Аппаратная интеллектуальная антивирусная система

(51) 06 21/00 (2013.01) 06 7/00 (2007.01) МИНИСТЕРСТВО ЮСТИЦИИ РЕСПУБЛИКИ КАЗАХСТАН ОПИСАНИЕ ИЗОБРЕТЕНИЯ К ИННОВАЦИОННОМУ ПАТЕНТУ функциональности при симуляции единой сети Петри, что минимизирует вычислительную нагрузку компьютера. Это достигается тем,что аппаратная интеллектуальная антивирусная система для обнаружения вредоносного программного обеспечения, согласно изобретению, содержит модуль обобщения спецификации, сообщенный с экспертной панелью с возможностью принятия данных диаграммы активности и с конструктором модифицированных сетей Петри с возможностью передачи данных обобщенной диаграммы активности,конструктор модифицированных сетей Петри,сообщенный с модулем распознавания функциональности с возможностью формирования модифицированных сетей Петри верхнего уровня и с модулем распознавания манипуляций с объектами с возможностью формирования модифицированных сетей Петри нижнего уровня,при этом модуль распознавания манипуляций с объектами выполнен с возможностью взаимодействия с системными вызовами и сообщен с модулем распознавания функциональности посредством передачи манипуляции с объектами на подсистемном уровне.(54) АППАРАТНАЯ ИНТЕЛЛЕКТУАЛЬНАЯ АНТИВИРУСНАЯ СИСТЕМА(57) Изобретение относится к области информационной безопасности, а именно к аппаратным интеллектуальным антивирусным системам для обнаружения и предотвращения ранее неизвестных зловредных программ (нулевого дня) на уровне выявления их функциональности и анализа целей поведения системы в реальном времени без использования бинарных сигнатур и может быть использовано на аппаратном уровне, т.е. в виде устройства определенного назначения. Техническим результатом является повышение достоверности обнаружения зловредной активности и блокировании зловредной функциональности любой сложности на момент определяющим саму зловредность по принципу - поймать с поличным,что значительно сокращает уровень ложных тревог,что является повышением надежности антивирусной защиты, и обнаруживает все заданные Изобретение относится к области информационной безопасности, а именно к аппаратным интеллектуальным антивирусным системам для обнаружения и предотвращения ранее неизвестных зловредных программ (нулевого дня) на уровне выявления их функциональности и анализа целей поведения системы в реальном времени без использования бинарных сигнатур и может быть использовано на аппаратном уровне, т.е. в виде устройства определенного назначения. Известна аппаратная антивирусная система для обнаружения вредоносного программного обеспечения, предотвращающая распространение компонентов вредоносного программного обеспечения, расположенная между персональным компьютером и накопителем информации,содержащая минимум два интерфейса, один из которых подключают к системной шине компьютера, а другой подключают к носителю информации, являющийся при этом прозрачным фильтром, обеспечивающим передачу данных между интерфейсами, фильтрация упомянутых данных осуществляется центральным процессором антивируса, который использует оперативное запоминающее устройство, при этом основная работа антивируса заключается в фильтрации поступающих данных, и если в них не обнаружен компонент вредоносного программного обеспечения, то данные записывают на носитель информации, если же в данных обнаружен компонент вредоносного программного обеспечения, то данные не записывают / 85249 1, 27.07.2009 г./. Недостатками данного аналога являются неэффективность обнаружения и предотвращения направленных, не массовых и видоизменяющихся и метаморфных атак, использующих зловредные программы нулевого дня. Известна аппаратная антивирусная система для обнаружения вредоносного программного обеспечения, проверяющая носитель информации на содержание компонентов вредоносного программного обеспечения,содержащая, по меньшей мере, один интерфейс, к которому подключают носитель информации, проверка данных носителя информации осуществляется центральным процессором антивируса, который использует оперативное запоминающее устройство,при этом основная работа антивируса заключается в проверке данных, которые содержатся на носителе информации, если же в данных обнаруживается компонент вредоносного программного обеспечения, то данные удаляют с носителя информации / 91206 1, 27.01.2010 г./. Недостатками данного аналога являются неэффективность обнаружения и предотвращения направленных, не массовых и видоизменяющихся и метаморфных атак, использующих зловредные программы нулевого дня. Известна система защиты, которая реализуема на аппаратном уровне и обнаруживает вредоносного программного обеспечения, которая основывается на оценке уровня активности определенных 2 событий, в котором при достижении порога активности предпринимаются соответствующие меры безопасности / 20060259967 А 1, 16.11.2006 г./. Недостатками данного аналога являются неэффективность обнаружения и предотвращения направленных, не массовых и видоизменяющихся и метаморфных атак, использующих зловредные программы нулевого дня. Известна аппаратная антивирусная система для обнаружения самораспространяемого вредоносного программного обеспечения, выбранная в качестве наиболее близкого аналога, предусматривающая отслеживание определнных примитивных системных событий (доступ к файлу, запуск процесса и т.д.). Последовательность выполнения событий отслеживается для каждого из приложений. Система идентифицируют каждое появление определенной последовательности событий,соответствующей поведению компьютерных вирусов, которые выполняют специфическую последовательность событий. Затем для приложения строится гистограмма обнаруженных последовательностей событий. В конечном счете,идентифицируются повторы гистограммы,связанной с одной последовательностью, что указывает на поведенческую повторяемость,имеющей место в результате активной репликации и исполнения вируса / 6973577 В 1, 06.12.2005 г./. Недостатками данного аналога являются неэффективность обнаружения несамореплицируемые зловредные программы,попадающие в операционную систему жертв,случайным образом, например, в процессе загрузки с сайта, а также невозможность обнаружения направленных вредоносных программ нулевого дня,имеющих крайне низкую частоту повторяемости по причине того, что эти зловредные программы специально созданы для проведения только одной атаки и на конкретную жертву, а также невозможность обнаружения зловредных программ,использующих технологию поведенческого метаморфизма (т.е. изменение своей реализации от поколения к поколению). Естественно,поведенческий метаморфизм также минимизирует частоту поведенческой повторяемости, что делает невозможным обнаружение посредством их метода. Известна аппаратная интеллектуальная антивирусная система для обнаружения вредоносного программного обеспечения,выбранная в качестве наиболее близкого аналога,предотвращающая распространение компонентов вредоносного программного обеспечения,расположенная между персональным компьютером и накопителем информации, содержащая минимум два интерфейса, один из которых подключают к системной шине компьютера, а другой подключают к носителю информации, являющийся при этом прозрачным фильтром, обеспечивающим передачу данных между интерфейсами,фильтрация упомянутых данных осуществляется центральным процессором антивируса, который использует оперативное запоминающее устройство, при этом основная работа антивируса заключается в фильтрации поступающих данных с носителя информации, и если в них обнаружен компонент вредоносного программного обеспечения, то данные блокируют, иначе данные передают на интерфейс,который подключен к системной шине / 92217 1, 10.03.2010 г./. Недостатками данного аналога являются неэффективность обнаружения и предотвращения направленных, не массовых и видоизменяющихся и метаморфных атак, использующих зловредные программы нулевого дня. Задачей изобретения является создание аппаратной интеллектуальной антивирусной системы для обнаружения зловредных программ с принципиально новым подходом к обнаружению ранее неизвестных вирусов - идентификации целей поведения программ путем анализа полной истории активности и корреляции активности (событий) различных процессов, повышения достоверности обнаружения зловредной активности. Техническим результатом является повышение достоверности обнаружения зловредной активности и блокировании зловредной функциональности любой сложности на момент определяющим саму зловредность по принципу - поймать с поличным,что значительно сокращает уровень ложных тревог,что является повышением надежности антивирусной защиты, и обнаруживает все заданные функциональности при симуляции единой сети Петри, что минимизирует вычислительную нагрузку компьютера. Это достигается тем,что аппаратная интеллектуальная антивирусная система для обнаружения вредоносного программного обеспечения, согласно изобретению, содержит модуль обобщения спецификации, сообщенный с экспертной панелью с возможностью принятия данных диаграммы активности и с конструктором модифицированных сетей Петри с возможностью передачи данных обобщенной диаграммы активности,конструктор модифицированных сетей Петри,сообщенный с модулем распознавания функциональности с возможностью формирования модифицированных сетей Петри верхнего уровня и с модулем распознавания манипуляций с объектами с возможностью формирования модифицированных сетей Петри нижнего уровня,при этом модуль распознавания манипуляций с объектами выполнен с возможностью взаимодействия с системными вызовами и сообщен с модулем распознавания функциональности посредством передачи манипуляции с объектами на подсистемном уровне. Модуль распознавания функциональности выполнен с возможностью семантической интеграции системных вызовов при высокой мкости описания функциональности,обеспечиваемой путем формализации вредоносных функциональностей в виде блок-диаграмм или диаграмм активности, заданных на абстрактном уровне, подверженных семантической обработке и отражающих е многочисленные реализации. Модуль распознавания функциональности также выполнен с возможностью семантической интеграции системных вызовов при устойчивости к попыткам замаскировать вредоносное поведение метаморфизмам, обеспечиваемой путем дополнения блок-диаграмм определенными блоками,представляющих некоторые такие стандартные системные функциональности или механизмы, как межпроцессорная коммуникация и загрузка файла. Модуль распознавания функциональности также выполнен с возможностью семантической интеграции системных вызовов при эффективности выявления функциональности из потока системных вызовов, обеспечиваемой путем использования механизма распознавания функциональностей,содержащего в своей основе модифицированные сети Петри, позволяющие собирать элементарные события в события более высокого уровня согласно графологической структуре. Модифицированная сеть Петри выполнена с возможностью расширения семантики сети с использованием функции многомерных цветов маркеров,позволяющей хранить множество атрибутов. Модифицированная сеть Петри также выполнена с возможностью расширения семантики сети с использованием функции полиморфизма маркеров, позволяющей динамическое изменение структуры и состава маркера при определнных событиях. Модифицированная сеть Петри также выполнена с возможностью расширения семантики сети с использованием функции генеалогии маркеров,позволяющей отследить историю срабатывания переходов сети для идентификации начальных триггерных системных вызовов. Модифицированная сеть Петри также выполнена с возможностью введения иерархичности с разделением на подсети трех уровней системные вызовы, вызовы интерфейса программирования приложений и функциональность. Заявленная аппаратная антивирусная система для обнаружения вредоносного программного обеспечения представляет собой новый, более совершенный поведенческий подход, основанный на концепции функциональности. В контексте данного изобретения следует различать функциональность от поведения. Функциональность- это семантически независимая цель конкретной программы (или группы программ), а наблюдаемое поведение - это проявление конкретной реализации программы. Современные методы в лучшем случае могут обнаруживать только отдельные цепочки системных событий (поведения), т.е. части конкретной реализации программы. В то же время предлагаемая технология обнаруживает саму функциональность, вне зависимости от конкретной реализации программы. Причем выявление вредоносных функциональностей производится в реальном времени. Реализуя вычислительные процессы,компьютерные программы генерируют системные вызовы. Системные вызовы позволяют программному обеспечению управлять файлами и 3 другими ресурсами (память, сетевое оборудование и т.д.). Каждый системный вызов сопровождается множеством атрибутов. Хотя коды компьютерных программ могут быть весьма неоднозначными,системный вызов позволяет точно определить, что программа делает с системными ресурсами на данный момент. В заявленном изобретении функциональность распознается путем семантической интеграции системных вызовов. В процессе обучения известные вредоносные функциональности описываются в пространстве системных вызовов. Системные вызовы операционной системы однозначно определяет операции,которые программы выполняют. Однако конкретная реализация функциональности может вовлекать несколько процессов, которые вызывают целые сессии операций (системные вызовы) с различными объектами операционной системы (сокет, файл,процесс, поток, память и т.д.). Кроме того, одна и та же функциональность может иметь несколько альтернативных реализаций. В результате распознавание функциональности представляется сложной задачей. Модули в заявленном изобретении представляют собой устройство или группу устройств, в котором на аппаратном уровне реализована соответствующая функциональность,например,используя программируемые логические интегральные схемы) или микроконтроллер с соответствующими инструкциями,что трансформирует данный микроконтроллер в устройство специального назначения. Следует заметить, что приведенные ниже схемы представляют аппаратную антивирусную систему в абстрактном, архитектурном виде и не накладывает какие-либо ограничения на реализацию конкретных вариантов системы. На фиг.1 изображена схема последовательности операций, реализованных в соответствующих модулях, которые обеспечивают распознавание зловредной функциональности. На фиг.2 изображена диаграмма активности для конкретной зловредной функциональности, так называемый Удаленный шелл. На фиг.3 изображен возможный результат обобщения диаграммы активности для конкретной зловредной функциональности, так называемый Удаленный шелл. В соответствии с фиг.1 схема последовательности операций, реализованных в соответствующих модулях, которые обеспечивают распознавание зловредной функциональности,включает следующие позиции Э - экспертная панель МОС - модуль обобщения спецификации КМСП - конструктор модифицированных сетей Петри МСПВУ - модифицированные сети Петри верхнего уровня МСПНУ - модифицированные сети Петри нижнего уровня 4 МРМО - модуль распознавания манипуляций с объектами МРФ модуль распознавания функциональностей ДА - диаграмма активности ОДА - обобщенная диаграмма активности Т - тревожные сигналы СВ - системные вызовы МОПУ - манипуляции с объектами на подсистемном уровне. В соответствии с фиг.2 диаграмма активности для конкретной зловредной функциональности, так называемый Удаленный шелл,включает следующие позиции 1 - сетевой сокет 2 - блок установки соединения 3 - именованный входящий канал 4 - блок соединения входящего канала 5 - именованный выходящий канал 6 - блок соединения выходящего канала 7 - блок процесса а - псевдо-узел ветвление (альтернативное исполнение)- псевдо-узел разделение (параллельное исполнение потоков) с - псевдо-узел слияние (синхронизация потоков)- псевдо-узел схождение (единое исполнение) В соответствии с фиг.3 результат обобщения диаграммы активности для конкретной зловредной функциональности, так называемый Удаленный шелл, включает следующие позиции 8 блок удаленной межпроцессорной коммуникации (клиент) 9 блок удаленной межпроцессорной коммуникации (сервер) 10 - блок ожидания подключения 11 - блок дислокации файлов 12 - блок процесса 13 - блок дупликации объектов 14 - блок создания посреднических процессов е - псевдо-узел разделение (параллельное исполнение потоков)- псевдо-узел разделение (параллельное исполнение потоков)- псевдо-узел ветвление (альтернативное исполнение)- псевдо-узел схождение (единое исполнение)- псевдо-узел слияние (синхронизация потоков)- псевдо-узел слияние (синхронизация потоков) Изобретение осуществляется следующим образом. Настоящее изобретение поясняется конкретным примером, который наглядно демонстрирует возможность достижения приведенной совокупностью признаков требуемого технического результата, однако не является единственно возможным. Пример. Система реализована в виде отдельного устройства, которое подключается к системной плате компьютера пользователя через стандартный. В соответствии с фиг.1 в режиме установки заявленной системы экспертная панель (Э) первоначально задает набор зловредных функциональностей с использованием диаграмм активности (ДА), определнных на уровне системных вызовов (СВ). Далее модуль обобщения спецификации (МОС) автоматически производит обобщение заданных спецификаций функциональностей. В результате обобщенные диаграммы активности(ОДА) охватывают множество альтернативных реализаций их функциональностей. Затем конструктор модифицированных сетей Петри(КМСП) конвертирует полученные обобщенные диаграммы активности (ОДА) в модифицированные сети Петри(МСПВУ). Кроме того, на данном этапе формализм модифицированных сетей Петри описывается на языке проектирования интегральных схем,например, такой как , и реализуется на аппаратном уровне (устройстве), например на основе программируемых вентильных матриц. Модифицированные сети Петри нижнего уровня (МСПНУ) подаются в модуль распознавания манипуляций с объектами (МРМО), как, например,процессы, потоки, сетевые ресурсы, файлы, память и реестр. МРМО симулирует МСПНУ, внешние переходы которой активируется системными вызовами (СВ), что в конечном итоге позволяет вывить создание, доступ и операции над системными объектами. Эти выявленные системные манипуляции подаются как манипуляции с объектами на подсистемном уровне (МОПУ) в качестве входных токенов (событий) для внешних переходов МСПВУ,которые симулируются модулем распознавания функциональностей (МРФ). В итоге такая иерархичность позволяет агрегировать атомарные системные события т.е. системные вызовы от уровня к уровню (СВ), что обеспечивает распознавание конечной зловредной функциональности в квази-реальном времени. Сбор системных вызовов (СВ) операционной системы для модулей распознавания (МРМО, МРФ),производиться с помощью драйвера-фильтра,который позволяет наблюдать и контролировать исполнение системных вызовов (СВ) любых процессов (исполняемых программ). Кроме того,сбор системных вызовов (СВ) может быть реализован на уровне гипервизора/монитора виртуальной машины. Для максимизации производительности модули распознавания функциональности (МРФ) и манипуляции с объектами (МРМО) могут быть реализованы на аппаратном уровне,например,используя программируемые вентильные матрицы. В соответствии с фиг.2 представлен пример спецификации конкретной зловредной функциональности, так называемый Удаленный шелл, используемый для бэкдоров, достаточно часто используется сетевыми червями для доставки своего тела после успешного проведения сессии эксплойтов. При разработке диаграммы активности были учтены две альтернативные реализации на уровне сетевых ресурсов через сетевой сокет (1) и через именованный входящий и выходящий каналы(3, 5). Как в случае использования сетевого сокета,так и в случае именованного канала устанавливается соединение в блоке установки соединения (2) и в блоках соединения входящего и выходящего каналов (4, 6) соответственно. Далее открытый канал связи подключается к входу и выходу блока процесса (7), что обеспечивает функционирование удаленного шелла. Следует отметить, что вышеуказанные блоки, объекты (процессы, каналы связи) и действия (соединения) в итоге выражаются и идентифицируются на аппаратном уровне в устройствах реализующие соответствующие модуля МСПНУ и МСПВУ. В соответствии с фиг.3 описан результат обобщения диаграммы активности для конкретной зловредной функциональности, так называемый Удаленный шелл. Как видно из фиг.3, к обобщенной диаграмме активности(намеренное запутывание). Эти блоки отслеживают следующие функции,используемые при обфускации блок дупликации объектов (13), блок дислокации файлов (11) и блок создания посреднических процессов (14). Блок дупликации объектов (13) позволяет отследить дублирование объектов на уровне дескрипторов используемых в данной функциональности таких как сокет,именованный канал и процесс. Данный блок позволяет устранить поведенческую обфускацию основанной на маскировке источника зловредной активности. Блок дислокации файлов (11) предназначен для отслеживания перемещения данных и файлов, причем на нижнем системном уровне. Блок создания посреднических процессов(14) позволяет отслеживать управление и взаимодействие между процессами. Блоки дислокации файлов (11) и создания посреднических процессов (14) обеспечивают защищенность от поведенческой обфускации основанной обфускации основанной на распределении зловредной активности по нескольким объектам и процессам(мультиэтапные и многодольные атаки). Таким образом, достигается противодействие известным классам методов обфускации поведения. Кроме того, обобщенная диаграмма активности (ОДА) покрывает больше альтернативных реализаций, чем исходная диаграмма (см. фиг.2) на уровне блоков удаленной межпроцессорной коммуникации клиента и сервера (8 и 9). Такая обобщнная спецификация позволит идентифицировать именно цель функциональности, несмотря на различные возможные пути ее реализации, используемые вирусописателями. Вышеописанные блоки в своей совокупности реализуются на аппаратном уровне в устройствах модулей МСПНУ и МСПВУ. Ниже представлено обоснование технической возможности осуществления изобретения с точки зрения производительности. 5 Для достоверного обнаружения зловредных вирусов предлагаемое изобретение предусматривает непрерывный контроль поведения почти всех активных процессов, которых может быть несколько сотен. Такое количество процессов может генерировать тысячи системных вызовов в минуту. Таким образом,на практике механизм распознавания должен эффективно обрабатывать огромное количество системных событий. В данной технологии эффективность достигается иерархичностью обработки системных вызовов(СВ). Используется многоуровневая модифицированная сеть Петри (МСП). Модуль модифицированной сети Петри верхнего уровня (МСПВУ), использует распознанные активности (токены) сетей Петри более нижнего уровня. Модуль модифицированной сети Петри нижнего уровня (МСПНУ) для обнаружения функциональности Удаленный шелл активирует переходы системными вызовами (СВ). Эта МСПНУ отслеживает сетевые объекты и операции над ними(сокет и именованный канал) на уровне системных вызовов. На нижнем уровне идет отбор системных вызовов по очень простому критерию сравнение статистических параметров с заданными константами. Таким образом,количество сгенерированных токенов (маркеров) сети Петри значительно меньше, нежели количество входящих системных вызовов, т.е. из тысячей системных вызовов генерируется только сотни токенов(системных). Далее эти системные токены подаются в сеть Петри среднего уровня, которая распознает функциии производиттокены причем их количество также сокращается, уменьшается, т.е. из сотни - десятки. В конце концовтокены стекаются в сеть Петри высокого уровня, которая распознает конкретные, заданные зловредные функциональности. Проведены эксперименты с сетью Петри,представленной на фиг.4. Результаты эксперимента показали, что при запуске 300 программ (из папки(системном) уровне генерируются только 770 токенов из нескольких тысяч системных событий,вызванных запущенными программами. На уровне- 62 токена на верхнем уровне образуется только 6 токенов. Как видно, на каждом уровне количество обрабатываемой информации (что соответствует числу токенов) понижается почти в геометрической прогрессии. Причем каждый токен хранит минимальный объем информации только касательно распознаваемой функциональности. Также история поведения процессов представляется одним токеном в конкретном месте сети Петри. Токены нижнего уровня, которые отработали свое (например,распознали функцию) автоматически уничтожаются. Поскольку различные зловредные функциональности совершают одни и те же действия (запись исполняемого файла, послать данные в сеть и т. д.), то распознавание нескольких функциональностей производиться одной общей,6 оптимальной сетью Петри. По сути эти функциональности совместно используют части одной и той же сети Петри. Изложенный подход к организации и оптимизации сети Петри, позволяет достичь высокой эффективности механизма распознавания функциональностей. Заявленное изобретение преодолевает такие сложности за счет трех инновационных аспектов- устойчивость к попыткам замаскировать вредоносное поведение (метаморфизм)- эффективность выявления функциональности из потока системных вызовов. мкость описания достигается формализацией вредоносных функциональностей в виде блокдиаграмм (диаграмм активности), заданных на абстрактном уровне. Такие диаграммы активности описывают функциональность в терминах системных вызовов. Полученные блок-диаграммы функциональности подвергаются специальной семантической обработке и в результате отражают е многочисленные реализации. Устойчивость достигается путем дополнения(обобщения) блок-диаграмм специальными блоками. Такие блоки представляют некоторые стандартные системные функциональности/механизмы,такие как межпроцессорная коммуникация, загрузка файла и т.д. Это позволяет нейтрализовать попытки маскировки вредоносного поведения программ(альтернативные реализации или через группу легитимных программ). Эффективность выявления обеспечивается разработанным механизмом распознавания функциональностей, содержащий в своей основе модифицированные многоуровневые цветные сети Петри. Их формализм позволяет собирать элементарные события в события более высокого уровня согласно графологической структуре. В рамках изобретения модифицирована сеть Петри, которые расширяют семантику сети следующими дополнительными функциями маркеров многомерные цвета маркеров(способность хранить множество атрибутов),полиморфизм маркеров (динамическое изменение структуры и состава маркера при определнных событиях), генеалогия маркера (позволяет отследить историю срабатывания переходов сети для идентификации начальных триггерных системных вызовов). Кроме того, было необходимо ввести иерархичность в сети Петри для разделения на подсети трех уровней системные вызовы, вызовы интерфейса программирования приложений ( вызовы) и функциональность. ФОРМУЛА ИЗОБРЕТЕНИЯ 1. Аппаратная интеллектуальная антивирусная система для обнаружения вредоносного программного обеспечения, отличающаяся тем,что содержит модуль обобщения спецификации, сообщенный с экспертной панелью с возможностью принятия данных диаграммы активности и с конструктором модифицированных сетей Петри с возможностью передачи данных обобщенной диаграммы активности,конструктор модифицированных сетей Петри,сообщенный с модулем распознавания функциональности с возможностью формирования модифицированных сетей Петри верхнего уровня и с модулем распознавания манипуляций с объектами с возможностью формирования модифицированных сетей Петри нижнего уровня,при этом модуль распознавания манипуляций с объектами выполнен с возможностью взаимодействия с системными вызовами и сообщен с модулем распознавания функциональности посредством передачи манипуляции с объектами на подсистемном уровне. 2. Система по п.1, отличающаяся тем, что модуль распознавания функциональности выполнен с возможностью семантической интеграции системных вызовов при высокой мкости описания функциональности,обеспечиваемой путем формализации вредоносных функциональностей в виде блок-диаграмм или диаграмм активности,заданных на абстрактном уровне, подверженных семантической обработке и отражающих е многочисленные реализации. 3. Система по п.1, отличающаяся тем, что модуль распознавания функциональности выполнен с возможностью семантической интеграции системных вызовов при устойчивости к попыткам замаскировать вредоносное поведениеметаморфизмам, обеспечиваемой путем дополнения блок-диаграмм определенными блоками,представляющих некоторые такие стандартные системные функциональности или механизмы, как межпроцессорная коммуникация и загрузка файла. 4. Система по п.1, отличающаяся тем, что модуль распознавания функциональности выполнен с возможностью семантической интеграции системных вызовов при эффективности выявления функциональности из потока системных вызовов,обеспечиваемой путем использования механизма распознавания функциональностей, содержащего в своей основе модифицированные сети Петри,позволяющие собирать элементарные события в события более высокого уровня согласно графологической структуре. 5. Система по п.1, отличающаяся тем, что модифицированная сеть Петри выполнена с возможностью расширения семантики сети с использованием функции многомерных цветов маркеров,позволяющей хранить множество атрибутов. 6. Система по п.1, отличающаяся тем, что модифицированная сеть Петри выполнена с возможностью расширения семантики сети с использованием функции полиморфизма маркеров,позволяющей динамическое изменение структуры и состава маркера при определнных событиях. 7. Система по п.1, отличающаяся тем, что модифицированная сеть Петри выполнена с возможностью расширения семантики сети с использованием функции генеалогии маркеров,позволяющей отследить историю срабатывания переходов сети для идентификации начальных триггерных системных вызовов. 8. Система по п.1, отличающаяся тем, что модифицированная сеть Петри выполнена с возможностью введения иерархичности с разделением на подсети трех уровней системные вызовы, вызовы интерфейса программирования приложений и функциональность.