RU111920U1 - SYSTEM OF AUTOMATIC TESTING OF THE RULES FOR DETERMINING MALICIOUS OBJECTS - Google Patents
SYSTEM OF AUTOMATIC TESTING OF THE RULES FOR DETERMINING MALICIOUS OBJECTS Download PDFInfo
- Publication number
- RU111920U1 RU111920U1 RU2011111605/08U RU2011111605U RU111920U1 RU 111920 U1 RU111920 U1 RU 111920U1 RU 2011111605/08 U RU2011111605/08 U RU 2011111605/08U RU 2011111605 U RU2011111605 U RU 2011111605U RU 111920 U1 RU111920 U1 RU 111920U1
- Authority
- RU
- Russia
- Prior art keywords
- rules
- base
- tool
- virus
- user
- Prior art date
Links
Abstract
1. Система автоматического тестирования правил, которые используются антивирусными системами для обнаружения вредоносных объектов, включающая антивирусный сервер, связанный, по крайней мере, с одним персональным компьютером пользователя, при этом персональный компьютер пользователя включает: !а) антивирусное средство, связанное со следующими модулями: ! - базой правил на стороне персонального компьютера пользователя; ! - базой корректирующих коэффициентов на стороне персонального компьютера пользователя; ! - средством формирования отчетов на антивирусном сервере; ! при этом антивирусное средство предназначено для проведения проверки процессов, вызываемых при запуске объектов, используя базу правил и базу корректирующих коэффициентов; ! б) средство обновления на стороне персонального компьютера пользователя, связанное со следующими средствами: ! - базой правил на стороне персонального компьютера пользователя; ! - базой корректирующих коэффициентов на стороне персонального компьютера пользователя; ! - средством обновления на стороне антивирусного сервера; ! при этом упомянутое средство обновления предназначено для проведения обновления базы правил и базы корректирующих коэффициентов, полученных от средства обновления на стороне антивирусного сервера; ! в) упомянутую базу правил на стороне персонального компьютера пользователя, содержащую набор правил для обнаружения вредоносных объектов, состоящий из проверенных правил и тестируемых правил; ! г) упомянутую базу корректирующих коэффициентов на стороне персонального компьютера пользователя, содержащую коэффициенты, относящиеся к проверенным � 1. A system for automatically testing the rules that anti-virus systems use to detect malicious objects, including an anti-virus server connected to at least one personal computer of the user, while the user's personal computer includes:! A) an anti-virus tool associated with the following modules: ! - a base of rules on the side of the user's personal computer; ! - a base of correction factors on the side of the user's personal computer; ! - a means of generating reports on an anti-virus server; ! at the same time, the antivirus tool is designed to check the processes that are called upon the launch of objects using the rule base and the base of correction factors; ! b) update tool on the side of the user's personal computer associated with the following tools:! - a base of rules on the side of the user's personal computer; ! - a base of correction factors on the side of the user's personal computer; ! - update tool on the anti-virus server side; ! at the same time, the mentioned update tool is intended for updating the rule base and the database of correction factors received from the update tool on the anti-virus server side; ! c) the mentioned rule base on the side of the user's personal computer, containing a set of rules for detecting malicious objects, consisting of verified rules and tested rules; ! d) the mentioned base of correction factors on the side of the user's personal computer, containing the coefficients related to the tested
Description
Полезная модель относится к системам автоматического тестирования правил, которые используются антивирусными системами для обнаружения вредоносных объектов.The utility model relates to automatic rule testing systems that are used by anti-virus systems to detect malicious objects.
Уровень техникиState of the art
В связи с бурным развитием компьютерной техники и компьютерных сетей все большие размеры принимает проблема, связанная с защитой от вредоносных объектов, которые поступают на компьютеры пользователей.In connection with the rapid development of computer technology and computer networks, the problem of protecting against malicious objects that enter users' computers is becoming increasingly large.
В настоящее время применяется множество систем для решения данной проблемы. Антивирусные системы используют разные подходы при выполнении своей работы: сигнатурная проверка, эвристический анализ, поведенческий анализ.Currently, many systems are used to solve this problem. Anti-virus systems use different approaches when doing their job: signature verification, heuristic analysis, behavioral analysis.
Сигнатурный анализ является классическим методом для поиска вирусов и других вредоносных объектов. Суть данного подхода заключается в применении образцов программного кода, полученных при анализе известного вредоносного кода. Образцы носят название сигнатуры. Поиск вирусов происходит в процессе сканирования потенциально опасного программного кода. Если в процессе сканирования встречается код, который совпадает с шаблоном кода сигнатуры, то объект (например, исполняемый файл), содержащий такой код, классифицируется как вредоносный. Сигнатурный анализ гарантирует обнаружение вредоносных объектов, которые описаны сигнатурами, но не способен обнаружить неизвестные вирусы.Signature analysis is a classic method for searching for viruses and other malicious objects. The essence of this approach is the use of samples of program code obtained in the analysis of known malicious code. Samples are called signatures. Virus scanning takes place during the scanning process of potentially dangerous program code. If during scanning a code is found that matches the signature code template, then an object (for example, an executable file) containing such code is classified as malicious. Signature analysis ensures the detection of malicious objects that are described by signatures, but are not able to detect unknown viruses.
Эвристический анализ позволяет определить присутствие данных, способных принести вред, до запуска самого объекта. Поведенческий анализ заключается в слежении за всеми процессами, запущенными различными объектами. При подозрительном поведении процесса, которое определяется в рамках правил, антивирусная система принимает меры защиты. Данный способ обладает недостатком: при поведенческом анализе антивирусная система может пропустить некоторые известные вирусы.Heuristic analysis allows you to determine the presence of data that can be harmful before starting the object itself. Behavioral analysis consists in tracking all the processes launched by various objects. In case of suspicious process behavior, which is determined by the rules, the anti-virus system takes protective measures. This method has a drawback: during behavioral analysis, the antivirus system may skip some known viruses.
Современные антивирусные системы успешно используют сразу несколько подходов для повышения эффективности борьбы с вредоносными объектами, сочетая преимущества каждого способа и взаимно компенсируя их недостатки.Modern anti-virus systems successfully use several approaches at once to increase the effectiveness of the fight against malicious objects, combining the advantages of each method and mutually compensating for their shortcomings.
Система, которая использует технологию, базирующуюся на изучении запускаемых исполняемых файлов и оценке поведения на основании системы правил, описана в патенте US7530106 и предназначена для обнаружения вирусов и других типов вредоносных объектов, используя рейтинги безопасности компьютерных процессов, рассчитанных по системе правил. Сами правила формируются на основании анализа изученных вредоносных объектов и поведения процессов, связанных с вредоносными объектами. Каждое правило имеет определенную структуру: идентификатор правила, вызываемая API-функция (Application Programming Interface, API - набор готовых классов, функций, структур и констант, предоставляемых операционной системой для использования во внешних программных приложениях), условия для аргументов, оценка опасности. То есть правило сработает в том случае, если процесс вызовет API-функцию с соответствующими параметрами, и в таком случае рейтинг процесса будет увеличен в соответствии с оценкой правила.A system that uses technology based on the study of executable executable files and the assessment of behavior based on a system of rules is described in US7530106 and is designed to detect viruses and other types of malicious objects using security ratings of computer processes calculated according to the rule system. The rules themselves are formed on the basis of the analysis of the studied malicious objects and the behavior of processes associated with malicious objects. Each rule has a specific structure: rule identifier, called API function (Application Programming Interface, API - a set of ready-made classes, functions, structures and constants provided by the operating system for use in external software applications), conditions for arguments, hazard assessment. That is, the rule will work if the process calls an API function with the appropriate parameters, and in this case the process rating will be increased in accordance with the rule’s assessment.
Правила хранятся в обновляемых базах. Поскольку непрерывно появляются новые компьютерные вирусы, система правил должна периодически уточняться, пересматриваться, дополняться.Rules are stored in updated databases. As new computer viruses continuously appear, the system of rules should be periodically updated, reviewed, supplemented.
Процесс создания новых правил является трудоемким, поэтому для исключения ошибок в правилах на этапе формирования новых правил немаловажная роль отводится проверке корректности работы новых правил. Новое правило может содержать как технические ошибки, связанные например, с неверным программным кодом, так и ошибки, возникающие при непосредственной работе антивирусной системы с правилом при проведении антивирусной проверки, в этом случае возможна неправильная работа системы или появление правил с нулевой эффективностью. Правила с нулевой эффективностью - это правила, которые существуют в базе правил, но по тем или иным причинам никогда не срабатывают и не участвуют в процессе обнаружения вредоносных объектов.The process of creating new rules is time-consuming, therefore, to eliminate errors in the rules at the stage of formation of new rules, an important role is given to checking the correctness of the work of new rules. The new rule may contain both technical errors associated, for example, with incorrect program code, and errors that occur when the anti-virus system works directly with the rule during the anti-virus scan, in which case the system may malfunction or rules may appear with zero efficiency. Rules with zero efficiency are rules that exist in the rule base, but for one reason or another they never work and do not participate in the process of detecting malicious objects.
Правила с нулевой эффективностью не срабатывают на вредоносных объектах при проведении проверки на вирусы, что может быть связано с рядом факторов, к примеру, с чересчур жесткими заданными параметрами правила, с ошибками или тем, что подпадающие под действие правила процессы не встречаются в современных вредоносных объектах. Антивирусная система проводит проверку объектов, используя полный набор правил из антивирусной базы, поэтому если среди работоспособных правил оказываются правила с нулевой эффективностью, не влияющие на общий рейтинг, а проверка по ним все же проводится, то снижается эффективность работы системы. Кроме того, правила с нулевой эффективностью занимают место в антивирусной базе данных, что приводит к увеличению ее размера и делает более неудобной для частого обновления.Rules with zero efficiency do not work on malicious objects during virus scans, which may be due to a number of factors, for example, rules that are too hard to set, errors, or processes that fall under the rules are not found in modern malicious objects . The anti-virus system scans objects using the full set of rules from the anti-virus database, so if the rules with zero efficiency are found among the workable rules that do not affect the overall rating, and checks are nevertheless carried out, the system’s overall performance is reduced. In addition, rules with zero efficiency occupy a place in the anti-virus database, which leads to an increase in its size and makes it more inconvenient for frequent updates.
Таким образом, чем более качественно будет произведена проверка новых правил, тем меньше будет возникать ошибок при его работе и, следовательно, при работе системы в целом.Thus, the more qualitatively the new rules are checked, the less errors will occur during its operation and, therefore, during the operation of the system as a whole.
У прежней системы, использующей правила для проведения антивирусной проверки, отсутствует возможность проводить автоматическое тестирование новых правил, что усложняло ввод новых правил.The previous system that uses the rules for anti-virus scanning does not have the ability to automatically test new rules, which made it difficult to enter new rules.
Предлагаемая система имеет преимущество по сравнению с запатентованной системой. Она позволяет проводить тестирование новых правил в автоматическом режиме, получать результаты тестирования и по полученным результатам принимать решение о целесообразности включения правила в базы, а также изменять и уточнять новые правила перед началом их использования.The proposed system has an advantage over the patented system. It allows you to test new rules in automatic mode, receive test results and, based on the results, make a decision on the advisability of including the rule in the database, as well as change and clarify new rules before using them.
Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяют получить новый результат, а именно систему автоматического тестирования правил, которые используются антивирусными системами для обнаружения вредоносных программных объектов.An analysis of the prior art and the possibilities that appear when combining them in one system allows you to get a new result, namely a system for automatically testing the rules that are used by antivirus systems to detect malicious software objects.
Сущность полезной моделиUtility Model Essence
Техническим результатом данной полезной модели является автоматизация тестирования правил, используемых при проверке антивирусной системой, что достигается за счет добавления правил, требующих тестирования, с нулевыми корректирующими коэффициентами в базу правил, которая содержит проверенные правила, применяющиеся для антивирусной проверки, и последующего анализа результатов работы тестируемых правил.The technical result of this utility model is the automation of testing the rules used during the scan by the antivirus system, which is achieved by adding rules that require testing with zero correction factors to the rule base, which contains the checked rules that are used for anti-virus scanning, and the subsequent analysis of the test results rules.
Настоящая полезная модель представляет собой систему автоматического тестирования правил, которые используются антивирусными системами для обнаружения вредоносных объектов, включающая антивирусный сервер, связанный, по крайней мере, с одним персональным компьютером пользователя, при этом персональный компьютер пользователя включает:This useful model is a system for automatic testing of rules that are used by anti-virus systems to detect malicious objects, including an anti-virus server associated with at least one personal computer of the user, while the personal computer of the user includes:
а) антивирусное средство, связанное со следующими модулями:a) anti-virus tool associated with the following modules:
- базой правил на стороне персонального компьютера пользователя;- a base of rules on the side of the user's personal computer;
- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;- a base of correction factors on the side of the user's personal computer;
- средством формирования отчетов на антивирусном сервере;- a means of generating reports on an anti-virus server;
при этом антивирусное средство предназначено для проведения проверки процессов, вызываемых при запуске объектов, используя базу правил и базу корректирующих коэффициентов;at the same time, the antivirus tool is designed to check the processes that are called up when objects are launched using the rule base and the base of correction factors;
б) средство обновления на стороне персонального компьютера пользователя, связанное со следующими средствами:b) update tool on the side of the user's personal computer associated with the following tools:
- базой правил на стороне персонального компьютера пользователя;- a base of rules on the side of the user's personal computer;
- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;- a base of correction factors on the side of the user's personal computer;
- средством обновления на стороне антивирусного сервера;- update tool on the anti-virus server side;
при этом упомянутое средство обновления предназначено для проведения обновления базы правил и базы корректирующих коэффициентов, полученных от средства обновления на стороне антивирусного сервера;wherein said update tool is intended to update the rule base and the database of correction factors received from the update tool on the anti-virus server side;
в) упомянутую базу правил на стороне персонального компьютера пользователя, содержащую набор правил для обнаружения вредоносных объектов, состоящий из проверенных правил и тестируемых правил;c) the mentioned rule base on the side of the user's personal computer, containing a set of rules for detecting malicious objects, consisting of verified rules and tested rules;
г) упомянутую базу корректирующих коэффициентов на стороне персонального компьютера пользователя, содержащую коэффициенты, относящиеся к проверенным правилам, а также содержит коэффициенты, относящиеся к тестируемым правилам;d) the mentioned base of correction factors on the side of the user's personal computer, containing coefficients related to the tested rules, and also contains coefficients related to the tested rules;
при этом упомянутый антивирусный сервер включает:wherein said anti-virus server includes:
I) средство формирования отчетов, которое связано со средством хранения данных, при этом упомянутое средство формирования отчетов получает данные от антивирусного средства на компьютере пользователя и на основании полученных данных формирует отчеты;I) a reporting tool that is associated with a data storage means, wherein said reporting tool receives data from an anti-virus tool on a user's computer and generates reports based on the received data;
II) средство хранения данных, связанное со средством анализа, при этом упомянутое средство хранения данных предназначено для хранения отчетов, полученных от средства формирования отчетов;II) data storage means associated with the analysis means, wherein said data storage means is intended for storing reports received from the reporting means;
III) средство анализа, связанное со следующими средствами:III) analysis tool associated with the following tools:
- средством хранения черного списка;- a means of storing a black list;
- базой корректирующих коэффициентов на стороне антивирусного сервера;- a base of correction factors on the anti-virus server side;
- базой правил на стороне антивирусного сервера;- a rule base on the anti-virus server side;
- базой некорректных правил;- base of incorrect rules;
- средством обновления на стороне антивирусного сервера;- update tool on the anti-virus server side;
при этом упомянутое средство анализа предназначено для проведения анализа данных, содержащихся в средстве хранения данных, используя при анализе контрольные суммы, находящиеся в средстве хранения черного списка, также предназначено для формирования базы корректирующих коэффициентов, базы правил и базы некорректных правил на основе проведенного анализа, что позволяет осуществить автоматическое тестирование новых правил;at the same time, the mentioned analysis tool is designed to analyze the data contained in the data storage means, using the checksums in the blacklist storage tool for analysis, it is also intended to form the base of correction factors, the rule base and the base of incorrect rules based on the analysis that allows automatic testing of new rules;
IV) упомянутое средство хранения черного списка, содержащее контрольные суммы известных вредоносных объектов;Iv) said blacklist storage facility containing checksums of known malicious objects;
V) средство обновления на стороне антивирусного сервера, связанное со следующими средствами:V) an anti-virus server-side update tool associated with the following tools:
- базой правил на стороне антивирусного сервера;- a rule base on the anti-virus server side;
- базой корректирующих коэффициентов на стороне антивирусного сервера;- a base of correction factors on the anti-virus server side;
при этом упомянутое средство обновления на стороне антивирусного сервера запускается средством анализа и предназначено для отправки новой версии базы правил и базы корректирующих коэффициентов средству обновления на стороне персонального компьютера пользователя;at the same time, the mentioned update tool on the anti-virus server side is launched by the analysis tool and is intended to send a new version of the rule base and the correction coefficient base to the update tool on the side of the user's personal computer;
VI) упомянутую базу правил на стороне антивирусного сервера, которая содержит набор правил, состоящий из проверенных правил и тестируемых правил;Vi) the mentioned rule base on the anti-virus server side, which contains a set of rules consisting of verified rules and tested rules;
VII) упомянутую базу корректирующих коэффициентов на стороне антивирусного сервера, которая содержит коэффициенты, относящиеся к проверенным правилам, а также содержит коэффициенты, относящиеся к тестируемым правилам.Vii) the mentioned base of correction factors on the anti-virus server side, which contains coefficients related to the tested rules and also contains coefficients related to the tested rules.
VIII) упомянутую базу некорректных правил, которая содержит правила, не прошедшие проверку.VIII) the mentioned base of incorrect rules, which contains rules that have not passed the test.
В частном варианте исполнения средство анализа предназначено для проведения анализа данных, содержащихся в средстве хранения данных, на соответствие условиям достоверного определения правилом вредоносных процессов и объектов, их вызвавших, и отсутствия срабатываний правила на безопасных объектах.In a private embodiment, the analysis tool is designed to analyze the data contained in the data storage tool for compliance with the conditions of reliable determination by the rule of malicious processes and objects that caused them, and the absence of rule triggering on safe objects.
В частном варианте исполнения антивирусное средство упомянутой системы предназначено для передачи средству формирования отчетов данных, содержащих, по крайней мере, контрольную сумму объекта, на котором сработало правило, и номер сработавшего правила.In a particular embodiment, the anti-virus tool of the said system is intended to transmit to the reporting tool data containing at least the checksum of the object on which the rule worked and the number of the rule that worked.
В частном варианте исполнения проверяемыми процессами являются процессы, которые вызываются при запуске объектов в операционной системе персонального компьютера пользователя.In a private embodiment, the checked processes are processes that are called when objects are launched in the operating system of the user's personal computer.
В частном варианте исполнения средство анализа упомянутой системы предназначено для удаления правил, не прошедших проверку, из базы правил и размещения их в базе некорректных правил.In a particular embodiment, the analysis tool of the said system is intended to remove rules that have not passed verification from the rule base and place them in the base of incorrect rules.
В частном варианте исполнения средство анализа упомянутой системы предназначено для удаления корректирующих коэффициентов из базы корректирующих коэффициентов, соответствующих правилам, не прошедшим проверку.In a particular embodiment, the analysis tool of the said system is designed to remove correction factors from the database of correction factors corresponding to the rules that have not passed the test.
В частном варианте исполнения средство анализа упомянутой системы предназначено для установки ненулевого корректирующего коэффициента в базе корректирующих коэффициентов для тех правил, которые прошли проверку.In a particular embodiment, the analysis tool of the said system is designed to set a nonzero correction coefficient in the database of correction factors for those rules that have been tested.
В частном варианте исполнения средство анализа упомянутой системы выполнено с возможностью удаления правил с нулевой эффективностью из базы правил и размещения их в базе некорректных правил.In a particular embodiment, the analysis tool of the said system is configured to remove rules with zero efficiency from the rule base and place them in the base of incorrect rules.
В частном варианте исполнения правилами с нулевой эффективностью являются те правила, которые не срабатывают при проверке вредоносных объектов.In a private embodiment, the rules with zero efficiency are those rules that do not work when scanning malicious objects.
В частном варианте исполнения средство анализа упомянутой системы выполнено с возможностью удаления корректирующих коэффициентов из базы корректирующих коэффициентов, соответствующих правилам с нулевой эффективностью.In a particular embodiment, the analysis tool of said system is configured to remove correction factors from the database of correction factors corresponding to the rules with zero efficiency.
В частном варианте исполнения база корректирующих коэффициентов и база правил выполнены с возможностью независимого обновления.In a private embodiment, the base of correction factors and the rule base are made with the possibility of independent updates.
В частном варианте исполнения антивирусное средство упомянутой системы выполнено с возможностью завершения процесса, вызванного вредоносным объектом, при обнаружении этого вредоносного объекта.In a private embodiment, the anti-virus tool of the said system is configured to terminate the process caused by a malicious object upon detection of this malicious object.
В частном варианте исполнения вредоносным объектом является тот объект, который вызвал процесс, получивший в результате проверки антивирусным средством рейтинг, больший рейтинга опасности.In a private embodiment, the malicious object is that object that caused the process to receive a rating that is higher than a hazard rating as a result of an anti-virus scan.
Краткое описание чертежейBrief Description of the Drawings
Сопровождающие чертежи предназначены для лучшего понимания заявленной полезной модели, составляют часть данного описания, иллюстрируют варианты реализации полезной модели и совместно с описанием служат для объяснения принципов полезной модели.The accompanying drawings are intended to better understand the claimed utility model, form part of this description, illustrate embodiments of the utility model, and together with the description serve to explain the principles of the utility model.
Фиг.1 отображает структуру компьютера пользователя, входящего в систему автоматического тестирования правил.Figure 1 shows the structure of the computer of a user entering the automatic rule testing system.
Фиг.2 иллюстрирует структуру антивирусного сервера в системе автоматического тестирования правил.Figure 2 illustrates the structure of the anti-virus server in the automatic rule testing system.
Фиг.3 показывает структуру средства хранения данных.Figure 3 shows the structure of the storage medium.
Фиг.4 показывает процесс формирования рейтингов при антивирусной проверке.Figure 4 shows the process of rating formation during anti-virus scanning.
Фиг.5 иллюстрирует алгоритм проведения антивирусной проверки на персональном компьютере пользователя.Figure 5 illustrates the algorithm for anti-virus scanning on a user's personal computer.
Фиг.6 отображает алгоритм работы антивирусного сервера.6 shows the algorithm of the anti-virus server.
Фиг.7 показывает пример компьютерной системы общего назначения, на которой может быть реализована данная полезная модель.7 shows an example of a general-purpose computer system on which this utility model can be implemented.
Описание вариантов осуществленияDescription of Embodiments
В качестве одного из вариантов осуществления полезной модели рассматривается система, состоящая, по крайней мере, из персонального компьютера пользователя 100 и антивирусного сервера 160.As one of the embodiments of the utility model is considered a system consisting of at least a personal computer of the user 100 and the anti-virus server 160.
На Фиг.1 показана структура компьютера пользователя, входящего в систему автоматического тестирования правил. Персональный компьютер пользователя 100 содержит антивирусное средство 110, которое производит поиск вредоносных объектов. В качестве объекта может быть рассмотрен, например, исполняемый файл, при запуске которого происходит запуск процесса в операционной системе. Для обнаружения вредоносных объектов антивирусное средство проводит проверку процессов 140, вызванных объектами. При проведении проверки процессов используется набор правил 132 из базы правил на стороне персонального компьютера пользователя 130. Правила представляют собой набор описаний процессов, которые могут представлять угрозу для компьютера. Все правила хранятся на компьютере пользователя в виде базы правил 130. У каждого правила есть свой номер 131, который присваивается ему на все время использования правила. Номер правила уникален и служит для однозначной идентификации определенного правила. База правил условно разделена на две части: проверенные правила 133, которые не нуждаются в тестировании, и тестируемые правила 134.Figure 1 shows the structure of the computer of the user included in the automatic testing of rules. The user's personal computer 100 contains an anti-virus tool 110 that searches for malicious objects. As an object, for example, an executable file can be considered, when launched, the process starts in the operating system. To detect malicious objects, the antivirus tool scans 140 processes caused by objects. When conducting a process check, a set of rules 132 is used from the rule base on the side of the user's personal computer 130. Rules are a set of descriptions of processes that can pose a threat to the computer. All rules are stored on the user's computer in the form of a rule base 130. Each rule has its own number 131, which is assigned to it for the entire time the rule is used. The rule number is unique and serves to uniquely identify a specific rule. The rule base is conditionally divided into two parts: tested rules 133, which do not need testing, and tested rules 134.
Кроме базы правил, на персональном компьютере пользователя хранится база корректирующих коэффициентов на стороне персонального компьютера пользователя 120. Корректирующие коэффициенты также используются антивирусным средством в процессе определения вредоносных объектов. Каждому правилу 132 из базы правил на стороне персонального компьютера пользователя 130 соответствует один коэффициент 122 из базы коэффициентов на стороне персонального компьютера пользователя 120, который имеет номер 121, совпадающий с номером правила 131. Соответственно, по аналогии с базой правил базу коэффициентов можно условно разделить на две части: первую часть 123, содержащую коэффициенты, которые соответствуют проверенным правилам, и вторую часть 124, содержащую коэффициенты, которые относятся к тестируемым правилам. При этом коэффициенты 124 равны нулю по причине того, что тестируемые правила не должны оказывать влияния на работу антивирусной системы.In addition to the rule base, the user’s personal computer stores a database of correction factors on the side of the user’s personal computer 120. Correction factors are also used by an antivirus tool in the process of determining malicious objects. Each rule 132 from the rule base on the side of the personal computer of user 130 corresponds to one coefficient 122 from the base of coefficients on the side of the personal computer of user 120, which has a number 121 that matches the number of rule 131. Accordingly, by analogy with the rule base, the coefficient base can be divided into two parts: the first part 123, which contains the coefficients that correspond to the tested rules, and the second part 124, which contains the coefficients that relate to the tested rules. Moreover, the coefficients 124 are equal to zero due to the fact that the tested rules should not affect the operation of the anti-virus system.
База правил и база коэффициентов на стороне компьютера пользователя могут обновляться с использованием средства обновления на стороне персонального компьютера 150. Антивирусное средство 110 перед началом процесса поиска вредоносных объектов запускает средство обновления, которое связывается со средством обновления на стороне антивирусного сервера 280, передает информацию о версии баз. Средство обновления на стороне антивирусного сервера 280 получает информацию о версии баз и сравнивает с версией доступных баз на антивирусном сервере. Если средство обновления на стороне антивирусного сервера 280 устанавливает, что доступна более новая версия баз, чем та, которая находится на персональном компьютере пользователя, то средство обновления на стороне антивирусного сервера передает новую версию баз средству обновления на стороне персонального компьютера пользователя 150. Средство обновления на стороне персонального компьютера 150 пользователя получает обновленную версию баз и заменяет старые базы. При этом база коэффициентов на стороне компьютера пользователя 120 и база правил на стороне компьютера пользователя 130 обновляются независимо друг от друга.The rule base and the coefficient base on the computer side of the user can be updated using the update tool on the side of the personal computer 150. Antivirus tool 110 before starting the search for malicious objects launches the update tool, which communicates with the update tool on the side of the anti-virus server 280, transmits information about the database version . The updater on the side of the anti-virus server 280 receives information about the version of the databases and compares it with the version of the available databases on the anti-virus server. If the updater on the side of the anti-virus server 280 determines that a newer version of the databases is available than the one located on the user's personal computer, the updater on the side of the anti-virus server transfers the new version of the databases to the updater on the side of the user's personal computer 150. The updater on to the side of the personal computer 150, the user receives an updated version of the databases and replaces the old databases. Moreover, the coefficient base on the computer side of the user 120 and the rule base on the computer side of the user 130 are updated independently of each other.
База коэффициентов 120 имеет размер, много меньший по сравнению с базой правил 130, что позволяет производить частые обновления базы коэффициентов, и использование сетевых ресурсов увеличится не так значительно, как если бы была необходимость частого обновления базы правил. Следовательно, применение механизма раздельного обновления базы коэффициентов и базы правил позволяет сократить использование сетевых ресурсов при частом обновлении базы коэффициентов 120.The base of coefficients 120 has a size much smaller than the base of rules 130, which allows frequent updates of the base of coefficients, and the use of network resources will not increase as much as if there was a need for frequent updates of the base of rules. Therefore, the use of the separate update mechanism of the coefficient base and the rule base allows reducing the use of network resources with frequent updating of the coefficient base 120.
Антивирусное средство 110 связывается с антивирусным сервером 160, если при анализе процесса вызванного объектом проверки сработало, по крайней мере, одно тестируемое правило.Anti-virus tool 110 communicates with anti-virus server 160 if at least one test rule worked during analysis of the process caused by the scan object.
Используя один из известных криптографических алгоритмов, таких как MD5, MD4, SHA1, SHA256 или CRC32, антивирусное средство 110 создает контрольную сумму вредоносного объекта, вызвавшего обнаруженный процесс, которая позволяет однозначно определить вредоносный объект. Далее антивирусное средство 110 передает контрольную сумму вместе с номером сработавшего тестируемого правила антивирусному серверу 160.Using one of the well-known cryptographic algorithms, such as MD5, MD4, SHA1, SHA256 or CRC32, the anti-virus tool 110 creates a checksum of the malicious object that caused the detected process, which allows you to uniquely identify the malicious object. Next, the anti-virus tool 110 transmits the checksum along with the number of the tested rule that worked, to the anti-virus server 160.
Антивирусный сервер изображен на Фиг.2. На антивирусный сервер 160 поступает информация о сработавших тестируемых правилах и обнаруженных вредоносных объектах с персонального компьютера пользователя 100.The anti-virus server is depicted in Figure 2. The anti-virus server 160 receives information about the triggered test rules and detected malicious objects from the personal computer of user 100.
Изначально правила, которые используются при проведении антивирусной проверки, создаются при участии эксперта. Новые правила, требующие тестирования, помещаются в базу правил на стороне антивирусного сервера 260. База правил содержит в себе кроме новых правил 264, которые подлежат тестированию, те правила 263, которые уже прошли этап тестирования и используются антивирусным средством при проведении антивирусной проверки. У каждого правила есть свой номер 261, по которому производится идентификация правила. База правил на стороне антивирусного сервера 260, дополненная новыми правилами, требующими тестирования, загружается на персональный компьютер 100, где используется антивирусным средством 110 в процессе антивирусной проверки.Initially, the rules that are used during the anti-virus scan are created with the participation of an expert. New rules that require testing are placed in the rule base on the side of the anti-virus server 260. In addition to the new rules 264, which are subject to testing, the rules base 263 which have already passed the testing stage and are used by the antivirus tool during the anti-virus scan. Each rule has its own number 261, by which the rule is identified. The rule base on the side of the anti-virus server 260, supplemented by new rules requiring testing, is downloaded to the personal computer 100, where it is used by the anti-virus tool 110 during the anti-virus scan.
На антивирусном сервере 160 также хранится база коэффициентов 250, которая состоит из набора коэффициентов 252, каждый из коэффициентов имеет номер 251, совпадающий с номером правила из базы правил на стороне антивирусного сервера 260, которому данный коэффициент соответствует. Корректирующие коэффициенты позволяют оперативно менять рейтинг, выставляемый правилом для процесса, при проведении антивирусной проверки.The anti-virus server 160 also stores a base of coefficients 250, which consists of a set of coefficients 252, each of the coefficients has a number 251 that matches the rule number from the rule base on the side of the anti-virus server 260, to which this coefficient corresponds. Correction factors allow you to quickly change the rating set by the rule for the process during the anti-virus scan.
База коэффициентов также разделяется на две части: коэффициенты 253, соответствующие правилам, прошедшим тестирование, и коэффициенты 254, относящиеся к новым правилам, требующим тестирования. Новые правила не должны влиять на процесс проведения антивирусной проверки, поэтому они не должны давать вклад в формирование рейтинга процесса, что достигается при помощи корректирующих коэффициентов. Достаточно сделать коэффициенты, соответствующие тестируемым правилам, равными нулю, и правило не будет давать вклад в формирование общего рейтинга. Поэтому все коэффициенты 254 базы коэффициентов 250 равны нулю, они соответствуют тестируемым правилам 264 из базы правил 260.The base of coefficients is also divided into two parts: coefficients 253, corresponding to the rules that have passed the test, and coefficients 254, related to the new rules that require testing. New rules should not affect the process of anti-virus scanning, therefore, they should not contribute to the formation of the process rating, which is achieved with the help of correction factors. It is enough to make the coefficients corresponding to the tested rules equal to zero, and the rule will not contribute to the formation of the overall rating. Therefore, all coefficients 254 of the base of coefficients 250 are equal to zero, they correspond to the tested rules 264 from the base of rules 260.
После того, как сформирована база правил и база коэффициентов, они становятся доступными для обновления. Средство анализа запускает средство обновления на стороне антивирусного сервера 280, которое передает сформированные базы на средство обновления на стороне персонального компьютера пользователя 150.After the rule base and the coefficient base are formed, they become available for updating. The analysis tool launches the update tool on the side of the anti-virus server 280, which transfers the generated databases to the update tool on the side of the personal computer of the user 150.
Далее базы используются антивирусным средством 110 для проведения антивирусной проверки, результаты которой передаются на антивирусный сервер и используются для анализа работы тестируемых правил. При проведении антивирусной проверки антивирусное средство 110 использует все правила, содержащиеся в базе правил 130, но тестируемые правила не влияют на результаты работы антивирусного средства, поскольку имеют нулевые корректирующие коэффициенты. Однако данные о факте срабатывания тестируемых правил (номер правил и контрольная сумма объекта, на котором сработали правила) передается на антивирусный сервер для дальнейшего анализа.Further, the databases are used by the anti-virus tool 110 for anti-virus scanning, the results of which are transmitted to the anti-virus server and are used to analyze the operation of the tested rules. When conducting an anti-virus scan, the anti-virus tool 110 uses all the rules contained in the rule base 130, but the tested rules do not affect the results of the anti-virus tool, since they have zero correction factors. However, data on the fact of the testing of the tested rules (the number of rules and the checksum of the object on which the rules worked) is transmitted to the anti-virus server for further analysis.
Все данные от персонального компьютера 100 о сработавших тестируемых правилах поступают на средство формирования отчетов 210, которое обрабатывает поступающую информацию и помещает ее в средство хранения данных 220. Средство хранения данных 220 представляет собой базу данных. Более детально средство хранения данных показано на Фиг.3. Данные в средстве хранения данных структурированы в виде таблицы. Каждая строка содержит информацию об обнаруженном объекте. Средство хранения данных содержит информацию, полученную от антивирусного средства, которая состоит, по крайней мере, из номера сработавшего тестируемого правила 221 и контрольной суммы обнаруженного объекта 222.All data from the personal computer 100 about the triggered test rules is sent to the reporting tool 210, which processes the incoming information and puts it into the data storage tool 220. The data storage tool 220 is a database. In more detail, the data storage means is shown in FIG. 3. The data in the data storage means is structured in a table. Each line contains information about the detected object. The data storage means contains information obtained from an anti-virus tool, which consists of at least the number of the triggered test rule 221 and the checksum of the detected object 222.
Средство анализа 230 обрабатывает накопленную информацию, полученную от антивирусного средства и находящуюся в средстве хранения данных. При обработке проводится поиск контрольных сумм 222 обнаруженных объектов, на которых сработало тестируемое правило. После того, как контрольные суммы найдены, проводится их сравнение с черным списком контрольных сумм, находящемся в средстве хранения черного списка 240. В черном списке хранятся контрольные суммы известных вредоносных объектов. Средство анализа 230 ищет те контрольные суммы, которые находятся как в средстве хранения данных 220, так и в средстве хранения черного списка контрольных сумм. Если контрольная сумма находится в средстве хранения данных и в средстве хранения черного списка контрольных сумм, то тестируемое правило обнаружило вредоносный объект, то есть сработало безошибочно. В противном случае, если контрольная сумма из средства хранения данных отсутствует в средстве хранения черного списка контрольных сумм 240, то тестируемое правило сработало на безопасном объекте, что означает некорректную работу данного правила.The analysis tool 230 processes the accumulated information received from the anti-virus tool and located in the data storage tool. During processing, a search is performed for checksums of 222 detected objects, on which the tested rule worked. After the checksums are found, they are compared with the black list of checksums located in the blacklist storage tool 240. The black lists contain checksums of known malicious objects. The analysis tool 230 searches for those checksums that are in both the data storage tool 220 and the checksum blacklist storage tool. If the checksum is in the data storage means and in the checksum blacklist storage means, then the rule being tested detected a malicious object, that is, it worked without error. Otherwise, if the checksum from the data storage means is not in the checksum blacklist storage tool 240, then the tested rule worked on a safe object, which means that this rule does not work correctly.
Новые правила тестируются на соответствие условиям корректной работы, под этими условиями понимается правильное определение правилом вредоносных процессов и объектов, их вызвавших, и отсутствие срабатываний правила на безопасных объектах.The new rules are tested for compliance with the conditions for correct operation, these conditions mean the correct definition by the rule of malicious processes and objects that caused them, and the absence of rule triggering on safe objects.
Средство анализа 230, помимо обработки контрольных сумм объектов, обнаруженных тестируемыми правилами, проводит поиск правил с нулевой эффективностью, которые не сработали в результате антивирусной проверки. Для поиска таких правил применяется база правил 260, которая хранится на антивирусном сервере. Средство анализа при этом производит сравнение номеров правил 221, находящихся в средстве хранения данных 220, с номерами правил 261, которые содержатся в базе правил 260. Интерес представляют те правила, номера которых отсутствуют в средстве хранения данных, это означает, что правило с таким номером ни разу не сработало, другими словами, правило является правилом с нулевой эффективностью. Таким образом, предлагаемая система позволяет проводить тестирование новых правил и выявлять те, которые работают некорректно или не срабатывают при проверке вредоносных объектов.The analysis tool 230, in addition to processing checksums of objects detected by the tested rules, searches for rules with zero efficiency, which did not work as a result of the anti-virus scan. To search for such rules, rule base 260 is used, which is stored on the anti-virus server. In this case, the analysis tool compares the numbers of rules 221 located in the data storage medium 220 with the numbers of rules 261 that are contained in the rule base 260. Of interest are those rules whose numbers are not available in the data storage medium, which means that a rule with such a number never worked, in other words, a rule is a rule with zero efficiency. Thus, the proposed system allows testing new rules and identifying those that work incorrectly or do not work when scanning malicious objects.
Если результат тестирования правила показал, что правило работает корректно, то есть безошибочно срабатывает на вредоносных объектах, то по результатам работы правила средство анализа 230 устанавливает ненулевой коэффициент в базе корректирующих коэффициентов на стороне антивирусного сервера 250 для данного правила. Таким образом, правило переходит из группы тестируемых правил 264, в группу правил 263, пошедших тестирование. Далее при последующем обновлении базы коэффициентов 250 данное правило будет использоваться антивирусным средством при проведении антивирусной проверки, и оно будет вносить свой вклад в общий рейтинг.If the test result of the rule showed that the rule works correctly, that is, it works correctly on malicious objects, then according to the results of the rule, the analysis tool 230 sets a non-zero coefficient in the database of correction factors on the side of the anti-virus server 250 for this rule. Thus, the rule goes from the group of tested rules 264 to the group of rules 263 that went through testing. Further, with the subsequent update of the base of coefficients 250, this rule will be used by the antivirus tool during the anti-virus scan, and it will contribute to the overall rating.
Правила, не прошедшие проверку по какой-либо причине, например, из-за того, что правило сработало на безопасных объектах, контрольные суммы которых отсутствуют в средстве хранения черного списка контрольных сумм 240, или правило не сработало вовсе, будут удалены средством анализа из базы правил 260 и помещены в отдельную базу некорректных правил 270. Пополнившие базу правила 272 могут быть пересмотрены экспертом и исправлены, после чего будут заново помещены в базу правил 260 для повторного тестирования.Rules that fail to be verified for any reason, for example, because the rule worked on safe objects whose checksums are missing from the 240 checksum blacklist storage tool or the rule didn’t work at all, will be removed from the database by the analysis tool rules 260 and placed in a separate database of incorrect rules 270. The rules 272 that replenished the base can be reviewed by an expert and corrected, after which they will be re-placed in the rules base 260 for re-testing.
На Фиг.4 показан процесс формирования рейтингов при антивирусной проверке. Антивирусная проверка производится антивирусным средством 110 на компьютере пользователя. Антивирусное средство проверяет запущенные процессы, чтобы установить уровень их опасности и сделать вывод о том, являются ли объекты, запустившие процессы, вредоносными. В процессе проверки используется база правил 130 и база коэффициентов 120. При анализе могут сработать несколько правил 401-406, в том числе и тестируемые правила 404-406. Каждое правило имеет базовый коэффициент pi(i=1…m, где m - номер последнего правила), который может измениться только при изменении самого правила после обновления базы правил. Базовый коэффициент, заложенный в правило, влияет на выставляемый правилом рейтинг. Однако база правил 130 обновляется реже, чем база корректирующих коэффициентов 120. При формировании итогового рейтинга учитываются также корректирующие коэффициенты ki(i=1…m) 407-412, которые помогают оперативно изменить рейтинг конкретного правила. Корректирующие коэффициенты для тестируемых правил равны нулю, в данном случае для тестируемых правил 404-406 равны нулю корректирующие коэффициенты 410-412.Figure 4 shows the process of rating formation during anti-virus scanning. Anti-virus scan is performed by anti-virus tool 110 on a user's computer. The anti-virus tool checks running processes in order to establish their level of danger and conclude that the objects that launched the processes are malicious. In the verification process, the rule base 130 and the coefficient base 120 are used. During the analysis, several rules 401-406 may work, including the tested rules 404-406. Each rule has a base coefficient p i (i = 1 ... m, where m is the number of the last rule), which can change only when the rule itself changes after updating the rule base. The base coefficient laid down in the rule affects the rating set by the rule. However, the rule base 130 is updated less frequently than the base of correction factors 120. When forming the final rating, the correction factors k i ( i = 1 ... m) 407-412 are also taken into account, which help to quickly change the rating of a specific rule. Correction factors for the tested rules are equal to zero, in this case, for the tested rules 404-406, the correction factors 410-412 are equal to zero.
Для одного процесса могут сработать сразу несколько правил. Каждое правило дает вклад в формирование конечного вывода о том, является ли данный процесс опасным. Вклад от каждого правила складывается из двух составляющих: базового коэффициента pi и корректирующего коэффициента ki. После вклады от каждого правила суммируются и образуют общий рейтинг процесса 413. Если общий рейтинг 413 превышает рейтинг опасности, то процесс признается опасным, а соответствующий объект - вредоносным.For one process several rules can work at once. Each rule contributes to the final conclusion about whether the process is dangerous. The contribution from each rule is composed of two components: the base coefficient p i and the correction coefficient k i . After the contributions from each rule are summed up and form the overall rating of the process 413. If the overall rating 413 exceeds the hazard rating, then the process is recognized as dangerous, and the corresponding object is harmful.
Поскольку для тестируемых правил 404-406 корректирующие коэффициенты 410-412 равны нулю, то от них нет никакого вклада в образование общего рейтинга. Несмотря на то, что тестируемые правила не вносят вклад в образование общего рейтинга, они используются антивирусным средством наравне с другими правилами из базы правил, поэтому тестируемые правила также срабатывают при анализе объектов. Информация о сработавших тестируемых правилах и об объектах, на которых тестируемые правила сработали, передается на антивирусный сервер.Since for the tested rules 404-406, the correction factors 410-412 are equal to zero, there is no contribution from them to the formation of the overall rating. Despite the fact that the tested rules do not contribute to the formation of an overall rating, they are used by the antivirus tool along with other rules from the rule base, therefore the tested rules also work when analyzing objects. Information about the tested rules that worked and the objects on which the tested rules worked is sent to the anti-virus server.
Далее будут подробно рассмотрен алгоритм проведения антивирусной проверки с участием тестируемых правил на компьютере пользователя и алгоритм работы антивирусного сервера.Next, an algorithm for conducting an anti-virus scan with the participation of the tested rules on the user's computer and the algorithm for the operation of the anti-virus server will be examined in detail.
На Фиг.5 изображен алгоритм проведения антивирусной проверки на персональном компьютере пользователя.Figure 5 shows the algorithm for conducting antivirus scans on a user's personal computer.
На этапе 501 происходит обновление базы коэффициентов 120 и базы правил 130. Обновление производится с помощью средства обновления на стороне персонального компьютера 150 и средства обновления со стороны антивирусного сервера 280. Средство обновления на стороне антивирусного сервера 280 отправляет базу правил и базу корректирующих коэффициентов, которые были подготовлены средством анализа 230, на средство обновления на стороне персонального компьютера пользователя 150. Средство обновления на стороне персонального компьютера пользователя обновляет базы, находящиеся на персональном компьютере. Так новые правила, требующие проведения процесса тестирования, попадают на персональный компьютер. При этом база корректирующих коэффициентов и база правил могут обновляться независимо друг от друга. После обновления баз запускается процесс на шаге 502, и антивирусное средство 110 начинает его проверку на шаге 503 с использованием всех правил из базы правил, в том числе с использованием тестируемых правил. Если срабатывает одно из тестируемых правил, антивирусное средство фиксирует данное событие на шаге 504 и на этапе 505 отправляет на антивирусный сервер данные, содержащие номер сработавшего правила и контрольную сумму объекта, на котором сработало правило.At step 501, the coefficient database 120 and the rule base 130 are updated. The update is performed using the update tool on the side of the personal computer 150 and the update tool on the side of the anti-virus server 280. The update tool on the side of the anti-virus server 280 sends the rule base and the base of correction factors that were prepared by analysis tool 230, to the update tool on the side of the personal computer of the user 150. The update tool on the side of the personal computer of the user updates It bases on the personal computer. So the new rules requiring the testing process, get on a personal computer. In this case, the base of correction factors and the rule base can be updated independently of each other. After updating the databases, the process starts at step 502, and the antivirus tool 110 starts its scan at step 503 using all the rules from the rule base, including using the tested rules. If one of the tested rules is triggered, the anti-virus tool captures this event at step 504 and at step 505 sends data to the anti-virus server containing the number of the triggered rule and the checksum of the object on which the rule worked.
Если ни одно тестируемое правило не сработало при антивирусной проверке, то антивирусное средство позволяет продолжить выполнение данного процесса 506, при этом антивирусное средство продолжает следить за появлением сработавших тестируемых правил.If none of the tested rules worked during the anti-virus scan, the anti-virus tool allows you to continue the process 506, while the anti-virus tool continues to monitor the appearance of the tested rules.
На Фиг.6 показан алгоритм работы антивирусного сервера. На этапе 601 производится добавление новых правил, которые подлежат тестированию, в базу правил 260. Добавление новых правил происходит при участии эксперта. После, на этапе 602, средство анализа 230 пополняет базу корректирующих коэффициентов 250, добавляя нулевые коэффициенты, которые соответствуют новым правилам. Далее сформированные базы служат для обновления баз на компьютерах пользователя при участии средства обновления 150. На компьютере пользователя проводится антивирусная проверка с участием тестируемых правил, по результатам которой антивирусный сервер 160 получает данные, необходимые для формирования вывода о корректности работы новых правил на этапе 603. Чем больше поступит данных от разных компьютеров, тем более точно будет оценена работоспособность правила. Полученные данные обрабатываются средством формирования отчетов 210 на шаге 604 для дальнейшего помещения в средство хранения данных 220, где происходит накопление данных на этапе 605. Данные обо всех сработавших тестируемых правилах поступают и сохраняются в средстве хранения данных. По мере накопления данных на шаге 606 проводится анализ накопленных данных средством анализа 230. Средство анализа определяет корректность работы тестируемого правила на этапе 607. В том случае, если по результатам анализа тестируемое правило работает корректно, то средство анализа на стадии 608 устанавливает для этого правила ненулевой коэффициент в базе корректирующих коэффициентов.Figure 6 shows the algorithm of the anti-virus server. At step 601, new rules that are subject to testing are added to rule base 260. Adding new rules takes place with the participation of an expert. After, at step 602, the analysis tool 230 replenishes the base of correction factors 250 by adding zero coefficients that correspond to the new rules. Further, the generated databases are used to update the databases on the user's computers with the help of the update tool 150. An anti-virus scan is performed on the user's computer with the participation of the tested rules, as a result of which the anti-virus server 160 receives the data necessary to form a conclusion about the correct operation of the new rules at step 603. Than the more data comes from different computers, the more accurately the rule will be evaluated. The obtained data is processed by the reporting tool 210 at step 604 for further storage in the data storage means 220, where data is accumulated at step 605. Data about all the tested test rules is received and stored in the data storage tool. As the data accumulate in step 606, the accumulated data is analyzed by the analysis tool 230. The analysis tool determines the correctness of the test rule in step 607. If the test rule works correctly based on the analysis results, the analysis tool in step 608 sets the rule to non-zero for this rule coefficient in the base of correction factors.
Выявленные в результате анализа некорректно работающие правила удаляются средством анализа из базы правил на шаге 609, после чего они помещаются в отдельную базу некорректных правил 270 на этапе 611. Также удаляются корректирующие коэффициенты из базы корректирующих коэффициентов, соответствующие правилам, не прошедшим проверку, на шаге 610. Правила, помещенные в базу некорректных правил, будут пересмотрены и исправлены экспертом на шаге 612, после чего вновь добавлены в базу правил в качестве новых правил, нуждающихся в тестировании.The incorrectly detected rules detected as a result of the analysis are deleted by the analysis tool from the rule base at step 609, after which they are placed in a separate database of incorrect rules 270 at step 611. Also, correction coefficients from the base of correction coefficients corresponding to the rules that failed the verification are deleted at step 610 The rules placed in the base of incorrect rules will be reviewed and corrected by the expert at step 612, after which they will be added back to the rule base as new rules that need to be tested.
В результате работы системы проводится автоматическое тестирование правил с целью проверки корректности их работы. Для этого проводится сбор данных, поступающих от компьютера пользователя, о сработавших тестируемых правилах и объектах, на которых правила сработали. Проводится анализ работы правил по полученным данным. По результатам анализа принимается решение о возможности использования новых правил при антивирусной проверке.As a result of the system’s work, automatic testing of the rules is carried out in order to verify the correctness of their work. To do this, data is collected from the user's computer about the tested rules that worked and the objects on which the rules worked. The analysis of the rules based on the received data is carried out. Based on the results of the analysis, a decision is made about the possibility of using new rules for anti-virus scanning.
Фиг.7 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS), содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.7 is an example of a general purpose computer system, a personal computer or server 20 comprising a central processor 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processor 21. The system bus 23 is implemented like any bus structure known in the art, which in turn contains a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interacting with any other bus architecture. The system memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS), contains the basic procedures that ensure the transfer of information between the elements of the personal computer 20, for example, at the time of loading the operating system using ROM 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс привода магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20 in turn contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29, and an optical drive 30 for reading and writing to removable optical disks 31, such as a CD-ROM, DVD -ROM and other optical information carriers. The hard disk 27, the magnetic disk drive 28, the optical drive 30 are connected to the system bus 23 through the interface of the hard disk 32, the magnetic disk drive interface 33 and the optical drive interface 34, respectively. Drives and associated computer storage media are non-volatile means of storing computer instructions, data structures, software modules and other data of a personal computer 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.).The present description discloses an implementation of a system that uses a hard disk, a removable magnetic disk 29 and a removable optical disk 31, but it should be understood that other types of computer storage media are possible that can store data in a form readable by a computer (solid state drives, flash cards memory, digital disks, random access memory (RAM), etc.).
Компьютер 20 имеет файловую систему 36, где хранится Записанная операционная система 35 и дополнительные программные приложения 37, другие программные модули 38 и программные данные 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонки, принтер и т.п.Computer 20 has a file system 36 where the Recorded Operating System 35 and additional software applications 37, other software modules 38 and program data 39 are stored. The user is able to enter commands and information into the personal computer 20 via input devices (keyboard 40, mouse pad) 42). Other input devices (not displayed) can be used: microphone, joystick, game console, scanner, etc. Such input devices are, as usual, connected to the computer system 20 via a serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or a universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer can be equipped with other peripheral output devices (not displayed), for example, speakers, a printer, etc. .
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.7. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the creature personal computer 20 shown in Fig.7. Other devices, such as routers, network stations, peer-to-peer devices, or other network nodes may also be present on the computer network.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 51 и глобальную вычислительную сеть (WAN) 52. Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 51 через сетевой адаптер или сетевой интерфейс 53. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью 52, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными, и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 51 and wide area network (WAN) 52. Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 51 via a network adapter or network interface 53. When using the networks, the personal computer 20 may use a modem 54 or other means of providing communication with a global computer network 52, such as the Internet. The modem 54, which is an internal or external device, is connected to the system bus 23 via the serial port 46. It should be clarified that the network connections are only exemplary and are not required to display the exact network configuration, i.e. in reality, there are other ways to establish a technical connection between one computer and another.
Следует отметить, что приведенные в описании примеры являются поясняющими и не предназначены для ограничения объема и сущности заявленной полезной модели, которые установлены в прилагаемой формуле.It should be noted that the examples given in the description are explanatory and are not intended to limit the scope and essence of the claimed utility model, which are established in the attached formula.
Claims (13)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2011111605/08U RU111920U1 (en) | 2011-03-28 | 2011-03-28 | SYSTEM OF AUTOMATIC TESTING OF THE RULES FOR DETERMINING MALICIOUS OBJECTS |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2011111605/08U RU111920U1 (en) | 2011-03-28 | 2011-03-28 | SYSTEM OF AUTOMATIC TESTING OF THE RULES FOR DETERMINING MALICIOUS OBJECTS |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU111920U1 true RU111920U1 (en) | 2011-12-27 |
Family
ID=45783194
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2011111605/08U RU111920U1 (en) | 2011-03-28 | 2011-03-28 | SYSTEM OF AUTOMATIC TESTING OF THE RULES FOR DETERMINING MALICIOUS OBJECTS |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU111920U1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2776926C1 (en) * | 2021-03-15 | 2022-07-28 | Акционерное общество "Лаборатория Касперского" | Method for changing the malware detection rule |
-
2011
- 2011-03-28 RU RU2011111605/08U patent/RU111920U1/en active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2776926C1 (en) * | 2021-03-15 | 2022-07-28 | Акционерное общество "Лаборатория Касперского" | Method for changing the malware detection rule |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2514140C1 (en) | System and method for improving quality of detecting malicious objects using rules and priorities | |
| RU2536664C2 (en) | System and method for automatic modification of antivirus database | |
| US8640245B2 (en) | Optimization of anti-malware processing by automated correction of detection rules | |
| RU2454705C1 (en) | System and method of protecting computing device from malicious objects using complex infection schemes | |
| CN109271780B (en) | Method, system, and computer readable medium for machine learning malware detection model | |
| JP6353498B2 (en) | System and method for generating an antivirus record set for detecting malware on user equipment | |
| RU2487405C1 (en) | System and method for correcting antivirus records | |
| US20130185797A1 (en) | Whitelist-based inspection method for malicious process | |
| RU2568285C2 (en) | Method and system for analysing operation of software detection rules | |
| RU2523112C1 (en) | System and method of selecting optimum type of antiviral verification when accessing file | |
| US9679139B1 (en) | System and method of performing an antivirus scan of a file on a virtual machine | |
| US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| RU2706883C1 (en) | System and method of reducing number of false triggering of classification algorithms | |
| CN105653951A (en) | System and method of anti-virus inspection files on the basis of trust level of digital centrificate | |
| RU2587429C2 (en) | System and method for evaluation of reliability of categorisation rules | |
| US9838420B2 (en) | System and method for distributing most effective antivirus records to user devices | |
| US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
| RU2747464C2 (en) | Method for detecting malicious files based on file fragments | |
| RU111920U1 (en) | SYSTEM OF AUTOMATIC TESTING OF THE RULES FOR DETERMINING MALICIOUS OBJECTS | |
| RU107615U1 (en) | SYSTEM FOR REDUCING THE NUMBER OF FALSE FACES OF AN ANTI-VIRUS SYSTEM | |
| KR101311702B1 (en) | Terminal device and malignant code treating method of the terminal device, vaccine server and malignant code treating method of the vaccine server | |
| RU108870U1 (en) | SYSTEM FOR INCREASING THE NUMBER OF DETECTIONS OF MALICIOUS OBJECTS | |
| US20210081533A1 (en) | Detection system, detection method, and an update verification method performed by using the detection method | |
| CN113946828A (en) | Vulnerability scanning method and vulnerability scanning device of industrial control system | |
| RU101232U1 (en) | SYSTEM FOR AUTOMATIC CREATION OF MEANS FOR COUNTERING A SPECIFIC TYPE OF MALICIOUS APPLICATIONS |