусных баз, которое также будет требовать определенных ресурсов в инфраструктуре компании. Поэтому было предложено применить правило свертки и функции кэша вынести в нашу инфраструктуру.

Рис.2. Схема системы для исправления статусов антивирусных записей после применения правил свертки

После применения правил свертки концепция изобретения изменилась. Теперь в инфраструктуре компании предусмотрена обновляемая база данных, содержащая информацию по измененным статусам. Каждый раз при срабатывании записи из антивирусной базы данных защитный модуль обращается за информацией о новом статусе к этой удаленной базе. Кэш остался в патентной заявке в качестве примера другой реализации заявленного изобретения. Подобная реализация предпочтительна тем, что почти не загружает ПК пользователя, удаленные проверки статусов для пользователя абсолютно прозрачны.

  1. Идеализация системы на примере запатентованной технологии Антивор.

Данная технология предназначена для поиска украденных компьютерных устройств за счет сообщества пользователей продуктов ЛК. После установки продута пользователь регистрирует свой компьютер при этом собираются данные о его системной конфигурации и сохраняется на сервере ЛК. В случае потери или кражи компьютерного устройства пользователь заходит в свою учётную запись на сайте ЛК и отмечает компьютер как утерянный. После этого MAC адрес добавляется в чёрный список. Пользователи продуктов ЛК скачивают чёрный список MAC адресов вместе с обновлениями антивирусных баз. Далее для каждого ПК, на котором установлен продукт ЛК, проверяется MAC адрес на наличие его в чёрном списке. Данная операция производится без уведомления пользователя. В случае обнаружения наличия данного МАС адреса в чёрном списке на сервер ЛК отправляются набор данных, позволяющий обнаружить пропажу. В случае если МАС адрес не фигурирует в чёрном списке, продукт ЛК проводит сканирование локальной сети для определения МАС адресов сетевого окружения. Если в сетевом окружении обнаружен «чёрный» компьютер, определяется его идентифицирующие параметры, которые потом передаются на сервер ЛК.

Многие примеры реализации, которые вытекают при идеализации системы Антивор, нашли реализацию в патентной заявке.

Некоторые параметры системы, которые возможно идеализировать:

  1. Размер

Стремится к нулю, т.е. отсутствует аппаратная и программная часть.

Возможные варианты реализации:

  • В качестве сервиса;
  • Интеграция в другой компонент устройства, например, в ОС;

Стремится к бесконечности,т.е. полностью занимается память и ресурсы.

Возможные варианты реализации:

  • Функции антивора реализованы в процессоре, и ОС и без них устройство не работает;
  • Контроль мобильных устройств выносится в большие сервера;
  • Все сетевые пакеты инкапсулируются дополнительным протоколом идентификации.
  1. Производительность.

Стремится к бесконечности т.е. незатрачивается энергию и вычислительные ресурсы.

Варианты реализации:

  • Представляет собой информацию (запись, файл и т.д.), но не процесс. Может храниться в контроллерах, жёстких дисках, нанесена на внешний корпус;
  • Проверка устройства вынесена за устройство, например в облако или на сетевое оборудование.

Стремиться к нулю, т.е. все программные процессы и аппаратная часть тем или иным образом управляются Антивором.

Возможные реализации:

  • Антивор контролирует подачу энергии и энергопотребление/ производительность компьютера
  • В каждую программу внедрён модуль Антивора.

 

  1. Использование тотального синтеза на примере запатентованной технологии формирования антивирусных баз в соответствии с параметрами персонального компьютера.

Мы составили таблицу, которую можно использовать для поиска новых решений и нестандартных областей применения антивирусных технологий с помощью метода тотального синтеза. При составлении таблицы мы вышли за рамки непосредственно антивируса, но и включили внешние характеристики, такие как: перечень защищаемых платформ, приоритетные показатели качества, задаваемые пользователями и т.д. Составление различных комбинаций параметров позволяет с одной стороны выявить необходимость в модернизации существующих модулей антивируса, а с другой стороны понять неосвоенные поля для изобретательской и патентной деятельности.

В качестве примера проведения исследования и выявления инновационных направлений с помощью указанной таблицы, использована запатентованная технология формирования антивирусных баз.

В настоящее время антивирусные базы содержат большое количество разнообразной информации, объем которой непрерывно увеличивается. Процесс увеличения антивирусных баз объясняется тем, что каждый день появляются новые вредоносные объекты, информация о которых заносится в антивирусные базы данных. Размер обновлений становится слишком большим для их частой загрузки пользователями с серверов антивирусных компаний, что является острой проблемой, которая стоит перед производителями антивирусных систем.

Рассмотрим набор параметров, характеризующих антивирусное средство для которого данная проблема актуальна. В зависимости от версии антивирус будет состоять из набора компонент (Компоненты ->Файловый-антивирус, Веб-Антивирус, ApplicationControl). Предположим, что данная версия предназначена для мобильных устройств (платформа ->Mobile(IOS, Android)). Для данной версии антивируса используются базы, загружаемые с серверов антивирусной лаборатории (база данных АВ ->клиент). А теперь рассмотрим несколько вариантов адаптации описанной версии продукта.

Адаптация ->под пользователя. Составляя портрет конечного пользователя, антивирус может полагаться на информацию о его действиях на компьютере: режим работы за компьютером, часто используемые приложения, активность пользователя в сети Интернет. Связь пользователя и модификацией базы данных может быть выражена следующим образом – обновление баз может производиться в соответствии с привычным для пользователя режимом работы за компьютером. В состав обновлений могут входить лишь сигнатуры тех угроз, которые могут быть опасны для часто используемых программ. Если пользователь не часто пользуется Интернетом или заходит на определенный ограниченный набор веб-ресурсов, обновления также могут быть ограничены описанием угроз для данного набора.

Адаптация ->под местоположение. В зависимости от того, в каком географическом регионе находится устройство, оно может быть подвержено различным угрозам. Это связано с тем, что всё чаще атаки носят целевой характер и, как правило, имеют территориальную особенность. Например, атаке могут быть подвержены пользователи региональных банков или доменов. Таким образом, загружая на устройство очередную антивирусную базу, пользователю в первую очередь необходимо получить актуальные данные для его географического региона.

Адаптация ->под конфигурацию. Защищать систему от угроз, которые в принципе не могут осуществить заражение или кражу данных на данном устройстве из-за особенностипрограммной или аппаратной конфигурации устройства, нецелесообразно. Например, если устройство не поддерживает подключение внешних устройств хранения данных или не содержит офисных программ, нет необходимости включать в обновления информацию о вредоносных программах, распространяющихся через флэш-накопители и эксплуатирующие уязвимости электронных таблиц.

 

 

Обрабатываемый объект

URL (хост)/ IP

Текст (сообщение)

Файл

Процесс

Поток

Устройство

Пользователь

Сетевой пакет

Графика

Классификация объектов

Чёрные

Белые

Подозрительные

Неизвестные

 

 

 

 

 

Тип накладываемой сигнатуры

Хэш (контрольная сумма)

Мета-данные

Код

Поведенческие сигнатуры

Векторная сигнатура

Эвристическая сигнатура (gen)

Линк(встраиваемый модуль)

Сигнатура

 

Режим выполнения задачи

По запросу (пользователя)

По событию с файлом

По событию в системе

По действию программы

Во время простоя

Асинхронная проверка

Синхронная проверка

По расписанию

По приоритету

Уровень проверки

Уровень хранения данных

Уровень исполнения кода

Уровень загрузки системы

Уровень взаимодействия с пользователем

Уровень устройств (контроль ввода-вывода)

Уровень сетевого взаимодействия

Уровень предзагрузки/ предсохранения

 

 

Компоненты антивируса

Файловый

Почтовый

Веб

Application Control

Firewall

Антиспам

Антивор

Data-Protection

SW/BSS/PDM

Платформа

Desktop(Win, Ubunta)

Server(Solaris, Linux)

Mobile(IOS, Android)

DigitalDevices (TV, Photo)

Промышленные объекты

 

 

 

 

Архитектура

Клиент

Сервер

Клиент-Сервер

Облачная архитектура

Распределенная (клиент-клиент)

Распределенная (сервер-сервер)

 

 

 

Реализация

Приложение (исполняемый файл)

Драйвер

Модификация ОС

Загрузочный диск

Устройство (микропроцессор)

SaaS

Виртуальная машина

Библиотека (для сторонних разработок)

Сценарий (скрипт)

Область проверки

Жесткий диск

Сетевой интерфейс (порт)

Память (реальная)

Память (виртуальная)

Внешние устройства (USB)

Удаленное устройство

Системные файлы

Реестр

 

Алгоритм детектирования

Сравнение (чёткая логика)

Многоэтапная проверка

Нечёткая логика

Проставление рейтингов

Сбор статистики

Ловушка (выполнение запрещенных действий)

 

 

 

Превентивные меры

Шифрование

Эмуляция

Сертификация

Детектирование известных ВО

Ограничение системы (доступ только разрешенным объектам)

Передача на удаленную проверку

Запрос статистики

 

 

Реактивные меры

Трассировка действий

Запрос статистики

Отправка запроса пользователю

Усложнение выполнения

 

 

 

 

 

Меры восстановления

Бэкапирование

Лечение (восстановление по правилу)

 

Откат изменений

 

 

 

 

 

 

Контроль

Целостность

 

Права доступа

Доступность ресурсов (работоспособность)

 

 

 

 

 

 

Управление

Локальное

Удаленное

Автономное/

автоматическое

 

 

 

 

 

 

Адаптация

Под пользователя

Под местоположение

Под конфигурацию

Под уровень угроз

Под окружение

 

 

 

 

Оптимизация/ Приоритезация

Вычислительные ресурсы

Скорость реакции на новые угрозы

Уровень детектирования

Траффик (локально, в лаборатории)

Скорость обработки данных

Уровень ложных срабатываний

 

 

 

База данных АВ

Локальная

Удаленная

Комбинированная

Распределенная

 

 

 

 

 

Тестирование

Автоматическое по исключениям

Ручное

Бета-тестирование

 

 

 

 

 

 

Лицензирование

Free

Open

Proprietary

 

 

 

 

 

 

Таб.1. Таблица для применения метода тотального синтеза в области противодействия вредоносному программному обеспечению

Запатентованная технология описывает именно такой набор вариантов реализации, который позволяет сократить объём загружаемых антивирусных баз в несколько десятков раз. Если продолжить анализ возможных модификаций, то можно прийти к другому решению. Предложенный вариант осуществляет оптимизацию общего объёма траффика. Загрузка на мобильное устройство Wi-Fi сети может решить проблему ограничения траффика, однако может усложнить работу пользователя по сети. Можно рассмотреть адаптацию баз данных по уровню угроз (адаптация->под уровень угроз) и проводить операцию загрузки при активном соединении (Режим выполнения задачи-> по приоритету, по событию системы). Таким образом, предлагается рассортировать обновляемые записи (части) по уровню угроз (например, по статистике заражений) и порционно загружать их на устройство во время подключения к точке доступа, не создавая при этом резкой нагрузки на сеть. Если подключение будет оставаться продолжительным, то загрузить можно большую часть антивирусных баз, чтобы повысить уровень безопасности устройства.

Это описывает лишь один из примеров применения использования тотального синтеза в формирование патентного портфеля компании. Многие другие патенты Лаборатории также получены на технологии, которые решают задачи или воплощают идеи, формируемые методом тотального синтеза. Среди них такие технологии, как проверка веб-ресурсов, в которой стандартный метод веб-кроулинга дополняется планированием задач, оповещением пользователя и авторизацией (адаптацией под пользователя); аппаратный антивирус, который предлагает абсолютно новый подход к реализации защитных функций в виде микроконтроллера и т.д.

 

 

Алфавитный указатель: 

Рубрики: 

Subscribe to Comments for "Применение методов ТРИЗ в антивирусной индустрии"