Claims (24)
1. Способ обнаружения вредоносных объектов на вычислительном устройстве, в котором:1. A method for detecting malicious objects on a computing device, in which:
а) получают информацию о, по меньшей мере, одном объекте, в том числе контрольная сумма объекта, при помощи средства обнаружения подозрительных объектов;a) receive information about at least one object, including the checksum of the object, using a means of detecting suspicious objects;
б) анализируют упомянутую информацию об объекте при помощи средства обнаружения подозрительных объектов, признают анализируемый объект подозрительным в соответствии с набором эвристических правил, используемых средством обнаружения подозрительных объектов, и передают информацию об упомянутом объекте на анализ средству анализа объектов;b) analyze the mentioned information about the object using the means of detecting suspicious objects, recognize the analyzed object as suspicious in accordance with the set of heuristic rules used by the means of detecting suspicious objects, and transmit information about the said object for analysis to the analysis of objects;
в) производят анализ полученной информации об объекте средством анализа объектов, признают подозрительный объект потенциально вредоносным в соответствии с набором эвристических правил, используемых средством анализа объектов;c) analyze the received information about the object using the object analysis tool, recognize the suspicious object as potentially harmful in accordance with the set of heuristic rules used by the object analysis tool;
г) передают потенциально вредоносный объект для анализа, осуществляемого средством анализа объектов, при помощи средства обнаружения подозрительных объектов на основании результатов анализа информации об объекте, произведенного средством анализа объектов;d) transmit a potentially malicious object for analysis, carried out by means of the analysis of objects, using the detection of suspicious objects based on the results of the analysis of information about the object produced by the analysis of objects;
д) анализируют полученный потенциально вредоносный объект при помощи средства анализа объектов и признают упомянутый объект вредоносным, если он похож на объект из базы данных вредоносных объектов.e) analyze the obtained potentially malicious object using the facility analysis tool and recognize the said object as malicious if it looks like an object from the database of malicious objects.
2. Способ по п.1, в котором при помощи средства анализа объектов, на основании проведенного указанным средством анализа объекта и признания этого объекта вредоносным, формируют изменения эвристических правил, используемых средством обнаружения подозрительных объектов, и правила для устранения последствий присутствия указанного вредоносного объекта.2. The method according to claim 1, in which, using the means of analyzing objects, based on the analysis of the object and the recognition of this object as malicious, the heuristic rules used by the means for detecting suspicious objects and the rules for eliminating the consequences of the presence of the specified malicious object are generated.
3. Способ по п.1, в котором принимают решение о возможности передачи информации об объекте и потенциально вредоносного объекта для анализа средством анализа объектов при помощи средства соблюдения политик безопасности.3. The method according to claim 1, in which they decide on the possibility of transmitting information about the object and a potentially harmful object for analysis by means of the analysis of objects using the means of complying with security policies.
4. Способ по п.1, в котором набор используемых средством обнаружения подозрительных объектов эвристических правил для обнаружения подозрительных объектов определяется при помощи средства соблюдения политик безопасности.4. The method according to claim 1, in which the set of heuristic rules used by the suspicious object detection tool to detect suspicious objects is determined using the security policy enforcement tool.
5. Способ по п.1, в котором похожими объектами считают объекты, степень сходства между которыми превышает заранее установленный порог.5. The method according to claim 1, in which similar objects are considered objects, the degree of similarity between which exceeds a predetermined threshold.
6. Способ по п.5, в котором степень сходства между объектами определяют на основании степени сходства данных, хранящихся в соответствующих объектам файлах.6. The method according to claim 5, in which the degree of similarity between the objects is determined based on the degree of similarity of the data stored in the files corresponding to the objects.
7. Способ по п.5, в котором степень сходства между объектами определяют на основании степени сходства информации об объектах.7. The method according to claim 5, in which the degree of similarity between the objects is determined based on the degree of similarity of information about the objects.
8. Способ по п.5, в котором степень сходства между объектами определяют на основании степени сходства функционала соответствующих объектам файлов.8. The method according to claim 5, in which the degree of similarity between the objects is determined based on the degree of similarity of the functionality of the files corresponding to the objects.
9. Способ по п.8, в котором в качестве функционала файла используют журнал вызовов API-функций операционной системы при эмуляции исполнения файла.9. The method of claim 8, in which, as a file functional, a call log of API functions of the operating system is used when emulating file execution.
10. Способ по п.8, в котором в качестве функционала файла используют журнал вызова API-функций операционной системы при запуске объекта в виртуальной среде.10. The method of claim 8, in which the function log file is used to call the API call of the operating system when an object is launched in a virtual environment.
11. Способ по п.10, в котором для запуска объекта в виртуальной среде используется виртуальная машина с набором программного обеспечения и системных настроек, аналогичным набору, используемому на вычислительном устройстве из корпоративной инфраструктуры.11. The method according to claim 10, in which to run the object in a virtual environment, a virtual machine is used with a set of software and system settings similar to the set used on a computing device from the corporate infrastructure.
12. Способ по п.5, в котором степень сходства определяют в соответствии с одной из метрик: Хэмминга, Левенштейна, Жаккара, Дайса.12. The method according to claim 5, in which the degree of similarity is determined in accordance with one of the metrics: Hamming, Levenshtein, Jacquard, Dyce.
13. Система обнаружения вредоносных объектов на вычислительном устройстве, которая содержит:13. A system for detecting malicious objects on a computing device, which contains:
а) средство обнаружения подозрительных объектов, предназначенное для обнаружения подозрительных объектов при помощи эвристических правил, а также сбора информации об объектах, в том числе контрольных сумм объектов, и передачи собираемой информации и объектов на анализ;a) a tool for detecting suspicious objects, designed to detect suspicious objects using heuristic rules, as well as collecting information about objects, including checksums of objects, and transmitting the collected information and objects for analysis;
б) базу описаний подозрительных объектов, связанную со средством обнаружения подозрительных объектов, которая содержит используемые указанным средством эвристические правила и правила для сбора информации об объектах;b) a database of descriptions of suspicious objects associated with a means of detecting suspicious objects, which contains heuristic rules and rules used to collect information about objects;
в) средство анализа объектов, связанное со средством обнаружения подозрительных объектов, предназначенное для анализа информации об объектах, признания в соответствии с анализом объектов потенциально вредоносными, анализа потенциально вредоносных объектов, получаемых со стороны средства обнаружения подозрительных объектов, и признании указанных объектов вредоносными, если они похожи на объекты, хранящиеся в базе данных вредоносных;c) an object analysis tool associated with the detection of suspicious objects, designed to analyze information about objects, recognize in accordance with the analysis of objects potentially harmful, analyze potentially harmful objects received from the means of detection of suspicious objects, and recognize these objects as malicious if they are similar to objects stored in a malicious database;
г) базу данных безопасных объектах, которая используется для хранения безопасных объектов и информации о безопасных объектах;d) a database of safe objects, which is used to store safe objects and information about safe objects;
д) базу данных вредоносных объектах, которая используется для хранения вредоносных объектов и информации о вредоносных объектах;e) a database of malicious objects, which is used to store malicious objects and information about malicious objects;
е) средство обновления, связанное со средством анализа объектов и предназначенное для изменения набора эвристических правил, используемых средством обнаружения подозрительных объектов, в соответствии с изменениями, сформированными средством анализа объектов.e) an update tool associated with the object analysis tool and intended to change the set of heuristic rules used by the suspicious object detection tool in accordance with the changes generated by the object analysis tool.
14. Система по п.13, в которой средство анализа объектов в соответствии с анализом объекта и признанием его вредоносным дополнительно формирует обновления эвристических правил, используемых средством обнаружения подозрительных объектов, и правила для устранения последствий присутствия вредоносного объекта.14. The system according to item 13, in which the means of analyzing objects in accordance with the analysis of the object and declaring it harmful additionally generates updates to the heuristic rules used by the means for detecting suspicious objects, and rules for eliminating the consequences of the presence of a malicious object.
15. Система по п.13, в которой набор используемых средством обнаружения подозрительных объектов эвристических правил для обнаружения подозрительных объектов определяется при помощи средства соблюдения политик безопасности.15. The system according to item 13, in which the set of heuristic rules used by the means of detecting suspicious objects for detecting suspicious objects is determined using the means of complying with security policies.
16. Система по п.13, в которой похожими объектами считают объекты, степень сходства между которыми превышает заранее установленный порог.16. The system according to item 13, in which similar objects are considered objects whose degree of similarity between them exceeds a predetermined threshold.
17. Система по п.16, в которой степень сходства между объектами определяют на основании степени сходства данных, хранящихся в соответствующих объектам файлах.17. The system of claim 16, wherein the degree of similarity between the objects is determined based on the degree of similarity of the data stored in the files corresponding to the objects.
18. Система по п.16, в которой степень сходства между объектами определяют на основании степени сходства информации об объектах.18. The system of claim 16, wherein the degree of similarity between the objects is determined based on the degree of similarity of information about the objects.
19. Система по п.16, в которой степень сходства между объектами определяют на основании степени сходства функционала соответствующих объектам файлов.19. The system according to clause 16, in which the degree of similarity between the objects is determined based on the degree of similarity of the functionality of the files corresponding to the objects.
20. Система по п.19, в которой в качестве функционала файла используют журнал вызовов API-функций операционной системы при эмуляции исполнения файла.20. The system according to claim 19, in which the call log of API functions of the operating system is used as a file functional when emulating file execution.
21. Система по п.19, в которой в качестве функционала файла используют журнал вызова API-функций операционной системы при запуске объекта в виртуальной среде.21. The system according to claim 19, in which the log of calling the API functions of the operating system when the object is launched in a virtual environment is used as the file’s functionality.
22. Система по п.21, в которой для запуска объекта в виртуальной среде используется виртуальная машина с набором программного обеспечения и системных настроек, аналогичным набору, используемому на вычислительном устройстве из корпоративной инфраструктуры.22. The system according to item 21, in which to run the object in a virtual environment, a virtual machine is used with a set of software and system settings similar to the set used on a computing device from the corporate infrastructure.
23. Система по п.16, в которой степень сходства определяют в соответствии с одной из метрик: Хэмминга, Левенштейна, Жаккара, Дайса.23. The system according to clause 16, in which the degree of similarity is determined in accordance with one of the metrics: Hamming, Levenshtein, Jacquard, Dyce.
24. Система по п.13, в которой дополнительно используется средство соблюдения политик безопасности, связанное со средством обнаружения подозрительных объектов и предназначенное для соблюдения средством обнаружения подозрительных объектов политик безопасности.
24. The system according to item 13, which additionally uses a means of compliance with security policies associated with a means of detecting suspicious objects and designed to comply with a means of detecting suspicious objects of security policies.