Система обнаружения и построения прогноза развития эпидемий компьютерных вирусов

Авторы патента:

Полезная модель относится к системам противодействия компьютерным вирусам и предназначено для выявления эпидемий компьютерных вирусов. Технический результат, заключающийся в улучшении обнаружения эпидемий компьютерных вирусов, достигается за счет взаимодействия подсистем систем-агентов, географически разнесенных в глобальной сети Интернет и перенаправляющие на центральный сервер информацию о событиях по передаче информации (загрузки файлов (d), количество запусков программ (s), число проведенных атак (а), попытки использования уязвимостей (е)) с центральным сервером, получающим из глобальной сети Интернет данные от систем-агентов, и сохраняющим эти данные в подсистеме статистики. Центральный сервер в свою очередь содержит: подсистему обнаружения источника компьютерных угроз (тут под угрозами понимается скачивание, запуск вредоносного компьютерного программного обеспечения, попытки использования уязвимостей, компьютерные атаки), подсистему статистики, подсистему моделирования развития эпидемий компьютерных вирусов.

Область техники

Полезная модель относится к системам противодействия компьютерным вирусам, а именно к технологиям обнаружения и предотвращения эпидемий компьютерных вирусов.

Уровень техники

В настоящее время активно развиваются всевозможные средства передачи информации и данных через компьютерные сети, Интернет, в том числе и растут объемы электронной почтовой пересылки. Вместе с тем растут и риски по заражению вирусами компьютеров и компьютерных сетей через такие средства связи, чему следует уделять соответствующее внимание. Вирусные угрозы принимают различные формы, но, по сути, остаются компьютерными вирусами-троянами и другими видами вредоносного кода.

Серьезность ситуации с компьютерными преступлениями в настоящее время нельзя недооценивать. Стремительные вирусные атаки приносят значительные убытки как провайдерам Интернет, так и самим компаниям, на которые направлены эти вирусные атаки. Компьютерных пользователей не устраивает, когда по сети передается служебная или другая информация (посланная нежелательным программным обеспечением) не имеющая прямого отношения к задачам пользователя, решаемым на компьютере. Но, все же, необходимо разрабатывать средства противодействия и обнаружения массивных атак компьютерных вирусов, которые иначе грозят перерасти в вирусную эпидемию.

Самым распространенным и используемым устройством обнаружения и противодействия компьютерным вирусам является устройство сигнатурной проверки. Сигнатурная проверка, выполняемая этим устройством, подразумевает использование характерных признаков атаки или вируса для их обнаружения. Большинство современных антивирусных устройств сканеров уязвимостей и систем обнаружения вторжений используют «синтаксические» сигнатуры, взятые непосредственно из тела атаки (файла вируса или сетевого пакета, принадлежащего вредоносному коду, который используюет уязвимость в другом ПО). Также существуют устройства проверки сигнатуры, основанные на поведении или аномалиях - например, слишком агрессивное обращение к какому-либо сетевому порту на компьютере. Основным ограничением устройств проверки сигнатур, предназначенных для обнаружения вредоносного кода, является то, что выявляется только известный, соответствующий сигнатуре компьютерный код. В то время как новый вредоносный код еще не описанный в сигнатурных базах данных останется не выявленным. Также сигнатурные проверки оказываются бесполезными против компьютерных вирусов, если тело вируса внутри исполняемого файла выровнено иначе. Эта ситуация встречается, если автор вируса использует технику замусоривания, т.е. вставляет бесполезный и бессмысленный код и/или замену операций на иные, но выполняющие аналогичные действия. Вставка абсурдного, бесполезного, не влияющего на основной функционал вируса кода делает безуспешной сигнатурную проверку программы, который может бесконтрольно продолжить распространяться.

Другая система обнаружения вирусов осуществляет проверку целостности системы. Системы проверки целостности снимают пробы с известных программ. Такая проба сохраняется вместе с другой информацией о файле программы (заголовках исполняемого файла, размере файла, дате модификации и временная метка файла). Программные файлы через равные промежутки времени сверяют с базой данных параметров всех программных файлов системы, чтобы убедиться, что программные файлы не были изменены. Также успешно применяются хеши (контрольные суммы), как это раскрыто в патентной заявке WO/2007066333, где каждый раз от файла программы вычисляют хеш и сверяют полученное значение с сохраненным в БД значением контрольной суммы. Такой принцип, реализуемый этой системой, получил также название «белый список», или чистый список программных компонент.

Кроме обнаружения вирусных угроз в компьютере, также имеет значение своевременное предсказание потенциальных вирусных эпидемий, которые могут возникнуть при заражении сотен и тысяч компьютеров в разных компьютерных сетях. В патентной заявке US 20080134335 раскрыта система определения направления развития эпидемий известного вируса. Эта система работает с последствиями уже работающего и распространяющегося вируса, что само по себе не может предотвратить вирусную эпидемию.

В патентных заявках US 20060259967, US 20060236392 описана система обнаружения вредоносного программного обеспечения, которая основается на оценке уровня активности определенных событий. При достижении порога активности предпринимаются соответствующие меры безопасности. Патент US 7418732 раскрывает устройство обработки пакетов компьютерной сети, препятствующий распространению компьютерных вирусов по сети. Заявка US 20090064332 описывает устройство обнаружения источника вредоносных угроз и определения уровня потенциальной опасности. Также заявка US 20060070130 раскрывает устройство обнаружения источника распространения вредоносного программного кода.

Тем не менее, существующие средства и системы не обеспечивают эффективного обнаружения и предотвращения вирусных эпидемий, когда значительное число компьютерных систем и целые компьютерные сети быстро заражаются компьютерным вирусом.

Раскрытие изобретения

Настоящее решение предназначено для выявления эпидемий компьютерных вирусов. Технический результат настоящего решения заключается в улучшении обнаружения эпидемий компьютерных вирусов.

Поставленный результат достигается за счет использования распределенной системы систем-агентов, собирающих информацию обо всех файлах и объектах, появившихся в сети и попавших в поле доступа систем-агентов. Данные о контрольной сумме (хеш) файла, метка времени обнаружения и ссылка на ресурс (с которого данный файл скачивался, когда попал в поле зрения системы-агента), заголовок файла, имя и длина собираются в единый центр обработки - центральный сервер, и сохраняются в базе данных о файлах. При выявлении каждого нового компьютерного вируса, собранная в базе данных о файлах информация просматривается на предмет поиска первоисточника, из которого этот компьютерный вирус мог начать распространяться в сети. Также просматривается история и активность пересылки такого файла в сети, по которой строится гистограмма. Так система узнает об источнике зарождения эпидемии.

Центральный сервер предназначен для получения из глобальной сети Интернет данных от систем-агентов и сохранения этих данных в подсистеме статистики, которая содержит: подсистему статистики, которая предназначена для хранения статистики и связана с подсистемой моделирования развития эпидемии и подсистемой обнаружения компьютерных угроз; подсистему моделирования развития эпидемии, которая предназначена для моделирования дальнейшего развития эпидемии и связана с подсистемой обнаружения источника компьютерных угроз; подсистему обнаружения источника компьютерных угроз, которая предназначена для вычисления источника распространения компьютерных угроз и связана с подсистемой моделирования развития эпидемии.

В частном варианте осуществления полезной модели центральный сервер дополнительно содержит модуль выработки средств защиты от новых компьютерных угроз, который связан с подсистемой обнаружения источника компьютерных угроз, осуществляющий разработку средства защиты от новой компьютерной угрозы, хранение данных о новой компьютерной угрозе и средства защиты против нее.

В частном варианте осуществления полезной модели подсистема статистики содержит информацию обо всех событиях (загрузка файлов (d), количество запусков (s), число проведенных атак (а), попытки использования уязвимостей (е)), выявленных на системах-агентах.

В частном варианте осуществления полезной модели подсистема обнаружения источника компьютерных угроз предназначена для выборки из подсистемы статистики и поиска даты и времени самого раннего события, связанного с новой компьютерной угрозой, которое в тот момент еще не имело статуса компьютерной угрозы, при этом подсистема статистики предназначена после получения данных о самом первом зарегистрированном событии определять адрес сетевого узла глобальной сети Интернет, с которого началось распространение известной в данный момент новой компьютерной угрозы.

В частном варианте осуществления полезной модели подсистема моделирования развития эпидемии предназначена для выборки всех событий, связанных с новой компьютерной угрозой, расчета активности ее распространения, учет статистических данных об информационном обмене по сети Интернет между географически разнесенными местами, т.е. отображающие вероятность распространения эпидемии вредоносной программы в другие страны.

В частном варианте осуществления полезной модели информация о событиях по передаче информации представляет данные о числе загрузок файлов, количество запусков программ, число проведенных атак, попытки использования уязвимостей.

В частном варианте осуществления полезной модели подсистема моделирования развития эпидемии предназначена для отслеживания всплесков активности компьютерных угроз, при этом всплеск считается непродолжительным и момент i+а принимается за прекращение всплеска, если в этой точке функцией активности на интервале (i;i+а] был впервые достигнут условный ноль: A(d,s,a)L_zero, L_zero<L_burst , где i - начало всплеска, а интервал [i;i+a] - его продолжительность; если всплеск активности компьютерной эпидемии не прекращается и активность продолжает расти, активируется система обнаружения источника компьютерных угроз.

В частном варианте осуществления полезной модели подсистема обнаружения источника компьютерных угроз предназначена для передачи перечня возможных путей развития компьютерной эпидемии в модуль выработки средств защиты.

В частном варианте осуществления полезной модели выработанное средство защиты от новой компьютерной угрозы предназначено для доставки на системы-агенты, а система-агент реализует на его основе защиту.

Периодически база данных о файлах просматривается системным роботом, который отмечает те файлы, популярность которых в сети чрезмерно велика, а по признакам близка к развивающейся вирусной эпидемии. Так система может быть использована для обнаружения неизвестных компьютерных вирусов.

Дополнительно система обладает экспертными данными по инфраструктуре глобальной сети Интернет, при помощи которых производится моделирование развития зарождающейся эпидемии и строится глобальный сценарий распространения компьютерного вируса. На основании конкретного сценария распространения компьютерного вируса предпринимаются необходимые меры по противодействию компьютерному вирусу и снижению возможного ущерба, который способна принести полномасштабная эпидемия компьютерного вируса.

Система моделирования развития эпидемий компьютерных вирусов состоит из следующих элементов и подсистем:

системы-агенты, расположенные в разных странах глобальной сети Интернет и перенаправляющие на центральный сервер информацию о событиях по передаче информации (загрузки файлов (d), количество запусков программ (s), число проведенных атак (а), попытки использования уязвимостей (е));

центральный сервер, получающий из глобальной сети Интернет данные от систем-агентов, и сохраняющий эти данные в подсистеме статистики, в свою очередь содержит: подсистему обнаружения источника компьютерных угроз (тут под угрозами понимается скачивание, запуск вредоносного компьютерного программного обеспечения, попытки использования уязвимостей, компьютерные атаки), подсистему статистики, подсистему моделирования развития эпидемий компьютерных вирусов.

Центральный сервер дополнительно может содержать модуль выработки средств защиты от новых компьютерных угроз, осуществляющий разработку средства защиты от новой компьютерной угрозы, хранение данных о новой компьютерной угрозе и средства защиты против нее.

Подсистема статистики содержит информацию обо всех событиях (загрузка файлов (d), количество запусков (s), число проведенных атак (а), попытки использования уязвимостей (е)), выявленных на системах-агентах.

Подсистема обнаружения источника компьютерных угроз производит выборку из подсистемы статистики и ищет дату и время самого раннего события, связанного с новой компьютерной угрозой, которое в тот момент еще не имело статуса компьютерной угрозы. Из данных подсистемы статистики о самом первом зарегистрированном событии выясняют адрес сетевого узла глобальной сети Интернет, с которого началось распространение известной в данный момент новой компьютерной угрозы.

Подсистема моделирования развития эпидемии производит выборку всех событий, связанных с новой компьютерной угрозой, рассчитывает активность ее распространения - A(d,s,a,e), учитываются статистические данные об информационном обмене по сети Интернет между странами мира. «Сила связи» - коэффициент, отражающий интенсивность информационного обмена, между двумя странами мира, т.е. отображающий вероятность распространения эпидемии вредоносной программы в другие страны.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящей полезной модели будут раскрыты дальше в описании со ссылками на прилагаемые чертежи.

Фиг.1 показывает общую структуру системы моделирования развития эпидемий компьютерных вирусов.

Фиг.2 показывает блок-схему обработки информации в системы моделирования развития эпидемий компьютерных вирусов.

Фиг.3 показывает примерное распределение интенсивности информационного обмена через глобальную сеть Интернет между Россией и другими странами мира.

Фиг.4, 5, 6 показывают гистограммы, полученные из анализа данных по развитию вирусных эпидемий обнаруженных соответственно в Украине, России и Китае.

Описание вариантов осуществления полезной модели

Соответственно настоящее решение обеспечивает автоматическую систему отслеживания источников распространения компьютерных угроз в глобальной компьютерной сети Интернет и моделирование развития вирусной эпидемии во времени для той или иной страны мира.

На фиг.1 приведена общая структурная схема системы. Системы-агенты 106, 107 связаны с центральным сервером 101, а именно с подсистемой статистики 102, которая связана с подсистемой моделирования развития эпидемии 103 и подсистемой обнаружения компьютерных угроз 104. Подсистема моделирования развития эпидемии 103 связана с подсистемой обнаружения источника компьютерных угроз 104. Подсистема обнаружения компьютерных угроз 104 связана с подсистемой моделирования развития эпидемии и модулем выработки средств защиты 105. Модуль выработки средств защиты 105 связан с системами-агентами 106, 107.

Географически разнесенные, т.е расположенные в разных странах системы-агенты 106, 107 ведут наблюдение за событиями по передаче данных в сети, осуществлении атак на компьютер, запуски программ и попытками использования уязвимостей. Согласно фиг.2 на этапе 200 собранная информация перенаправляется на центральный сервер 101, в котором выполняется этап 201, на котором поступившие данные обрабатываются и сохраняются в подсистеме статистики 102.

Основные элементы системы, изображенные на фиг.1, автоматически обнаруживают эпидемии. Зная механизмы распространения и последствия активности вредоносных программ в мире, возможно вычисление источника распространения вредоносных объектов, которое выполняется в подсистеме обнаружения источников компьютерных угроз 104, и прогнозирование дальнейшего развития эпидемии, которое выполняется подсистемой моделирования развития эпидемий 103.

Основная задача подсистемы 104 - узнать как можно точнее момент возникновения эпидемии и отслеживать ее развитие, как во времени, так и по странам мира.

Общий принцип (см. фиг.2, позиции 202, 203, 204) обнаружения эпидемии можно описать как:

- Штатный режим работы системы отмечен на фиг.2 позицией 204. Так в режиме реального времени рассчитывается активность различных объектов (см. фиг.4, 5, 6). Активность отражает интенсивность запуска программ, атак на компьютеры, попыток использования уязвимостей, скачивания файлов и т.п. Активность тем выше, чем чаще происходят все перечисленные действия.

- Экстренный режим работы системы, отмеченный на фиг.2 позицией 203, характеризуется превышением значения активности порога угрозы в определенной стране, что считается началом эпидемии.

Расчет активности.

Рассмотрим пример, в котором активность угрозы является функцией от 4-х параметров: количество запусков (s), количество загрузок (d), количество проведенных атак (а), количество попуток использования уязвимостей (е). Активность объектов приводится к определенному виду распределения вероятностей, формула которого зависит от времени возникновения последнего события. Чем больше прошло времени, тем меньше становится показатель активности объекта. Это позволяет занижать активность давно прошедших событий, нивелировать незначительные флуктуации активности и выявить тренды изменения параметра.

Активность = F₁(s,d,a,e)*F₂(t), где t - время, прошедшее с момента наступления последнего события.

Таблица 1(пример статистических событий и значение активности для них)
Total downloads, d	Total startups, s	Total attack s, a	Total exploatation attepts, e	Increase downloads	Increase startups	Increase attacks	Increase exploatati on attempts	t, min	Activity	Trend
8	4	21	107	16	4	21	107	0	3,78	Rise
24	24	91	315	16	20	70	208	15	13,14	Rise
83	83	298	1082	59	59	207	767	15	44,63	Rise
164	162	574	2135	81	79	276	1053	15	87,39	Rise
249	240	847	3240	85	78	273	1105	15	131,28	Rise
380	354	1246	4943	131	114	399	1703	15	197,63	Rise
501	451	1586	6516	121	97	340	1573	15	257,23	Sta-ble

551	530	1862	7166	50	79	276	650	15	289,87	Sta-ble
570	563	1978	7413	19	33	116	247	105	43,27	Fall
571	568	1995	7426	1	5	17	13	175	26,08	Fall

При обнаружении эпидемии начинает работать подсистема моделирования (фиг.2, позиция 203). Сгенерированный прогноз содержит информацию о том, в какие страны может перекинуться эпидемия и за какое время это может произойти. Для создания прогноза используется величина «сила связи» между странами, отображающая вероятность распространения эпидемии вредоносной программы в другие страны.

Собранная в подсистеме статистически 102 информация позволяет подсистеме обнаружения компьютерных угроз 104 сделать «перемотку назад во времени» и найти первый момент, когда интересующий нас компьютерный вирус, являющийся причиной эпидемии, впервые был замечен. Реализованы соответствующие этапы 205, 206, целью которых является поиск первоисточника (тех ресурсов, через которые распространяли файл) и более точное установление даты зарождения эпидемии.

Пример. «Сила связи»

На фиг.3 показана схема графа с узлами-странами и ребрами-связями. Каждая связь имеет собственное значение-коэффициент («сила связи»), которое характеризует условную информационную связь между двумя странами. Прямая зависимость этого значения относится к количеству и качеству каналов связи между странами, поэтому между развитыми странами или соседними странами коэффициенты «силы связи» будут больше.

Подсистема моделирования развития эпидемии 103 использует «силу связи» для построения прогноза направления развития эпидемии по странам, а также отслеживает всплески активности компьютерных угроз.

Момент i является началом всплеска активности компьютерных угроз j в стране C_m, если в этот момент функцией активности A(d,s,a), где d,s,a - количество событий, полученных от систем-агентов на центральном сервере, имеющих отношение к загрузке угрозы (см. фиг.2, позиция 207), запускам, осуществленным атакам и т.д., был превышен порог L_burst: A(d,s,a)>L_burst, причем A(d,s,a)L_burst и i(a;b], где аi - начало всплеска активности компьютерной угрозы (см. фиг.2, позиция 210), a b - момент его прекращения.

Момент i+а принимается за прекращение всплеска, если в этой точке функцией активности на интервале (i;i+а] был впервые достигнут условный ноль: A(d,s,a)L_zero, L_zero<L_burst , где i - начало всплеска, а интервал [i;i+a] - его продолжительность.

Если всплеск компьютерной эпидемии не прекращается и активность продолжает расти, то включается механизм определения эпидемии и противодействия обнаруженным компьютерным вирусам (см. фиг.2, позиция 211) путем выработки средства противодействия в модуле выработки средств защиты (см. фиг.2, позиция 212). Готовые средства защиты от новой компьютерной угрозы доставляется на системы-агенты через компьютерную сеть, и система-агент реализует на его основе собственную защиту (см. фиг.2, позиция 211).

На фиг.4 приведен пример обнаружение всплеска. Была обнаружена угроза с именем Trojan-PSW.Win32.Ldpinch.afa на Украине. Система определила, что активность носит характер всплеска, но не эпидемии, т.к. уровень всплеска был превышен. Однако в течении 20 часов активность не превысила уровень эпидемии, а наоборот сошла на нет, упав ниже уровня конца всплеска L_zero .

На фиг.5 приведен пример обнаружения эпидемии - активность угрозы с именем Net-Worm.Win32.Kido.ih в России. По мере прихода данных о событиях от систем-агентов о запусках, атаках и т.п. активность угрозы нарастает. Впервые уровень всплеска был превышен 15.01.2009 в 21:34:02. В течение следующих дней активность держалась на этом уровне и 21.01.2009 в 01:00 превысила уровень эпидемии и держится на этом уровне в течении всего последующего времени наблюдения.

На фиг.6 приведен пример построения прогноза. Угроза с именем Trojan-PSW.Win32.Ldpinch.afar была обнаружена 12.04.2009 22:04:20 на территории Китая. 13.04.2009 23:00 система обнаружила всплеск активности угрозы (превышение уровня L_burst). 14.04.2009 0:01:34 система обнаружила, что распространение Trojan-PSW.Win32.Ldpinch.afar носит характер эпидемии (превышение уровня L_high).

Далее система генерирует прогноз развития эпидемии в разрезе стран и времени. Прогноз показывает вероятность того, что эпидемия перекинется на заданную страну, а также какая активность ожидается в стране в случае успешного перехода эпидемии (L_high =2500).

Таблица 2(сводная таблица расчета прогноза для компьютерной эпидемии, которая распространяется по сопредельным государствам)
Страна (сила связи)	+1 час	+2 часа	+3 часа	+4 часа
Viet Nam (5,8)	81,20	1450,00	85,26	1522,50	93,79	1674,75	94,72	1691,50
Hong Kong (2,7)	37,80	675,00	39,69	708,75	43,66	779,63	44,10	787,42
USA (2,6)	36,40	650,00	38,22	682,50	42,04	750,75	42,46	758,26
Russian Federation (2,2)	30,80	550,00	32,34	577,50	35,57	635,25	35,93	641,60
Spain (1,8)	25,20	450,00	26,46	472,50	29,11	519,75	29,40	524,95
Brazil (1,5)	21,00	375,00	22,05	393,75	24,26	433,13	24,50	437,46

В заключении следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем охраны настоящей полезной модели, определенный формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящеей полезной модели, согласующиеся с сущностью и объемом настоящей полезной модели.

1. Система моделирования развития эпидемий компьютерных вирусов состоящая из следующих элементов: системы-агенты, географически разнесенные в глобальной сети Интернет и предназначенные для перенаправления на центральный сервер информации включающие в себя загрузку файлов (d), количество запусков (s), число проведенных атак (а), попытки использования уязвимостей (е); центральный сервер, предназначенный для получения из глобальной сети Интернет данных от систем-агентов и сохранения этих данных в подсистеме статистики, которая содержит: подсистему статистики, которая предназначена для хранения статистики и связана с подсистемой моделирования развития эпидемии и подсистемой обнаружения компьютерных угроз; подсистему моделирования развития эпидемии, которая предназначена для моделирования дальнейшего развития эпидемии и связана с подсистемой обнаружения источника компьютерных угроз; подсистему обнаружения источника компьютерных угроз, которая предназначена для вычисления источника распространения компьютерных угроз и связана с подсистемой моделирования развития эпидемии.

2. Система по п.1, в которой центральный сервер дополнительно содержит модуль выработки средств защиты от новых компьютерных угроз, который связан с подсистемой обнаружения источника компьютерных угроз и осуществляет разработку средства защиты от новой компьютерной угрозы, хранение данных о новой компьютерной угрозе и средства защиты против нее.

3. Система по п.1, в которой подсистема статистики содержит информацию обо всех событиях (загрузка файлов (d), количество запусков (s), число проведенных атак (а), попытки использования уязвимостей (е)), выявленных на системах-агентах.

4. Система по п.1, в которой подсистема обнаружения источника компьютерных угроз предназначена для выборки из подсистемы статистики и поиска даты и времени самого раннего события, связанного с новой компьютерной угрозой, которое в тот момент еще не имело статуса компьютерной угрозы, при этом подсистема статистики предназначена после получения данных о самом первом зарегистрированном событии определять адрес сетевого узла глобальной сети Интернет, с которого началось распространение известной в данный момент новой компьютерной угрозы.

5. Система по п.1, в которой подсистема моделирования развития эпидемии предназначена для выборки всех событий, связанных с новой компьютерной угрозой, расчета активности ее распространения, учета статистических данных об информационном обмене по сети Интернет между географически разнесенными местами, т.е. отображающих вероятность распространения эпидемии вредоносной программы в другие страны.

6. Система по п.4, в которой информация о событиях по передаче информации представляет данные о числе загрузок файлов, количество запусков программ, число проведенных атак, попытки использования уязвимостей.

7. Система по п.1, в которой подсистема моделирования развития эпидемии предназначена для отслеживания всплесков активности компьютерных угроз, при этом всплеск считается непродолжительным и момент i+а принимается за прекращение всплеска, если в этой точке функцией активности на интервале (i;i+а] был впервые достигнут условный ноль: A(d,s,a)L_zero, L_zero<L_burst , где i - начало всплеска, а интервал [i;i+a] - его продолжительность; если всплеск активности компьютерной эпидемии не прекращается и активность продолжает расти, активируется система обнаружения источника компьютерных угроз.

8. Система по пп.2 и 7, в которой подсистема обнаружения источника компьютерных угроз предназначена для передачи перечня возможных путей развития компьютерной эпидемии в модуль выработки средств защиты.

9. Система по п.8, в которой выработанное средство защиты от новой компьютерной угрозы предназначено для доставки на системы-агенты, а система-агент реализует на его основе защиту.

Автоматизированная информационная система удостоверяющего центра при оформлении и изготовлении паспортно-визовых документов нового поколения // 99625

Установка для создания средств гарантированной защиты передаваемой по радиоканалу информации от неправомерного доступа с помощью специального кодирования (преобразования) информации при открытом хранении параметров кодирования // 124015

Устройство для подписи документов электронной аналого-цифровой подписью // 125421

Электронная автоматизированная информационная система идентификации и маркировки произведения как объекта, перешедшего в общественное достояние // 104345

Система электронной банковской гарантии // 81824

Система маркировки и проверки подлинности объекта // 117668

Электронная система учета использования объектов интеллектуальной собственности для сети вещания // 66645

Комплекс инженерно-технической защиты охраняемого объекта с идентификацией речи // 105051

Система для оформления перевозочных документов на железнодорожном транспорте // 108178

Автоматизированная система квалифицированной цифровой электронной подписи документов // 142709

Автоматизированная система квалифицированной цифровой электронной подписи документов относится к устройствам обработки данных для специального применения и может быть использована в структуре электронного документооборота заказчик-исполнитель, в частности, при реализации документооборота в области рекламы