Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети
Иллюстрации
Показать всеИзобретение относится к антивирусным системам для обнаружения вредоносных объектов, загружаемых через пиринговые сети. Техническим результатом является повышение уровня защиты компьютерной системы пользователей от вредоносных объектов, распространяемых через пиринговые сети. Способ обнаружения вредоносных объектов, распространяемых через пиринговые сети, состоит из этапов: запрашивают метаданные, относящиеся к непроверенному объекту загрузки, у модуля управления на сервере пиринговой сети при помощи клиента пиринговой сети компьютерной системы пользователя. Далее определяют при помощи модуля управления на сервере пиринговой сети наличие антивирусного модуля на компьютерной системе пользователя. Затем загружают метаданные, относящиеся к непроверенному объекту загрузки, при помощи клиента пиринговой сети компьютерной системы пользователя, обладающей антивирусным модулем. А также получают объект загрузки, соответствующий загруженным метаданным, при помощи упомянутого клиента пиринговой сети компьютерной системы пользователя. Кроме того, производят обнаружение вредоносных объектов путем проверки объекта загрузки с помощью антивирусного модуля упомянутой компьютерной системы пользователя. 2 н. и 13 з.п. ф-лы, 6 ил.
Реферат
Область техники
Изобретение относится к антивирусным системам и, более конкретно, к системам и способам обнаружения вредоносных объектов в пиринговых сетях.
Уровень техники
В настоящее время участились случаи распространения вредоносных программ в пиринговых сетях (в иностранной литературе встречаются также названия peer-to-peer сети, Р2Р). Примером пиринговых сетей является Bit Torrent сеть. Особенностью работы пиринговой сети является одновременное скачивание объекта раздачи клиентом сети из многих источников. Причем скачивание происходит блоками, и невозможно предсказать, в каком порядке будут скачиваться эти блоки. Объектом раздачи может быть файл или группа файлов. Пользователь сети может посылать запросы на предоставление данных другим пользователям в пределах этой сети и получать аналогичные запросы. Примерами клиентов пиринговой сети являются такие программные приложения, как µTorrent, BitComet I2P, ED2K (eDonkey2000) и т.д.
Для каждого распространяемого объекта создается файл описания - файл метаданных (например, торрент - файл в Bit Torrent сети). В нем содержится, по меньшей мере, Hash - сумма (далее по тексту - контрольная сумма) закачиваемого файла. Контрольная сумма вычисляется для каждого объекта, и она уникальна. Соответственно, файл метаданных, содержащий контрольную сумму, уникален для каждого описываемого им объекта.
При загрузке объекта вычисляется его контрольная сумма и сравнивается с контрольной суммой, находящейся в файле метаданных. Если контрольные суммы не совпали, то объект считается поврежденным и происходит его повторная загрузка. Когда объект успешно закачан, он становится доступным для раздачи другим пользователям пиринговой сети. После того как объект скачан, его можно использовать. По такой же схеме может скачиваться группа объектов. В этом случае контрольная сумма создается для каждого объекта группы.
Поскольку число пользователей пиринговых сетей непрерывно увеличивается, и объем передаваемых данных активно растет, все очевидней становится угроза со стороны злоумышленников использовать такие сети для распространения вредоносных приложений. Часто злоумышленники добавляют вредоносные программы в архив, содержащий нужную информацию, либо встраивают вредоносный код внутрь незаконно используемых копий программных приложений.
При помощи пиринговых сетей можно производить обмен большим объемом данных. Однако нет полной уверенности в том, что данные, которые закачиваются, не будут содержать вирусы. Если данные будут содержать вредоносный код, то они не смогут быть использованы, но факт наличия вредоносного кода можно установить только после полной загрузки объекта. При этом если бы предварительно было установлено, что данные являются вредоносными, то можно было бы избежать загрузки вовсе.
Существуют системы и способы обнаружения вредоносных объектов с использованием контрольных сумм. Подобные системы описаны в патенте US 7328349 и в патентных заявках US 20080147612 A1, US 20070162975 А1.
В патенте US 7328349 описываются система и способ обнаружения, предотвращения и отслеживания вредоносных объектов (червей и вирусов), которая содержит множество клиентов, получающих множество пакетов, которые могут содержать вредоносные данные, hash-процессор, который исследует пакеты, создает hash-суммы пакетов и сравнивает их с ранее накопленными суммами с целью обнаружения вредоносных данных.
В заявке US 20080147612 A1 описывается система и способ для поиска вредоносных объектов. Система состоит из удаленной базы данных, компьютера и программного приложения, которое производит поиск файлов, создает для них контрольные суммы и сравнивает их с суммами в удаленной базе.
В заявке US 20050021994 А1 описываются система и способ, позволяющие решить проблему определения вредоносных данных, находящихся на персональном компьютере по атрибутам файла. В качестве одного из атрибутов используется контрольная сумма файла.
Известные системы и способы не предназначены для работы в пиринговых сетях и не позволяют проводить анализ контрольных сумм в метаданных соответствующих загружаемых объектов.
Описываемые в данной заявке система и способ позволяют производить пополнение черных списков контрольными суммами вредоносных объектов, загружаемых при помощи пиринговых сетей.
Также предлагаемые система и способ имеют преимущество по сравнению с известными аналогами, поскольку позволяют определить наличие вредоносных данных в объектах раздачи до загрузки объектов на компьютерную систему пользователя сети, который не обладает средствами обнаружения вредоносных данных.
Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяет получить новый результат, а именно систему и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети.
Сущность изобретения
Техническим результатом данного изобретения является увеличение уровня защиты компьютерных систем пользователей от вредоносных объектов, распространяемых через пиринговые сети, что достигается за счет предоставления доступа к непроверенным объектам загрузки для тех компьютерных систем, у которых имеется система обнаружения вредоносных объектов.
Настоящее изобретение представляет собой систему и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети.
Способ обнаружения вредоносных объектов, распространяемых через пиринговые сети, заключается в том, что запрашивают метаданные, относящиеся к непроверенному объекту загрузки, у модуля управления на сервере пиринговой сети при помощи клиента пиринговой сети компьютерной системы пользователя; определяют при помощи модуля управления на сервере пиринговой сети наличие антивирусного модуля на компьютерной системе пользователя, запрашивающей метаданные, относящиеся к непроверенному объекту загрузки; загружают метаданные, относящиеся к непроверенному объекту загрузки, при помощи клиента пиринговой сети компьютерной системы пользователя, обладающей антивирусным модулем; получают объект загрузки, соответствующий загруженным метаданным, при помощи упомянутого клиента пиринговой сети компьютерной системы пользователя; производят обнаружение вредоносных объектов путем проверки объекта загрузки с помощью антивирусного модуля упомянутой компьютерной системы пользователя.
В частном варианте исполнения обнаружение вредоносного объекта загрузки выполняют антивирусным модулем компьютерной системы пользователя с применением модуля хранения антивирусной базы и черного списка контрольных сумм.
В частном варианте исполнения модулю управления на сервере пиринговой сети передают данные о том, является объект загрузки вредоносным или безопасным по результатам проверки объекта загрузки с помощью упомянутого антивирусного модуля.
В частном варианте исполнения запрещают проводить загрузку метаданных, относящихся к вредоносным объектам, перемещая соответствующие метаданные из модуля хранения непроверенных метаданных на сервере пиринговой сети в модуль хранения метаданных, относящихся к вредоносным объектам, при помощи модуля управления на сервере пиринговой сети.
В частном варианте исполнения разрешают проводить загрузку метаданных, относящихся к безопасным объектам, перемещая соответствующие метаданные из модуля хранения непроверенных метаданных на сервере пиринговой сети в модуль хранения проверенных метаданных при помощи модуля управления на сервере пиринговой сети.
Система обнаружения вредоносных объектов, распространяемых через пиринговые сети, включающая сервер пиринговой сети, который предназначен для загрузки метаданных, относящихся к объекту загрузки, и получения объекта загрузки, а также клиент пиринговой сети компьютерной системы пользователя выполнен с возможностью передачи модулю управления на сервере пиринговой сети данных о том, является объект загрузки вредоносным или безопасным; антивирусный модуль компьютерной системы пользователя, предназначенный для обнаружения вредоносных объектов загрузки; при этом сервер пиринговой сети содержит модуль управления, предназначенный для обработки запросов о получении метаданных от упомянутого клиента пиринговой сети компьютерной системы пользователя, передачи запрашиваемых метаданных клиенту пиринговой сети компьютерной системы пользователя, определения наличия антивирусного модуля на упомянутой компьютерной системе пользователя, при запросе метаданных, относящихся к непроверенным объектам загрузки; упомянутый модуль хранения непроверенных метаданных на сервере пиринговой сети, предназначенный для хранения метаданных, относящихся к непроверенным объектам; модуль хранения проверенных метаданных на сервере пиринговой сети, предназначенный для хранения метаданных, относящихся к безопасным объектам; модуль хранения метаданных, относящихся к вредоносным объектам, на сервере пиринговой сети, связанный с модулем управления, предназначенный для хранения метаданных, относящихся к вредоносным объектам.
В частном варианте исполнения система дополнительно содержит модуль хранения антивирусной базы и черного списка контрольных сумм на компьютерной системе пользователя, связанный с антивирусным модулем, при этом модуль хранения антивирусной базы и черного списка контрольных сумм выполнен с возможностью хранения, по меньшей мере, данных, необходимых для обнаружения вредоносных объектов загрузки.
В частном варианте исполнения упомянутый модуль хранения антивирусной базы и черного списка контрольных сумм компьютерной системы пользователя дополнительно содержит информацию о метаданных, относящихся к вредоносным объектам.
В частном варианте исполнения система дополнительно содержит модуль определения контрольных сумм на компьютерной системе пользователя, связанный с модулем хранения антивирусной базы и черного списка контрольных сумм компьютерной системы пользователя, выполненный с возможностью проверки загруженных метаданных, относящихся к непроверенному объекту загрузки, при помощи модуля хранения антивирусной базы и черного списка контрольных сумм компьютерной системы пользователя.
В частном варианте исполнения упомянутый модуль определения контрольных сумм компьютерной системы пользователя выполнен с возможностью запрета клиенту пиринговой сети компьютерной системы пользователя проведения загрузки объектов загрузки, если метаданные, относящиеся к объекту загрузки, найдены в результате проверки в модуле хранения антивирусной базы и черного списка контрольных сумм компьютерной системы пользователя.
В частном варианте исполнения упомянутый модуль определения контрольных сумм компьютерной системы пользователя выполнен с возможностью добавления метаданных, которые относятся к вредоносным объектам, в модуль хранения антивирусной базы и черного списка контрольных сумм компьютерной системы пользователя.
В частном варианте исполнения упомянутый модуль управления на сервере пиринговой сети выполнен с возможностью перемещения метаданных, относящихся к вредоносным объектам загрузки по результатам проверки объектов загрузки с помощью антивирусного модуля, из модуля хранения непроверенных метаданных на сервере пиринговой сети в модуль хранения метаданных, относящихся к вредоносным объектам, на сервере пиринговой сети.
В частном варианте исполнения упомянутый модуль управления на сервере пиринговой сети выполнен с возможностью перемещения метаданных, относящихся к безопасным объектам загрузки по результатам проверки объектов загрузки с помощью антивирусного модуля, из модуля хранения непроверенных метаданных на сервере пиринговой сети в модуль хранения проверенных метаданных на сервере пиринговой сети.
В частном варианте исполнения система дополнительно содержит модуль обновления на компьютерной системе пользователя, который выполнен с возможностью обновления данных в модуле хранения антивирусной базы и черного списка контрольных сумм компьютерной системы пользователя.
В частном варианте исполнения система дополнительно содержит модуль хранения информации о заблокированных пользователях на сервере пиринговой сети, связанный с модулем управления на сервере пиринговой сети, при этом упомянутый модуль хранения информации о заблокированных пользователях выполнен с возможностью хранения параметров пользователей, поместивших в модуль хранения непроверенных метаданных на сервере пиринговой сети метаданные, относящиеся к вредоносным объектам.
Краткое описание чертежей
На Фиг.1 изображена схема системы обнаружения вредоносных объектов, распространяемых через пиринговые сети, на стороне компьютерной системы.
На Фиг.2 показана схема системы обнаружения вредоносных объектов, распространяемых через пиринговые сети, на стороне сервера пиринговой сети.
На Фиг.3А изображена схема взаимодействия компьютерных систем, которые используют пиринговые сети для обмена данными.
На Фиг.3Б изображена схема взаимодействия компьютерных систем, которые используют пиринговые сети для обмена данными, в случае определения безопасности объекта загрузки.
На Фиг.4 показан способ работы системы обнаружения вредоносных объектов, распространяемых через пиринговые сети.
На Фиг.5 показан пример компьютерной системы общего назначения, на основе которой может быть организована описанная система обнаружения вредоносных объектов.
Описание вариантов осуществления
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
В рамках данной системы предполагается наличие сервера пиринговой сети и нескольких персональных компьютеров, производящих обмен данными при помощи пиринговой сети. Все компьютеры, производящие обмен данными в пиринговой сети, можно условно разделить на две группы: первая группа отличается наличием системы обнаружения вредоносных объектов на базе антивирусного модуля, который может быть выполнен в виде аппаратного устройства или программного приложения, вторая группа не имеет системы обнаружения вредоносных объектов. При этом под вредоносными объектами понимаются такие программные модули, которые способны привести к несанкционированному пользователем уничтожению, блокированию, изменению, копированию данных, а также способны вызвать нарушения в работе компьютера или компьютерной сети и другие нежелательные последствия. К вредоносным объектам относятся компьютерные вирусы, черви, троянские программы, инструменты для взлома, конструкторы полиморфного вредоносного кода и т.д.
На Фиг.1 изображена схема системы обнаружения вредоносных объектов, распространяемых через пиринговые сети, на стороне компьютерной системы. Система обнаружения вредоносных объектов, распространяемых через пиринговые сети, 100 в одном из вариантов реализации состоит из нескольких модулей, одну из главных ролей среди которых играет клиент пиринговой сети 101.
Клиент пиринговой сети 101 обеспечивает получение объектов загрузки 105 с помощью пиринговых сетей. Клиент пиринговой сети 100 производит обмен данными внутри сети. Описываемая система может работать в таких широко используемых сетях, как ED2K (eDonkey2000), Overnet, BitTorrent и др. В том числе в сетях, использующих шифрование данных и адресов пользователей для анонимности, например, в сети I2P.
До начала обмена данными клиент загружает метаданные 102 объектов загрузки. Сущность метаданных может быть различной: метаданные могут быть представлены в виде файла либо в виде ссылки. Самым распространенным типом представления метаданных является файл, содержащий, по меньшей мере, контрольную сумму объекта загрузки. Файл может дополнительно содержать адрес ресурса в сети Интернет (или сервера пиринговой сети), общую информацию об объектах загрузки и другую информацию.
С развитием технологий все большую популярность приобретает тип представления метаданных в виде ссылки, позволяющей идентифицировать объект загрузки. Ссылка состоит из параметров, необходимых для однозначного определения объекта загрузки, при этом отсутствует привязка объекта загрузки к файлу метаданных и к ресурсу сети Интернет, на котором хранятся файлы метаданных. Такая ссылка содержит, по меньшей мере, контрольную сумму объекта загрузки, однако может содержать дополнительную информацию, например, имя объекта загрузки, размер объекта загрузки в байтах, ключевые слова для поиска объекта загрузки и другие. Ссылка с метаданными может быть представлена в следующем виде:
magnet:?xl=10826029&xt=urn:tree:tiger:7N5OAMRNGMSSEUE3ORHOK WN4WWIQ5X4EBOOTLJY
При переходе по данной ссылке клиент пиринговой сети начнет загрузку соответствующего объекта.
Из различной сущности метаданных вытекают различные виды файлообменных сетей: централизованные и децентрализованные. Централизованные сети, в отличие от децентрализованных сетей, предполагают наличие сервера пиринговой сети, который более подробно будет рассмотрен на Фиг.2.
В любом случае метаданные содержат контрольную сумму, которая однозначно характеризует объект загрузки и не зависит от сущности представления метаданных. Контрольная сумма является уникальным идентификатором для объекта загрузки и позволяет определить конкретный объект при помощи метаданных, соответствующих ему. Если производится загрузка сразу нескольких объектов, то такие метаданные содержат контрольные суммы для каждого объекта загрузки. Далее при описании системы будет использоваться понятие файл метаданных, однако это не исключает возможность использования ссылочного представления метаданных в рамках описываемой системы.
Модуль определения контрольных сумм 103 извлекает из полученных от клиента пиринговой сети 101 метаданных 102 контрольные суммы. Контрольные суммы проверяются модулем определения контрольных сумм 103, который производит сравнение контрольных сумм, извлеченных из метаданных 102, с контрольными суммами, находящимися в модуле хранения антивирусной базы данных и черного списка контрольных сумм 104. Модуль 104 содержит черный список контрольных сумм, который состоит из контрольных сумм ранее найденных объектов, содержащих вредоносный код, которые передаются через пиринговые сети. Стоит отметить, что не исключается вариант раздельного хранения и обновления антивирусной базы и черного списка контрольных сумм с использованием двух раздельных модулей хранения.
Если модуль определения контрольных сумм 103 найдет в модуле хранения 104 контрольную сумму, совпадающую с той, которая описывает загружаемый объект, то модуль определения контрольных сумм 103 запретит клиенту пиринговой сети 101 загрузку объекта 105, поскольку данный объект представляет опасность для компьютерной системы. Далее клиент пиринговой сети 101 оповестит сервер пиринговой сети 200 о том, что контрольная сумма объекта загрузки 105 находится в черном списке. Сервер пиринговой сети 200 реагирует на данное оповещение перемещением файла метаданных, содержащего данную контрольную сумму, из модуля хранения непроверенных метаданных (модуль 202 на Фиг.2) в модуль хранения метаданных, относящихся к вредоносным объектам, (модуль 205 на Фиг.2), таким образом, делая невозможным дальнейшее распространение вредоносного объекта на другие компьютерные системы.
При отсутствии контрольной суммы в черном списке в модуле 104 клиент пиринговой сети 101 производит скачивание объекта загрузки 105. После завершения процесса скачивания производится антивирусная проверка объекта 105 на наличие вирусов. Проверка проводится антивирусным модулем 106.
При антивирусной проверке используются различные методы и технологии, например, сигнатурная проверка, эвристический и поведенческий анализ.
Сигнатурная проверка основана на сравнении байтового кода проверяемых данных с кодом различных вредоносных объектов, который находится в сигнатурах. Эвристический анализ использует при поиске вредоносных объектов аналитическую систему, применяющую гибко заданные шаблоны, к примеру, описанные с использованием нечеткой логики. Поведенческий анализ в частном случае основан на наблюдении за системными событиями. Определение вредоносного объекта происходит по его поведению в системе в рамках заданных правил поведения вредоносных объектов.
Проверка объекта загрузки 105 на наличие вируса или других вредоносных данных производится антивирусным модулем 106, который при работе использует антивирусную базу данных, находящуюся в модуле хранения антивирусной базы и черного списка контрольных сумм 104. Антивирусная база содержит данные, необходимые для выполнения антивирусной проверки, например, сигнатуры вредоносных объектов, поведенческие сигнатуры и т.д.
Сигнатуры вредоносных объектов представляют собой последовательности битов, которые сравниваются с программным кодом проверяемого объекта. Если возникает совпадение, то это означает, что анализируемый объект является вредоносным.
Сигнатуры поведения в свою очередь содержат информацию о возможных действиях потенциально вредоносных объектов, таких как вызов системных функций, обращение к данным реестра и т.д. При этом производится наблюдение за проверяемым объектом, если поведение объекта будет совпадать с известной сигнатурой поведения, то данный объект будет признан вредоносным.
Если в результате антивирусной проверки обнаружено, что в объекте загрузки 105 присутствуют вредоносные данные, то антивирусный модуль 106 передает информацию о зараженном объекте клиенту пиринговой сети 101, который оповещает сервер пиринговой сети 200 о том, что объект загрузки 105 содержит вредоносные данные и представляет опасность. Сервер пиринговой сети 200 реагирует на данное оповещение перемещением файла метаданных, содержащего данную контрольную сумму, из модуля хранения непроверенных метаданных (модуль 202 на Фиг.2) в модуль хранения метаданных, относящихся к вредоносным объектам, (модуль 205 на Фиг.2), делая невозможным дальнейшее распространение вредоносного объекта на другие компьютерные системы.
Также антивирусный модуль 106 при помощи модуля определения контрольных сумм 103, извлекающего контрольную сумму из файла метаданных 102, производит пополнение черного списка в модуле хранения 104 новыми контрольными суммами вредоносных объектов. Так происходит пополнение черного списка контрольных сумм.
В частном случае вредоносный код в объекте загрузки 105 может быть обнаружен антивирусным модулем 106 до завершения полной загрузки, например, при плановой антивирусной проверке. В таком случае загрузка прекращается до завершения, оповещается сервер пиринговой сети 200 и контрольная сумма добавляется в черный список в модуле 104.
Если антивирусная проверка не дала результатов, указывающих на присутствие вредоносных данных в объекте загрузки 105, то объект загрузки 105 является безопасным, о чем оповещается сервер пиринговой сети 200 при помощи клиента пиринговой сети 101.
Описываемая система обнаружения вредоносных объектов содержит также модуль обновления 107, который выполняет обновление антивирусной базы и обновление черного списка контрольных сумм в модуле хранения антивирусной базы и черного списка контрольных сумм 104. Модуль обновления 107 может быть реализован в программно-аппаратном виде, например, на основе сетевого адаптера, обеспечивающего сетевое подключение.
Модуль обновления 107 позволяет обновлять черный список контрольных сумм в модуле 104, а также при добавлении в черный список новой контрольной суммы производить отправку новой контрольной суммы вредоносного объекта на антивирусный сервер (не показан). При этом другие компьютеры, использующие описываемую систему, при обновлении черного списка контрольных сумм получат добавленную новую контрольную сумму. Соединение с антивирусным сервером происходит с использованием вычислительных сетей с возможностью подключения к сети Интернет 108.
В данном варианте реализации черный список контрольных сумм, находящийся в модуле 104, позволяет организовать хранение контрольных сумм вредоносных объектов с возможностью оперативного обмена контрольными суммами, помещаемыми в черный список, через антивирусный сервер (не показан). Таким образом, все компьютерные системы, обладающие системой обнаружения вредоносных объектов, распространяемых через пиринговые сети, производящие обмен в других пиринговых сетях, могут оперативно получать найденные контрольные суммы вредоносных объектов.
На Фиг.2 показана схема системы обнаружения вредоносных объектов, распространяемых через пиринговые сети, на стороне сервера пиринговой сети.
Сервер пиринговой сети 200 выполняет стандартные функции, направленные на управление работой пиринговой сети, регулирование обмена данными между компьютерными системами. Другая важнейшая задача, выполняемая при помощи сервера пиринговой сети 200 в рамках описываемого изобретения, состоит в предотвращении заражения компьютерных систем и препятствии распространения вредоносных объектов в пиринговых сетях.
В целях выполнения указанных задач сервер пиринговой сети 200 в одном из вариантов состоит из модуля управления 201, модуля хранения непроверенных метаданных 202, модуля хранения проверенных метаданных 203 и модуля хранения метаданных, относящихся к вредоносным объектам, 205.
Все файлы метаданных, находящиеся на сервере пиринговой сети 200, разделены на три части. Первая часть содержит файлы метаданных, которые относятся к объектам загрузки, не содержащим вирусов по результатам антивирусной проверки, такие файлы метаданных хранятся в модуле хранения проверенных метаданных 203. Файлы метаданных из модуля хранения проверенных метаданных 203 доступны для скачивания всем компьютерным системам, независимо от того, имеется ли на компьютерной системе описываемая система обнаружения вредоносных объектов или такая система отсутствует.
Вторая часть содержит файлы метаданных, относящиеся к непроверенным объектам. К данной группе принадлежат те файлы метаданных, которые появились в результате регистрации на сервере пириноговой сети 200 нового объекта загрузки. Если какой-либо пользователь добавляет новый файл метаданных, то тем самым дает возможность скачивать объект загрузки, соответствующий новому файлу метаданных. Файл метаданных в таком случае попадает в модуль хранения непроверенных метаданных 202.
Третья часть содержит те метаданные, которые относятся к объектам, являющимся вредоносными в результате проведенной антивирусной проверки. Такие файлы метаданных хранятся в модуле хранения метаданных, относящихся к вредоносным объектам, 205. Они не доступны для загрузки и служат для того, чтобы сделать невозможным добавление известных вредоносных метаданных на сервер пиринговой сети и предотвратить повторную загрузку одного и того же вредоносного объекта различными компьютерными системами.
Появление нового файла метаданных означает наличие нового доступного объекта загрузки, который представляет собой потенциальную опасность, так как объект загрузки может содержать вредоносные данные. По этой причине, а именно из-за рисков, связанных с возможным содержанием вредоносных данных в объекте загрузки, файл метаданных для такого объекта помещается в модуль хранения непроверенных метаданных 202, что ограничивает доступ к файлу метаданных. При этом файлы метаданных, относящиеся к заведомо вредоносным объектам, будут отсеяны модулем управления 201 по результатам сравнения с файлами метаданных, хранящимися в модуле 205.
Файлы метаданных в модуле 202 находятся в ограниченном доступе, который разрешен тем компьютерным системам, которые имеют возможность провести анализ на наличие вредоносных данных в объекте загрузки. При запросе компьютерной системы, у которой имеется система 100 обнаружения вредоносных объектов, распространяемых через пиринговые сети, файла метаданных из модуля 202 модуль управления 201 проводит проверку компьютерной системы на наличие системы обнаружения вредоносных объектов, распространяемых через пиринговые сети, описанной ранее при рассмотрении Фиг.1.
Таким образом, приоритетным правом на скачивание непроверенных файлов метаданных обладают компьютерные системы 100, которые после проведения загрузки проводят антивирусную проверку объекта загрузки и сообщают результаты антивирусной проверки на сервер пиринговой сети 200. Модуль управления 201 принимает информацию о результатах проверки. Файлы метаданных, относящиеся к объектам, которые не представляют опасности по результатам антивирусной проверки, модуль управления 201 перемещает из модуля хранения непроверенных метаданных 202 в модуль хранения проверенных метаданных 203, что делает перемещенные файлы доступными всем компьютерным системам, даже тем, у которых отсутствует система обнаружения объектов, распространяемых через пиринговые сети 100.
Файлы метаданных, относящиеся к объектам, которые представляют опасность по результатам антивирусной проверки, то есть содержат вредоносные данные, модуль управления 201 переносит из модуля хранения непроверенных метаданных 202 в модуль хранения метаданных, относящихся к вредоносным объектам, 205, таким образом, предотвращая дальнейшее распространение вредоносных данных и заражение компьютерных систем, которые не имеют антивирусных модулей.
Обмен данными по пиринговой сети может быть организован в рамках сетей разного размера. По территориальной распространенности принято разделять вычислительные сети на локальные сети (LAN - Local Area Network) и глобальные сети (WAN - Wide Area Network), покрывающие большие географические регионы, включающие в себя как локальные сети, так и прочие телекоммуникационные сети и устройства. В локальных вычислительных сетях, небольших по размеру, также может быть организован обмен данными с использованием пиринговой сети. Для сетей, где есть возможность определить IP- и MAC - адреса компьютерных систем, система обнаружения вредоносных объектов позволяет использовать дополнительно модуль хранения информации о заблокированных пользователях 204. При таком варианте осуществления системы модуль управления 201 получает IP - адреса и MAC - адреса компьютерных систем, находящихся в данной локальной сети, при помощи, например, ARP запроса, которые производят размещение новых непроверенных файлов метаданных на сервере пиринговой сети 200. Далее, если в результате работы описываемой системы обнаружится, что размещенный файл метаданных относится к объекту загрузки, представляющему опасность по результатам антивирусной проверки, то модуль управления 201 вносит в модуль 204 данные о том, что компьютерная система с соответствующим MAC - адресом предоставила метаданные, относящиеся к вредоносному объекту. В дальнейшем попытки размещения нового файла метаданных со стороны компьютерной системы, ранее размещавшей файл метаданных, относящийся к вредоносному объекту, будут пресекаться модулем управления 201 благодаря проверке MAC - адреса компьютерной системы по информации, находящейся в модуле 204.
На Фиг.3А изображена схема взаимодействия компьютерных систем, которые используют пиринговые сети для обмена данными.
В данном примере представлен сервер пиринговой сети 200, который устанавливает доступ к файлам метаданных, хранящихся на нем. Также в рамках данной системы возможна организация обмена данными между, по меньшей мере, двумя компьютерными системами. В общем случае, как показано на Фиг.3А, таких систем может быть несколько (301-306). Для всех компьютерных систем, участвующих в обмене данными в рамках данной пиринговой сети, можно провести разделение на компьютерные системы, обладающие системой 100 обнаружения вредоносных объектов, распространяемых через пиринговые сети (302, 303), и компьютерные системы, которые участвуют в обмене данными при помощи пиринговой сети, но такой системой не обладают (301, 304-306).
Если какая-либо компьютерная система имеет новый объект загрузки (т.е. такой объект, метаданные для которого отсутствуют среди уже имеющихся метаданных в модуле 203), для начала обмена данными необходимо поместить файл метаданных, описывающий данный объект загрузки, на сервере пиринговой сети 200. При этом если такой файл метаданных имеется в модуле 205, то модуль управления 201 не позволит добавить такой файл метаданных, так как он заведомо относится к вредоносным объектам. Пусть система 301 поместила новый файл метаданных, описывающий объект загрузки, на сервере 200. Данный файл попадает в модуль хранения непроверенных метаданных 202, и он находится в ограниченном доступе, то есть только компьютеры (302, 303), обладающие системой обнаружения вредоносных объектов, распространяемых через пиринговые сети, имеют возможность получить файл метаданных из модуля хранения 202. В данном случае компьютерные системы 301-306 при обращении на сервер с запросом файла метаданных будут проанализированы модулем управления 201, который примет решение о предоставлении непроверенного файла метаданных на основе наличия у компьютеров системы 100 обнаружения вредоносных объектов. В описываемом примере только компьютерные системы 302 и 303 получат файл метаданных, поскольку они смогут обнаружить вредоносные данные в объекте загрузки и не дать распространиться вредоносным объектам на другие незащищенные системы.
Как только компьютерные системы 302 и 303 получили файл метаданных, начинается обмен данными с компьютерной системой 301, на которой находится объект загрузки. После получения объекта загрузки любой из систем 302 или 303, например, компьютерной системой 302, производится антивирусная проверка объекта загрузки, после чего сервер пиринговой сети 200 информируется о результатах проверки.
По результатам проведенной антивирусной проверки объекта загрузки компьютерной системой, которая завершила загрузку первой, сервер пиринговой сети 200 получает уведомление о том, содержит ли объект загрузки вредоносные данные или нет.
Если антивирусный модуль 106 компьютерной системы 302 по результатам антивирусной проверки определил, что объект загрузки 105 содержит вредоносные данные, то клиент пиринговой сети 101 на компьютерной системе 302 передаст информацию о том, что объект загрузки представляет опасность, после чего файл метаданных будет перемещен из модуля хранения непроверенных метаданных 202 в модуль хранения метаданных, относящихся к вредоносным объектам 205 на сервере пиринговой сети 200. Таким образом, вредоносный объект не будет распространяться на те компьютерные системы (301, 304-306), у которых отсутствует система обнаружения вредоносных объектов 100.
После обнаружения вредоносных данных в объекте загрузки компьютерная система 302 при помощи антивирусного модуля 106 и модуля определения контрольных сумм 103 поместит контрольную сумму вредоносного объекта в модуль хранения антивирусной базы и черного списка контрольных сумм 104. При обновлении модуля хранения 104 модуль обновления 107 произведет пополнение черного списка контрольных сумм на антивирусном сервере (не показан), что послужит обновлению черных списков контрольных сумм у всех компьютерных систем, содержащих систему 100 обнаружения вредоносных объектов, распространяемых через пиринговые сети. При дальнейшей попытке загрузить такой же объект загрузки, содержащий вредоносные данные, например, из другой пиринговой сети, система 100 не позволит произвести загрузку такого объекта после проверки его контрольной суммы, извлеченной из файла метаданных, так как контрольная сумма такого объекта будет в черном списке контрольных сумм.
На Фиг.3Б изображена схема взаимодействия компьютерных систем, которые и