Zabránenie šíreniu nežiadúceho kódu a údajov

Číslo patentu: E 15182

Dátum: 09.06.2006

Autor: Scales Nicholas John

Je ešte 18 strán.

Pozerať všetko strany alebo stiahnuť PDF súbor.

Text

Pozerať všetko

0001 Tento vynález sa týka počítačových systémov a metód na prevádzku týchto systémov s cieľom zabrániť šíreniu nežiaduceho (nechceného) kódu a údajov.0002 V poslednom desaťročí boli počítačové systémy vystavené čoraz väčšiemu náporu nežiaduceho kódu. Medzi (zatiaľ) najvýraznejšie príklady nežiaduceho kódu patria počítačové vírusy. Počítačový vírus, analogicky ako biologický vírus, najprv nakazí jeden počítač,a potom následne nakazí ďalšie tak, že nariadi zdrojom emailového systému posielať emailové správy obsahujúce vírus zjedného počítača na mnohé iné využijúc adresár každého počítača, do ktorého sa dostane.0003 Výsledkom je premámene prenosové pásmo, čo spôsobuje nespokojnosť používateľov. Okrem toho, mnohé vírusy vykonávajú aj nežiaduce úkony na všetkých počítačoch, do ktorých sa dostanú. Ide napríklad o nechcené odstránenie súborov.0004 Vírusy obyčajne prichádzajú ako spustiteľný kód v samostatnom súbore v prílohe emailovej správy, no môžu byť ukryté aj v niektorých častiach emailu, pričom sa aktivujú bez toho, aby musel používateľ vyslovene odpojiť a spustiť daný kód. Súčasťou mnohých aplikácií,napr. textových procesorov, tabulkových programov a databáz, sú výkonné makrové skriptové jazyky, ktoré umožňujú, aby súčasťou súboru, ktorý vyzerá ako dokument, bol aj skript umožňujúci vykonanie určitých operácií. Autori vírusov využili tieto skriptové jazyky na vytvorenie makrových vírusov (makrovírusov) tak, aby vemailových prílohách so súbormi,ktoré vyzerajú ako dokumenty, mohli byť ukryté vírusy.0005 Vírusy nepredstavujú jedinú formu nežiaduceho kódu. Je bežné, že programy, ktoré sú k dispozícii zdarma, sa distribuujú s ukrytým spywareom, ktorý sa môže napr. tajne nainštalovať na používateľov počítač a následne hlási vzdialenému počítaču navštívené webové stránky alebo iné transakcie. Niektoré formy spywareu spôsobujú zobrazovanie nechcenej reklamy. Iné formy spywareu spôsobujú, že modem opakovane vytáča číslo s vysokou sadzbou,za čo autor spywareu dostáva odmenu od prevádzkovateľa telekomunikačných služieb. Medziďalšie formy škodlivého kódu patria malvér, červy a trapdoor.0006 Zatial čo sa vírusy samostatne šíria zjedného počítača na druhý, iné formy nežiaduceho kódu sa distribuujú prostredníctvom nevyžiadaných emailov (spamov), prostredníctvom utajenej distribúcie na disku a čoraz častejšie stiahnutím z nevedomky navštívenej webovej stránky. Všetky tieto typy nežiaduceho kódu majú spoločné to, že ich existencia, resp. ich skutočný účel sú utajené pred vlastníkmi a používateľmi počítačov, na ktoré sú zacielenć. Niektoré typy nežiaduceho kódu sú pomeme neškodné, no iné dokážu vymazať cenné obchodné údaje, a preto vzniklo priemyselné odvetvie, ktoré sa zameriava na tvorbu antivírusového softvéru.0007 Antivírusový softvér, ako je dnes všeobecne známy, tvorí program, ktorý sa na počítači spustí nato, aby ho chránil. Takéto programy obvykle fungujú v monitorovacom a prehľadávacom (skenovacom) režime. Monitorovací režim znamená, že súbory, ku ktorým sa má získať prístup, sa skontrolujú, či neobsahujú vírusy, vždy, ked sa majú otvoriť. Prehľadávací režim znamená, že sa skontrolujú všetky súbory vurčitom konkrétnom umiestnení (napr. na disku). Výrobcovia antivírusových programov sledujú vznik nových vírusov. V prípadne, že odhalia nový vírus, zanalyzujú ho a extrahujú údaje, ktoré možno použiť na odhalenie tohto vírusu. Daně údaje sa potom sprístupnia počítačom, na ktorých je spustený príslušný antivírusový program, a to obvykle tak, že sa zverejnia na webovej stránke spoločnosti, ktorávyrába daný antivírusový program. Z tejto webovej stránky ho môžu používatelia stiahnuť do svojich počítačov.0008 Vírusy možno detekovať rôznymi spôsobmi. Reťazec charakteristického kódu vytvárajúci vírus možno uložiť, a potom možno prichádzajúce súbory prehľadať, či sa v nich nenachádza tento reťazec, ktorý slúži od podpis alebo ako odtlačok prsta daného vírusu. Altematívne možno vírusy detekovať na základe ich správania možno analyzovať zdrojový kód alebo súbory skriptu, a tak odhaliť vopred určené operácie, ktoré sú charakteristické pre daný vírus.0009 Žiaľ, rovnako ako v prípade biologických vírusov, aj v prípade počítačových vírusov môže ľahko prísť k ich mutácii. Podpis vírusu môžu zmeniť už maličké úpravy kódu, napr. na úrovni zámeny veľkých písmen za malé. Súbory s údajmi na detekciu vírusov (bez ohľadu na konkrétnu metódu detekcie) sú teda čoraz väčšie a dosahujú až extrémnu veľkosť. Čas vyžadovaný antivírusovými programami sa zvyšuje zodpovedajúce tomu, ako narastá počet podpisov a pravidiel, ktoré treba skontrolovať. V prehľadávacom režime to môže byť prijateľné,no v monitorovacom režime to znamená, že otvorenie jednotlivých súborov trvá čoraz dlhšie. Okrem toho, keďže treba sťahovať väčšie súbory azvyšuje sa aj požadovaná frekvencia sťahovania, zvyšuje sa aj riziko, že používateľ nestiahne potrebné aktualizácie, a teda nebude chránený voči najnovším (a preto aj najnebezpečnejším) vírusom.0010 Predmetný vynález teda zaujíma úplne iný prístup k k ochrane voči nežiaducemu kódu.0011 V dokumente US 2005/081057 sa zverejňuje metóda na zabránenie zneužitia emailovej správy a emailového systému.0012 Poskytuje sa výpočtová metóda, prostredníctvom ktorej možno zabrániť šíreniu nežiaduceho kódu a údajov v elektronike podľa ustanovení nároku č. l.0013 Podľa jedného aspektu predmetného vynálezu sa poskytuje metóda na príjem elektronického súboru obsahujúceho údaje obsahu vo vopred určenom formáte údajov. Daná metóda pozostáva ztýchto krokov príjem elektronického súboru, určenie formátu údajov,analýza údajov obsahu s cieľom určiť, či sú v súlade s vopred určeným formátom údajov,avprípade, ak údaje obsahu sú vsúlade svopred určeným formátom údajov, opätovné vytvorenie analyzovaných údajov s cieľom vytvoriť obnovený elektronický súbor vo formáte0014 Poskytujú sa aj zodpovedajúce počítačové systémy, programy a médiá obsahujúce takéto programy.0015 Jedno uskutočnenie predmetného vynálezu ñmguje tak, že analyzuje každý prijatý súbor a vytvorí z neho zástupný súbor. Keďže na počítači, ktorý sa má ochrániť, sa samotný pôvodný súbor priamo neukladá, ani sa k nemu priamo nepristupuje, daný súbor ako taký nemôže tento počítač poškodiť. Môže sa uložiť napríklad v obrátenej bitovej forme alebo v inej forme, v ktorej ho nemožno spustiť. Na druhej strane zástupný súbor sa vygeneruje postupom, ktorý umožní Vygenerovať len čisté kódy a údaje. Takýmto spôsobom teda nemožno Vygenerovať nežiaduci kód, ktorý by zodpovedal kódu z prijatého súboru.0016 Časť predmetného vynálezu môže vychádzať znovej aplikácie niektorých dlhodobo poznaných skutočností o počítačových súboroch. Veľká väčšina súborov, ktoré sa vdnešnej dobe importujú do počítača, majú formu štandardizovaných formátov súborov. Vlastnícke programy vytvárajú svoje vlastné formáty súborov (a údaje, ktoré majú dané programy používať,musia byť v súlade s týmito formátmí), no existuje dostatočne veľký dopyt po výmene údajov medzi rozličnými vlastníckymi programami, pričom po prvé, jeden vlastnícky program je často vybavený importnými tiltrami tak, aby dokázal prečítať údaje napísané v rámci iného vlastníckeho programu, a po druhé, existuje niekoľko formátov, ktoré nie sú pridružené k žiadnemu vlastníckemu programu. Medzi príklady takýchto generických formátov patria text ASCII, fomiát RTF (Rich Text Format), jazyk HTML (Hypertext Markup Language) a XML0017 Údaje v súboroch musia teda zodpovedať presným norrnám, aby ich dokázali aplikačné programy prečítať. Formáty, ktoré sa používajú v rámci rozličných druhov súborov, sú všeobecne známe. Autori vynálezu si uvedomili, že hoci formáty používané súbormi umožňujú veľkú variabilítu, prevažná väčšina súborov obsahuje údaje, na ktoré sa vzťahujú pomeme úzko špecifikované pragmatické obmedzenia. Väčšina operačných systémov a aplikácií napríklad akceptuje dlhé názvy súborov, no väčšina používateľov vo väčšine prípadov používa krátke a jednoduché názvy súborov.0018 Rovnako tak súčasťou analýzy vykonanej uskutočnením predmetného vynálezu môže byť zistenie toho, či údaje, ktoré inak zodpovedajú špeciñkácii pre daný typ súboru, prekračujú pragmatické obmedzenia. Tieto obmedzenia vyplývajúce zpoužívania v reálnom prostredí umožňujú predmetnému vynálezu detekovať normálne prijateľné súbory. Každý obsah súboru,ktorý nezodpovedá spomínaným pragmatickým obmedzeniam, sa nepustí ku generačnému programu, a preto sa nedostane do počítača používateľa v spustiteľnej fonne.0019 Možno teda vidieť, že uskutočnenie predmetného vynálezu funguje úplne inak ako doposiaľ známe antivírusové programy. Cieľom doposiaľ známych antivírusových programov je odhaliť vírusy a nechať prejsť všetko ostatné, čo sa nedetekuje ako vírus. Takéto antivírusové programy teda nedokážu ochrániť používateľov od najväčšieho nebezpečenstva, t.j. od zatiaľ neznámych vírusov. Každý nový vírus, ktorý sa pusti do obehu, musí najprv infikovať pomerne veľké množstvo počítačov, kým sa dostane do pozomosti spoločností vyrábajúcich antivírusové programy.0020 Okrem toho, aj v prípade, že na danom počítači je nainštalovaný antivírusový softvér v najaktuálnejšej verzii, zvyčajne sa vírusy uložia na pevnom disku alebo na inom médiu daného počítača, a až potom ich antivírusový softvér dokáže detekovať. Ak z nejakého dôvodu antivírusový soñvér nefunguje, vírus sa dostane na určené miesto a môže sa aktivovať.0021 Vo zverejnenej prihláške US 2003/0145213 sa zverejňuje systém, pri ktorom sa v súbore detekuje makro alebo škodlivý kód. Daný súbor sa rekonštruuje vo forme šablóny, škodlivý kód sa zo šablóny odstráni, a tak sa vytvorí čistá verzia súboru.0022 Cieľom predmetného vynálezu (v extrémnom prípade) nemusí byť detekcia vírusov adokonca ani odmietanie vírusového správania. Namiesto toho, môže predmetný vynález odmietnuť všetky prichádzajúce súbory a nahradiť ich (tam, kde je to možné) vygenerovanými súbormi, ktore nemôžu obsahovať nežiaduci kód a údaje. Možno teda zabrániť tomu, aby sa nežiaduci kód a údaje vôbec dostali v spustiteľnej forme na pevný disk chráneného počítača. Zároveň sa zabráni ich šíreniu zjedného počítača na druhý.0023 Na tomto mieste možno spomenúť, že v prihláške US 2003/229810 sa zverejňuje návrh optickej brány firewall na ochranu pred vírusmi. Zdôvodov, ktoré onedlho uvedieme, si nemyslíme, že sa daný systém uskutočnil (alebo že sa dá uskutočniť). V spomínanej prihláške sa opisuje systém, v rámci ktorého počítač s bránou firewall prijme súbor (napr. súbor s obrázkom) a zobrazí daný obrázok na obrazovke počítača s bránou firewall. Optický senzor zoskenuje obrázok a naskenovaný obrázok sa poskytne určenému príjemcovi. Vímsy ukryté v pôvodnom obrázku sa nezobrazia, a teda sa nepresúvajú ďalej v naskenovanom obrázku. Namiesto skutočného zobrazenia obrazovky možno v rámci variantného uskutočnenia použiť bitovú mapu0024 Zrozličných dôvodov nedokáže optická združovacia brána firewall opísaná vspomínanej americkej patentovej prihláške zabezpečiť účinnú aspoľahlivú ochranu proti0025 Napríklad reprodukcia prostredníctvom softvéru na optické rozpoznávanie znakov (OCR) môže viesť k nepresným informáciám. Okrem toho, výsledkom reprodukcie obrázkov prostredníctvom video techniky môžu byť obrázky s nízkou kvalitou zobrazenia. Navyše počítač,ktorý prijíma prichádzajúci súbor, sa infikuje, ak prichádzajúci súbor obsahuje vírus.0026 Na druhej strane, pomocou analýzy a opätovného vygenerovania súborov namiesto ich spustenia, zobrazenia aoptického naskenovania, uskutočnenie predmetného vynálezu dokáže vytvoriť zástupné súbory, ktoré sú v prevažnej väčšine prípadov veľmi podobné pôvodným súborom (ak neobsahujú nežiaduci kód) tak, aby bola substitúcia transparentné0027 Formáty súborov sa líšia z hľadiska zložitosti. Jeden extrém predstavujú textové súbory,ktoré majú jednoduchý formát. Stredne zložité sú súbory, ktoré môžu obsahovať skripty alebo makrá (napr. súbory textových procesorov alebo tabuľkových editorov), zatial čo súbory obsahujúce kód možno v plnej miere analyzovať len pomocou analyzátora kódu. Hoci takáto analýza kódu je podľa predmetného vynálezu zdlhodobého hľadiska možná, uskutočnenia daného vynálezu môžu pohodlne fungovať tak, že odstránia všetky makrá a skripty zo súborov dokumentu a nedovolia prejsť žiadnym súborom, ktoré tvoria výhradne programy, kód, makrá0028 Je hned zjavné, že sa môže často stať, že používatelia budú chcieť prijať takéto súbory. Preto vrámci uprednostňovaného uskutočnenia môže predmetný vynález fungovať spoločne s filtrom, ktorý slúži na Filtrovanie súborov podľa zdroja, aby vždy mohli prejsť súbory zurčitého zdroja (alebo súbory určitého typu), zatiaľ čo súbory z iných zdrojov sa vždy zamietnu.0029 Teda zatiaľ čo uskutočnenie predmetného vynálezu môže zabrániť tomu, aby používatelia prijímali kód v súboroch zo všetkých zdrojov, paralelný filter povoľuje prijatie takýchto súborov výhradne zo známych zdrojov. Používatelia tak môžu prijímať súbory, ktoré by daný vynález zamietol, napríklad od administrátorov systému a z certifikovaných webových stránok. Ak používateľ určí len tie zdroje, z ktorých chce prijímať kód, predmetný vynález dokáže blokovať nežiaduci kód.0030 Keďže predmetný vynález funguje na základe detekcie súladu so súborovými štandardmia na základe charakteristického správania používateľa, a nie na základe detekcie vírusov, nie je potrebné často vykonávať aktualizácie. Takéto aktualizácie sú potrebné len v prípade, ak sa

MPK / Značky

MPK: G06F 21/56

Značky: kódu, zabránenie, údajov, nežiaducého, šíreniu

Odkaz

<a href="http://skpatents.com/26-e15182-zabranenie-sireniu-neziaduceho-kodu-a-udajov.html" rel="bookmark" title="Databáza patentov Slovenska">Zabránenie šíreniu nežiadúceho kódu a údajov</a>

Podobne patenty