RU2568285C2 - Способ и система анализа работы правил обнаружения программного обеспечения - Google Patents
Способ и система анализа работы правил обнаружения программного обеспечения Download PDFInfo
- Publication number
- RU2568285C2 RU2568285C2 RU2013143770/08A RU2013143770A RU2568285C2 RU 2568285 C2 RU2568285 C2 RU 2568285C2 RU 2013143770/08 A RU2013143770/08 A RU 2013143770/08A RU 2013143770 A RU2013143770 A RU 2013143770A RU 2568285 C2 RU2568285 C2 RU 2568285C2
- Authority
- RU
- Russia
- Prior art keywords
- files
- subset
- similarity
- unknown
- file
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Abstract
Изобретение относится к информационной безопасности. Технический результат заключается в снижении числа ложных срабатываний правил обнаружения файлов. Способ признания надежности правила обнаружения файлов, в котором выделяют из множества существующих файлов подмножество известных файлов, разделяют выделенное подмножество известных файлов на подмножества безопасных и вредоносных файлов; создают правило обнаружения файлов на основании, по меньшей мере, одного известного файла из подмножества вредоносных файлов; проверяют неизвестные файлы из множества существующих файлов; признают правило обнаружения надежным, когда степень сходства ни одного из отобранных неизвестных файлов с известными файлами из подмножества безопасных файлов не превышает установленный порог сходства и степень сходства отобранных неизвестных файлов с, по меньшей мере, одним файлом из подмножества вредоносных файлов превышает установленный порог сходства. 2 н.п. ф-лы, 5 ил.
Description
Область техники
Изобретение относится к системам и способам тестирования надежности правил обнаружения программного обеспечения.
Уровень техники
Число вредоносного программного обеспечения растет каждый час, и антивирусным компаниям необходимо незамедлительно и адекватно реагировать на угрозы. Адекватная реакция на угрозу предполагает отсутствие ложных срабатываний, т.е. реакция должна быть такой, чтобы обезвредить угрозу и не затронуть безопасные файлы.
Реакцией на угрозу может быть, например, создание правила обнаружения подобной угрозы и последующего ее устранение. В качестве правила обнаружения в частном случае могут выступать сигнатуры, эвристические правила или хэш-суммы, т.е. способы которыми можно обнаружить целевые файлы из всего многообразия исследуемых файлов. После того как правило создано, это правило тестируют на предмет отсутствия ложных срабатываний. После тестирования правило начинает работать у пользователей, очень часто правило могут тестировать дополнительно еще и на стадии его активной работы у пользователя.
Так в патенте US 8280830 описывается система изменения правила обнаружения на основании предварительного тестирования созданного правила на коллекции безопасных файлов и вредоносных файлов.
Но коллекция безопасных файлов и вредоносных файлов, имеющаяся у производителей антивирусного программного обеспечения, не может покрыть все разнообразие файлов, встречающееся у пользователей, поэтому очень часто используется обратная связь от правила обнаружения, когда оно уже работает у пользователя. Антивирусное приложение, которое использует правило обнаружения, посылает разработчикам уведомления о том, на каких файлах сработало правило, и разработчики на своей стороне анализируют эту информацию. В патенте US 8356354 описывается система выпуска обновлений антивирусных баз, один из вариантов которой предполагает отправку антивирусным приложением разработчикам информации о файлах, на которых сработало правило, полученная информация анализируется на предмет ложных срабатываний указанного правила.
Но и совместное использование коллекции безопасных файлов и вредоносных файлов, с обратной связью от пользователей, не может гарантировать эффективность правила обнаружения, по причине неполноты коллекции и отсутствия возможности проверить правило на файлах, которые появятся в будущем, а также по причине того, что антивирусное программное обеспечение установлено не у каждого пользователя. Также существенный недостаток метода обратной связи, который используется сейчас, заключается в том, что, как правило, для обратной связи используется не сам файл, а контрольная сумма от файла, и если файл из коллекции будет хоть немного отличаться от файла, на котором сработало правило, контрольные суммы не совпадут и ложное срабатывание обнаружено не будет.
Вероятность ложных срабатываний возрастает в том случае, когда правило обнаружения создается не для одного, а для группы похожих файлов, и чем больше число файлов, для которых правило создается, тем выше будет вероятность ложного срабатывания, что также не учитывается ни одним из известных решений.
Хотя рассмотренные подходы направлены на решение определенных задач в области защиты от компьютерных угроз, они обладают недостатком - желаемое качество выбора надежных правил обнаружения (использование которых не повлечет за собой появление ложных срабатываний) не достигается. Настоящее изобретение позволяет более эффективно решить задачу выявления надежных правил обнаружения.
Раскрытие изобретения
Технический результат настоящего изобретения заключается в снижении числа ложных срабатываний правил обнаружения файлов путем определения надежности правила обнаружения, заключающейся в сравнении файлов отобранных правилом с известными файлами.
Способ признания надежности правила обнаружения файлов, в котором: выделяют из множества файлов, по меньшей мере, два подмножества файлов: подмножество А и подмножество Б на основании критерия; создают правило обнаружения файлов на основании, по меньшей мере, одного файла, принадлежащего подмножеству А; проверяют файлы из множества файлов, не входящие в подмножество А и подмножество Б, на срабатывание правила обнаружения; отбирают файлы из множества, на которых сработало правило обнаружения во время проверки; сравнивают отобранные файлы, по меньшей мере, с одним файлом, принадлежащим подмножеству А, и с файлами, принадлежащими подмножеству Б; признают правило обнаружения надежным, когда ни один из отобранных файлов в результате сравнения отобранных файлов, по меньшей мере, с одним файлом, принадлежащим подмножеству А, и с файлами, принадлежащими подмножеству Б, оказался не похож на файлы из подмножества Б, и отобранные файлы похожи на, по меньшей мере, один файл из подмножества А.
В частном случае выделяют на основании критерия опасности файлов из множество файлов два подмножества файлов: подмножество А - подмножество вредоносных файлов и подмножество Б - подмножество безопасных файлов
В другом частном случае для сравнения файлов получают характеристики файлов.
Еще в одном частном случае файлы по результатам сравнения признают похожими, если степень сходства между файлами превышает установленный порог.
В частном случае степень сходства между файлами определяют на основании степени сходства характеристик файлов.
Система признания надежности правила обнаружения содержит:
средство кластеризации, предназначенное для выделения из множества файлов, по меньшей мере, два подмножества файлов: подмножество А и подмножество Б - на основании критерия и отбора файлов из множества, на которых сработало правило обнаружения во время проверки; средство создания правила, связанное со средством кластеризации и файловым хранилищем и предназначенное для создания правила обнаружения, по меньшей мере, для одного файла, принадлежащего подмножеству А; средство анализа, связанное с файловым хранилищем и средством создания правил, предназначенное для сравнения отобранных файлов, по меньшей мере, с одним файлом, принадлежащим подмножеству А, и с файлами, принадлежащими подмножеству Б, и признания правила обнаружения надежным, когда ни один из отобранных файлов в результате вышеуказанного сравнения оказался не похож на файлы из подмножества Б, и отобранные файлы похожи на, по меньшей мере, один файл из подмножества А.
В частном случае реализации системы средство кластеризации дополнительно предназначено для получения характеристик файлов.
В другом частном случае средство анализа дополнительно определяет степень сходства характеристик файлов.
В частном случае реализации системы средство анализа определяет степень сходства файлов на основании степени сходства характеристик.
Еще в одном частном случае средство анализа признает файлы похожими, если степень сходства файлов превышает установленный порог.
Краткое описание чертежей
Сопровождающие чертежи включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.
Заявленное изобретение поясняется следующими чертежами, на которых:
Фиг.1а, 1б показывают способ выделения подмножеств в множестве файлов;
Фиг.2 показывает систему осуществления проверки надежности правила обнаружения;
Фиг.3 показывает систему осуществления проверки надежности правила обнаружения вредоносного программного обеспечения;
Фиг.4 показывает пример компьютерной системы общего назначения.
Осуществление изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Приведенное описание предназначено для помощи специалисту в области техники для исчерпывающего понимания изобретения, которое определяется в объеме приложенной формулы.
На Фиг.1б изображен способ работы данного изобретения. Существует множество файлов 101, изображенное на Фиг.1а, в которое в частном случае входит все многообразие существующих файлов. В этом множестве выделяют подмножество известных файлов. Файлы множества, не относящиеся к подмножеству известных файлов, считают подмножеством неизвестных файлов 102. Под известными файлами, в частном случае, можно понимать файлы, характеристики которых известны, и, используя эти характеристики, подмножество известных файлов разделяют на, по меньшей мере, два подмножества: подмножество А 103 и подмножество Б 104 - на этапе 105. Например, такими подмножествами могут быть подмножества вредоносных и безопасных файлов (критерий - опасность), исполняемых и неисполняемых (критерий - способ использования), файлов сценария и файлов РЕ-формата (критерий - тип файла) и т.д. Также для разделения можно использовать несколько критериев и сформировать подмножество из файлов, удовлетворяющих одновременно нескольким критериям. Из подмножества А 103 подмножества известных файлов выделяют группу файлов, для этой группы файлов на этапе 106 создается правило обнаружения. Правило обнаружения в частном случае представляет собой некоторый логический механизм, оперирующий совокупностью характеристик файлов, на основании которого отбирают из множества файлов только интересующие файлы. Файлы из подмножества неизвестных файлов 102 отбираются во время проверки подмножества неизвестных файлов на срабатывание правила на этапе 107. Прежде, чем признать правило работоспособным, не создающим ложные срабатывания, его тестируют, проверяют на эффективность и надежность. Под эффективностью правила обнаружения понимают отсутствие в ходе работы правила появления ошибок первого рода, под надежностью правила обнаружения понимают отсутствие ошибок второго рода. Под ошибками первого рода понимают несрабатывание правила обнаружения на файле, на котором оно должно срабатывать, а под ошибками второго рода - срабатывание правила на файле, на котором оно срабатывать не должно. После запуска проверки на этапе 108 из подмножества неизвестных файлов 102 отбирают файлы, на которых сработало правило. На основании отобранных файлов определяют надежность правила обнаружения.
Для осуществления тестирования получают характеристики отобранных файлов. В частном случае для файлов РЕ формата такими характеристиками могут быть: размер файла, размер образа файла, количество секций файла, API функции (application programming interface) файла, RVA(Related Virtual Address) секций файла, RVA точки входа, взаимное расположение объектов таблицы директорий, частотные характеристики символов (в том числе печатных), множество строк файла и их количество, информационная энтропия начала и конца секции, виртуальный размер секции, физический размер секции, использованный при создании файла компилятор, тип подсистемы (NATIVE, WINDOWS_GUI, WINDOWS_CUI, OS2_CUI, POSIX_CUI, NATIVE_WINDOWS, WINDOWS_CE_GUI), характеристики файла из COFF заголовка (Common Object File Format), расположение объектов таблицы директорий по секциям файла и т.д. Также характеристиками файла в частном случае являются правила обнаружения, отличные от описываемого правила, которые также срабатывают на файле.
Полученные характеристики используются при сравнении отобранных файлов с файлами из подмножества известных файлов и сравнении отобранных файлов между собой. Отобранные файлы сравниваются, по меньшей мере, с одним файлом из подмножества А 103 на этапе 109, в частном случае таким файлом может быть искомый файл, для которого создавали правило обнаружения. Данное сравнение проводят для того, чтобы оценить однородность файлов, на которых сработало правило обнаружения, и определить похожесть отобранных файлов на файлы из подмножества А 103. Далее на этапе 110 сравнивают отобранные файлы с файлами из подмножества Б 104, для того, чтобы исключить пересечение отобранных файлов с файлами из подмножества Б. Для сравнений в частном случае реализации используются разные характеристики. Если по результатам сравнения отобранные файлы оказались похожи на файлы из подмножества А 103 и не похожи на файлы из подмножества Б 104, то правило обнаружения признают надежным на этапе 112. Если отобранные файлы не похожи на файлы из подмножества А или отобранные файлы похожи на файлы из подмножества Б, то правило обнаружения на этапе 111 признают ненадежным. Файлы при сравнении считаются похожими, если степень сходства между файлами превышает установленный порог. Степень сходства между файлами определяют на основании степени сходства характеристик файлов. В частном случае реализации степень сходства между файлами определяют на основании степени сходства данных, хранящихся в файлах. В другом частном случае реализации степень сходства файлов определяют на основании степени сходства функционала файлов. В частном случае реализации в качестве функционала файла рассматривается журнал вызовов API-функций операционной системы при эмуляции исполнения файла. В частном случае реализации изобретения степень сходства определяют в соответствии с мерой Дайса, в другом частном случае реализации степень сходства определяют в соответствии с одной из метрик: Хэмминга, Левенштейна, Жаккара.
На Фиг.2 изображена система, которая использует описанный выше способ. Система работает с множеством файлов 101, которое включает все многообразие существующих файлов. С множеством связано средство кластеризации 201, при этом средство кластеризации 201 осуществляет выделение подмножества А 103 и подмножества Б 104 из множества файлов 101 по выбранному критерию, и в частном случае реализации получает характеристики файлов. Выделенные подмножества файлов размещают в файловом хранилище 202. Средство создания правил 203 создает правило обнаружения для группы файлов из подмножества А. Созданное правило используется средством проверки 204 для проверки множества файлов на срабатывание правила обнаружения. Средство проверки 204 передает средству кластеризации 201 информацию о файлах, на которых сработало правило обнаружения. Средство кластеризации 201 отбирает указанные файлы, и отобранные файлы размещаются в файловом хранилище 202. Средство анализа 205 сравнивает отобранные файлы с файлами, принадлежащими подмножеству А и подмножеству Б, и сравнивает отобранные файлы, по меньшей мере, с одним файлом, для обнаружения которого создали правило обнаружения. Далее средство анализа 205 осуществляет проверку надежности правила обнаружения на основании выполненного сравнения. Если в результате сравнения отобранные файлы оказались не похожи ни на один файл из подмножества Б и похожи на файлы, для которых создавалось правило обнаружения, то средство анализа признает правило обнаружения надежным.
В частном случае реализации средство кластеризации 201 используют для получения характеристик файлов, а файловое хранилище 202 хранит полученные характеристики файлов.
В частном случае средство анализа 205 для сравнения файлов определяет степень сходства между файлами на основании степени сходства характеристик файлов.
На Фиг.3 изображена система проверки надежности правила обнаружения вредоносного программного обеспечения. Имеется некоторое подмножество вредоносных файлов и безопасных файлов. Из подмножества вредоносных файлов выбирают файлы, для которых необходимо создать правило обнаружения. Например, это могут быть файлы из одного семейства вредоносного программного обеспечения, файлы, упакованные одним упаковщиком, при этом использование данного упаковщика характерно только для вредоносных файлов и т.д. Средство создания правила обнаружения 203 создает правило обнаружения для выбранных файлов. Правило обнаружения используется в работе антивирусного средства 301. Средство создания правил 203 передает антивирусному средству 301 правило для проверки подмножества неизвестных файлов. Подмножество неизвестных файлов 102 может храниться в локальном файловом хранилище либо может быть распределено по удаленным средствам хранения, например, персональным компьютерам пользователей. Антивирусное средство 301 проверяет на срабатывание правила обнаружения подмножество неизвестных файлов 102. Антивирусное средство 301 передает средству кластеризации 201 информацию о файлах, на которых сработало правило, средство кластеризации 201 отбирает указанные файлы и сохраняет их в файловом хранилище 202. Средство кластеризации 201 получает характеристики отобранных файлов. Далее средство анализа 205 сравнивает отобранные файлы с файлами из подмножества вредоносных файлов, определяя степени сходства характеристик сравниваемых файлов. Из подмножества вредоносных файлов для сравнения в частном случае выбирают файлы, для которых создавалось правило обнаружения. Для сравниваемых файлов средство анализа 205 подсчитывает степень сходства выбранных характеристик, если степень сходства превышает установленный порог, то файлы считают похожими. Если все отобранные файлы признаются похожими на файлы из подмножества вредоносных файлов, средство анализа продолжает сравнение, сравнивая отобранные файлы с подмножеством безопасных файлов, при этом набор характеристик файлов, которые используют для сравнения в частном случае отличен от набора использовавшегося при сравнении отобраных файлов с файлами из подмножества вредоносных файлов. Если в результате сравнения ни один из отобранных файлов оказывается не похож ни на один файл из подмножества безопасных файлов, то средство анализа 205 признает трестируемое правило обнаружения надежным
Фиг.4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.4. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.
Claims (2)
1. Способ признания надежности правила обнаружения файлов, в котором:
а) выделяют из множества существующих файлов подмножество известных файлов, где известными являются файлы характеристика опасности, на основании которой осуществляется выделение, известна;
б) разделяют выделенное подмножество известных файлов на основании значения характеристики опасности по критерию опасности на два подмножества: подмножество безопасных файлов и подмножество вредоносных файлов;
в) создают правило обнаружения файлов на основании, по меньшей мере, одного известного файла, принадлежащего подмножеству вредоносных файлов;
г) проверяют неизвестные файлы из множества существующих файлов, не входящие в подмножества известных файлов: подмножество вредоносных файлов и подмножество безопасных файлов, на срабатывание правила обнаружения, где неизвестными файлами являются файлы, характеристика опасности для которых неизвестна;
д) отбирают неизвестные файлы, на которых сработало правило обнаружения во время проверки, из множества существующих файлов и получают характеристики неизвестных и известных файлов, где характеристиками, по меньшей мере, являются последовательность вызова API функций в файлах и строки в файлах;
е) сравнивают отобранные неизвестные файлы с известными файлами из подмножеств известных файлов: подмножеством вредоносных файлов и подмножеством безопасных файлов, где сравнение осуществляется путем сравнения полученных характеристик файлов;
ж) получают в результате сравнения степень сходства неизвестных отобранных файлов с известными файлами из подмножеств известных файлов, где степень сходства файлов есть степень сходства полученных характеристик отобранных неизвестных файлов с характеристиками известных файлов;
з) устанавливают порог сходства, где порог некоторое числовое значение степени сходства;
и) признают правило обнаружения надежным, когда степень сходства ни одного из отобранных неизвестных файлов с известными файлами из подмножества безопасных файлов не превышает установленный порог сходства, и степень сходства отобранных неизвестных файлов с, по меньшей мере, одним файлом из подмножества вредоносных файлов превышает установленный порог сходства.
а) выделяют из множества существующих файлов подмножество известных файлов, где известными являются файлы характеристика опасности, на основании которой осуществляется выделение, известна;
б) разделяют выделенное подмножество известных файлов на основании значения характеристики опасности по критерию опасности на два подмножества: подмножество безопасных файлов и подмножество вредоносных файлов;
в) создают правило обнаружения файлов на основании, по меньшей мере, одного известного файла, принадлежащего подмножеству вредоносных файлов;
г) проверяют неизвестные файлы из множества существующих файлов, не входящие в подмножества известных файлов: подмножество вредоносных файлов и подмножество безопасных файлов, на срабатывание правила обнаружения, где неизвестными файлами являются файлы, характеристика опасности для которых неизвестна;
д) отбирают неизвестные файлы, на которых сработало правило обнаружения во время проверки, из множества существующих файлов и получают характеристики неизвестных и известных файлов, где характеристиками, по меньшей мере, являются последовательность вызова API функций в файлах и строки в файлах;
е) сравнивают отобранные неизвестные файлы с известными файлами из подмножеств известных файлов: подмножеством вредоносных файлов и подмножеством безопасных файлов, где сравнение осуществляется путем сравнения полученных характеристик файлов;
ж) получают в результате сравнения степень сходства неизвестных отобранных файлов с известными файлами из подмножеств известных файлов, где степень сходства файлов есть степень сходства полученных характеристик отобранных неизвестных файлов с характеристиками известных файлов;
з) устанавливают порог сходства, где порог некоторое числовое значение степени сходства;
и) признают правило обнаружения надежным, когда степень сходства ни одного из отобранных неизвестных файлов с известными файлами из подмножества безопасных файлов не превышает установленный порог сходства, и степень сходства отобранных неизвестных файлов с, по меньшей мере, одним файлом из подмножества вредоносных файлов превышает установленный порог сходства.
2. Система признания надежности правила обнаружения содержит: а) средство кластеризации, предназначенное для:
выделения из множества существующих файлов подмножества известных файлов, где известными являются файлы характеристика опасности, на основании которой осуществляется выделение, известна;
разделения выделенного подмножества известных файлов на основании значения характеристики опасности по критерию опасности на два подмножества: подмножество безопасных файлов и подмножество вредоносных файлов;
отбора неизвестных файлов, на которых сработало правило обнаружения во время проверки, из множества существующих файлов и получения характеристики неизвестных и известных файлов, где характеристиками, по меньшей мере, являются последовательность вызова API функций в файлах и строки в файлах;
б) средство создания правила, связанное со средством кластеризации и файловым хранилищем и предназначенное для создания правила обнаружения файлов на основании, по меньшей мере, одного известного файла, принадлежащего подмножеству вредоносных файлов.
в) средство анализа, связанное с файловым хранилищем и средством создания правил, предназначенное для:
сравнения отобранных неизвестных файлов с известными файлами из подмножеств известных файлов: подмножества вредоносных файлов и подмножества безопасных файлов, где сравнение осуществляется путем сравнения полученных характеристик файлов;
получения в результате сравнения степени сходства неизвестных отобранных файлов с известными файлами из подмножеств известных файлов, где степень сходства файлов есть степень сходства полученных характеристик отобранных неизвестных файлов с характеристиками известных файлов;
установления порога сходства, где порог некоторое числовое значение степени сходства.
признания правила обнаружения надежным, когда степень сходства ни одного из отобранных неизвестных файлов с известными файлами из подмножества безопасных файлов не превышает установленный порог сходства, и степень сходства отобранных неизвестных файлов с, по меньшей мере, одним файлом из подмножества вредоносных файлов превышает установленный порог сходства.
выделения из множества существующих файлов подмножества известных файлов, где известными являются файлы характеристика опасности, на основании которой осуществляется выделение, известна;
разделения выделенного подмножества известных файлов на основании значения характеристики опасности по критерию опасности на два подмножества: подмножество безопасных файлов и подмножество вредоносных файлов;
отбора неизвестных файлов, на которых сработало правило обнаружения во время проверки, из множества существующих файлов и получения характеристики неизвестных и известных файлов, где характеристиками, по меньшей мере, являются последовательность вызова API функций в файлах и строки в файлах;
б) средство создания правила, связанное со средством кластеризации и файловым хранилищем и предназначенное для создания правила обнаружения файлов на основании, по меньшей мере, одного известного файла, принадлежащего подмножеству вредоносных файлов.
в) средство анализа, связанное с файловым хранилищем и средством создания правил, предназначенное для:
сравнения отобранных неизвестных файлов с известными файлами из подмножеств известных файлов: подмножества вредоносных файлов и подмножества безопасных файлов, где сравнение осуществляется путем сравнения полученных характеристик файлов;
получения в результате сравнения степени сходства неизвестных отобранных файлов с известными файлами из подмножеств известных файлов, где степень сходства файлов есть степень сходства полученных характеристик отобранных неизвестных файлов с характеристиками известных файлов;
установления порога сходства, где порог некоторое числовое значение степени сходства.
признания правила обнаружения надежным, когда степень сходства ни одного из отобранных неизвестных файлов с известными файлами из подмножества безопасных файлов не превышает установленный порог сходства, и степень сходства отобранных неизвестных файлов с, по меньшей мере, одним файлом из подмножества вредоносных файлов превышает установленный порог сходства.
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2013143770/08A RU2568285C2 (ru) | 2013-09-30 | 2013-09-30 | Способ и система анализа работы правил обнаружения программного обеспечения |
| US14/288,043 US9171155B2 (en) | 2013-09-30 | 2014-05-27 | System and method for evaluating malware detection rules |
| EP14176205.4A EP2854065B1 (en) | 2013-09-30 | 2014-07-08 | A system and method for evaluating malware detection rules |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2013143770/08A RU2568285C2 (ru) | 2013-09-30 | 2013-09-30 | Способ и система анализа работы правил обнаружения программного обеспечения |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2013143770A RU2013143770A (ru) | 2015-04-10 |
| RU2568285C2 true RU2568285C2 (ru) | 2015-11-20 |
Family
ID=52741559
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2013143770/08A RU2568285C2 (ru) | 2013-09-30 | 2013-09-30 | Способ и система анализа работы правил обнаружения программного обеспечения |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9171155B2 (ru) |
| RU (1) | RU2568285C2 (ru) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2757408C1 (ru) * | 2020-09-24 | 2021-10-15 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования правила проверки файла на вредоносность |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9819689B2 (en) * | 2015-03-13 | 2017-11-14 | Microsoft Technology Licensing, Llc | Large scale malicious process detection |
| US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
| TWI547823B (zh) * | 2015-09-25 | 2016-09-01 | 緯創資通股份有限公司 | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 |
| US10148673B1 (en) * | 2015-09-30 | 2018-12-04 | EMC IP Holding Company LLC | Automatic selection of malicious activity detection rules using crowd-sourcing techniques |
| RU2617654C2 (ru) * | 2015-09-30 | 2017-04-25 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя |
| RU2606559C1 (ru) * | 2015-10-22 | 2017-01-10 | Акционерное общество "Лаборатория Касперского" | Система и способ оптимизации антивирусной проверки файлов |
| CN105678166B (zh) * | 2015-12-18 | 2018-05-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种篡改引擎测试方法和装置 |
| US10218727B2 (en) | 2016-03-24 | 2019-02-26 | Cisco Technology, Inc. | Sanity check of potential learned anomalies |
| US10489589B2 (en) | 2016-11-21 | 2019-11-26 | Cylance Inc. | Anomaly based malware detection |
| US10749888B2 (en) * | 2018-03-08 | 2020-08-18 | Bank Of America Corporation | Prerequisite quantitative risk assessment and adjustment of cyber-attack robustness for a computer system |
| CN111723372B (zh) * | 2020-06-22 | 2024-02-23 | 深信服科技股份有限公司 | 一种病毒查杀方法、装置及计算机可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU92551U1 (ru) * | 2009-11-23 | 2010-03-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система тестирования и исправления тестовых баз данных антивирусного приложения |
| EP2182458A1 (en) * | 2008-11-03 | 2010-05-05 | Deutsche Telekom AG | Acquisition of malicious code using active learning |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6279128B1 (en) * | 1994-12-29 | 2001-08-21 | International Business Machines Corporation | Autonomous system for recognition of patterns formed by stored data during computer memory scrubbing |
| US8499350B1 (en) | 2009-07-29 | 2013-07-30 | Symantec Corporation | Detecting malware through package behavior |
| US9419981B2 (en) | 2005-10-31 | 2016-08-16 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for securing communications between a first node and a second node |
| WO2007100916A2 (en) | 2006-02-28 | 2007-09-07 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for outputting a dataset based upon anomaly detection |
| US20110047618A1 (en) | 2006-10-18 | 2011-02-24 | University Of Virginia Patent Foundation | Method, System, and Computer Program Product for Malware Detection, Analysis, and Response |
| US8108933B2 (en) | 2008-10-21 | 2012-01-31 | Lookout, Inc. | System and method for attack and malware prevention |
| IL195340A (en) | 2008-11-17 | 2013-06-27 | Shlomo Dolev | Builds and detects malware signatures for executable codes on your computer |
| US8181251B2 (en) | 2008-12-18 | 2012-05-15 | Symantec Corporation | Methods and systems for detecting malware |
| US8280830B2 (en) | 2009-08-31 | 2012-10-02 | Symantec Corporation | Systems and methods for using multiple in-line heuristics to reduce false positives |
| RU2420791C1 (ru) * | 2009-10-01 | 2011-06-10 | ЗАО "Лаборатория Касперского" | Метод отнесения ранее неизвестного файла к коллекции файлов в зависимости от степени схожести |
| US8356354B2 (en) | 2009-11-23 | 2013-01-15 | Kaspersky Lab, Zao | Silent-mode signature testing in anti-malware processing |
| US8583585B2 (en) | 2010-07-08 | 2013-11-12 | Bae Systems Information And Electronic Systems Integration Inc. | Trust management system for decision fusion in networks and method for decision fusion |
| US8640245B2 (en) | 2010-12-24 | 2014-01-28 | Kaspersky Lab, Zao | Optimization of anti-malware processing by automated correction of detection rules |
| KR101337874B1 (ko) * | 2010-12-31 | 2014-01-28 | 주식회사 안랩 | 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템 |
| US9349103B2 (en) * | 2012-01-09 | 2016-05-24 | DecisionQ Corporation | Application of machine learned Bayesian networks to detection of anomalies in complex systems |
| KR101337217B1 (ko) | 2012-02-21 | 2013-12-05 | 주식회사 안랩 | 컴퓨터 시스템과, 파일 및 행위 기반 복합룰 작성 시스템 |
-
2013
- 2013-09-30 RU RU2013143770/08A patent/RU2568285C2/ru active
-
2014
- 2014-05-27 US US14/288,043 patent/US9171155B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2182458A1 (en) * | 2008-11-03 | 2010-05-05 | Deutsche Telekom AG | Acquisition of malicious code using active learning |
| RU92551U1 (ru) * | 2009-11-23 | 2010-03-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система тестирования и исправления тестовых баз данных антивирусного приложения |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2757408C1 (ru) * | 2020-09-24 | 2021-10-15 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования правила проверки файла на вредоносность |
Also Published As
| Publication number | Publication date |
|---|---|
| US9171155B2 (en) | 2015-10-27 |
| US20150096027A1 (en) | 2015-04-02 |
| RU2013143770A (ru) | 2015-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2568285C2 (ru) | Способ и система анализа работы правил обнаружения программного обеспечения | |
| JP6636096B2 (ja) | マルウェア検出モデルの機械学習のシステムおよび方法 | |
| JP7405596B2 (ja) | コンピュータシステムのオブジェクト分類のためのシステムおよび方法 | |
| RU2580036C2 (ru) | Система и способ создания гибкой свертки для обнаружения вредоносных программ | |
| JP6731988B2 (ja) | 訓練された機械学習モデルを使用することで悪意のあるファイルを検出するシステムおよび方法 | |
| RU2454705C1 (ru) | Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения | |
| JP6715292B2 (ja) | 機械学習を用いる悪意のあるファイルを検出するシステムおよび方法 | |
| RU2614557C2 (ru) | Система и способ обнаружения вредоносных файлов на мобильных устройствах | |
| JP6353498B2 (ja) | ユーザ機器上でマルウェアを検出するためにアンチウィルス記録セットを生成するシステム及び方法 | |
| RU2514140C1 (ru) | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов | |
| RU2634178C1 (ru) | Способ обнаружения вредоносных составных файлов | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| US7721334B2 (en) | Detection of code-free files | |
| JP6731981B2 (ja) | 機械学習モデルに基づいた悪意のあるファイルの検出のための計算資源を管理するシステムおよび方法 | |
| US9239922B1 (en) | Document exploit detection using baseline comparison | |
| RU2651196C1 (ru) | Способ обнаружения аномальных событий по популярности свертки события | |
| US9679139B1 (en) | System and method of performing an antivirus scan of a file on a virtual machine | |
| RU2706883C1 (ru) | Система и способ снижения количества ложных срабатываний классифицирующих алгоритмов | |
| US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| RU2587429C2 (ru) | Система и способ оценки надежности правила категоризации | |
| US20190121975A1 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
| EP2854065B1 (en) | A system and method for evaluating malware detection rules | |
| RU2673711C1 (ru) | Способ обнаружения аномальных событий на основании набора сверток безопасных событий | |
| RU2628922C1 (ru) | Способ определения похожести составных файлов | |
| RU2614561C1 (ru) | Система и способ определения похожих файлов |