RU107615U1 - SYSTEM FOR REDUCING THE NUMBER OF FALSE FACES OF AN ANTI-VIRUS SYSTEM - Google Patents

SYSTEM FOR REDUCING THE NUMBER OF FALSE FACES OF AN ANTI-VIRUS SYSTEM Download PDF

Info

Publication number
RU107615U1
RU107615U1 RU2011111602/08U RU2011111602U RU107615U1 RU 107615 U1 RU107615 U1 RU 107615U1 RU 2011111602/08 U RU2011111602/08 U RU 2011111602/08U RU 2011111602 U RU2011111602 U RU 2011111602U RU 107615 U1 RU107615 U1 RU 107615U1
Authority
RU
Russia
Prior art keywords
tool
base
personal computer
user
virus
Prior art date
Application number
RU2011111602/08U
Other languages
Russian (ru)
Inventor
Олег Владимирович Зайцев
Юрий Вячеславович Машевский
Николай Владимирович Денищенко
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2011111602/08U priority Critical patent/RU107615U1/en
Application granted granted Critical
Publication of RU107615U1 publication Critical patent/RU107615U1/en

Links

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

1. Система для анализа ложных срабатываний антивирусной системы, включающая антивирусный сервер, связанный, по крайней мере, с одним персональным компьютером пользователя, при этом персональный компьютер пользователя включает: ! а) антивирусное средство, связанное со следующими средствами: ! - базой правил на стороне персонального компьютера пользователя; ! - базой корректирующих коэффициентов на стороне персонального компьютера пользователя; ! - средством обновления на стороне персонального компьютера пользователя; ! - средством формирования отчетов на антивирусном сервере; ! при этом упомянутое антивирусное средство предназначено для проведения проверки процессов, вызываемых при запуске объектов, используя базу правил и базу корректирующих коэффициентов; ! б) средство обновления на стороне персонального компьютера пользователя, связанное со следующими средствами: ! - базой правил на стороне персонального компьютера пользователя; ! - базой корректирующих коэффициентов на стороне персонального компьютера пользователя; ! - средством обновления на стороне антивирусного сервера; ! при этом упомянутое средство обновления на стороне персонального компьютера пользователя выполнено с возможностью запуска антивирусным средством и предназначено для проведения обновления базы правил и базы корректирующих коэффициентов, полученных от средства обновления на стороне антивирусного сервера; ! в) базу правил на стороне персонального компьютера пользователя, которая содержит набор правил для обнаружения вредоносных объектов; ! г) базу корректирующих коэффициентов на стороне персонального компьютера пользо 1. A system for analyzing false positives of an anti-virus system, including an anti-virus server connected to at least one user's personal computer, while the user's personal computer includes:! a) an antiviral agent associated with the following agents:! - a base of rules on the side of the user's personal computer; ! - a base of correction factors on the side of the user's personal computer; ! - update tool on the side of the user's personal computer; ! - a means of generating reports on an anti-virus server; ! at the same time, the mentioned antivirus tool is designed to check the processes that are called up when objects are launched using the rule base and the base of correction factors; ! b) update tool on the side of the user's personal computer associated with the following tools:! - a base of rules on the side of the user's personal computer; ! - a base of correction factors on the side of the user's personal computer; ! - update tool on the anti-virus server side; ! wherein said update tool on the side of the user's personal computer is configured to be launched by an anti-virus tool and is intended to update the rule base and the database of correction factors received from the update tool on the anti-virus server side; ! c) the rule base on the side of the user's personal computer, which contains a set of rules for detecting malicious objects; ! d) the base of correction factors on the side of the personal computer

Description

Область техникиTechnical field

Полезная модель относится к системам уменьшения количества ложных срабатываний антивирусных систем, использующих рейтинги процессов для определения вредоносных объектов.The utility model relates to systems for reducing the number of false positives of anti-virus systems that use process ratings to determine malicious objects.

Уровень техникиState of the art

В связи с бурным развитием компьютерной техники и компьютерных сетей все большие размеры принимает проблема, связанная с защитой от вредоносных объектов, которые поступают на компьютеры пользователей.In connection with the rapid development of computer technology and computer networks, the problem of protecting against malicious objects that enter users' computers is becoming increasingly large.

В настоящее время применяется множество систем для решения данной проблемы. Антивирусные системы используют разные подходы при выполнении своей работы: сигнатурная проверка, эвристический анализ, поведенческий анализ.Currently, many systems are used to solve this problem. Anti-virus systems use different approaches when doing their job: signature verification, heuristic analysis, behavioral analysis.

Сигнатурный анализ является классическим методом для поиска вирусов и других вредоносных объектов. Суть данного подхода заключается в применении образцов программного кода, полученных при анализе известного вредоносного кода. Образцы носят название сигнатуры. Поиск вирусов происходит в процессе сканирования потенциально опасного программного кода. Если в процессе сканирования встречается код, который совпадает с шаблоном кода сигнатуры, то объект, содержащий такой код, классифицируется как вредоносный. Сигнатурный анализ гарантирует обнаружение вредоносных объектов, которые описаны сигнатурами, но не способен обнаружить неизвестные вирусы.Signature analysis is a classic method for searching for viruses and other malicious objects. The essence of this approach is the use of samples of program code obtained in the analysis of known malicious code. Samples are called signatures. Virus scanning takes place during the scanning process of potentially dangerous program code. If during scanning a code is found that matches the signature code template, then an object containing such code is classified as malicious. Signature analysis ensures the detection of malicious objects that are described by signatures, but are not able to detect unknown viruses.

Эвристический анализ позволяет определить присутствие данных, способных принести вред, до запуска самого объекта. Поведенческий анализ заключается в слежении за всеми процессами, запущенными различными объектами. При подозрительном поведении процесса, которое определяется в рамках правил, антивирусная система принимает меры защиты. Данный способ обладает недостатком: при поведенческом анализе антивирусная система может пропустить некоторые известные вирусы.Heuristic analysis allows you to determine the presence of data that can be harmful before starting the object itself. Behavioral analysis consists in tracking all the processes launched by various objects. In case of suspicious process behavior, which is determined by the rules, the anti-virus system takes protective measures. This method has a drawback: during behavioral analysis, the antivirus system may skip some known viruses.

Современные антивирусные системы успешно используют сразу несколько подходов для повышения эффективности борьбы с вредоносными объектами, пользуясь преимуществами каждого способа и компенсируя их недостатки.Modern anti-virus systems successfully use several approaches at once to increase the effectiveness of the fight against malicious objects, taking advantage of each method and compensating for their shortcomings.

Система, которая использует технологию, базирующуюся на изучении запускаемых исполняемых файлов и оценке поведения на основании системы правил, описана в патенте US 7530106 и предназначена для обнаружения вирусов и других типов вредоносных объектов, используя рейтинги безопасности компьютерных процессов, рассчитанных по системе правил. Сами правила формируются на основании анализа изученных вредоносных объектов и поведения процессов, связанных с вредоносными объектами. Каждое правило имеет определенную структуру: идентификатор правила, вызываемую API-функцию (Application Programming Interface, API - набор готовых классов, функций, структур и констант, предоставляемых операционной системой для использования во внешних программных приложениях), условия для аргументов, оценку опасности. То есть правило сработает в том случае, если процесс вызовет API-функцию с соответствующими параметрами, и в таком случае рейтинг процесса будет увеличен в соответствии с оценкой правила.A system that uses technology based on the study of executable executable files and the assessment of behavior based on a system of rules is described in patent US 7530106 and is designed to detect viruses and other types of malicious objects using security ratings of computer processes calculated according to the rule system. The rules themselves are formed on the basis of the analysis of the studied malicious objects and the behavior of processes associated with malicious objects. Each rule has a specific structure: rule identifier, called API function (Application Programming Interface, API - a set of ready-made classes, functions, structures and constants provided by the operating system for use in external software applications), conditions for arguments, hazard assessment. That is, the rule will work if the process calls an API function with the appropriate parameters, and in this case the process rating will be increased in accordance with the rule’s assessment.

Правила хранятся в обновляемых базах. Поскольку непрерывно появляются новые компьютерные вирусы, система правил должна периодически уточняться, пересматриваться, дополняться.Rules are stored in updated databases. As new computer viruses continuously appear, the system of rules should be periodically updated, reviewed, supplemented.

В любой антивирусной системе есть вероятность возникновения ошибок при работе. Ошибки делятся на так называемые ошибки первого рода и ошибки второго рода. Ошибки первого рода появляются в том случае, когда антивирусная система обнаруживает вредоносный объект, хотя на самом деле объект не представляет никакой угрозы. Другими словами возникает ложное срабатывание системы. Ошибки второго рода в отношении антивирусных систем связаны с той ситуацией, когда при наличии вируса или другого вредоносного объекта система его не обнаруживает.In any anti-virus system, there is a chance of errors during operation. Errors are divided into so-called errors of the first kind and errors of the second kind. Errors of the first kind appear when the anti-virus system detects a malicious object, although in fact the object does not pose any threat. In other words, a false positive occurs. Errors of the second kind with respect to anti-virus systems are associated with the situation when the system does not detect it in the presence of a virus or other malicious object.

Прежние системы могли допускать как ошибки первого рода, то есть вызывать ложные срабатывания, так и ошибки второго рода, то есть пропускать и не обнаруживать объекты, представляющие опасность для персонального компьютера. Для повышения качества работы антивирусной системы возникает необходимость снижать вероятность появления ошибок первого и второго рода.Previous systems could make both errors of the first kind, that is, cause false positives, and errors of the second kind, that is, skip and not detect objects that are dangerous for a personal computer. To improve the quality of the antivirus system, there is a need to reduce the likelihood of errors of the first and second kind.

Предлагаемая система имеет преимущество по сравнению с запатентованной системой. Она позволяет уменьшить количество ложных срабатываний антивирусной системы при обнаружении вредоносных объектов.The proposed system has an advantage over the patented system. It allows you to reduce the number of false positives of the anti-virus system when detecting malicious objects.

Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяет получить новый результат, а именно систему уменьшения количества ложных срабатываний антивирусных систем, использующих рейтинги процессов для определения вредоносных объектов.An analysis of the prior art and the possibilities that arise when combining them in one system allows you to get a new result, namely a system to reduce the number of false positives of anti-virus systems that use process ratings to determine malicious objects.

Сущность полезной моделиUtility Model Essence

Техническим результатом полезной модели является уменьшение количества ложных срабатываний антивирусной системы, что достигается за счет корректировки правил обнаружения вредоносных объектов с помощью корректирующих коэффициентов.The technical result of the utility model is to reduce the number of false positives of the anti-virus system, which is achieved by adjusting the rules for detecting malicious objects using corrective coefficients.

Настоящая полезная модель представляет собой систему анализа ложных срабатываний антивирусной системы, включающую антивирусный сервер, связанный, по крайней мере, с одним персональным компьютером пользователя, при этом персональный компьютер пользователя включает:This useful model is a system for analyzing false positives of an anti-virus system, including an anti-virus server connected to at least one personal computer of the user, while the personal computer of the user includes:

а) антивирусное средство, связанное со следующими средствами:a) an antiviral agent associated with the following agents:

- базой правил на стороне персонального компьютера пользователя;- the basis of the rules on the side of the user's personal computer;

- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;- a base of correction factors on the side of the user's personal computer;

- средством обновления на стороне персонального компьютера пользователя;- update tool on the side of the user's personal computer;

- средством формирования отчетов на антивирусном сервере;- a means of generating reports on an anti-virus server;

при этом упомянутое антивирусное средство предназначено для проведения проверки процессов, вызываемых при запуске объектов, используя базу правил и базу корректирующих коэффициентов;at the same time, the mentioned antivirus tool is designed to check the processes that are called up when objects are launched using the rule base and the base of correction factors;

б) средство обновления на стороне персонального компьютера пользователя, связанное со следующими средствами:b) update tool on the side of the user's personal computer associated with the following tools:

- базой правил на стороне персонального компьютера пользователя;- the basis of the rules on the side of the user's personal computer;

- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;- a base of correction factors on the side of the user's personal computer;

- средством обновления на стороне антивирусного сервера; при этом упомянутое средство обновления на стороне персонального компьютера пользователя выполнено с возможностью запуска антивирусным средством и предназначено для проведения обновления базы правил и базы корректирующих коэффициентов, полученных от средства обновления на стороне антивирусного сервера;- update tool on the anti-virus server side; wherein said update tool on the side of the user's personal computer is configured to be launched by an anti-virus tool and is intended to update the rule base and the database of correction factors received from the update tool on the anti-virus server side;

в) базу правил на стороне персонального компьютера пользователя, которая содержит набор правил для обнаружения вредоносных объектов;c) the rule base on the side of the user's personal computer, which contains a set of rules for detecting malicious objects;

г) базу корректирующих коэффициентов на стороне персонального компьютера пользователя, которая содержит набор корректирующих коэффициентов для правил из базы правил;d) the base of correction factors on the side of the user's personal computer, which contains a set of correction factors for the rules from the rule base;

при этом антивирусный сервер включает:the anti-virus server includes:

I) средство формирования отчетов, связанное со средством хранения данных, при этом упомянутое средство формирования отчетов выполнено с возможностью получения данных от антивирусного средства на компьютере пользователя и на основании полученных данных формирования отчетов;I) a reporting tool associated with a data storage means, wherein said reporting tool is configured to receive data from an anti-virus tool on a user's computer and based on the received reporting data;

II) средство хранения данных, связанное со средством анализа ложных срабатываний, при этом упомянутое средство хранения данных предназначено для хранения отчетов, полученных от средства формирования отчетов;II) data storage means associated with a false positive analysis means, wherein said data storage means is intended for storing reports received from the reporting means;

III) средство анализа ложных срабатываний, связанное со следующими средствами:III) means of analysis of false positives associated with the following means:

- средством хранения черного списка;- a means of storing a black list;

- базой корректирующих коэффициентов на стороне антивирусного сервера;- a base of correction factors on the anti-virus server side;

- базой правил на стороне антивирусного сервера;- a rule base on the anti-virus server side;

при этом упомянутое средство анализа ложных срабатываний предназначено для проведения анализа данных, содержащихся в средстве хранения данных, используя при анализе контрольные суммы, находящиеся в средстве хранения черного списка, также предназначено для формирования базы корректирующих коэффициентов и базы правил на основе проведенного анализа, что позволяет уменьшить количество ложных срабатываний антивирусной системы;the said false positive analysis tool is intended to analyze the data contained in the data storage tool, using the checksums in the blacklist storage tool for analysis, is also intended to form a database of correction factors and a rule base based on the analysis, which allows to reduce the number of false positives of the anti-virus system;

IV) упомянутое средство хранения черного списка, содержащее контрольные суммы известных вредоносных объектов;Iv) said blacklist storage facility containing checksums of known malicious objects;

V) средство обновления на стороне антивирусного сервера, связанное со следующими средствами:V) an anti-virus server-side update tool associated with the following tools:

- базой правил на стороне антивирусного сервера;- a rule base on the anti-virus server side;

- базой корректирующих коэффициентов на стороне антивирусного сервера;- a base of correction factors on the anti-virus server side;

при этом упомянутое средство обновления на стороне антивирусного сервера выполнено с возможностью отправки новой версии базы правил на стороне антивирусного сервера и базы корректирующих коэффициентов на стороне антивирусного сервера при запросе средства обновления на стороне персонального компьютера пользователя.however, the said update tool on the anti-virus server side is configured to send a new version of the rule base on the anti-virus server side and the correction coefficient database on the anti-virus server side when the update tool is requested on the user's personal computer.

VI) упомянутую базу правил на стороне антивирусного сервера, содержащую набор правил, обновленных в результате работы средства анализа ложных срабатываний;VI) the mentioned rule base on the anti-virus server side, containing a set of rules updated as a result of the operation of the false positive analysis tool;

VII) упомянутую базу корректирующих коэффициентов на стороне антивирусного сервера, содержащую набор корректирующих коэффициентов для правил из упомянутой базы правил, обновленных в результате работы средства анализа ложных срабатываний;VII) said base of correction coefficients on the anti-virus server side, containing a set of correction coefficients for the rules from the said rule base, updated as a result of the operation of the false positive analysis tool;

В частном варианте исполнения антивирусное средство упомянутой системы выполнено с возможностью передачи средству формирования отчетов данных, содержащих, по крайней мере, контрольную сумму найденного объекта, на котором сработало правило, номер сработавшего правила, рейтинг процесса, выставленный правилом, и общий рейтинг процесса.In a particular embodiment, the anti-virus tool of the said system is capable of transmitting to the reporting tool data containing at least the checksum of the found object on which the rule worked, the rule number that worked, the process rating set by the rule, and the overall process rating.

В частном варианте исполнения проверяемые процессы являются процессами, вызываемыми при запуске объектов в операционной системе персонального компьютера пользователя.In a private embodiment, the processes being checked are processes that are called when objects are launched in the operating system of the user's personal computer.

В частном варианте исполнения вредоносным объектом является тот объект, который вызвал процесс, получивший в результате проверки антивирусным средством рейтинг, больший рейтинга опасности.In a private embodiment, the malicious object is that object that caused the process to receive a rating that is higher than a hazard rating as a result of an anti-virus scan.

В частном варианте исполнения база корректирующих коэффициентов и база правил упомянутой системы выполнены с возможностью независимого обновления.In a particular embodiment, the base of correction factors and the rule base of the said system are made with the possibility of independent updating.

В частном варианте исполнения антивирусное средство упомянутой системы выполнено с возможностью завершения процесса, вызванного вредоносным объектом, при обнаружении данного вредоносного объекта.In a private embodiment, the anti-virus tool of the said system is configured to terminate the process caused by the malicious object upon detection of the malicious object.

В частном варианте исполнения упомянутое средство анализа ложных срабатываний выполнено с возможностью проведения оперативного анализа для формирования базы корректирующих коэффициентов на стороне антивирусного сервера.In a particular embodiment, said means of analyzing false positives is configured to perform an on-line analysis to form a base of correction factors on the anti-virus server side.

В частном варианте исполнения упомянутое средство анализа ложных срабатываний выполнено с возможностью проведения общего анализа для формирования базы правил на стороне антивирусного сервера.In a private embodiment, said false positive analysis tool is configured to perform a general analysis to form a rule base on the anti-virus server side.

Краткое описание чертежейBrief Description of the Drawings

Сопровождающие чертежи предназначены для лучшего понимания заявленной полезной модели, составляют часть данного описания, иллюстрируют варианты реализации полезной модели и совместно с описанием служат для объяснения принципов полезной модели.The accompanying drawings are intended to better understand the claimed utility model, form part of this description, illustrate embodiments of the utility model, and together with the description serve to explain the principles of the utility model.

Фиг.1 отображает структуру компьютера пользователя, входящего в систему уменьшения количества ложных срабатываний.Figure 1 displays the structure of the computer of the user entering the system to reduce the number of false positives.

Фиг.2 иллюстрирует структуру антивирусного сервера, входящего в систему уменьшения количества ложных срабатываний.Figure 2 illustrates the structure of the anti-virus server included in the system to reduce the number of false positives.

Фиг.3 показывает структуру средства хранения данных.Figure 3 shows the structure of the storage medium.

Фиг.4 показывает процесс формирования рейтингов при антивирусной проверке.Figure 4 shows the process of rating formation during anti-virus scanning.

Фиг.5 иллюстрирует алгоритм проведения антивирусной проверки на персональном компьютере пользователя.Figure 5 illustrates the algorithm for anti-virus scanning on a user's personal computer.

Фиг.6 отображает алгоритм работы антивирусного сервера.6 shows the algorithm of the anti-virus server.

Фиг.7 показывает пример компьютерной системы общего назначения, на которой может быть реализована данная полезная модель.7 shows an example of a general-purpose computer system on which this utility model can be implemented.

Описание вариантов осуществленияDescription of Embodiments

На Фиг.1 показана структура компьютера пользователя, входящего в систему уменьшения количества ложных срабатываний. В одном из вариантов система уменьшения количества ложных срабатываний антивирусной системы состоит, по крайней мере, из персонального компьютера пользователя и антивирусного сервера.Figure 1 shows the structure of the computer of the user entering the system to reduce the number of false positives. In one embodiment, the system for reducing the number of false positives of an anti-virus system consists of at least a user's personal computer and an anti-virus server.

На персональном компьютере пользователя 100 установлено антивирусное средство 110, которое производит поиск вредоносных объектов. В качестве объекта может быть рассмотрен, например, исполняемый файл, при запуске которого происходит запуск процесса в операционной системе. Для обнаружения вредоносных объектов антивирусное средство проводит проверку процессов 140, вызванных объектами. При проверке процессов используется набор правил 132 из базы правил 130 на стороне персонального компьютера пользователя. Правила представляют собой набор описаний процессов, которые могут представлять угрозу для компьютера. Все правила хранятся на компьютере пользователя в виде базы правил на стороне персонального компьютера пользователя 130. У каждого правила есть свой номер 131, который присваивается ему на все время использования правила. Номер правила уникален и служит для однозначной идентификации определенного правила.An anti-virus tool 110 is installed on the personal computer of user 100, which searches for malicious objects. As an object, for example, an executable file can be considered, when launched, the process starts in the operating system. To detect malicious objects, the antivirus tool scans 140 processes caused by objects. When checking processes, a set of rules 132 is used from rule base 130 on the side of the user's personal computer. Rules are a set of descriptions of processes that can pose a threat to a computer. All rules are stored on the user's computer in the form of a rule base on the side of the personal computer of the user 130. Each rule has its own number 131, which is assigned to it for the entire time the rule is used. The rule number is unique and serves to uniquely identify a specific rule.

Кроме базы правил на персональном компьютере пользователя хранится база корректирующих коэффициентов 120. Корректирующие коэффициенты также используются антивирусным средством в процессе определения вредоносных объектов. Более подробно процесс определения вредоносных объектов будет рассмотрен при описании Фиг.4. Каждому правилу 132 из базы правил на стороне персонального компьютера пользователя 130 соответствует один коэффициент 122 из базы коэффициентов на стороне персонального компьютера пользователя 120, который имеет номер 121, соответствующий номеру правила 131.In addition to the rule base, a database of correction factors 120 is stored on the user's personal computer. Correction factors are also used by an antivirus tool in the process of determining malicious objects. In more detail, the process of determining malicious objects will be discussed in the description of Figure 4. Each rule 132 from the rule base on the personal computer side of user 130 corresponds to one coefficient 122 from the coefficient base on the personal computer side of user 120, which has number 121 corresponding to rule 131 number.

База правил и база коэффициентов на стороне компьютера пользователя могут обновляться. Обновление осуществляется за счет средства обновления на стороне персонального компьютера 150. Антивирусное средство 110 перед началом процесса поиска вредоносных объектов запускает средство обновления, которое связывается со средством обновления на стороне антивирусного сервера 270, передает информацию о версии баз. Средство обновления на стороне антивирусного сервера 270 получает информацию о версии баз и сравнивает с версией доступных баз на антивирусном сервере. Если средство обновления на стороне антивирусного сервера 270 устанавливает, что доступна более новая версия баз, чем та, которая находится на персональном компьютере пользователя, то средство обновления на стороне антивирусного сервера передает новую версию баз средству обновления на стороне персонального компьютера пользователя 150. Средство обновления на стороне персонального компьютера 150 пользователя получает обновленную версию баз и заменяет старые базы. При этом база коэффициентов на стороне персонального компьютера 120 и база правил на стороне персонального компьютера 130 обновляются независимо друг от друга.The rule base and the coefficient base on the user's computer side can be updated. The update is carried out using the update tool on the side of the personal computer 150. Antivirus tool 110 before starting the search for malicious objects launches the update tool, which communicates with the update tool on the side of the anti-virus server 270, transmits information about the database version. The updater on the anti-virus server side 270 receives information about the version of the databases and compares it with the version of the available databases on the anti-virus server. If the update tool on the anti-virus server side 270 determines that a newer version of the databases is available than the one located on the user's personal computer, the update tool on the anti-virus server side transfers the new version of the databases to the update tool on the side of the user's personal computer 150. The update tool on to the side of the personal computer 150, the user receives an updated version of the databases and replaces the old databases. In this case, the coefficient base on the side of the personal computer 120 and the rule base on the side of the personal computer 130 are updated independently of each other.

База коэффициентов 120 имеет размер, много меньший по сравнению с базой правил 130, что позволяет производить частые обновления базы коэффициентов, и использование сетевых ресурсов увеличится не так значительно, как в случае частого обновления базы правил. Следовательно, использование механизма раздельного обновления базы коэффициентов и базы правил позволяет сократить использование сетевых ресурсов при частом обновлении базы коэффициентов 120.The coefficient base 120 has a size much smaller than the rule base 130, which allows frequent updates of the coefficient base, and the use of network resources will not increase as much as in the case of frequent updating of the rule base. Therefore, the use of a separate update mechanism for the coefficient base and the rule base allows reducing the use of network resources with frequent updating of the coefficient base 120.

Антивирусное средство 110 связывается с антивирусным сервером 160, если им был обнаружен опасный процесс и соответствующий объект, вызвавший данный процесс. При обнаружении вредоносного объекта антивирусное средство 110 прекращает опасный процесс.Anti-virus tool 110 communicates with anti-virus server 160 if it has detected a dangerous process and the corresponding object that caused this process. When a malicious object is detected, antivirus tool 110 terminates the dangerous process.

Используя один из известных криптографических алгоритмов, таких как MD5, MD4, SHA1, SHA256 или CRC32, антивирусное средство 110 создает контрольную сумму вредоносного объекта, вызвавшего обнаруженный процесс, которая позволяет однозначно определить вредоносный объект. Далее антивирусное средство 110 передает контрольную сумму вместе с информацией о сработавшем правиле и выставленном рейтинге антивирусному серверу 160.Using one of the well-known cryptographic algorithms, such as MD5, MD4, SHA1, SHA256 or CRC32, the anti-virus tool 110 creates a checksum of the malicious object that caused the detected process, which allows you to uniquely identify the malicious object. Next, the anti-virus tool 110 transmits the checksum along with information about the triggered rule and the rated rating to the anti-virus server 160.

Антивирусный сервер изображен на Фиг.2. На антивирусный сервер 160 поступает информация обо всех обнаруженных вредоносных объектах с персонального компьютера пользователя 100. Вся информация поступает на средство формирования отчетов 210, которое обрабатывает, поступающую информацию и помещает ее в средство хранения данных 220. Средство хранения данных 220 представляет собой базу данных. Более детально средство хранения данных показано на Фиг.3. Данные в средстве хранения данных структурированы в виде таблицы. Каждая строка содержит информацию об обнаруженном объекте. Средство хранения данных содержит информацию, полученную от антивирусного средства, которая состоит, по крайней мере, из контрольной суммы вредоносного объекта 221, рейтинга процесса 222, номеров сработавших правил 223 и выставленных каждым правилом рейтингов 224.The anti-virus server is depicted in Figure 2. Information about all detected malicious objects is sent to the anti-virus server 160 from the personal computer of the user 100. All information is sent to the reporting tool 210, which processes the incoming information and puts it into the data storage tool 220. The data storage tool 220 is a database. In more detail, the data storage means is shown in FIG. 3. The data in the data storage means is structured in a table. Each line contains information about the detected object. The data storage tool contains information received from an anti-virus tool, which consists of at least the checksum of the malicious object 221, the process rating 222, the numbers of the triggered rules 223 and the ratings 224 set by each rule.

Средство анализа ложных срабатываний 230 обрабатывает накопленные данные, полученные от антивирусного средства и находящиеся в средстве хранения данных. При обработке проводится поиск безопасных объектов по контрольным суммам 221. При этом используется средство хранения черного списка 240, в котором хранятся контрольные суммы вредоносных объектов. Средство анализа ложных срабатываний 230 ищет те контрольные суммы, которые находятся в средстве хранения данных 220, но отсутствуют в средстве хранения черного списка. Объект, контрольная сумма которого отсутствует в средстве хранения черного списка, является безопасным, поэтому если его контрольная сумма найдена среди контрольных сумм обнаруженных вредоносных объектов в средстве хранения данных, это будет свидетельствовать о ложном срабатывании антивирусной системы.The false positive analysis tool 230 processes the accumulated data received from the anti-virus tool and stored in the data storage tool. During processing, a search is carried out for safe objects by checksums 221. At the same time, a blacklist storage facility 240 is used, in which checksums of malicious objects are stored. The false positive analysis tool 230 searches for those checksums that are in the data storage tool 220 but not in the blacklist storage tool. An object whose checksum is not available in the blacklist storage facility is safe, therefore, if its checksum is found among the checksums of detected malicious objects in the data storage facility, this will indicate a false operation of the anti-virus system.

После того, как все безопасные объекты найдены, средство анализа ложных срабатываний 230 проводит анализ правил, которые повлияли на появление ложных срабатываний при антивирусной проверке. В ходе анализа устанавливаются номера правил 223, которые сработали на безопасном объекте, учитывается общий рейтинг процесса 222, связанного с объектом, который показывает, насколько превышено пороговое значение, также учитывается рейтинг 224, выставленный каждым правилом при формировании общего рейтинга.After all safe objects are found, the false positive analysis tool 230 analyzes the rules that affected the appearance of false positives during anti-virus scanning. The analysis establishes the numbers of rules 223, which worked at a safe site, takes into account the overall rating of the process 222 associated with the site, which shows how much the threshold value is exceeded, and also takes into account the rating 224 set by each rule in the formation of the overall rating.

Работу средства анализа ложных срабатываний 230 можно разделить на две стадии: проведение оперативного анализа ложных срабатываний и проведение общего анализа ложных срабатываний. Оперативный анализ производится с небольшой периодичностью, и исследуются данные, накопленные за небольшой временной интервал, например, несколько часов.The operation of the false positive analysis tool 230 can be divided into two stages: the operational analysis of false positives and the general analysis of false positives. Operational analysis is performed with a small frequency, and the data collected over a short time interval, for example, several hours, is examined.

В результате оперативного анализа формируется база корректирующих коэффициентов на стороне антивирусного сервера 250 для правил, которые вложили вклад в появление ложных срабатываний. В базу входят только коэффициенты, отличные от единицы, что позволяет уменьшить размер базы. Таким образом, базу можно представить в виде номеров правил 251 и корректирующих коэффициентов для них 252. После формирования базы корректирующих коэффициентов на стороне антивирусного сервера 250, база доступна персональным компьютерам пользователей для обновления. В окончательном виде база имеет небольшой размер порядка 500 байт что облегчает процесс частого обновления базы. С помощью корректирующих коэффициентов вклад в формирование рейтинга процесса изменяется, что в будущем не приведет к появлению ложного срабатывания на безопасных объектах.As a result of the operational analysis, a database of correction factors is formed on the side of the anti-virus server 250 for the rules that contributed to the occurrence of false positives. The base includes only coefficients other than unity, which allows to reduce the size of the base. Thus, the database can be represented in the form of rule numbers 251 and correction factors for them 252. After the formation of the correction factors database on the side of the anti-virus server 250, the database is available for personal computers of users for updating. In its final form, the database has a small size of about 500 bytes, which facilitates the process of frequent updating the database. With the help of correcting coefficients, the contribution to the process rating formation is changed, which in the future will not lead to the appearance of false positives at safe sites.

Общий анализ ложных срабатываний производится реже, чем оперативный анализ. При проведении общего анализа средство анализа ложных срабатываний 230 производит обработку данных, собранных за большой период времени, например, за неделю. В результате общего анализа средство анализа ложных срабатываний формирует базу правил на стороне антивирусного сервера 260. База правил содержит в себе номера правил 261 и измененные правила 262, которые ранее вносили вклад в появление ложных срабатываний. Изменению подвергается базовый коэффициент, который непосредственно влияет на выставленный правилом рейтинг при обнаружении вредоносных объектов. Изменения могут коснуться также самой структуры правила, в этом случае необходимо привлечение эксперта, данная процедура проводится в полуавтоматическом режиме.General analysis of false positives is less common than operational analysis. When conducting a general analysis, the false positive analysis tool 230 processes the data collected over a long period of time, for example, a week. As a result of a general analysis, the false positive analysis tool forms the rule base on the side of the anti-virus server 260. The rule base contains the rule numbers 261 and the modified rules 262, which previously contributed to the occurrence of false positives. The base coefficient is changed, which directly affects the rating set by the rule when malicious objects are detected. Changes may also affect the structure of the rule itself, in which case it is necessary to involve an expert, this procedure is carried out in a semi-automatic mode.

После того как база правил на стороне антивирусного сервера 260 сформирована, средство анализа 230 производит сброс корректирующих коэффициентов, присваивая измененным правилам единичный коэффициент. Таким образом, корректирующий коэффициент для измененных правил равен единице, он может быть скорректирован по результатам работы измененных правил с помощью базы корректирующих коэффициентов. После формирования базы правил на стороне антивирусного сервера, она доступна персональным компьютерам пользователей для обновления.After the rule base on the side of the anti-virus server 260 is formed, the analysis tool 230 resets the correction factors, assigning a single coefficient to the changed rules. Thus, the correction coefficient for the changed rules is equal to one, it can be adjusted according to the results of the changed rules using the database of correction factors. After the formation of the rule base on the anti-virus server side, it is available for personal computers of users for updating.

Обновление баз производится с участием средства обновления на стороне антивирусного сервера 270, которое получает запрос от персонального компьютера пользователя и в том случае, если базы на персональном компьютере пользователя устарели, отправляет новую версию баз на персональный компьютер.The databases are updated using the update tool on the side of the anti-virus server 270, which receives a request from the user's personal computer and, if the databases on the user's personal computer are out of date, sends a new version of the databases to the personal computer.

В частном варианте реализации сброс корректирующих коэффициентов может не производиться средством анализа 230. Обновление базы корректирующих коэффициентов проводится часто, что позволит автоматически в кратчайшие сроки скорректировать коэффициенты по результатам работы измененных правил.In a particular embodiment, the correction coefficients may not be reset using analysis tool 230. Updating the base of correction coefficients is often carried out, which will automatically correct the coefficients according to the results of the changed rules as soon as possible.

Если по каким - либо причинам база корректирующих коэффициентов и база правил не может быть обновлена компьютером пользователя, то антивирусное средство использует последнюю загруженную версию баз.If for some reason the base of correction factors and the rule base cannot be updated by the user's computer, then the antivirus tool uses the latest downloaded version of the databases.

На Фиг.4 показан процесс формирования рейтингов при антивирусной проверке. Антивирусная проверка производится антивирусным средством 110 на компьютере пользователя. Антивирусное средство проверяет запущенные процессы, чтобы установить уровень их опасности и сделать вывод о том, являются ли объекты, запустившие процессы, вредоносными. В процессе проверки используется база правил 130 и база коэффициентов 120. При анализе процесса могут сработать несколько правил 401-403. Каждое правило имеет базовый коэффициент pi (i=1…n, где n - номер последнего правила), который может измениться только при изменении самого правила после обновления базы правил. Базовый коэффициент, заложенный в правило, влияет на выставляемый правилом рейтинг. Однако база правил 130 обновляется реже, чем база корректирующих коэффициентов 120. При формировании итогового рейтинга учитываются также корректирующие коэффициенты 404-406, которые помогают оперативно изменить рейтинг конкретного правила.Figure 4 shows the process of rating formation during anti-virus scanning. Anti-virus scan is performed by anti-virus tool 110 on a user's computer. The anti-virus tool checks running processes in order to establish their level of danger and conclude that the objects that launched the processes are malicious. In the verification process, the rule base 130 and the coefficient base 120 are used. When analyzing the process, several rules 401-403 can work. Each rule has a base coefficient p i (i = 1 ... n, where n is the number of the last rule), which can change only when the rule itself changes after updating the rule base. The base coefficient laid down in the rule affects the rating set by the rule. However, the rule base 130 is updated less frequently than the base of the correction factors 120. When forming the final rating, the correction factors 404-406 are also taken into account, which help to quickly change the rating of a particular rule.

Для одного процесса может сработать сразу несколько правил. Каждое правило дает вклад в формирование конечного вывода о том, является ли данный процесс опасным. Вклад от каждого правила складывается из двух составляющих: базового коэффициента р и корректирующего коэффициента k. Вклады от каждого правила суммируются и образуют общий рейтинг процесса 407. Если общий рейтинг превышает пороговый рейтинг опасности, то процесс признается опасным, а соответствующий объект - вредоносным. Если пороговый рейтинг не достигается, то объект признается безопасным.For one process several rules can work at once. Each rule contributes to the final conclusion about whether the process is dangerous. The contribution from each rule consists of two components: the base coefficient p and the correction coefficient k. The contributions from each rule are summed up and form the overall rating of the process 407. If the overall rating exceeds the threshold hazard rating, the process is recognized as dangerous, and the corresponding object is harmful. If the threshold rating is not reached, then the object is considered safe.

С помощью корректирующих коэффициентов 404-406 меняется рейтинг, выставляемый правилом, поэтому, если правило часто определяет безопасные объекты в качестве вредоносных, то его коэффициент можно понизить, и, следовательно, вклад от такого правила уменьшится. Такое правило будет давать меньший вклад в конечный рейтинг процесса 407 и количество ложных срабатываний с участием данного правило будет снижено. При использовании корректирующих коэффициентов для всего набора правил снизится общее количество ложных срабатываний антивирусной системы.Using the correcting coefficients 404-406, the rating set by the rule is changed, therefore, if the rule often defines safe objects as malicious, then its coefficient can be reduced, and, therefore, the contribution from such a rule will decrease. Such a rule will make a smaller contribution to the final rating of the process 407 and the number of false positives involving this rule will be reduced. Using correction factors for the entire set of rules will reduce the total number of false positives of the anti-virus system.

Количество ложных срабатываний уменьшается также при обновлении базы правил, когда изменяется базовый коэффициент или структура правила. В этом случае выставляемый правилом рейтинг р будет скорректирован так, чтобы правило не вызывало ложных срабатываний на безвредных объектах.The number of false positives also decreases when updating the rule base, when the base coefficient or rule structure changes. In this case, the rating p set by the rule will be adjusted so that the rule does not cause false positives on harmless objects.

На Фиг.5 изображен алгоритм проведения антивирусной проверки на персональном компьютере пользователя.Figure 5 shows the algorithm for conducting antivirus scans on a user's personal computer.

На этапе 501 происходит обновление базы коэффициентов на стороне персонального компьютера пользователя 120 и базы правил на стороне персонального компьютера пользователя 130. Обновление производится с помощью средства обновления на стороне персонального компьютера пользователя 150 и средства обновления на стороне антивирусного сервера 270. После обновления баз запускается процесс на шаге 502, и антивирусное средство 110 формирует общий рейтинг безопасности на основе базы правил и базы коэффициентов на этапе 503. Рейтинг безопасности необходим для получения вывода о том, является ли объект, вызвавший исследуемый процесс, вредоносным. После того, как рейтинг сформирован, на этапе 504 проводится проверка превышения порога безопасности имеющимся рейтингом. Если порог превышен, то антивирусное средство прекращает опасный процесс на этапе 505. Далее на шаге 506 антивирусное средство отправляет данные об объекте, вызвавшем опасный процесс, о сработавших правилах и выставленных ими рейтингах, а также общий рейтинг для данного процесса на антивирусный сервер 160.At step 501, the coefficient database is updated on the side of the personal computer of user 120 and the rule base on the side of the personal computer of user 130. The update is performed using the update tool on the side of the personal computer of user 150 and the update tool on the side of the anti-virus server 270. After updating the databases, the process starts step 502, and antivirus tool 110 generates an overall security rating based on the rule base and coefficient base at step 503. A security rating is required To infer whether the object that caused the process under study, malicious. After the rating is generated, at step 504, a check is made that the security threshold is exceeded by the existing rating. If the threshold is exceeded, the antivirus tool stops the dangerous process at step 505. Next, at step 506, the antivirus tool sends information about the object that caused the dangerous process, the rules that worked and the ratings they set, as well as the overall rating for this process to the anti-virus server 160.

Если полученный общий рейтинг процесса не превысил порогового значения, то антивирусное средство позволяет продолжить выполнение данного процесса 507, при этом производится обновление общего рейтинга и сравнение его с пороговым значением.If the obtained overall rating of the process did not exceed the threshold value, then the antivirus tool allows you to continue the process 507, while the overall rating is updated and compared with the threshold value.

На Фиг.6 показан алгоритм работы антивирусного сервера.Figure 6 shows the algorithm of the anti-virus server.

На этапе 601 антивирусный сервер получает данные об обнаруженных объектах от антивирусного средства 110. На шаге 602 Полученные данные обрабатываются и структурируются в виде, удобном для хранения и дальнейшего анализа в средстве хранения данных 220. 0бработанные данные накапливаются в средстве хранения данных на шаге 603. С небольшой периодичностью, например, один раз в несколько часов, средство анализа ложных срабатываний проводит оперативный анализ накопленных данных на шаге 604, после этого формируется база корректирующих коэффициентов на стороне антивирусного сервера на шаге 605.At step 601, the anti-virus server receives data about detected objects from the anti-virus tool 110. At step 602, the received data is processed and structured in a form convenient for storage and further analysis in the data storage device 220. The processed data is accumulated in the data storage device in step 603. C by a small periodicity, for example, once every few hours, the false positive analysis tool performs an operational analysis of the accumulated data at step 604, after which a database of correction coefficients is formed on the antivirus server torona in step 605.

Средство анализа ложных срабатываний 230 на этапе 606 проводит общий анализ данных о срабатываниях, накопленных за большой промежуток времени, например, за неделю. В результате общего анализа ложных срабатываний формируется база правил на стороне антивирусного сервера на шаге 607. После этого база корректирующих коэффициентов и база правил доступны для загрузки и обновления.The false positive analysis tool 230 at step 606 performs a general analysis of the data on the positives accumulated over a long period of time, for example, a week. As a result of a general analysis of false positives, a rule base is formed on the side of the anti-virus server at step 607. After that, the base of correction factors and the rule base are available for download and update.

В результате работы системы проводится сбор данных об обнаруженных вредоносных объектах, сработавших правилах и выставленных рейтингах, поступающих от компьютера пользователя. Проводится подготовка баз корректирующих коэффициентов и правил на основе этих данных для тех правил, которые повлекли ложные срабатывания на безвредных объектах. За счет применения базы корректирующих коэффициентов, а также за счет изменения правил, достигается снижение количества ложных срабатываний системы на безвредных объектах при антивирусной проверке.As a result of the system’s work, data is collected on detected malicious objects, triggered rules and set ratings coming from the user's computer. The bases for correcting coefficients and rules are being prepared based on these data for those rules that entailed false positives at harmless objects. Through the use of a database of correction factors, as well as through a change in the rules, a reduction in the number of false alarms of the system at harmless objects during anti-virus scanning is achieved.

Фиг.7 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS), содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.7 is an example of a general purpose computer system, a personal computer or server 20 comprising a central processor 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processor 21. The system bus 23 is implemented like any bus structure known in the art, which in turn contains a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interacting with any other bus architecture. The system memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS), contains the basic procedures that ensure the transfer of information between the elements of the personal computer 20, for example, at the time of loading the operating system using ROM 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс привода магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20 in turn contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29, and an optical drive 30 for reading and writing to removable optical disks 31, such as a CD-ROM, DVD -ROM and other optical information carriers. The hard disk 27, the magnetic disk drive 28, the optical drive 30 are connected to the system bus 23 through the interface of the hard disk 32, the magnetic disk drive interface 33 and the optical drive interface 34, respectively. Drives and associated computer storage media are non-volatile means of storing computer instructions, data structures, software modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.).The present description discloses an implementation of a system that uses a hard disk, a removable magnetic disk 29 and a removable optical disk 31, but it should be understood that other types of computer storage media are possible that can store data in a form readable by a computer (solid state drives, flash cards memory, digital disks, random access memory (RAM), etc.).

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35 и дополнительные программные приложения 37, другие программные модули 38 и программные данные 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонки, принтер и т.п.Computer 20 has a file system 36 where the recorded operating system 35 and additional software applications 37, other software modules 38 and program data 39 are stored. The user is able to enter commands and information into the personal computer 20 via input devices (keyboard 40, mouse pad) 42). Other input devices (not displayed) can be used: microphone, joystick, game console, scanner, etc. Such input devices are, as usual, connected to the computer system 20 via a serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or a universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer can be equipped with other peripheral output devices (not displayed), for example, speakers, a printer, etc. .

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.7. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the creature personal computer 20 shown in Fig.7. Other devices, such as routers, network stations, peer-to-peer devices, or other network nodes may also be present on the computer network.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 51 и глобальную вычислительную сеть (WAN) 52. Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 51 через сетевой адаптер или сетевой интерфейс 53. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью 52, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными, и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 51 and wide area network (WAN) 52. Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 51 via a network adapter or network interface 53. When using the networks, the personal computer 20 may use a modem 54 or other means of providing communication with a global computer network 52, such as the Internet. The modem 54, which is an internal or external device, is connected to the system bus 23 via the serial port 46. It should be clarified that the network connections are only exemplary and are not required to display the exact network configuration, i.e. in reality, there are other ways to establish a technical connection between one computer and another.

Следует отметить, что приведенные в описании примеры являются поясняющими и не предназначены для ограничения объема и сущности заявленной полезной модели, которые установлены в прилагаемой формуле.It should be noted that the examples given in the description are explanatory and are not intended to limit the scope and essence of the claimed utility model, which are established in the attached formula.

Claims (8)

1. Система для анализа ложных срабатываний антивирусной системы, включающая антивирусный сервер, связанный, по крайней мере, с одним персональным компьютером пользователя, при этом персональный компьютер пользователя включает:1. A system for analyzing false positives of an anti-virus system, including an anti-virus server connected to at least one personal computer of the user, while the personal computer of the user includes: а) антивирусное средство, связанное со следующими средствами:a) an antiviral agent associated with the following agents: - базой правил на стороне персонального компьютера пользователя;- a base of rules on the side of the user's personal computer; - базой корректирующих коэффициентов на стороне персонального компьютера пользователя;- a base of correction factors on the side of the user's personal computer; - средством обновления на стороне персонального компьютера пользователя;- update tool on the side of the user's personal computer; - средством формирования отчетов на антивирусном сервере;- a means of generating reports on an anti-virus server; при этом упомянутое антивирусное средство предназначено для проведения проверки процессов, вызываемых при запуске объектов, используя базу правил и базу корректирующих коэффициентов;at the same time, the mentioned antivirus tool is designed to check the processes that are called up when objects are launched using the rule base and the base of correction factors; б) средство обновления на стороне персонального компьютера пользователя, связанное со следующими средствами:b) update tool on the side of the user's personal computer associated with the following tools: - базой правил на стороне персонального компьютера пользователя;- the basis of the rules on the side of the user's personal computer; - базой корректирующих коэффициентов на стороне персонального компьютера пользователя;- a base of correction factors on the side of the user's personal computer; - средством обновления на стороне антивирусного сервера;- update tool on the anti-virus server side; при этом упомянутое средство обновления на стороне персонального компьютера пользователя выполнено с возможностью запуска антивирусным средством и предназначено для проведения обновления базы правил и базы корректирующих коэффициентов, полученных от средства обновления на стороне антивирусного сервера;wherein said update tool on the side of the user's personal computer is configured to be launched by an anti-virus tool and is intended to update the rule base and the database of correction factors received from the update tool on the anti-virus server side; в) базу правил на стороне персонального компьютера пользователя, которая содержит набор правил для обнаружения вредоносных объектов;c) the rule base on the side of the user's personal computer, which contains a set of rules for detecting malicious objects; г) базу корректирующих коэффициентов на стороне персонального компьютера пользователя, которая содержит набор корректирующих коэффициентов для правил из базы правил;d) the base of correction factors on the side of the user's personal computer, which contains a set of correction factors for the rules from the rule base; при этом антивирусный сервер включает:the anti-virus server includes: I) средство формирования отчетов, связанное со средством хранения данных, при этом упомянутое средство формирования отчетов выполнено с возможностью получения данных от антивирусного средства на компьютере пользователя и на основании полученных данных формирования отчетов;I) a reporting tool associated with a data storage means, wherein said reporting tool is configured to receive data from an anti-virus tool on a user's computer and based on the received reporting data; II) средство хранения данных, связанное со средством анализа ложных срабатываний, при этом упомянутое средство хранения данных предназначено для хранения отчетов, полученных от средства формирования отчетов;II) data storage means associated with a false positive analysis means, wherein said data storage means is intended for storing reports received from the reporting means; III) средство анализа ложных срабатываний, связанное со следующими средствами:III) means of analysis of false positives associated with the following means: - средством хранения черного списка;- a means of storing a black list; - базой корректирующих коэффициентов на стороне антивирусного сервера;- a base of correction factors on the anti-virus server side; - базой правил на стороне антивирусного сервера;- a rule base on the anti-virus server side; при этом упомянутое средство анализа ложных срабатываний предназначено для проведения анализа данных, содержащихся в средстве хранения данных, используя при анализе контрольные суммы, находящиеся в средстве хранения черного списка, также предназначено для формирования базы корректирующих коэффициентов и базы правил на основе проведенного анализа, что позволяет уменьшить количество ложных срабатываний антивирусной системы;the said false positive analysis tool is intended to analyze the data contained in the data storage tool, using the checksums in the blacklist storage tool for analysis, is also intended to form a database of correction factors and a rule base based on the analysis, which allows to reduce the number of false positives of the anti-virus system; IV) упомянутое средство хранения черного списка, содержащее контрольные суммы известных вредоносных объектов;Iv) said blacklist storage facility containing checksums of known malicious objects; V) средство обновления на стороне антивирусного сервера, связанное со следующими средствами:V) an anti-virus server-side update tool associated with the following tools: - базой правил на стороне антивирусного сервера;- a rule base on the anti-virus server side; - базой корректирующих коэффициентов на стороне антивирусного сервера;- a base of correction factors on the anti-virus server side; при этом упомянутое средство обновления на стороне антивирусного сервера выполнено с возможностью отправки новой версии базы правил на стороне антивирусного сервера и базы корректирующих коэффициентов на стороне антивирусного сервера при запросе средства обновления на стороне персонального компьютера пользователя.however, the said update tool on the anti-virus server side is configured to send a new version of the rule base on the anti-virus server side and the correction coefficient database on the anti-virus server side when the update tool is requested on the user's personal computer. VI) упомянутую базу правил на стороне антивирусного сервера, содержащую набор правил, обновленных в результате работы средства анализа ложных срабатываний;VI) the mentioned rule base on the anti-virus server side, containing a set of rules updated as a result of the operation of the false positive analysis tool; VII) упомянутую базу корректирующих коэффициентов на стороне антивирусного сервера, содержащую набор корректирующих коэффициентов для правил из упомянутой базы правил, обновленных в результате работы средства анализа ложных срабатываний;VII) said base of correction coefficients on the anti-virus server side, containing a set of correction coefficients for the rules from the said rule base, updated as a result of the operation of the false positive analysis tool; 2. Система по п.1, в которой антивирусное средство выполнено с возможностью передачи средству формирования отчетов данных, содержащих, по крайней мере, контрольную сумму найденного объекта, на котором сработало правило, номер сработавшего правила, рейтинг процесса, выставленный правилом, и общий рейтинг процесса.2. The system according to claim 1, in which the antivirus tool is configured to transmit to the reporting tool data containing at least the checksum of the found object on which the rule worked, the rule number that worked, the process rating set by the rule, and the overall rating process. 3. Система по п.1, в которой проверяемые процессы являются процессами, вызываемыми при запуске объектов в операционной системе персонального компьютера пользователя.3. The system according to claim 1, in which the checked processes are processes that are called when objects are launched in the operating system of the user's personal computer. 4. Система по п.1, в которой вредоносным объектом является тот объект, который вызвал процесс, получивший в результате проверки антивирусным средством рейтинг, больший рейтинга опасности.4. The system according to claim 1, in which the malicious object is the object that caused the process to receive a rating that is higher than the hazard rating as a result of an anti-virus scan. 5. Система по п.1, в которой база корректирующих коэффициентов и база правил выполнены с возможностью независимого обновления.5. The system according to claim 1, in which the base of correction factors and the base of rules are made with the possibility of independent updates. 6. Система по п.1, в которой антивирусное средство выполнено с возможностью завершения процесса, вызванного вредоносным объектом, при обнаружении данного вредоносного объекта.6. The system according to claim 1, in which the antivirus tool is configured to complete the process caused by the malicious object upon detection of the malicious object. 7. Система по п.1, в которой упомянутое средство анализа ложных срабатываний выполнено с возможностью проведения оперативного анализа для формирования базы корректирующих коэффициентов на стороне антивирусного сервера.7. The system according to claim 1, in which the said means of analysis of false positives is made with the possibility of operational analysis to form the base of correction factors on the side of the anti-virus server. 8. Система по п.1, в которой упомянутое средство анализа ложных срабатываний выполнено с возможностью проведения общего анализа для формирования базы правил на стороне антивирусного сервера.
Figure 00000001
8. The system of claim 1, wherein said means of analyzing false positives is configured to perform a general analysis to form a rule base on the anti-virus server side.
Figure 00000001
RU2011111602/08U 2011-03-28 2011-03-28 SYSTEM FOR REDUCING THE NUMBER OF FALSE FACES OF AN ANTI-VIRUS SYSTEM RU107615U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2011111602/08U RU107615U1 (en) 2011-03-28 2011-03-28 SYSTEM FOR REDUCING THE NUMBER OF FALSE FACES OF AN ANTI-VIRUS SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2011111602/08U RU107615U1 (en) 2011-03-28 2011-03-28 SYSTEM FOR REDUCING THE NUMBER OF FALSE FACES OF AN ANTI-VIRUS SYSTEM

Publications (1)

Publication Number Publication Date
RU107615U1 true RU107615U1 (en) 2011-08-20

Family

ID=44756122

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2011111602/08U RU107615U1 (en) 2011-03-28 2011-03-28 SYSTEM FOR REDUCING THE NUMBER OF FALSE FACES OF AN ANTI-VIRUS SYSTEM

Country Status (1)

Country Link
RU (1) RU107615U1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2491611C2 (en) * 2011-11-29 2013-08-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for adaptive prioritisation of antivirus scanning objects
RU2535506C2 (en) * 2012-12-25 2014-12-10 Закрытое акционерное обшество "Лаборатория Касперского" System and method for creating application behaviour model scripts

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2491611C2 (en) * 2011-11-29 2013-08-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for adaptive prioritisation of antivirus scanning objects
RU2535506C2 (en) * 2012-12-25 2014-12-10 Закрытое акционерное обшество "Лаборатория Касперского" System and method for creating application behaviour model scripts

Similar Documents

Publication Publication Date Title
EP2469445B1 (en) Optimization of anti-malware processing by automated correction of detection rules
RU2536664C2 (en) System and method for automatic modification of antivirus database
US8819835B2 (en) Silent-mode signature testing in anti-malware processing
RU2514140C1 (en) System and method for improving quality of detecting malicious objects using rules and priorities
JP6353498B2 (en) System and method for generating an antivirus record set for detecting malware on user equipment
US8214905B1 (en) System and method for dynamically allocating computing resources for processing security information
US7640589B1 (en) Detection and minimization of false positives in anti-malware processing
RU2487405C1 (en) System and method for correcting antivirus records
US8209758B1 (en) System and method for classifying users of antivirus software based on their level of expertise in the field of computer security
US8214904B1 (en) System and method for detecting computer security threats based on verdicts of computer users
RU2624552C2 (en) Method of malicious files detecting, executed by means of the stack-based virtual machine
RU2726878C1 (en) Method for faster full antivirus scanning of files on mobile device
US11451580B2 (en) Method and system of decentralized malware identification
RU2701842C1 (en) Method of generating a request for information on a file for performing antivirus checking and a system for realizing the method (versions)
EP3474174B1 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
WO2019134224A1 (en) Network threat management method and device, computer device and storage medium
RU2531565C2 (en) System and method for analysing file launch events for determining safety ranking thereof
RU2491623C1 (en) System and method of verifying trusted files
RU2614929C1 (en) Method for anti-virus records transmission used to detect malicious files
US11003772B2 (en) System and method for adapting patterns of malicious program behavior from groups of computer systems
EP2584488B1 (en) System and method for detecting computer security threats based on verdicts of computer users
RU107615U1 (en) SYSTEM FOR REDUCING THE NUMBER OF FALSE FACES OF AN ANTI-VIRUS SYSTEM
RU2510530C1 (en) Method for automatic generation of heuristic algorithms for searching for malicious objects
RU2587424C1 (en) Method of controlling applications
RU108870U1 (en) SYSTEM FOR INCREASING THE NUMBER OF DETECTIONS OF MALICIOUS OBJECTS