СИСТЕМА И СПОСОБ ПРЕДВАРИТЕЛЬНОЙ ФИЛЬТРАЦИИ ФАЙЛОВ ДЛЯ КОНТРОЛЯ ПРИЛОЖЕНИЙ

Область техники

Изобретение относится к области управления приложениями, а именно к системам и способам предварительной фильтрации файлов для контроля приложений.

Уровень техники

В настоящее время количество всевозможных приложений (программного обеспечения), используемых на вычислительных устройствах, в том числе и персональных электронных вычислительных машинах (компьютерах), лавинообразно увеличивается. Среди многообразия приложений существует множество вредоносных программ, которые способны нанести какой-либо вред компьютеру или пользователю компьютера, например сетевые черви, клавиатурные шпионы, компьютерные вирусы.

Особо остро стоит задача защиты множества вычислительных устройств для администраторов компьютерных сетей, где на каждый компьютер из сети может быть установлено большое количество приложений, некоторые из которых могут быть вредоносными. Для решения такой задачи одним из распространенных подходов является использование систем контроля приложений (англ. application control), где администратор сети имеет доступ к запускаемым на компьютерах сети приложениям путем использования совокупности модуля централизованного управления и множества клиентов на стороне компьютеров корпоративной сети, которые могут выполнять команды, получаемые со стороны модуля централизованного управления. Используя такую систему, администратор сети имеет возможность создавать правила разрешения/запрета на запуск приложений на стороне компьютеров сети, а также контролировать доступ упомянутых приложений к ресурсам компьютеров.

Однако упомянутый выше подход обладает недостатком. Анализ клиентом на стороне компьютера сети каждого используемого в рамках компьютера файла создает нагрузку на вычислительные ресурсы компьютера (например, процессор или жесткий диск). Для решения указанной проблемы необходим подход для выделения из множества файлов на компьютере (среди которых могут быть различные документы, таблицы) тех, которые необходимо будет анализировать с точки зрения запрета на использование, установленного администратором сети (например, приложения).

Так, в публикации US 20050273708 описан подход к выявлению типа файла при помощи сигнатур. Применение таких фильтров дает возможность из некоторого множества файлов выделить интересующий набор, например подмножество исполняемых файлов. Однако в приведенной публикации не описана возможность применения подхода в системах контроля приложений.

В публикации US 7523500 предложено использование фильтрующих критериев, которые позволяли бы при антивирусной проверке не проверять файлы, которые не удовлетворяют заданным правилам, например, если тип файла подразумевает, что файл не может быть заражен. Но в упомянутой публикации также не раскрыты особенности использования такого подхода в системах контроля приложений.

Хотя рассмотренные подходы направлены на решение определенных задач в области оптимизации анализа файлов, они не решают задачу фильтрации файлов при использовании систем контроля приложений или решают недостаточно эффективно. Настоящее изобретение позволяет более эффективно решить задачу контроля приложений.

Раскрытие изобретения

Настоящее изобретение предназначено для предварительной фильтрации файлов для контроля приложений.

Технический результат настоящего изобретения заключается в уменьшении времени, в течение которого производится анализ файлов клиентом в рамках работы контроля приложений, которое достигается путем исключения из анализа файлов, множество характеристик которых удовлетворяет критериям фильтрации файлов.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1 иллюстрирует структурную схему системы предварительной фильтрации файлов для контроля приложений.

Фиг. 2 показывает примерную схему алгоритма работы одного из вариантов реализации системы предварительной фильтрации файлов для контроля приложений.

Фиг. 3 показывает пример компьютерной системы общего назначения.

Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является не чем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

На Фиг. 1 изображена структурная схема системы предварительной фильтрации файлов для контроля приложений. В частности, изображена вычислительная сеть 100 (далее сеть 100), соединяющая, по меньшей мере, один компьютер 102 и, по меньшей мере, модуль централизованного управления 101. В частном случае реализации как компьютер 102, так и модуль централизованного управления 101 представляют собой вычислительную систему общего назначения, изображенную на Фиг. 4. Модуль централизованного управления 101 используется администратором сети 100 для контроля приложений, используемых в рамках сети 100 (т.е. установленных на компьютерах 102, подключенных к сети 100). Совместно с клиентом 140, установленным на компьютере 102, модуль централизованного управления 101 обеспечивает контроль приложений (англ. application control): при помощи модуля централизованного управления 101 в частном случае реализации изобретения администратор сети 100 формирует правила разрешения/запрета на запуск приложений, установленных на компьютере 102. В частном случае реализации правило разрешения на запуск приложений может представлять собой правило, в соответствии с которым на компьютере 102 будет разрешен запуск приложений из определенного списка. В частном случае реализации правило запрета на запуск приложений может представлять собой правило, в соответствии с которым на компьютере 102 будет запрещен запуск приложений из определенного списка. За соблюдение логики правил отвечает клиент 140, установленный на компьютер 102. В частном случае реализации клиент имеет доступ к сформированным спискам для запрета и (или) разрешения на запуск приложений и при запуске приложения на компьютере 102 принимает решение о запрете и (или) разрешении на запуск упомянутого приложения, если оно присутствует в соответствующем списке. В частном случае реализации клиент 140 контролирует открытие файлов (например, пользователем во время использования компьютера 102), хранящихся на запоминающем устройстве 150 компьютера 102. В другом частном случае реализации клиент 140 контролирует другие операции доступа к файлам (например, чтение файла или запись в файл). В частном случае реализации открытие файла может означать запуск приложения, если файл является исполняемым (англ. executable), или запуск необходимого для открытия файла приложения, если файл является, например, документом типа Portable Document Format (pdf) или изображением типа JPEG. Однако логика правил, сформированных администратором сети 100, как правило регулирует открытие файлов определенных типов (например, исполняемых файлов). Таким образом, возникает необходимость отфильтровывать открытие файлов, обладающих одними характеристиками (в частности типом файла), от других файлов. Однако следует отметить, что определение характеристик файла в момент его открытия с целью принятия решения об исключении файла из дальнейшего анализа клиентом 140 повлечет за собой снижение производительности компьютера 102 и, соответственно, замедление работы пользователя с файлами на запоминающем устройстве 150.

Для решения описанной проблемы в рамках настоящего изобретения применяется предварительная фильтрация, позволяющая определять характеристики файлов уже в момент создания файла (или изменения файла, где изменения могут повлиять на характеристики файла) на запоминающем устройстве 150. Такой подход исключает необходимость определения характеристик файла каждый раз при его открытии. Для реализации такого подхода используется средство перехвата 120, изображенное на Фиг. 1. Упомянутое средство 120 используется для перехвата операций записи в файл (в том числе при создании файла и изменении уже существующего файла на запоминающем устройстве 150), которые используются, по меньшей мере, одним приложением (программным обеспечение) 110, установленным на компьютере 102. В качестве приложения 110, использующего операции записи в файл, может выступать Интернет-браузер (англ. Web browser), например Microsoft Internet Explorer, или клиент пиринговой сети, например µtorrent. В частном случае реализации при использовании операционной системы семейства Windows средство перехвата 120 осуществляет перехват вызова функций записи путем установки драйвера-фильтра файловой системы. Для реализации такого подхода используется диспетчер фильтров (англ. Filter Manager), в который загружается драйвер, реализующий логику работы средства перехвата 120. Реализованное таким образом средство 120 анализирует запросы на запись к запоминающему устройству. Для определения характеристик файла во время вызова операций записи, как правило, достаточно проанализировать некоторую часть файла, поэтому в частном случае реализации средство перехвата 120 из всего потока файловых операций записи выделяет операции записи (в том числе и модификации) в начальной области файла (т.е. область, включающая некоторые данные от начала файла). В частном случае реализации область выбирается размером 512 байт. Информация о перехваченных операциях записи в файл, а именно в интересующую часть файла (в том числе и записываемые в начальную область файла данные), передается средством перехвата 120 на вход средства анализа 125. В частном случае реализации средство перехвата 120 дополнительно передает средству 125 идентификатор файла (например, путь файла или его контрольная сумма).

Средство анализа 125 предназначено для определения множества характеристик файла путем анализа части файла, полученной со стороны средства перехвата 120. Для определения множества характеристик файла средство анализа использует набор файловых фильтров, которые хранятся в базе данных фильтров 135. Файловый фильтр в частном случае реализации представляет собой битовую маску, например последовательность бит «01001101 01111010», а также некоторую характеристику, например тип файла (файл является исполняемым или документом PDF). Средство анализа 125 применяет файловый фильтр (а именно маску) к части файла, получаемой со стороны средства 120. В частном случае реализации файловый фильтр также хранит информацию о смещении в анализируемой части файла, начиная с которого следует применять файловый фильтр. В частном случае реализации под применением файлового фильтра понимают вычисление результатов операции AND (логическое «И», «&»), применяемой к части файла (в том числе и начиная с некоторого смещения) и битовой маске. Если результат вышеописанной операции равняется значению битовой маски, считается, что фильтр, маска которого использовалась при вычислении операции AND, сработал на части файла. Таким образом, считается, если некоторый фильтр сработал на части файла, то файл обладает характеристикой, описанной в рамках файлового фильтра. В общем случае использование описанных выше файловых фильтров помогает определить тип файла. Примером определения характеристики файла может быть следующее: если на начальной части файла сработала маска «01001101 01111010» файлового фильтра, то файл обладает характеристикой «исполняемый файл». Где характеристикой «исполняемый файл» обладают исполняемые файлы в операционной системе MS-DOS и операционных системах семейства Windows. Еще одним примером может быть файловый фильтр, который срабатывает на файлах, обладающих характеристикой «PDF-файл» (файл документа типа Portable Document Format), который характеризуется маской «00100101 01010000 01000100 01000110». В качестве файлового фильтра также может использоваться маска «01000101 01111000 01101001 01100110» по смещению 0x6 в совокупности с характеристикой, которую этот файловый фильтр определяет - «JPEG-файл». В частном случае реализации логика фильтра может быть сложнее и содержать последовательность шагов для определения характеристики: если в соответствии с файловым фильтром файл был признан исполняемым (обладает характеристикой «исполняемый файл»), то на часть файла накладывается дополнительная маска «00110010 00101101» по смещению, значение которого хранится в той же части файла по смещению 0x3C. В случае если вышеописанный фильтр срабатывает, то считается, что файл обладает характеристикой «РЕ-файл» (файл является РЕ-файлом в операционных системах семейства Windows). Выявленный набор характеристик файла вместе с его идентификатором передается средством анализа 125 на вход средству контроля 130.

Средство контроля 130 предназначено для принятия решения об исключении файла из проверки, проводимой клиентом 140 в рамках работы контроля приложений, на основании характеристик файла, получаемых со стороны средства анализа 125. В частном случае реализации средство контроля 130 принимает решение исключить из анализа, проводимого клиентом 140 в рамках работы контроля приложений, файл, если множество характеристик файла удовлетворяет, по меньшей мере, одному критерию фильтрации файлов. Критерием фильтрации файлов в общем случае является эвристическое правило, применяемое к множеству характеристик файла. В частном случае реализации примеры критериев фильтрации файлов могут выглядеть следующим образом: исключить из анализа файл, если:

- множество характеристик файла пустое;

- среди множества характеристик файла есть характеристика «JPEG-файл»;

- среди множества характеристик файла есть характеристика «PDF-файл»;

- среди множества характеристик файла есть характеристика «исполняемый файл», но нет характеристики «РЕ-файл»;

- среди множества характеристик файла нет характеристики «исполняемый файл».

В соответствии с вышеописанной схемой средство 130 формирует решение исключать или не исключать файл из анализа, проводимого клиентом 140 в рамках работы контроля приложений, для каждого файла, идентификатор и множество характеристик которого средство 130 получает со стороны средства анализа 125. В частном случае реализации упомянутое решение вместе с идентификатором файла, относительно которого это решение принималось, отправляются на хранение в базу данных решений 128. В частном случае реализации средство контроля 130 обновляет уже хранящуюся в базе данных решений 128 информацию в соответствии с заново сформированным решением.

Прежде чем проводить проверку с целью определения прав доступа к файлу (например, запрет/разрешение на открытие файла) в соответствии с установленными администратором сети правилами, клиент 140 посылает в частном случае реализации запрос базе данных решений 128 с указанием идентификатора рассматриваемого файла. Если в базе данных решений 128 хранится решение об исключении файла с указанным идентификатором из анализа, проводимого клиентом 140 в рамках работы контроля приложений, то клиент 140 не анализирует упомянутый файл. Если же в базе данных решений 128 хранится решение не исключать файл из анализа, или же в базе данных 128 не хранится вообще никакого решения, соответствующего идентификатору рассматриваемого файла, то клиент 140 анализирует файл в рамках вышеупомянутой схемы работы контроля приложений. В другом частном случае реализации клиент 140 посылает вышеописанный запрос не базе данных решений 128, а средству контроля 130, и получает ответ в соответствии с вышеописанной логикой.

На Фиг. 2 изображена примерная схема алгоритма работы одного из вариантов реализации вышеописанной системы предварительной фильтрации файлов для контроля приложений. На этапе 201 средство перехвата 120 осуществляет перехват операций записи в файл, проводимых приложением 110, посредством драйвера-фильтра файловой системы. После чего упомянутое средство 120 выделяет начальную часть файла, которую оно передает вместе с идентификатором файла средству анализа 125. На этапе 203 средство анализа 125 применяет файловые фильтры, хранящиеся в базе данных фильтров 135, к начальной части файла, полученной со стороны средства перехвата 120, с целью определения множества характеристик файла. Полученное множество характеристик файла, а также его идентификатор средство анализа 125 передает средству контроля 130, которое формирует решение об исключении файла из анализа клиентом 140 на основании множества полученных характеристик файла на этапе 204. Сформированное решение относительно файла, а также его идентификатор средство контроля 130 посылает в базу данных решений 128 на хранение. Решение об исключении (или не исключении) из анализа клиентом 140 файла запрашивается клиентом 140 из базы данных решений 128 перед проведением упомянутым клиентом 140 анализа файла в рамках работы контроля приложений на этапе 205. Если в базе данных решений 128 хранится решение об исключении рассматриваемого файла из анализа, проводимого клиентом 140 в рамках работы контроля приложений, то клиент 140 не анализирует упомянутый файл на этапе 207. Если же в базе данных решений 128 хранится решение не исключать файл из анализа, или же в базе данных 128 не хранится вообще никакого решения, соответствующего рассматриваемому файлу, то клиент 140 анализирует файл в рамках вышеупомянутой схемы работы контроля приложений на этапе 206.

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер или компьютеры 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.