CN102222192B - 通过自动修正检测规则优化反恶意软件处理 - Google Patents
通过自动修正检测规则优化反恶意软件处理 Download PDFInfo
- Publication number
- CN102222192B CN102222192B CN201110171270.5A CN201110171270A CN102222192B CN 102222192 B CN102222192 B CN 102222192B CN 201110171270 A CN201110171270 A CN 201110171270A CN 102222192 B CN102222192 B CN 102222192B
- Authority
- CN
- China
- Prior art keywords
- rule
- scoring
- database
- correction factor
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种用于优化反恶意软件(AV)应用的执行的系统、方法和计算机程序产品。通过使用修正系数修正恶意软件检测规则降低反病毒系统的误报确定数量。通过使用修正系数修正由规则确定的评分增加由反病毒系统检测到的恶意软件对象的数量。提供对反病毒系统使用的新检测规则的自动测试。添加具有零值修正系数的新规则到规则数据库,并分析该新规则的应用的结果,以及修正或修改该规则用于进一步测试。
Description
技术领域
本发明涉及反恶意软件技术,特别涉及优化反恶意软件处理。
背景技术
检测病毒和恶意软件在整个个人计算机时代都受到关注。随着例如互联网的通信网络的发展以及数据交换的增长、包括使用电子邮件通信的快速发展,在通信或文件交换中的计算机传染日益值得注意。传染有各种形式,而典型的是涉及计算机病毒、木马程序、或其它形式的恶意代码(例如恶意程序)。
一种现有的检测病毒的方法是签名扫描。签名扫描系统使用从已知的恶意软件代码提取的取样代码模式并在其它程序代码中扫描这些模式的出现。这种签名扫描的主要局限是只能检测已知的恶意软件代码,也就是说,只有与存储的已知恶意软件代码的取样签名相匹配的代码才能在感染时被识别出。所有在之前没有被识别出的病毒或恶意软件,以及所有在前一次更新签名数据库之后创建的病毒或恶意软件都不能被检测出。
另一个病毒检测策略是完整性检查。完整性检查系统从已知的、良性的应用程序代码中提取代码取样。代码取样被与例如可执行程序头文件和文件长度等来自该程序文件的信息、以及该取样的日期和时间戳一起存储。每间隔一段时间对应这个数据库对程序文件进行检查以确保程序文件没有被修改。
基于完整性检查的病毒检测系统的主要缺陷是很多病毒行为的报警是在对应用程序执行任意修改的任何时候发出的。对于用户很难确定什么时候报警表示计算机系统上的合法攻击。
一种有效的现有的方法使用所谓的白名单——已知的“纯净的”软件组件、链接、库和其它纯净对象的列表。为了对应白名单比较可疑对象,可使用哈希值。为了考虑效果,白名单必须经常更新。当使用白名单时,一些误报(false-positive)确定不可避免。
检测误报是很重要的,因为误报也许可导致与恶意软件同样多的损害。例如,合法的组件可被反病毒软件“认为”是恶意软件,这对反病毒软件提供商的声誉造成严重破坏,并对许多用户造成烦恼和时间的浪费。另外一种情况是恶意软件被错误地认为是“纯净的”组件并损害系统。但是,现有的系统不提供基于已检测的误报的白名单的有效且健全的更新。
另一个现有的方法是收集并分析可执行文件或程序的启发式数据。第7,530,106号美国专利公开了一种基于一组规则分析执行文件的行为的系统。使用根据规则计算出的计算机进程评分来检测恶意程序。规则被基于对已知恶意软件程序的分析而产生。每条规则具有如下结构:规则标识符、规则调用的API函数、规则参数和危险等级。如果程序调用具有规则参数的API函数,则调用该规则。然后,根据该规则值增加该程序的评分。
规则被存储在可更新数据库中。当出现新病毒时,规则数据库被更新。创建新规则或修改旧规则是一项繁重和昂贵的任务。因此,对规则关于应用的正确性进行测试变得很重要。新规则在它们的代码上会具有一些错误(即,一些bug)或它们会在恶意软件扫描期间被反病毒模块应用时产生错误。因此,一些规则会毫无效果。这些规则被存储在规则数据库,但永远不会在反病毒程序中使用。这些毫无效果的规则可由于一些因素而不被使用。例如,规则会具有过分严格的(即,狭窄的)参数,该规则会具有错误或由该规则检测到的程序不会在现代的恶意软件对象或应用中发现。
反病毒系统使用来自数据库的整个一组规则检查可疑对象。因此,毫无效果的规则不影响总体的评分,但降低反病毒系统的效果。并且,这些规则占据了数据库的空间使得频繁的更新更加困难。因此,新规则需要在被应用到反病毒系统中之前进行测试。但是,现有的系统不提供对新规则的自动测试。
任何反病毒系统都具有在其运行期间提升的错误的可能性。错误有两种类型。第一种类型的错误是反病毒系统在对象实际上没有损害的时候将其检测为恶意软件对象。换句话说,系统产生了误报确定。第二种类型的错误是反病毒系统没有检测出真正的恶意软件对象。为了使反病毒系统更加有效,需要降低两种类型的错误的可能性。
因此,本领域需要一种优化的系统和方法,能够满足测试和自动修正反病毒处理使用的规则的需要。
发明内容
本发明提出了能够充分克服本领域的一个或多个缺陷的一种优化反恶意软件(反病毒)处理的方法和系统。
根据一个示例性实施例,提供了一种优化反病毒处理的系统、方法和计算机程序产品。在一个实施例中,通过使用修正系数修正检测规则降低反病毒系统的误报确定的数量。在另一个示例性实施例中,通过使用修正系数修正由规则确定的评分增加由反病毒系统检测到的恶意软件对象的数量。
在另一个示例性实施例中,提供对反病毒系统使用的新检测规则的自动测试。添加具有零修正系数的新规则到规则数据库,并分析该新规则的应用的结果,以及修正或修改该规则用于进一步测试。
本发明的其它特征和优点将在下面的描述中阐明,并且部分特征和优点在描述中是明显的或可以通过本发明的实践得知。本发明的优点将通过本文所述的描述和权利要求、附图详细地指出的结构来体现和达到。
应该理解的是,无论是前述的概括描述还是下面详细的描述都是示范性的和说明性的并且意图提供本发明的权利要求的进一步解释。
附图说明
附图提供对本发明进一步的理解,并且并入此说明书中并构成其中的一部分,这些附图示出了本发明的实施例并与描述一起用于解释本发明的原理。
附图中:
图1示出了根据示例性实施例的反病毒系统的用户端体系结构;
图2示出了根据示例性实施例的使用检测规则最小化误报和使用评分优化恶意软件检测的反病毒系统的服务器端体系结构;
图3示出了根据示例性实施例的数据存储器结构;
图4示出了根据示例性实施例的产生评分的过程;
图5示出了根据示例性实施例的基于进程评分的反病毒处理算法的框图;
图6示出了根据示例性实施例的最小化误报和优化恶意软件检测的算法的框图;
图7示出了根据示例性实施例的测试检测规则的算法的框图;
图8示出了根据示例性实施例的自动修正规则的算法的框图;
图9示出了根据示例性实施例的基于评分的所检查的对象的分类;
图10示出了可以实施本发明的示例性计算机系统的原理图。
具体实施方式
现在,将对根据本发明的优选实施例进行详细描述,其示例图示于附图中。
根据示例性实施例,提供了一种优化反病毒处理的方法、系统和计算机程序产品。所提出的方法和系统提供最小化误报确定,用于增加检测到的恶意软件对象的数量并用于自动测试检测规则。
本发明的一个方面提供一种通过使用修正系数修改由检测规则设定的评分的反病毒系统来降低误报确定的系统、方法和计算机程序产品。在另一个示范性实施例中,通过使用修正系数修正由规则确定的评分来增加反病毒系统检测到的恶意软件对象的数量。
在另一个示范性实施例中,提供对反病毒系统使用的新检测规则的自动测试。添加具有“零”修正系数的新规则到规则数据库,并分析该新规则的应用的结果。然后修正或修改该规则用于进一步测试。
根据示范性实施例,使用进程评分允许增加由反病毒系统检测到的恶意软件对象的数量并允许降低误报确定的数量。因此,当增加正确地检测到的对象数量并降低误报确定数量时,两种类型的错误的可能性被降低。
正如本文中所使用的,对象是存储在非易失性存储器(例如,硬盘中)的代码,并且进程是用于执行的加载到存储器中的代码。恶意软件对象导致恶意软件程序。
因此,需要一种使用进程评分增加检测到的恶意软件对象的优化的反病毒系统。同样很明显地需要自动测试和修正新规则的系统。也需要对是否基于测试结果将新规则存储到数据库作出决定。
图1示出了根据示例性实施例的反病毒系统的用户端体系结构。示例性系统包括连接到反病毒服务器160的用户计算机100。
用户计算机100具有安装在它上面的反病毒模块110。反病毒模块100对用户计算机100扫描恶意软件对象(例如,发起恶意软件程序的可执行文件)。反病毒模块110检查由对象进行实例化的进程140。为了检查进程140,反病毒模块110使用来自位于用户端的规则数据库130的规则组132。规则132包含已知的有害程序的描述。每条规则132具有被分配的唯一的号码131。
用户计算机100还具有修正系数122的数据库120。修正系数120也被反病毒模块110使用以检测恶意软件对象。每条规则132在数据库120中具有对应的系数122。每个系数122具有对应规则131的被分配的号码121。数据库120和130可通过更新模块150在用户端被更新。
新规则134(要求被测试)被放置到规则数据库130中。数据库130包含需要被测试的新规则134以及正在被反病毒模块110使用的已被测试的规则133。新规则被提供给反病毒模块110用于测试。系数数据库120也被分为两部分:对应已被测试的规则133的系数123和对应需要被测试的新规则134的系数124。
反病毒模块110被连接到更新模块150并在用户计算机的反病毒扫描前启动更新模块150。更新模块150连接到服务器160更新模块280(如图2所示)并提供关于数据库120和130版本的信息。更新模块280比较数据库版本和服务器160上可使用的数据库版本。如果服务器更新模块280确定有更新的数据库版本可使用,这个版本被传送到用户更新模块150,将数据库120和130替换为更新的版本。要注意的是数据库120和130被独立地更新。
系数数据库120比规则数据库130更小。这允许经常更新系数而不会发生显著的网络过载。因此,独立更新这些数据库允许降低网络开销。
如果检测到恶意软件进程和对应的恶意软件对象,反病毒模块110连接到反病毒服务器160。反病毒模块110终结恶意软件进程。当进程被发起时,反病毒模块开始对其分析。结果,形成总计进程评分,指示对象是否是恶意软件。为了形成总计进程评分,使用规则评分、静态评分和当前评分。当前评分在反病毒服务器上产生,并且在分析程序的开始,反病毒模块发送对象的检核和(control sum)到反病毒服务器,并接收回当前评分。
如前面所述,反病毒模块110使用例如MD5、MD4、SHA1、SHA256或CRC32的哈希函数产生检测到的恶意软件对象的检查和(或摘要)。然后,反病毒模块110发送检查和、用于检测恶意软件对象的关于检测规则(它们的号码和它们自己的评分,即,由规则设定的评分)的信息、以及总计进程评分到反病毒服务器160。
反病毒服务器160累计接收到的数据。反病毒服务器160发送响应到反病毒模块110。响应包含基于公式R = + 静态评分 (+ 当前评分) 产生总计进程评分所使用的进程的当前评分。其中R是总计进程评分,Ri(i=1…m,其中m是上次触发的规则的号码)是关于分析的进程的触发的规则的评分,Ki是对应触发的规则的修正系数。如果不可能得到进程的当前评分,反病毒系统使用静态评分。将在下面讨论由图4示出的产生评分的过程。
根据示例性实施例,有三组评分。第一组是特别规则评分。所提出的系统具有规则的集合并且每条规则具有自己的评分。当系统分析程序以确定它是否是恶意软件时,一些规则被触发。因此,对于特定规则(被触发的这个),它是恶意软件进程以及对应的恶意软件对象。每条规则具有它自己的权重(即,评分),并且反病毒模块汇总所有被触发的规则的评分。
第二组是静态评分。反病毒模块产生每个被扫描的对象的静态评分。静态评分依据例如大小、类型、属性、位置等对象的各参数。
第三组是由反病毒服务器160的评分产生模块320产生的当前评分。报告产生单元210接收请求并将请求发送到在数据存储器220的统计数字进行查询的评分产生模块320。评分产生模块320返回平均评分(即,当前评分)到用户反病毒模块110。
最后反病毒模块110累计所有评分(规则的评分、静态评分和当前评分)并产生被扫描的对象的总计进程评分(如图4所示)。总计进程评分是规则的评分、静态评分与当前评分之和。
图2示出了根据示例性实施例的使用检测规则最小化误报和使用评分优化恶意软件检测的反病毒系统的服务器端体系结构。反病毒服务器160从用户计算机100接收关于所有检测到的恶意软件对象的信息。所有数据被接收到处理数据并将数据存储到数据存储器220的报告产生单元210。分析模块230处理来自数据存储器220的数据并且基于检查和421寻找“纯净的”对象。分析模块230使用来自黑名单存储器240的数据,该数据包含已知的恶意软件对象的检查和。
分析模块230寻找数据存储器220中出现的、而不是在黑名单存储器240中发现的检查和。对应这些检查和的对象是纯净的并且由此反病毒系统关于这些对象作出误报确定。
然后,分析模块230分析在反病毒处理期间触发误报确定的规则。由触发“纯净的”对象的检查和421定义的规则的号码423(如图3所示)被确定。反映已经超过阈值多少的进程的总计进程评分422以及当生成总计评分422时由每条规则设定的评分424被考虑。
分析模块230的操作分成两个阶段:执行误报的当前分析和执行误报的完全分析。当前分析被经常执行(例如,每过几个小时)。基于当前分析的结果,产生修正系数数据库250用于触发误报确定的规则。
基于收集的统计数字产生系数。系统收集数据到数据存储器220中。每过几个小时系统执行当前分析并确定是否有任何“纯净的”对象已经被检测为恶意软件(通过对比检查和)。结果,造成误报确定的一些规则被识别。这些规则自己的评分被确定。
然后,分析模块230可减少造成误报的规则的自己的评分。评分减少量是根据评分相对于其它评分对总计进程评分的贡献。例如,统计数字指示一个规则经常对误报检测做出贡献。如果规则的评分较高(相比于考虑到修正系数其它评分),则减少该规则的评分。因此,最小化将“纯净的”对象检测为恶意软件的数量这一目标可被实现。
另一个主要目的是不将恶意软件对象确定为“纯净的”对象。因此,可疑的对象被分析。(可参考在下面关于降低误报和改进检测的讨论)。
数据库250只包含“1”以外的系数(即,不等于“1”)。这最小化了包含规则号码251和对应的修正系数252的数据库250的大小。一旦数据库250在反病毒服务器160上被产生,可以用于用户计算机100的更新。数据库250被保持在允许经常更新的较小的大小(例如,大约500字节)。
进程评分被使用修正系数252而改变。这防止以后对“纯净的”对象的误报确定。误报的完全分析通常相对于当前分析被较低频度地执行。在完全分析中,分析模块230处理很长一段时间(例如,一周)收集的数据。完全分析的结果是,分析模块230产生数据库260的规则。
规则数据库260包含规则号码261和修正的规则262。基于完全分析,系统可作出决定以修正规则结构(不是系数)或(在专家的帮助之下)创建新规则。这些规则必须以规则264相同的方式被测试。
当恶意软件对象被检测到时直接影响由规则设定的评分的基系数被改变。因此,统计数字在系数改变之后被以实时模式收集,这被反映在数据存储器220中的统计数字中。下一次修正考虑在之前一轮修正之后收集的之前的统计数字。
改变也可影响规则结构。这个过程被专家(即,人)以半自动模式执行。
首先,规则被测试。初始地,系数被设定为“0”。如果规则是正确的,修改的规则的系数等于“1”,并且它可以基于使用数据库250的修改的规则的应用结果被修正。
在数据库260被产生以后,分析模块230通过分配系数“1”到修改的规则来丢弃修正系数。因此,修改的规则的修正系数等于“1”并且它可以基于使用数据库250的修改的规则的应用结果被修正。可选择地,不由分析模块230执行丢弃修正系数。因为系数数据库250被经常更新,系数可以基于修改的规则的应用被有效地修正。
如果系数数据库250和规则数据库260不能在用户端被反病毒服务器更新模块280更新,最新版本被使用。
初始地,检测规则被专家创建。需要测试的新规则被放置到规则数据库260。数据库260包含需要被测试的新规则264和正在被反病毒模块110使用的已被测试的规则263。新规则被提供给用户计算机100用于由反病毒模块110进行测试。
系数数据库250也被分为两部分:对应已被测试的规则263的系数253和对应需要被测试的新规则264的系数254。新规则不影响反病毒处理。因此,新规则不具有对产生总计进程评分的任何输入。这由修正系数完成。
对应规则的系数被初始地设定为等于零。因而这些规则不具有对总计评分的输入。因此,所有系数254等于零,因为它们对应需要被测试的新规则264。
反病毒模块110采用新规则264以及被提供到服务器160并被分析的这些规则的应用结果。注意反病毒模块110采用来自数据库130的所有规则,但是正在被测试的规则不影响反病毒模块110的操作结果(由于零值的修正系数)。但是,关于正在被测试的规则的自动应用的信息(例如,规则号码和触发规则应用的对象的检查和)被发送到服务器用于进一步分析。
涉及被触发并被自动应用的规则的数据被提供到处理该数据并将其存储到数据存储器220的报告生成单元210。分析模块230处理来自数据存储器220的数据并寻找触发被测试的规则的对象的检查和421(如图3所示)。分析模块230比较这些检查和与黑名单存储器240中的已知的恶意软件对象的检查和。如果检查和匹配,意味着规则正确工作并检测到恶意软件对象。
但是,如果数据存储器220中的检查和在黑名单240中不具有匹配的检查和,意味着规则已经检测到“纯净的”对象,即,反病毒系统关于这些对象作出了误报确定。因此,这个规则是不正确的并需要被修正。同样,一些规则可以是“毫无效果的”规则。这意味这些规则检测不出任何对象。
分析模块230寻找在反病毒处理期间不正确工作的毫无效果的规则。为了找到这些规则,规则数据库260被使用。分析模块230比较数据库220中的规则号码与数据库260中的规则号码261。在数据库220中没有号码的规则是还没有在反病毒处理期间被触发的规则,即,毫无作用的规则。因此,新规则被测试并且永远不工作的规则被确定。
如果测试结果显示规则工作正确(即,检测到恶意软件对象),分析模块230在修正系数数据库250中设定新系数(而不是零值系数)。因此,该规则被从正在被测试的规则组264中转移到具有系数等于“1”的已被测试的规则组263中。然后,在下一次更新数据库250后,这些规则将被反病毒模块110使用并具有对总计评分的输入。
由于各种原因没有通过测试的规则被从规则数据库260删除并被放置到不正确规则数据库270。不正确规则272可以被专家评审和修正。一旦规则272被修正,它们可被转移到规则数据库260用于另外一轮测试。例如,检测规则没有通过测试测试的原因可以是规则被“纯净的”对象(即,在黑名单240中不具有匹配的检查和的对象)触发或永远没有被恶意软件对象触发的规则。
示例性实施例用于两个主要的问题:系统将“纯净的”对象检测为恶意软件以及系统没有检测到恶意软件对象而将其检测为可疑对象。
如果系统检测到“纯净的”对象,所有关于这些对象的信息被收集到数据存储器220。在之后,数据存储器220中的检查和被与黑名单存储器240中存储的检查和相比较以确定“纯净的”对象和已经被它们触发的规则。然后降低被触发的规则的系数。因此,下一次这些“纯净的”对象将不会被同样的规则检测到。
如果可疑对象被检测到(即,对象既不是“纯净的”也不能被确定为恶意软件),关于这些对象的信息被收集到数据存储器220。在之后,数据存储器220中的检查和被与黑名单存储器240中存储的检查和相比较以确定恶意软件对象和已经被它们触发的规则。下一步是增加被触发的规则的系数,因此下一次这些可疑对象将被检测成恶意软件。
然后,分析模块230分析允许恶意软件对象在反病毒处理期间不被检测到的规则。由工作在不被检测到的恶意软件对象的检查和421定义的规则的号码423被确定。当产生总计评分时,反映阈值已经被下射(undershot)多少的进程的评分422和由每条规则设定的评分424被考虑。
分析模块230的操作分成两个阶段:执行误报的当前分析和执行误报的完全分析。当前分析被经常执行(例如,每过几个小时)。基于当前分析的结果,产生允许不被检测到的恶意软件对象的规则的修正系数数据库250。
数据库250只包含“1”以外的系数。这有利地最小化了包含规则号码251和对应的修正系数252的数据库250的大小。一旦数据库250在反病毒服务器160上被产生,可以用于用户计算机的更新。数据库250被保持在允许经常更新的较小的大小(大约500字节)。
进程评分被使用修正系数252而改变。这防止以后恶意软件对象不被检测到。不被检测到的实例的完全分析通常相对于当前分析被较低频度地执行。在完全分析中,分析模块230处理很长一段时间(例如,一周)收集的数据。完全分析的结果是,分析模块230产生数据库260的规则。数据库260包含规则的号码261和被修正的规则262。
当恶意软件对象被检测到时直接影响由规则设定的评分的基系数被改变。改变也可影响规则结构。这个过程被专家以半自动模式执行。在数据库260被产生以后,分析模块230通过分配系数“1”到修改的规则来丢弃修正系数。因此,修改的规则的修正系数等于“1”并且它可以基于使用数据库250的修改的规则的应用结果被修正。
可选择地,不由分析模块230执行丢弃修正系数。因为系数数据库250被经常更新,系数可以基于修改的规则的应用被有效地修正。如果修正系数数据库和规则数据库不能在用户端被反病毒服务器更新模块280更新,最新版本被使用。
评分生成模块320接受来自报告生成单元210的对象的检查和。评分生成模块320寻找数据存储器220中的匹配的检查和。然后,评分生成模块320发送包含对象的平均当前评分的响应到反病毒模块110。平均当前评分被基于由不同规则给定的对象的评分组计算。反病毒模块110使用所接收的由被检查的对象实例化的进程的总计评分生成的当前评分。总计评分被基于由已经应用到对象的不同规则的评分组计算。
如果反病毒模块110没有接收到当前评分,仅使用由反病毒模块110(无需反病毒服务器160)生成的静态评分。这种情况可以发生在数据存储器220不具有任何涉及可疑对象的数据。
图3示出了根据示例性实施例的数据存储结构。累计的数据存储器220是具有存储从反病毒模块110接受的数据的表的数据库。这些表至少具有如下字段:对象的检查和421、总计评分422、为检查和421定义的对象工作的触发的规则423的号码和由规则423设定的评分424。
图4示出了根据示例性实施例的产生评分的进程。反病毒模块110扫描用户计算机100(如图1所示)。反病毒模块110检查运行的进程140用以确定实例化这些进程的恶意软件对象。
在分析给定的程序期间,几个规则501-503可以被自动地应用。每条规则具有基系数Ri(i=1…n,其中n是最后的规则的号码),仅可在修改了规则自身后改变(在规则数据库260更新之后)。(与规则相关联的)基系数影响这些规则设定的评分。
但是,规则数据库130相对于修正系数数据库120被较低频度地更新。结果(即,总)评分被通过考虑以有效方式帮助改变特定规则的评分的修正系数504-506而生成。总计评分也受静态评分508的影响。静态评分508由反病毒模块110在对象参数(即,例如对象属性、位置、大小、类型,等)的初始分析时确定。
MS WINDOWS文件有四种属性:
(a)只读文件属性;
(b)档案库文件属性;
(c)系统文件属性;以及
(d)隐藏文件属性。
反病毒模块110基于静态参数(即,文件属性)产生静态评分。
在一个实施例中,从反病毒服务器160接收的当前(操作)评分509被与静态评分508一起使用。当前评分509提供由可疑对象表现出的威胁的更加全面的解释,因为当前评分509是基于从位于若干个用户计算机的反病毒装置接收的对象数据产生的。在反病毒处理中使用当前(操作)评分更加有效。因此,当前评分被用于任何可能的时候,而静态评分被忽略。
几条规则可以被触发并被应用到一个进程。每条规则构造出到最终恶意软件检测的输入。来自每条规则的输入包括两个组件:基系数R和修正系数K。来自每条规则的输入被相加并与静态评分508或当前评分509组合以生成总计进程评分507
如果总计进程评分超过了危险阈值1150(如图9所示),则该进程是危险的并且相应目标是恶意软件。注意所有的阈值是相关值。它们依据评分和系数。危险阈值是固定的(例如,大于75%)。安全阈值也是固定的并且可以小于50%(例如)。可疑对象阈值在这些阈值之间。
规则通常定义特定进程的基于百分率的评分。例如,特定规则被触发,并且它给进程20%的评分。系数将影响评分(例如,在0-5的范围内)。
K=0 -正在被测试的规则(20%*0=0);
K=(0-1) -导致表现为误报的规则(20%*0.5=10% -评分被降低);
K=1 -不需要改变(20%*1=20% -没有改变);
K=(1-5) -规则无错误地工作的情况,因此,最终的规则评分增加并且对象不再是可疑的,但是目前被分类为恶意软件(20%*4=80% -评分增加,对象为恶意软件)。
如果安全阈值1140没有被达到,对象被认为是“纯净的”。如果总计评分落入阈值1140和1150之间,对象被认为是可疑的。
修正系数504-506改变由特定规则设定的评分。因此,如果规则被不具有达到阈值的评分的恶意软件对象触发,这个规则的系数可以被增加。然后,到总计评分507的这个规则的输入被增加。因此,检测到的恶意软件对象的数量由于之前具有较低评分并已经被检测为可疑对象而增加。检测到的恶意软件对象的数量也在规则数据库被更新时增加(当基系数或规则结构被改变)。在这种情况下,由规则设定的评分R被修正以使规则在被恶意软件对象触发时提供更大的输入。
系数被基于当与特定规则和选择的系数工作时接收的统计数字的结果确定。统计数字由模块220在一段时期(例如,几个小时)收集并由模块230分析。例如,考虑特定规则的1000个结果被接收且系数K=3,而其中5个为误报的情况。系数K被改变为2。
在又一个小时之后,又有1000个结果被接收,且有2个为误报。系数被改变为1,等等。
在另一个实施例中,在一个小时的过程中,特定规则的1000个结果被接收且系数K=1,并且基于模块230的分析具有在黑名单240中的10个可疑对象(换句话说,对象不是可疑的,而实际上是恶意软件)。对于可疑对象,评分是在50%-75%。在这种情况下,模块230将系数提升为K=1.5。
在又一个小时之后,仅有5个对象被识别为是可疑的(实际上是恶意软件)。系数K被增加到2,等等。
如果规则经常被“纯净的”对象触发,这个规则的系数可以被降低。注意在这种情况中系数改变而规则本身保持不变,因为只要更新系数数据库就足以实现改变。因此,到总计评分507的这个规则的输入被最小化并且由这个规则引起的误报的数量被降低。在整个规则组使用修正系数降低了反病毒系统中的误报的整体数量。
图5示出了根据示例性实施例的基于进程评分的反病毒处理算法的框图。在步骤601中,在用户端更新修正系数和规则的数据库。在步骤602,发起进程,在步骤603中,产生进程评分。在步骤604中,如果确定进程评分超过安全阈值,在步骤605中,发送进程相关数据到反病毒服务器。否则,在步骤609中,继续执行进程。在步骤606中,如果确定进程评分超过危险阈值,在步骤607中,发送进程相关数据到反病毒服务器(例如,对象的检查和421、总计评分422、为检查和421定义的对象工作的触发的规则423的号码和由规则423设定的评分424)。之后在步骤608中阻塞进程。否则,完成进程的分析。
图6示出了根据示例性实施例的最小化误报和优化恶意软件检测的算法的框图。在步骤801中,反病毒服务器接收关于由反病毒软件110识别的对象的数据。在步骤802中,处理接收的数据并以方便之后模块220的处理进行结构化。在步骤803中,存储处理的数据。在步骤804中,以某种周期性的,例如每几个小时一次,分析模块230分析收集的数据,之后在步骤805中,形成系数数据库。
在步骤806中,分析模块230分析在更长一段时期收集的数据,例如一周。在步骤807中,根据这个分析形成规则数据库。在步骤805中,分析模块230更新修正系数数据库。在这时,修正系数数据库和规则数据库都准备好加载更新。
在步骤808中,评分生成模块320从报告生成单元210接收检核和或正在被检验的对象的哈希值。基于检核和/哈希值形成当前(操作)评分,并在步骤809中发送当前(操作)评分到用户端的反病毒模块。
图7示出了根据示例性实施例的测试检测规则的算法的框图。在步骤701中,更新用户端的修正系数和规则数据库。在步骤702中,发起进程,并且在步骤703中,根据规则检查进程。在步骤704中,如果测试规则被进程触发,在步骤705中发送规则数据到反病毒服务器用于进一步分析。否则,在步骤706中继续执行进程。发送下列数据:对象的检查和421、总计评分422、为检查和421定义的对象工作的触发的规则423的号码和由规则423设定的评分424。正被测试的规则具有零值修正系数,因此,它们不影响总计评分。
图8示出了根据示例性实施例的自动修正规则的算法的框图。在步骤1001中,添加测试规则到反病毒服务器的数据库。在步骤1002中,更新反病毒服务器的系数数据库。在步骤1003中接收修正规则数据,并在步骤1004中处理数据。在步骤1005中累计规则数据,并在步骤1006中分析数据。在步骤1007中,如果确定测试规则是正确的,在步骤1008中,为这个规则设定非零值修正系数。
否则,在步骤1010中,从反病毒服务器的规则数据库删除测试规则。然后在步骤1011中,从反病毒服务器的系数数据库删除对应的系数。在步骤1012中,存储测试规则到不正确规则数据库270。在步骤1013中,(由专家)评审并修改测试规则。然后在步骤1001中,添加修改的规则到规则数据库260用于进一步测试。
图9示出了根据示例性实施例的基于评分的所检查的对象的分类。有三种可能的情况:进程评分低于安全阈值1140并且对象1110被认为是“纯净的”;进程评分超过安全阈值1140但没有达到危险阈值1150并且对象1120被认为是可疑的;以及进程评分超过危险阈值1150并且对象1130被认为是危险的(即,恶意软件)。
安全阈值1140被依据危险阈值1150设定,并可以是例如危险阈值1150的50%。边界通常被固定,变化的是评分系数和规则。对象被分为三个组。基于在进程执行期间它们试图的动作:恶意软件、纯净的、以及可疑的。因此,危险阈值具有特定值(例如,75%),定义了触发规则的所有恶意软件对象。换句话说,危险阈值被基于恶意软件对象触发的规则的评分选择。类似的概念应用到纯净的对象。所有在安全阈值(例如,50%)以下的评分定义纯净的对象,并且安全阈值被由此推导出。系数和评分改变以确保误报和漏报(false-negative)被最小化。
注意优选的实施例被用于分析那些可以是恶意软件对象但是具有相对低的评分的可疑对象。
参考图10,示出了包括以计算机或服务器100或相类似的形式的通用计算机设备实施本发明的示例性系统,包括处理单元21、系统存储器22、以及包括耦接系统存储器到处理单元21的耦接各种系统组件的系统总线23。
系统总线23可以是几种类型总线结构的任意一种,包括存储器总线或存储器控制器、外围总线、以及使用各种总线体系结构的任意一种的本地总线。系统存储器包括只读存储器(ROM)24和随机访问存储器(RAM)25。基本输入/输出系统26(BIOS),包含例如在启动期间帮助在计算机100中的元件之间传输信息的基本例程,其被存储在ROM 24。
计算机100可进一步包括对硬盘(未示出)进行读取和写入的硬盘驱动器27,对可擦除磁盘29进行读取和写入的磁盘驱动器28,以及对例如CD-ROM、DVD-ROM的光盘31或其它光学媒体进行读取和写入的光盘驱动器30。
硬盘驱动器27、磁盘驱动器28、以及光盘驱动器30分别通过硬盘驱动器接口32、磁盘驱动器接口33、以及光盘驱动器接口34连接到系统总线23。驱动器和它们的相关联的计算机可读媒体提供用于计算机100的计算机可读指令、数据结构、程序模块和其它数据的非易失存储器。
尽管本文描述的示例性环境采用硬盘、可擦除磁盘29和可擦除光盘31,但本领域的技术人员能够理解示例性操作环境也可使用例如磁带、flash存储卡、数字视频盘、贝努利磁带、随机访问存储器(RAM)、只读存储器(ROM)以及其它类似的可以存储计算机可访问数据的其它类型的计算机可读媒体。
许多程序模块包括操作系统35可以被存储在硬盘、磁盘29、光盘31、ROM 24或RAM 25中。计算机100包括与操作系统35相关联或包含在操作系统35中的文件系统36、一个或多个应用进程37、其它进程模块38和进程数据39。用户可通过例如键盘40和指示设备42的输入设备输入命令和信息到计算机100。其它输入设备(未示出)可包括麦克风、游戏摇杆、游戏手柄、卫星天线、扫描仪等等。
这些和其它输入设备通常通过耦接到系统总线的串行端口接口46被连接到处理单元21,也可以通过例如并行端口、游戏端口或通用串行总线(USB)的其它接口连接。监视器47或其它类型的显示设备通过例如视频适配器48的接口也被连接到系统总线23。除监视器47之外,计算机通常包括其它外围输出设备(未示出),例如扬声器和打印机。
计算机100可使用到一个或多个远程计算机49的逻辑连接操作在网络环境中。远程计算机(或多个计算机)49可以是另一个计算机、服务器、路由器、网络PC、同位设备或其它公用网络节点,并且通常包括上面描述的关于计算机100的许多或者全部元件,尽管只示出了存储器存储设备50。逻辑连接包括局域网(LAN)51和广域网(WAN)52。这种网络环境在办公室、企业
计算机100可以使用与一个或更多的远程计算机49的逻辑连接而运行在网络环境中。远程计算机49可以是其它计算机、服务器、路由器、网络PC、对等设备(peer device)或其它公共网络节点,并且虽然仅示出了存储设备50,但通常包括对于计算机100所描述的多数或全部元件。逻辑连接包括局域网(LAN)51和广域网(WAN)52。这样的网络环境在办公室、企业范围内的计算机网络、内网和互联网上是普遍的。
当用于LAN网络环境中时,计算机100通过网络接口或适配器53连接到本地网络51中。当用于WAN网络环境中时,计算机100通常包括调制解调器54或其它用于在例如互联网的广域网52上建立通信的装置。调制解调器54通过串行端口接口46连接到系统总线23上,该调制解调器54可以既是内部的又是外部的。在网络环境中,对于计算机100所描绘的进程模块或其中的一部分,可能存储在远程存储器存储设备中。应该认识到,示出的网络连接是示例性的,也可以使用其它在计算机之间建立通信链接的方法。
通过这样描述优选的实施例,对于本领域的技术人员而言,所描述的方法和装置可以获得的某些优点应当是明显的。特别地,本领域技术人员应该认识到,提出的系统和方法用于优化反恶意软件处理。
还应当理解的是,可以在本发明的精神和范围内做出各种修改、适应及其替代实施例。本发明由所附权利要求书进一步限定。
Claims (34)
1.一种用于优化反病毒(AV)处理的计算机实施的方法,所述方法包括:
(a)在反病毒服务器上创建恶意软件检测规则数据库和修正系数数据库,其中所述检测规则包括测试规则;
(b)使用来自所述反病毒服务器上的所述恶意软件检测规则数据库和所述修正系数数据库的当前数据来更新用户端的恶意软件检测规则数据库和用户端的修正系数数据库;
(c)如果进程总计评分超过安全阈值但低于危险阈值,从在所述反病毒服务器上运行用户进程的用户接收与所述用户进程相关的数据;其中至少基于所述用户进程的所述检测规则的应用、所述检测规则的所述修正系数和静态评分来生成所述进程总计评分;
(d)在反病毒服务器数据存储器上累计与所述用户进程相关的接收的数据;
(e)分析漏报确定,其中当反病毒服务器数据存储器中的检测到的可疑对象的检查和具有与黑名单数据库中已知的恶意软件对象相匹配的检查和时,所述漏报确定被做出;以及
(f)更新所述修正系数数据库用以基于总计漏报确定修正所述反病毒服务器上的所述检测规则,其中所述更新所述修正系数数据库包括增加被触发的规则的修正系数。
2.根据权利要求1所述的方法,进一步包括从所述反病毒服务器接收用户进程的当前评分。
3.根据权利要求2所述的方法,其中基于与从若干个用户接收的所述进程相关的数据来确定所述当前评分。
4.根据权利要求1所述的方法,其中与所述进程相关的所述数据至少包括对应所述用户进程的所述对象的检查和,所述进程的总计评分,所述被触发的规则的号码以及由所述规则设定的评分。
5.根据权利要求1所述的方法,其中还基于当前评分来生成所述进程总计评分。
6.根据权利要求1所述的方法,其中基于对应所述用户进程的所述对象的参数生成所述静态评分,所述参数至少包括对象属性,对象位置,对象类型和对象大小。
7.根据权利要求1所述的方法,其中所述修正系数改变由所述规则设定的评分。
8.根据权利要求1所述的方法,其中所述测试规则具有零值修正系数,并且其中进一步包括如果至少其中一个所述测试规则被所述用户进程触发,则由所述反病毒服务器接收与所述进程相关的数据用于进一步分析。
9.根据权利要求8所述的方法,进一步包括如果所述测试规则被不正确地触发,则从所述规则数据库删除所述测试规则并将所述测试规则存储到不正确规则数据库用于进一步评价。
10.根据权利要求8所述的方法,进一步包括删除对应被不正确地触发的所述测试规则的所述修正系数。
11.根据权利要求8所述的方法,进一步包括如果所述测试规则被正确地触发,则对所述测试规则设定非零值系数。
12.根据权利要求1所述的方法,其中在至少一天中收集的数据被用于修正所述检测规则。
13.一种用于反病毒(AV)处理中最小化误报确定的计算机实施的方法,所述方法包括:
(a)在反病毒服务器上创建恶意软件检测规则数据库和修正系数数据库;
(b)使用来自所述反病毒服务器上的所述恶意软件检测规则数据库和所述修正系数数据库的当前数据更新用户端的恶意软件检测规则数据库和用户端的修正系数数据库;
(c)如果进程总计评分超过危险阈值,从在所述反病毒服务器上运行用户进程的用户接收与所述用户进程相关的数据;其中至少基于所述用户进程的所述检测规则的应用、所述检测规则的所述修正系数和静态评分来生成所述进程总计评分;
(d)在反病毒服务器数据存储器上累计与所述用户进程相关的接收的数据;
(e)分析误报确定,其中当所述反病毒服务器数据存储器中的检测到的对象的检查和不具有与黑名单数据库中已知的恶意软件对象相匹配的检查和时,做出所述误报确定;以及
(f)更新所述修正系数数据库用以基于总计误报确定修正所述反病毒服务器上的所述检测规则,其中所述更新所述修正系数数据库包括降低被触发的规则的修正系数。
14.根据权利要求13所述的方法,进一步包括从所述反病毒服务器接收用户进程的当前评分。
15.根据权利要求14所述的方法,其中基于与从若干个用户接收的所述进程相关的数据确定所述当前评分。
16.根据权利要求13所述的方法,其中还基于当前评分生成所述进程总计评分。
17.根据权利要求13所述的方法,其中基于对应所述用户进程的所述对象的参数生成所述静态评分,所述参数至少包括对象属性,对象位置,对象类型和对象大小。
18.根据权利要求13所述的方法,其中与所述进程相关的所述数据至少包括对应所述用户进程的所述对象的检查和、所述进程的总计评分、所述被触发的规则的号码以及由所述规则设定的评分。
19.根据权利要求13所述的方法,其中所述修正系数改变由所述规则设定的评分。
20.根据权利要求13所述的方法,其中在至少一天中收集的数据被用于修正所述检测规则。
21.一种用于优化反病毒(AV)处理的实现在具有处理器和存储器的计算机上的系统,所述系统包括:
报告产生单元,所述报告产生单元用于处理用户请求,其中报告产生单元被连接到数据存储器;
分析模块,所述分析模块被连接到所述数据存储器,黑名单存储器,规则数据库,不正确规则数据库以及修正系数数据库;
所述规则数据库可被所述分析模块访问用以修改所述规则数据库中的规则;
所述修正系数数据库可被所述分析模块访问用以为来自所述规则数据库的所述规则修改修正系数数据库中的所述系数;
更新模块,所述更新模块连接到所述规则数据库和所述修正系数数据库;
数据存储器,所述数据存储器包含与进程相关的数据,其中所述数据存储器可被所述分析模块和所述报告产生单元访问;
黑名单存储器,所述黑名单存储器包含与已知的恶意软件对象相关的数据;
其中所述报告产生单元从用户接收与所述进程相关的数据并将接收的数据存储到所述数据存储器,其中:
如果进程总计评分超过安全阈值但低于危险阈值,或者如果进程总计评分超过危险阈值,则所述报告产生单元从所述用户接收与所述进程相关的数据;
其中至少基于所述用户进程的检测规则的应用、所述检测规则的所述修正系数和静态评分来生成所述进程总计评分;
其中基于使用所述黑名单存储器分析所述数据存储器中的数据由分析模块更新所述规则数据库以及所述系数数据库,其中:
当所述数据存储器中的检测到的可疑对象的检查和具有与所述黑名单存储器中所述已知的恶意软件对象相匹配的检查和时,所述分析模块做出漏报确定,更新所述修正系数数据库用以基于所述漏报确定修正所述规则,其中所述更新所述修正系数数据库包括增加被触发的规则的修正系数;
当所述数据存储器中的检测到的对象的检查和不具有与所述黑名单存储器中所述已知的恶意软件对象相匹配的检查和时,所述分析模块做出误报确定,更新所述修正系数数据库用以基于所述误报确定修正所述规则,其中所述更新所述修正系数数据库包括降低被触发的规则的修正系数;
其中所述更新模块将所述规则数据库和所述修正系数数据库的新版本发送到所述用户。
22.根据权利要求21所述的系统,其中所述报告生成单元至少接收下列内容:
将触发检测规则的进程实例化的可疑或恶意软件对象的检查和;
触发的检测规则的唯一号码;
由所述触发的检测规则设定的进程评分;以及
所述进程的总计评分。
23.根据权利要求21所述的系统,进一步包括评分生成模块,所述评分生成模块连接到所述报告产生单元和所述数据存储器。
24.根据权利要求23所述的系统,其中所述评分生成模块基于与从若干个用户接收的所述进程相关的数据提供由所述可疑对象触发的所述进程的当前进程评分。
25.根据权利要求21所述的系统,其中基于对应所述用户进程的所述对象的参数生成所述静态评分,所述参数至少包括对象属性、对象位置、对象类型和对象大小。
26.根据权利要求21所述的系统,其中所述可疑对象将具有低于危险阈值且高于安全阈值的总计评分的进程实例化。
27.根据权利要求21所述的系统,其中如果由所述可疑对象实例化的进程具有高于危险阈值的总计评分,则所述可疑对象被处理为恶意软件。
28.根据权利要求21所述的系统,其中所述规则数据库和所述系数数据库被相互独立地更新。
29.根据权利要求21所述的系统,其中所述规则数据库包括在所述修正系数数据库中具有零值修正系数的测试规则。
30.根据权利要求29所述的系统,其中如果至少其中一个所述测试规则被所述用户进程触发,所述报告产生单元接收与所述进程相关的所述数据用于进一步分析。
31.根据权利要求29所述的系统,进一步包括可被所述分析模块访问的不正确规则数据库,其中在修正后来自所述不正确规则数据库的规则被添加到所述规则数据库。
32.根据权利要求31所述的系统,其中如果所述测试规则被不正确地触发,则所述分析模块从所述规则数据库删除所述测试规则并将所述测试规则存储到不正确规则数据库用于进一步分析。
33.根据权利要求31所述的系统,其中所述分析模块从所述修正系数数据库中删除对应于被不正确地触发的所述测试规则的所述修正系数。
34.根据权利要求29所述的系统,其中如果所述测试规则被不正确地触发,则所述分析模块对所述测试规则设定非零值系数。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/978,453 US8640245B2 (en) | 2010-12-24 | 2010-12-24 | Optimization of anti-malware processing by automated correction of detection rules |
US12/978,453 | 2010-12-24 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102222192A CN102222192A (zh) | 2011-10-19 |
CN102222192B true CN102222192B (zh) | 2014-10-15 |
Family
ID=44778742
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110171270.5A Active CN102222192B (zh) | 2010-12-24 | 2011-06-23 | 通过自动修正检测规则优化反恶意软件处理 |
Country Status (3)
Country | Link |
---|---|
US (1) | US8640245B2 (zh) |
EP (1) | EP2469445B1 (zh) |
CN (1) | CN102222192B (zh) |
Families Citing this family (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2487405C1 (ru) * | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для исправления антивирусных записей |
US9202047B2 (en) | 2012-05-14 | 2015-12-01 | Qualcomm Incorporated | System, apparatus, and method for adaptive observation of mobile device behavior |
US9319897B2 (en) | 2012-08-15 | 2016-04-19 | Qualcomm Incorporated | Secure behavior analysis over trusted execution environment |
US9747440B2 (en) | 2012-08-15 | 2017-08-29 | Qualcomm Incorporated | On-line behavioral analysis engine in mobile device with multiple analyzer model providers |
US9256511B2 (en) * | 2012-09-04 | 2016-02-09 | International Business Machines Corporation | Computer software application self-testing |
CN103780589A (zh) | 2012-10-24 | 2014-05-07 | 腾讯科技(深圳)有限公司 | 病毒提示方法、客户端设备和服务器 |
US8914886B2 (en) * | 2012-10-29 | 2014-12-16 | Mcafee, Inc. | Dynamic quarantining for malware detection |
US9792432B2 (en) * | 2012-11-09 | 2017-10-17 | Nokia Technologies Oy | Method and apparatus for privacy-oriented code optimization |
US10089582B2 (en) | 2013-01-02 | 2018-10-02 | Qualcomm Incorporated | Using normalized confidence values for classifying mobile device behaviors |
US9742559B2 (en) | 2013-01-22 | 2017-08-22 | Qualcomm Incorporated | Inter-module authentication for securing application execution integrity within a computing device |
CN105074718A (zh) * | 2013-02-15 | 2015-11-18 | 高通股份有限公司 | 具有多个分析仪模型提供商的移动设备中的在线行为分析引擎 |
US9858413B1 (en) * | 2013-07-03 | 2018-01-02 | Trend Micro Inc. | Reduction of false positives in malware detection using file property analysis |
EP2854065B1 (en) * | 2013-09-30 | 2018-06-06 | AO Kaspersky Lab | A system and method for evaluating malware detection rules |
RU2568285C2 (ru) | 2013-09-30 | 2015-11-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ и система анализа работы правил обнаружения программного обеспечения |
CN103618626A (zh) * | 2013-11-28 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于日志的安全分析报告生成的方法和系统 |
US20150222667A1 (en) * | 2013-12-02 | 2015-08-06 | Alex Nayshtut | Protection system including security rule evaluation |
RU2587429C2 (ru) | 2013-12-05 | 2016-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ оценки надежности правила категоризации |
US9258315B2 (en) * | 2014-01-13 | 2016-02-09 | Cisco Technology, Inc. | Dynamic filtering for SDN API calls across a security boundary |
CN103824020B (zh) * | 2014-02-20 | 2017-10-24 | 北京深思数盾科技股份有限公司 | 自动实现软件程序免杀的方法 |
US10104124B2 (en) * | 2014-03-19 | 2018-10-16 | Nippon Telegraph And Telephone Corporation | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program |
US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
CN103955645B (zh) | 2014-04-28 | 2017-03-08 | 百度在线网络技术(北京)有限公司 | 恶意进程行为的检测方法、装置及系统 |
US9734450B2 (en) * | 2014-06-05 | 2017-08-15 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Data loss prevention to remove false positives |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US9465939B2 (en) | 2014-06-27 | 2016-10-11 | Mcafee, Inc. | Mitigation of malware |
CN104091071B (zh) * | 2014-07-09 | 2017-11-07 | 北京智谷睿拓技术服务有限公司 | 应用程序的风险确定方法及确定装置 |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US10834109B2 (en) * | 2014-12-23 | 2020-11-10 | Mcafee, Llc | Determining a reputation for a process |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
US10075454B1 (en) * | 2015-03-31 | 2018-09-11 | Symantec Corporation | Using telemetry data to detect false positives |
CN105187394B (zh) * | 2015-08-10 | 2018-01-12 | 济南大学 | 具有移动终端恶意软件行为检测能力的代理服务器及方法 |
US10043026B1 (en) | 2015-11-09 | 2018-08-07 | 8X8, Inc. | Restricted replication for protection of replicated databases |
US10021120B1 (en) | 2015-11-09 | 2018-07-10 | 8X8, Inc. | Delayed replication for protection of replicated databases |
US10248788B2 (en) * | 2016-06-28 | 2019-04-02 | International Business Machines Corporation | Detecting harmful applications prior to installation on a user device |
US10489589B2 (en) * | 2016-11-21 | 2019-11-26 | Cylance Inc. | Anomaly based malware detection |
CN107317799B (zh) * | 2017-05-26 | 2020-09-11 | 北京金山安全管理系统技术有限公司 | 病毒预警处理方法及装置 |
US10243989B1 (en) * | 2017-07-27 | 2019-03-26 | Trend Micro Incorporated | Systems and methods for inspecting emails for malicious content |
US11003773B1 (en) * | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
CN109815697B (zh) * | 2018-12-29 | 2021-04-27 | 360企业安全技术(珠海)有限公司 | 误报行为处理方法及装置 |
US11550910B2 (en) | 2019-09-30 | 2023-01-10 | AVAST Software s.r.o. | Creating generic rules in a high dimensional sparse feature space using negative feedback |
US20220292198A1 (en) * | 2021-03-15 | 2022-09-15 | AO Kaspersky Lab | Systems and methods for modifying a malicious code detection rule |
EP4060534A1 (en) * | 2021-03-15 | 2022-09-21 | AO Kaspersky Lab | Systems and methods for modifying a malicious code detection rule |
US11909773B2 (en) | 2021-04-02 | 2024-02-20 | Target Brands, Inc. | Continuous improvement of security detection rules |
CN115225370B (zh) * | 2022-07-18 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种规则库优化方法、装置、电子设备及存储介质 |
CN115277224A (zh) * | 2022-07-29 | 2022-11-01 | 北京天融信网络安全技术有限公司 | 确定应用防护规则的方法、装置、存储介质及电子设备 |
CN115309785B (zh) * | 2022-08-08 | 2023-07-07 | 北京百度网讯科技有限公司 | 文件规则引擎库的生成、文件信息检测方法、装置及设备 |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2279134A1 (en) | 1999-07-29 | 2001-01-29 | Tianmin Liu | Novel strategy for carbohydrate-based therapeutic vaccines |
US7231637B1 (en) * | 2001-07-26 | 2007-06-12 | Mcafee, Inc. | Security and software testing of pre-release anti-virus updates on client and transmitting the results to the server |
US7487544B2 (en) | 2001-07-30 | 2009-02-03 | The Trustees Of Columbia University In The City Of New York | System and methods for detection of new malicious executables |
US20030172291A1 (en) | 2002-03-08 | 2003-09-11 | Paul Judge | Systems and methods for automated whitelisting in monitored communications |
US7290282B1 (en) * | 2002-04-08 | 2007-10-30 | Symantec Corporation | Reducing false positive computer virus detections |
US6868865B2 (en) | 2002-04-12 | 2005-03-22 | Control Components, Inc. | Rotary drag valve |
US7237008B1 (en) | 2002-05-10 | 2007-06-26 | Mcafee, Inc. | Detecting malware carried by an e-mail message |
US7370361B2 (en) | 2004-02-06 | 2008-05-06 | Trend Micro Incorporated | System and method for securing computers against computer virus |
US7334005B2 (en) * | 2005-04-13 | 2008-02-19 | Symantec Corporation | Controllable deployment of software updates |
US20070143851A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
US7926111B2 (en) | 2006-03-17 | 2011-04-12 | Symantec Corporation | Determination of related entities |
CN100490392C (zh) * | 2006-04-19 | 2009-05-20 | 腾讯科技(深圳)有限公司 | 一种垃圾邮件处理系统及分检垃圾邮件的方法 |
US20070300300A1 (en) | 2006-06-27 | 2007-12-27 | Matsushita Electric Industrial Co., Ltd. | Statistical instrusion detection using log files |
US7953969B2 (en) * | 2007-04-16 | 2011-05-31 | Microsoft Corporation | Reduction of false positive reputations through collection of overrides from customer deployments |
US8087086B1 (en) * | 2008-06-30 | 2011-12-27 | Symantec Corporation | Method for mitigating false positive generation in antivirus software |
US7530106B1 (en) | 2008-07-02 | 2009-05-05 | Kaspersky Lab, Zao | System and method for security rating of computer processes |
US8931086B2 (en) * | 2008-09-26 | 2015-01-06 | Symantec Corporation | Method and apparatus for reducing false positive detection of malware |
US7640589B1 (en) | 2009-06-19 | 2009-12-29 | Kaspersky Lab, Zao | Detection and minimization of false positives in anti-malware processing |
US8356354B2 (en) * | 2009-11-23 | 2013-01-15 | Kaspersky Lab, Zao | Silent-mode signature testing in anti-malware processing |
US8719935B2 (en) * | 2010-01-08 | 2014-05-06 | Microsoft Corporation | Mitigating false positives in malware detection |
US8584235B2 (en) * | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
RU2487405C1 (ru) * | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для исправления антивирусных записей |
-
2010
- 2010-12-24 US US12/978,453 patent/US8640245B2/en active Active
-
2011
- 2011-04-12 EP EP11161997.9A patent/EP2469445B1/en active Active
- 2011-06-23 CN CN201110171270.5A patent/CN102222192B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN102222192A (zh) | 2011-10-19 |
EP2469445A1 (en) | 2012-06-27 |
US20120167219A1 (en) | 2012-06-28 |
US8640245B2 (en) | 2014-01-28 |
EP2469445B1 (en) | 2014-07-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102222192B (zh) | 通过自动修正检测规则优化反恶意软件处理 | |
RU2487405C1 (ru) | Система и способ для исправления антивирусных записей | |
US8356354B2 (en) | Silent-mode signature testing in anti-malware processing | |
US9715588B2 (en) | Method of detecting a malware based on a white list | |
RU2551820C2 (ru) | Способ и устройство для проверки файловой системы на наличие вирусов | |
CN101901314B (zh) | 反恶意软件处理中误报的检测和最小化 | |
US7231637B1 (en) | Security and software testing of pre-release anti-virus updates on client and transmitting the results to the server | |
CN101986323B (zh) | 用于检测先前未知的恶意软件的系统和方法 | |
RU2536664C2 (ru) | Система и способ автоматической модификации антивирусной базы данных | |
US8528089B2 (en) | Known files database for malware elimination | |
US7854006B1 (en) | Differential virus scan | |
JP4711949B2 (ja) | マクロと実行可能なスクリプトにおいてマルウェアを検出する方法およびシステム | |
US8051479B1 (en) | Method and apparatus for detecting shellcode | |
US20070152854A1 (en) | Forgery detection using entropy modeling | |
US20040181677A1 (en) | Method for detecting malicious scripts using static analysis | |
US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
CN101587527B (zh) | 病毒程序扫描方法及装置 | |
US7934229B1 (en) | Generating options for repairing a computer infected with malicious software | |
WO2014082599A1 (zh) | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 | |
RU2747464C2 (ru) | Способ обнаружения вредоносных файлов на основании фрагментов файлов | |
Muttik | Stripping down an AV engine | |
RU107615U1 (ru) | Система уменьшения количества ложных срабатываний антивирусной системы | |
CN112347479A (zh) | 恶意软件检测的误报纠正方法、装置、设备和存储介质 | |
RU108870U1 (ru) | Система увеличения количества обнаружений вредоносных объектов | |
RU111920U1 (ru) | Система автоматического тестирования правил определения вредоносных объектов |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |