RU108870U1 - Система увеличения количества обнаружений вредоносных объектов - Google Patents
Система увеличения количества обнаружений вредоносных объектов Download PDFInfo
- Publication number
- RU108870U1 RU108870U1 RU2011111603/08U RU2011111603U RU108870U1 RU 108870 U1 RU108870 U1 RU 108870U1 RU 2011111603/08 U RU2011111603/08 U RU 2011111603/08U RU 2011111603 U RU2011111603 U RU 2011111603U RU 108870 U1 RU108870 U1 RU 108870U1
- Authority
- RU
- Russia
- Prior art keywords
- tool
- virus
- base
- user
- personal computer
- Prior art date
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
1. Система анализа данных, полученных в результате антивирусной проверки, включающая антивирусный сервер, связанный, по крайней мере, с одним персональным компьютером пользователя, при этом персональный компьютер пользователя включает: ! а) антивирусное средство, связанное с: ! - базой правил на стороне персонального компьютера пользователя; ! - базой корректирующих коэффициентов на стороне персонального компьютера пользователя; ! - средством обновления на стороне персонального компьютера пользователя; ! - средством обработки запросов на антивирусном сервере; ! при этом упомянутое антивирусное средство предназначено для проведения проверки процессов, вызываемых при запуске объектов, используя базу правил и базу корректирующих коэффициентов; ! б) средство обновления на стороне персонального компьютера пользователя, связанное со следующими средствами: ! - базой правил на стороне персонального компьютера пользователя; ! - базой корректирующих коэффициентов на стороне персонального компьютера пользователя; ! - средством обновления на стороне антивирусного сервера; ! при этом упомянутое средство обновления на стороне персонального компьютера пользователя выполнено с возможностью запуска антивирусным средством, также упомянутое средство обновления предназначено для проведения обновления базы правил и базы корректирующих коэффициентов, полученных от средства обновления на стороне антивирусного сервера; ! в) упомянутую базу правил на стороне персонального компьютера пользователя, содержащую набор правил для обнаружения вредоносных объектов; ! г) упомянутую базу корректирующих коэффициентов на стор
Description
Область техники
Полезная модель относится к системам увеличения количества обнаружений вредоносных объектов антивирусными системами, которые используют рейтинг процессов для обнаружения вредоносных объектов.
Уровень техники
В связи с бурным развитием компьютерной техники и компьютерных сетей все большие размеры принимает проблема, связанная с защитой от вредоносных объектов, которые поступают на компьютеры пользователей.
В настоящее время применяется множество систем для решения данной проблемы. Антивирусные системы используют разные подходы при выполнении своей работы: сигнатурная проверка, эвристический анализ, поведенческий анализ.
Сигнатурный анализ является классическим методом для поиска вирусов и других вредоносных объектов. Суть данного подхода заключается в применении образцов программного кода, полученных при анализе известного вредоносного кода. Образцы носят название сигнатуры. Поиск вирусов происходит в процессе сканирования потенциально опасного программного кода. Если в процессе сканирования встречается код, который совпадает с шаблоном кода сигнатуры, то объект, содержащий такой код, классифицируется как вредоносный. Сигнатурный анализ гарантирует обнаружение вредоносных объектов, которые описаны сигнатурами, но не способен обнаружить неизвестные вирусы.
Эвристический анализ позволяет определить присутствие в данных, способных принести вред, до запуска самого объекта. Поведенческий анализ заключается в слежении за всеми процессами, запущенными различными объектами. При подозрительном поведении процесса, которое определяется в рамках правил, антивирусная система принимает меры защиты. Данный способ обладает недостатком: при поведенческом анализе антивирусная система может пропустить некоторые известные вирусы.
Современные антивирусные системы успешно используют сразу несколько подходов для повышения эффективности борьбы с вредоносными объектами, пользуясь преимуществами каждого способа и взаимно компенсируя их недостатки.
Система, которая использует технологию, базирующуюся на изучении запускаемых исполняемых файлов и оценке поведения на основании системы правил, описана в патенте US 7530106 и предназначена для обнаружения вирусов и других типов вредоносных объектов, используя рейтинги безопасности компьютерных процессов, рассчитанных по системе правил. Сами правила формируются на основании анализа изученных вредоносных объектов и поведения процессов, связанных с вредоносными объектами. Каждое правило имеет определенную структуру: идентификатор правила, вызываемая API-функция (Application Programming Interface, API - набор готовых классов, функций, структур и констант, предоставляемых операционной системой для использования во внешних программных приложениях), условия для аргументов, оценка опасности. То есть правило сработает в том случае, если процесс вызовет API-функцию с соответствующими параметрами, и в таком случае рейтинг процесса будет увеличен в соответствии с оценкой правила.
Правила хранятся в обновляемых базах. Поскольку непрерывно появляются новые компьютерные вирусы, система правил должна периодически уточняться, пересматриваться, дополняться.
У любой антивирусной системы есть вероятность возникновения ошибок при работе. Ошибки делятся на так называемые ошибки первого рода и ошибки второго рода. Ошибки первого рода появляются в том случае, если антивирусная система обнаруживает вредоносный объект, хотя на самом деле объект не представляет никакой угрозы. Другими словами возникает ложное срабатывание системы. Ошибки второго рода в отношении антивирусных систем связаны с той ситуацией, когда при наличии вируса или другого вредоносного объекта система его не обнаруживает.
Прежние системы могли допускать как ошибки первого рода, то есть вызывать ложные срабатывания, так и ошибки второго рода, то есть пропускать и не обнаруживать объекты, представляющие опасность для персонального компьютера. Для повышения качества работы антивирусной системы возникает необходимость снижать вероятность появления ошибок первого и второго рода.
Предлагаемая система имеет преимущество по сравнению с запатентованной системой. Она позволяет увеличить количество вредоносных объектов, обнаруженных антивирусной системой. Таким образом, при увеличении количества обнаруженных объектов снизится вероятность появления ошибки второго рода.
Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяют получить новый результат, а именно систему увеличения количества обнаружений вредоносных объектов антивирусными системами, которые используют рейтинг процессов для обнаружения вредоносных объектов.
Сущность полезной модели
Техническим результатом данной полезной модели является увеличение количества обнаружений вредоносных объектов антивирусной системы, что достигается за счет корректировки рейтингов, выставляемых правилами при проведении процесса обнаружения вредоносных объектов, с помощью корректирующих коэффициентов.
Настоящая полезная модель представляет собой систему анализа данных, полученных в результате антивирусной проверки, включающую антивирусный сервер, связанный, по крайней мере, с одним персональным компьютером пользователя, при этом персональный компьютер пользователя включает:
а) антивирусное средство, связанное с:
- базой правил на стороне персонального компьютера пользователя;
- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;
- средством обновления на стороне персонального компьютера пользователя;
- средством обработки запросов на антивирусном сервере;
при этом упомянутое антивирусное средство предназначено для проведения проверки процессов, вызываемых при запуске объектов, используя базу правил и базу корректирующих коэффициентов;
б) средство обновления на стороне персонального компьютера пользователя, связанное со следующими средствами:
- базой правил на стороне персонального компьютера пользователя;
- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;
- средством обновления на стороне антивирусного сервера;
при этом упомянутое средство обновления на стороне персонального компьютера пользователя выполнено с возможностью запуска антивирусным средством, также упомянутое средство обновления предназначено для проведения обновления базы правил и базы корректирующих коэффициентов, полученных от средства обновления на стороне антивирусного сервера;
в) упомянутую базу правил на стороне персонального компьютера пользователя, содержащую набор правил для обнаружения вредоносных объектов;
г) упомянутую базу корректирующих коэффициентов на стороне персонального компьютера пользователя, содержащую набор корректирующих коэффициентов для правил из базы правил;
при этом антивирусный сервер включает:
I) средство обработки запросов, связанное со средством хранения данных и со средством формирования оперативных рейтингов, при этом упомянутое средство обработки запросов выполнено с возможностью получения данных от антивирусного средства на компьютере пользователя и на основании полученных данных формирования отчетов;
II) средство хранения данных, связанное со средством анализа и средством формирования оперативных рейтингов, при этом упомянутое средство хранения данных предназначено для хранения отчетов, полученных от средства обработки запросов;
III) средство формирования оперативных рейтингов, выполненное с возможностью получения контрольной суммы подозрительного объекта от средства обработки запросов, при этом средство формирования оперативных рейтингов также предназначено для формирования оперативного рейтинга процесса, используя информацию, находящуюся в средстве хранения данных, и отправки его на антивирусное средство на персональном компьютере пользователя;
IV) средство анализа, связанное с:
- средством хранения черного списка;
- базой корректирующих коэффициентов на стороне антивирусного сервера;
- базой правил на стороне антивирусного сервера;
при этом упомянутое средство анализа предназначено для проведения анализа данных, содержащихся в средстве хранения данных, используя при анализе контрольные суммы, находящиеся в средстве хранения черного списка, также предназначено для формирования базы корректирующих коэффициентов и базы правил на основе проведенного анализа, что позволяет увеличить количество обнаружений вредоносных объектов антивирусной системы;
V) упомянутое средство хранения черного списка, содержащее контрольные суммы известных вредоносных объектов;
VI) упомянутую базу правил на стороне антивирусного сервера, содержащую набор правил, обновленных в результате работы средства анализа;
VII) упомянутую базу корректирующих коэффициентов на стороне антивирусного сервера, содержащую набор корректирующих коэффициентов для правил из упомянутой базы правил, обновленных в результате работы средства анализа;
VIII) средство обновления на стороне антивирусного сервера, связанное с:
- базой правил на стороне антивирусного сервера;
- базой корректирующих коэффициентов на стороне антивирусного сервера;
при этом упомянутое средство обновления на стороне антивирусного сервера выполнено с возможностью отправки новой версии базы правил на стороне антивирусного сервера и базы корректирующих коэффициентов на стороне антивирусного сервера при запросе средства обновления на стороне персонального компьютера пользователя. В частном варианте исполнения антивирусное средство упомянутой системы выполнено с возможностью передачи средству обработки запросов данных, содержащих, по крайней мере, контрольную сумму подозрительного объекта, на котором сработало правило, номер сработавшего правила, рейтинг процесса, выставленный правилом, и общий рейтинг процесса.
В частном варианте исполнения проверяемые процессы являются процессами, вызываемыми при запуске объектов в операционной системе персонального компьютера пользователя.
В частном варианте исполнения подозрительным объектом является тот объект, который вызвал процесс, получивший в результате проверки антивирусным средством рейтинг, меньший рейтинга опасности, но больший рейтинга безопасности.
В частном варианте исполнения вредоносным объектом является тот объект, который вызвал процесс, получивший в результате проверки антивирусным средством рейтинг, больший рейтинга опасности.
В частном варианте исполнения антивирусное средство упомянутой системы выполнено с возможностью использования статического рейтинга при проведении проверки, если не сформирован оперативный рейтинг средством формирования оперативных рейтингов.
В частном варианте исполнения антивирусное средство упомянутой системы выполнено с возможностью определения статического рейтинга по характеристикам объекта проверки, которые, по меньшей мере, включают атрибуты объекта, месторасположение объекта, размер, тип объекта.
В частном варианте исполнения база корректирующих коэффициентов и база правил упомянутой системы выполнены с возможностью независимого обновления.
В частном варианте исполнения антивирусное средство упомянутой системы выполнено с возможностью завершения процесса, вызванного вредоносным объектом, при обнаружении этого вредоносного объекта.
В частном варианте исполнения упомянутое средство анализа выполнено с возможностью проведения оперативного анализа, в результате которого формируется база корректирующих коэффициентов на стороне антивирусного сервера.
В частном варианте исполнения упомянутое средство анализа выполнено с возможностью проведения общего анализа, в результате которого формируется база правил на стороне антивирусного сервера.
Краткое описание чертежей
Сопровождающие чертежи предназначены для лучшего понимания заявленной полезной модели, составляют часть данного описания, иллюстрируют варианты реализации полезной модели и совместно с описанием служат для объяснения принципов полезной модели.
Фиг.1 отображает структуру компьютера пользователя, входящего в систему увеличения количества обнаружений вредоносных объектов.
Фиг.2 иллюстрирует структуру антивирусного сервера системы увеличения количества обнаружений вредоносных объектов.
Фиг.3 показывает структуру средства хранения данных.
Фиг.4 показывает процесс формирования рейтингов при антивирусной проверке.
Фиг.5 иллюстрирует алгоритм проведения антивирусной проверки на персональном компьютере пользователя.
Фиг.6 отображает алгоритм работы антивирусного сервера.
Фиг.7 показывает классификацию объектов проверки в зависимости от выставленного рейтинга.
Фиг.8 показывает пример компьютерной системы общего назначения, на которой может быть реализована данная полезная модель.
Описание вариантов осуществления
В качестве одного из вариантов осуществления полезной модели рассматривается система, состоящая, по крайней мере, из персонального компьютера пользователя 100 и антивирусного сервера 160.
На Фиг.1 показана структура компьютера пользователя, входящего в систему увеличения количества обнаружений вредоносных объектов.
Персональный компьютер пользователя 100 содержит антивирусное средство 110, которое производит поиск вредоносных объектов. В качестве объекта может быть рассмотрен, например, исполняемый файл, при запуске которого происходит запуск процесса в операционной системе. Для обнаружения вредоносных объектов антивирусное средство проводит проверку процессов 140, вызванных объектами. Таким образом, если антивирусное средство определяет процесс как опасный, то объект, запустивший данный процесс является вредоносным. При проведении проверки процессов используется набор правил 132 из базы правил на стороне персонального компьютера пользователя 130. Правила представляют собой набор описаний процессов, которые могут представлять угрозу для компьютера. Все правила хранятся на компьютере пользователя в виде базы правил 130. У каждого правила есть свой номер 131, который присваивается ему на все время использования правила. Номер правила уникален и служит для однозначной идентификации определенного правила.
Кроме базы правил на персональном компьютере пользователя хранится база корректирующих коэффициентов на стороне компьютера пользователя 120. Корректирующие коэффициенты также используются антивирусным средством в процессе определения вредоносных объектов. Более подробно процесс определения вредоносных объектов будет рассмотрен при описании Фиг.4. Каждому правилу 132 из базы правил 130 соответствует один коэффициент 122 из базы коэффициентов 120, который имеет номер 121, соответствующий номеру правила 131.
База правил и база коэффициентов на стороне компьютера пользователя могут обновляться. Обновление осуществляется с использованием средства обновления на стороне персонального компьютера 150. Антивирусное средство 110 перед началом процесса поиска вредоносных объектов запускает средство обновления, которое связывается со средством обновления на стороне антивирусного сервера 280, передает информацию о версии баз. Средство обновления на стороне антивирусного сервера 280 получает информацию о версии баз и сравнивает с версией доступных баз на антивирусном сервере. Если средство обновления на стороне антивирусного сервера 280 устанавливает, что доступна более новая версия баз, чем та, которая находится на персональном компьютере пользователя, то средство обновления на стороне антивирусного сервера передает новую версию баз средству обновления на стороне персонального компьютера пользователя 150. Средство обновления на стороне персонального компьютера 150 пользователя получает обновленную версию баз и заменяет старые базы. При этом база коэффициентов на стороне компьютера пользователя 120 и база правил на стороне компьютера пользователя 130 обновляются независимо друг от друга.
База коэффициентов 120 имеет размер, много меньший по сравнению с базой правил 130, что позволяет производить частые обновления базы коэффициентов, и использование сетевых ресурсов увеличится не так значительно, как если бы была необходимость частого обновления базы правил. Следовательно, использование механизма раздельного обновления базы коэффициентов и базы правил позволяет сократить использование сетевых ресурсов при частом обновлении базы коэффициентов 120.
Антивирусное средство 110 связывается с антивирусным сервером 160, если им был обнаружен подозрительный процесс и соответствующий подозрительный объект, вызвавший данный процесс.
Используя один из известных криптографических алгоритмов, таких как MD5, MD4, SHA1, SHA256 или CRC32, антивирусное средство 110 создает контрольную сумму подозрительного объекта, вызвавшего обнаруженный процесс, которая позволяет однозначно идентифицировать объект. Далее антивирусное средство 110 передает контрольную сумму вместе с информацией о сработавшем правиле и выставленном рейтинге антивирусному серверу 160.
Антивирусный сервер получает и накапливает полученную информацию. Также от антивирусного сервера приходит обратный ответ на антивирусное средство 110. Антивирусное средство получает в качестве ответа оперативный рейтинг процесса, который вносит корректирующий вклад в формирование общего рейтинга процесса. Если отсутствует возможность получения оперативного рейтинга процесса, то вместо него антивирусное средство использует статический рейтинг при выявлении вредоносных объектов. Процесс формирования рейтингов описан далее при рассмотрении Фиг.4.
Если антивирусное средство 110 обнаружило вредоносный объект, то оно прекращает опасный процесс, связанный с данным объектом.
Стоит более подробно остановиться на классификации объектов в зависимости от рейтинга, выставляемого соответствующему процессу, которая поясняется с помощью Фиг.7. Возможны три ситуации: рейтинг процесса оказался меньше порога безопасности 740, в таком случае объект 710 признается безопасным; рейтинг процесса превысил порог безопасности 740, но не достиг порога опасности 750, в данном случае объект 720 рассматривается в качестве подозрительного; рейтинг оказался больше порога опасности 750, и объект 730 признается содержащим угрозу, то есть вредоносным. Порог безопасности устанавливается в зависимости от порога опасности и может составлять, например, 50% от значения порога опасности. Стоит отметить, что пороги фиксированы, а меняются коэффициенты, меняя при этом рейтинг, выставляемый правилом.
В описываемой системе анализируются объекты, классифицированные как подозрительные, которые, несмотря на то, что они не достигли рейтинга, соответствующего порогу опасности, могут представлять опасность и являться вредоносными.
Антивирусный сервер изображен на Фиг.2. На антивирусный сервер 160 поступает информация обо всех обнаруженных подозрительных объектах с персонального компьютера пользователя 100.
Все данные от персонального компьютера 100 отсылаются на средство обработки запросов 210, которое обрабатывает поступающую информацию и помещает ее в средство хранения данных 220. Средство обработки запросов отправляет контрольную сумму объекта средству формирования оперативного рейтинга 270.
Средство хранения данных 220 представляет собой базу данных. Более детально средство хранения данных показано на Фиг.3. Данные в средстве хранения данных структурированы в виде таблицы. Каждая строка содержит информацию об обнаруженном объекте. Средство хранения данных содержит информацию, полученную от антивирусного средства, которая состоит, по крайней мере, из контрольной суммы подозрительного объекта 221, рейтинга процесса 222, номеров сработавших правил 223 и выставленных каждым правилом рейтингов 224.
Средство анализа 230 обрабатывает накопленные данные, полученные от антивирусного средства и находящиеся в средстве хранения данных. При обработке проводится поиск вредоносных объектов по контрольным суммам 221. При этом используется средство хранения черного списка 240, в котором хранятся контрольные суммы вредоносных объектов. Средство анализа 230 ищет те контрольные суммы, которые находятся и в средстве хранения данных 220, и в средстве хранения черного списка. Если контрольная сумма находится в средстве хранения данных и в средстве хранения черного списка контрольных сумм, то подозрительный объект с такой контрольной суммой является вредоносным. В таком случае возникает ошибка второго рода, поскольку данный объект не был признан антивирусным средством в качестве вредоносного объекта. Предлагаемая система позволяет снизить ошибки второго рода при антивирусной проверке, таким образом, повысив количество обнаружений вредоносных объектов.
После того, как контрольные суммы подозрительных объектов найдены в черном списке, и соответствующие объекты признаны вредоносными, средство анализа 230 проводит анализ правил, которые сработали при антивирусной проверке данных объектов. В ходе анализа устанавливаются номера сработавших правил 223, учитывается общий рейтинг процесса 222, связанного с объектом, который показывает, сколько недобрал рейтинг процесса до порогового значения, также учитывается рейтинг 224, выставленный каждым правилом при формировании общего рейтинга.
Работу средства анализа 230 можно разделить на две стадии: проведение оперативного анализа полученных данных об объектах и проведение общего анализа. Оперативный анализ производится периодично, и исследуются данные, накопленные за небольшой временной интервал, например, несколько часов.
В результате оперативного анализа формируется база корректирующих коэффициентов на стороне антивирусного сервера 250 для правил, которые сработали на вредоносных объектах. В базу входят только коэффициенты, отличные от единицы, что позволяет уменьшить размер базы. Таким образом, базу можно представить в виде номеров правил 251 и корректирующих коэффициентов для них 252. После формирования базы корректирующих коэффициентов на стороне антивирусного сервера 250, база доступна персональным компьютерам пользователей для обновления. В окончательном виде база имеет небольшой размер порядка 500 байт, что облегчает процесс частого обновления базы. С помощью корректирующих коэффициентов вклад в формирование рейтинга процесса изменяется. При последующих антивирусных проверках объекты, которые ранее обнаруживались в качестве подозрительных, будут обнаруживаться антивирусным средством 110 как вредоносные.
Общий анализ данных производится реже, чем оперативный анализ. При проведении общего анализа средство анализа 230 производит обработку данных, собранных за определенный период времени, например, за неделю. В результате общего анализа средство анализа формирует базу правил на стороне антивирусного сервера 260. База правил содержит в себе номера правил 261 и измененные правила 262, которые вносили вклад в формирование рейтинга вредоносных объектов. Изменению подвергается базовый коэффициент, который непосредственно влияет на выставленный правилом рейтинг при обнаружении вредоносных объектов. Изменения могут коснуться также самой структуры правила, в этом случае необходимо привлечение эксперта, данная процедура проводится в полуавтоматическом режиме.
После того, как база правил на стороне антивирусного сервера 260 сформирована, средство анализа 230 производит сброс корректирующих коэффициентов, присваивая измененным правилам единичный коэффициент. Таким образом, корректирующий коэффициент для измененных правил равен единице, он может быть скорректирован по результатам работы измененных правил с помощью базы корректирующих коэффициентов. После формирования базы правил, она доступна персональным компьютерам пользователей для обновления.
Обновление баз производится с участием средства обновления на стороне антивирусного сервера 280, которое получает запрос от персонального компьютера пользователя и в том случае, если базы на персональном компьютере пользователя устарели, отправляет новую версию баз на персональный компьютер.
В частном варианте реализации сброс корректирующих коэффициентов может не производиться средством анализа 230. Обновление базы корректирующих коэффициентов проводится часто, что позволит автоматически в кратчайшие сроки скорректировать коэффициенты по результатам работы измененных правил.
При отсутствии связи с антивирусным сервером 160, антивирусное средство способно производить антивирусную проверку, используя доступную базу корректирующих коэффициентов и базу правил, которые хранятся на персональном компьютере пользователя. Если по каким - либо причинам база корректирующих коэффициентов и база правил не может быть обновлена компьютером пользователя, то антивирусное средство использует последнюю загруженную версию баз.
Средство формирования оперативного рейтинга 270 получает контрольную сумму объекта от средства обработки запросов. Получив контрольную сумму, средство формирования оперативного рейтинга проводит поиск аналогичных контрольных сумм в средстве хранения данных 220, после чего отправляет ответ антивирусному средству, содержащий усредненный рейтинг для данного объекта. Антивирусное средство 110 получает ответ от средства формирования оперативного рейтинга и использует оперативный рейтинг вместо статического рейтинга при формировании общего рейтинга процесса, вызванного проверяемым объектом.
Если антивирусное средство не имеет возможности получить оперативный рейтинг, то при антивирусном анализе объектов используется статический рейтинг, который формируется антивирусным средством 110 без участия антивирусного сервера 160. Такая ситуация возможна, например, из-за отсутствия данных об интересующем объекте в средстве хранения данных. Более детально процесс формирования общего рейтинга процесса при проведении антивирусной проверки будет описан при рассмотрении Фиг.4.
На Фиг.4 показан процесс формирования рейтингов при антивирусной проверке. Антивирусная проверка производится антивирусным средством 110 на компьютере пользователя. Антивирусное средство проверяет запущенные процессы, чтобы установить уровень их опасности и сделать вывод о том, являются ли объекты, запустившие процессы, вредоносными. В процессе проверки используется база правил 130 и база коэффициентов 120 на стороне персонального компьютера пользователя. При анализе процесса могут сработать несколько правил 401-403. Каждое правило имеет базовый коэффициент pi (i=1…n, где n - номер последнего правила), который может измениться только при изменении самого правила после обновления базы правил. Базовый коэффициент, заложенный в правило, влияет на выставляемый правилом рейтинг. Однако база правил 130 обновляется реже чем база корректирующих коэффициентов 120. При формировании итогового рейтинга учитываются также корректирующие коэффициенты 404-406, которые помогают оперативно изменить рейтинг конкретного правила. На общий рейтинг влияет также статический рейтинг 408. Статический рейтинг определяется антивирусным средством 110 при первичном анализе характеристик объекта. Учитываются такие характеристики объекта, как атрибуты объекта, месторасположение объекта, его размер, тип объекта и т.д.
В одном из вариантов воплощения системы вместо статического рейтинга 408 используется оперативный рейтинг 409, получаемый от антивирусного сервера. Оперативный рейтинг дает более общее представление об угрозе, которую может представлять исследуемый объект, поскольку оперативный рейтинг формируется на основе данных об объекте, полученных от антивирусных средств, находящихся на различных персональных компьютерах. Использование оперативного рейтинга при антивирусной проверке является более эффективным, поэтому при наличии возможности применяется оперативный рейтинг, а статический рейтинг уже не учитывается.
Для одного процесса может сработать сразу несколько правил. Каждое правило дает вклад в формирование конечного вывода о том, является ли данный процесс опасным. Вклад от каждого правила складывается из двух составляющих: базового коэффициента р и корректирующего коэффициента k. После вклады от каждого правила суммируются и в совокупности со статическим рейтингом 408 или оперативным рейтингом 409 образуют общий рейтинг процесса 407. Если общий рейтинг превышает пороговое значение 750, то процесс признается опасным, а соответствующий объект - вредоносным. Если пороговое значение 740 не достигается, то объект признается безопасным. Если порог 750 не превышен, но рейтинг процесса превышает порог 740, то объект считается подозрительным.
С помощью корректировочных коэффициентов 404-406 меняется рейтинг, выставляемый правилом, поэтому, если правило часто срабатывает на вредоносных объектах, которые не добирают рейтинг до порогового значения, то его коэффициент можно повысить, и, следовательно, вклад от такого правила увеличится. Такое правило будет давать больший вклад в конечный рейтинг процесса 407. В результате количество обнаруженных вредоносных объектов будет увеличено за счет объектов, которые ранее не добирали рейтинг и обнаруживались антивирусным средством в качестве подозрительных.
Количество обнаруженных вредоносных объектов увеличится также при обновлении базы правил, когда изменяется базовый коэффициент или структура правила. В этом случае выставляемый правилом рейтинг р будет скорректирован так, чтобы правило давало больший вклад при срабатывании на вредоносных объектах.
На Фиг.5 изображен алгоритм проведения антивирусной проверки на персональном компьютере пользователя.
На этапе 501 происходит обновление базы коэффициентов 120 и базы правил 130. Обновление производится с помощью средства обновления на стороне персонального компьютера 150 и средства обновления со стороны антивирусного сервера 280. Средство обновления на стороне персонального компьютера 150 передает на антивирусный сервер версию текущих баз, в ответ средство обновления на стороне антивирусного сервера передает новые версии баз 250 и 260, если они доступны. Средство обновления на стороне персонального компьютера 150 обновляет базу коэффициентов 120 и базу правил 130 соответственно. После обновления баз запускается процесс на шаге 502, и антивирусное средство 110 формирует общий рейтинг безопасности на основе базы правил, базы коэффициентов, а также статического или оперативного рейтинга на этапе 503. Рейтинг безопасности необходим для получения вывода о том, является ли объект, вызвавший исследуемый процесс, вредоносным. После того, как рейтинг сформирован, на этапе 504 проводится проверка превышения порога безопасности 740 имеющимся рейтингом. Если рейтинг превысил пороговое значение 740, то антивирусное средство 110 на этапе 505 отправляет данные об объекте, вызвавшем процесс, о сработавших правилах и выставленных ими рейтингах, а также общий рейтинг для данного процесса на антивирусный сервер 160. Далее на шаге 506 проверяется, превышено ли пороговое значение 750. Процесс блокируется на шаге 507, если порог 750 превышен.
Если полученный общий рейтинг процесса не превысил пороговое значение 740, то антивирусное средство позволяет продолжить выполнение процесса 508, при этом производится обновление общего рейтинга и сравнение его с пороговым значением.
На Фиг.6 показан алгоритм работы антивирусного сервера.
На этапе 601 антивирусный сервер получает данные об обнаруженных объектах от антивирусного средства 110. На шаге 602 полученные данные обрабатываются и структурируются в виде, удобном для хранения и дальнейшего анализа в средстве хранения данных 220. Обработанные данные накапливаются в средстве хранения данных на шаге 603. С небольшой периодичностью, например, один раз в несколько часов, средство анализа проводит оперативный анализ накопленных данных на шаге 604, после этого формируется база корректирующих коэффициентов на шаге 605.
Средство анализа 230 на этапе 606 проводит общий анализ данных о срабатываниях, накопленных за большой промежуток времени, например, за неделю. В результате общего анализа данных формируется база правил на шаге 607. На шаге 605 средство анализа данных производит сброс корректирующих коэффициентов для измененных правил и обновляет базу корректирующих коэффициентов. После этого база корректирующих коэффициентов и база правил доступны для загрузки и обновления.
На шаге 608 средство формирования оперативного рейтинга 270 получает от средства обработки запросов 210 контрольную сумму объекта.
По контрольной сумме формируется оперативный рейтинг, который отсылается антивирусному средству на компьютер пользователя на шаге 609.
В результате работы системы проводится сбор данных об обнаруженных вредоносных объектах, сработавших правилах и выставленных рейтингах, поступающих от компьютера пользователя. Проводится подготовка баз корректирующих коэффициентов и правил на основе этих данных для тех правил, которые срабатывали на вредоносных объектах. За счет применения базы корректирующих коэффициентов, а также за счет изменения правил, достигается увеличение количества обнаружений объектов, содержащих вредоносные данные, при антивирусной проверке.
Фиг.8 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS), содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс привода магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.).
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35 и дополнительные программные приложения 37, другие программные модули 38 и программные данные 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонки, принтер и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.8. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 51 и глобальную вычислительную сеть (WAN) 52. Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 51 через сетевой адаптер или сетевой интерфейс 53. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью 52, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными, и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
Следует отметить, что приведенные в описании примеры являются поясняющими и не предназначены для ограничения объема и сущности заявленной полезной модели, которые установлены в прилагаемой формуле.
Claims (11)
1. Система анализа данных, полученных в результате антивирусной проверки, включающая антивирусный сервер, связанный, по крайней мере, с одним персональным компьютером пользователя, при этом персональный компьютер пользователя включает:
а) антивирусное средство, связанное с:
- базой правил на стороне персонального компьютера пользователя;
- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;
- средством обновления на стороне персонального компьютера пользователя;
- средством обработки запросов на антивирусном сервере;
при этом упомянутое антивирусное средство предназначено для проведения проверки процессов, вызываемых при запуске объектов, используя базу правил и базу корректирующих коэффициентов;
б) средство обновления на стороне персонального компьютера пользователя, связанное со следующими средствами:
- базой правил на стороне персонального компьютера пользователя;
- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;
- средством обновления на стороне антивирусного сервера;
при этом упомянутое средство обновления на стороне персонального компьютера пользователя выполнено с возможностью запуска антивирусным средством, также упомянутое средство обновления предназначено для проведения обновления базы правил и базы корректирующих коэффициентов, полученных от средства обновления на стороне антивирусного сервера;
в) упомянутую базу правил на стороне персонального компьютера пользователя, содержащую набор правил для обнаружения вредоносных объектов;
г) упомянутую базу корректирующих коэффициентов на стороне персонального компьютера пользователя, содержащую набор корректирующих коэффициентов для правил из базы правил;
при этом антивирусный сервер включает:
I) средство обработки запросов, связанное со средством хранения данных и со средством формирования оперативных рейтингов, при этом упомянутое средство обработки запросов выполнено с возможностью получения данных от антивирусного средства на компьютере пользователя и на основании полученных данных формирования отчетов;
II) средство хранения данных, связанное со средством анализа и средством формирования оперативных рейтингов, при этом упомянутое средство хранения данных предназначено для хранения отчетов, полученных от средства обработки запросов;
III) средство формирования оперативных рейтингов, выполненное с возможностью получения контрольной суммы подозрительного объекта от средства обработки запросов, при этом средство формирования оперативных рейтингов также предназначено для формирования оперативного рейтинга процесса, используя информацию, находящуюся в средстве хранения данных, и отправки его на антивирусное средство на персональном компьютере пользователя;
IV) средство анализа, связанное с:
- средством хранения черного списка;
- базой корректирующих коэффициентов на стороне антивирусного сервера;
- базой правил на стороне антивирусного сервера;
при этом упомянутое средство анализа предназначено для проведения анализа данных, содержащихся в средстве хранения данных, используя при анализе контрольные суммы, находящиеся в средстве хранения черного списка, также предназначено для формирования базы корректирующих коэффициентов и базы правил на основе проведенного анализа, что позволяет увеличить количество обнаружений вредоносных объектов антивирусной системы;
V) упомянутое средство хранения черного списка, содержащее контрольные суммы известных вредоносных объектов;
VI) упомянутую базу правил на стороне антивирусного сервера, содержащую набор правил, обновленных в результате работы средства анализа;
VII) упомянутую базу корректирующих коэффициентов на стороне антивирусного сервера, содержащую набор корректирующих коэффициентов для правил из упомянутой базы правил, обновленных в результате работы средства анализа;
VIII) средство обновления на стороне антивирусного сервера, связанное с:
- базой правил на стороне антивирусного сервера;
- базой корректирующих коэффициентов на стороне антивирусного сервера;
при этом упомянутое средство обновления на стороне антивирусного сервера выполнено с возможностью отправки новой версии базы правил на стороне антивирусного сервера и базы корректирующих коэффициентов на стороне антивирусного сервера при запросе средства обновления на стороне персонального компьютера пользователя.
2. Система по п.1, в которой антивирусное средство выполнено с возможностью передачи средству обработки запросов данных, содержащих, по крайней мере, контрольную сумму подозрительного объекта, на котором сработало правило, номер сработавшего правила, рейтинг процесса, выставленный правилом, и общий рейтинг процесса.
3. Система по п.1, в которой проверяемые процессы являются процессами, вызываемыми при запуске объектов в операционной системе персонального компьютера пользователя.
4. Система по п.1, в которой подозрительным объектом является тот объект, который вызвал процесс, получивший в результате проверки антивирусным средством рейтинг, меньший рейтинга опасности, но больший рейтинга безопасности.
5. Система по п.1, в которой вредоносным объектом является тот объект, который вызвал процесс, получивший в результате проверки антивирусным средством рейтинг, больший рейтинга опасности.
6. Система по п.1, в которой антивирусное средство выполнено с возможностью использования статического рейтинга при проведении проверки, если не сформирован оперативный рейтинг средством формирования оперативных рейтингов.
7. Система по п.6, в которой антивирусное средство выполнено с возможностью определения статического рейтинга по характеристикам объекта проверки, которые, по меньшей мере, включают атрибуты объекта, месторасположение объекта, размер, тип объекта.
8. Система по п.1, в которой база корректирующих коэффициентов и база правил выполнены с возможностью независимого обновления.
9. Система по п.1, в которой антивирусное средство выполнено с возможностью завершения процесса, вызванного вредоносным объектом, при обнаружении этого вредоносного объекта.
10. Система по п.1, в которой упомянутое средство анализа выполнено с возможностью проведения оперативного анализа, в результате которого формируется база корректирующих коэффициентов на стороне антивирусного сервера.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2011111603/08U RU108870U1 (ru) | 2011-03-28 | 2011-03-28 | Система увеличения количества обнаружений вредоносных объектов |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2011111603/08U RU108870U1 (ru) | 2011-03-28 | 2011-03-28 | Система увеличения количества обнаружений вредоносных объектов |
Publications (1)
Publication Number | Publication Date |
---|---|
RU108870U1 true RU108870U1 (ru) | 2011-09-27 |
Family
ID=44804467
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2011111603/08U RU108870U1 (ru) | 2011-03-28 | 2011-03-28 | Система увеличения количества обнаружений вредоносных объектов |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU108870U1 (ru) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2485577C1 (ru) * | 2012-05-11 | 2013-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ увеличения надежности определения вредоносного программного обеспечения |
-
2011
- 2011-03-28 RU RU2011111603/08U patent/RU108870U1/ru active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2485577C1 (ru) * | 2012-05-11 | 2013-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ увеличения надежности определения вредоносного программного обеспечения |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8819835B2 (en) | Silent-mode signature testing in anti-malware processing | |
EP2469445B1 (en) | Optimization of anti-malware processing by automated correction of detection rules | |
US7640589B1 (en) | Detection and minimization of false positives in anti-malware processing | |
EP2452287B1 (en) | Anti-virus scanning | |
RU2514140C1 (ru) | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов | |
RU2487405C1 (ru) | Система и способ для исправления антивирусных записей | |
RU2739865C2 (ru) | Система и способ обнаружения вредоносного файла | |
RU2536664C2 (ru) | Система и способ автоматической модификации антивирусной базы данных | |
US8931086B2 (en) | Method and apparatus for reducing false positive detection of malware | |
RU2487406C1 (ru) | Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети | |
JP2019106216A (ja) | マルウェアに対処するための方法及び装置 | |
RU2677361C1 (ru) | Способ и система децентрализованной идентификации вредоносных программ | |
US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
US8656494B2 (en) | System and method for optimization of antivirus processing of disk files | |
RU2701842C1 (ru) | Способ формирования запроса информации о файле для осуществления антивирусной проверки и система для реализации способа (варианты) | |
WO2019134224A1 (zh) | 一种网络威胁管理方法、装置、计算机设备及存储介质 | |
US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
RU2750628C2 (ru) | Система и способ определения уровня доверия файла | |
RU2614929C1 (ru) | Способ передачи антивирусных записей, используемых для обнаружения вредоносных файлов | |
RU2510530C1 (ru) | Способ автоматического формирования эвристических алгоритмов поиска вредоносных объектов | |
RU107615U1 (ru) | Система уменьшения количества ложных срабатываний антивирусной системы | |
RU108870U1 (ru) | Система увеличения количества обнаружений вредоносных объектов | |
RU2665909C1 (ru) | Способ избирательного использования шаблонов опасного поведения программ | |
RU101224U1 (ru) | Система выявления и минимизации риска ложных срабатываний |