METHOD FOR DETECTING ANOMALOUS EVENTS ON BASIS OF CONVOLUTION ARRAY OF SAFETY EVENTS

METHOD FOR DETECTING ANOMALOUS EVENTS ON BASIS OF CONVOLUTION ARRAY OF SAFETY EVENTS

FIELD: computer equipment.SUBSTANCE: invention relates to computer engineering. Method for generating a set of convolutions of safe events in which an agent is launched in the operating system of at least one knowingly safe computer device, registering events of at least one type occurring in the op...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: Romanenko Aleksej Mikhajlovich, Golovkin Maksim Yurevich, Pavlyushchik Mikhail Aleksandrovich, Monastyrskij Aleksej Vladimirovich
Format: Patent
Sprache:eng ; rus
Schlagworte:
CALCULATING
COMPUTING
COUNTING
ELECTRIC DIGITAL DATA PROCESSING
PHYSICS
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:FIELD: computer equipment.SUBSTANCE: invention relates to computer engineering. Method for generating a set of convolutions of safe events in which an agent is launched in the operating system of at least one knowingly safe computer device, registering events of at least one type occurring in the operating system of the computer device, where at least the types of events are: start of processes; loading modules; file operations; register operations; detect interceptors installed in the operating system, an event that has occurred in the operating system; register the agent with the detected event and receive from the computer device the context of the specified event; allocate from the received context of the event the signs of the event and form the convolution of the detected event on the basis of the selected features; add convolution to a set of convolutions of safe events.EFFECT: technical result is to ensure the formation of convolutions of safe events.45 cl, 5 dwg Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении формирования сверток безопасных событий. Способ формирования набора сверток безопасных событий, в котором запускают в операционной системе по меньшей мере одного заведомо безопасного компьютерного устройства агент, регистрирующий события по меньшей мере одного вида, возникающие в операционной системе компьютерного устройства, где видами событий по меньшей мере являются: запуск процессов; загрузка модулей; файловые операции; реестровые операции; обнаруживают перехватчиками, установленными в операционной системе, возникшее в операционной системе событие; регистрируют агентом обнаруженное событие и получают от компьютерного устройства агентом контекст указанного события; выделяют из полученного контекста события признаки события и формируют на основе выделенных признаков свертку обнаруженного события; добавляют свертку в набор сверток безопасных событий. 2 н. и 43 з.п. ф-лы, 5 ил.